Camada 4 — Ingress / exposição
Esta camada é a interface entre internet/UnespNet e os serviços internos. Usuários (alunos, pesquisadores, externos) chegam aqui antes de qualquer app.
Componentes
| Componente | Papel |
|---|---|
| Traefik | Reverse proxy, TLS termination, roteamento por hostname |
| cert-manager | Rotação automática de certificados (Let’s Encrypt via DNS-01) |
| Cloudflare DNS | DNS authoritative + DNS-01 challenge + (futuro) Cloudflare Tunnel |
| VyOS port forwarding (camada 3) | Roteamento WAN → IP interno do Traefik |
Decisões CPPS
- 1 Traefik por site (SP, Franca) — autonomia local
- IP único por site (SP:
192.168.10.6) - Cloudflare como DNS authoritative principal
- Failover via Cloudflare Tunnel (ADR-008)
Inventário
- Hostnames em produção — 26+ apps com tier de criticidade
Estado atual
- ✅ Traefik SP em produção
- 🚧 Traefik Franca consolidando
- ❌ cert-manager + ClusterIssuer pendentes (ADR-006 pré-requisito)
- ❌ Cloudflare Tunnel pra failover (ADR-008)
Referência cruzada
- TLS como capacidade transversal: /transversais/certificados/
- Camada 3 (rede): /camadas/3-rede/
- Camada 5 (K8s): /camadas/5-kubernetes/ — Traefik geralmente roda no K8s