nixos/modules/services/system/cachix-watch-store.nix

   1 { config, pkgs, lib, ... }:
   2
   3 with lib;
   4
   5 let
   6   cfg = config.services.cachix-watch-store;
   7 in
   8 {
   9   meta.maintainers = [ lib.maintainers.jfroche lib.maintainers.domenkozar ];
  10
  11   options.services.cachix-watch-store = {
  12     enable = mkEnableOption "Cachix Watch Store: https://docs.cachix.org";
  13
  14     cacheName = mkOption {
  15       type = types.str;
  16       description = "Cachix binary cache name";
  17     };
  18
  19     cachixTokenFile = mkOption {
  20       type = types.path;
  21       description = ''
  22         Required file that needs to contain the cachix auth token.
  23       '';
  24     };
  25
  26     signingKeyFile = mkOption {
  27       type = types.nullOr types.path;
  28       description = ''
  29         Optional file containing a self-managed signing key to sign uploaded store paths.
  30       '';
  31       default = null;
  32     };
  33
  34     compressionLevel = mkOption {
  35       type = types.nullOr types.int;
  36       description = "The compression level for ZSTD compression (between 0 and 16)";
  37       default = null;
  38     };
  39
  40     jobs = mkOption {
  41       type = types.nullOr types.int;
  42       description = "Number of threads used for pushing store paths";
  43       default = null;
  44     };
  45
  46     host = mkOption {
  47       type = types.nullOr types.str;
  48       default = null;
  49       description = "Cachix host to connect to";
  50     };
  51
  52     verbose = mkOption {
  53       type = types.bool;
  54       description = "Enable verbose output";
  55       default = false;
  56     };
  57
  58     package = mkPackageOption pkgs "cachix" { };
  59   };
  60
  61   config = mkIf cfg.enable {
  62     systemd.services.cachix-watch-store-agent = {
  63       description = "Cachix watch store Agent";
  64       wants = [ "network-online.target" ];
  65       after = [ "network-online.target" ];
  66       path = [ config.nix.package ];
  67       wantedBy = [ "multi-user.target" ];
  68       unitConfig = {
  69         # allow to restart indefinitely
  70         StartLimitIntervalSec = 0;
  71       };
  72       serviceConfig = {
  73         # don't put too much stress on the machine when restarting
  74         RestartSec = 1;
  75         # we don't want to kill children processes as those are deployments
  76         KillMode = "process";
  77         Restart = "on-failure";
  78         DynamicUser = true;
  79         LoadCredential = [
  80           "cachix-token:${toString cfg.cachixTokenFile}"
  81         ]
  82         ++ lib.optional (cfg.signingKeyFile != null) "signing-key:${toString cfg.signingKeyFile}";
  83       };
  84       script =
  85         let
  86           command = [ "${cfg.package}/bin/cachix" ]
  87             ++ (lib.optional cfg.verbose "--verbose") ++ (lib.optionals (cfg.host != null) [ "--host" cfg.host ])
  88             ++ [ "watch-store" ] ++ (lib.optionals (cfg.compressionLevel != null) [ "--compression-level" (toString cfg.compressionLevel) ])
  89             ++ (lib.optionals (cfg.jobs != null) [ "--jobs" (toString cfg.jobs) ]) ++ [ cfg.cacheName ];
  90         in
  91         ''
  92           export CACHIX_AUTH_TOKEN="$(<"$CREDENTIALS_DIRECTORY/cachix-token")"
  93           ${lib.optionalString (cfg.signingKeyFile != null) ''export CACHIX_SIGNING_KEY="$(<"$CREDENTIALS_DIRECTORY/signing-key")"''}
  94           ${lib.escapeShellArgs command}
  95         '';
  96     };
  97   };
  98 }