docs(runbooks): add "new web app" setup runbook under doc/runbooks/

Document, as a tree-docs tree, the end-to-end procedure to stand up a new web application on the Arcodange platform — a mechanic spread across the factory, tools and app repos with non-trivial ordering dependencies. Covers: Gitea repo creation (org-secret inheritance), Postgres DB + owner role (factory/postgres/iac), platform Vault declaration (gitea_cicd_<app> + policies, tools/hashicorp-vault/iac), the app Helm chart (VSO dynamic secrets via pgbouncer), the app Terraform (app_roles module), the CI workflows (tofu apply + image build, incl. the copy-pasted role pitfall), and ArgoCD registration (factory/argocd/values.yaml). Adds a naming- conventions concept page and an ordered checklist. Wires the legacy doc/adr "setup hello world web app" item and the factory README to the runbook. New docs live under doc/ (singular) per the PR #8 convention. Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
2026-05-31 17:22:30 +02:00
parent 54b3092305
commit 8330d82225
14 changed files with 1048 additions and 3 deletions
--- a/doc/runbooks/new-web-app/07-argocd-register.md
+++ b/doc/runbooks/new-web-app/07-argocd-register.md
@@ -0,0 +1,91 @@
+[Factory](../../../README.md) > [Doc](../../README.md) > [Runbooks](../README.md) > [Nouvelle application web](README.md) > **7. Enregistrement ArgoCD**
+
+# 7. Enregistrer l'app dans ArgoCD
+
+> **Status:** ✅ Active
+> **Upstream:** [4. Chart Helm](04-helm-chart.md), [6. Workflows CI](06-ci-workflows.md)
+> **Related:** [Conventions de nommage](conventions.md) · [Checklist](08-checklist.md)
+
+---
+
+## Summary
+
+ArgoCD fonctionne en **app-of-apps** : le chart `factory/argocd` lit une liste d'applications dans son `values.yaml` et génère une ressource `Application` par entrée. Enregistrer l'app = ajouter son nom à cette liste. ArgoCD se charge ensuite de cloner le dépôt, déployer `chart/` dans le namespace `<app>`, et resynchroniser à chaque push.
+
+## Action
+
+Ajouter `<app>` sous `gitea_applications` dans [`factory/argocd/values.yaml`](https://gitea.arcodange.lab/arcodange-org/factory/src/branch/main/argocd/values.yaml) :
+
+```yaml
+gitea_applications:
+  webapp: { … }
+  erp:
+    annotations: {}
+  <app>:                         # ← cas simple
+    annotations: {}
+```
+
+Variante avec **auto-déploiement** sur nouvelle image (recommandé pour une image maison) :
+
+```yaml
+  <app>:
+    annotations:
+      argocd-image-updater.argoproj.io/image-list: <app>=gitea.arcodange.lab/arcodange-org/<app>:latest
+      argocd-image-updater.argoproj.io/<app>.update-strategy: digest
+```
+
+Options supplémentaires :
+
+| Champ | Quand l'utiliser | Effet |
+|---|---|---|
+| `org: arcodange` | dépôt hors `arcodange-org` | change le `repoURL` (défaut `arcodange-org`) |
+| `syncPolicy: …` | contrôle manuel | surcharge la policy (défaut : `automated {prune, selfHeal}`) |
+
+## Ce que ça génère
+
+Le template [`argocd/templates/apps.yaml`](https://gitea.arcodange.lab/arcodange-org/factory/src/branch/main/argocd/templates/apps.yaml) rend, pour chaque entrée :
+
+```yaml
+apiVersion: argoproj.io/v1alpha1
+kind: Application
+metadata:
+  name: <app>
+  namespace: argocd
+spec:
+  project: default
+  source:
+    repoURL: https://gitea.arcodange.lab/arcodange-org/<app>   # <org> = arcodange-org par défaut
+    targetRevision: HEAD
+    path: chart                                                # ← d'où l'exigence du dossier chart/
+  destination:
+    server: https://kubernetes.default.svc
+    namespace: <app>                                           # = nom de l'app
+  syncPolicy:
+    automated: { prune: true, selfHeal: true }
+    syncOptions: [ CreateNamespace=true ]                      # le namespace est créé tout seul
+```
+
+```mermaid
+%%{init: {'theme': 'base'}}%%
+flowchart LR
+    classDef gitops fill:#7c3aed,stroke:#6d28d9,color:#fff
+    classDef k8s fill:#2563eb,stroke:#1e40af,color:#fff
+    VAL["values.yaml<br>gitea_applications.‹app›"]:::gitops --> APP["Application ArgoCD<br>‹app›"]:::gitops
+    APP -->|"path: chart, HEAD"| SYNC["sync du dépôt<br>arcodange-org/‹app›"]:::gitops
+    SYNC --> NS["namespace ‹app›<br>(CreateNamespace=true)"]:::k8s
+    NS --> DEP["Deployment + Service + Ingress + CRD Vault"]:::k8s
+```
+
+## Notes / contraintes
+
+> [!IMPORTANT]
+> `path: chart` et `namespace: <app>` sont **déduits du nom**, pas configurables par entrée. C'est pourquoi le dossier doit s'appeler `chart/` ([étape 1](01-gitea-repo.md)) et le nom doit être cohérent partout ([conventions](conventions.md)).
+
+- Le chart `factory/argocd` est lui-même réconcilié par ArgoCD (app-of-apps racine) : committer `values.yaml` sur `main` suffit à faire apparaître/synchroniser la nouvelle `Application`. Pas de `kubectl apply` manuel.
+- `prune: true` + `selfHeal: true` : ArgoCD supprime ce qui n'est plus dans le chart et réécrase les dérives manuelles. En tenir compte avant tout `kubectl edit`.
+
+## Related
+
+- [4. Chart Helm](04-helm-chart.md) — le contenu déployé (le dossier `chart/`).
+- [6. Workflows CI](06-ci-workflows.md) — les annotations `argocd-image-updater` collaborent avec l'image poussée.
+- [8. Checklist](08-checklist.md) — vérifier que l'`Application` passe `Healthy`/`Synced`.