sandbox-tokyo: Debian → NixOS 25.05 전환 (Linode zlambda)

- 새 노트 infra/sandbox-tokyo-nixos.md 작성 (설치 과정, configuration, 후속 작업)
- infra-hosts: 호스트 항목 NixOS 베이스로 갱신, Tailscale IP 100.79.87.48 → 100.78.51.18, vault-prod/wg-easy 항목 제거
- netbis: NixOS 전환으로 APISIX/etcd 컨테이너 모두 제거된 상태 표기, DR 미가동
- searxng: tlsproxy/microsocks 중단, 새 IP 반영
- vault: SSH CA에서 sandbox-tokyo 재등록 필요 표기
- postgresql-ha: /apisix/tokyo prefix 미사용 표기

services/netbis.md

@@ -1,7 +1,7 @@
 ---
 title: Netbis 예비서버 (sandbox-tokyo)
-updated: 2026-04-05
-tags: [netbis, apisix, dr, cloudflare]
+updated: 2026-04-08 NixOS 전환으로 APISIX 미가동
+tags: [netbis, apisix, dr, cloudflare, nixos]
 ---
 
 ## 개요
@@ -10,16 +10,22 @@ Netbis 팀 도메인의 예비(DR) 리버스 프록시 서버. 평소에는 트
 
 기존 Ironclad 인프라([[apisix]], [[crowdsec-safeline]])와는 별도 구성.
 
+> **2026-04-08 상태**: 호스트 OS를 Debian 12 → **NixOS 25.05**로 교체하면서 APISIX/etcd 컨테이너가 모두 제거됨. 현재 베이스 시스템(sshd + tailscaled + docker)만 떠 있고 **DR 역할은 미가동**. 재가동하려면 docker compose로 APISIX/etcd 재배포 필요. NixOS configuration: Mac `~/nixos-zlambda/` flake.
+
 ## 서버 정보
 
 | 항목 | 값 |
 |------|-----|
 | 호스트명 | sandbox-tokyo |
+| Linode 라벨 | zlambda (id 47271589) |
 | 공인 IP | 139.162.71.52 |
-| Tailscale IP | 100.79.87.48 |
-| 위치 | Linode Tokyo |
-| OS | Debian 12 (커널 6.1.0-23) |
-| SSH | `ssh root@139.162.71.52` |
+| Tailscale IP | 100.78.51.18 (2026-04-08 변경, 이전 100.79.87.48) |
+| 위치 | Linode Tokyo (ap-northeast, lish-tokyo2) |
+| OS | NixOS 25.05 (Warbler), x86_64-linux |
+| Linode kernel | `linode/direct-disk` (NixOS 자체 GRUB) |
+| 디스크 | sda 49.5G ext4 (/), sdb 510M swap |
+| SSH | `ssh root@sandbox-tokyo` 또는 `ssh root@139.162.71.52` |
+| LISH 사용자 | netbis@lish-tokyo2.linode.com (kaffa-Macmini SSH key) |
 
 ## APISIX 구성
 
@@ -227,12 +233,15 @@ Workers Paid에 포함. CrowdSec Worker Bouncer 요청 로그를 R2에 저장
 2. APISIX 라우트/SSL 사전 등록 완료 상태이므로 즉시 서비스 가능
 3. 전환 후 CrowdSec 로그 수신 및 바운서 차단 자동 동작 확인
 
-## 이전에 운영했던 서비스 (중지됨)
+## 이전에 운영했던 서비스 (제거됨)
 
-sandbox-tokyo에서 기존 운영하던 아래 서비스는 2026-04-03 중지:
+sandbox-tokyo에서 기존 운영하던 아래 서비스는 2026-04-03 중지, 2026-04-08 NixOS 전환으로 완전 제거:
+- APISIX 3.15.0 + apisix-etcd (Docker Compose)
 - vault-prod (HashiCorp Vault)
 - wg-easy (WireGuard VPN)
 - nginx-tcp-proxy
-- socks5-v4 (microsocks)
+- socks5-v4 (microsocks) — [[searxng]]가 사용 중이었음
 - tlsproxy
 - Caddy (systemd, disabled)
+
+재구성 시 참고: NixOS 위에 Docker는 이미 설치돼 있으므로 docker compose 디렉토리만 다시 만들면 됨.

services/searxng.md

@@ -50,7 +50,7 @@ Go + [[https://github.com/refraction-networking/utls|utls]] 기반 MITM forward
 
 | 서버 | 상태 | GSA UA | 비고 |
 |------|------|--------|------|
-| sandbox-tokyo (100.79.87.48:8443) | **운영 중** | 200 | 현재 SearXNG가 사용 중 |
+| sandbox-tokyo (100.78.51.18:8443) | **중단** | - | 2026-04-08 NixOS 전환으로 tlsproxy 컨테이너 제거됨, 재배포 필요 |
 | apisix-osaka (100.108.39.107:8443) | 대기 | 403 | IP 차단됨, IPv4 전용(`tcp4`) |
 | relay4wd | 미배포 | 403 | IP 차단됨 |
 | incus-jp1 | 미배포 | 403 | IP 차단됨 |
@@ -65,7 +65,7 @@ outgoing:
     google_proxy:
       enable_http2: false
       verify: /etc/ssl/custom/ca-certificates.crt
-      proxies: http://100.79.87.48:8443
+      proxies: http://100.78.51.18:8443  # sandbox-tokyo, 2026-04-08 현재 미가동
 engines:
   - name: google
     engine: google
@@ -113,7 +113,7 @@ curl -4 -s -o /dev/null -w '%{http_code}' --max-time 10 \
 
 | 서버 | 포트 | 타입 |
 |------|------|------|
-| sandbox-tokyo | 1080 | Docker microsocks (IPv4) |
+| sandbox-tokyo | 1080 | (제거됨, 2026-04-08 NixOS 전환) |
 | relay4wd | 1080 | Docker microsocks |
 | incus-jp1 socks5-proxy | 1080 | Incus 컨테이너 microsocks |
 | apisix-osaka | 1081, 1082 | Docker microsocks (IPv6 `1d00::1`, `1d01::1`) |