Was ist ArgoCD und wie funktioniert es?
ArgoCD ist ein GitOps-Tool für Kubernetes, das den gewünschten Zustand einer Anwendung aus einem Git-Repository liest und automatisch auf dem Cluster umsetzt. Wenn jemand eine Änderung im Repository macht, sorgt ArgoCD dafür, dass der Cluster diese Änderung übernimmt — ohne manuelles Deployment. Mit Claude Code lassen sich Application-Manifeste, App-of-Apps-Strukturen und ApplicationSets in natürlicher Sprache generieren; spezialisierte Sub-Agents übernehmen Manifest, Policy, Test und Doku parallel.
ArgoCD & GitOps Workshop mit KIArgoCD arbeitet nach dem Pull-Prinzip: Statt dass eine CI-Pipeline Befehle in den Cluster pusht, läuft ArgoCD permanent im Cluster und vergleicht den deklarierten Soll-Zustand aus dem Git-Repository mit dem tatsächlichen Ist-Zustand. Weicht beides voneinander ab — etwa weil jemand manuell ein Deployment geändert hat — meldet ArgoCD den Drift und kann ihn automatisch zurückrollen. Diese kontinuierliche Reconciliation ist der Kern von GitOps.
Die Abgrenzung zu klassischen Push-Deployments ist für sicherheitsrelevante Umgebungen entscheidend. Bei Push muss die CI-Pipeline Cluster-Credentials besitzen und über die Netzwerkgrenze hinweg deployen. Bei ArgoCD bleiben die Credentials im Cluster, der Zugriff erfolgt nur lesend auf Git. In segmentierten OT-Netzen reduziert das die Angriffsfläche erheblich, weil keine eingehenden Deployment-Verbindungen von außen nötig sind.
Für Industrial DevOps ist vor allem der Audit-Trail wertvoll: Jede Zustandsänderung ist als Git-Commit dokumentiert, mit Autor, Zeitstempel und Review. Das deckt Nachweispflichten aus IEC 62443 oder internen Change-Prozessen ab, ohne dass ein separates Logging-System gepflegt werden muss. Die Git-Historie ist der Single Source of Truth für Compliance.
Typische Stolpersteine: Secrets gehören nicht im Klartext ins Repository — hier braucht es Sealed Secrets, External Secrets Operator oder SOPS. Außerdem verleitet die Auto-Sync-Funktion dazu, alles vollautomatisch zu reconcilen; in produktiven OT-Zonen ist manuelles Sync mit Freigabe oft die sicherere Wahl. Und ohne saubere Repository-Struktur wird die Verwaltung vieler Applications schnell unübersichtlich.
Multi-Cluster-Rollout in der Fertigung
Ein Hersteller betreibt Edge-Cluster an mehreren Werksstandorten. ArgoCD synchronisiert die gleiche Anwendungsversion aus einem zentralen Repository auf alle Standorte, mit standortspezifischen Overlays für lokale Konfiguration.
Drift-Erkennung bei manuellen Eingriffen
Wird in einem Cluster manuell per kubectl eine Replica-Anzahl geändert, erkennt ArgoCD die Abweichung vom Git-Stand sofort, markiert die Application als OutOfSync und stellt den dokumentierten Soll-Zustand wieder her.
- Was ist der Unterschied zwischen ArgoCD und Flux?
- Beide sind GitOps-Operatoren für Kubernetes mit Pull-Prinzip. ArgoCD bringt eine ausgereifte Web-UI und Visualisierung des Application-Trees mit, Flux ist schlanker und stärker auf reine Automatisierung ausgelegt. Für Teams, die eine visuelle Kontrolle über den Sync-Status schätzen, ist ArgoCD meist die naheliegendere Wahl.
- Kann ArgoCD in air-gapped OT-Umgebungen laufen?
- Ja. ArgoCD benötigt nur Zugriff auf das Git-Repository und die Container-Registry, beides kann on-premise im segmentierten Netz liegen. Ein interner Git-Server und ein Registry-Mirror genügen, ein Internetzugang ist nicht erforderlich.
- Wie verwaltet ArgoCD Secrets sicher?
- Secrets werden nicht im Klartext versioniert. Etablierte Muster sind Bitnami Sealed Secrets, der External Secrets Operator mit Anbindung an einen Vault oder verschlüsselte SOPS-Dateien. Damit bleibt das Git-Repository auch bei sensiblen Daten der Single Source of Truth.
Erstgespräch.
Kostenlos.
90 Tage zum Ergebnis.
Wir klären gemeinsam, wie Sie in 90 Tagen die ersten messbaren Industrial-DevOps-Erfolge erzielen.
Industrie · Automotive · Finance