docs: update all documentation for Tailscale Serve architecture

  Update docs 04, 05-CADDY, 05-NEXTCLOUD, 08, 09, scripts/README
  and terraform/README to reflect current security model: AIO admin
  ports 8080/8443 closed to internet, accessible only via Tailscale
  Serve or SSH tunnel. Grafana via Tailscale instead of public
  subdomain. Fix markdown lint issues.

Author: Pandagan-85

docs/04-FIREWALL-SECURITY.md

@@ -64,10 +64,12 @@ sudo ufw allow 80/tcp comment 'HTTP'
 # HTTPS (Nextcloud web interface)
 sudo ufw allow 443/tcp comment 'HTTPS'
 
-# Nextcloud AIO Apache port (se necessario)
-sudo ufw allow 8080/tcp comment 'Nextcloud AIO'
+# NOTA: La porta 8080/8443 (AIO admin) NON va aperta nel firewall.
+# L'interfaccia AIO è in ascolto solo su 127.0.0.1 e si accede via
+# Tailscale Serve (https://tailscale-hostname:8443) oppure SSH tunnel:
+#   ssh -L 8080:localhost:8080 ubuntu@YOUR_IP
 
-# Nextcloud AIO Talk (WebRTC - opzionale)
+# Nextcloud AIO Talk (WebRTC - opzionale, solo se si usa Talk)
 sudo ufw allow 3478/tcp comment 'Nextcloud Talk TURN'
 sudo ufw allow 3478/udp comment 'Nextcloud Talk TURN'
 ```

docs/05-CADDY-REVERSE-PROXY.md

@@ -39,8 +39,8 @@ services:
     container_name: nextcloud-aio-mastercontainer
     restart: always
     ports:
-      - "8080:8080" # AIO admin interface
-      - "8443:8443" # AIO admin HTTPS
+      - "127.0.0.1:8080:8080" # AIO admin (solo localhost)
+      - "127.0.0.1:8443:8443" # AIO admin HTTPS (solo localhost)
     environment:
       - APACHE_PORT=11000
       - APACHE_IP_BINDING=0.0.0.0
@@ -142,7 +142,8 @@ certificate obtained successfully for your-domain.example.com
 
 ### 3. Configurazione AIO
 
-1. Accedi a: `https://YOUR_IP:8080`
+1. Accedi all'interfaccia AIO admin via Tailscale Serve (`https://tailscale-hostname:8443`)
+   oppure SSH tunnel (`ssh -L 8080:localhost:8080 ubuntu@YOUR_IP`, poi apri `http://localhost:8080`)
 2. Login con password generata
 3. Configura dominio: `your-domain.example.com`
 4. Seleziona componenti opzionali

docs/05-NEXTCLOUD-DEPLOYMENT.md

@@ -5,7 +5,7 @@ Deployment di Nextcloud All-in-One (AIO) su OCI con dominio personalizzato e Let
 ## Prerequisites
 
 - ✅ Docker e Docker Compose installati
-- ✅ Firewall UFW configurato (porte 80, 443, 8080 aperte)
+- ✅ Firewall UFW configurato (porte 80, 443 aperte)
 - ✅ Dominio configurato e funzionante
 - ✅ Dominio che punta all'IP dell'istanza
 
@@ -84,10 +84,10 @@ cd ~/nextcloud
 | ----------- | -------- | ---------- | ---------------- |
 | 0.0.0.0/0   | TCP      | 80         | HTTP             |
 | 0.0.0.0/0   | TCP      | 443        | HTTPS            |
-| 0.0.0.0/0   | TCP      | 8080       | Nextcloud AIO    |
 | 0.0.0.0/0   | TCP      | 3478       | Talk (opzionale) |
 
-**NOTA**: Senza queste regole, anche con UFW configurato, il traffico non arriverà all'istanza!
+**NOTA**: La porta 8080/8443 (AIO admin) NON va esposta nelle Security Lists.
+L'interfaccia AIO è accessibile solo via Tailscale Serve o SSH tunnel.
 
 ## Step 3: Avvio Nextcloud AIO
 
@@ -135,13 +135,18 @@ docker exec nextcloud-aio-mastercontainer grep password /mnt/docker-aio-config/d
 
 ### 4.1 Accedi all'interfaccia AIO
 
-Apri il browser e vai a:
+Accedi via Tailscale Serve o SSH tunnel:
 
-```
-https://your-domain.example.com:8443
+```bash
+# Via Tailscale Serve (se configurato)
+https://tailscale-hostname:8443
+
+# Via SSH tunnel
+ssh -L 8080:localhost:8080 ubuntu@YOUR_IP
+# Poi apri http://localhost:8080 nel browser
 ```
 
-**NOTA**: Usa **HTTPS** (porta 8443), non HTTP!
+**NOTA**: L'interfaccia AIO non è esposta su internet. Richiede Tailscale o SSH tunnel.
 
 ### 4.2 Accetta certificato self-signed
 
@@ -298,20 +303,19 @@ Per usare lo storage OCI:
 2. Verifica UFW sull'istanza: `sudo ufw status`
 3. Testa connettività: `curl -I http://your-domain.example.com`
 
-### Errore: Cannot access port 8443
+### Errore: Cannot access AIO admin interface
 
-**Causa**: Firewall blocca porta 8080/8443
+**Causa**: Le porte 8080/8443 sono in ascolto solo su localhost (127.0.0.1)
 
-**Soluzione**:
+**Soluzione**: Accedi via Tailscale Serve o SSH tunnel:
 
 ```bash
-# Verifica UFW
-sudo ufw status | grep 8080
+# Via SSH tunnel
+ssh -L 8080:localhost:8080 ubuntu@YOUR_IP
+# Poi apri http://localhost:8080 nel browser
 
-# Se necessario
-sudo ufw allow 8080/tcp
-sudo ufw allow 8443/tcp
-sudo ufw reload
+# Via Tailscale Serve (se configurato)
+# https://tailscale-hostname:8443
 ```
 
 ### Container crashano continuamente

docs/08-TERRAFORM-STRATEGY.md

@@ -451,7 +451,7 @@ terraform destroy -target=oci_core_instance.nextcloud_old
 terraform apply -var="instance_name=nextcloud-green"
 
 # 2. Test GREEN in parallelo (BLUE continua a funzionare)
-# Accedi a GREEN-IP:8080, verifica tutto OK
+# Accedi a GREEN AIO via SSH tunnel o Tailscale, verifica tutto OK
 
 # 3. Switch DNS da BLUE a GREEN
 # Update DNS A record to point to GREEN_IP
@@ -1020,31 +1020,30 @@ curl -s http://localhost:3000/api/health | jq
 dig your-domain.example.com +short
 # Deve mostrare IP pubblico del server
 
-dig monitoring.your-domain.example.com +short
-# Deve mostrare stesso IP (wildcard)
+# NOTA: monitoring non ha più un sottodominio pubblico,
+# si accede via Tailscale Serve (https://tailscale-hostname:3000)
 
 # 2. Verifica porte aperte (UFW)
 sudo ufw status
 # Deve mostrare:
 # 22/tcp    ALLOW    (SSH)
 # 80/tcp    ALLOW    (HTTP)
 # 443/tcp   ALLOW    (HTTPS)
-# 8080/tcp  ALLOW    (Nextcloud AIO)
+# NOTA: 8080/8443 NON devono essere presenti (AIO solo localhost)
 
 # 3. Verifica container networks
 docker network ls
 # Deve mostrare:
 # nextcloud-aio
 # monitoring
 
-# 4. Verifica Caddy può raggiungere Grafana
-docker exec caddy-reverse-proxy wget -qO- http://grafana:3000/api/health
+# 4. Verifica Grafana funziona
+curl -s http://localhost:3000/api/health
 # Output: {"database":"ok",...}
 
-# 5. Test connessione HTTPS (da locale)
-# Sul tuo PC:
-curl -I https://monitoring.your-domain.example.com
-# Deve mostrare: HTTP/2 200 (o HTTP/2 302 redirect to login)
+# 5. Test connessione Grafana (via Tailscale Serve)
+# https://tailscale-hostname:3000
+# Deve mostrare pagina login Grafana
 
 # 6. Verifica SSL certificate
 openssl s_client -connect your-domain.example.com:443 -servername your-domain.example.com < /dev/null 2>/dev/null | grep "subject="
@@ -1080,14 +1079,14 @@ du -sh /mnt/nextcloud-data/*
 
 ```bash
 # Nextcloud AIO (setup wizard se prima volta)
-https://<ip>:8080
-# Accetta certificato self-signed
+# Via Tailscale: https://tailscale-hostname:8443
+# Via SSH tunnel: ssh -L 8080:localhost:8080 ubuntu@<ip>
 
 # Nextcloud (dopo setup AIO)
 https://your-domain.example.com
 
-# Grafana Monitoring
-https://monitoring.your-domain.example.com
+# Grafana Monitoring (via Tailscale Serve)
+# https://tailscale-hostname:3000
 # Username: admin
 # Password: da step 3
 ```

docs/09-CICD-MONITORING.md

@@ -290,7 +290,7 @@ The monitoring stack uses **Prometheus + Grafana** with exporters for comprehens
 │                               │                   │
 └───────────────────────────────┼───────────────────┘
                                 ▼
-            https://monitoring.your-domain.example.com
+            https://tailscale-hostname:3000 (via Tailscale Serve)
 ```
 
 ### Components
@@ -304,8 +304,8 @@ The monitoring stack uses **Prometheus + Grafana** with exporters for comprehens
 
 2. **Grafana** - Visualization and dashboards
    - Pre-configured Prometheus datasource
-   - HTTPS access via Caddy
-   - URL: `https://monitoring.your-domain.example.com`
+   - HTTPS access via Tailscale Serve
+   - URL: `https://tailscale-hostname:3000 (via Tailscale Serve)`
 
 **Exporters:**
 
@@ -366,7 +366,7 @@ docker compose logs -f prometheus grafana
 #### 4. Access Grafana
 
 ```
-URL: https://monitoring.your-domain.example.com
+URL: https://tailscale-hostname:3000 (via Tailscale Serve)
 Username: admin
 Password: (from GRAFANA_ADMIN_PASSWORD in .env)
 ```

scripts/README.md

@@ -338,7 +338,7 @@ Genera il Caddyfile da template .env per reverse proxy.
 **⚠️ Importante:**
 
 - Richiede `DOMAIN` configurato in `.env`
-- Aggiungere record DNS A per `monitoring.TUODOMINIO`
+- Grafana accessibile via Tailscale Serve (`https://tailscale-hostname:3000`)
 - Configurare `GRAFANA_ADMIN_PASSWORD` prima del deployment
 
 ---

terraform/README.md

@@ -180,7 +180,7 @@ docker exec nextcloud-aio-mastercontainer \
 
 ### Access Nextcloud
 
-1. **AIO Admin:** `https://<public-ip>:8080`
+1. **AIO Admin:** via Tailscale Serve (`https://tailscale-hostname:8443`) o SSH tunnel (`ssh -L 8080:localhost:8080 ubuntu@<public-ip>`)
 2. **Nextcloud:** `https://your-domain.example.com`
 
 ---