FR-Solution · irbgeo · Jun 10, 2022 · Jun 13, 2022 · Jun 14, 2022 · Jun 14, 2022
diff --git a/.github/workflows/release.yml b/.github/workflows/release.yml
@@ -0,0 +1,51 @@
+name: release
+on:
+  push:
+    tags:
+      - "*"
+jobs:
+  publish:
+    name: release
+    runs-on: ubuntu-20.04
+    permissions:
+      contents: write
+    steps:
+      - uses: actions/setup-go@v2
+        with:
+          go-version: '1.19'
+
+      - name: Set env
+        shell: bash
+        run: |
+          echo "GOPATH=${{ github.workspace }}" >> $GITHUB_ENV
+          echo "${{ github.workspace }}/bin" >> $GITHUB_PATH
+
+      - uses: actions/cache@v2
+        with:
+          path: |
+            ~/go/pkg/mod
+            ~/.cache/go-build
+          key: go-release-${{ hashFiles('**/go.sum') }}
+          restore-keys: go-release-
+
+      - uses: actions/checkout@v2
+        with:
+          fetch-depth: 0
+          path: src/github.com/fraima/key-keeper
+
+      - run: |
+          make release
+        env:
+          GITHUB_TOKEN: ${{ secrets.GH_TOKEN }}
+        working-directory: src/github.com/fraima/key-keeper
+
+      - uses: ncipollo/release-action@v1
+        with:
+          allowUpdates: true
+          artifacts: src/github.com/fraima/key-keeper/_output/releases/*
+          bodyFile: src/github.com/fraima/key-keeper/release-notes.md
+
+      - uses: actions/upload-artifact@v2
+        with:
+          name: build-artifacts
+          path: src/github.com/fraima/key-keeper/_output
diff --git a/.gitignore b/.gitignore
@@ -1,15 +1,6 @@
-# Binaries for programs and plugins
-*.exe
-*.exe~
-*.dll
-*.so
-*.dylib
-
-# Test binary, built with `go test -c`
-*.test
-
-# Output of the go coverage tool, specifically when used with LiteIDE
-*.out
-
-# Dependency directories (remove the comment below to include it)
-# vendor/
+test/
+key-keeper
+role_id
+secret_id
+test.yaml
+src/_output/*
diff --git a/Dockerfile b/Dockerfile
@@ -0,0 +1,23 @@
+FROM golang:1.19.1-alpine3.16 as builder
+
+WORKDIR /app
+
+COPY go.mod .
+COPY go.sum .
+RUN go mod download
+COPY . .
+
+ARG VERSION
+ARG PROJECT
+
+RUN go install -ldflags "-s \
+    -X main.Version=${VERSION}" \
+    /app/cmd/${PROJECT}
+
+FROM alpine:3.16.0
+
+ARG PROJECT
+
+COPY --from=builder /go/bin/${PROJECT} /usr/local/bin/app
+
+ENTRYPOINT ["app"]
diff --git a/Makefile b/Makefile
@@ -0,0 +1,24 @@
+#change for new project
+project = key-keeper
+#change for new release
+release = v1.0.0
+
+tag = $(DOCKER_USER)/$(project):$(release)
+pwd = $(shell pwd)
+module = $(shell go list -m)
+
+build-and-push:
+	docker build -t $(tag) --build-arg VERSION=$(release) --build-arg PROJECT=$(project) -f Dockerfile .
+	docker image push $(tag)
+	echo $(tag)
+
+formatting:
+	go fmt ./...
+	go install github.com/daixiang0/gci@latest	
+	gci write --skip-generated -s standard -s default -s "prefix($(module))" .
+
+linter:
+	docker run --rm -v $(pwd):/app -w /app golangci/golangci-lint:v1.49.0 golangci-lint run -v
+
+release:
+	sh hack/release.sh
diff --git a/README.md b/README.md
@@ -1 +1,184 @@
-# key-keeper
+# key-keeper
+
+инструмент для linux хостов, позволяющий заказывать в Vault хранилище сертификаты и секреты и следить за их актуальностью.
+
+## Build & Push image
+
+Поменять версию релиза в .release и выполнить:
+
+```bash
+make build-and-push DOCKER_USER=geoirb
+```
+
+## Build bin
+
+```bash
+go build -o key-keeper cmd/key-keeper/main.go
+```
+
+## Run bin
+
+```bash
+key-keeper -config-dir /path/to/config-dir -config-regexp .*.conf
+```
+
+> config-dir - путь до каталога с конфигами
+>
+> config-regexp - регуляроное выражения для имени файлов которые содержат конфиги для key-keeper
+
+## Описание структуры конфигов:
+
+#### ISSUERS:
+
+| ключ                                    | тип    | описание                                                                |
+| --------------------------------------- | ------ | ----------------------------------------------------------------------- |
+| **`issuers `**                          | list   | список инструкций подключений                                           |
+| `.name`                                 | string | имя инструкции                                                          |
+| `.vault.server`                         | string | адрес Vault server                                                      |
+| `.vault.auth.caBundle`                  | object | ca bundle для tls                                                       |
+| `.vault.auth.tlsInsecure`               | bool   | отключение проверки tls                                                 |
+| `.vault.auth.bootstrap`                 | object | описание метода авторизации для получения secret_id_role_id             |
+| `.vault.auth.bootstrap.tokenPath`       | string | временный токен Vault                                                   |
+| `.vault.auth.bootstrap.file`            | string | путь к временномсу токену Vault                                         |
+| `.vault.auth.appRole`                   | object | описание авторизации по approle                                         |
+| `.vault.auth.appRole.name`              | string | имя approle                                                             |
+| `.vault.auth.appRole.path`              | string | базовый путь approle в Vault                                            |
+| `.vault.auth.appRole.roleIDLocalPath`   | string | локальный путь, где будет искать role_id для авторизации                |
+| `.vault.auth.appRole.secretIDLocalPath` | string | локальный путь, где будет искать secret_id для авторизации              |
+| `.vault.resource`                       | object | инструция доступа к vault роли для выпуска сертификата                  |
+| `.vault.resource.role`                  | string | имя роли через которую будет выпускаться сертификат                     |
+| `.vault.resource.CAPath `               | string | базовый путь PKI хранилища, где прописана роль                          |
+| `.vault.resource.rootCAPath`            | string | базовый путь PKI root хранилища от кого будет выписываться intermediate |
+| `.vault.resource.kv`                    | object | описание доступа в Vault к Key Value стореджу                           |
+| `.vault.resource.kv.path`               | string | путь в Vault до Key Value стореджа                                      |
+| `.vault.timeout `                       | string | максимальное время ответа сервера Vault                                 |
+
+```yaml
+---
+issuers:
+  - name: kubernetes-ca
+    vault:
+      server: http://example.com:9200
+      auth:
+        caBundle:
+        tlsInsecure: true
+        bootstrap:
+          token: ${token} # <- или
+          path: /tmp/bootstrap-token # <- или
+        appRole:
+          name: kubernetes-ca
+          path: "clusters/cluster-1/approle"
+          secretIDLocalPath: /var/lib/key-keeper/vault/kubernetes-ca/secret-id
+          roleIDLocalPath: /var/lib/key-keeper/vault/kubernetes-ca/role-id
+      resource:
+        role: kubelet-server
+        CAPath: "clusters/cluster-1/pki/kubernetes"
+        rootCAPath: "clusters/cluster-1/pki/root"
+        kv:
+          path: "clusters/cluster-1/kv"
+```
+
+#### CERTIFICATES:
+
+| ключ                               | тип     | описание                                                                                  |
+| ---------------------------------- | ------- | ----------------------------------------------------------------------------------------- |
+| **`certificates `**                | list    | список инструкций заказа сертификатов из Vault                                            |
+| `.name`                            | string  | имя инструкции                                                                            |
+| `.issuerRef`                       | object  | ссылка на инструкцию issuer через которую произведется авторизация                        |
+| `.issuerRef.name`                  | string  | имя инструкции issuer                                                                     |
+| `.isCa`                            | bool    | указатель, что заказывается сертификат типа CA                                            |
+| `.ca`                              | object  | описание расширения для заказа CA                                                         |
+| `.ca.exportedKey`                  | bool    | инструкция - запрашивать приватный ключ или нет (требуется pki типа external)             |
+| `.ca.generate`                     | bool    | создаст intermediate или запросит существующий (требуются права на создание intermediate) |
+| `.spec`                            | object  | поля для генерации сертификата                                                            |
+| `.spec.subject`                    | object  | Описывает принадлежность сертификата к...                                                 |
+| `.spec.subject.commonName`         | string  | \*                                                                                        |
+| `.spec.subject.country`            | list    | \*                                                                                        |
+| `.spec.subject.localite`           | list    | \*                                                                                        |
+| `.spec.subject.organization`       | list    | \*                                                                                        |
+| `.spec.subject.organizationalUnit` | list    | \*                                                                                        |
+| `.spec.subject.province`           | list    | \*                                                                                        |
+| `.spec.subject.postalCode`         | list    | \*                                                                                        |
+| `.spec.subject.streetAddress`      | list    | \*                                                                                        |
+| `.spec.subject.serialNumber`       | string  | \*                                                                                        |
+| `.spec.privateKey`                 | object  | Описание алгоритма для приватного ключа                                                   |
+| `.spec.privateKey.algorithm`       | string  | Алгоритм                                                                                  |
+| `.spec.privateKey.encoding`        | string  | Метод формирования                                                                        |
+| `.spec.privateKey.size`            | integer | 2048 / 4096                                                                               |
+| `.spec.hostnames`                  | list    | список имен для блока alternative names                                                   |
+| `.spec.ipAddresses`                | object  | описывает какие ip адреса попадут в ipSans                                                |
+| `.spec.ipAddresses.static`         | list    | список статичных ip адресов который попадет в ipSans                                      |
+| `.spec.ipAddresses.interfaces`     | list    | список ip адресов, взятый с интерфейсов хоста, попадет в ipSans                           |
+| `.spec.ipAddresses.dnsLookup`      | list    | список ip адресов, взятый из функции dnslookup статичной A записи, попадет в ipSans       |
+| `.spec.ttl`                        | string  | срок на который заказывается сертификат                                                   |
+| `.spec.usage`                      | list    | [Key usage extensions and extended key usage](https://pkg.go.dev/crypto/x509#KeyUsage)    |
+| `.hostPath`                        | string  | путь в локальной файловой системе, где будет сохранен сертификат                          |
+| `.withUpdate`                      | bool    | данный параметр создаст сертификат без последующего перевыпуска                           |
+| `.updateBefore`                    | string  | время до истечения сертификата - при достижении сертификат перевыпустится                 |
+| `.trigger`                         | list    | список баш команд, которые выполнятся после обновления сертификата                        |
+
+```yaml
+certificates:
+  - name: kubernetes-ca
+    issuerRef:
+      name: kubernetes-ca
+    isCa: true
+    ca:
+      exportedKey: false
+      generate: false
+    hostPath: "/etc/kubernetes/pki/ca"
+
+  - name: kubelet-server
+    issuerRef:
+      name: kubelet-server
+    spec:
+      subject:
+        commonName: "system:node:master-0.cluster-1.example.com"
+      usage:
+        - server auth
+      privateKey:
+        algorithm: "RSA"
+        encoding: "PKCS1"
+        size: 4096
+      ipAddresses:
+        static:
+          - 1.1.1.1
+        ###
+        # * -> Позволяет указывать регексп интерфейсов (на выходе получаем список)
+        interfaces:
+          - lo
+          - eth*
+        ###
+        # * -> В цикле будет пытаться отрезолвить имя, без выходного значения, сертификат не будет заказан.
+        dnsLookup:
+          - api.example.com
+      ttl: 200h
+      ###
+      # * -> Указав $HOSTNAME - hostname хоста добавится в поле AltNames сертификата.
+      hostnames:
+        - $HOSTNAME
+        - localhost
+        - "master-0.cluster-1.example.com"
+    renewBefore: 100h
+    hostPath: "/etc/kubernetes/pki/certs/kubelet"
+```
+
+#### SECRETS:
+
+| ключ              | тип    | описание                                                           |
+| ----------------- | ------ | ------------------------------------------------------------------ |
+| **`secrets `**    | list   | список инструкций заказа секрета из Vault                          |
+| `.name`           | string | имя инструкции и одновременно имя секрета в Vault                  |
+| `.issuerRef`      | object | ссылка на инструкцию issuer через которую произведется авторизация |
+| `.issuerRef.name` | string | имя инструкции issuer                                              |
+| `.key`            | string | ключ в объекта секрета                                             |
+| `.hostPath`       | string | путь в локальной файловой системе, где будет сохранен секрет       |
+
+```yaml
+secrets:
+  - name: kube-apiserver-sa
+    issuerRef:
+      name: kube-apiserver-sa
+    key: public
+    hostPath: /etc/kubernetes/pki/certs/kube-apiserver/kube-apiserver-sa.pub
+```
diff --git a/cmd/key-keeper/main.go b/cmd/key-keeper/main.go
@@ -0,0 +1,68 @@
+package main
+
+import (
+	"flag"
+	"os"
+	"os/signal"
+	"syscall"
+
+	"go.uber.org/zap"
+
+	"github.com/fraima/key-keeper/internal/config"
+	"github.com/fraima/key-keeper/internal/controller"
+	"github.com/fraima/key-keeper/internal/issuer/vault"
+	"github.com/fraima/key-keeper/internal/issuer/vault/client"
+)
+
+var (
+	Version = "undefined"
+)
+
+func main() {
+	loggerConfig := zap.NewProductionConfig()
+	loggerConfig.Level.SetLevel(zap.DebugLevel)
+	logger, err := loggerConfig.Build()
+	if err != nil {
+		panic(err)
+	}
+	zap.ReplaceGlobals(logger)
+
+	var configDir, configNameLayout string
+	flag.StringVar(&configDir, "config-dir", "", "path to dir with configs")
+	flag.StringVar(&configNameLayout, "config-regexp", "", "regexp for config files names")
+	flag.Parse()
+
+	if configDir == "" {
+		zap.L().Fatal("not found config path param")
+	}
+
+	if configNameLayout == "" {
+		zap.L().Fatal("not found regexp for config file's name")
+	}
+
+	cfg, err := config.New(configDir, configNameLayout)
+	if err != nil {
+		zap.L().Fatal("read configuration", zap.Error(err))
+	}
+
+	zap.L().Debug("configuration", zap.Any("config", cfg), zap.String("version", Version))
+
+	cntl := controller.New(
+		cfg.GetNewConfig,
+		vault.Connector(
+			client.Connect,
+		),
+	)
+
+	if err := cntl.Start(); err != nil {
+		zap.L().Fatal("start controller", zap.Error(err))
+	}
+
+	zap.L().Info("started")
+
+	ch := make(chan os.Signal, 1)
+	signal.Notify(ch, syscall.SIGINT, syscall.SIGTERM)
+	<-ch
+
+	zap.L().Info("goodbye")
+}