- custom/apisix-{high-rate-per-ip,499-burst,single-path-flood,5xx-burst} 4종 추가 (ddos-detect AI 폐기 후 deterministic 패턴 매칭으로 대체)
- 모두 leaky bucket, ban 4h, K3s 서울 APISIX 트래픽만 대상
- APISIX → CrowdSec http-logger 송신처가 K3s 서울 단독임을 명확화 (osaka는 crowdsec-bouncer로 결정 소비만)
- K3s APISIX 글로벌 limit-req(20 req/s, burst 10) 발견 사항 기록 — CrowdSec 시나리오는 이 1차 차단을 통과한 트래픽만 보는 2차 layer라는 점 포함
- ddos-detect.service systemd unit 정지/disable/삭제
- /var/lib/log-collector/ddos-detect/ 디렉토리 제거 (Go 바이너리 + 소스)
- ddos-detect.sh, extract_behavior.py, ddos-logs/ 정리
- requests.db는 log-collector(PID 176)가 사용 중이라 보존
- Gitea repo kaffa/ddos-detect는 코드 reference로 보존
- 새 AI 분석 아키텍처는 VictoriaLogs 기반으로 재설계 예정
- crowdsec-safeline: SafeLine→CrowdSec 실시간 파이프라인 (PG LISTEN/NOTIFY, safeline-listener, :8088 acquisition), log-collector, ddos-detect 문서화
- apisix: K3s APISIX replica 2, etcd replica 3 HA 업그레이드 반영
- infra-hosts: APISIX HA, 2.5G USB autosuspend 장애 및 해결 기록, SafeLine 실시간 트래픽 흐름 추가
Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
- SafeLine VM → K3s safeline ns 이전 (v9.3.2)
- Helm 릴리스 목록 추가 (argocd, cert-manager, longhorn 공식 chart 교체)
- ArgoCD Applications 목록 추가
- registry ns 삭제
- Longhorn v1.8.1 → v1.8.2 업그레이드
- SafeLine detector 주소 K3s 서비스로 변경
- 전체 파일에 [[위키링크]] 추가 (Obsidian 그래프 연결)
- frontmatter에서 source: openmemory 제거
- infra-hosts.md에 서비스 위치/Incus 프로젝트 테이블 추가
- dev/claude-code-setup.md 신규 (CLAUDE.md 인스트럭션 Vault 버전)
