# CURRENT-STATE

## Estado general

OVH debe considerarse la frontera pública endurecida de MESAVAULT.

## Componentes documentados en OVH

Contenedores activos de referencia documentados:

- `mv_traefik`
- `mv_authentik_server`
- `mv_authentik_worker`
- `mv_authentik_db`
- `mv_whoami`
- `mv_logout_page`
- `mv_grafana_client1`

Contenedor LoRaWAN documentado:

- `mv_chirpstack_gateway_bridge`

## Papel operativo consolidado

OVH aloja:

- Traefik
- Authentik
- logout handler
- tenant Grafana del cliente
- Gateway Bridge
- routing `/control/*`
- enlace privado por Tailscale hacia `platform-40`

## Estado funcional consolidado para drenaje

En el caso del drenaje quedó fijado que:

- el dashboard del cliente vive en OVH
- la UI de control se publica en `/control/`
- Traefik usa file provider para esa subruta
- el backend apuntado por Traefik es `http://<TS_IP_PLATFORM40>:8088`
- el tenant del cliente documentado es `elpicon.panel.mesavault.es`
- Grafana embebe `/control/ui` por iframe
- Authentik aporta identidad centralizada

## Decisiones técnicas relevantes

- un solo host por cliente
- `/control/` bajo el mismo tenant, no subdominio aparte
- file provider en Traefik para enrutar `/control`
- `forwardAuth` definido en el propio fichero dinámico
- OVH solo enruta y autentica; no guarda datos del backend

## Pendientes

- versionar en Gitea el `docker-compose.yml` saneado de OVH
- versionar el `tenant-control.yml` saneado
- versionar el compose del tenant de El Picon
- decidir si el nombre `mv_grafana_client1` sigue siendo el naming final o fue una fase intermedia