gongme ingress: /api/* direkt an NestJS, SSE ohne Proxy-Buffering

OAuth2-Proxy und Next.js-Rewrites buffern SSE-Verbindungen, was dazu fuehrt dass Verlaengerungen (SSE-Events) erst nach manuellem Reload sichtbar sind. Fix: /api/* wird jetzt direkt von Traefik an gongme-api:3001 gerouted, ohne oauth2-proxy oder Next.js als Zwischenstufe. / (App + OAuth-Flow) geht weiterhin durch oauth2-proxy. API-Sicherheit: Admin-Token + Session-Slug. Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-06-07 14:40:15 +02:00
parent 296537720d
commit dd714e1484
1 changed files with 11 additions and 3 deletions
--- a/k8s/gongme/ingress.yaml
+++ b/k8s/gongme/ingress.yaml
@@ -18,15 +18,23 @@ metadata:
    cert-manager.io/cluster-issuer: letsencrypt
    traefik.ingress.kubernetes.io/router.entrypoints: web,websecure
    traefik.ingress.kubernetes.io/router.middlewares: gongme-redirect-https@kubernetescrd
-    # SSE-Verbindungen (EventSource) bleiben lange offen — Timeouts hochsetzen.
-    ingress.kubernetes.io/proxy-read-timeout: "3600"
-    ingress.kubernetes.io/proxy-send-timeout: "3600"
 spec:
  ingressClassName: traefik
  rules:
    - host: gongme.expertfab.de
      http:
        paths:
+          # /api/* geht direkt an NestJS — kein Buffering durch oauth2-proxy
+          # oder Next.js-Rewrite. Kritisch fuer SSE (EventSource).
+          # API-Endpoints sind durch Admin-Token und Session-Slug geschuetzt.
+          - path: /api
+            pathType: Prefix
+            backend:
+              service:
+                name: gongme-api
+                port:
+                  number: 3001
+          # Alles andere (App + OAuth-Flow) geht durch oauth2-proxy.
          - path: /
            pathType: Prefix
            backend: