# Plataforma: ovh-cloud

## Qué es

`ovh-cloud` es la frontera pública endurecida de MESAVAULT.

No es el plano de datos ni el backend principal. Su papel correcto es:

- publicación web
- identidad y MFA
- tenanting por cliente
- routing público
- ingress LoRaWAN cuando aplica
- salto privado por Tailscale hacia `platform-40`

## Papel dentro de la arquitectura

La separación consolidada es esta:

- **OVH** publica, autentica y enruta
- **platform-40** ejecuta, persiste y procesa

En el caso del drenaje:

- el cliente entra por `https://elpicon.panel.mesavault.es`
- el dashboard del cliente vive en OVH
- la UI de control se publica por `/control/ui`
- Traefik y Authentik viven en OVH
- el backend real vive en `platform-40`
- la comunicación privada OVH -> `platform-40` va por Tailscale

## Qué sí pertenece aquí

- documentación del frontal público
- Traefik
- Authentik
- logout handler
- Gateway Bridge
- tenants Grafana
- `tenant-control.yml`
- routing `/control/*`
- rutas reales del host OVH
- operación diaria del frontal

## Qué no pertenece aquí como elemento principal

No debe vivir aquí como fuente principal:

- PostgreSQL hot
- Mosquitto interno
- ChirpStack core
- `drain_control_api`
- `drain_control_scheduler`
- `pg_sink.py`
- datos persistidos del stack

Eso pertenece a `platform-40`.

## Principio clave

OVH no debe degradarse en backend generalista ni almacén de datos central.

OVH es frontera pública, identidad, publicación web e ingress cuando haga falta. `platform-40` sigue siendo el plano de datos real. 

## Referencias cruzadas

- backend de datos: `10-platforms/homelab/platform-40/`
- vertical reusable de drenaje: `30-verticals/climate-drainage-ngs/`
- kit físico validado: `25-kits/lsn50-v2-xkc-y25-v-drainage/`
- BookStack: `pendiente_de_crear`
- Vaultwarden: `pendiente_de_crear`