chemavxandClaude Fable 5 59bc269923 feat(portfolio): tarjeta Polymarket Bot pasa a Archived / case study
Sustituye el widget live (fetch a polymarket.chemavx.xyz/api/summary) por
una tarjeta estática con las cifras finales del paper trading y enlace al
case study en el repo. La tarjeta de servicio apunta al repo de Gitea en
lugar del dominio, que desaparecerá con el apagado.

NO MERGEAR HASTA F2/F3: mientras el bot siga vivo, main mantiene el
widget live. Aplicar esta rama cuando se apague el bot (Fase 3 del plan
de decomisión).

Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
2026-07-06 07:40:09 +00:00
2026-04-27 13:53:42 +00:00

k8s-manifests

Manifests de Kubernetes gestionados por ArgoCD para el cluster chemavx.

Regla crítica: secrets en git

Los secrets con datos sensibles NO se guardan en este repo.

Los archivos de secret en este repo sólo contienen metadata (name, namespace, labels, annotations). Los campos data / stringData se gestionan manualmente fuera de git.

Por qué

Un valor placeholder como REDACTED es base64 válido que decodifica a bytes no-UTF-8. Si ArgoCD aplica ese manifest, corrompe el secret en el cluster, lo que puede:

  • Romper certificados TLS (ERR_CERT_AUTHORITY_INVALID)
  • Impedir que pods arranquen (grpc: error while marshaling: string field contains invalid UTF-8)
  • Cifrar credenciales con una clave incorrecta

Secrets TLS (cert-manager)

Los secrets TLS los gestiona cert-manager automáticamente a partir del recurso Certificate. No crear archivos secret-*-tls.yaml con datos.

Secrets de aplicación — crear manualmente antes del primer deploy

Namespace Secret Comando
n8n n8n-secret kubectl create secret generic n8n-secret --from-literal=encryption-key='<valor-en-vaultwarden>' -n n8n
authentik authentik-secret Ver Vaultwarden → "authentik"
cloudflare-ddns cloudflare-ddns-secret Ver Vaultwarden → "cloudflare-ddns"
vaultwarden vaultwarden-secret Ver Vaultwarden → "vaultwarden"
openclaw openclaw-token Ver Vaultwarden → "openclaw"
ghost-en ghost-en-smtp kubectl create secret generic ghost-en-smtp --from-literal=SMTP_USER='<user-gmail>' --from-literal=SMTP_PASS='<app-password>' -n ghost-en
argocd argocd-secret Gestionado por ArgoCD bootstrap
argocd argocd-redis Gestionado por ArgoCD bootstrap
monitoring kube-prometheus-stack-grafana Ver Vaultwarden → "grafana"
monitoring kube-prometheus-stack-admission Generado por helm (webhook TLS)

ArgoCD ignoreDifferences para secrets

Toda ArgoCD Application que gestione un namespace con secrets debe incluir ignoreDifferences para el campo /data:

spec:
  ignoreDifferences:
    - group: ""
      kind: Secret
      name: <nombre-del-secret>
      namespace: <namespace>
      jsonPointers:
        - /data
  syncPolicy:
    syncOptions:
      - RespectIgnoreDifferences=true

Ver n8n ArgoCD Application como referencia.

Pre-commit hook

Este repo incluye un pre-commit hook que rechaza commits con REDACTED en archivos .yaml. Instalar con:

cp .githooks/pre-commit .git/hooks/pre-commit
chmod +x .git/hooks/pre-commit

Renovate Bot

Secret renovate-token gestionado manualmente (no está en el repo). Para recrearlo:

kubectl create secret generic renovate-token \
  --from-literal=RENOVATE_TOKEN=<token-gitea> \
  -n renovate

Token en https://git.chemavx.xyz/user/settings/applications con permisos: issue: Read/Write, repository: Read/Write, user: Read

Imagen fijada a 38.0.0 — no actualizar a latest sin probar autenticación primero.

ArgoCD patches

Después de instalar ArgoCD aplicar: kubectl apply -f argocd-patches/redis-patch.yaml

S
Description
Kubernetes manifests
Readme
1.6 MiB
Languages
JavaScript 80.9%
Shell 19.1%