Polycrate API 0.14.2¶
Release-Datum: 5. März 2026
Typ: Patch-Release
Highlights¶
Version 0.14.2 erweitert die Harbor-Integration auf Organisationsebene, führt die CLI-Activity-Audit-API für SSH-Sessions und Workspace-Sync ein, ergänzt das created_by_component-Feld für Audit-Zwecke und verbessert die S3-Cluster-Erreichbarkeitsprüfung sowie die Loadbalancer-Region- und IP-Prefix-UIs.
- Harbor Organisation-Integration – Automatische Harbor-Projekte, -Gruppen und Quota-Tracking pro Organisation
- CLI Activity Audit – SSH-Sessions und Workspace-Sync werden für Audit und Compliance in der API protokolliert
- created_by_component – Filterbare Zuordnung, ob Ressourcen via CLI, Operator oder API erstellt wurden
- S3-Cluster RadosGW Reachability – Erreichbarkeitsprüfung und besseres Fehler-Logging für rook-ceph S3-Cluster
- RocketChat System-Org Channel Mapping – Korrektur: System-Organisation erhält Zugriff auf alle Kunden-Channels
Artefakte¶
Docker Image¶
Block¶
Neue Features¶
Harbor Organisation-Integration¶
Jede Organisation erhält bei aktivierter Integration automatisch ein Harbor-Projekt mit OIDC-Gruppe, Maintainer-Membership und Quota-Tracking.
Funktionsumfang:
- Automatische Erstellung von Harbor-Gruppe (OIDC) und -Projekt pro Organisation
- Gruppe als Maintainer dem Projekt zugeordnet
- Quota-Tracking (genutzter Speicher, Limit) in der Organisation gespeichert
- Konfiguration über System Config → Integration: Harbor
Voraussetzungen: Harbor mit OIDC (Keycloak) konfiguriert; Group Claim Name = orgs
CLI Activity Audit¶
SSH-Sessions (polycrate ssh) und Workspace-Syncs (polycrate workspace sync / polycrate git sync) werden über dedizierte API-Endpoints in der Polycrate API persistiert.
Funktionsumfang:
ssh-session: Start und Ende von SSH-Verbindungen mit Host-/Workspace-Verknüpfungworkspace-sync: Git-Sync-Ereignisse mit Metadaten (Branch, Commit, Sync-Ergebnis)created_bywird aus dem authentifizierten User gesetzt – kein anonymes Audit
Nutzen für Compliance: Vollständiger Audit-Trail, wer wann welche CLI-Aktivitäten ausgeführt hat.
created_by_component¶
Alle ManagedObjects speichern nun, ob sie über die CLI, den Operator oder die API (Web-UI) erstellt wurden.
Funktionsumfang:
- Filter in Listen-Ansichten nach Erstellungsquelle
- Audit- und Reporting-Zwecke: z. B. "Alle via CLI erstellten Buckets"
S3-Cluster RadosGW Reachability (rook-ceph)¶
Bei rook-ceph S3-Clustern prüft die Reconciliation nun die Erreichbarkeit des RadosGW Admin Endpoints.
Funktionsumfang:
- Reachability-Check während der Reconciliation
- Condition
S3_CLUSTER_API_SERVER_UNREACHABLEbei Fehlern mit spezifischen Gründen (DNS, Timeout, SSL, Auth) admin_endpointundadmin_endpoint_securein Create-/Edit-Form für rook-ceph
RocketChat System-Org Channel Mapping Fix¶
Problem: Die System-Organisation (z. B. ayedo) hatte nur Zugriff auf den eigenen Channel, nicht auf alle Kunden-Channels.
Lösung: Das Channel-Mapping wird ausschließlich vom zentralen Celery-Task gepflegt. Per-Org-Updates, die zu Race Conditions führten, wurden entfernt.
Verbesserungen¶
IP Prefix Detail UI¶
- Collapsible-Layout analog zu Loadbalancer-Region und Provider
- V2-Tabellen für IP-Adressen und Loadbalancer-Instanzen
- Prefix-Filter in der Suchleiste
Loadbalancer Region UI¶
- Getrennte Edit-Form (Name, Organization, K8sCluster, kind nach Erstellung read-only)
region_configmit Monaco-Editor bearbeitbar- Collapsible-Layout mit V2-Tabellen für Loadbalancer-Instanzen und IP-Prefixe
- Loadbalancer-Region-Filter in Listen-Ansichten
Prometheus-Metriken¶
Vollständiges Inventar der API-exponierten Metriken unter /api/v1/metrics dokumentiert (SLO, Endpoints, Betriebsmetriken, Agent-Capacity, etc.).
Loadbalancer Service Config: externalTrafficPolicy¶
HAProxy-Block (ab 2.0.5) unterstützt external_traffic_policy (Local/Cluster) für Loadbalancer-Services. Die Konfiguration kann über LoadbalancerRegion.region_config gesteuert werden – z. B. für bessere HA bei Rolling Updates (Cluster) oder Client-IP-Erhaltung (Local).