Architecture Decision Records (ADR)

Trace pourquoi chaque choix de conception du cluster — pas le comment (couvert par les README/RUNBOOK), mais le contexte, l’alternative écartée et les conséquences assumées.

🗺️ Lecture par thème. Cet index est chronologique (un ADR = une décision datée, immuable). Pour une lecture par domaine (stockage, réseau, sécurité, plan de contrôle, plateforme/GitOps, conventions), voir les vues d’architecture qui agrègent et relient les ADR.

Format léger inspiré de Michael Nygard :

Contexte — ce qui a forcé une décision.
Décision — ce qui a été acté.
Statut — Accepted / Superseded by NNNN / Deprecated.
Conséquences — gain, prix à payer, garde-fous à connaître.

Index

#	Titre	Statut
0001	Réplication ×3 pour les workloads bloc (vs EC)	Accepted
0002	Control plane unique avec `--control-plane-endpoint`	Accepted
0003	Pas de chiffrement Ceph — sécurité du réseau déléguée	Accepted
0004	Erasure coding 2+1 réservé au datalake	Accepted
0005	CRI = `containerd.io` depuis le dépôt Docker	Accepted
0006	Matrice de versions et politique de bump	Accepted
0007	Hyperconvergence : control plane portant OSDs	Accepted
0008	`metadataDevice` NVMe unique — SPOF par nœud assumé	Accepted
0009	Pourquoi 4 nœuds ?	Accepted
0010	Dashboard Kubernetes en `cluster-admin`	Accepted
0011	Registry interne HTTP sans authentification	Accepted
0012	RStudio sans authentification (`DISABLE_AUTH=true`)	Accepted
0013	Sauvegarde des données applicatives (VolumeSnapshots CSI)	Accepted
0014	Durcissement du plan de contrôle (`kubeadm init` nu)	Accepted
0015	Stratégie d’upgrade Kubernetes (in-place vs rebuild)	Accepted
0016	Observabilité (metrics-server maintenant, Prometheus plus tard)	Accepted
0017	Langage des scripts (bash / jq / Python / bats)	Superseded by 0049
0018	Rook-Ceph plutôt que Longhorn	Accepted
0019	Durcissement réseau Cilium (WireGuard + Hubble)	Accepted
0020	Exposition réseau tout-Cilium (LB-IPAM + L2 + Gateway API)	Accepted
0021	cert-manager + CA interne (TLS de bordure)	Accepted
0022	Argo CD (GitOps applicatif)	Accepted
0023	Dépôt multi-topologies (plusieurs infra déclarées, une activée)	Accepted
0024	PostgreSQL managé via CloudNativePG (+ pgvector)	Accepted
0025	Sécurité active : chaos + attaques contrôlées (D/A/R)	Accepted
0026	Orchestration des pipelines via Dagster	Accepted
0027	Bootstrap paramétré multi-cluster (Cilium Cluster Mesh)	Accepted
0028	Store de lineage OpenLineage via Marquez	Accepted
0029	Toute page Markdown est atteignable depuis la doc	Accepted
0030	Nomenclature des bancs et topologies	Accepted
0031	Terrain d’exécution cloud ARM (cadrage)	Accepted
0032	OpenTofu pour le provisioning des VM cloud	Accepted
0033	Orchestration Ansible des addons plateforme DataOps	Accepted
0034	La validation = un run e2e from-scratch (pas le lint)	Accepted
0035	Stratégie de bancs : fidélité vs vitesse	Accepted
0036	Backing S3 par topologie : SeaweedFS (léger) / RGW (prod)	Accepted
0037	Stratégie de merge : merge commit (préserver les références)	Accepted
0038	Lima seul banc local ; provisioning n’est plus un axe	Accepted
0039	Nomenclature des axes du catalogue (codes par valeur)	Accepted
0040	Stratégie terrains × topologies (quel terrain monte quoi)	Accepted
0041	Gouvernance & complétude DataOps (dbt, Airflow, catalogue) — cadrage	Accepted
0042	Fraîcheur des preuves de banc (garde-fou CI)	Accepted
0043	Contrat d’interface cluster → atlas (endpoints, SC, secrets)	Accepted
0044	Topologie du banc atlas (socle consommé, Gitea intra-banc)	Accepted
0045	Chemins d’installation du banc : couches, dépendances, tests associés	Accepted
0046	Corriger le code d’installation, pas l’état du cluster	Accepted
0047	Topologie `ha-3cp` : CP dédié, VIP kube-vip, etcd 2/3	Accepted
0048	Accès local développeur (URLs cliquables + secrets + `.env`)	Accepted
0049	Doctrine du choix d’outil par action (pondérée)	Accepted
0050	Modèle de reprise / transactionnalité d’un rôle Ansible	Accepted
0051	Options natives Ansible (idempotence, check_mode, server-side, handlers)	Accepted
0052	Reproductibilité des résultats (principe-chapeau)	Accepted
0053	Isolation multi-cible : banc Lima et prod sur le même poste	Accepted
0054	Rollback par phase sur le banc (désinstallation ciblée, jetable)	Accepted
0055	`ha-3cp` hyperconvergé : 3 control planes sur 4 nœuds, promotion in-place	Superseded by 0097
0056	Modèle déclaratif unifié des topologies (un fichier décrit, Ansible converge)	Accepted
0057	Gouvernance documentaire : un ADR décide, un plan met en œuvre, une issue exécute	Accepted
0058	Doctrine de l’audit : une grille permanente, des passages datés	Accepted
0059	Diátaxis : typologie des quatre modes de documentation + câblage inline	Accepted
0060	Audit régulier du respect des conventions de gouvernance	Accepted
0061	Posture d’adoption des bonnes pratiques (principe-chapeau)	Accepted
0062	Cultures d’ingénierie revendiquées (principe-chapeau)	Accepted
0063	`ansible-runner` pour la boucle « suggère → lance » (P5)	Accepted
0064	Longhorn comme option de stockage du catalogue (3ᵉ profil)	Proposed
0065	Variables d’environnement : intention vs état détectable	Accepted
0066	Rollback atomique : composants + graphe de dépendances unique	Accepted
0067	Workflows multi-agents consignés : 4ᵉ trace empirique	Superseded by 0078
0068	Profil `metrics` : palier fin entre `base` et `store`	Accepted
0069	`topology.layers` : déclaration explicite des couches (DAG, grain phase)	Accepted
0070	Renommer `test/` en `bench/` ; garder `bootstrap/` à plat	Accepted
0071	Exposition `gateway` en hostNetwork (80/443 sur l’IP du nœud)	Superseded
0072	`cluster scale` : ajuster les replicas au nombre de nœuds	Accepted
0073	Hubble UI : activer l’observabilité réseau (opt-in)	Proposed
0074	`cluster discover` : reconstruire un `topology.yaml` depuis un cluster réel	Accepted
0075	Kyverno CLI en CI : valider nos invariants de manifeste en statique	Proposed
0076	`cluster refresh` : matérialiser une évolution voulue du réel dans la déclaration	Accepted
0077	`cluster next` : menu des couches montables (dépendances réelles vs convention)	Accepted
0078	Passages d’audit : une seule famille, la méthode est une propriété	Accepted
0079	Découverte de l’appartenance réelle : socle commun `health` + `remove`	Accepted
0080	Notations externes & badges README : doctrine d’affichage	Accepted
0081	Socle d’exécution node-side : une brique `node_exec`, deux usages (`discover`, `remove`)	Accepted
0082	Suivi de modèles via MLflow	Proposed
0083	`layers` source unique de l’ordre : presets en alias, plus de chemins nommés par défaut	Accepted
0084	Sondes de lecture gatées par `target_kind` (isolation banc/prod, suite de 0053)	Proposed
0085	Preuves applicatives sur local-path par défaut ; Ceph validé sur installation seule	Proposed
0086	Code-location jouet du socle : pipeline Dagster minimal branché en permanence	Accepted
0087	Property-based testing des fonctions pures de `nestor` (Hypothesis)	Accepted
0088	Signer les releases : tarball source + cosign keyless + provenance SLSA	Accepted
0089	Migration de la documentation : VitePress → Astro Starlight	Accepted
0090	`nestor` lit l’état réel d’un cluster prod (état = K8s, pas VMs)	Accepted
0091	Portail d’accès aux UI de la plateforme	Accepted
0092	Exposition des UI par `hostPort`/`NodePort` L4 (zéro DNS)	Accepted
0093	Cache partagé des flux atlas servi par CloudNativePG (pas de Redis)	Accepted
0094	Frontière de déploiement applicatif : qui orchestre, qui fournit (cluster ↔ atlas)	Proposed
0095	Build applicatif événementiel in-cluster : fabrique d’images et déploiement GitOps zéro-touch	Accepted
0096	Graphe de topologie Python figé, vérifié contre Ansible	Accepted
0097	Moteur de chemin Python ; bash réduit aux artefacts node-side	Accepted
0098	Source unique d’inventaire : `nestor` dérive l’inventaire, `hosts.yaml` supprimé	Proposed
0099	Les axes du modèle de topologie : terrain, criticité, exposition, archi	Proposed
0100	Périmètre OS & architecture : poste Unix, nœuds Linux, Windows → WSL	Accepted
0101	Migration de la zone grise bash → Python (`bench/lima/` confort)	Proposed