Merge branch 'ozg-6354-zentraler-eingangmanager-networkpolicy' into 'main'

Ozg 6354 zentraler eingangmanager networkpolicy

See merge request !1

src/main/helm/zufi-server/templates/network_policy.yaml

@@ -73,6 +73,22 @@ spec:
     ports:
     - protocol: TCP
       port: 8081
+  {{- if (.Values.zentralerEingang).enabled }}
+  - from:
+    - namespaceSelector:
+        matchLabels:
+          kubernetes.io/metadata.name: {{ required "zentralerEingang.namespace must be set" .Values.zentralerEingang.namespace }}
+      podSelector:
+        matchExpressions:
+          - key: ozg-component
+            operator: In
+            values:
+              - eingangsadapter
+              - xta-adapter
+    ports:
+    - protocol: TCP
+      port: 9090
+  {{- end }}
 {{- with (.Values.networkPolicy).additionalIngressConfigLocal }}
 {{ toYaml . | indent 2 }}
 {{- end }}

src/main/helm/zufi-server/values.yaml

@@ -39,3 +39,7 @@ database:
   secretName: "ozg-mongodb-admin-zufi-manager-user"
   tls:
     secretName: "ozg-mongodb-tls-cert"
+
+zentralerEingang:
+  enabled: true
+  namespace:
\ No newline at end of file

src/test/helm/zufi-server/network_policy_test.yaml

@@ -32,6 +32,8 @@ templates:
 tests:
   - it: should match apiVersion
     set: 
+      zentralerEingang:
+        namespace: zentraler-eingang
       networkPolicy:
         dnsServerNamespace: test-ns
         fachstellenProxyNamespace: fachstellen-proxy
@@ -40,6 +42,8 @@ tests:
           of: networking.k8s.io/v1
   - it: should match kind
     set: 
+      zentralerEingang:
+        namespace: zentraler-eingang
       networkPolicy:
         dnsServerNamespace: test-ns
         fachstellenProxyNamespace: fachstellen-proxy
@@ -48,6 +52,8 @@ tests:
           of: NetworkPolicy
   - it: validate metadata
     set: 
+      zentralerEingang:
+        namespace: zentraler-eingang
       networkPolicy:
         dnsServerNamespace: test-ns
         fachstellenProxyNamespace: fachstellen-proxy
@@ -60,6 +66,8 @@ tests:
 
   - it: should generate spec
     set: 
+      zentralerEingang:
+        namespace: zentraler-eingang
       networkPolicy:
         dnsServerNamespace: test-ns
         fachstellenProxyNamespace: fachstellen-proxy
@@ -126,6 +134,20 @@ tests:
                 ports:
                   - protocol: TCP
                     port: 8081
+              - from:
+                - namespaceSelector:
+                    matchLabels:
+                      kubernetes.io/metadata.name: zentraler-eingang
+                  podSelector:
+                    matchExpressions:
+                      - key: ozg-component
+                        operator: In
+                        values:
+                          - eingangsadapter
+                          - xta-adapter
+                ports:
+                - protocol: TCP
+                  port: 9090
             podSelector:
               matchLabels:
                 component: zufi-server
@@ -135,6 +157,8 @@ tests:
 
   - it: should set monitoring namespace
     set:
+      zentralerEingang:
+        namespace: zentraler-eingang
       networkPolicy:
         dnsServerNamespace: test-ns
         fachstellenProxyNamespace: fachstellen-proxy
@@ -153,6 +177,8 @@ tests:
 
   - it: add ingress rule by values local
     set:
+      zentralerEingang:
+        namespace: zentraler-eingang
       networkPolicy:
         dnsServerNamespace: test-ns
         fachstellenProxyNamespace: fachstellen-proxy
@@ -171,6 +197,8 @@ tests:
                     component: client2
   - it: add ingress rule by values global
     set:
+      zentralerEingang:
+        namespace: zentraler-eingang
       networkPolicy:
         dnsServerNamespace: test-ns
         fachstellenProxyNamespace: fachstellen-proxy
@@ -190,6 +218,8 @@ tests:
 
   - it: add egress rules by values local
     set:
+      zentralerEingang:
+        namespace: zentraler-eingang
       networkPolicy:
         dnsServerNamespace: test-ns
         fachstellenProxyNamespace: fachstellen-proxy
@@ -206,6 +236,8 @@ tests:
                   cidr: 1.2.3.4/32
   - it: add egress rules by values Global
     set:
+      zentralerEingang:
+        namespace: zentraler-eingang
       networkPolicy:
         dnsServerNamespace: test-ns
         fachstellenProxyNamespace: fachstellen-proxy
@@ -230,6 +262,8 @@ tests:
           count: 0
   - it: test by default network policy enabled
     set: 
+      zentralerEingang:
+        namespace: zentraler-eingang
       networkPolicy:
         dnsServerNamespace: test-ns
         fachstellenProxyNamespace: fachstellen-proxy
@@ -239,6 +273,8 @@ tests:
 
   - it: test network policy set as enabled
     set:
+      zentralerEingang:
+        namespace: zentraler-eingang
       networkPolicy:
         disabled: false
         dnsServerNamespace: test-dns-namespace
@@ -249,6 +285,8 @@ tests:
 
   - it: test dnsServerNamespace must be set message
     set:
+      zentralerEingang:
+        namespace: zentraler-eingang
       networkPolicy:
         disabled: false
         fachstellenProxyNamespace: fachstellen-proxy
@@ -257,9 +295,45 @@ tests:
           errorMessage: networkPolicy.dnsServerNamespace must be set
   - it: test fachstellen-proxy namespace must be set message
     set:
+      zentralerEingang:
+        namespace: zentraler-eingang
       networkPolicy:
         disabled: false
         dnsServerNamespace: test-dns-namespace
     asserts:
       - failedTemplate:
           errorMessage: networkPolicy.fachstellenProxyNamespace must be set
+
+  - it: test zentralerEingang.namespace must be set message
+    set:
+      networkPolicy:
+        dnsServerNamespace: test-dns-namespace
+        fachstellenProxyNamespace: fachstellen-proxy
+    asserts:
+      - failedTemplate:
+          errorMessage: zentralerEingang.namespace must be set
+
+  - it: test disable zentralerEingang network policy
+    set:
+      zentralerEingang:
+        enabled: false
+        namespace: zentraler-eingang
+      networkPolicy:
+        dnsServerNamespace: test-dns-namespace
+        fachstellenProxyNamespace: fachstellen-proxy
+    asserts:
+      - notContains:
+          any: true
+          path: spec.ingress
+          content:
+            from:
+            - namespaceSelector:
+                matchLabels:
+                  kubernetes.io/metadata.name: zentraler-eingang
+              podSelector:
+                matchExpressions:
+                  - key: ozg-component
+                    operator: In
+                    values:
+                      - eingangsadapter
+                      - xta-adapter

src/test/required-values.yaml

@@ -47,3 +47,5 @@ networkPolicy:
   dnsServerNamespace: test-ns
   fachstellenProxyNamespace: proxy
 
+zentralerEingang:
+  namespace: zentraler-eingang