腾讯云轻量服务器折腾 K3s 实录 (续)：ArgoCD 部署避坑指南

腾讯云轻量服务器折腾 K3s 实录 (续)：ArgoCD 部署避坑指南

上回说到我们在腾讯云的 4G 轻量服务器上成功把 K3s 跑起来了，并打通了外网 kubectl 的直连。

今天这篇，我们继续推进，实战部署 GitOps 的核心控制面 ------ ArgoCD。

本以为有了 K8s 集群，装个 ArgoCD 只是 kubectl apply 一把梭的事，结果依然是"步步惊心"。这里把遇到的两个巨坑和终极解法记录下来。

坑一：ArgoCD CRD 文件过大导致 Annotation 溢出报错

按照官方文档，我们满心欢喜地敲下安装命令：

kubectl create namespace argocd
kubectl apply -n argocd -f https://raw.githubusercontent.com/argoproj/argo-cd/stable/manifests/install.yaml

结果终端直接糊了一长串红字：

The CustomResourceDefinition "applicationsets.argoproj.io" is invalid: metadata.annotations: Too long: may not be more than 262144 bytes

原因分析：

K8s 默认的 kubectl apply 使用的是 Client-Side Apply (客户端应用) 模式。它会非常实诚地把你整个 YAML 文件的内容塞进这个对象的 last-applied-configuration 注解 (Annotation) 里。

偏偏 ArgoCD 的核心 CRD（比如 ApplicationSet）的声明文件巨大无比，轻轻松松突破了 K8s 注解长度 256KB 的硬性限制，直接被 API Server 拒收了。

终极解法：使用 Server-Side Apply

既然客户端算不过来，就把合并的压力丢给服务端。只需要在命令里加一个 --server-side 参数，让 K8s 的 API Server 自己去处理状态合并：

kubectl apply --server-side -n argocd -f https://raw.githubusercontent.com/argoproj/argo-cd/stable/manifests/install.yaml

敲下这行命令，看着屏幕刷刷刷地输出 serverside-applied，简直强迫症福音。

坑二：国内网络拉取沙盒镜像 (Pause) 失败导致 Pod 卡死

资源对象虽然建好了，但我通过 kubectl get pods -n argocd 一看，所有的 Pod 像木头一样死死卡在 ContainerCreating 状态，十几分钟一动不动。

用 describe 命令深挖日志，发现了老熟人：

Failed to pull image "rancher/mirrored-pause:3.6"... dial tcp 162.125.x.x:443: connect: connection refused

原因分析：

这是国内云主机的通病。K3s/K8s 在启动任何 Pod 之前，都需要先从 Docker Hub 拉取基础的沙盒镜像（pause 镜像）。但目前国内直连 registry-1.docker.io 基本被掐断，连最底层的环境都初始化不了，业务镜像更是没戏。

终极解法：给 K3s 配置国内容器镜像加速器

注意，K3s 底层用的是 containerd，而不是 Docker，所以不要去改 /etc/docker/daemon.json。

你需要登录到服务器上，直接修改 K3s 的镜像配置表：

# 写入国内镜像加速源 (例如 DaoCloud, 南大源等)
cat << 'EOF' | sudo tee /etc/rancher/k3s/registries.yaml
mirrors:
  docker.io:
    endpoint:
      - "https://docker.m.daocloud.io"
      - "https://docker.nju.edu.cn"
      - "https://registry.docker-cn.com"
EOF

# 重启 K3s 让配置生效
sudo systemctl restart k3s

K3s 重启速度极快（通常不到两秒）。重启完成后，被卡住的 Pod 就像久旱逢甘霖一样，瞬间开始拉取镜像，状态全部变为 Running。

收尾与效果验证

当所有 Pod 都跑起来后，为了方便在外面通过浏览器直接访问 ArgoCD 的炫酷界面，我们直接把它原本内部的 ClusterIP 服务改成 NodePort，并固定映射到 30080 端口：

# 暴露 NodePort
kubectl patch svc argocd-server -n argocd -p '{"spec": {"type": "NodePort", "ports": [{"port": 443, "nodePort": 30080}]}}'

# 窃取初始的超级管理员密码
kubectl -n argocd get secret argocd-initial-admin-secret -o jsonpath="{.data.password}" | base64 -d; echo

最后，记得去腾讯云控制台的安全组里把 TCP 30080 端口放通。

打开浏览器，访问 https://你的公网IP:30080（忽略证书警告），输入 admin 和刚拿到的密码。看到 ArgoCD 后台界面的那一刻，所有的折腾都值了！

下一篇，我们将继续向这台 4G 战舰里塞入 Kong 网关数据面，真正把 GitOps 闭环跑通。敬请期待！