certServiceK8sExternalProvider/src/cmpv2controller/cmpv2_issuer_controller.go

   1 /*
   2  * ============LICENSE_START=======================================================
   3  * oom-certservice-k8s-external-provider
   4  * ================================================================================
   5  * Copyright (c) 2019 Smallstep Labs, Inc.
   6  * Modifications copyright (C) 2020 Nokia. All rights reserved.
   7  * ================================================================================
   8  * This source code was copied from the following git repository:
   9  * https://github.com/smallstep/step-issuer
  10  * The source code was modified for usage in the ONAP project.
  11  * ================================================================================
  12  * Licensed under the Apache License, Version 2.0 (the "License");
  13  * you may not use this file except in compliance with the License.
  14  * You may obtain a copy of the License at
  15  *
  16  *      http://www.apache.org/licenses/LICENSE-2.0
  17  *
  18  * Unless required by applicable law or agreed to in writing, software
  19  * distributed under the License is distributed on an "AS IS" BASIS,
  20  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  21  * See the License for the specific language governing permissions and
  22  * limitations under the License.
  23  * ============LICENSE_END=========================================================
  24  */
  25
  26 package cmpv2controller
  27
  28 import (
  29         "context"
  30         "fmt"
  31
  32         core "k8s.io/api/core/v1"
  33         apierrors "k8s.io/apimachinery/pkg/api/errors"
  34         "k8s.io/apimachinery/pkg/runtime"
  35         "k8s.io/apimachinery/pkg/types"
  36         "k8s.io/client-go/tools/record"
  37         "k8s.io/utils/clock"
  38         ctrl "sigs.k8s.io/controller-runtime"
  39         "sigs.k8s.io/controller-runtime/pkg/client"
  40
  41         "onap.org/oom-certservice/k8s-external-provider/src/cmpv2api"
  42         "onap.org/oom-certservice/k8s-external-provider/src/cmpv2controller/updater"
  43         provisioners "onap.org/oom-certservice/k8s-external-provider/src/cmpv2provisioner"
  44         "onap.org/oom-certservice/k8s-external-provider/src/leveledlogger"
  45 )
  46
  47 // CMPv2IssuerController reconciles a CMPv2Issuer object
  48 type CMPv2IssuerController struct {
  49         Client             client.Client
  50         Log                leveledlogger.Logger
  51         Clock              clock.Clock
  52         Recorder           record.EventRecorder
  53         ProvisionerFactory provisioners.ProvisionerFactory
  54 }
  55
  56 // Reconcile will read and validate the CMPv2Issuer resources, it will set the
  57 // status condition ready to true if everything is right.
  58 func (controller *CMPv2IssuerController) Reconcile(req ctrl.Request) (ctrl.Result, error) {
  59         ctx := context.Background()
  60         log := leveledlogger.GetLoggerWithValues("cmpv2-issuer-controller", req.NamespacedName)
  61
  62         // 1. Load CMPv2Issuer
  63         issuer := new(cmpv2api.CMPv2Issuer)
  64         if err := controller.loadResource(ctx, req.NamespacedName, issuer); err != nil {
  65                 handleErrorLoadingCMPv2Issuer(log, err)
  66                 return ctrl.Result{}, client.IgnoreNotFound(err)
  67         }
  68         log.Info("CMPv2Issuer loaded: ", "issuer", issuer)
  69
  70         // 2. Validate CMPv2Issuer
  71         statusUpdater := updater.NewCMPv2IssuerStatusUpdater(controller.Client, controller.Recorder, issuer, controller.Clock, log)
  72         if err := validateCMPv2IssuerSpec(issuer.Spec); err != nil {
  73                 handleErrorCMPv2IssuerValidation(ctx, log, err, statusUpdater)
  74                 return ctrl.Result{}, err
  75         }
  76
  77         // 3. Load keystore and truststore information form k8s secret
  78         var secret core.Secret
  79         secretNamespaceName := types.NamespacedName{
  80                 Namespace: req.Namespace,
  81                 Name:      issuer.Spec.CertSecretRef.Name,
  82         }
  83         if err := controller.loadResource(ctx, secretNamespaceName, &secret); err != nil {
  84                 handleErrorInvalidSecret(ctx, log, err, statusUpdater, secretNamespaceName)
  85                 return ctrl.Result{}, err
  86         }
  87
  88         // 4. Create CMPv2 provisioner
  89         provisioner, err := controller.ProvisionerFactory.CreateProvisioner(issuer, secret)
  90         if err != nil {
  91                 log.Error(err, "failed to initialize provisioner")
  92                 statusUpdater.UpdateNoError(ctx, cmpv2api.ConditionFalse, "Error", "Failed to initialize provisioner: %v", err)
  93                 handleErrorProvisionerInitialization(ctx, log, err, statusUpdater)
  94                 return ctrl.Result{}, err
  95         }
  96
  97         // 5. Check health of the provisioner and store the instance for further use
  98         if err := provisioner.CheckHealth(); err != nil {
  99                 return ctrl.Result{}, err
 100         }
 101         provisioners.Store(req.NamespacedName, provisioner)
 102
 103         // 6. Update the status of CMPv2Issuer to 'Validated'
 104         if err := updateCMPv2IssuerStatusToVerified(statusUpdater, ctx, log); err != nil {
 105                 handleErrorUpdatingCMPv2IssuerStatus(log, err)
 106                 return ctrl.Result{}, err
 107         }
 108
 109         return ctrl.Result{}, nil
 110 }
 111
 112 func (controller *CMPv2IssuerController) SetupWithManager(manager ctrl.Manager) error {
 113         return ctrl.NewControllerManagedBy(manager).
 114                 For(&cmpv2api.CMPv2Issuer{}).
 115                 Complete(controller)
 116 }
 117
 118 func (controller *CMPv2IssuerController) loadResource(ctx context.Context, key client.ObjectKey, obj runtime.Object) error {
 119         return controller.Client.Get(ctx, key, obj)
 120 }
 121
 122 func validateCMPv2IssuerSpec(issuerSpec cmpv2api.CMPv2IssuerSpec) error {
 123         switch {
 124         case issuerSpec.URL == "":
 125                 return fmt.Errorf("spec.url cannot be empty")
 126         case issuerSpec.CaName == "":
 127                 return fmt.Errorf("spec.caName cannot be empty")
 128         case issuerSpec.CertSecretRef.Name == "":
 129                 return fmt.Errorf("spec.certSecretRef.name cannot be empty")
 130         case issuerSpec.CertSecretRef.KeyRef == "":
 131                 return fmt.Errorf("spec.certSecretRef.keyRef cannot be empty")
 132         case issuerSpec.CertSecretRef.CertRef == "":
 133                 return fmt.Errorf("spec.certSecretRef.certRef cannot be empty")
 134         case issuerSpec.CertSecretRef.CacertRef == "":
 135                 return fmt.Errorf("spec.certSecretRef.cacertRef cannot be empty")
 136         default:
 137                 return nil
 138         }
 139 }
 140
 141 func updateCMPv2IssuerStatusToVerified(statusUpdater *updater.CMPv2IssuerStatusUpdater, ctx context.Context, log leveledlogger.Logger) error {
 142         log.Info("CMPv2 provisioner created -> updating status to of CMPv2Issuer resource to: Verified")
 143         return statusUpdater.Update(ctx, cmpv2api.ConditionTrue, updater.Verified, "CMPv2Issuer verified and ready to sign certificates")
 144 }
 145
 146 // Error handling
 147
 148 func handleErrorUpdatingCMPv2IssuerStatus(log leveledlogger.Logger, err error) {
 149         log.Error(err, "Failed to update CMPv2Issuer status")
 150 }
 151
 152 func handleErrorLoadingCMPv2Issuer(log leveledlogger.Logger, err error) {
 153         log.Error(err, "Failed to retrieve CMPv2Issuer resource")
 154 }
 155
 156 func handleErrorProvisionerInitialization(ctx context.Context, log leveledlogger.Logger, err error, statusUpdater *updater.CMPv2IssuerStatusUpdater) {
 157         log.Error(err, "Failed to initialize provisioner")
 158         statusUpdater.UpdateNoError(ctx, cmpv2api.ConditionFalse, updater.Error, "Failed to initialize provisioner: %v", err)
 159 }
 160
 161 func handleErrorCMPv2IssuerValidation(ctx context.Context, log leveledlogger.Logger, err error, statusUpdater *updater.CMPv2IssuerStatusUpdater) {
 162         log.Error(err, "Failed to validate CMPv2Issuer resource")
 163         statusUpdater.UpdateNoError(ctx, cmpv2api.ConditionFalse, updater.ValidationFailed, "Failed to validate resource: %v", err)
 164 }
 165
 166 func handleErrorInvalidSecret(ctx context.Context, log leveledlogger.Logger, err error, statusUpdater *updater.CMPv2IssuerStatusUpdater, secretNamespaceName types.NamespacedName) {
 167         log.Error(err, "Failed to retrieve CMPv2Issuer provisioner secret", "namespace", secretNamespaceName.Namespace, "name", secretNamespaceName.Name)
 168         if apierrors.IsNotFound(err) {
 169                 statusUpdater.UpdateNoError(ctx, cmpv2api.ConditionFalse, updater.NotFound, "Failed to retrieve provisioner secret: %v", err)
 170         } else {
 171                 statusUpdater.UpdateNoError(ctx, cmpv2api.ConditionFalse, updater.Error, "Failed to retrieve provisioner secret: %v", err)
 172         }
 173 }