Merge pull request 'OZG-3276-EnableGrpcTls' (#38) from OZG-3276-EnableGrpcTls into master

Reviewed-on: https://git.ozg-sh.de/mgm/user-manager/pulls/38

src/main/helm/templates/cert_issuer.yaml

+#
+# Copyright (C) 2022 Das Land Schleswig-Holstein vertreten durch den
+# Ministerpräsidenten des Landes Schleswig-Holstein
+# Staatskanzlei
+# Abteilung Digitalisierung und zentrales IT-Management der Landesregierung
+#
+# Lizenziert unter der EUPL, Version 1.2 oder - sobald
+# diese von der Europäischen Kommission genehmigt wurden -
+# Folgeversionen der EUPL ("Lizenz");
+# Sie dürfen dieses Werk ausschließlich gemäß
+# dieser Lizenz nutzen.
+# Eine Kopie der Lizenz finden Sie hier:
+#
+# https://joinup.ec.europa.eu/collection/eupl/eupl-text-eupl-12
+#
+# Sofern nicht durch anwendbare Rechtsvorschriften
+# gefordert oder in schriftlicher Form vereinbart, wird
+# die unter der Lizenz verbreitete Software "so wie sie
+# ist", OHNE JEGLICHE GEWÄHRLEISTUNG ODER BEDINGUNGEN -
+# ausdrücklich oder stillschweigend - verbreitet.
+# Die sprachspezifischen Genehmigungen und Beschränkungen
+# unter der Lizenz sind dem Lizenztext zu entnehmen.
+#
+
+apiVersion: cert-manager.io/v1
+kind: Issuer
+metadata:
+  name: user-manager-issuer
+  namespace: {{ include "app.namespace" . }}
+spec:
+  selfSigned: {}
\ No newline at end of file

src/main/helm/templates/certificate.yaml

+#
+# Copyright (C) 2022 Das Land Schleswig-Holstein vertreten durch den
+# Ministerpräsidenten des Landes Schleswig-Holstein
+# Staatskanzlei
+# Abteilung Digitalisierung und zentrales IT-Management der Landesregierung
+#
+# Lizenziert unter der EUPL, Version 1.2 oder - sobald
+# diese von der Europäischen Kommission genehmigt wurden -
+# Folgeversionen der EUPL ("Lizenz");
+# Sie dürfen dieses Werk ausschließlich gemäß
+# dieser Lizenz nutzen.
+# Eine Kopie der Lizenz finden Sie hier:
+#
+# https://joinup.ec.europa.eu/collection/eupl/eupl-text-eupl-12
+#
+# Sofern nicht durch anwendbare Rechtsvorschriften
+# gefordert oder in schriftlicher Form vereinbart, wird
+# die unter der Lizenz verbreitete Software "so wie sie
+# ist", OHNE JEGLICHE GEWÄHRLEISTUNG ODER BEDINGUNGEN -
+# ausdrücklich oder stillschweigend - verbreitet.
+# Die sprachspezifischen Genehmigungen und Beschränkungen
+# unter der Lizenz sind dem Lizenztext zu entnehmen.
+#
+
+apiVersion: cert-manager.io/v1
+kind: Certificate
+metadata:
+  name: user-manager-tls-certificate
+  namespace: {{ include "app.namespace" . }}
+spec:
+  secretName: user-manager-tls-cert
+  issuerRef:
+    name: user-manager-issuer
+    kind: Issuer
+  duration: 8760h0m0s
+  renewBefore: 720h0m0s
+  commonName: {{ include "app.name" . }}
+  dnsNames:
+    - "*.{{ include "app.name" . }}.{{ include "app.namespace" . }}.svc.cluster.local"
+    - "{{ include "app.name" . }}.{{ include "app.namespace" . }}.svc.cluster.local"
+    - "{{ include "app.name" . }}.{{ include "app.namespace" . }}.svc.cluster"
+    - "{{ include "app.name" . }}.{{ include "app.namespace" . }}.svc"
+    - "{{ include "app.name" . }}.{{ include "app.namespace" . }}"
+    - "{{ include "app.name" . }}"
\ No newline at end of file

src/main/helm/templates/deployment.yaml

@@ -128,6 +128,19 @@ spec:
         terminationMessagePath: /dev/termination-log
         terminationMessagePolicy: File
         tty: true
+        volumeMounts:
+          - name: user-manager-tls-certificate
+            mountPath: "/user-manager-tls-certificate/tls.crt"
+            subPath: tls.crt
+            readOnly: true
+          - name: user-manager-tls-certificate
+            mountPath: "/user-manager-tls-certificate/tls.key"
+            subPath: tls.key
+            readOnly: true
+      volumes:
+         - name: user-manager-tls-certificate
+           secret:
+              secretName: user-manager-tls-cert
       dnsConfig: {}
       dnsPolicy: ClusterFirst
       imagePullSecrets:

src/test/helm/cert_issuer_test.yaml

+#
+# Copyright (C) 2022 Das Land Schleswig-Holstein vertreten durch den
+# Ministerpräsidenten des Landes Schleswig-Holstein
+# Staatskanzlei
+# Abteilung Digitalisierung und zentrales IT-Management der Landesregierung
+#
+# Lizenziert unter der EUPL, Version 1.2 oder - sobald
+# diese von der Europäischen Kommission genehmigt wurden -
+# Folgeversionen der EUPL ("Lizenz");
+# Sie dürfen dieses Werk ausschließlich gemäß
+# dieser Lizenz nutzen.
+# Eine Kopie der Lizenz finden Sie hier:
+#
+# https://joinup.ec.europa.eu/collection/eupl/eupl-text-eupl-12
+#
+# Sofern nicht durch anwendbare Rechtsvorschriften
+# gefordert oder in schriftlicher Form vereinbart, wird
+# die unter der Lizenz verbreitete Software "so wie sie
+# ist", OHNE JEGLICHE GEWÄHRLEISTUNG ODER BEDINGUNGEN -
+# ausdrücklich oder stillschweigend - verbreitet.
+# Die sprachspezifischen Genehmigungen und Beschränkungen
+# unter der Lizenz sind dem Lizenztext zu entnehmen.
+#
+
+suite: cert-issuer
+release:
+  name: user-manager
+  namespace: sh-helm-test
+templates:
+  - templates/cert_issuer.yaml
+tests:
+  - it: should contains header data
+    asserts:
+      - isAPIVersion:
+          of: cert-manager.io/v1
+      - isKind:
+          of: Issuer
+  - it: should have metadata
+    asserts:
+      - equal:
+          path: metadata.name
+          value: user-manager-issuer
+      - equal:
+          path: metadata.namespace
+          value: sh-helm-test
+  - it: should be selfSigned
+    asserts:
+      - equal:
+          path: spec.selfSigned
+          value: {}
\ No newline at end of file

src/test/helm/certificate_test.yaml

+#
+# Copyright (C) 2022 Das Land Schleswig-Holstein vertreten durch den
+# Ministerpräsidenten des Landes Schleswig-Holstein
+# Staatskanzlei
+# Abteilung Digitalisierung und zentrales IT-Management der Landesregierung
+#
+# Lizenziert unter der EUPL, Version 1.2 oder - sobald
+# diese von der Europäischen Kommission genehmigt wurden -
+# Folgeversionen der EUPL ("Lizenz");
+# Sie dürfen dieses Werk ausschließlich gemäß
+# dieser Lizenz nutzen.
+# Eine Kopie der Lizenz finden Sie hier:
+#
+# https://joinup.ec.europa.eu/collection/eupl/eupl-text-eupl-12
+#
+# Sofern nicht durch anwendbare Rechtsvorschriften
+# gefordert oder in schriftlicher Form vereinbart, wird
+# die unter der Lizenz verbreitete Software "so wie sie
+# ist", OHNE JEGLICHE GEWÄHRLEISTUNG ODER BEDINGUNGEN -
+# ausdrücklich oder stillschweigend - verbreitet.
+# Die sprachspezifischen Genehmigungen und Beschränkungen
+# unter der Lizenz sind dem Lizenztext zu entnehmen.
+#
+
+suite: certificate
+release:
+  name: user-manager
+  namespace: sh-helm-test
+templates:
+  - templates/certificate.yaml
+tests:
+  - it: should contains header data
+    asserts:
+      - isAPIVersion:
+          of: cert-manager.io/v1
+      - isKind:
+          of: Certificate
+  - it: should have metadata
+    asserts:
+      - equal:
+          path: metadata.name
+          value: user-manager-tls-certificate
+      - equal:
+          path: metadata.namespace
+          value: sh-helm-test
+  - it: should have secretName
+    asserts:
+      - equal:
+          path: spec.secretName
+          value: user-manager-tls-cert
+  - it: should have issuerRef
+    asserts:
+      - equal:
+          path: spec.issuerRef.name
+          value: user-manager-issuer
+      - equal:
+          path: spec.issuerRef.kind
+          value: Issuer
+  - it: should have duration
+    asserts:
+      - equal:
+          path: spec.duration
+          value: 8760h0m0s
+  - it: should have renewBefore
+    asserts:
+      - equal:
+          path: spec.renewBefore
+          value: 720h0m0s
+  - it: should have commonName
+    asserts:
+      - equal:
+          path: spec.commonName
+          value: "user-manager"
+  - it: should have dnsNames
+    asserts:
+     - equal:
+          path: spec.dnsNames[0]
+          value: "*.user-manager.sh-helm-test.svc.cluster.local"
+     - equal:
+          path: spec.dnsNames[1]
+          value: "user-manager.sh-helm-test.svc.cluster.local"
+     - equal:
+          path: spec.dnsNames[2]
+          value: "user-manager.sh-helm-test.svc.cluster"
+     - equal:
+          path: spec.dnsNames[3]
+          value: "user-manager.sh-helm-test.svc"
+     - equal:
+          path: spec.dnsNames[4]
+          value: "user-manager.sh-helm-test"
+     - equal:
+          path: spec.dnsNames[5]
+          value: "user-manager"
\ No newline at end of file

src/test/helm/deployment-test.yaml

@@ -22,7 +22,7 @@
 # unter der Lizenz sind dem Lizenztext zu entnehmen.
 #
 
-suite: test deployment
+suite: deployment
 release:
   name: user-manager
 templates:

src/test/helm/deplyoment_cert_bindings_test.yaml

+#
+# Copyright (C) 2022 Das Land Schleswig-Holstein vertreten durch den
+# Ministerpräsidenten des Landes Schleswig-Holstein
+# Staatskanzlei
+# Abteilung Digitalisierung und zentrales IT-Management der Landesregierung
+#
+# Lizenziert unter der EUPL, Version 1.2 oder - sobald
+# diese von der Europäischen Kommission genehmigt wurden -
+# Folgeversionen der EUPL ("Lizenz");
+# Sie dürfen dieses Werk ausschließlich gemäß
+# dieser Lizenz nutzen.
+# Eine Kopie der Lizenz finden Sie hier:
+#
+# https://joinup.ec.europa.eu/collection/eupl/eupl-text-eupl-12
+#
+# Sofern nicht durch anwendbare Rechtsvorschriften
+# gefordert oder in schriftlicher Form vereinbart, wird
+# die unter der Lizenz verbreitete Software "so wie sie
+# ist", OHNE JEGLICHE GEWÄHRLEISTUNG ODER BEDINGUNGEN -
+# ausdrücklich oder stillschweigend - verbreitet.
+# Die sprachspezifischen Genehmigungen und Beschränkungen
+# unter der Lizenz sind dem Lizenztext zu entnehmen.
+#
+
+suite: deployment cert bindings
+release:
+  name: user-manager
+  namespace: user-manager
+templates:
+  - templates/deployment.yaml
+tests:
+  - it: should mount volumes for user-manager root ca
+    set:
+      kop.environment: dev
+    asserts:
+       - contains:
+           path: spec.template.spec.containers[0].volumeMounts
+           content:
+             name: user-manager-tls-certificate
+             mountPath: "/user-manager-tls-certificate/tls.crt"
+             subPath: tls.crt
+             readOnly: true
+       - contains:
+           path: spec.template.spec.containers[0].volumeMounts
+           content:
+             name: user-manager-tls-certificate
+             mountPath: "/user-manager-tls-certificate/tls.key"
+             subPath: tls.key
+             readOnly: true
+             
+  - it: should have volumes for user-manager root certificate
+    set:
+      namespace: sh-helm-test
+    asserts:
+       - contains:
+           path: spec.template.spec.volumes
+           content:
+             name: user-manager-tls-certificate
+             secret:
+               secretName: user-manager-tls-cert
\ No newline at end of file

user-manager-server/src/main/resources/application-dev.yaml

-quarkus:
-  mongodb:
-    database: usermanager
-  oidc:
-    auth-server-url: https://sso.dev.by.kop-cloud.de/realms/sh-kiel-dev
-  http:
-    auth:
-      permission:
-        bearer:
-          paths: /api/userProfiles/*,/api/user/*
-          policy: permit
-        deny-api:
-          paths: /api/*
-          policy: deny
-        permit-migration:
-          enabled: false
-          paths: /api/migration/user/*
-          policy: permit
-          methods: GET
-kop:
-  keycloak:
-    sync:
-      cron: "0 */10 * * * ?"
-    api:
-      user: goofyApiUser
-      password: S9UEMuLG9y9ev99
-      realm: dev
-      organisations-einheit-id-key: organisationsEinheitId
-      ldap-id-key: LDAP_ID
-keycloak:
-  url: https://sso.dev.by.kop-cloud.de
\ No newline at end of file

user-manager-server/src/main/resources/application.yaml

+"%prod":
+   quarkus:
+      grpc:
+         server:
+            ssl:
+               certificate: /user-manager-tls-certificate/tls.crt
+               key: /user-manager-tls-certificate/tls.key
 quarkus:
  application:
   name: kopusermanager