Argo CD Helm 配置：为 HTTPS 仓库添加自定义 CA 证书支持

在企业级 Kubernetes 集群中，Argo CD 作为流行的 GitOps 工具，常需要与内部 Git 仓库集成。当这些仓库使用 HTTPS 协议且采用私有 CA 签发的证书时，如何安全地建立信任关系成为关键问题。本文将深入探讨如何在 Argo CD Helm 部署中配置自定义 CA 证书。

核心需求场景

许多企业出于安全合规要求，会使用内部证书颁发机构（CA）为 Git 服务签发 TLS 证书。这种情况下，直接访问 HTTPS 仓库时会出现证书验证失败，而简单地禁用 SSL 验证（如设置 insecure: true）会带来中间人攻击风险，不符合安全最佳实践。

Helm 配置方案

Argo CD 的 Helm Chart 原生支持通过 configs.tls.certificates 字段添加自定义 CA 证书。该配置会将证书注入到 Argo CD 使用的系统信任存储中，实现既保持 TLS 验证又兼容私有 CA 的安全方案。

典型配置示例如下：

configs:
  tls:
    certificates:
      git.example.com: |
        -----BEGIN CERTIFICATE-----
        (您的自定义CA证书内容)
        -----END CERTIFICATE-----

实现原理

该配置通过以下机制工作：

1. Helm 会将证书写入 Argo CD 容器的 /etc/ssl/certs 目录
2. 使用标准的 Linux 证书更新工具更新信任链
3. 所有 HTTPS 请求都会自动验证包括自定义 CA 在内的完整信任链

高级配置建议

对于复杂环境，建议：

1. 将 CA 证书作为 Kubernetes Secret 管理
2. 通过 Helm values 文件引用 Secret 内容
3. 为不同域名配置多个证书条目
4. 定期轮换证书时，通过 Helm 升级触发证书更新

验证方法

部署后可通过以下方式验证：

1. 在 Argo CD 容器内执行 update-ca-certificates 命令
2. 使用 openssl verify 检查目标仓库证书
3. 观察 Argo CD 仓库连接日志中的 TLS 握手信息

注意事项

1. 证书格式必须包含完整的 PEM 头和尾标记
2. 多级 CA 需要提供完整的证书链
3. 证书变更需要重启相关 Pod 生效
4. 建议配合 NetworkPolicy 限制仓库访问范围

通过正确配置自定义 CA，可以在不降低安全性的前提下实现 Argo CD 与企业内部基础设施的安全集成，这是生产环境 GitOps 实践的重要保障。