本文定位:面向已经使用或准备使用 Argo CD 的平台、DevOps 和安全团队,重点讨论多团队、多环境下的权限边界、同步控制和漂移审计。
Argo CD权限治理不能只理解为“谁能登录控制台”。在 GitOps 模式下,真正敏感的是谁能创建 Application、谁能同步到生产集群、哪些仓库能部署到哪些命名空间、漂移出现后是否允许直接覆盖。权限设计不清,Argo CD 会从交付治理工具变成一个拥有大范围集群写权限的集中入口。
如果团队还在建立 GitOps 基础认知,可以先阅读 GitOps是什么;如果重点是回滚与审计,可以结合 GitOps回滚与变更审计 一起设计交付闭环。本文聚焦 Argo CD 自身的权限边界。
先分清 Argo CD 的三层权限边界
Argo CD 权限治理至少有三层:平台层、项目层和应用层。平台层决定谁能管理集群、仓库、项目和全局配置;项目层决定某个团队可以部署哪些仓库到哪些目标环境;应用层决定谁能同步、回滚、暂停或删除具体应用。
三层边界分别回答:
- 平台层:谁能接入集群、仓库和认证系统。
- 项目层:哪个团队能用哪些源仓库、目标集群和命名空间。
- 应用层:谁能对某个 Application 执行 sync、rollback、override、delete。
图1:Argo CD权限治理三层边界
AppProject 是多团队隔离的核心对象
很多团队一开始只创建 Application,不认真设计 AppProject。等到应用越来越多、环境越来越多时,就会发现权限边界混乱:开发团队可能看到不该看的应用,测试项目可能有机会同步到生产集群,公共仓库和业务仓库混在一起。
AppProject 可以约束:
- 允许使用哪些 Git 仓库或 Helm 仓库
- 允许部署到哪些集群和命名空间
- 允许或禁止哪些 Kubernetes 资源类型
- 项目角色可以执行哪些 Argo CD 动作
- 是否允许特定同步窗口和例外操作
| 隔离维度 | AppProject 约束点 | 常见风险 |
|---|---|---|
| 仓库来源 | sourceRepos | 非授权仓库部署进集群 |
| 目标环境 | destinations | 测试项目越权发布生产 |
| 资源类型 | clusterResourceWhitelist / namespaceResourceBlacklist | 普通应用创建集群级资源 |
| 项目角色 | roles / policies | 团队成员拥有过大同步权限 |
项目不是目录名,而是权限边界
AppProject 不应只按仓库目录或应用数量随意划分。更合理的方式是按团队、环境、安全等级和运维责任划分。一个项目代表一组明确的部署边界和责任边界。
RBAC 要围绕动作设计,而不是只分管理员和普通用户
Argo CD RBAC 支持对 applications、projects、clusters、repositories、exec、logs 等资源设置动作权限。实际治理时,不建议简单分成 admin 和 readonly 两类,因为发布、回滚、查看日志、修改项目、删除应用的风险完全不同。
建议拆成这些角色:
- 只读观察者:可以查看应用状态、历史和差异,但不能同步。
- 应用发布者:可以对所属项目执行 sync 和 rollback,不能改 Project 边界。
- 项目维护者:可以维护项目内 Application,但不能接入新集群或修改全局配置。
- 平台管理员:管理集群、仓库、认证、全局项目和策略。
- 审计人员:可以查看操作历史和漂移状态,不参与发布。
这种拆分能避免“为了让某人同步一次生产应用,就给了全局管理员”的情况。权限应围绕动作和范围组合,而不是围绕职位头衔粗放授权。
图2:Argo CD RBAC动作与角色矩阵
同步权限要和环境风险绑定
Argo CD 的 sync 权限看似只是“让应用对齐 Git”,但生产环境里它等价于一次实际发布。尤其当自动同步、自动修复漂移、Prune、Self Heal 同时开启时,错误提交可能很快影响线上环境。
生产同步至少要区分:
- 手动同步:需要明确操作者,适合生产环境保守控制。
- 自动同步:适合低风险环境或经过充分验证的服务。
- Prune:会删除 Git 中不存在的资源,生产环境要谨慎开启。
- Self Heal:会自动修正集群内手工改动,需与应急流程协调。
- 同步窗口:限制高风险时间段发布,避免无计划变更。
如果某个团队只负责开发环境,就不应拥有生产 AppProject 的 sync 权限;如果某个应用涉及核心业务,自动同步也应与审批、灰度和回滚机制绑定。
漂移检测不是只看红绿状态
Argo CD 会显示应用是否 OutOfSync,但真正的治理问题是:漂移是谁造成的、是否允许、是否需要回滚到 Git、还是应该把现场变更反向合并进仓库。
| 漂移来源 | 风险判断 | 处理建议 |
|---|---|---|
| 手工 kubectl 修改 | 高 | 回滚或补提交,记录责任人 |
| 控制器自动补字段 | 低到中 | 配置 ignoreDifferences |
| 紧急线上修复 | 中到高 | 临时保留并补 Git 变更 |
| Helm/Kustomize 渲染差异 | 中 | 修正模板或参数 |
| 集群默认值变化 | 中 | 评估升级影响并更新基线 |
漂移处理要有归属,不能只靠平台团队兜底
平台团队可以提供漂移检测和审计能力,但业务团队应对自己应用的期望状态负责。否则 Argo CD 只会不断显示 OutOfSync,最后大家习惯性忽略红色状态。
图3:Argo CD漂移检测与回滚处理闭环
多团队落地的治理清单
Argo CD 权限治理适合按阶段推进,不要一开始就追求复杂模型。先把最容易失控的边界收住,再逐步细化角色和审计。
上线前至少检查:
- 项目边界:每个 AppProject 的仓库、集群、命名空间范围是否明确。
- 生产同步:谁能 sync、rollback、prune、delete 生产应用。
- 集群级资源:普通项目是否被禁止创建 ClusterRole、CRD 等高权限对象。
- 自动同步:生产环境是否默认关闭或经过审批。
- 漂移策略:哪些差异可忽略,哪些必须回滚或补 Git。
- 审计记录:操作历史、Git 提交、审批记录和 Argo CD 操作能否串起来。
如果团队同时使用 CI 平台和 Argo CD,要明确 CI 负责构建可信制品,Argo CD 负责环境状态收敛。关于 CI 平台边界,可以参考 Jenkins和GitLab CI区别 的流水线职责拆分思路。
小结
Argo CD权限治理的重点,不是给控制台加登录认证,而是把仓库来源、目标集群、项目边界、同步动作和漂移处理变成清晰规则。AppProject 决定团队能部署到哪里,RBAC 决定谁能执行什么动作,同步策略决定变更如何进入环境,漂移检测决定运行态偏离后如何闭环。只有这些边界设计清楚,GitOps 才能支撑多团队交付治理,而不是放大集中发布入口的风险。
FAQ
Argo CD 的 admin 账号可以一直保留吗?
不建议长期作为日常操作账号。admin 应只用于初始化和紧急恢复,日常操作应接入企业身份系统,并按项目、角色和动作分配权限。否则很难审计具体责任人。
AppProject 应该按团队划分还是按环境划分?
通常要结合两者。团队负责应用和仓库边界,环境决定风险等级和同步权限。小团队可以先按团队划分项目,再用 destinations 和角色限制环境;大规模平台可进一步按业务线、环境和安全等级拆分。
生产环境可以开启自动同步吗?
可以,但要谨慎。只有当仓库评审、制品可信、灰度发布、回滚和监控都成熟时,生产自动同步才比较稳妥。否则建议先采用手动同步或受控同步窗口。
漂移一定要立即 Self Heal 吗?
不一定。对低风险环境可以自动修正;对生产环境,漂移可能来自紧急修复、控制器默认值或升级差异。建议先分类漂移来源,再决定自动修正、人工确认还是补 Git 变更。
