Homelab/CLAUDE.md

# CLAUDE.md

## Commandes Terraform

Le `.env` est gitignore — le sourcer avant chaque commande Terraform :

```bash
source ~/homelab/.env
cd ~/homelab/terraform/proxmox
terraform apply
```

## Commandes Ansible

Toujours `--ask-vault-pass`, jamais `--vault-password-file`.
Toujours lancer depuis `~/homelab/ansible/` (ansible.cfg y est).

```bash
cd ~/homelab/ansible

# Déployer tout
ansible-playbook -i inventory/hosts.yml site.yml --ask-vault-pass

# Un seul playbook
ansible-playbook -i inventory/hosts.yml playbooks/forgejo.yml --ask-vault-pass

# Éditer le vault
ansible-vault edit inventory/group_vars/all/vault.yml --ask-vault-pass
```

## Déploiement d'une nouvelle VM

Ordre obligatoire :
```bash
cd ~/homelab/ansible
ansible-playbook -i inventory/hosts.yml playbooks/base.yml --limit <vm> --ask-vault-pass
ansible-playbook -i inventory/hosts.yml playbooks/docker.yml --limit <vm> --ask-vault-pass
ansible-playbook -i inventory/hosts.yml playbooks/<service>.yml --ask-vault-pass
```

## SSH agent (obligatoire avant Ansible)

```bash
eval $(ssh-agent -s) && ssh-add ~/.ssh/homelab
```

## Infrastructure

| Hôte | IP | Rôle |
|------|----|------|
| Proxmox | 192.168.1.242 | Hyperviseur |
| vm-gateway | 192.168.1.254 | WireGuard |
| vm-forgejo | 192.168.1.50 | Forgejo :3000 |
| vm-nextcloud | 192.168.1.51 | Nextcloud :8080 |
| vm-tools | 192.168.1.52 | Stirling PDF :8081 |
| vm-runner | 192.168.1.53 | Forgejo Actions Runner |
| VPS Scaleway | 51.158.126.113 | Caddy + WireGuard |
| QNAP | 192.168.1.208 | NAS NFS/SMB |

## Vault — variables clés

`vault_forgejo_db_password`, `vault_forgejo_domain`, `vault_nextcloud_db_password`,
`vault_nextcloud_admin_user`, `vault_nextcloud_admin_password`, `vault_nextcloud_domain`,
`vault_admin_password`, `vault_wg_*`, `vault_forgejo_runner_token`

## Pièges connus

- Les VMs Rocky Linux utilisent `firewalld`, le VPS Debian utilise `ufw`
- Docker gère lui-même les règles firewalld — ne pas les gérer dans les playbooks
- `NEXTCLOUD_TRUSTED_DOMAINS` n'est lu qu'au premier démarrage — utiliser `occ` pour modifier après install
- Le VPS a `ansible_user: Elewyn` (root SSH désactivé)
- Forgejo runner : la registration nécessite `user: "0:0"` et `working_dir: /data` — sinon permission denied sur `.runner`
- Terraform : `clone.datastore_id` et `initialization.datastore_id` doivent être explicites — `local-lvm` n'existe plus sur ce Proxmox
docs: README.md et CLAUDE.md 2026-04-30 08:15:18 +00:00			`# CLAUDE.md`

docs: runner VM, source .env Terraform, arborescence maj 2026-04-30 10:20:43 +00:00			`## Commandes Terraform`

			Le `.env` est gitignore — le sourcer avant chaque commande Terraform :

			```bash
			`source ~/homelab/.env`
			`cd ~/homelab/terraform/proxmox`
			`terraform apply`
			```

docs: README.md et CLAUDE.md 2026-04-30 08:15:18 +00:00			`## Commandes Ansible`

			Toujours `--ask-vault-pass`, jamais `--vault-password-file`.
docs: ordre deploiement VM et repertoire ansible 2026-04-30 12:01:18 +00:00			Toujours lancer depuis `~/homelab/ansible/` (ansible.cfg y est).
docs: README.md et CLAUDE.md 2026-04-30 08:15:18 +00:00
			```bash
docs: ordre deploiement VM et repertoire ansible 2026-04-30 12:01:18 +00:00			`cd ~/homelab/ansible`

docs: README.md et CLAUDE.md 2026-04-30 08:15:18 +00:00			`# Déployer tout`
docs: ordre deploiement VM et repertoire ansible 2026-04-30 12:01:18 +00:00			`ansible-playbook -i inventory/hosts.yml site.yml --ask-vault-pass`
docs: README.md et CLAUDE.md 2026-04-30 08:15:18 +00:00
			`# Un seul playbook`
docs: ordre deploiement VM et repertoire ansible 2026-04-30 12:01:18 +00:00			`ansible-playbook -i inventory/hosts.yml playbooks/forgejo.yml --ask-vault-pass`
docs: README.md et CLAUDE.md 2026-04-30 08:15:18 +00:00
			`# Éditer le vault`
docs: ordre deploiement VM et repertoire ansible 2026-04-30 12:01:18 +00:00			`ansible-vault edit inventory/group_vars/all/vault.yml --ask-vault-pass`
			```

			`## Déploiement d'une nouvelle VM`

			`Ordre obligatoire :`
			```bash
			`cd ~/homelab/ansible`
			`ansible-playbook -i inventory/hosts.yml playbooks/base.yml --limit <vm> --ask-vault-pass`
			`ansible-playbook -i inventory/hosts.yml playbooks/docker.yml --limit <vm> --ask-vault-pass`
			`ansible-playbook -i inventory/hosts.yml playbooks/<service>.yml --ask-vault-pass`
docs: README.md et CLAUDE.md 2026-04-30 08:15:18 +00:00			```

			`## SSH agent (obligatoire avant Ansible)`

			```bash
			`eval $(ssh-agent -s) && ssh-add ~/.ssh/homelab`
			```

			`## Infrastructure`

			`\| Hôte \| IP \| Rôle \|`
			`\|------\|----\|------\|`
			`\| Proxmox \| 192.168.1.242 \| Hyperviseur \|`
			`\| vm-gateway \| 192.168.1.254 \| WireGuard \|`
			`\| vm-forgejo \| 192.168.1.50 \| Forgejo :3000 \|`
			`\| vm-nextcloud \| 192.168.1.51 \| Nextcloud :8080 \|`
			`\| vm-tools \| 192.168.1.52 \| Stirling PDF :8081 \|`
added: vm runner iac and doc 2026-04-30 10:07:23 +00:00			`\| vm-runner \| 192.168.1.53 \| Forgejo Actions Runner \|`
docs: README.md et CLAUDE.md 2026-04-30 08:15:18 +00:00			`\| VPS Scaleway \| 51.158.126.113 \| Caddy + WireGuard \|`
			`\| QNAP \| 192.168.1.208 \| NAS NFS/SMB \|`

			`## Vault — variables clés`

			`vault_forgejo_db_password`, `vault_forgejo_domain`, `vault_nextcloud_db_password`,
			`vault_nextcloud_admin_user`, `vault_nextcloud_admin_password`, `vault_nextcloud_domain`,
added: vm runner iac and doc 2026-04-30 10:07:23 +00:00			`vault_admin_password`, `vault_wg_*`, `vault_forgejo_runner_token`
docs: README.md et CLAUDE.md 2026-04-30 08:15:18 +00:00
			`## Pièges connus`

			- Les VMs Rocky Linux utilisent `firewalld`, le VPS Debian utilise `ufw`
			`- Docker gère lui-même les règles firewalld — ne pas les gérer dans les playbooks`
			- `NEXTCLOUD_TRUSTED_DOMAINS` n'est lu qu'au premier démarrage — utiliser `occ` pour modifier après install
			- Le VPS a `ansible_user: Elewyn` (root SSH désactivé)
docs: pieges runner et terraform datastore 2026-04-30 12:16:24 +00:00			- Forgejo runner : la registration nécessite `user: "0:0"` et `working_dir: /data` — sinon permission denied sur `.runner`
			- Terraform : `clone.datastore_id` et `initialization.datastore_id` doivent être explicites — `local-lvm` n'existe plus sur ce Proxmox