fix: add restart handler on forgejo config changes, document intentional choices

- forgejo.yml : handler restart forgejo manquant, notify sur copy et template
- base.yml : commentaire sur state: latest (patching initial, tag [update])
- main.tf : commentaire sur insecure = true (cert auto-signé Proxmox LAN)

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

ansible/playbooks/base.yml

@@ -12,6 +12,9 @@
 
   tasks:
     # -- Mise a jour systeme --
+    # state: latest intentionnel — cette tâche patche l'intégralité du système
+    # au premier provisionnement. Contrôlée par le tag [update] : ne tourne
+    # que si explicitement demandé, pas à chaque re-jeu du playbook.
     - name: Mise a jour des paquets
       ansible.builtin.dnf:
         name: "*"

ansible/playbooks/forgejo.yml

@@ -27,6 +27,7 @@
         owner: "{{ admin_user }}"
         group: "{{ admin_user }}"
         mode: "0644"
+      notify: restart forgejo
       tags: [forgejo]
 
     - name: Deploiement .env Forgejo
@@ -36,6 +37,7 @@
         owner: "{{ admin_user }}"
         group: "{{ admin_user }}"
         mode: "0600"
+      notify: restart forgejo
       tags: [forgejo]
 
     - name: Demarrage Forgejo
@@ -57,6 +59,11 @@
       tags: [forgejo, firewall]
 
   handlers:
+    - name: restart forgejo
+      community.docker.docker_compose_v2:
+        project_src: /opt/forgejo
+        state: restarted
+
     - name: reload firewalld
       ansible.builtin.systemd:
         name: firewalld

terraform/proxmox/main.tf

@@ -11,6 +11,8 @@ terraform {
 provider "proxmox" {
   endpoint  = var.proxmox_url
   api_token = var.proxmox_api_token
+  # insecure = true : Proxmox expose un certificat auto-signé sur le LAN.
+  # Pas de CA interne ni de cert Let's Encrypt sur IP privée — vérification TLS impossible.
   insecure  = true
 
   ssh {