philpep/imago

Imago

镜像概述和主要用途

Imago旨在简化Kubernetes集群中Docker镜像的持续交付流程。它能够识别Kubernetes中的Deployments、DaemonSets、StatefulSet和CronJobs配置，从Docker仓库获取最新镜像的SHA256摘要，并更新这些资源以使用最新镜像，或通过重启资源使Pod拉取最新镜像，确保集群中的Pod始终运行最新版本的镜像。

核心功能和特性

• 资源识别与更新：自动查找Kubernetes集群中的Deployments、DaemonSets、StatefulSet和CronJobs资源。
• 最新镜像获取：从Docker仓库获取指定镜像的最新SHA256摘要。
• 两种更新模式：
  • 更新模式（-update）：直接更新资源配置中的容器镜像为registry/image@sha256:...格式，确保配置文件中记录最新镜像。
  • 重启模式（-restart）：通过重启资源（如滚动更新Deployments）使Pod拉取最新镜像（需确保imagePullPolicy为Always），不修改资源配置中的镜像字段。
• 镜像一致性保障：确保所有Pod使用完全相同的镜像版本，避免版本差异导致的问题。
• 多命名空间支持：可指定单个、多个或所有命名空间进行检查和更新。
• 标签和字段选择：支持通过Kubernetes标签选择器（labels）和字段选择器（field-selector）筛选目标资源。

使用场景和适用范围

• 安全修复：当镜像因安全问题重建后，自动更新集群资源使用修复后的最新镜像。
• 镜像一致性：确保集群中所有Pod使用完全相同的镜像版本，避免不同Pod运行不同版本镜像导致的不一致。
• 持续交付：CI流程重建镜像后，自动将集群资源更新为最新构建版本，实现持续部署。

工作原理

Imago通过两种方式确保Pod使用最新镜像：

更新模式（-update）

1. 查找指定的Deployments、DaemonSets、StatefulSet和CronJobs资源。
2. 从Docker仓库获取这些资源中容器镜像的最新SHA256摘要。
3. 更新容器规范，将镜像设置为registry/image@sha256:...格式的完整路径。
4. 在资源的imago-config-spec注解中记录原始镜像规范，便于追溯。

重启模式（-restart）

1. 检查运行中Pod的镜像SHA256摘要（需启用-check-pods）。
2. 对比Pod当前镜像与仓库中最新镜像的摘要，识别需要更新的资源。
3. 对需要更新的资源执行滚动重启（如rollout restart），促使Pod重新拉取最新镜像（假设imagePullPolicy配置为Always）。
4. 此模式不会修改资源配置中的镜像字段，仅通过重启触发更新，速度较更新模式慢。

命令行参数

执行imago --help可查看所有参数，主要参数说明如下：

Usage of imago:
  -A	检查所有命名空间中的部署和守护进程集（简写）（默认false）
  -all-namespaces
		检查所有命名空间中的部署和守护进程集（默认false）
  -check-pods
		检查运行中Pod的镜像摘要（默认false）
  -docker-config string
		用于拉取最新摘要的Docker配置文件（默认~/.docker/config.json）
  -field-selector string
		Kubernetes字段选择器
		示例：metadata.name=myapp
  -kubeconfig string
		kube配置文件（默认"~/.kube/config"）
  -l string
		Kubernetes标签选择器
		警告：仅适用于Deployment、DaemonSet、StatefulSet和CronJob，不适用于Pod！
  -n value
		检查指定命名空间中的部署和守护进程集（默认当前命名空间）
  -restart
		滚动重启部署和守护进程集以使用更新的镜像，隐含-check-pods并假设imagePullPolicy为Always（默认false）
  -update
		更新部署和守护进程集以使用更新的镜像（默认false）
  -x value
		检查除指定命名空间外的所有命名空间中的部署和守护进程集（隐含--all-namespaces）

注意：默认情况下，Imago不会更新资源，需显式指定--update或--restart选项。

使用示例

检查并更新当前命名空间中的资源

bash
imago --update

输出示例：

2019/02/11 17:55:21 检查 default/Deployment/aptly:
2019/02/11 17:55:21   aptly ok
2019/02/11 17:55:21   nginx ok
2019/02/11 17:55:22 检查 default/Deployment/kibana:
2019/02/11 17:55:22   kibana ok
2019/02/11 17:55:22   nginx ok
2019/02/11 17:55:22 更新 default/Deployment/philpep.org
2019/02/11 17:55:22 检查 DaemonSet/fluentd:
2019/02/11 17:55:22   fluentd 需要从 r.in.philpep.org/fluentd 更新为 r.in.philpep.org/fluentd@sha256:6a92af8a9db2ca243e0eba8d401cec11b124822e15b558b35ab45825ed4d1f54
2019/02/11 17:55:22 更新 default/DaemonSet/fluentd

重启所有命名空间中标签为app=myapp的资源

bash
imago --all-namespaces -l "app=myapp" --restart

安装和运行方法

从命令行源码构建

需安装Go环境：

bash
go get github.com/philpep/imago/...
$(go env GOPATH)/bin/imago --help

使用Docker镜像

需挂载本地kubeconfig文件：

bash
docker pull philpep/imago
docker run --rm -it -u $(id -u) -v ~/.kube/config:/var/lib/imago/.kube/config philpep/imago --help

预编译二进制

从https://github.com/philpep/imago/releases%E4%B8%8B%E8%BD%BD%E5%AF%B9%E5%BA%94%E5%B9%B3%E5%8F%B0%E7%9A%84%E4%BA%8C%E8%BF%9B%E5%88%B6%E6%96%87%E4%BB%B6%EF%BC%8C%E7%9B%B4%E6%8E%A5%E8%BF%90%E8%A1%8C%E3%80%82

在Kubernetes集群内运行

可通过CronJob定期执行Imago，需创建ServiceAccount和CronJob资源：

bash
# 应用ServiceAccount（包含必要权限）
kubectl apply -f https://raw.githubusercontent.com/philpep/imago/master/deploy/serviceaccount.yaml
# 应用CronJob（默认每天运行一次）
kubectl apply -f https://raw.githubusercontent.com/philpep/imago/master/deploy/cronjob.yaml

Docker凭证配置

Imago会从~/.docker/config.json（Docker镜像中路径为/var/lib/imago/.docker/config.json）读取Docker仓库凭证。若集群中资源使用imagePullSecrets拉取私有镜像，需将对应的secret挂载到Imago的运行环境中（如在Pod中挂载secret到/var/lib/imago/.docker/config.json路径）。