user: admin
password: Nexus01@

#installatie

postgres14 starten als dat nog niet is gebeurd

ingressrouteTCP-route aanmaken voor registry

ingressroutes HTTP en TLS aanmaken voor nexus  (nodig voor compileren met maven)

kubectl apply -f nexus.yaml

i.v.m. permissions (zie logfile) indien nodig op sudo chmod +R /mnt/nfs_share/nexus uitvoeren 
admin password staat in data-dir op de nfs-share 

#Repository-routes configureren:

In nexus kun je een repository definieren van het type "Docker".

Die geef je dan een eigen poortnummer.

Bij TLS-interrupt door Traefik gewoon http-poort 5000 (https kun je leeglaten)
Bij TLS-interrupt door Nexus moet je een https-poort gebruiken (bijv 8444)

#SSL TLS Interrupt voor UI:

gewoon een ingressroute-HTTP en ingressroute-tls aanmaken voor nexus-dev.allarddcs.nl

#SSL TLS Interrupt voor Registry:
TLS-interrupt kun je het best door traefik laten doen. 
Dit heeft de voorkeur want dan heb je een trusted certificaat en hoefje geen "insecure registry" te configurenren in docker-config.

#TLS-INTERRUPT DOOR TRAEFIK:
De ingressrouteTCP naar de docker registry ziet er dan alsvolgt uit:

apiVersion: traefik.io/v1alpha1
kind: IngressRouteTCP
metadata:
  name: registry-tcp
  namespace: nexus
spec:
  entryPoints:
    - websecure       # Traefik HTTPS entrypoint
  routes:
    - match: HostSNI(`registry-dev.allarddcs.nl`)
      services:
        - name: nexus
          port: 5000   # Nexus HTTP port for Docker registry
  tls:
    certResolver: letsencrypt  # Traefik uses this certificate

Dit is dus een bijzondere combinatie van IngressrouteTCP en toch TLS-interrupt. 
Vanaf traefik gaat het verkeer dan naar de http-poort van je docker registry.

Daarnaast heb ik ook een ingressroute-http aangemaakt :

apiVersion: traefik.io/v1alpha1
kind: IngressRoute
metadata:
  name: registry-http
  namespace: nexus
spec:
  entryPoints:
    - web
  routes:
  - match: Host(`registry-dev.allarddcs.nl`)
    kind: Rule
    services:
    - name: nexus
      port: 8081

Deze gaat dus naar de web-kant voor de ACME-challenge van Letsencrypt.

#TLS-INTERRUPT DOOR NEXUS:

Deze optie heeft het nadeel dat je dan bij inloggen met docker de melding krijgt dat het certificaat 
self-signed is. Dan moet je insecure registry opvoeren in docker-config. 


Met keytool een certificaat aanmaken. 
Certificaat zet je dan op nfs-share op data-dir/etc/ssl/keystore.jks


Deze poort moet je ook als ingressrouteTCP ontsluiten met TLS passthrough (want nexus doet TLS-interrupt) 
maar dan uiteraard wel op de domeinnaam  "registry-dev.allarddcs.nl".
Deze tweede route heeft hetzelfde "entrypoint"  als de GUI, namelijk "websecure" 

nexus-properties:

nexus-args=${jetty.etc}/jetty.xml,${jetty.etc}/jetty-http.xml,${jetty.etc}/jetty-https.xml,${jetty.etc}/jetty-requestlog.xml
application-port-ssl=8443
ssl-keystore=/nexus-data/etc/ssl/keystore.jks
ssl-keystore-password=password
ssl-keystore-type=JKS
jetty.sslContext.keyStorePath=/opt/sonatype/sonatype-work/nexus3/etc/ssl/keystore.jks
jetty.sslContext.keyStorePassword=password
jetty.sslContext.keyManagerPassword=password
jetty.sslContext.trustStoreType=JKS

#vervelende foutmeldingen in log voorkomen.

Om java in een container te kunnen runnen probeert nexus blijkbaar een .java directory aan te maken in /opt/sonatype/nexus. 
Maar use nexus mag dat niet.
Vandaar dat er een emptydir gemount wordt:
        volumeMounts:
        - name: java-prefs
          mountPath: /opt/sonatype/nexus/.java
      volumes:
      - name: java-prefs
        emptyDir: {}

Die emptydir verdwijnt weer als je de container stopt.