ozg-6354 adjust zentraler eingang network policy

185f1560 · Bastian · dbbce84d · 185f1560 · 185f1560 · 185f1560
Commit 185f1560 authored 3 months ago by Bastian
--- a/src/main/helm/zufi-server/templates/network_policy.yaml
+++ b/src/main/helm/zufi-server/templates/network_policy.yaml
@@ -73,10 +73,11 @@ spec:
    ports:
    - protocol: TCP
      port: 8081
+  {{- if (.Values.zentralerEingang).enabled }}
  - from:
    - namespaceSelector:
        matchLabels:
-          kubernetes.io/metadata.name: {{ required "networkPolicy.zentralerEingangNamespace must be set" (.Values.networkPolicy).zentralerEingangNamespace }}
+          kubernetes.io/metadata.name: {{ required "zentralerEingang.namespace must be set" .Values.zentralerEingang.namespace }}
      podSelector:
        matchExpressions:
          - key: ozg-component
@@ -87,6 +88,7 @@ spec:
    ports:
    - protocol: TCP
      port: 9090
+  {{- end }}
 {{- with (.Values.networkPolicy).additionalIngressConfigLocal }}
 {{ toYaml . | indent 2 }}
 {{- end }}

--- a/src/main/helm/zufi-server/values.yaml
+++ b/src/main/helm/zufi-server/values.yaml
@@ -40,5 +40,6 @@ database:
  tls:
    secretName: "ozg-mongodb-tls-cert"

-networkPolicy:
-  zentralerEingangNamespace:
\ No newline at end of file
+zentralerEingang:
+  enabled: true
+  namespace:
\ No newline at end of file
--- a/src/test/helm/zufi-server/network_policy_test.yaml
+++ b/src/test/helm/zufi-server/network_policy_test.yaml
@@ -32,28 +32,31 @@ templates:
 tests:
  - it: should match apiVersion
    set: 
+      zentralerEingang:
+        namespace: zentraler-eingang
      networkPolicy:
        dnsServerNamespace: test-ns
        fachstellenProxyNamespace: fachstellen-proxy
-        zentralerEingangNamespace: zentraler-eingang
    asserts:
      - isAPIVersion:
          of: networking.k8s.io/v1
  - it: should match kind
    set: 
+      zentralerEingang:
+        namespace: zentraler-eingang
      networkPolicy:
        dnsServerNamespace: test-ns
        fachstellenProxyNamespace: fachstellen-proxy
-        zentralerEingangNamespace: zentraler-eingang
    asserts:
      - isKind:
          of: NetworkPolicy
  - it: validate metadata
    set: 
+      zentralerEingang:
+        namespace: zentraler-eingang
      networkPolicy:
        dnsServerNamespace: test-ns
        fachstellenProxyNamespace: fachstellen-proxy
-        zentralerEingangNamespace: zentraler-eingang
    asserts:
      - equal:
          path: metadata
@@ -63,10 +66,11 @@ tests:

  - it: should generate spec
    set: 
+      zentralerEingang:
+        namespace: zentraler-eingang
      networkPolicy:
        dnsServerNamespace: test-ns
        fachstellenProxyNamespace: fachstellen-proxy
-        zentralerEingangNamespace: zentraler-eingang
    asserts:
      - equal:
          path: spec
@@ -153,10 +157,11 @@ tests:

  - it: should set monitoring namespace
    set:
+      zentralerEingang:
+        namespace: zentraler-eingang
      networkPolicy:
        dnsServerNamespace: test-ns
        fachstellenProxyNamespace: fachstellen-proxy
-        zentralerEingangNamespace: zentraler-eingang
        monitoringNamespace: test-monitoring
    asserts:
      - contains:
@@ -172,10 +177,11 @@ tests:

  - it: add ingress rule by values local
    set:
+      zentralerEingang:
+        namespace: zentraler-eingang
      networkPolicy:
        dnsServerNamespace: test-ns
        fachstellenProxyNamespace: fachstellen-proxy
-        zentralerEingangNamespace: zentraler-eingang
        additionalIngressConfigLocal:
          - from:
              - podSelector:
@@ -191,10 +197,11 @@ tests:
                    component: client2
  - it: add ingress rule by values global
    set:
+      zentralerEingang:
+        namespace: zentraler-eingang
      networkPolicy:
        dnsServerNamespace: test-ns
        fachstellenProxyNamespace: fachstellen-proxy
-        zentralerEingangNamespace: zentraler-eingang
        additionalIngressConfigGlobal:
          - from:
              - podSelector:
@@ -211,10 +218,11 @@ tests:

  - it: add egress rules by values local
    set:
+      zentralerEingang:
+        namespace: zentraler-eingang
      networkPolicy:
        dnsServerNamespace: test-ns
        fachstellenProxyNamespace: fachstellen-proxy
-        zentralerEingangNamespace: zentraler-eingang
        additionalEgressConfigLocal:
          - to:
              - ipBlock:
@@ -228,10 +236,11 @@ tests:
                  cidr: 1.2.3.4/32
  - it: add egress rules by values Global
    set:
+      zentralerEingang:
+        namespace: zentraler-eingang
      networkPolicy:
        dnsServerNamespace: test-ns
        fachstellenProxyNamespace: fachstellen-proxy
-        zentralerEingangNamespace: zentraler-eingang
        additionalEgressConfigGlobal:
          - to:
              - ipBlock:
@@ -253,49 +262,78 @@ tests:
          count: 0
  - it: test by default network policy enabled
    set: 
+      zentralerEingang:
+        namespace: zentraler-eingang
      networkPolicy:
        dnsServerNamespace: test-ns
        fachstellenProxyNamespace: fachstellen-proxy
-        zentralerEingangNamespace: zentraler-eingang
    asserts:
      - hasDocuments:
          count: 1

  - it: test network policy set as enabled
    set:
+      zentralerEingang:
+        namespace: zentraler-eingang
      networkPolicy:
        disabled: false
        dnsServerNamespace: test-dns-namespace
        fachstellenProxyNamespace: fachstellen-proxy
-        zentralerEingangNamespace: zentraler-eingang
    asserts:
      - hasDocuments:
          count: 1

  - it: test dnsServerNamespace must be set message
    set:
+      zentralerEingang:
+        namespace: zentraler-eingang
      networkPolicy:
        disabled: false
        fachstellenProxyNamespace: fachstellen-proxy
-        zentralerEingangNamespace: zentraler-eingang
    asserts:
      - failedTemplate:
          errorMessage: networkPolicy.dnsServerNamespace must be set
  - it: test fachstellen-proxy namespace must be set message
    set:
+      zentralerEingang:
+        namespace: zentraler-eingang
      networkPolicy:
        disabled: false
        dnsServerNamespace: test-dns-namespace
-        zentralerEingangNamespace: zentraler-eingang
    asserts:
      - failedTemplate:
          errorMessage: networkPolicy.fachstellenProxyNamespace must be set

-  - it: test zentralerEingangNamespace namespace must be set message
+  - it: test zentralerEingang.namespace must be set message
    set:
      networkPolicy:
        dnsServerNamespace: test-dns-namespace
        fachstellenProxyNamespace: fachstellen-proxy
    asserts:
      - failedTemplate:
-          errorMessage: networkPolicy.zentralerEingangNamespace must be set
+          errorMessage: zentralerEingang.namespace must be set
+
+  - it: test disable zentralerEingang network policy
+    set:
+      zentralerEingang:
+        enabled: false
+        namespace: zentraler-eingang
+      networkPolicy:
+        dnsServerNamespace: test-dns-namespace
+        fachstellenProxyNamespace: fachstellen-proxy
+    asserts:
+      - notContains:
+          any: true
+          path: spec.ingress
+          content:
+            from:
+            - namespaceSelector:
+                matchLabels:
+                  kubernetes.io/metadata.name: zentraler-eingang
+              podSelector:
+                matchExpressions:
+                  - key: ozg-component
+                    operator: In
+                    values:
+                      - eingangsadapter
+                      - xta-adapter
--- a/src/test/required-values.yaml
+++ b/src/test/required-values.yaml
@@ -46,4 +46,6 @@ oidc:
 networkPolicy:
  dnsServerNamespace: test-ns
  fachstellenProxyNamespace: proxy
-  zentralerEingangNamespace: zentraler-eingang
+
+zentralerEingang:
+  namespace: zentraler-eingang