命令行登录

参考：argocd 登录登出

登录：

echo y | argocd login argocd-server.argocd.svc.cluster.local --password '[email protected]' --username admin

登出：

argocd logout argocd-server.argocd.svc.cluster.local

创建用户、授权

创建用户

参考：
用户管理

在 argocd/argocd-cm 中增加一个 gitops 用户，有生成 apiKey 和 login 权限。

 apiVersion: v1
 data:
   accounts.gitops: apiKey, login
 kind: ConfigMap
 metadata:
   labels:
     app.kubernetes.io/name: argocd-cm
     app.kubernetes.io/part-of: argocd
   name: argocd-cm
   namespace: argocd

修改后，会热加载，无需重启任何服务。

用 admin 用户登录后，修改 gitops 的密码为 [email protected]（注意 current-password 是当前登录用户的密码，如果用 admin 登录的，就是 admin 的密码）

argocd account update-password \
  --account gitops \
  --current-password '[email protected]' \
  --new-password '[email protected]'

此时可以用命令行登录：

echo y | argocd login argocd-server.argocd.svc.cluster.local --password '[email protected]' --username gitops

此用户登录进去看不到 admin 建的任何资源（app、project、仓库、cluster 等）。
给 gitops 用户生成 token：（这样生成的 token 从不过期，可以加–expires-in 参数设置过期时长）

# argocd account generate-token --account gitops
xxxx

之后就需要 login 了，需要指定–server 和–insecure

argocd app list --auth-token xxx --server argocd-server.argocd.svc.cluster.local --insecure

但使用 token 的方式，每次执行命令行都需要加参数，较为复杂。直接 login 后操作更为简单。

权限

参考：Rbac 权限控制

资源和动作有下面这些：

Resources: clusters, projects, applications, repositories, certificates, accounts, gpgkeys, logs, exec
Actions: get, create, update, delete, sync, override, action/<group/kind/action-name>

在 argocd-rbac-cm Configmaps 中给增加以下 policy.csv 就可以看到 admin 创建的 app、仓库等信息了：

 data:
   policy.csv: | p, role:gitops, applications, get, *, allow p, role:gitops, applications, create, *, allow p, role:gitops, applications, update, *, allow p, role:gitops, applications, sync, *, allow p, role:gitops, applications, override, *, allow p, role:gitops, repositories, get, *, allow p, role:gitops, repositories, create, *, allow p, role:gitops, repositories, update, *, allow p, role:gitops, projects, create, *, allow p, role:gitops, projects, get, *, allow p, role:gitops, clusters, get, *, allow p, role:gitops, clusters, list, *, allow g, gitops, role:gitops
 apiVersion: v1
 kind: ConfigMap
 metadata:
   labels:
     app.kubernetes.io/name: argocd-rbac-cm
     app.kubernetes.io/part-of: argocd
   name: argocd-rbac-cm
   namespace: argocd

注意：必须增加 g, gitops, role:gitops
将 gitops 用户加到 gitops 这个 role 中。

触发同步 sync

echo y | argocd login argocd-server.argocd.svc.cluster.local --password '[email protected]' --username gitops

argocd app sync apps-by-top-app