<p>これはGitOps用ツールに <a href="https://argoproj.github.io/" target="_blank" rel="nofollow noopener noreferrer">ArgoCD</a> と <a href="https://github.com/fluxcd/flux2/" target="_blank" rel="nofollow noopener noreferrer">Flux2</a> のどちらを選ぶか考えるための調査資料です。</p>
<p>ArgoCD v1.7.8 と Flux2 v0.2.2 の比較をします。</p>
<p>Flux2についてはまだ使い込んでいないので、誤ったことを書いているかもしれません。何か変な記述を見つけたら教えて下さい。</p>
<h2 id="%E8%83%8C%E6%99%AF">
<a class="header-anchor-link" href="#%E8%83%8C%E6%99%AF" aria-hidden="true"></a> 背景</h2>
<p>Flux(Flux2) と ArgoCD は GitOps を実践するためのソフトウェアです。<br>
役割がかぶっているため、インフラ構築時には基本的にどちらか片方を選択することになります。</p>
<p>GitOps は Weaveworks の提唱した概念で、この会社は Flux の開発元です。<br>
ArgoCD の開発元は Intuit です。<br>
いずれも k8s ネイティブな OSS プロダクトとして作られています。</p>
<p>Flux2 はもともと GitOps toolkit (=gotk) という名前で開発されていましたが、v0.2.0 のリリースで Flux2 にリネームされました。</p>
<h2 id="%E6%A9%9F%E8%83%BD%E6%AF%94%E8%BC%83">
<a class="header-anchor-link" href="#%E6%A9%9F%E8%83%BD%E6%AF%94%E8%BC%83" aria-hidden="true"></a> 機能比較</h2>
<p>機能が大きくかぶっているため、差分に着目して機能を比較します。</p>
<h2 id="gui%2Fcli">
<a class="header-anchor-link" href="#gui%2Fcli" aria-hidden="true"></a> GUI/CLI</h2>
<p>ArgoCDにはGUIダッシュボードがあります。<br>
単なる閲覧だけでなく、変更操作も行えます。<br>
argocd という CLI ツールもあります。基本的に行えることは GUI とほぼ同じです。</p>
<p>Flux2 には GUI はありません。flux というCLIツールを使います。</p>
<h2 id="diffing">
<a class="header-anchor-link" href="#diffing" aria-hidden="true"></a> diffing</h2>
<p>ArgoCDを使うと、今クラスタに作成されているオブジェクトと、Gitリポジトリのマニフェストのdiffを見ることが出来ます。また、このdiffに基づき、Gitリポジトリの更新がないときも自動的に再同期する self-healing 機能があります。</p>
<p>Flux2 ではそのような機能を提供していません。Flux2 では diff 計算をせず、対象のGitリポジトリのリビジョンが更新されたら <code>kubectl apply</code> するという仕組みを採用しています。(カスタムWebhookでpushベースの同期を行うことも可能です)<br>
なお今は <code>kubectl diff</code> があるので、人が diff を確認する分には Flux2 でも困りません。</p>
<h2 id="%E6%A8%A9%E9%99%90%E7%AE%A1%E7%90%86">
<a class="header-anchor-link" href="#%E6%A8%A9%E9%99%90%E7%AE%A1%E7%90%86" aria-hidden="true"></a> 権限管理</h2>
<p>ArgoCD は OIDC プロバイダ(dexなど)と連携させることで、SSO を行うことができます。<br>
これは k8s とは独立した権限管理です。<br>
k8s の RBAC を ArgoCD を使用するテナントの権限管理に使うことはできません。ArgoCD には非常に強い権限を渡しておくことになり、テナントの権限は上述の仕組みで認可します。</p>
<p>Flux2 にはユーザー管理機能はありません。<br>
その代わりに k8s の RBAC で権限制御することができます。<br>
具体的に言うと、kustomization.yaml ごとに kubectl apply に使う service account を指定できます。なので namespace ベースの普通のマルチテナンシーを実践していれば、それを活用できます。</p>
<h2 id="%E9%80%9A%E7%9F%A5">
<a class="header-anchor-link" href="#%E9%80%9A%E7%9F%A5" aria-hidden="true"></a> 通知</h2>
<p>ArgoCD で同期に関するイベントを通知したいときは ArgoCD Notifications というアドオンコンポーネントを導入します。<br>
後付けの機能なので、Application CRのアノテーションに多少記述することになります。<br>
通知の発火条件を condition というフィールドに式で書くことができます。</p>
<p>Flux2 では Alert CR と Provider CR で通知設定を記述できます。<br>
ArgoCDのような condition という概念はありません。</p>
<h2 id="%E8%87%AA%E5%8B%95%E3%82%A4%E3%83%A1%E3%83%BC%E3%82%B8%E6%9B%B4%E6%96%B0">
<a class="header-anchor-link" href="#%E8%87%AA%E5%8B%95%E3%82%A4%E3%83%A1%E3%83%BC%E3%82%B8%E6%9B%B4%E6%96%B0" aria-hidden="true"></a> 自動イメージ更新</h2>
<p>ArgoCD には ArgoCD Image Updater というアドオンコンポーネントがあります。<br>
これを使うと新たなイメージタグがコンテナリポジトリに追加されたとき、自動でイメージを更新することができます。semver に従ったタグ付けをしていれば、自動更新を許可するバージョン区間を指定できます。</p>
<p>Flux2 ではこれと似たような機能を実装予定です。もともとFluxで実装されていたので、それを継承する形になります。</p>
<h2 id="%E5%90%8C%E6%9C%9F%E9%A0%86%E5%BA%8F%E3%81%AE%E5%88%B6%E5%BE%A1">
<a class="header-anchor-link" href="#%E5%90%8C%E6%9C%9F%E9%A0%86%E5%BA%8F%E3%81%AE%E5%88%B6%E5%BE%A1" aria-hidden="true"></a> 同期順序の制御</h2>
<p>ArgoCD のリソースの同期順序は sync-wave というアノテーションで制御します。sync-wave には phase という番号を指定することになります。番号なのでメンテが若干面倒です。</p>
<p>Flux2 では Kustomization CR 同士の依存関係を dependsOn フィールドに設定すると、その順番に同期されます。</p>
<h2 id="%E3%82%AB%E3%82%B9%E3%82%BF%E3%83%A0%E3%83%AA%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%AE%E3%83%98%E3%83%AB%E3%82%B9%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF">
<a class="header-anchor-link" href="#%E3%82%AB%E3%82%B9%E3%82%BF%E3%83%A0%E3%83%AA%E3%82%BD%E3%83%BC%E3%82%B9%E3%81%AE%E3%83%98%E3%83%AB%E3%82%B9%E3%83%81%E3%82%A7%E3%83%83%E3%82%AF" aria-hidden="true"></a> カスタムリソースのヘルスチェック</h2>
<p>ArgoCDでもFluxでも、同期対象となるリソースをあるひとまとまりの形で Application/Kustomization CR を用いながら管理することになります。<br>
Application/Kustomization CRのヘルスステータスは、自身が管理しているリソースの状態から決定されます。<br>
管理対象がk8sビルトイン系リソースなら、自動でそれを読んでくれるのですが、カスタムリソースの場合はそうはいきません。そのようなとき、カスタムヘルスチェックが欲しくなります。</p>
<p>ArgoCD においてApplicationのヘルスチェックをカスタムリソース用に作り込みたいときは、luaを使って書くことができます。ただし有名なカスタムリソースのヘルスチェックはArgoCDにビルトインされているので、書かずに済むケースもあります。</p>
<p>Flux2 においてKustomizationのヘルスチェックをカスタムリソース用に作り込みたいときは、カスタムリソースに<a href="https://github.com/kubernetes-sigs/cli-utils/tree/master/pkg/kstatus" target="_blank" rel="nofollow noopener noreferrer">kstatus</a>用のインターフェースを実装することになります。</p>
<h2 id="%E6%9A%97%E5%8F%B7%E5%8C%96secret%E3%81%AE%E5%BE%A9%E5%8F%B7">
<a class="header-anchor-link" href="#%E6%9A%97%E5%8F%B7%E5%8C%96secret%E3%81%AE%E5%BE%A9%E5%8F%B7" aria-hidden="true"></a> 暗号化Secretの復号</h2>
<p>ArgoCD では暗号化 Secret のための機能は提供されていませんが、kustomize build 実行時の引数を指定することは出来るので、kustomize-sopsをApplication Controllerコンテナの中に仕込み、kustomize build 時に plugin を呼ぶことでsopsによる暗号化Secretを復号できます。</p>
<p>Flux2 では Kustomization CR の機能として sops を呼ぶフィールドが用意されているので、それに従うと kustomize build 時に sops による暗号化 Secret を復号できます。</p>
<h2 id="%E3%81%BE%E3%81%A8%E3%82%81">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h2>
<p>Flux2 のほうが後発なだけあって、よく使うオプション機能をうまくCRD設計に溶け込ませている感じがします。</p>
<p>ArgoCD ユーザーの権限を制御するために独自 RBAC や OIDC プロバイダを用意しなければならないのは大げさだなと思っていたので、<br>
Flux2 の K8s RBAC で権限管理を行うという設計は個人的に好みです。</p>
<p>ただし Flux2 には、GUIダッシュボードや App Diff に相当する機能が無いので、その辺りが重要になる場合はFlux2ではなくArgoCDを選択することになります。</p>


ArgoCD と Flux2 の比較

カスタムリソースのヘルスチェック

Discussion