Add new environments (PRODExtern/PUBL)

[flenny]

There are two new environments PRODExtern and PUBL to be configured.

Database Tasks

• [x] Add dedicated app db user, with permissions to the relevant database only, set owner
• [x] Create an inital empty database, containing only the database schema and required value tables
• [x] Restore the backup

IAM Tasks

• [x] Add new groups to the existing PROD user pool
• [x] Add new app integrations

Kubernetes Tasks

• [x] Deploy the stack (latest) to the already exsiting new namespaces in the PROD cluster
• [x] Create/Configure Ingress routes

[flenny]

Die neuen Umgebungen https://ext-boreholes.swissgeol.ch/ und https://view-boreholes.swissgeol.ch/ sind mit ein paar Dummy-Daten schon mal online. Login erfolgt via eIAM Prod Benutzer Accounts.

Offen sind noch die Erstellung eines Initial-Backups (leere Datenbank) sowie die automatische Berechtigung neuer Benutzer für die View (PUBL) Umgebung.

[tilmanb]

Externer interessierter hier. Wie komme ich an einen "eIAM Prod Benutzer Account"?

[gysimichael]

@tilmab: diese instanzen sind nicht öffentlich und nur für swisstopo intern gedacht. Schreib mir doch eine offizielle Anfrage und ich kann schauen, was sich für dich tun lässt an michael.gysi@swisstopo.ch

[tilmanb]

Danke, erledigt!

[gysimichael]

@flenny könntest du mich noch als admin freischalten?

[flenny]

@flenny könntest du mich noch als admin freischalten?

Auf PUBL (View) habe ich dich zum Admin gemacht. Bei PRODExtern konnte ich dich in der Datenbank noch nicht sehen. Ruf doch die Seite kurz auf, dann kann ich dich dort auch gleich hochstufen.

FYI: Wir haben gestern Nachmittag auf beiden neuen Instanzen ein neues leeres initital Backup (also ohne Daten/Bohrungen und nur mit den notwendigen Wertetabellen, Settings und Default Workgroup) wiederhergestellt. Renato ist auf der PRODExtern Umgebung gerade am Testen ob alles funktioniert und ob es irgendwo noch Probleme aufgrund leeren Tabellen/Listen gibt oder Informationen für die Erfassung fehlen.

[gysimichael]

sollte nun auf der DB sein

[gysimichael]

@flenny habe es nochmals mit Nils besprochen und uns folgendes Überlegt:

1. Auf Prod View braucht es keinen Admin und somit niemand, der sich aktiv einloggen muss. Wir wollen dort nur Daten anzeigen, nichts aber an den Daten Manipulieren
2. Eine Workgroup als Default ist ok, alle Bohrungen werden dort reingeladen. Keine anderen Workgroups werden erstellt noch bewirtschaftet
3. Es soll einen Standard User gesetz werden
4. Jeder, der die URL aufruft, soll ohne authentifikation (eIAM bypass indem man automatisch die Credentials des Standart users in eIAM eingibt, ohne das der Benutzer davon etwas mitbekommt) auf die Applikation kommen und die Bohrungen in der Default Workgroup sehen
5. Befor er die Daten in der Applikation sieht, muss er den Disclaimer wegklicken

Kann man das so umsetzten?

same same wäre für assets der Fall.

[flenny]

@gysimichael Wunderbar! Danke euch beiden. 🙏 Ich hab da schon 1-2 Ideen für die Umsetzung, möchte diese aber noch kurz im Entwicklungsteam diskutieren. Du hörst wieder von uns...

[flenny]

@gysimichael Wunderbar! Danke euch beiden. 🙏 Ich hab da schon 1-2 Ideen für die Umsetzung, möchte diese aber noch kurz im Entwicklungsteam diskutieren. Du hörst wieder von uns...

Unsere bisherigen Lösungsansätze/Ideen bezüglich der Read-Only (PUBL/View) Umgebung, bei der man sich nicht mehr einloggen muss, sind leider so nicht umzusetzen. Deshalb müssen das Thema demnächst nochmals angehen. Diese Arbeiten werden neu im Kontext von #1367 behandelt.

[flenny]

Die Erstellung der PRODExtern Umgebung ist soweit abgeschlossen. Die Anforderungen an die Read-Only PUBL/View Umgebung etwas umfangreicher, weshalb diese in einem eigenen Issue behandelt werden. -> #1367