Funk-lab/k8s/infra/monitoring
ALI YESILKAYA fe0aa89ffa
feat(security): durcissement edge funklab.online (vraie IP client + rate-limit + TLS/headers) (#95)
- Traefik externalTrafficPolicy: Local → IP client réelle (fin du SNAT kube-proxy)
- middleware ratelimit par IP (100/min, burst 200) sur les 6 routes publiques
- middleware security-headers (HSTS, nosniff, X-Frame SAMEORIGIN, Referrer-Policy)
- TLSOption globale : plancher TLS 1.2 + ciphers modernes
- Guacamole REMOTE_IP_VALVE → ban anti-bruteforce par IP (fin du piège n°5)
- nftables : fermeture des ports Internet legacy 9080/9081 (HTTP clair redondant)
- allowCrossNamespace pour mutualiser les middlewares depuis infra
- docs : section Durcissement (public-domain.md) + CAA OVH + pièges à jour

Co-authored-by: Claude Opus 4.8 <noreply@anthropic.com>
2026-07-07 22:58:24 +02:00
..
alerts chore(gpu-01): retire les serveurs llama CPU system/monitor/dev (inutilisés) (#31) 2026-06-20 13:25:50 +02:00
dashboards chore(gpu-01): retire les serveurs llama CPU system/monitor/dev (inutilisés) (#31) 2026-06-20 13:25:50 +02:00
helmrelease.yaml fix: helmrelease monitoring — multi-source correct (sources uniquement, valueFiles) 2026-05-13 20:34:11 +02:00
ingressroute-public.yaml feat(security): durcissement edge funklab.online (vraie IP client + rate-limit + TLS/headers) (#95) 2026-07-07 22:58:24 +02:00
namespace.yaml fix: monitoring namespace — PodSecurity privileged pour node-exporter 2026-05-13 21:46:54 +02:00
values.yaml feat(grafana): bascule sur le domaine public HTTPS (grafana.funklab.online) (#90) 2026-07-07 16:41:21 +02:00