From 0fa84a919baa736ce83f8f24959e0fe893db28ee Mon Sep 17 00:00:00 2001
From: Till JS <tills95@gmail.com>
Date: Sat, 23 May 2026 12:51:19 +0200
Subject: [PATCH] =?UTF-8?q?chore(cloudflared):=20Server-Drift=20zur=C3=BCc?=
 =?UTF-8?q?kgezogen=20=E2=80=94=20s3,=20mukke-vocal-studio,=20chor,=20app.?=
 =?UTF-8?q?<x>.com?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

Lokale Datei war seit 2026-05-21 ~50 Zeilen hinter dem Server-Stand
(`/Users/mana/projects/managarten/cloudflared-config.yml`). Editiert
wurde durchgehend server-side via SSH; mehrere live-Routes nie
zurück nach Git geflossen.

Nachgezogen (Stand: scp vom Mac Mini):

- **s3.mana.how → localhost:9000** (memoro presigned-URL signing,
  siehe memoro-Audio-Pipeline-Fix vom 22.05.).
- **mukke-api.mana.how → :3113** + **stems/music-gen/pitch/mix.mana.how**
  → Vocal-Studio-Plattform-Services (Mai 21).
- **chor.mana.how → :3091** (Chorplattform-Schnellfix-Hostname).
- **app.<wordeck|pageta|herbatrium>.com**-Routen für die jeweiligen
  Web-Apps (Apex-Domain → Landing, app-Subdomain → SPA).
- Diverse Service-Port-Updates (`5181 → 3202` für wordeck.com etc).

Bis das Drift-Pattern besser unterbunden wird (z.B. ein git-hook auf
mana-server der diff zum letzten Push prüft), bleibt es weiter ein
TODO immer den Server-Stand als Source-of-Truth zu betrachten und
nach Edits in Git nachzuziehen.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
---
 cloudflared-config.yml | 43 +++++++++++++++++++++++++++++++++++++++++-
 1 file changed, 42 insertions(+), 1 deletion(-)

diff --git a/cloudflared-config.yml b/cloudflared-config.yml
index 6ccdd725b..dbf597ded 100644
--- a/cloudflared-config.yml
+++ b/cloudflared-config.yml
@@ -96,8 +96,10 @@ ingress:
   # wordeck.com — Cards-Rebrand (siehe mana/docs/playbooks/WORDECK_REBRAND.md, 2026-05-17).
   # Zeigt auf denselben cards-web-Container wie cardecky.mana.how (port 5181).
   - hostname: wordeck.com
-    service: http://localhost:5181
+    service: http://localhost:3202
   - hostname: www.wordeck.com
+    service: http://localhost:3202
+  - hostname: app.wordeck.com
     service: http://localhost:5181
   - hostname: storage.mana.how
     service: http://localhost:5000
@@ -107,6 +109,8 @@ ingress:
     service: http://localhost:5000
   - hostname: mukke.mana.how
     service: http://localhost:5000
+  - hostname: mukke-api.mana.how
+    service: http://localhost:3113
   - hostname: picture.mana.how
     service: http://localhost:5000
   - hostname: calc.mana.how
@@ -223,6 +227,13 @@ ingress:
   - hostname: npm.mana.how
     service: http://localhost:4873
 
+  # MinIO S3-Endpoint. Backs presigned-URL signing for memoro audio so
+  # browser can fetch over HTTPS (signed against this public host
+  # rather than the internal `mana-infra-minio:9000`). Bucket access is
+  # auth-only (signature required); raw GET without signature → 403.
+  - hostname: s3.mana.how
+    service: http://localhost:9000
+
   # ============================================
   # Memoro (Code/memoro, separate repo)
   # ~/projects/memoro-deploy/ on the Mac Mini.
@@ -353,6 +364,8 @@ ingress:
   - hostname: pageta-api.mana.how
     service: http://localhost:3099
   - hostname: pageta.com
+    service: http://localhost:3201
+  - hostname: app.pageta.com
     service: http://localhost:3100
   - hostname: api.pageta.com
     service: http://localhost:3099
@@ -415,6 +428,8 @@ ingress:
   # auf 3101. Service-interne Ports bleiben 3101+3000 per PORTS.md.
   # 2026-05-20 Primary-Switch auf herbatrium.com (.mana.how abgeschaltet).
   - hostname: herbatrium.com
+    service: http://localhost:3204
+  - hostname: app.herbatrium.com
     service: http://localhost:3104
   - hostname: api.herbatrium.com
     service: http://localhost:3103
@@ -442,4 +457,30 @@ ingress:
   - hostname: kreisel-api.mana.how
     service: http://localhost:3115
 
+  # Mukke Vocal-Studio Plattform-Services (2026-05-21).
+  # mana-pitch + mana-mix laufen lokal auf dem Mac Mini.
+  # mana-stems + mana-music-gen laufen auf der GPU-Box und werden
+  # vom eigenen mana-gpu-server-Tunnel gerouted; die Routes hier sind
+  # NUR Mac-Mini-Services.
+  # GPU-Box services (mana-stems + mana-music-gen) — wir routen sie
+  # über den Mac-Mini-Tunnel an die LAN-IP der GPU-Box (Mirrored-WSL).
+  # Damit brauchen wir keine Tunnel-Routes im mana-gpu-server-Tunnel
+  # (der hätte Token-Auth, kein API-Edit).
+  - hostname: stems.mana.how
+    service: http://localhost:13120
+  - hostname: music-gen.mana.how
+    service: http://localhost:13121
+  - hostname: pitch.mana.how
+    service: http://localhost:3122
+  - hostname: mix.mana.how
+    service: http://localhost:3123
+
+  # ============================================
+  # Chorplattform (Chor-Verwaltungs-MVP, Code/chorplattform).
+  # ~/projects/chorplattform/ auf dem Mac Mini. Host-Port 3091 (App-Container).
+  # Schnellfix-Hostname; Ziel-Domain ist langfristig chorportal-tg.ch (siehe MAC_MINI_DEPLOY.md).
+  # ============================================
+  - hostname: chor.mana.how
+    service: http://localhost:3091
+
   - service: http_status:404