Remove MinIO firewall rule (port 9000) from VM 202 #76

Merged
admin merged 1 commits from remove-minio-fw-rule into main 2026-02-20 19:15:50 +01:00
Owner

Summary

  • Remove Proxmox FW rule for port 9000 (MinIO) from VM 202
  • MinIO removed from architecture; PDFs stored in PostgreSQL BYTEA
  • Only PostgreSQL port 5432 rule remains

Context

Part of MinIO removal cleanup. Go app, K8s manifests, and VM already cleaned up.

## Summary - Remove Proxmox FW rule for port 9000 (MinIO) from VM 202 - MinIO removed from architecture; PDFs stored in PostgreSQL BYTEA - Only PostgreSQL port 5432 rule remains ## Context Part of MinIO removal cleanup. Go app, K8s manifests, and VM already cleaned up.
claude added 1 commit 2026-02-20 19:02:29 +01:00
Remove MinIO firewall rule (port 9000) from VM 202
Some checks failed
AI Review / AI Code Review (pull_request) Successful in 2s
PR Checks / OpenTofu Validate & Policy (pull_request) Failing after 9s
Security Scan / Security Scan (pull_request) Successful in 10s
1/1 projects planned successfully.
56cac80179
MinIO has been removed from the report-generator architecture.
PDFs are now stored directly in PostgreSQL (BYTEA column).
Only PostgreSQL port 5432 remains needed.

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
Author
Owner

AI Code Review

Обзор PR выглядит корректным. Вот мой анализ:

Всё хорошо

Безопасность:

  • Удаление открытого порта 9000 (MinIO) снижает поверхность атаки — правильно
  • Остаётся только PostgreSQL 5432 с ограничением source (185.47.204.226) — корректно

Scope изменения:

  • Локализовано в locals одного файла — низкий риск регрессии
  • Портирует только одну строку конфигурации — минимальный blast radius
  • VM 202 всё ещё доступна по PostgreSQL (основной сервис)

Практика:

  • Comment в оставшемся правиле актуален (K8s на bare_srv_1)
  • Не затрагивает другие VM или K8s конфигурацию

⚠️ Рекомендация перед мержем

  1. Verify: Перед мержем убедитесь, что:

    • MinIO действительно удалён из K8s манифестов (search_docs или ArgoCD)
    • VM 202 не содержит MinIO конфигурацию
    • Нет других мест в Terraform, где ссылка на порт 9000 или MinIO
  2. Terraform план: Запустите terraform plan для проверки, что изменение применяется именно к VM 202 FW rules (не к другим ресурсам)

Вывод: Безопасно мержить после verify шагов выше.


Automated review by Claude Haiku | advisory, does not block merge

## AI Code Review Обзор PR выглядит корректным. Вот мой анализ: ## ✅ Всё хорошо **Безопасность:** - Удаление открытого порта 9000 (MinIO) снижает поверхность атаки — правильно - Остаётся только PostgreSQL 5432 с ограничением source (185.47.204.226) — корректно **Scope изменения:** - Локализовано в `locals` одного файла — низкий риск регрессии - Портирует только одну строку конфигурации — минимальный blast radius - VM 202 всё ещё доступна по PostgreSQL (основной сервис) **Практика:** - Comment в оставшемся правиле актуален (K8s на bare_srv_1) - Не затрагивает другие VM или K8s конфигурацию ## ⚠️ Рекомендация перед мержем 1. **Verify:** Перед мержем убедитесь, что: - MinIO действительно удалён из K8s манифестов (`search_docs` или ArgoCD) - VM 202 не содержит MinIO конфигурацию - Нет других мест в Terraform, где ссылка на порт 9000 или MinIO 2. **Terraform план:** Запустите `terraform plan` для проверки, что изменение применяется именно к VM 202 FW rules (не к другим ресурсам) **Вывод:** Безопасно мержить после verify шагов выше. --- _Automated review by Claude Haiku | advisory, does not block merge_
Author
Owner

Ran Plan for project: production dir: environments/production workspace: default

Show Output
OpenTofu used the selected providers to generate the following execution
plan. Resource actions are indicated with the following symbols:
~ update in-place (current -> planned)

OpenTofu will perform the following actions:

  # module.tenant_vm["vm-202-reportgen"].proxmox_virtual_environment_firewall_rules.tenant will be updated in-place
~ resource "proxmox_virtual_environment_firewall_rules" "tenant" {
        id        = "rule-2763983303"
        # (2 unchanged attributes hidden)

      - rule {
          - action  = "ACCEPT" -> null
          - comment = "MinIO from K8s (bare_srv_1)" -> null
          - dport   = "9000" -> null
          - enabled = true -> null
          - pos     = 5 -> null
          - proto   = "tcp" -> null
          - source  = "185.47.204.226" -> null
          - type    = "in" -> null
        }

        # (5 unchanged blocks hidden)
    }

Plan: 0 to add, 1 to change, 0 to destroy.


=== Checkov IaC Security Scan ===
  • ▶️ To apply this plan, comment:
    atlantis apply -p production
    
  • 🚮 To delete this plan and lock, click here
  • 🔁 To plan this project again, comment:
    atlantis plan -p production
    

Plan: 0 to add, 1 to change, 0 to destroy.


  • To apply all unapplied plans from this Pull Request, comment:
    atlantis apply
    
  • 🚮 To delete all plans and locks from this Pull Request, comment:
    atlantis unlock
    
Ran Plan for project: `production` dir: `environments/production` workspace: `default` <details><summary>Show Output</summary> ```diff OpenTofu used the selected providers to generate the following execution plan. Resource actions are indicated with the following symbols: ~ update in-place (current -> planned) OpenTofu will perform the following actions: # module.tenant_vm["vm-202-reportgen"].proxmox_virtual_environment_firewall_rules.tenant will be updated in-place ~ resource "proxmox_virtual_environment_firewall_rules" "tenant" { id = "rule-2763983303" # (2 unchanged attributes hidden) - rule { - action = "ACCEPT" -> null - comment = "MinIO from K8s (bare_srv_1)" -> null - dport = "9000" -> null - enabled = true -> null - pos = 5 -> null - proto = "tcp" -> null - source = "185.47.204.226" -> null - type = "in" -> null } # (5 unchanged blocks hidden) } Plan: 0 to add, 1 to change, 0 to destroy. === Checkov IaC Security Scan === ``` </details> * :arrow_forward: To **apply** this plan, comment: ```shell atlantis apply -p production ``` * :put_litter_in_its_place: To **delete** this plan and lock, click [here](http://atlantis:4141/lock?id=claude%252Finfrastructure%252Fenvironments%252Fproduction%252Fdefault%252Fproduction) * :repeat: To **plan** this project again, comment: ```shell atlantis plan -p production ``` Plan: 0 to add, 1 to change, 0 to destroy. --- * :fast_forward: To **apply** all unapplied plans from this Pull Request, comment: ```shell atlantis apply ``` * :put_litter_in_its_place: To **delete** all plans and locks from this Pull Request, comment: ```shell atlantis unlock ```
admin approved these changes 2026-02-20 19:15:42 +01:00
admin left a comment
Collaborator

LGTM - MinIO FW rule removal

LGTM - MinIO FW rule removal
admin merged commit 207be707aa into main 2026-02-20 19:15:50 +01:00
Author
Owner

Locks and plans deleted for the projects and workspaces modified in this pull request:

  • dir: environments/production workspace: default
Locks and plans deleted for the projects and workspaces modified in this pull request: - dir: `environments/production` workspace: `default`
Sign in to join this conversation.
No Reviewers
No Label
2 Participants
Notifications
Due Date
No due date set.
Dependencies

No dependencies set.

Reference: claude/infrastructure#76
No description provided.