使用GitOps實現Kubernetes的持續部署：模式、流程及工具（簡體書）

本書提供了通過GitOps使用Kubernetes的實用教程，內容涵蓋GitOps的實踐、技術和工具，它們可以簡化Kubernetes來更快地交付企業級軟件，而不影響安全性。通過閱讀本書，你將了解GitOps在靈活的配置管理、監控、健壯性、多環境支持和安全性等方面的好處，並掌握以獨特的GitOps方式進行管理的技巧。學完本書，你將能夠實現和管理一個可伸縮的持續交付管道，這使得跟蹤更改、回滾錯誤以及清晰地驗證和審計容器部署變得容易。

借助GitOps，你可以像對待其他代碼庫一樣，使用Git版本控制系統來組織和管理你的基礎設施。對於在Kubernetes上以容器和Pod部署的應用程序來說，這是一種很好的模式。
本書介紹如何使用Git和GitOps方法來管理Kubernetes集群。本書將理論與實踐相結合，在介紹Ops核心概念的同時結合易於實現的技術，將GitOps付諸實踐。本書面向熟悉持續交付、Git和Kubernetes的開發人員與運維工程師。通過閱讀本書，你將學會開發流水線以跟蹤更改、回滾錯誤和審計容器部署。
通過閱讀本書，你將學習
使用GitOps的方式管理機密。
Git、Kubernetes和流水線的訪問控制。
分支、命名空間和配置。

隨著Intuit踏上從私有化部署到云原生的旅程，我們重塑構建和部署流程又有了新的機會。與許多大型企業類似，舊的部署流程以數據中心為中心，擁有獨立的QA、Ops和基礎設施團隊。部署代碼可能需要數周時間，而且當出現生產問題時，開發人員無法訪問基礎設施。基礎設施問題可能需要很長時間才能解決，並且需要許多團隊的合作。
由於Marianna Tessel（Intuit首席技術官）和Jeff Brewer（Intuit SBSEG首席架構師）決定在Kubernetes和Docker上豪賭，我們有幸成為個通過Kubernetes和Docker完全遷移生產應用程序的團隊。在此過程中，我們必須徹底改造CI/CD流水線並採用GitOps流程。Jesse和Alexander創建了Argo CD（CNCF孵化器項目）來滿足企業對GitOps的需求。Todd和他的團隊創建了世界一流的集群管理工具，因此我們可以輕鬆地擴展到數百個集群。
有了像Kubernetes和Docker這樣的標準，所有工程師就可以在基礎設施和部署方面使用一種通用語言。他們可以輕鬆地為多個其他項目做出貢獻，並在開發過程完成後進行部署。GitOps還使我們能夠準確了解環境中發生了哪些變化，這在你需要遵守合規性要求時尤其重要。我們無法想象回到以前的部署方式，希望本書可以幫助你快速上手GitOps！

推薦序
前言
致謝
關於作者
部分　背景
第1章　為什麼需要GitOps　2
1.1　GitOps的演進　2
1.1.1　傳統Ops　3
1.1.2　DevOps　4
1.1.3　GitOps　5
1.2　GitOps帶給開發者的好處　7
1.2.1　基礎設施即代碼　7
1.2.2　自服務　8
1.2.3　代碼審查　9
1.2.4　Git拉取請求　9
1.3　GitOps帶給運維的好處　10
1.3.1　聲明式　10
1.3.2　可觀測性　12
1.3.3　可審計性和合規性　13
1.3.4　災難恢復　15
1.4　總結　15
第2章　Kubernetes與GitOps　17
2.1　Kubernetes介紹　17
2.1.1　Kubernetes是什麼　18
2.1.2　其他容器編排系統　19
2.1.3　Kubernetes架構　19
2.1.4　部署應用到Kubernetes　21
2.2　聲明式物件管理與命令式
物件管理　26
2.3　控制器架構　32
2.3.1　控制器委派　32
2.3.2　控制器模式　32
2.3.3　NGINX Operator　34
2.4　Kubernetes和GitOps的關係　38
2.5　CI/CD入門　38
2.5.1　基本的GitOps Operator　38
2.5.2　持續集成流水線　41
2.6　總結　44
第二部分　模式和流程
第3章　環境管理　48
3.1　環境管理簡介　48
3.1.1　環境的組成　49
3.1.2　命名空間管理　51
3.1.3　網絡隔離　55
3.1.4　非生產集群和生產集群　58
3.2　Git策略　59
3.2.1　單分支（多目錄）　60
3.2.2　多分支　60
3.2.3　多代碼庫與單一代碼庫　61
3.3　配置管理　61
3.3.1　Helm　62
3.3.2　Kustomize　65
3.3.3　Jsonnet　69
3.3.4　小結　72
3.4　持久環境與臨時環境　73
3.5　總結　73
第4章　流水線　75
4.1　CI/CD流水線中的階段　75
4.1.1　GitOps持續集成　76
4.1.2　GitOps持續交付　82
4.2　推動晉級工作　86
4.2.1　代碼、清單和應用配置　86
4.2.2　代碼和鏡像晉級　86
4.2.3　環境晉級　88
4.2.4　匯總　89
4.3　其他流水線　90
4.3.1　回滾　91
4.3.2　合規流水線　93
4.4　總結　95
第5章　部署策略　96
5.1　Deployment基礎知識　96
5.1.1　為什麼ReplicaSet不適合
GitOps　97
5.1.2　Deployment如何與ReplicaSet
一起工作　100
5.1.3　流量路由　107
5.1.4　在minikube中配置其他
策略　108
5.2　藍綠部署　109
5.2.1　使用Deployment實現藍綠
部署　109
5.2.2　使用Argo Rollouts實現藍綠
部署　115
5.3　金絲雀部署　119
5.3.1　使用Deployment實現
金絲雀部署　120
5.3.2　使用Argo Rollouts實現
金絲雀部署　124
5.4　漸進式交付　125
5.5　總結　132
第6章　訪問控制與安全　133
6.1　訪問控制介紹　133
6.1.1　什麼是訪問控制　134
6.1.2　確保什麼　134
6.1.3　GitOps的訪問控制　137
6.2　訪問限制　139
6.2.1　Git倉庫訪問　139
6.2.2　Kubernetes RBAC　146
6.2.3　鏡像倉庫訪問　151
6.3　模式　153
6.3.1　完全訪問　153
6.3.2　部署倉庫訪問　153
6.3.3　僅限代碼訪問　155
6.4　安全考量　155
6.4.1　防止從不受信任的鏡像倉庫
拉取鏡像　155
6.4.2　Git倉庫中的集群級資源　156
6.5　總結　156
第7章　Secret　158
7.1　Kubernetes Secret　158
7.1.1　為什麼使用Secret　159
7.1.2　如何使用Secret　159
7.2　GitOps與Secret　162
7.2.1　不加密　162
7.2.2　分布式Git倉庫　162
7.2.3　沒有細粒度的（文件級）
訪問控制　162
7.2.4　不安全的存儲　163
7.2.5　完整的提交歷史　163
7.3　Secret管理策略　163
7.3.1　在Git中存儲Secret　163
7.3.2　燒制Secret到容器鏡像　163
7.3.3　帶外管理　165
7.3.4　外部機密管理系統　165
7.3.5　在Git中加密Secret　166
7.3.6　策略的對比　167
7.4　工具　168
7.4.1　HashiCorp Vault　168
7.4.2　Vault Agent Sidecar Injector　171
7.4.3　Sealed Secrets　175
7.4.4　Kustomize Secret generator
插件　179
7.5　總結　182
第8章　可觀測性　183
8.1　什麼是可觀測性　184
8.1.1　事件日志　184
8.1.2　度量指標　188
8.1.3　追蹤　190
8.1.4　可視化　195
8.1.5　GitOps中可觀測性的
重要性　197
8.2　應用程序健康狀況　197
8.2.1　資源狀況　198
8.2.2　就緒探針和存活探針　202
8.2.3　應用程序監控和告警　203
8.3　GitOps的可觀測性　204
8.3.1　GitOps度量指標　204
8.3.2　應用程序同步狀態　205
8.3.3　配置漂移　209
8.3.4　GitOps變更日志　210
8.4　總結　213
第三部分　工具
第9章　Argo CD　216
9.1　Argo CD是什麼　216
9.1.1　主要使用場景　217
9.1.2　核心概念　217
9.1.3　同步狀態和健康狀態　218
9.1.4　架構　220
9.2　部署應用　223
9.2.1　部署個應用程序　223
9.2.2　使用用戶界面檢查應用程序　225
9.3　深入了解Argo CD的功能　226
9.3.1　GitOps驅動的部署　227
9.3.2　資源鉤子　227
9.3.3　部署後驗證　230
9.4　企業特性　230
9.4.1　單點登錄　230
9.4.2　訪問控制　233
9.4.3　聲明式管理　235
9.5　總結　237
第10章　Jenkins X　238
10.1　Jenkins X是什麼　238
10.2　探索Prow、Jenkins X流水線