# IT15 ArgoCD Readiness Check — 2026-06-15 15:52 UTC

Read-only Check nach Frage, ob neben GitHub-Credentials weitere ArgoCD-Punkte vergessen wurden. Keine Secrets ausgegeben, keine Änderungen durchgeführt.

## Grün

- IT15 ArgoCD Pods laufen vollständig (`argocd-server`, repo-server, controller, redis, dex, notifications, applicationset).
- `argocd-server` ist bewusst nur `ClusterIP`, keine Ingress-Exposition.
- DMZ-Cluster-Credential ist vorhanden: `dmz-k3s-tenant-cattaro-stage`, Namespace-beschränkt auf `tenant-cattaro-stage`.
- Demo-App läuft im Project `tenant-cattaro` und ist `Synced/Healthy`.

## Offene Gates vor echten App-Migrationen

1. Repository-/GitHub-Credentials fehlen im neuen IT15-ArgoCD.
   - Öffentliche Repos funktionieren.
   - Privates/geschütztes GitOps-Repo `https://github.com/GitMasterOne/ArgoCD.git` ist im alten DMZ-ArgoCD konfiguriert, aber nicht im neuen.
2. AppProject `default` ist noch offen (`sourceRepos: *`, `destinations: *`, `clusterResourceWhitelist: *`).
   - Für produktives Mandantenmodell sollte `default` nicht für echte Apps genutzt werden bzw. eingeschränkt werden.
3. AppProject `tenant-cattaro` ist noch Pilot-weit offen bei `sourceRepos: *` und `namespaceResourceWhitelist: */*`.
   - Für echte Apps enger fassen: konkrete Repos, konkrete Namespace-Ressourcen, keine Cluster-Ressourcen.
4. `tenant-pidoka` AppProject fehlt noch.
5. Platform-AppProject(s) fehlen noch (`platform` oder differenziert `platform-core`, `platform-security`, `platform-observability`).
6. Initial Admin Secret existiert noch.
   - Admin-Credential sollte in Infisical abgelegt/rotiert werden; Secretwert nicht ausgeben.
7. ArgoCD CLI ist in IT15/WSL nicht sichtbar im PATH.
   - Nicht zwingend, aber hilfreich für Repo-Login, app diff/sync und Admin-Aufgaben.
8. Notifications/RBAC/SSO sind noch Default/minimal.
   - Für Migration nicht hart blockierend, aber vor produktivem Betrieb nachziehen.

## Nächster empfohlener Schritt

Vor `hf-n8n` Migration zuerst GitHub/Repo-Credential für IT15-ArgoCD sauber einrichten, idealerweise als Secret-Quelle über Infisical dokumentiert. Danach `tenant-pidoka` AppProject anlegen und `hf-n8n` read-only Detailcheck durchführen.

## Update — GitHub PAT abgelegt — 2026-06-15 16:11 UTC

- GitHub PAT wurde in Infisical abgelegt: `platform-kubernetes/prod:/platform/gitops/github/GITHUB_PAT_PLATFORM_GITOPS`.
- GitHub-Verifikation: Login `GitMasterOne`, Scope `repo`.
- Slack-Token-Nachricht konnte durch kube-bot nicht gelöscht werden (`cant_delete_message`); Token sollte nach erfolgreicher ArgoCD-Verbindung rotiert werden, falls er im Slack-Verlauf sichtbar bleibt.
- Nächster Schritt: neues Repo `GitMasterOne/platform-gitops` anlegen oder vorhandenes prüfen; danach IT15-ArgoCD Repository-Credential aus Infisical/Token anlegen.

## Update — platform-gitops angebunden — 2026-06-15 16:18 UTC

- Privates GitHub Repo `GitMasterOne/platform-gitops` existiert und wurde initialisiert.
- Initialer Commit: `ae57069`.
- IT15 ArgoCD Repository Secret `repo-platform-gitops` wurde erstellt.
- Bootstrap-Application `platform-argocd-projects` wurde angelegt und ist `Synced/Healthy` gegen Revision `ae57069dc1e0ff38a6134194d47e8d1a75961b22`.
- GitHub Credential Gate für das neue GitOps-Repo ist damit geschlossen.
- Noch offen: Token nach Abschluss/Rotation neu ausstellen, weil er kurz im Chat sichtbar war.
