gongme ingress: /api/* direkt an NestJS, SSE ohne Proxy-Buffering

OAuth2-Proxy und Next.js-Rewrites buffern SSE-Verbindungen, was dazu
fuehrt dass Verlaengerungen (SSE-Events) erst nach manuellem Reload
sichtbar sind.

Fix: /api/* wird jetzt direkt von Traefik an gongme-api:3001 gerouted,
ohne oauth2-proxy oder Next.js als Zwischenstufe. / (App + OAuth-Flow)
geht weiterhin durch oauth2-proxy. API-Sicherheit: Admin-Token + Session-Slug.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

k8s/gongme/ingress.yaml

@@ -18,15 +18,23 @@ metadata:
     cert-manager.io/cluster-issuer: letsencrypt
     traefik.ingress.kubernetes.io/router.entrypoints: web,websecure
     traefik.ingress.kubernetes.io/router.middlewares: gongme-redirect-https@kubernetescrd
-    # SSE-Verbindungen (EventSource) bleiben lange offen — Timeouts hochsetzen.
-    ingress.kubernetes.io/proxy-read-timeout: "3600"
-    ingress.kubernetes.io/proxy-send-timeout: "3600"
 spec:
   ingressClassName: traefik
   rules:
     - host: gongme.expertfab.de
       http:
         paths:
+          # /api/* geht direkt an NestJS — kein Buffering durch oauth2-proxy
+          # oder Next.js-Rewrite. Kritisch fuer SSE (EventSource).
+          # API-Endpoints sind durch Admin-Token und Session-Slug geschuetzt.
+          - path: /api
+            pathType: Prefix
+            backend:
+              service:
+                name: gongme-api
+                port:
+                  number: 3001
+          # Alles andere (App + OAuth-Flow) geht durch oauth2-proxy.
           - path: /
             pathType: Prefix
             backend: