raijin-server 0.2.3__py3-none-any.whl → 0.2.5__py3-none-any.whl

raijin_server/modules/full_install.py

@@ -25,6 +25,49 @@ from raijin_server.modules import (
 )
 
 
+def _cert_manager_install_only(ctx: ExecutionContext) -> None:
+    """Wrapper para instalar cert-manager sem interação."""
+    if not cert_manager.install_only(ctx):
+        raise RuntimeError("Falha na instalação do cert-manager")
+    
+    # Cria issuer HTTP01 padrão para staging (teste) e produção
+    # O usuário pode criar issuers adicionais depois com 'raijin-server cert install'
+    email = os.environ.get("RAIJIN_ACME_EMAIL", "")
+    if email and "@" in email:
+        typer.secho("\n📜 Criando ClusterIssuers padrão...", fg=typer.colors.CYAN)
+        
+        # Cria issuer de staging (para testes)
+        cert_manager.create_issuer(
+            ctx,
+            name="letsencrypt-staging",
+            email=email,
+            challenge_type="http01",
+            staging=True,
+            ingress_class="traefik",
+        )
+        
+        # Cria issuer de produção
+        cert_manager.create_issuer(
+            ctx,
+            name="letsencrypt-prod",
+            email=email,
+            challenge_type="http01",
+            staging=False,
+            ingress_class="traefik",
+        )
+        
+        typer.secho("✓ ClusterIssuers 'letsencrypt-staging' e 'letsencrypt-prod' criados", fg=typer.colors.GREEN)
+    else:
+        typer.secho(
+            "ℹ Para criar ClusterIssuers automaticamente, defina RAIJIN_ACME_EMAIL",
+            fg=typer.colors.YELLOW,
+        )
+        typer.secho(
+            "  Exemplo: export RAIJIN_ACME_EMAIL=admin@seudominio.com",
+            fg=typer.colors.YELLOW,
+        )
+
+
 # Ordem de execucao dos modulos para instalacao completa
 # Modulos marcados com skip_env podem ser pulados via variavel de ambiente
 INSTALL_SEQUENCE = [
@@ -36,7 +79,7 @@ INSTALL_SEQUENCE = [
     ("firewall", firewall.run, "Firewall UFW", None),
     ("kubernetes", kubernetes.run, "Cluster Kubernetes (kubeadm)", None),
     ("calico", calico.run, "CNI Calico + NetworkPolicy", None),
-    ("cert_manager", cert_manager.run, "cert-manager + ClusterIssuer ACME", None),
+    ("cert_manager", _cert_manager_install_only, "cert-manager (instalacao base)", None),
     ("secrets", secrets.run, "Sealed-Secrets + External-Secrets", None),
     ("prometheus", prometheus.run, "Monitoramento Prometheus", None),
     ("grafana", grafana.run, "Dashboards Grafana", None),

raijin_server/utils.py

@@ -299,6 +299,62 @@ def helm_repo_update(ctx: ExecutionContext) -> None:
     run_cmd(["helm", "repo", "update"], ctx)
 
 
+def _get_helm_release_status(release: str, namespace: str) -> str:
+    """Retorna status do release Helm (lowercased) ou string vazia se nao existir."""
+    try:
+        import json
+        result = subprocess.run(
+            ["helm", "status", release, "-n", namespace, "-o", "json"],
+            capture_output=True,
+            text=True,
+            timeout=30,
+        )
+        if result.returncode != 0 or not result.stdout:
+            return ""
+        data = json.loads(result.stdout)
+        return str(data.get("info", {}).get("status", "")).lower()
+    except Exception:
+        return ""
+
+
+def _cleanup_pending_helm_release(release: str, namespace: str, ctx: ExecutionContext) -> None:
+    """Remove release Helm em estado pendente que bloqueia novas operacoes."""
+    if ctx.dry_run:
+        return
+
+    status = _get_helm_release_status(release, namespace)
+    if not status:
+        return
+
+    # Estados que bloqueiam: pending-install, pending-upgrade, pending-rollback
+    if status.startswith("pending"):
+        typer.secho(
+            f"⚠ Release '{release}' em estado '{status}'. Limpando antes de prosseguir...",
+            fg=typer.colors.YELLOW,
+        )
+        # Tenta rollback primeiro (funciona para pending-upgrade)
+        subprocess.run(
+            ["helm", "rollback", release, "-n", namespace, "--wait", "--timeout", "2m"],
+            capture_output=True,
+            timeout=150,
+        )
+        # Verifica se resolveu
+        new_status = _get_helm_release_status(release, namespace)
+        if new_status.startswith("pending"):
+            # Se ainda pendente, desinstala
+            typer.secho(
+                f"  Rollback nao resolveu. Desinstalando release '{release}'...",
+                fg=typer.colors.YELLOW,
+            )
+            subprocess.run(
+                ["helm", "uninstall", release, "-n", namespace, "--wait", "--timeout", "3m"],
+                capture_output=True,
+                timeout=200,
+            )
+            time.sleep(5)
+        typer.secho(f"✓ Release '{release}' limpo.", fg=typer.colors.GREEN)
+
+
 def helm_upgrade_install(
     release: str,
     chart: str,
@@ -311,9 +367,16 @@ def helm_upgrade_install(
     create_namespace: bool = True,
     extra_args: list[str] | None = None,
 ) -> None:
-    """Executa helm upgrade --install com opcoes comuns."""
+    """Executa helm upgrade --install com opcoes comuns.
+    
+    Automaticamente detecta e limpa releases em estado pendente antes de instalar.
+    """
 
     ensure_tool("helm", ctx, install_hint="Instale helm ou habilite dry-run para so visualizar.")
+    
+    # Limpa releases pendentes antes de tentar instalar
+    _cleanup_pending_helm_release(release, namespace, ctx)
+    
     if repo and repo_url:
         helm_repo_add(repo, repo_url, ctx)
         helm_repo_update(ctx)
@@ -328,7 +391,21 @@ def helm_upgrade_install(
         cmd.extend(["--set", value])
     if extra_args:
         cmd.extend(extra_args)
-    run_cmd(cmd, ctx)
+    
+    try:
+        run_cmd(cmd, ctx)
+    except Exception as e:
+        err_text = str(e).lower()
+        # Se falhou por operacao em progresso, tenta limpar e reinstalar uma vez
+        if "another operation" in err_text and "in progress" in err_text:
+            typer.secho(
+                f"⚠ Helm detectou operacao pendente em '{release}'. Limpando e tentando novamente...",
+                fg=typer.colors.YELLOW,
+            )
+            _cleanup_pending_helm_release(release, namespace, ctx)
+            run_cmd(cmd, ctx)
+        else:
+            raise
 
 
 def kubectl_apply(target: str, ctx: ExecutionContext) -> None:

{raijin_server-0.2.3.dist-info → raijin_server-0.2.5.dist-info}/METADATA

@@ -1,6 +1,6 @@
 Metadata-Version: 2.4
 Name: raijin-server
-Version: 0.2.3
+Version: 0.2.5
 Summary: CLI para automacao de setup e hardening de servidores Ubuntu Server.
 Home-page: https://example.com/raijin-server
 Author: Equipe Raijin
@@ -37,6 +37,14 @@ CLI em Python (Typer) para automatizar setup e hardening de servidores Ubuntu Se
 
 **✨ Versão Auditada e Resiliente para Produção**
 
+## Links úteis
+
+- Repositório: https://github.com/rafaelluisdacostacoelho/raijin-server
+- Documentação completa: [docs/INFRASTRUCTURE_GUIDE.md](docs/INFRASTRUCTURE_GUIDE.md)
+- Arquitetura: [ARCHITECTURE.md](ARCHITECTURE.md)
+- Auditoria: [AUDIT.md](AUDIT.md)
+- Segurança: [SECURITY.md](SECURITY.md)
+
 ## Destaques
 
 - ✅ **Validações de Pré-requisitos**: OS, espaço em disco, memória, conectividade, ambiente Python (venv)
@@ -81,6 +89,36 @@ source .venv/bin/activate
 python -m pip install -e .
 ```
 
+### Instalação em Produção (Recomendado)
+
+Para servidores em produção, use um venv isolado e execute com sudo preservando o ambiente:
+
+```bash
+# 1. Sair do venv atual (se estiver ativo)
+deactivate
+
+# 2. (Opcional) Remover venv antigo
+rm -rf ~/.venvs/raijin
+
+# 3. Criar venv novo
+python3 -m venv ~/.venvs/raijin
+source ~/.venvs/raijin/bin/activate
+pip install -U pip setuptools
+
+# 4. Instalar a versão mais recente
+pip install -U raijin-server
+
+# 5. Rodar usando root preservando o venv
+sudo -E ~/.venvs/raijin/bin/raijin-server --version
+sudo -E ~/.venvs/raijin/bin/raijin-server validate
+sudo -E ~/.venvs/raijin/bin/raijin-server full-install
+
+# 6. Para sair do venv quando terminar
+deactivate
+```
+
+> **Nota**: O `-E` no sudo preserva as variáveis de ambiente, garantindo que o Python use o venv correto mesmo como root.
+
 ## Uso rapido
 
 ### Validar Sistema
@@ -375,6 +413,32 @@ pytest
 ruff check src tests
 ```
 
+## Publicar no PyPI (Twine)
+
+O Twine é a ferramenta oficial para enviar pacotes Python ao PyPI com upload seguro (HTTPS e checagem de hash). Use sempre um token de API.
+
+Passo a passo:
+```bash
+# 1) Gere artefatos
+python -m build --sdist --wheel --outdir dist/
+
+# 2) Configure o token (crie em https://pypi.org/manage/account/token/)
+export TWINE_USERNAME=__token__
+export TWINE_PASSWORD="<seu-token>"
+
+# 3) Envie para o PyPI
+python -m twine upload dist/*
+
+# 4) Verifique instalação
+python -m pip install -U raijin-server
+raijin-server --version
+```
+
+Boas práticas:
+- Use venv dedicado para publicar (`python -m venv ~/.venvs/publish && source ~/.venvs/publish/bin/activate`).
+- Nunca commite ou exponha o token; mantenha em variável de ambiente/secret manager.
+- Sempre suba primeiro para TestPyPI se quiser validar (`--repository testpypi`).
+
 ## Acesso remoto seguro (VPN + SSH)
 
 Execute `raijin-server ssh-hardening` para aplicar as politicas abaixo automaticamente e `raijin-server vpn` para subir o servidor WireGuard com um cliente inicial. Use `--dry-run` se quiser apenas revisar os comandos.

{raijin_server-0.2.3.dist-info → raijin_server-0.2.5.dist-info}/RECORD

@@ -1,17 +1,17 @@
-raijin_server/__init__.py,sha256=AKDS9uS_9UXF-3BZWSJvcQdgvkhbsxMs1o-P7R5xBE4,94
-raijin_server/cli.py,sha256=ZgaSkXwXaND7HHeySjIn4GEmTVTqUDttUfqXJ9yZV1E,16772
+raijin_server/__init__.py,sha256=7-69Vj-HYrv98hWrKmwDqDQ-ehtTqJebx1JeP4St6Q4,94
+raijin_server/cli.py,sha256=PfuIXc-pw1yZtJzCrxDVSWSsPAVBt9wqZBF-dWh6mwo,19274
 raijin_server/config.py,sha256=Dta2CS1d6RgNiQ84P6dTXk98boFrjzuvhs_fCdlm0I4,4810
-raijin_server/healthchecks.py,sha256=-mQq-dGZ2id16wvPmiTPjDHw14PBwz_i8AXi307V38k,12411
-raijin_server/utils.py,sha256=oQM-NGL_kmlNZejFvxXk85MI_WkcxNfwaw5LeAsKUFU,11476
+raijin_server/healthchecks.py,sha256=BJyWyUDtEswEblvGwWMejtMnsUb8kJcULVdS9iycrcc,14565
+raijin_server/utils.py,sha256=MNIevCttKq5fVS-I4ZwlY7f7JZtEiwwY_kj69WV4AsQ,14330
 raijin_server/validators.py,sha256=qOZMHgwjHogVf17UPlxfUCpQd9qAGQW7tycd8mUvnEs,9404
 raijin_server/modules/__init__.py,sha256=e_IbkhLGPcF8to9QUmIESP6fpcTOYcIhaXLKIvqRJMY,920
-raijin_server/modules/apokolips_demo.py,sha256=gMUpYNaO0V20KoNa4ljyA1W9HJbY__O9AEO64NuWGhE,12365
+raijin_server/modules/apokolips_demo.py,sha256=8ltsXRbVDwlDwLMIvh02NG-FeAfBWw_v6lh7IGOyNqs,13725
 raijin_server/modules/bootstrap.py,sha256=oVIGNRW_JbgY8zXNHGAIP0vGbbHNHyQexthxo5zhbcw,9762
 raijin_server/modules/calico.py,sha256=a8N7YYv7NoaspPKdhRtwHy3V2mM4cP5xA1H8BwslB18,4139
-raijin_server/modules/cert_manager.py,sha256=bSv5CRbPlH3DHWHBqUNTKVh0C973E4XC8WzGieOHh3A,4882
+raijin_server/modules/cert_manager.py,sha256=dse7AIUVOM2h7d2i3DWsvHLsA9NtcazebTPgOEUWB-8,34473
 raijin_server/modules/essentials.py,sha256=2xUXCyCQtFGd2DnCKV81N1R6bEJqH8zaet8mLovtQ1I,689
 raijin_server/modules/firewall.py,sha256=h6AISqiZeTinVT7BjmQIS872qRAFZJLg7meqlth3cfw,757
-raijin_server/modules/full_install.py,sha256=Mk_SHBrtL4zgjgd2shUuhp4fyDIPdlBVZtC5t8x-1vU,5908
+raijin_server/modules/full_install.py,sha256=aR3yOuD7y0KLI20eMrxuFBNrWWn7JMpI4HFKNizEF3o,7464
 raijin_server/modules/grafana.py,sha256=zxYpWBM-fD8vTgoJ2Hmb9P66wz_JuiidO6_cGK3jG30,1809
 raijin_server/modules/hardening.py,sha256=4hz3ifkMhPlXa2n7gPxN0gitQgzALZ-073vuU3LM4RI,1616
 raijin_server/modules/harness.py,sha256=dhZ89YIhlkuxiRU1deN6wXVWnXm0xeI03PwYf_qgfak,1527
@@ -36,9 +36,9 @@ raijin_server/scripts/checklist.sh,sha256=j6E0Kmk1EfjLvKK1VpCqzXJAXI_7Bm67LK4ndy
 raijin_server/scripts/install.sh,sha256=IZOTujOSGmKpznwgL59picsQNVzYkai6FtfFS3Klf34,3908
 raijin_server/scripts/log_size_metric.sh,sha256=rC2Ck4xnYVJV4Qymu24-indC8bkzfZs4FBqqxGPRl1I,1143
 raijin_server/scripts/pre-deploy-check.sh,sha256=naPUgKjnKgsh-eGDH2623C7zcr9VjDEw1H0lfYaXW8c,4853
-raijin_server-0.2.3.dist-info/licenses/LICENSE,sha256=kJsMCjOiRZE0AQNtxWqBa32z9kMAaF4EUxyHj3hKaJo,1105
-raijin_server-0.2.3.dist-info/METADATA,sha256=Bh7AicqZXP3kLYhHxgf1uB3R4PGI4hcC8AYaDAaUg6A,16941
-raijin_server-0.2.3.dist-info/WHEEL,sha256=wUyA8OaulRlbfwMtmQsvNngGrxQHAvkKcvRmdizlJi0,92
-raijin_server-0.2.3.dist-info/entry_points.txt,sha256=3ZvxDX4pvcjkIRsXAJ69wIfVmKa78LKo-C3QhqN2KVM,56
-raijin_server-0.2.3.dist-info/top_level.txt,sha256=Yz1xneCRtsZOzbPIcTAcrSxd-1p80pohMXYAZ74dpok,14
-raijin_server-0.2.3.dist-info/RECORD,,
+raijin_server-0.2.5.dist-info/licenses/LICENSE,sha256=kJsMCjOiRZE0AQNtxWqBa32z9kMAaF4EUxyHj3hKaJo,1105
+raijin_server-0.2.5.dist-info/METADATA,sha256=TVzTE_0qlyVoyy3lsoWfFn97hJylE_oKyXDFv32BMkg,18925
+raijin_server-0.2.5.dist-info/WHEEL,sha256=wUyA8OaulRlbfwMtmQsvNngGrxQHAvkKcvRmdizlJi0,92
+raijin_server-0.2.5.dist-info/entry_points.txt,sha256=3ZvxDX4pvcjkIRsXAJ69wIfVmKa78LKo-C3QhqN2KVM,56
+raijin_server-0.2.5.dist-info/top_level.txt,sha256=Yz1xneCRtsZOzbPIcTAcrSxd-1p80pohMXYAZ74dpok,14
+raijin_server-0.2.5.dist-info/RECORD,,