certServiceK8sExternalProvider/src/cmpv2controller/certificate_request_controller.go

   1 /*
   2  * ============LICENSE_START=======================================================
   3  * oom-certservice-k8s-external-provider
   4  * ================================================================================
   5  * Copyright 2019 The cert-manager authors.
   6  * Modifications copyright (C) 2020 Nokia. All rights reserved.
   7  * ================================================================================
   8  * This source code was copied from the following git repository:
   9  * https://github.com/smallstep/step-issuer
  10  * The source code was modified for usage in the ONAP project.
  11  * ================================================================================
  12  * Licensed under the Apache License, Version 2.0 (the "License");
  13  * you may not use this file except in compliance with the License.
  14  * You may obtain a copy of the License at
  15  *
  16  *      http://www.apache.org/licenses/LICENSE-2.0
  17  *
  18  * Unless required by applicable law or agreed to in writing, software
  19  * distributed under the License is distributed on an "AS IS" BASIS,
  20  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  21  * See the License for the specific language governing permissions and
  22  * limitations under the License.
  23  * ============LICENSE_END=========================================================
  24  */
  25
  26 package cmpv2controller
  27
  28 import (
  29         "context"
  30         "fmt"
  31
  32         "github.com/go-logr/logr"
  33         apiutil "github.com/jetstack/cert-manager/pkg/api/util"
  34         cmapi "github.com/jetstack/cert-manager/pkg/apis/certmanager/v1"
  35         cmmeta "github.com/jetstack/cert-manager/pkg/apis/meta/v1"
  36         core "k8s.io/api/core/v1"
  37         apierrors "k8s.io/apimachinery/pkg/api/errors"
  38         "k8s.io/apimachinery/pkg/types"
  39         "k8s.io/client-go/tools/record"
  40         ctrl "sigs.k8s.io/controller-runtime"
  41         "sigs.k8s.io/controller-runtime/pkg/client"
  42
  43         "onap.org/oom-certservice/k8s-external-provider/src/cmpv2api"
  44         provisioners "onap.org/oom-certservice/k8s-external-provider/src/cmpv2provisioner"
  45 )
  46
  47 // CertificateRequestController reconciles a CMPv2Issuer object.
  48 type CertificateRequestController struct {
  49         client.Client
  50         Log      logr.Logger
  51         Recorder record.EventRecorder
  52 }
  53
  54 // Reconcile will read and validate a CMPv2Issuer resource associated to the
  55 // CertificateRequest resource, and it will sign the CertificateRequest with the
  56 // provisioner in the CMPv2Issuer.
  57 func (controller *CertificateRequestController) Reconcile(k8sRequest ctrl.Request) (ctrl.Result, error) {
  58         ctx := context.Background()
  59         log := controller.Log.WithValues("certificate-request-controller", k8sRequest.NamespacedName)
  60
  61         // 1. Fetch the CertificateRequest resource being reconciled.
  62         certificateRequest := new(cmapi.CertificateRequest)
  63         if err := controller.Client.Get(ctx, k8sRequest.NamespacedName, certificateRequest); err != nil {
  64                 err = handleErrorResourceNotFound(log, err)
  65                 return ctrl.Result{}, err
  66         }
  67
  68         // 2. Check if CertificateRequest is meant for CMPv2Issuer (if not ignore)
  69         if !isCMPv2CertificateRequest(certificateRequest) {
  70                 log.V(4).Info("Certificate request is not meant for CMPv2Issuer (ignoring)",
  71                         "group", certificateRequest.Spec.IssuerRef.Group,
  72                         "kind", certificateRequest.Spec.IssuerRef.Kind)
  73                 return ctrl.Result{}, nil
  74         }
  75
  76         // 3. If the certificate data is already set then we skip this request as it
  77         // has already been completed in the past.
  78         if len(certificateRequest.Status.Certificate) > 0 {
  79                 log.V(4).Info("Existing certificate data found in status, skipping already completed CertificateRequest")
  80                 return ctrl.Result{}, nil
  81         }
  82
  83         // 4. Fetch the CMPv2Issuer resource
  84         issuer := cmpv2api.CMPv2Issuer{}
  85         issuerNamespaceName := types.NamespacedName{
  86                 Namespace: k8sRequest.Namespace,
  87                 Name:      certificateRequest.Spec.IssuerRef.Name,
  88         }
  89         if err := controller.Client.Get(ctx, issuerNamespaceName, &issuer); err != nil {
  90                 controller.handleErrorGettingCMPv2Issuer(ctx, log, err, certificateRequest, issuerNamespaceName, k8sRequest)
  91                 return ctrl.Result{}, err
  92         }
  93
  94         // 5. Check if CMPv2Issuer is ready to sing certificates
  95         if !isCMPv2IssuerReady(issuer) {
  96                 err := controller.handleErrorCMPv2IssuerIsNotReady(ctx, log, issuerNamespaceName, certificateRequest, k8sRequest)
  97                 return ctrl.Result{}, err
  98         }
  99
 100         // 6. Load the provisioner that will sign the CertificateRequest
 101         provisioner, ok := provisioners.Load(issuerNamespaceName)
 102         if !ok {
 103                 err := controller.handleErrorCouldNotLoadCMPv2Provisioner(ctx, log, issuerNamespaceName, certificateRequest)
 104                 return ctrl.Result{}, err
 105         }
 106
 107         // 7. Sign CertificateRequest
 108         signedPEM, trustedCAs, err := provisioner.Sign(ctx, certificateRequest)
 109         if err != nil {
 110                 controller.handleErrorFailedToSignCertificate(ctx, log, err, certificateRequest)
 111                 return ctrl.Result{}, err
 112         }
 113
 114         // 8. Store signed certificates in CertificateRequest
 115         certificateRequest.Status.Certificate = signedPEM
 116         certificateRequest.Status.CA = trustedCAs
 117         if err := controller.updateCertificateRequestWithSignedCerficates(ctx, certificateRequest); err != nil {
 118                 return ctrl.Result{}, err
 119         }
 120
 121         return ctrl.Result{}, nil
 122 }
 123
 124 func (controller *CertificateRequestController) updateCertificateRequestWithSignedCerficates(ctx context.Context, certificateRequest *cmapi.CertificateRequest) error {
 125         return controller.setStatus(ctx, certificateRequest, cmmeta.ConditionTrue, cmapi.CertificateRequestReasonIssued, "Certificate issued")
 126 }
 127
 128 func (controller *CertificateRequestController) SetupWithManager(manager ctrl.Manager) error {
 129         return ctrl.NewControllerManagedBy(manager).
 130                 For(&cmapi.CertificateRequest{}).
 131                 Complete(controller)
 132 }
 133
 134 func (controller *CertificateRequestController) setStatus(ctx context.Context, certificateRequest *cmapi.CertificateRequest, status cmmeta.ConditionStatus, reason, message string, args ...interface{}) error {
 135         completeMessage := fmt.Sprintf(message, args...)
 136         apiutil.SetCertificateRequestCondition(certificateRequest, cmapi.CertificateRequestConditionReady, status, reason, completeMessage)
 137
 138         // Fire an Event to additionally inform users of the change
 139         eventType := core.EventTypeNormal
 140         if status == cmmeta.ConditionFalse {
 141                 eventType = core.EventTypeWarning
 142         }
 143         controller.Recorder.Event(certificateRequest, eventType, reason, completeMessage)
 144
 145         return controller.Client.Status().Update(ctx, certificateRequest)
 146 }
 147
 148 func isCMPv2IssuerReady(issuer cmpv2api.CMPv2Issuer) bool {
 149         condition := cmpv2api.CMPv2IssuerCondition{Type: cmpv2api.ConditionReady, Status: cmpv2api.ConditionTrue}
 150         return hasCondition(issuer, condition)
 151 }
 152
 153 func hasCondition(issuer cmpv2api.CMPv2Issuer, condition cmpv2api.CMPv2IssuerCondition) bool {
 154         existingConditions := issuer.Status.Conditions
 155         for _, cond := range existingConditions {
 156                 if condition.Type == cond.Type && condition.Status == cond.Status {
 157                         return true
 158                 }
 159         }
 160         return false
 161 }
 162
 163 func isCMPv2CertificateRequest(certificateRequest *cmapi.CertificateRequest) bool {
 164         return certificateRequest.Spec.IssuerRef.Group != "" &&
 165                 certificateRequest.Spec.IssuerRef.Group == cmpv2api.GroupVersion.Group &&
 166                 certificateRequest.Spec.IssuerRef.Kind == cmpv2api.CMPv2IssuerKind
 167
 168 }
 169
 170 // Error handling
 171
 172 func (controller *CertificateRequestController) handleErrorCouldNotLoadCMPv2Provisioner(ctx context.Context, log logr.Logger, issuerNamespaceName types.NamespacedName, certificateRequest *cmapi.CertificateRequest) error {
 173         err := fmt.Errorf("provisioner %s not found", issuerNamespaceName)
 174         log.Error(err, "Failed to load CMPv2 Provisioner resource")
 175         _ = controller.setStatus(ctx, certificateRequest, cmmeta.ConditionFalse, cmapi.CertificateRequestReasonPending, "Failed to load provisioner for CMPv2Issuer resource %s", issuerNamespaceName)
 176         return err
 177 }
 178
 179 func (controller *CertificateRequestController) handleErrorCMPv2IssuerIsNotReady(ctx context.Context, log logr.Logger, issuerNamespaceName types.NamespacedName, certificateRequest *cmapi.CertificateRequest, req ctrl.Request) error {
 180         err := fmt.Errorf("resource %s is not ready", issuerNamespaceName)
 181         log.Error(err, "CMPv2Issuer not ready", "namespace", req.Namespace, "name", certificateRequest.Spec.IssuerRef.Name)
 182         _ = controller.setStatus(ctx, certificateRequest, cmmeta.ConditionFalse, cmapi.CertificateRequestReasonPending, "CMPv2Issuer resource %s is not Ready", issuerNamespaceName)
 183         return err
 184 }
 185
 186 func (controller *CertificateRequestController) handleErrorGettingCMPv2Issuer(ctx context.Context, log logr.Logger, err error, certificateRequest *cmapi.CertificateRequest, issuerNamespaceName types.NamespacedName, req ctrl.Request) {
 187         log.Error(err, "Failed to retrieve CMPv2Issuer resource", "namespace", req.Namespace, "name", certificateRequest.Spec.IssuerRef.Name)
 188         _ = controller.setStatus(ctx, certificateRequest, cmmeta.ConditionFalse, cmapi.CertificateRequestReasonPending, "Failed to retrieve CMPv2Issuer resource %s: %v", issuerNamespaceName, err)
 189 }
 190
 191 func (controller *CertificateRequestController) handleErrorFailedToSignCertificate(ctx context.Context, log logr.Logger, err error, certificateRequest *cmapi.CertificateRequest) {
 192         log.Error(err, "Failed to sign certificate request")
 193         _ = controller.setStatus(ctx, certificateRequest, cmmeta.ConditionFalse, cmapi.CertificateRequestReasonFailed, "Failed to sign certificate request: %v", err)
 194 }
 195
 196 func handleErrorResourceNotFound(log logr.Logger, err error) error {
 197         if apierrors.IsNotFound(err) {
 198                 log.Error(err, "CertificateRequest resource not found")
 199         } else {
 200                 log.Error(err, "Failed to retrieve CertificateRequest resource")
 201         }
 202         return err
 203 }