KR존 네트워크 토폴로지 및 APISIX 설정 업데이트

- OpenWrt 포트포워딩: hp2:9080/9443 경유 APISIX로 변경
- incus proxy device 설정 반영
- APISIX 오사카/서울 인스턴스 분리 기술
- nocodb BunnyCDN 우회 처리 반영
- OVN 네트워크, DNS rebind 예외 추가

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

infra/apisix.md

@@ -1,6 +1,6 @@
 ---
 title: APISIX 설정 및 운영
-updated: 2026-03-14
+updated: 2026-03-15
 ---
 
 ## 아키텍처
@@ -17,18 +17,21 @@ BunnyCDN(inouter, ID 5316471) → apisix-osaka(172.233.93.180) → 백엔드
 
 ### 서울 (incus-hp2)
 ```
-BunnyCDN(actions, ID 5330178) → OpenWrt(220.120.65.245) → incus-hp2 APISIX(10.179.99.126) → 백엔드
+인터넷 → OpenWrt(:80/:443) → hp2(:9080/:9443, incus proxy device) → APISIX(10.179.99.126) → 백엔드
 ```
-- 용도: 고객 웹사이트 리버스 프록시 + 일부 인프라 서비스
-- upstream: incus-kr2 내부(10.179.99.x), K3s Traefik
-- 고객 도메인: fkwm.kr, igv.kr, inbest.kim, ntf.kr, sarm.kim, tonghakbus.com, yonghak.com, cando.kr, iksung.kim, leewell.com 등
+- 용도: KR존 리버스 프록시
+- upstream: K3s Traefik (192.168.9.134/214/135:443)
+- 라우트: nocodb.inouter.com (nocodb, nocodb-nuxt)
+- SSL: cert-manager wildcard `*.inouter.com` 인증서
+- SafeLine WAF 연동 (chaitin-waf 플러그인)
+- Admin API: `incus exec apisix -- curl http://127.0.0.1:9180/apisix/admin`
 
 ### BunnyCDN Pull Zone 매핑
 
 | Zone | Origin | 방향 | 주요 Hostnames |
 |---|---|---|---|
 | inouter (5316471) | 172.233.93.180 | → 오사카 | anvil.it.com, hcv.inouter.com, gitea, n8n, kroki |
-| actions (5330178) | 220.120.65.245 | → 서울 | actions.it.com, nocodb.inouter.com, nas.inouter.com |
+| actions (5330178) | 220.120.65.245 | → 서울 | actions.it.com (nocodb는 BunnyCDN 우회, 직접 연결) |
 
 ## ironclad.it.com 라우트
 
@@ -54,9 +57,11 @@ APISIX 라우트 ID: twilio-jp-inouter-com → [[twilio]]
 
 APISIX 라우트 hcv-inouter-com → K3s Traefik (192.168.9.134/214/135:443, roundrobin, scheme https). upstream ID: hcv-inouter-com. [[vault]] UI/API 서빙. BunnyCDN pull zone inouter (ID 5316471)에 hostname 추가 완료 (2026-03-12). K3s 노드 IP 변경 반영 (2026-03-14).
 
-## nocodb.inouter.com 라우트 (서울 이전 완료)
+## nocodb.inouter.com 라우트
 
-트래픽 흐름: Cloudflare DNS → BunnyCDN (pull zone **actions**, ID 5330178) → OpenWrt(220.120.65.245) → incus-hp2 APISIX(10.179.99.126, 라우트 nocodb) → K3s Traefik (192.168.9.134/214/135:443, roundrobin, scheme https) → nocodb svc:8080 (namespace tools).
+트래픽 흐름: Cloudflare DNS (A 220.120.65.245, BunnyCDN 우회) → OpenWrt(:443) → hp2(:9443, incus proxy device) → APISIX(10.179.99.126, 라우트 nocodb/nocodb-nuxt) → K3s Traefik (192.168.9.134/214/135:443, roundrobin, scheme https) → nocodb svc:8080 (namespace tools).
+
+BunnyCDN WAF가 NocoDB JS를 오탐 차단하여 CDN 우회 처리 (2026-03-15).
 
 ## CrowdSec 로그 연동