Argo-helm 项目在 AWS ALB 环境下解决重定向循环问题的实践指南

问题背景

在使用 Argo CD 的 Helm 图表（argo-helm）部署到 AWS EKS 环境时，开发团队遇到了一个典型的基础设施配置问题。当通过 AWS Application Load Balancer (ALB) 暴露 Argo CD 服务时，出现了以下两个相互关联的症状：

1. ALB 目标组持续显示不健康状态
2. 访问 Argo CD Web 界面时陷入 307 重定向循环

根本原因分析

经过深入排查，发现问题的核心在于 Argo CD 服务器组件与 ALB 之间的协议处理不匹配。具体表现为：

1. 健康检查失败：ALB 默认使用 HTTP 协议进行健康检查，而 Argo CD 服务器期望 HTTPS 连接
2. 重定向循环：当 ALB 以 HTTP 协议将请求转发到 Argo CD 时，服务器会强制重定向到 HTTPS，形成无限循环

解决方案探索

团队尝试了多种配置方案，最终确定了两种可行的解决路径：

方案一：调整 ALB 配置

通过修改 ALB 的 Ingress 注解，可以解决健康检查和协议处理问题：

alb.ingress.kubernetes.io/backend-protocol: HTTPS
alb.ingress.kubernetes.io/healthcheck-protocol: HTTPS
alb.ingress.kubernetes.io/listen-ports: '[{"HTTPS":443}]'

关键点：

• 强制后端协议为 HTTPS，避免协议转换
• 显式指定健康检查使用 HTTPS
• 移除 HTTP 80 端口监听，避免不必要的重定向

方案二：修改 Argo CD 服务器配置

另一种方法是调整 Argo CD 服务器本身的配置，使其接受非安全连接：

argo-cd:
  server:
    extraArgs:
      - --insecure

关键点：

• 此方案适用于在 ALB 层已经完成 TLS 终止的场景
• 服务器将直接处理 HTTP 请求，不再强制重定向
• 需要确保内部网络通信的安全性

最佳实践建议

根据实际生产环境经验，我们推荐以下配置组合：

1. 安全配置（推荐）：

   • ALB 使用 HTTPS 监听和 HTTPS 后端协议
   • 保持 Argo CD 服务器的安全模式
   • 确保证书在 ALB 和服务器之间正确配置

2. 简化配置（开发环境适用）：

   • 使用 --insecure 参数简化配置
   • 仍需确保 ALB 到服务器的网络通信安全

配置示例

以下是经过验证的完整 values.yaml 配置示例：

global:
  domain: argocd.example.com

argo-cd:
  server:
    ingress:
      annotations:
        alb.ingress.kubernetes.io/backend-protocol: HTTPS
        alb.ingress.kubernetes.io/healthcheck-protocol: HTTPS
        alb.ingress.kubernetes.io/listen-ports: '[{"HTTPS":443}]'
        alb.ingress.kubernetes.io/scheme: internal
        alb.ingress.kubernetes.io/target-type: ip
      enabled: true
      ingressClassName: alb

经验总结

1. 协议一致性：确保 ALB 与后端服务的协议配置一致
2. 健康检查配置：特别注意健康检查协议与后端服务的匹配
3. 环境区分：生产环境应保持端到端加密，开发环境可适当简化
4. 监控验证：部署后应验证目标组健康状态和实际访问体验

通过以上分析和解决方案，团队成功解决了 AWS ALB 环境下 Argo CD 的部署问题，为类似场景提供了可复用的经验。