ArgoCD GitOps: gestioná Kubernetes como un profesional
ArgoCD se ha convertido en una herramienta fundamental para hacer GitOps sobre Kubernetes, y la razón es simple: en vez de aplicar manifiestos a mano y rezar para que el clúster no se desconfigure solo, tenés un controlador que mira un repo Git y mantiene todo sincronizado. Según el artículo, la gran ventaja no es solo la automatización —es la auditoría y la capacidad de volver atrás sin depender de la memoria de nadie.
ArgoCD es un controlador de GitOps para Kubernetes que sincroniza el estado declarado en un repositorio Git con el estado real del clúster, aplicando reconciliación continua de forma periódica. Lo mantiene la CNCF y, a esta altura, cualquiera que maneje más de dos entornos sabe que sin algo así el drift entre staging y producción te come vivo.
En 30 segundos
- Git como fuente única de verdad: todo cambio en infraestructura pasa por un pull request; si no está en Git, no existe en producción.
- Sincronización automática periódica, con opción de auto-sync y selfHeal para corregir drift sin intervención manual.
- Instalación con Helm usando el chart oficial de ArgoCD y un port-forward para acceder a la UI.
- Rollback con un clic sobre el historial de sincronizaciones; Git ya tiene todo el historial, no necesitás backup extra de manifiestos.
- Integración con Kyverno para aplicar políticas de seguridad como código desde el mismo repositorio.
¿Qué es GitOps y por qué dejaste de aplicar YAMLs a mano?
GitOps es un modelo operativo donde Git es la única fuente de verdad para tu infraestructura. En vez de que alguien ejecute kubectl apply desde su notebook un viernes a las 19:00 (sí, en serio), todo cambio pasa por un pull request, se mergea, y un operador como ArgoCD lo aplica al clúster. La diferencia con el enfoque imperativo tradicional es que el sistema corrige solo las desviaciones: si alguien toca algo por SSH en producción, ArgoCD lo revierte al estado declarado en Git en el siguiente ciclo de sincronización.
El valor para equipos que manejan múltiples entornos es enorme. Tenés staging, QA y producción apuntando al mismo repo —o a ramas distintas, según cómo estructures los Projects— y sabés exactamente qué versión de cada manifiesto está corriendo en cada clúster. Sin esto, el drift entre entornos se acumula, y cuando algo explota en producción nadie sabe qué cambió ni cuándo.
Conceptos clave: Application, Project y el ciclo de Sync
Una Application en ArgoCD es un recurso de Kubernetes que apunta a un repo Git y define qué manifiestos o charts debe vigilar. Podés apuntar a un directorio con YAMLs planos, a un chart de Helm, o a un Kustomize overlay. La Application le dice a ArgoCD: “esto es lo que debería estar corriendo acá, y este es el destino”.
Un Project agrupa Applications y les pone límites: podés definir qué clústers y namespaces pueden usar, qué fuentes Git aceptan, y qué tipos de recursos pueden desplegar. Es la capa de permisos que evita que el nuevo del equipo borre accidentalmente el ingress de producción (pasó, y por eso existe). Más contexto en comparativa de herramientas CI/CD para 2026.
El ciclo de sincronización funciona así: ArgoCD hace un poll al repo con una frecuencia configurable (y en producción se ajusta según las necesidades). Compara el estado declarado con el estado real del clúster. Si detecta diferencias, marca la Application como OutOfSync. Con auto-sync activado, aplica los cambios automáticamente. Con selfHeal, además corrige cualquier cambio manual que alguien haya metido directamente en el clúster —y ese es el escenario que te salva de las intervenciones heroicas que nadie documenta.
La pregunta obvia: ¿cuándo usar sync manual y cuándo automático? Para producción, muchos equipos prefieren sync manual con notificaciones: querés ver qué cambió antes de que se aplique, sobre todo si el cambio toca servicios críticos. Para staging y entornos de desarrollo, el auto-sync con selfHeal te ahorra tener a alguien pendiente de cada merge.
Instalación con Helm: los comandos que necesitás
La instalación base de ArgoCD con Helm se hace en tres pasos. No necesitás charts de terceros ni operadores raros: el chart oficial de ArgoCD está en https://argoproj.github.io/argo-helm y funciona directo.
- Agregar el repo de Helm:
helm repo add argo https://argoproj.github.io/argo-helmy despuéshelm repo update. - Instalar con valores por defecto:
helm install argocd argo/argo-cd --namespace argocd --create-namespace. Esto levanta el API server, el repo server, el application controller y Redis interno. - Exponer la UI: lo más rápido para pruebas es
kubectl port-forward svc/argocd-server -n argocd 8080:443. Para producción, configurás un LoadBalancer o un ingress con certificado. - Login inicial: el usuario es
adminy la contraseña está en un secret:kubectl -n argocd get secret argocd-initial-admin-secret -o jsonpath="{.data.password}" | base64 -d.
En poco tiempo tenés la UI funcionando. La primera impresión es buena: ves todos los recursos del clúster desde una interfaz que no necesita manual de instrucciones. Para equipos que vienen de administrar Kubernetes con Lens o con kubectl puro, es un salto de productividad bastante claro.
Tu primera Application: de un repo Git al clúster sin tocar kubectl
Pongamos un ejemplo concreto. Tenés un repo con los manifiestos planos de una API escrita en TypeScript: un Deployment, un Service y un Ingress. El repo está en GitHub y la estructura es manifests/api/. La Application YAML que creás en ArgoCD es así: Tema relacionado: diferencias clave entre Jenkins y GitHub Actions.
Definís el destino (el clúster local y el namespace api-prod), la fuente (el repo Git con la URL y el path manifests/api), y la política de sincronización. Con syncPolicy.automated.prune: true le decís a ArgoCD que borre recursos del clúster si desaparecen del repo —útil para limpiar automáticamente, peligroso si no revisás los PRs. Con selfHeal: true, cualquier cambio manual en el clúster se revierte en el siguiente ciclo. La primera sincronización tarda segundos, y la UI te muestra el estado de cada recurso: progreso, salud y diferencias con el estado declarado.
¿Y si usás Helm en vez de YAMLs planos? Cambia el campo source: en vez de un path a un directorio, apuntás al chart con helm.valueFiles para los valores de cada entorno. El patrón es el mismo: editás en Git, mergeás, y ArgoCD sincroniza. La ventaja con Helm es que podés parametrizar los despliegues por entorno sin duplicar manifiestos —un mismo chart con values distintos para staging y producción, gestionados desde el mismo repo.
Rollback y auditoría: cómo volver atrás sin depender de backups
Acá viene lo bueno. Cada vez que ArgoCD sincroniza una Application, guarda un registro con el commit SHA de Git, la fecha y el estado resultante. Si desplegaste un cambio que rompió el servicio de pagos (un jueves a las 18:15, como manda la tradición), la UI te muestra el historial completo de sincronizaciones y podés hacer rollback a cualquier revisión anterior con un clic. ArgoCD simplemente aplica el manifiesto correspondiente a ese commit y listo: el clúster vuelve al estado anterior al desastre.
Compará esto con el enfoque tradicional: kubectl rollout undo deployment/pagos. Sí, funciona, pero solo para Deployments, y solo si tenés el revisionHistoryLimit configurado. Con ArgoCD, cualquier recurso vuelve atrás —incluso un ConfigMap, un Ingress o un RBAC. Y como Git ya tiene el historial completo, no necesitás backups extra de manifiestos: el rollback es literalmente volver a un commit anterior del repo. La auditoría queda resuelta porque sabés quién mergeó qué, cuándo y con qué resultado.
ArgoCD vs Flux: ¿cuál le conviene a tu equipo?
Los dos proyectos son de la CNCF, los dos hacen GitOps, los dos sincronizan repos con clústeres. Pero la experiencia de uso es muy distinta, y la elección depende más del perfil del equipo que de las capacidades técnicas —porque en capacidades están bastante parejos en 2026. Ya lo cubrimos antes en implementación de hreflang para sitios multilingüe.
| Característica | ArgoCD | Flux |
|---|---|---|
| Interfaz gráfica | UI web completa, dashboard por Application, vista de recursos en tiempo real | No tiene UI; depende de CLI y herramientas externas |
| CLI | argocd con autocompletado, gestión de Applications, diff en terminal | flux con comandos modulares, bootstrap incluido |
| Arquitectura | Monolítica (un controlador central con componentes acoplados) | Modular (source-controller, kustomize-controller, helm-controller separados) |
| Multi-tenancy | Projects con límites por namespace, clúster y recurso | Multi-tenancy vía RBAC y nombres de recursos, sin concepto de Project |
| Auto-sync y selfHeal | Nativo en la Application CRD, activable por política | Nativo en las CRDs de cada controlador, más granular |
| Curva de aprendizaje | Baja si el equipo usa GUI; media para configuraciones avanzadas | Media-alta: todo es YAML y CLI, más declarativo pero menos inmediato |
Si tu equipo usa la interfaz gráfica para monitorear despliegues —y la verdad es que con más de tres clústeres una UI se vuelve necesidad—, ArgoCD te da visibilidad inmediata sin configurar nada extra. Flux es mejor si viven en la terminal y prefieren componer controladores modulares sin depender de un monolito central.
Políticas de seguridad como código con ArgoCD y Kyverno
Una de las integraciones útiles es ArgoCD con Kyverno para aplicar políticas de seguridad desde el mismo repositorio Git. Para integrar Kyverno, se puede usar el patrón App-of-Apps: una Application raíz en ArgoCD que sincroniza un directorio donde están tanto las políticas de Kyverno como las aplicaciones del equipo.
La implementación arranca en modo Audit: las políticas se aplican pero no bloquean despliegues, solo generan eventos y logs. Esto te deja ver qué políticas se violarían sin romper nada —porque si activás Enforce de entrada y tenés 200 aplicaciones corriendo, el caos está garantizado. Después de ajustar las políticas con los datos reales del clúster, pasás a Enforce: ahora Kyverno rechaza cualquier recurso que no cumpla, incluso antes de que ArgoCD intente sincronizarlo. Los beneficios concretos: gobernanza centralizada sobre qué imágenes de contenedor se permiten, validación de resource limits obligatorios, y etiquetado automático de recursos según el equipo dueño. Todo desde Git, con PRs y revisión de cambios, como cualquier otra pieza de infraestructura.
Errores comunes al configurar ArgoCD (y cómo evitarlos)
Después de ver instalaciones en equipos de todo tipo, estos son los errores que aparecen una y otra vez —y las soluciones que ahorran horas de debugging.
Activar auto-sync en producción sin notificaciones. El auto-sync es práctico, pero si un cambio no deseado llega al repo, se aplica automáticamente al clúster productivo. La corrección es simple: activá notificaciones (Slack, Discord, lo que uses) y configurá sync windows para limitar manualmente los horarios de sincronización automática. Así el auto-sync opera en staging sin restricciones y en producción solo cuando hay gente mirando. Esto se conecta con lo que analizamos en cómo ejecutar agentes locales sin API.
No configurar resource limits en el application controller. El controller de ArgoCD puede consumir bastante memoria si gestiona muchas Applications (cientos). El valor por defecto viene sin límites; si tu clúster tiene muchas aplicaciones y el controller se queda sin memoria, las sincronizaciones fallan sin un error claro en logs. Poné limits y requests desde el values.yaml de Helm.
Usar la contraseña de admin por defecto en producción. Sí, cambiarla es un paso obvio, pero en equipos chicos con urgencias de entrega, ese secret inicial queda semanas sin tocar. Integrá OIDC (Okta, Dex, lo que uses) desde el día uno. ArgoCD lo soporta nativamente y te ahorra compartir credenciales estáticas entre todo el equipo.
Apuntar a ramas de features en vez de a main. Si la Application apunta a una rama que se mergea y se borra, ArgoCD pierde la referencia y marca la app como desconocida. La práctica recomendada es apuntar siempre a main (o la rama estable que uses) y usar overlays de Kustomize o values de Helm para diferenciar entornos.
Preguntas Frecuentes
¿Qué es GitOps y cómo se implementa con ArgoCD?
GitOps es un modelo donde Git es la fuente única de verdad para la infraestructura declarativa. Con ArgoCD, implementás GitOps creando recursos Application que apuntan a un repositorio Git; el controlador de ArgoCD compara el estado declarado en el repo con el estado real del clúster de Kubernetes y sincroniza las diferencias periódicamente.
¿Cómo instalar ArgoCD en un clúster Kubernetes?
Se instala con Helm en tres pasos: agregás el repo oficial (argo-cd), ejecutás helm install en el namespace argocd, y exponés la UI con un port-forward o un LoadBalancer. El login inicial usa el usuario admin y la contraseña que se genera en el secret argocd-initial-admin-secret. Todo el proceso toma poco tiempo.
¿Cómo hacer rollback de un deployment con ArgoCD?
Entrás al historial de sincronizaciones de la Application desde la UI, seleccionás la revisión anterior al cambio problemático y ejecutás el rollback. ArgoCD aplica el estado declarado correspondiente a ese commit de Git. A diferencia de kubectl rollout undo, esto funciona para cualquier recurso (Deployments, ConfigMaps, Ingress, RBAC) y no solo para workloads.
¿Cuándo conviene activar el auto-sync en ArgoCD?
El auto-sync conviene en entornos de staging y desarrollo, donde los cambios son frecuentes y el riesgo de una aplicación incorrecta es bajo. En producción, muchos equipos lo desactivan y usan sincronización manual con notificaciones, para revisar los cambios antes de que se apliquen. Si activás auto-sync en producción, configurá sync windows para restringir los horarios.
¿Cómo integrar Kyverno con ArgoCD para políticas de seguridad?
Se usa el patrón App-of-Apps: una Application raíz sincroniza un directorio del repositorio que contiene tanto las políticas de Kyverno como las aplicaciones. Se arranca en modo Audit para ver qué políticas se violan sin bloquear despliegues, y después se activa Enforce. Las políticas se gestionan como código en Git, con revisión de PRs antes de aplicarse.
Conclusión
ArgoCD dejó de ser la herramienta que evaluabas con curiosidad para convertirse en la forma estándar de desplegar en Kubernetes, con una adopción que ya no depende de evangelistas sino de necesidades operativas concretas. La combinación de auditoría completa vía Git, rollback con un clic y una UI que cualquier persona del equipo puede entender cambia la dinámica de los despliegues: pasás de depender de la persona que se sabe los comandos de memoria a tener un proceso que cualquiera puede seguir y auditar.
Si estás corriendo Kubernetes en producción sin GitOps, el primer paso es chico: instalá ArgoCD en un clúster de staging, creá una Application que apunte a un repo de prueba, y dejá que sincronice. En una hora vas a tener claro si esto resuelve el caos de despliegues que probablemente ya tenés. Para equipos en Latinoamérica que manejan infraestructura cloud, la combinación de ArgoCD con un proveedor de cloud local como donweb.com para servicios de hosting y dominios complementa bien el stack: Kubernetes gestiona las cargas, Git gestiona la verdad.
Fuentes
- ArgoCD for GitOps: managing Kubernetes deployments declaratively – dev.to — Análisis de conceptos clave y estrategias de implementación.
- Cómo configurar ArgoCD para GitOps en Kubernetes: lo que nadie te cuenta – dev.to — Guía práctica de instalación con Helm y primeras configuraciones.
- DevOps from Zero to Hero: GitOps con ArgoCD – Segfault.pw — Comparativa entre ArgoCD y Flux con ejemplos de flujo de trabajo.
- GitOps con Argo CD y Kyverno: políticas Kubernetes en serio – Sied Blog — Integración con Kyverno usando el patrón App-of-Apps.
