Remove MinIO firewall rule (port 9000) from VM 202 #76

Merged

admin merged 1 commits from remove-minio-fw-rule into main 2026-02-20 19:15:50 +01:00

Conversation 4 Commits 1 Files Changed 1 -8

claude commented 2026-02-20 19:02:29 +01:00

Owner

Copy Link

Summary

• Remove Proxmox FW rule for port 9000 (MinIO) from VM 202
• MinIO removed from architecture; PDFs stored in PostgreSQL BYTEA
• Only PostgreSQL port 5432 rule remains

Context

Part of MinIO removal cleanup. Go app, K8s manifests, and VM already cleaned up.

## Summary - Remove Proxmox FW rule for port 9000 (MinIO) from VM 202 - MinIO removed from architecture; PDFs stored in PostgreSQL BYTEA - Only PostgreSQL port 5432 rule remains ## Context Part of MinIO removal cleanup. Go app, K8s manifests, and VM already cleaned up.

claude added 1 commit 2026-02-20 19:02:29 +01:00

Remove MinIO firewall rule (port 9000) from VM 202 ... 56cac80179

MinIO has been removed from the report-generator architecture.
PDFs are now stored directly in PostgreSQL (BYTEA column).
Only PostgreSQL port 5432 remains needed.

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

claude commented 2026-02-20 19:02:41 +01:00

Author

Owner

Copy Link

AI Code Review

Обзор PR выглядит корректным. Вот мой анализ:

✅ Всё хорошо

Безопасность:

• Удаление открытого порта 9000 (MinIO) снижает поверхность атаки — правильно
• Остаётся только PostgreSQL 5432 с ограничением source (185.47.204.226) — корректно

Scope изменения:

• Локализовано в locals одного файла — низкий риск регрессии
• Портирует только одну строку конфигурации — минимальный blast radius
• VM 202 всё ещё доступна по PostgreSQL (основной сервис)

Практика:

• Comment в оставшемся правиле актуален (K8s на bare_srv_1)
• Не затрагивает другие VM или K8s конфигурацию

⚠️ Рекомендация перед мержем

1. Verify: Перед мержем убедитесь, что:

   • MinIO действительно удалён из K8s манифестов (search_docs или ArgoCD)
   • VM 202 не содержит MinIO конфигурацию
   • Нет других мест в Terraform, где ссылка на порт 9000 или MinIO

2. Terraform план: Запустите terraform plan для проверки, что изменение применяется именно к VM 202 FW rules (не к другим ресурсам)

Вывод: Безопасно мержить после verify шагов выше.

---

Automated review by Claude Haiku | advisory, does not block merge

## AI Code Review Обзор PR выглядит корректным. Вот мой анализ: ## ✅ Всё хорошо **Безопасность:** - Удаление открытого порта 9000 (MinIO) снижает поверхность атаки — правильно - Остаётся только PostgreSQL 5432 с ограничением source (185.47.204.226) — корректно **Scope изменения:** - Локализовано в `locals` одного файла — низкий риск регрессии - Портирует только одну строку конфигурации — минимальный blast radius - VM 202 всё ещё доступна по PostgreSQL (основной сервис) **Практика:** - Comment в оставшемся правиле актуален (K8s на bare_srv_1) - Не затрагивает другие VM или K8s конфигурацию ## ⚠️ Рекомендация перед мержем 1. **Verify:** Перед мержем убедитесь, что: - MinIO действительно удалён из K8s манифестов (`search_docs` или ArgoCD) - VM 202 не содержит MinIO конфигурацию - Нет других мест в Terraform, где ссылка на порт 9000 или MinIO 2. **Terraform план:** Запустите `terraform plan` для проверки, что изменение применяется именно к VM 202 FW rules (не к другим ресурсам) **Вывод:** Безопасно мержить после verify шагов выше. --- _Automated review by Claude Haiku | advisory, does not block merge_

claude commented 2026-02-20 19:02:45 +01:00

Author

Owner

Copy Link

Ran Plan for project: production dir: environments/production workspace: default

Show Output

OpenTofu used the selected providers to generate the following execution
plan. Resource actions are indicated with the following symbols:
~ update in-place (current -> planned)

OpenTofu will perform the following actions:

  # module.tenant_vm["vm-202-reportgen"].proxmox_virtual_environment_firewall_rules.tenant will be updated in-place
~ resource "proxmox_virtual_environment_firewall_rules" "tenant" {
        id        = "rule-2763983303"
        # (2 unchanged attributes hidden)

      - rule {
          - action  = "ACCEPT" -> null
          - comment = "MinIO from K8s (bare_srv_1)" -> null
          - dport   = "9000" -> null
          - enabled = true -> null
          - pos     = 5 -> null
          - proto   = "tcp" -> null
          - source  = "185.47.204.226" -> null
          - type    = "in" -> null
        }

        # (5 unchanged blocks hidden)
    }

Plan: 0 to add, 1 to change, 0 to destroy.


=== Checkov IaC Security Scan ===

• ▶️ To apply this plan, comment:

  atlantis apply -p production
  

• 🚮 To delete this plan and lock, click here
• 🔁 To plan this project again, comment:

  atlantis plan -p production
  

Plan: 0 to add, 1 to change, 0 to destroy.

---

• ⏩ To apply all unapplied plans from this Pull Request, comment:

  atlantis apply
  

• 🚮 To delete all plans and locks from this Pull Request, comment:

  atlantis unlock
  

Ran Plan for project: `production` dir: `environments/production` workspace: `default` <details><summary>Show Output</summary> ```diff OpenTofu used the selected providers to generate the following execution plan. Resource actions are indicated with the following symbols: ~ update in-place (current -> planned) OpenTofu will perform the following actions: # module.tenant_vm["vm-202-reportgen"].proxmox_virtual_environment_firewall_rules.tenant will be updated in-place ~ resource "proxmox_virtual_environment_firewall_rules" "tenant" { id = "rule-2763983303" # (2 unchanged attributes hidden) - rule { - action = "ACCEPT" -> null - comment = "MinIO from K8s (bare_srv_1)" -> null - dport = "9000" -> null - enabled = true -> null - pos = 5 -> null - proto = "tcp" -> null - source = "185.47.204.226" -> null - type = "in" -> null } # (5 unchanged blocks hidden) } Plan: 0 to add, 1 to change, 0 to destroy. === Checkov IaC Security Scan === ``` </details> * :arrow_forward: To **apply** this plan, comment: ```shell atlantis apply -p production ``` * :put_litter_in_its_place: To **delete** this plan and lock, click [here](http://atlantis:4141/lock?id=claude%252Finfrastructure%252Fenvironments%252Fproduction%252Fdefault%252Fproduction) * :repeat: To **plan** this project again, comment: ```shell atlantis plan -p production ``` Plan: 0 to add, 1 to change, 0 to destroy. --- * :fast_forward: To **apply** all unapplied plans from this Pull Request, comment: ```shell atlantis apply ``` * :put_litter_in_its_place: To **delete** all plans and locks from this Pull Request, comment: ```shell atlantis unlock ```

admin approved these changes 2026-02-20 19:15:42 +01:00

admin left a comment

Collaborator

Copy Link

LGTM - MinIO FW rule removal

LGTM - MinIO FW rule removal

admin merged commit 207be707aa into main 2026-02-20 19:15:50 +01:00

claude commented 2026-02-20 19:15:51 +01:00

Author

Owner

Copy Link

Locks and plans deleted for the projects and workspaces modified in this pull request:

• dir: environments/production workspace: default

Locks and plans deleted for the projects and workspaces modified in this pull request: - dir: `environments/production` workspace: `default`

admin referenced this issue from a commit 2026-02-20 19:15:53 +01:00

Merge pull request 'Remove MinIO firewall rule (port 9000) from VM 202' (#76) from remove-minio-fw-rule into main

Sign in to join this conversation.

Reviewers

No Reviewers

admin

Labels

No items

No Label

Milestone

No items

No Milestone

Projects

Clear projects

No project

Assignees

Clear assignees

admin claude

No Assignees

2 Participants

Notifications

Subscribe

Due Date

No due date set.

Dependencies

No dependencies set.

Reference: claude/infrastructure#76

No description provided.