# MinIO (S3 Object Storage) Setup

MinIO wird als lokaler S3-kompatibler Object Storage in Kubernetes betrieben. Es dient als Speicherziel für Anwendungen wie Outline, Backups und Medien-Uploads.

## 1. Architektur & Storage
MinIO läuft als einzelner Pod (`Deployment` mit Replicas=1) und nutzt einen Kubernetes `PersistentVolumeClaim` (PVC).

- **PVC Größe:** 50Gi (Initial)
- **Storage Class:** `local-path` (Standard K3s)
- **Physischer Speicher:** Die Daten landen auf der VM (`vm-k3s-master-400`) im Verzeichnis `/var/lib/rancher/k3s/storage/`.

### Erweiterung (Proxmox)
Wenn der Speicherplatz der VM zur Neige geht:
1.  In Proxmox die VM-Disk vergrößern (oder eine zweite Disk hinzufügen).
2.  Im Linux-Gast (`vm-k3s-master-400`) das Dateisystem erweitern (`resize2fs`).
3.  Die Daten für MinIO wachsen automatisch mit dem verfügbaren Platz auf der Partition.

## 2. Vault Secrets
MinIO benötigt einen Root User und ein Passwort. Diese werden in Vault gespeichert.

**Pfad:** `secret/apps/minio`

| Key | Value | Beschreibung |
| :--- | :--- | :--- |
| `root_user` | `admin` | Der Benutzername für den Admin-Login. |
| `root_password` | `...` | Ein starkes, generiertes Passwort. |

### Vault Setup Befehle
```bash
# 1. Passwort generieren
MINIO_PW=$(openssl rand -base64 24)

# 2. In Vault schreiben
vault kv put secret/apps/minio root_user="admin" root_password="$MINIO_PW"
```

## 3. Zugriff
Das System stellt zwei Domains bereit:

1.  **Console (Web UI):** `https://minio.apps.k3s.stabify.de`
    - Hier loggst du dich ein, erstellst Buckets, User und Access Keys.
2.  **S3 API:** `https://s3.apps.k3s.stabify.de`
    - Diesen Endpunkt tragen Applikationen (wie Outline) als "S3 Endpoint" ein.

## 4. Bucket Naming Convention 🪣
Damit wir im Chaos nicht untergehen, nutzen wir folgende Struktur für Bucket-Namen:

`[app-name]-[environment]-[purpose]`

- **app-name:** Name der Anwendung (z.B. `outline`, `authentik`, `gitlab`).
- **environment:** `prod` (Produktion) oder `dev` (Entwicklung).
- **purpose:** Optional, was drin ist (z.B. `media`, `backups`, `logs`).

### Beispiele
| Bucket Name | Verwendung |
| :--- | :--- |
| `outline-prod-media` | Bilder und Uploads für das Wiki (Outline). |
| `authentik-prod-static` | Statische Assets oder Uploads für Authentik. |
| `postgres-prod-backups` | Datenbank-Dumps (z.B. via Wal-G oder Scripts). |
| `loki-prod-logs` | Log-Speicher für Loki (falls verwendet). |

## 5. Verwendung in Apps (z.B. Outline)
Um MinIO in einer App zu nutzen:
1.  Logge dich in die MinIO Console ein.
2.  Erstelle einen **Bucket** (z.B. `outline-storage`).
3.  Setze den Bucket auf **Public** (wenn nötig) oder konfiguriere eine Policy.
    - *Empfehlung für Outline:* Bucket Access Policy auf `custom` und `ReadOnly` für `*` (Anonymous), damit Bilder im Wiki öffentlich sichtbar sind (wenn gewünscht), oder besser: Nutze Presigned URLs.
4.  Erstelle einen **Service Account** (Access Key & Secret Key).
5.  Konfiguriere die App mit:
    - **Endpoint:** `https://s3.apps.k3s.stabify.de`
    - **Region:** `eu-central-1` (oder was du eingestellt hast, MinIO ist das meist egal, Standard ist oft `us-east-1`).
    - **Access Key:** (aus Service Account)
    - **Secret Key:** (aus Service Account)
    - **Bucket:** `outline-storage`