diff --git a/src/main/helm/templates/deployment.yaml b/src/main/helm/templates/deployment.yaml
index cf4720b88a773d2153428371fc018d1d8638e72d..b554d57c771f82258d30f20cd129eca4f55eb66f 100644
--- a/src/main/helm/templates/deployment.yaml
+++ b/src/main/helm/templates/deployment.yaml
@@ -48,6 +48,9 @@ spec:
{{- include "app.defaultLabels" . | indent 8 }}
component: {{ .Release.Name }}
spec:
+ {{- if (.Values.serviceAccount).create }}
+ serviceAccountName: {{ include "app.serviceAccountName" . }}
+ {{- end }}
topologySpreadConstraints:
- maxSkew: 1
topologyKey: kubernetes.io/hostname
@@ -142,15 +145,36 @@ spec:
periodSeconds: 10
successThreshold: 1
timeoutSeconds: 5
+ {{- if .Values.enableLivenessProbe }}
+ livenessProbe:
+ failureThreshold: 3
+ httpGet:
+ path: /actuator/health/liveness
+ port: 8081
+ scheme: HTTP
+ periodSeconds: 10
+ successThreshold: 1
+ timeoutSeconds: 3
+ {{- end }}
resources:
{{- with .Values.resources }}
- {{ toYaml . | indent 10 }}
+{{ toYaml . | indent 10 }}
{{- end }}
securityContext:
allowPrivilegeEscalation: false
privileged: false
readOnlyRootFilesystem: false
runAsNonRoot: true
+ {{- with (.Values.securityContext).runAsUser }}
+ runAsUser: {{ . }}
+ {{- end }}
+ {{- with (.Values.securityContext).runAsGroup }}
+ runAsGroup: {{ . }}
+ {{- end }}
+ {{- with (.Values.securityContext).capabilities }}
+ capabilities:
+{{ toYaml . | indent 12 }}
+ {{- end }}
stdin: true
terminationMessagePath: /dev/termination-log
terminationMessagePolicy: File
@@ -178,5 +202,8 @@ spec:
- name: {{ required "image-pull-secret must be set" .Values.imagePullSecret }}
restartPolicy: Always
schedulerName: default-scheduler
- securityContext: {}
- terminationGracePeriodSeconds: 300000000
\ No newline at end of file
+ {{- with .Values.podSecurityContext }}
+ securityContext:
+{{ toYaml . | indent 8 }}
+ {{- end }}
+ terminationGracePeriodSeconds: 30
diff --git a/src/test/helm/deployment_container_security_context_test.yaml b/src/test/helm/deployment_container_security_context_test.yaml
new file mode 100644
index 0000000000000000000000000000000000000000..fd10e8238d63a28effa406fde2f10f1180ef2450
--- /dev/null
+++ b/src/test/helm/deployment_container_security_context_test.yaml
@@ -0,0 +1,94 @@
+#
+# Copyright (C) 2024 Das Land Schleswig-Holstein vertreten durch den
+# Ministerpräsidenten des Landes Schleswig-Holstein
+# Staatskanzlei
+# Abteilung Digitalisierung und zentrales IT-Management der Landesregierung
+#
+# Lizenziert unter der EUPL, Version 1.2 oder - sobald
+# diese von der Europäischen Kommission genehmigt wurden -
+# Folgeversionen der EUPL ("Lizenz");
+# Sie dürfen dieses Werk ausschließlich gemäß
+# dieser Lizenz nutzen.
+# Eine Kopie der Lizenz finden Sie hier:
+#
+# https://joinup.ec.europa.eu/collection/eupl/eupl-text-eupl-12
+#
+# Sofern nicht durch anwendbare Rechtsvorschriften
+# gefordert oder in schriftlicher Form vereinbart, wird
+# die unter der Lizenz verbreitete Software "so wie sie
+# ist", OHNE JEGLICHE GEWÄHRLEISTUNG ODER BEDINGUNGEN -
+# ausdrücklich oder stillschweigend - verbreitet.
+# Die sprachspezifischen Genehmigungen und Beschränkungen
+# unter der Lizenz sind dem Lizenztext zu entnehmen.
+#
+
+suite: deployment image pull secret
+
+templates:
+ - templates/deployment.yaml
+release:
+ name: administration
+ namespace: helm-test
+set:
+ ozgcloud:
+ bundesland: sh
+ bezeichner: helm
+ sso:
+ serverUrl: https://sso.company.local
+ imagePullSecret: image-pull-secret
+tests:
+ - it: check default values
+ asserts:
+ - equal:
+ path: spec.template.spec.containers[0].securityContext.allowPrivilegeEscalation
+ value: false
+ - equal:
+ path: spec.template.spec.containers[0].securityContext.privileged
+ value: false
+ - equal:
+ path: spec.template.spec.containers[0].securityContext.readOnlyRootFilesystem
+ value: false
+ - equal:
+ path: spec.template.spec.containers[0].securityContext.runAsNonRoot
+ value: true
+ - isNull:
+ path: spec.template.spec.containers[0].securityContext.runAsUser
+ - isNull:
+ path: spec.template.spec.containers[0].securityContext.runAsGroup
+ - isNull:
+ path: spec.template.spec.containers[0].securityContext.capabilities
+ - isNull:
+ path: spec.template.spec.securityContext.fsGroup
+ - it: check runAsUser
+ set:
+ securityContext.runAsUser: 1000
+ asserts:
+ - equal:
+ path: spec.template.spec.containers[0].securityContext.runAsUser
+ value: 1000
+ - it: check runAsGroup
+ set:
+ securityContext.runAsGroup: 1000
+ asserts:
+ - equal:
+ path: spec.template.spec.containers[0].securityContext.runAsGroup
+ value: 1000
+ - it: check fsGroup
+ set:
+ podSecurityContext.fsGroup: 1000
+ asserts:
+ - equal:
+ path: spec.template.spec.securityContext.fsGroup
+ value: 1000
+ - it: check capabilities
+ set:
+ securityContext:
+ capabilities:
+ drop:
+ - ALL
+ asserts:
+ - equal:
+ path: spec.template.spec.containers[0].securityContext.capabilities
+ value:
+ drop:
+ - ALL
\ No newline at end of file
diff --git a/src/test/helm/deployment_service_account_test.yaml b/src/test/helm/deployment_service_account_test.yaml
new file mode 100644
index 0000000000000000000000000000000000000000..5a14b63e3e026b646d7a4115da65ea53c1ebbfd0
--- /dev/null
+++ b/src/test/helm/deployment_service_account_test.yaml
@@ -0,0 +1,59 @@
+#
+# Copyright (C) 2024 Das Land Schleswig-Holstein vertreten durch den
+# Ministerpräsidenten des Landes Schleswig-Holstein
+# Staatskanzlei
+# Abteilung Digitalisierung und zentrales IT-Management der Landesregierung
+#
+# Lizenziert unter der EUPL, Version 1.2 oder - sobald
+# diese von der Europäischen Kommission genehmigt wurden -
+# Folgeversionen der EUPL ("Lizenz");
+# Sie dürfen dieses Werk ausschließlich gemäß
+# dieser Lizenz nutzen.
+# Eine Kopie der Lizenz finden Sie hier:
+#
+# https://joinup.ec.europa.eu/collection/eupl/eupl-text-eupl-12
+#
+# Sofern nicht durch anwendbare Rechtsvorschriften
+# gefordert oder in schriftlicher Form vereinbart, wird
+# die unter der Lizenz verbreitete Software "so wie sie
+# ist", OHNE JEGLICHE GEWÄHRLEISTUNG ODER BEDINGUNGEN -
+# ausdrücklich oder stillschweigend - verbreitet.
+# Die sprachspezifischen Genehmigungen und Beschränkungen
+# unter der Lizenz sind dem Lizenztext zu entnehmen.
+#
+
+suite: deployment service account
+templates:
+ - templates/deployment.yaml
+release:
+ name: administration
+ namespace: helm-test
+set:
+ ozgcloud:
+ bundesland: sh
+ bezeichner: helm
+ sso:
+ serverUrl: https://sso.company.local
+ imagePullSecret: image-pull-secret
+tests:
+ - it: should use service account with default name
+ set:
+ serviceAccount:
+ create: true
+ asserts:
+ - equal:
+ path: spec.template.spec.serviceAccountName
+ value: administration-service-account
+ - it: should use service account with name
+ set:
+ serviceAccount:
+ create: true
+ name: helm-service-account
+ asserts:
+ - equal:
+ path: spec.template.spec.serviceAccountName
+ value: helm-service-account
+ - it: should use default service account
+ asserts:
+ - isNull:
+ path: spec.template.spec.serviceAccountName
\ No newline at end of file
diff --git a/src/test/helm/deployment_test.yaml b/src/test/helm/deployment_test.yaml
index 2149aac7929d554bdf6edab4a85907bc092a82de..f718d08345d84b750d26c7111d74a6cd35737042 100644
--- a/src/test/helm/deployment_test.yaml
+++ b/src/test/helm/deployment_test.yaml
@@ -112,11 +112,9 @@ tests:
- equal:
path: spec.template.spec.schedulerName
value: "default-scheduler"
- - isEmpty:
- path: spec.template.spec.securityContext
- equal:
path: spec.template.spec.terminationGracePeriodSeconds
- value: 300000000
+ value: 30
- it: should have correct container configuration
asserts:
- equal:
diff --git a/src/test/helm/service_account_test.yaml b/src/test/helm/service_account_test.yaml
new file mode 100644
index 0000000000000000000000000000000000000000..42475e2e4dc02e2b4d789c9205b8ab7c53e0f3a5
--- /dev/null
+++ b/src/test/helm/service_account_test.yaml
@@ -0,0 +1,64 @@
+#
+# Copyright (C) 2024 Das Land Schleswig-Holstein vertreten durch den
+# Ministerpräsidenten des Landes Schleswig-Holstein
+# Staatskanzlei
+# Abteilung Digitalisierung und zentrales IT-Management der Landesregierung
+#
+# Lizenziert unter der EUPL, Version 1.2 oder - sobald
+# diese von der Europäischen Kommission genehmigt wurden -
+# Folgeversionen der EUPL ("Lizenz");
+# Sie dürfen dieses Werk ausschließlich gemäß
+# dieser Lizenz nutzen.
+# Eine Kopie der Lizenz finden Sie hier:
+#
+# https://joinup.ec.europa.eu/collection/eupl/eupl-text-eupl-12
+#
+# Sofern nicht durch anwendbare Rechtsvorschriften
+# gefordert oder in schriftlicher Form vereinbart, wird
+# die unter der Lizenz verbreitete Software "so wie sie
+# ist", OHNE JEGLICHE GEWÄHRLEISTUNG ODER BEDINGUNGEN -
+# ausdrücklich oder stillschweigend - verbreitet.
+# Die sprachspezifischen Genehmigungen und Beschränkungen
+# unter der Lizenz sind dem Lizenztext zu entnehmen.
+#
+
+suite: test service account
+release:
+ name: vorgang-manager
+ namespace: sh-helm-test
+templates:
+ - templates/service_account.yaml
+tests:
+ - it: should create service account with default name
+ set:
+ serviceAccount:
+ create: true
+ asserts:
+ - isKind:
+ of: ServiceAccount
+ - isAPIVersion:
+ of: v1
+ - equal:
+ path: metadata.name
+ value: administration-service-account
+ - equal:
+ path: metadata.namespace
+ value: sh-helm-test
+ - it: should create service account with name
+ set:
+ serviceAccount:
+ create: true
+ name: helm-service-account
+ asserts:
+ - isKind:
+ of: ServiceAccount
+ - equal:
+ path: metadata.name
+ value: helm-service-account
+ - equal:
+ path: metadata.namespace
+ value: sh-helm-test
+ - it: should not create service account
+ asserts:
+ - hasDocuments:
+ count: 0
\ No newline at end of file