edgeguard-native

projekte/edgeguard-native

Fork 0

Commit Graph

Author	SHA1	Message	Date
Debian	f0589e5628	feat(deploy): (d) end-to-end .deb install on 89.163.205.6 grün Box (Debian 13 Trixie, amd64): apt install ./edgeguard-{api,ui,meta}.deb zieht postgresql-17, haproxy 3.0, certbot, openssl, etc. nach. postinst flow läuft sauber: migrate check → initdb → migrate up (8 migrations) → render-config → install HAProxy drop-in → restart haproxy → enable api+scheduler. Self-register in ha_nodes nach Setup-Wizard funktioniert. End-to-end smoke gegen 89.163.205.6: * :80 → 301 Moved Permanently → https:// * :443 → TLS termination (self-signed _default.pem aus postinst) → JSON envelope vom api_backend (HTTP/2 + HSTS) * / → React index.html aus /usr/share/edgeguard/ui/ Änderungen: * control: keydb-server von Depends nach Recommends — single-node v1 installiert ohne KeyDB. Phase-3.1 multi-node bringt es zurück nach Depends sobald ein eigenes APT-Repo das Paket bereitstellt. * postinst: render-config (--no-reload) + HAProxy-Drop-in installen + systemctl restart haproxy als zusätzliche Schritte. * postrm: drop-in auf remove + purge entfernen, daemon-reload, ggf. haproxy auf distro-default zurückreloaden. * deploy/systemd/haproxy-edgeguard.conf: Drop-in lenkt HAProxy-Unit auf /etc/edgeguard/haproxy/haproxy.cfg statt /etc/haproxy/haproxy.cfg. After=edgeguard-api.service vermeidet 503-Race in den ersten 5s. * scripts/apt-repo/build-package.sh: shippt Drop-in unter /etc/edgeguard/systemd/haproxy-edgeguard.conf in der edgeguard-api.deb. * haproxy.cfg.tpl: http-request redirect vor use_backend → keine HAProxy-Warning beim Parsen mehr. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>	2026-05-09 14:02:14 +02:00
Debian	914538eed1	feat(configgen): Phase 2 Config-Generator + nginx → HAProxy-only Pivot Architektur-Pivot: nginx fällt komplett weg. HAProxy 2.8+ übernimmt TLS-Termination, L7-Routing per Host-Header und LB. ACME-Webroot und Management-UI werden von edgeguard-api ausgeliefert (Phase 3 implementiert die zugehörigen Handler); HAProxy proxied /.well-known/acme-challenge/* und Management-FQDN-Traffic an 127.0.0.1:9443. Eine Distro-Abhängigkeit weniger, ein Renderer weniger, sauberere Trennung. Renderer (alle mit Embed-Templates + Tests): * internal/configgen/ — atomic write + systemctl reload helpers * internal/haproxy/ — :80 + :443, ACME-ACL, Host-Header-Routing, Stats-Frontend, api_backend Fallback * internal/firewall/ — default-deny input, stateful baseline, SSH-Rate-Limit, :80/:443 accept, Cluster-Peer-Set für mTLS :8443, Custom-Rules aus PG * internal/{squid,wireguard,unbound}/ — Stubs (ErrNotImplemented) Orchestrator + CLI: * internal/services/configorch/ — fester Reihenfolge-Run, Stubs sind soft-skip statt fatal * cmd/edgeguard-ctl render-config [--no-reload] [--only=svc1,svc2] Packaging: * postinst: /etc/edgeguard/nginx raus, /var/lib/edgeguard/acme rein, self-signed _default.pem via openssl req (damit HAProxy startet bevor certbot etwas issuet hat) * control: Depends nginx raus, openssl rein * edgeguard-ui: dependency auf nginx weg, "Served by edgeguard-api gin StaticFS" Live-Smoke: render-config gegen lokale PG schreibt /etc/edgeguard/ haproxy/haproxy.cfg + nftables.d/ruleset.nft korrekt; CRUD-Test aus Phase 2 läuft weiter unverändert. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>	2026-05-09 10:59:52 +02:00
Felix Netzel	0ceab4c814	chore: initial skeleton - docs/architecture.md: native rewrite plan (5 services + control plane, Active-Active cluster like nmg, Floating-IP for HTTP ingress) - cmd/edgeguard-{api,scheduler,ctl}: minimal Gin + CLI stubs - packaging/debian/edgeguard-{api,ui,meta}: control + maintainer scripts - deploy/systemd/edgeguard-api.service + edgeguard-scheduler.service with hardening defaults - Makefile: build / cross-compile (amd64+arm64) / deb / publish targets - scripts/install.sh + scripts/apt-repo/build-package.sh stubs	2026-05-08 18:45:41 +02:00

Author

SHA1

Message

Date

Debian

f0589e5628

feat(deploy): (d) end-to-end .deb install on 89.163.205.6 grün

Box (Debian 13 Trixie, amd64): apt install ./edgeguard-{api,ui,meta}.deb
zieht postgresql-17, haproxy 3.0, certbot, openssl, etc. nach.
postinst flow läuft sauber: migrate check → initdb → migrate up
(8 migrations) → render-config → install HAProxy drop-in → restart
haproxy → enable api+scheduler. Self-register in ha_nodes nach
Setup-Wizard funktioniert.

End-to-end smoke gegen 89.163.205.6:
* :80  → 301 Moved Permanently → https://
* :443 → TLS termination (self-signed _default.pem aus postinst)
        → JSON envelope vom api_backend (HTTP/2 + HSTS)
* /    → React index.html aus /usr/share/edgeguard/ui/

Änderungen:
* control: keydb-server von Depends nach Recommends — single-node v1
  installiert ohne KeyDB. Phase-3.1 multi-node bringt es zurück nach
  Depends sobald ein eigenes APT-Repo das Paket bereitstellt.
* postinst: render-config (--no-reload) + HAProxy-Drop-in installen +
  systemctl restart haproxy als zusätzliche Schritte.
* postrm: drop-in auf remove + purge entfernen, daemon-reload, ggf.
  haproxy auf distro-default zurückreloaden.
* deploy/systemd/haproxy-edgeguard.conf: Drop-in lenkt HAProxy-Unit
  auf /etc/edgeguard/haproxy/haproxy.cfg statt /etc/haproxy/haproxy.cfg.
  After=edgeguard-api.service vermeidet 503-Race in den ersten 5s.
* scripts/apt-repo/build-package.sh: shippt Drop-in unter
  /etc/edgeguard/systemd/haproxy-edgeguard.conf in der edgeguard-api.deb.
* haproxy.cfg.tpl: http-request redirect vor use_backend → keine
  HAProxy-Warning beim Parsen mehr.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-05-09 14:02:14 +02:00

Debian

914538eed1

feat(configgen): Phase 2 Config-Generator + nginx → HAProxy-only Pivot

Architektur-Pivot: nginx fällt komplett weg. HAProxy 2.8+ übernimmt
TLS-Termination, L7-Routing per Host-Header und LB. ACME-Webroot
und Management-UI werden von edgeguard-api ausgeliefert (Phase 3
implementiert die zugehörigen Handler); HAProxy proxied
/.well-known/acme-challenge/* und Management-FQDN-Traffic an
127.0.0.1:9443. Eine Distro-Abhängigkeit weniger, ein Renderer
weniger, sauberere Trennung.

Renderer (alle mit Embed-Templates + Tests):
* internal/configgen/  — atomic write + systemctl reload helpers
* internal/haproxy/    — :80 + :443, ACME-ACL, Host-Header-Routing,
                         Stats-Frontend, api_backend Fallback
* internal/firewall/   — default-deny input, stateful baseline,
                         SSH-Rate-Limit, :80/:443 accept,
                         Cluster-Peer-Set für mTLS :8443,
                         Custom-Rules aus PG
* internal/{squid,wireguard,unbound}/ — Stubs (ErrNotImplemented)

Orchestrator + CLI:
* internal/services/configorch/  — fester Reihenfolge-Run, Stubs
                                   sind soft-skip statt fatal
* cmd/edgeguard-ctl render-config [--no-reload] [--only=svc1,svc2]

Packaging:
* postinst: /etc/edgeguard/nginx raus, /var/lib/edgeguard/acme rein,
  self-signed _default.pem via openssl req (damit HAProxy startet
  bevor certbot etwas issuet hat)
* control: Depends nginx raus, openssl rein
* edgeguard-ui: dependency auf nginx weg, "Served by edgeguard-api
  gin StaticFS"

Live-Smoke: render-config gegen lokale PG schreibt /etc/edgeguard/
haproxy/haproxy.cfg + nftables.d/ruleset.nft korrekt; CRUD-Test aus
Phase 2 läuft weiter unverändert.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-05-09 10:59:52 +02:00

Felix Netzel

0ceab4c814

chore: initial skeleton

- docs/architecture.md: native rewrite plan (5 services + control plane,
  Active-Active cluster like nmg, Floating-IP for HTTP ingress)
- cmd/edgeguard-{api,scheduler,ctl}: minimal Gin + CLI stubs
- packaging/debian/edgeguard-{api,ui,meta}: control + maintainer scripts
- deploy/systemd/edgeguard-api.service + edgeguard-scheduler.service
  with hardening defaults
- Makefile: build / cross-compile (amd64+arm64) / deb / publish targets
- scripts/install.sh + scripts/apt-repo/build-package.sh stubs

2026-05-08 18:45:41 +02:00

3 Commits