Make gitlab-redis-cli work when running behind SSL

Changelog: fixed
Signed-off-by: Balasankar "Balu" C <[email protected]>

Author: balasankarc

config/software/gitlab-redis-cli.rb

@@ -41,6 +41,17 @@
   echo "$1" 2>& 1
 }
 
+set_tls_params()
+{
+  REDIS_PARAMS="${REDIS_PARAMS} -p ${redis_tls_port} --tls"
+  if [ "${redis_tls_auth_clients}" = "yes" ]; then
+    REDIS_PARAMS="${REDIS_PARAMS} --cacertdir ${redis_tls_cacert_dir} \
+      --cacert ${redis_tls_cacert_file} \
+      --cert ${redis_tls_cert_file} \
+      --key ${redis_tls_key_file}"
+  fi
+}
+
 gitlab_redis_cli_rc='/opt/gitlab/etc/gitlab-redis-cli-rc'
 
 if ! [ -f ${gitlab_redis_cli_rc} ] || ! [ -r ${gitlab_redis_cli_rc} ] ; then
@@ -52,10 +63,16 @@
 
 . "${gitlab_redis_cli_rc}"
 
+
 if [ -e "${redis_socket}" ]; then
-	REDIS_PARAMS="-s ${redis_socket}"
+  REDIS_PARAMS="-s ${redis_socket}"
 else
-  REDIS_PARAMS="-h ${redis_host} -p ${redis_port}"
+  REDIS_PARAMS="-h ${redis_host}"
+  if ! [ "${redis_port}" = "0" ]; then
+    REDIS_PARAMS="${REDIS_PARAMS} -p ${redis_port}"
+  elif ! [ "${redis_tls_port}" = "0" ]; then
+    set_tls_params
+  fi
 fi
 
 REDISCLI_AUTH="$(awk '/^requirepass /{
@@ -66,7 +83,7 @@
 
 
 if [ -n "${REDISCLI_AUTH}" ]; then
-    export REDISCLI_AUTH
+  export REDISCLI_AUTH
 fi
 
 exec /opt/gitlab/embedded/bin/redis-cli $REDIS_PARAMS "$@"

files/gitlab-cookbooks/redis/templates/default/gitlab-redis-cli-rc.erb

@@ -1,4 +1,10 @@
 redis_dir='<%= node['redis']['dir'] %>'
 redis_host='<%= node['redis']['bind'] %>'
 redis_port='<%= node['redis']['port'] %>'
+redis_tls_port='<%= node['redis']['tls_port'] %>'
+redis_tls_auth_clients='<%= node['redis']['tls_auth_clients'] %>'
+redis_tls_cacert_file='<%= node['redis']['tls_ca_cert_file'] %>'
+redis_tls_cacert_dir='<%= node['redis']['tls_ca_cert_dir'] %>'
+redis_tls_cert_file='<%= node['redis']['tls_cert_file'] %>'
+redis_tls_key_file='<%= node['redis']['tls_key_file'] %>'
 redis_socket='<%= node['redis']['unixsocket'] if node['redis']['unixsocket'] %>'

spec/chef/cookbooks/redis/recipes/redis_spec.rb

@@ -14,6 +14,12 @@
 redis_dir='/var/opt/gitlab/redis'
 redis_host='127.0.0.1'
 redis_port='0'
+redis_tls_port=''
+redis_tls_auth_clients='optional'
+redis_tls_cacert_file='/opt/gitlab/embedded/ssl/certs/cacert.pem'
+redis_tls_cacert_dir='/opt/gitlab/embedded/ssl/certs/'
+redis_tls_cert_file=''
+redis_tls_key_file=''
 redis_socket='/var/opt/gitlab/redis/redis.socket'
       EOF
     end
@@ -206,6 +212,12 @@
 redis_dir='/var/opt/gitlab/redis'
 redis_host='1.2.3.4'
 redis_port='6370'
+redis_tls_port=''
+redis_tls_auth_clients='optional'
+redis_tls_cacert_file='/opt/gitlab/embedded/ssl/certs/cacert.pem'
+redis_tls_cacert_dir='/opt/gitlab/embedded/ssl/certs/'
+redis_tls_cert_file=''
+redis_tls_key_file=''
 redis_socket=''
       EOF
     end
@@ -245,6 +257,12 @@
 redis_dir='/var/opt/gitlab/redis'
 redis_host='1.2.3.4'
 redis_port='6370'
+redis_tls_port=''
+redis_tls_auth_clients='optional'
+redis_tls_cacert_file='/opt/gitlab/embedded/ssl/certs/cacert.pem'
+redis_tls_cacert_dir='/opt/gitlab/embedded/ssl/certs/'
+redis_tls_cert_file=''
+redis_tls_key_file=''
 redis_socket=''
       EOF
     end
@@ -348,6 +366,21 @@
   end
 
   context 'with tls settings specified' do
+    let(:gitlab_redis_cli_rc) do
+      <<-EOF
+redis_dir='/var/opt/gitlab/redis'
+redis_host='127.0.0.1'
+redis_port='0'
+redis_tls_port='6380'
+redis_tls_auth_clients='no'
+redis_tls_cacert_file='/etc/gitlab/ssl/redis-ca.crt'
+redis_tls_cacert_dir='/opt/gitlab/embedded/ssl/certs'
+redis_tls_cert_file='/etc/gitlab/ssl/redis.crt'
+redis_tls_key_file='/etc/gitlab/ssl/redis.key'
+redis_socket=''
+      EOF
+    end
+
     before do
       stub_gitlab_rb(
         redis: {
@@ -392,6 +425,11 @@
           expect(content).to match(%r{^tls-session-cache-timeout 120$})
         }
     end
+
+    it 'creates gitlab-redis-cli-rc' do
+      expect(chef_run).to render_file('/opt/gitlab/etc/gitlab-redis-cli-rc')
+        .with_content(gitlab_redis_cli_rc)
+    end
   end
 
   context 'log directory and runit group' do