🚀 Production-ready: Auth enforcement + Observability + Policy

- Atomic генерація всіх секретів (generate-all-secrets.sh)
- Auth enforcement перевірка (enforce-auth.sh)
- Оновлений full flow test (must-pass)
- Prometheus alerting rules для Memory Module
- Matrix alerts bridge (алерти в ops room)
- Policy engine документація для пам'яті

Готово до production deployment!

infrastructure/auth/enforce-auth.sh

@@ -0,0 +1,87 @@
+#!/bin/bash
+# Auth Enforcement - перевірка, що всі сервіси вимагають auth
+
+set -e
+
+echo "🔒 Перевірка Auth Enforcement..."
+echo ""
+
+FAILED=0
+
+# ============================================================================
+# 1. NATS - перевірка конфігурації
+# ============================================================================
+echo "=== 1. NATS Auth ==="
+
+if kubectl get configmap -n nats nats-config -o yaml 2>/dev/null | grep -q "operator:"; then
+    echo "✅ NATS operator JWT налаштовано"
+else
+    echo "❌ NATS operator JWT НЕ налаштовано"
+    FAILED=1
+fi
+
+if kubectl get secret -n nats nats-operator-jwt 2>/dev/null | grep -q "operator.jwt"; then
+    echo "✅ NATS operator JWT Secret існує"
+else
+    echo "❌ NATS operator JWT Secret НЕ існує"
+    FAILED=1
+fi
+
+# ============================================================================
+# 2. Memory Service - перевірка JWT
+# ============================================================================
+echo ""
+echo "=== 2. Memory Service JWT ==="
+
+if kubectl get secret -n daarion memory-service-secrets 2>/dev/null | grep -q "jwt_secret"; then
+    echo "✅ Memory Service JWT secret існує"
+else
+    echo "❌ Memory Service JWT secret НЕ існує"
+    FAILED=1
+fi
+
+# Тест: запит без JWT має бути відхилено
+echo "Тест: запит без JWT..."
+MEMORY_SERVICE_URL=$(kubectl get svc -n daarion memory-service -o jsonpath='{.spec.clusterIP}' 2>/dev/null || echo "")
+if [ -n "$MEMORY_SERVICE_URL" ]; then
+    RESPONSE=$(kubectl run test-auth --image=curlimages/curl --rm -i --restart=Never -- curl -s -o /dev/null -w "%{http_code}" "http://$MEMORY_SERVICE_URL:8000/memories" 2>/dev/null || echo "000")
+    if [ "$RESPONSE" = "401" ] || [ "$RESPONSE" = "403" ]; then
+        echo "✅ Memory Service відхиляє запити без JWT"
+    else
+        echo "⚠️  Memory Service приймає запити без JWT (auth не enforced)"
+        FAILED=1
+    fi
+else
+    echo "⚠️  Memory Service не знайдено (може бути нормально)"
+fi
+
+# ============================================================================
+# 3. Qdrant - перевірка API key
+# ============================================================================
+echo ""
+echo "=== 3. Qdrant API Key ==="
+
+if kubectl get secret -n qdrant qdrant-api-keys 2>/dev/null | grep -q "memory-service-key"; then
+    echo "✅ Qdrant API keys Secret існує"
+else
+    echo "❌ Qdrant API keys Secret НЕ існує"
+    FAILED=1
+fi
+
+# ============================================================================
+# Підсумок
+# ============================================================================
+echo ""
+if [ $FAILED -eq 0 ]; then
+    echo "✅ Всі перевірки пройдено - Auth enforcement активний"
+    exit 0
+else
+    echo "❌ Деякі перевірки не пройдено - Auth enforcement НЕ активний"
+    echo ""
+    echo "Дії:"
+    echo "  1. Запустіть: infrastructure/auth/generate-all-secrets.sh"
+    echo "  2. Завантажте секрети в Vault"
+    echo "  3. Оновіть External Secrets Operator"
+    echo "  4. Застосуйте auth конфігурації"
+    exit 1
+fi

infrastructure/auth/generate-all-secrets.sh

@@ -0,0 +1,159 @@
+#!/bin/bash
+# Atomic генерація всіх секретів для production
+# ВИКОНАТИ ОДНИМ СЕТОМ, без часткових деплоїв
+
+set -e
+
+echo "🔐 Генерація всіх секретів для production..."
+echo "⚠️  Це atomic операція - всі секрети генеруються разом"
+echo ""
+
+SECRETS_DIR="./secrets"
+mkdir -p "$SECRETS_DIR"
+
+# ============================================================================
+# 1. NATS Operator & Accounts
+# ============================================================================
+echo "=== 1. NATS Operator & Accounts ==="
+
+# Перевірка nsc
+if ! command -v nsc &> /dev/null; then
+    echo "⚠️  nsc не встановлено. Встановіть: https://github.com/nats-io/natscli"
+    echo "   Або використайте Docker: docker run -it --rm natsio/nats-box"
+    echo ""
+    echo "Генерую placeholder JWT..."
+    
+    # Placeholder JWT (для тестування)
+    cat > "$SECRETS_DIR/nats-operator.jwt" << EOF
+# TODO: Замінити на реальний operator JWT
+# Використайте: nsc add operator DAARION
+EOF
+    
+    cat > "$SECRETS_DIR/nats-system-account.jwt" << EOF
+# TODO: Замінити на реальний system account JWT
+# Використайте: nsc add account SYSTEM
+EOF
+else
+    OPERATOR_NAME="DAARION"
+    SYSTEM_ACCOUNT="SYSTEM"
+    
+    # Створення operator (якщо не існує)
+    if [ ! -d "$HOME/.nsc/nats/$OPERATOR_NAME" ]; then
+        echo "Створення operator: $OPERATOR_NAME"
+        nsc add operator "$OPERATOR_NAME"
+    fi
+    
+    # Створення system account
+    if [ ! -d "$HOME/.nsc/nats/$OPERATOR_NAME/accounts/$SYSTEM_ACCOUNT" ]; then
+        echo "Створення system account: $SYSTEM_ACCOUNT"
+        nsc add account "$SYSTEM_ACCOUNT"
+    fi
+    
+    # Створення user accounts
+    for user in memory-service worker-daemon matrix-gateway; do
+        if [ ! -f "$HOME/.nsc/nats/$OPERATOR_NAME/accounts/$SYSTEM_ACCOUNT/users/$user/$user.jwt" ]; then
+            echo "Створення user: $user"
+            nsc add user --account "$SYSTEM_ACCOUNT" "$user"
+        fi
+    done
+    
+    # Копіювання JWT
+    cp "$HOME/.nsc/nats/$OPERATOR_NAME/$OPERATOR_NAME.jwt" "$SECRETS_DIR/nats-operator.jwt"
+    cp "$HOME/.nsc/nats/$OPERATOR_NAME/accounts/$SYSTEM_ACCOUNT/$SYSTEM_ACCOUNT.jwt" "$SECRETS_DIR/nats-system-account.jwt"
+    
+    # Копіювання user JWT
+    for user in memory-service worker-daemon matrix-gateway; do
+        cp "$HOME/.nsc/nats/$OPERATOR_NAME/accounts/$SYSTEM_ACCOUNT/users/$user/$user.jwt" "$SECRETS_DIR/nats-$user.jwt"
+    done
+    
+    echo "✅ NATS JWT згенеровано"
+fi
+
+# ============================================================================
+# 2. Qdrant API Keys
+# ============================================================================
+echo ""
+echo "=== 2. Qdrant API Keys ==="
+
+MEMORY_SERVICE_KEY=$(openssl rand -hex 32)
+WORKER_DAEMON_KEY=$(openssl rand -hex 32)
+MATRIX_GATEWAY_KEY=$(openssl rand -hex 32)
+QDRANT_PRIMARY_KEY=$(openssl rand -hex 32)
+QDRANT_READONLY_KEY=$(openssl rand -hex 32)
+
+cat > "$SECRETS_DIR/qdrant-keys.txt" << EOF
+# Qdrant API Keys
+MEMORY_SERVICE_KEY=$MEMORY_SERVICE_KEY
+WORKER_DAEMON_KEY=$WORKER_DAEMON_KEY
+MATRIX_GATEWAY_KEY=$MATRIX_GATEWAY_KEY
+QDRANT_PRIMARY_KEY=$QDRANT_PRIMARY_KEY
+QDRANT_READONLY_KEY=$QDRANT_READONLY_KEY
+EOF
+
+echo "✅ Qdrant API keys згенеровано"
+
+# ============================================================================
+# 3. Memory Service JWT Secret
+# ============================================================================
+echo ""
+echo "=== 3. Memory Service JWT Secret ==="
+
+MEMORY_JWT_SECRET=$(openssl rand -hex 64)
+
+cat > "$SECRETS_DIR/memory-jwt-secret.txt" << EOF
+# Memory Service JWT Secret (HS256)
+MEMORY_JWT_SECRET=$MEMORY_JWT_SECRET
+EOF
+
+echo "✅ Memory Service JWT secret згенеровано"
+
+# ============================================================================
+# 4. Vault Rotation Policy (документація)
+# ============================================================================
+echo ""
+echo "=== 4. Vault Rotation Policy ==="
+
+cat > "$SECRETS_DIR/vault-rotation-policy.md" << EOF
+# Vault Rotation Policy
+
+## NATS JWT
+- **TTL:** 90 днів
+- **Rotation:** За 7 днів до expiry
+- **Auto-rotation:** Так (через External Secrets Operator)
+
+## Qdrant API Keys
+- **TTL:** 180 днів
+- **Rotation:** За 14 днів до expiry
+- **Auto-rotation:** Так
+
+## Memory Service JWT Secret
+- **TTL:** 365 днів
+- **Rotation:** За 30 днів до expiry
+- **Auto-rotation:** Так
+
+## Процес ротації:
+1. Генерація нових секретів
+2. Оновлення в Vault
+3. External Secrets Operator синхронізує в K8s
+4. Перезапуск сервісів (rolling update)
+5. Видалення старих секретів
+EOF
+
+echo "✅ Vault rotation policy документовано"
+
+# ============================================================================
+# Підсумок
+# ============================================================================
+echo ""
+echo "✅ Всі секрети згенеровано в: $SECRETS_DIR"
+echo ""
+echo "⚠️  КРИТИЧНО:"
+echo "   1. Збережіть $SECRETS_DIR в безпечне місце"
+echo "   2. Завантажте секрети в Vault"
+echo "   3. НЕ комітьте $SECRETS_DIR в Git!"
+echo ""
+echo "📋 Наступні кроки:"
+echo "   1. Завантажити секрети в Vault"
+echo "   2. Оновити External Secrets Operator"
+echo "   3. Застосувати auth enforcement"
+echo "   4. Запустити smoke-test"