Argo-CD Helm Chart 中多域名 TLS 配置问题分析与解决方案

问题背景

在使用 Argo-CD Helm Chart 7.0.0 版本部署时，用户尝试为应用配置多个域名访问，并通过 Ingress 实现 TLS 加密。具体配置是通过 server.ingress.extraHosts 和 server.ingress.extraTls 参数添加第二个域名及其对应的证书。

问题现象

当用户按照官方文档添加第二个域名的配置后，发现 Ingress 控制器并未正确使用指定的证书。通过检查生成的 Ingress 资源，发现 TLS 配置部分存在异常：

1. 第一个 TLS 条目包含了所有域名（包括新增的 domain2），但使用了默认的 argocd-server-tls 证书
2. 第二个 TLS 条目虽然正确指定了 domain2 和对应的证书，但被控制器忽略

根本原因

深入分析 Helm 模板文件发现，问题出在模板中对 TLS 配置的硬编码处理：

1. 主域名和额外域名被合并到同一个 TLS 条目中
2. 该条目强制使用了 argocd-server-tls 作为证书名称
3. Ingress 控制器在验证证书时会优先检查第一个匹配的 TLS 条目

这种设计导致当新增域名的证书与默认证书不同时，控制器无法正确识别和使用指定的证书。

解决方案

临时解决方案

手动修改生成的 Ingress 资源，从第一个 TLS 条目中移除新增的域名，确保每个域名只出现在其对应的 TLS 条目中。

长期解决方案

建议修改 Helm Chart 的模板逻辑：

1. 将主域名和额外域名的 TLS 配置完全分离
2. 避免将额外域名自动添加到主域名的 TLS 配置中
3. 确保每个域名的证书配置保持独立

最佳实践

对于需要配置多域名 TLS 的场景，建议：

1. 为每个域名创建独立的证书 Secret
2. 在 values.yaml 中明确指定每个域名对应的证书
3. 部署后验证每个域名的证书是否正确加载
4. 考虑使用通配符证书简化多域名管理

总结

Argo-CD Helm Chart 当前版本在多域名 TLS 配置上存在设计缺陷，导致额外域名的证书无法正确应用。用户可以通过手动修改生成的资源暂时解决问题，但长期来看需要等待官方修复模板逻辑。对于生产环境，建议仔细测试多域名配置，确保安全访问机制正常工作。