docs: README.md et CLAUDE.md

CLAUDE.md

@@ -0,0 +1,47 @@
+# CLAUDE.md
+
+## Commandes Ansible
+
+Toujours `--ask-vault-pass`, jamais `--vault-password-file`.
+
+```bash
+# Déployer tout
+ansible-playbook -i ansible/inventory/hosts.yml ansible/site.yml --ask-vault-pass
+
+# Un seul playbook
+ansible-playbook -i ansible/inventory/hosts.yml ansible/playbooks/forgejo.yml --ask-vault-pass
+
+# Éditer le vault
+ansible-vault edit ansible/inventory/group_vars/all/vault.yml --ask-vault-pass
+```
+
+## SSH agent (obligatoire avant Ansible)
+
+```bash
+eval $(ssh-agent -s) && ssh-add ~/.ssh/homelab
+```
+
+## Infrastructure
+
+| Hôte | IP | Rôle |
+|------|----|------|
+| Proxmox | 192.168.1.242 | Hyperviseur |
+| vm-gateway | 192.168.1.254 | WireGuard |
+| vm-forgejo | 192.168.1.50 | Forgejo :3000 |
+| vm-nextcloud | 192.168.1.51 | Nextcloud :8080 |
+| vm-tools | 192.168.1.52 | Stirling PDF :8081 |
+| VPS Scaleway | 51.158.126.113 | Caddy + WireGuard |
+| QNAP | 192.168.1.208 | NAS NFS/SMB |
+
+## Vault — variables clés
+
+`vault_forgejo_db_password`, `vault_forgejo_domain`, `vault_nextcloud_db_password`,
+`vault_nextcloud_admin_user`, `vault_nextcloud_admin_password`, `vault_nextcloud_domain`,
+`vault_admin_password`, `vault_wg_*`
+
+## Pièges connus
+
+- Les VMs Rocky Linux utilisent `firewalld`, le VPS Debian utilise `ufw`
+- Docker gère lui-même les règles firewalld — ne pas les gérer dans les playbooks
+- `NEXTCLOUD_TRUSTED_DOMAINS` n'est lu qu'au premier démarrage — utiliser `occ` pour modifier après install
+- Le VPS a `ansible_user: Elewyn` (root SSH désactivé)

terraform/proxmox/main.tf

@@ -1,4 +1,4 @@
-# Provider Proxmox (bpg) - plus moderne, pas le bug user list de telmate
+# Provider Proxmox (bpg)
 terraform {
   required_providers {
     proxmox = {