GitOps控制环原理的核心,是控制器反复执行“读取期望状态、观察实际状态、计算差异、执行同步、检查健康、再次调和”这一闭环。GitOps 不是一次性的部署脚本,而是声明式系统的一种运行方式:Git 保存目标,控制器持续让集群向目标靠近。
如果你关注实践侧的漂移处理,可以搭配阅读 GitOps漂移检测怎么做?同步与回滚边界;如果还在入门阶段,可以先看 GitOps是什么 建立基本概念。
图1:GitOps 同步与漂移修复执行链路架构图,展示 Sou
控制环先比较期望状态和实际状态
期望状态通常来自 Git 仓库中的 YAML、Helm values、Kustomize overlay 或 Application 定义;实际状态来自 Kubernetes API Server。根据 Kubernetes Controllers 官方文档,控制器会观察集群状态,并尝试把当前状态移动到期望状态[1]。
在 GitOps 中,这个思想被用于交付:控制器不是盲目执行脚本,而是持续比较两边状态是否一致。
一次控制环通常包含:
- Source:读取 Git、Helm 仓库或 OCI 制品中的配置。
- Render:渲染 Helm、Kustomize 或 Jsonnet 等模板。
- Compare:把渲染后的期望对象与集群实际对象做 diff。
- Sync:执行创建、更新、删除或跳过。
- Health:判断 Deployment、Service、Job 等资源是否达到健康状态。
- Reconcile:等待下一次事件或周期触发,再次检查。
GitOps控制环原理不是“有差异就覆盖”
控制环会发现差异,但不一定立刻修复。是否自动同步,取决于项目策略、环境、资源类型和风险等级。根据 Argo CD Auto Sync 官方文档,自动同步、自动 prune 和 self-heal 是可配置能力,不应被理解为所有环境的默认动作[2]。
| 阶段 | 控制器做什么 | 团队要决定什么 |
|---|---|---|
| Compare | 识别期望与实际差异 | 哪些字段可忽略 |
| Sync | 应用期望状态 | 哪些环境允许自动同步 |
| Prune | 删除 Git 不再声明的资源 | 删除是否需要审批 |
| Health | 判断资源是否就绪 | 健康标准是否符合业务 |
| Retry | 失败后重试 | 重试上限和人工介入条件 |
同步策略是控制环的刹车
控制环负责持续观察和执行,策略负责限制它什么时候能执行。生产环境通常需要同步窗口、审批、灰度和回滚条件,不能只依赖控制器默认行为。
图2:GitOps 同步策略执行边界,说明 Compare 之
漂移修复发生在实际状态偏离期望状态时
漂移是控制环最常见的触发场景之一。它可能来自集群内手工修改,也可能来自控制器补字段、Webhook 注入或模板渲染差异。漂移修复的目标不是简单把差异清零,而是让状态回到可解释、可审计的路径。
常见修复路径有三种:
- 回到 Git:集群中的变更不应该保留,控制器同步 Git 状态。
- 补回 Git:现场变更是有效修复,把它变成提交和评审记录。
- 配置忽略:差异是控制器默认字段或无业务影响字段,纳入 diff ignore。
如果团队使用 Flux,可以参考 Flux Reconciliation 官方概念理解 reconciliation 如何持续把实际状态向声明式来源收敛[3]。
Health 检查决定同步是否真正成功
很多人把“应用资源成功”当成发布完成,但 GitOps 控制环还会关注资源健康。Deployment 创建成功不代表 Pod 已可用,Ingress 创建成功不代表流量正常,Job 创建成功不代表任务成功。
Health 检查通常关注:
- Deployment 是否达到期望副本数。
- StatefulSet 是否按顺序更新完成。
- Job 是否成功结束或失败超限。
- Service、Ingress、CRD 资源是否进入可用状态。
- 自定义资源是否有可解释的 status 字段。
自定义资源需要明确健康语义
很多平台组件依赖 CRD。若 CRD 的 status 字段不清晰,GitOps 工具可能只能看到对象已创建,却无法判断业务是否真正就绪。平台团队应为关键 CRD 设计稳定 status 和 condition。
重试和回滚边界要分开理解
控制环失败后通常会重试,例如网络短暂异常、Kubernetes API Server 压力、Webhook 超时或依赖资源未就绪,这类控制器行为可结合 Kubernetes 控制器机制理解[1]。但重试不是回滚。重试是在继续追求同一个期望状态;回滚是把期望状态切换到另一个历史版本。
需要人工介入的信号包括:
- 同一资源连续同步失败,且错误原因相同。
- Health 长时间不达标,但对象已经被更新。
- Prune 计划删除高风险资源。
- 生产环境漂移来自紧急修复,尚未补 Git。
- 同一提交在多个集群触发失败。
这些情况不适合无限重试,应暂停自动动作,保留现场证据,再决定修复 Git、回滚版本或调整策略。
图3:GitOps 重试与回滚分界决策树,用于区分继续追求同一
多集群控制环要防止错误扩散
当同一套 Git 配置驱动多个集群时,控制环会放大配置质量。一个错误 values 文件、错误 overlay 或错误权限策略,可能在多个集群同时触发同步失败。
更稳妥的做法是按环境分层:开发集群自动同步,预发集群做验证,生产集群通过同步窗口或人工确认推进。对基础组件、网络策略和集群级资源,还应按批次同步,避免全量集群同时变化。
小结
GitOps控制环原理可以理解为声明式交付的持续调和机制。控制器不断读取 Git 期望状态,比较集群实际状态,执行同步并检查健康;漂移修复、重试和回滚则由策略决定边界。理解这一点,团队才能把 GitOps 从“自动部署工具”升级为可审计、可控、可回滚的平台交付机制。
原创声明:本文为 CNBPA 云原生社区原创技术内容,非商业转载须注明出处:https://www.cloudnative-tech.com/p/9326/。文中原创图示、架构图和文章内容未经许可不得用于商业转载、培训课件、营销材料或二次分发。
参考资料
- [1] Kubernetes Controllers – 官方文档
- [2] Argo CD Automated Sync Policy – 官方文档
- [3] Flux Concepts and Reconciliation – 官方文档
常见问题
1. GitOps控制环原理和 CI/CD Pipeline 有什么区别?
Pipeline 通常按步骤执行一次构建、测试和发布;GitOps 控制环会持续观察期望状态和实际状态是否一致。前者偏任务执行,后者偏状态收敛。
2. 自动同步是不是等于自动回滚?
不是。自动同步是让集群接近期望状态;自动回滚需要把期望状态切换到历史版本,并确认回滚条件。把两者混为一谈,容易在生产故障时做出错误操作。
3. GitOps 漂移修复应该开启 self-heal 吗?
可以按环境分层。开发和测试环境可更积极,生产环境应先明确哪些漂移允许自动修复、哪些需要人工确认,尤其是紧急修复、权限、网络和存储相关变更。
4. GitOps 控制环失败时先查哪里?
先看 Git 源是否可访问、模板是否能渲染、目标集群权限是否足够、Kubernetes API 是否返回错误,再看资源 Health。不要只看控制器最终状态,要沿 Source、Render、Compare、Sync、Health 顺序定位。
