ArgoCD Helm Chart v6 Ingress TLS 配置变更解析

背景介绍

在ArgoCD Helm Chart从v5升级到v6版本的过程中，Ingress资源的TLS配置方式发生了重大变化。这一变更影响了使用默认通配符证书的用户，特别是那些依赖Ingress Controller默认证书而非显式指定Secret的场景。

变更内容

v6版本中，Ingress的TLS配置从列表形式改为了布尔值形式。这一变化导致：

1. 当tls: true时，Chart会自动引用名为argocd-server-tls的Secret
2. 不再支持直接使用Ingress Controller的默认证书配置

影响范围

这一变更主要影响以下使用场景：

• 使用集群级默认通配符证书的用户
• 依赖Ingress Controller默认证书配置的环境
• 不希望为每个服务单独管理TLS证书的部署方案

解决方案

方案一：使用extraTls配置

Chart提供了extraTls选项来支持自定义TLS配置，这与v5版本中的配置方式类似：

extraTls:
  - hosts:
    - argocd.example.com
    secretName: your-certificate-name

方案二：TLS透传配置

如果使用TLS透传模式，需要确保argocd-server-tls Secret存在，因为这是ArgoCD服务器期望的TLS配置方式。

方案三：非安全模式配置

对于不使用TLS的场景，需要特别注意：

1. 设置server.insecure: true
2. 此配置会影响Ingress模板使用的端口（80而非443）
3. 即使通过其他方式生成参数（params.create: false），也需要在values.yaml中设置此值

最佳实践建议

1. 对于使用默认证书的环境，建议通过extraTls明确指定证书
2. 升级前仔细检查Ingress配置，确保端口和TLS设置符合预期
3. 考虑创建集群级Issuer资源，简化证书管理
4. 测试环境中可考虑使用Let's Encrypt等自动化证书管理方案

总结

ArgoCD Helm Chart v6的Ingress TLS配置变更虽然带来了一定的适配成本，但提供了更清晰的配置结构和更好的灵活性。通过合理使用extraTls和server.insecure配置，可以满足各种证书管理场景的需求。建议用户在升级前充分测试，并根据自身证书管理策略选择合适的配置方式。