InfoQ

Argo CD 3.5 Tightens Supply Chain Security with Internal mTLS and Source Integrity

8.5内容质量
Argo CD 3.5 Tightens Supply Chain Security with Internal mTLS and Source Integrity

TL;DR · AI 摘要

Argo CD 3.5 强化了供应链安全,新增内部 mTLS 和源完整性验证功能。

核心要点

  • Argo CD 3.5 引入内部 mTLS,提升组件间通信的安全性。
  • Git 提交签名验证确保供应链安全,防止未签名或篡改的部署。
  • ApplicationSet 界面支持预览应用,提升操作透明度。

结构提纲

按章节快速跳转。

  1. Argo CD 3.5 发布,强化了供应链安全和内部通信安全。

  2. Argo CD 3.5 引入内部 mTLS,确保组件间通信的安全性。

  3. 通过 Git 提交签名验证,防止未签名或篡改的部署。

  4. 新增 ApplicationSet 界面支持预览应用,提升操作透明度。

  5. Impersonation 和 Source Hydrator 从 alpha 升级到 beta,增强多租户集群审计和 GitOps 模式。

思维导图

用一张图看清主题之间的关系。

查看大纲文本(无障碍 / 无 JS 友好)
  • Argo CD 3.5 新功能
    • 内部 mTLS
      • 组件间通信加密
      • 自签名证书支持
    • 源完整性验证
      • Git 提交签名验证
      • 防止未签名部署
    • ApplicationSet 界面
      • 预览应用
      • 提升操作透明度

金句 / Highlights

值得收藏与分享的关键句。

#Argo CD#DevOps#供应链安全#mTLS
打开原文

Argo CD 3.5 通过内部 mTLS 和源完整性加强供应链安全 - InfoQ

InfoQ 首页 新闻 Argo CD 3.5 通过内部 mTLS 和源完整性加强供应链安全

DevOps

从日志噪音到事件情报:AI 辅助可观测性的成熟度模型(网络研讨会 7 月 9 日)

Argo CD 3.5 通过内部 mTLS 和源完整性加强供应链安全

2026 年 6 月 26 日 3 分钟阅读

作者

  • Claudio Masolo

#### 为 InfoQ 撰稿

激发你的好奇心。

帮助 55 万+ 全球

高级开发人员

每月保持领先。

联系我们

收听这篇文章 -

0:00

音频准备播放

你的浏览器不支持音频元素。

正常

1.25x

1.5x

喜欢

新下拉阅读列表

  • 阅读列表

Argo CD 项目于 2026 年 6 月发布了 v3.5 的候选版本。此版本为内部组件添加了相互 TLS 强制执行。它还包括用于供应链安全的 Git 提交签名验证,以及在 UI 中的原生 ApplicationSet 管理。此次发布还使两个重要功能从 alpha 阶段升级到 beta 阶段:伪装和 Source Hydrator。

大规模的 Argo CD 部署长期以来一直面临内部安全态势和操作可见性方面的缺口。在 repo-server 与其他组件(如 API 服务器和控制器)之间的通信之前是未加密的。这使得内部流量没有受到团队在入口层通常应用的常规 mTLS 保护。在供应链方面,Argo CD 之前没有任何机制可以防止被入侵的 Git 仓库静默部署未签名或被篡改的清单。ApplicationSet 资源可以按规模创建应用程序,但它们缺乏原生的 UI 支持。操作人员必须检查 YAML 或使用 kubectl 来查看 ApplicationSet 会生成什么内容。

repo-server 现在支持 mTLS,要求每个连接组件提供客户端证书。对于没有自定义证书的环境,repo-server 会在内存中创建自签名证书。这有助于内部健康检查,并避免依赖文件系统。源完整性验证使操作人员可以在同步之前确保 Git 源具有有效的签名。这可以通过在 Application 规格中设置 sourceIntegrity.required: true 或使用 CLI 标志 argocd app set --source-integrity-required 来设置。由 Intuit、Red Hat、GoTo 和 Octopus Deploy 的工程师创建的 ApplicationSet UI 包括列表、过滤和详细视图。它还有一个“预览应用”选项卡,在部署之前显示 ApplicationSet 模板将创建的应用程序。

Argo CD 现在可以为服务器端任务采用特定的用户身份。这包括日志流式传输、资源删除和同步。它已进入 beta 阶段。当你通过 AppProject 或 RBAC 策略设置伪装时,它现在会自动应用于所有服务器操作。这对于多租户集群中的审计跟踪非常重要。Source Hydrator,它将未水合的清单与它们的水合输出分开,也进入 beta 阶段。现在团队可以设置不同的 drySource.repoURL 和 syncSource.repoURL 值。这使得可以使用多仓库 GitOps 模式。在这种模式下,源模板和渲染的清单位于不同的仓库中。每个仓库都可以有自己的访问控制。

此次发布还增加了对 Helm 4 的支持,同时保持与 Helm 3 部署的向后兼容性。ApplicationSets 现在可以在任意命名空间中部署,而不仅仅是 Argo CD 命名空间。这一更改带来了稳定状态,并满足了通过命名空间管理 GitOps 的团队长期以来的需求。ApplicationSet 并发控制帮助操作员限制同时处理的应用程序数量。这可以降低压垮集群或上游 Git API 的风险。Azure AD 用户在遇到组声明溢出时,现在可以通过 Microsoft Graph API 路由组解析,绕过 OIDC 令牌大小限制。Azure DevOps 仓库现在支持 Service Principal 认证,消除了对 PAT 的依赖。

在 Argo CD 的主要竞争对手中,v3.5 的三个主要功能:内部 mTLS、源完整性以及 ApplicationSet UI,根据每种工具的架构差异很大。Flux(v2.8,2026 年 3 月)通过设计避免了内部 mTLS 的问题。它的控制器使用 Kubernetes API 对象进行通信,而不是直接使用 gRPC。这意味着没有需要保护的内部流量。Flux 支持外部连接的 mTLS。你可以使用 certSecretRef 与 GitRepository、HelmRepository 和 OCIRepository 资源一起使用。在提交签名验证方面,Flux 在 GitRepository API 中通过 spec.verify.mode: head 提供了原生的 GPG 支持,比 Argo CD 更早,因此 Argo CD 在这方面正在迎头赶上。Flux 2.8 通过单独安装的 Flux Operator 在 UI 中添加了网络仪表板。这包括 Kustomization 和 HelmRelease 的视图。然而,它缺少 ApplicationSet 预览的等效功能。相反,Flux 的 ArtifactGenerator API 管理基于模板的生成,而没有可视化预览步骤。在 UI 方面,Flux 2.8 通过单独安装的 Flux Operator 引入了网络仪表板,涵盖 Kustomization 和 HelmRelease 的视图,但没有 ApplicationSet 预览的等效功能。

Rancher Fleet 使用基于 websocket 的代理系统,而不是 gRPC。这意味着不需要内部 mTLS。TLS 在 Rancher 入口和代理信任级别上处理。Fleet 缺少内置的源完整性机制。要强制提交签名,你需要从 Git 提供商获取策略或使用准入 webhook。它的 UI 是 Rancher 仪表板的持续交付部分的一部分,而不是一个独立的应用程序。Jenkins X 使用 Tekton 在流水线层强制执行供应链控制。这包括 Tekton Chains 和 GPG 签名的发布。它不提供第一方的仪表板,并且缺少类似 ApplicationSet 的预览功能。多集群推广是通过基于拉取请求的环境流程进行的,而不是通过生成模板。

作者部分的主包装器

关于作者

部分标题

每个作者的主包装器

#### Claudio Masolo

显示更多

显示更少

#### 此内容属于 DevOps 主题

##### 相关主题:

  • DevOps
  • GitOps
  • 安全
  • Argo CD
  • 相关编辑
  • 相关赞助商 缺失的代理 AI 堆栈层:为什么 AI 应用需要持久会话
  • 相关赞助商 Ably AI Transport。专为整个代理到用户体验打造的基础设施。立即开始构建。

InfoQ 新闻通讯

每周五发送 InfoQ 上一周内容的汇总。加入超过 250,000 名高级开发者的社区。查看示例

我们保护您的隐私。