feat: page /journal + crosslinks entre pages

- Page /journal avec 8 entrées sourcées du journal ops réel (mars 2026)
- Collection Astro journal déjà configurée, maintenant alimentée
- Lien Journal ajouté dans la navigation
- Crosslinks : projets→/securite, symbiose→/projets, about→/infrastructure
- Maillage bidirectionnel securite↔cybersecurite déjà en place

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

Author: ferr079

src/components/Nav.astro

@@ -9,15 +9,22 @@ const { currentPath = '' } = Astro.props;
 <nav class="site-nav">
   <div class="nav-container">
     <a href="/" class="nav-brand">
-      <span class="nav-prompt">$</span> pixelium<span class="nav-dot">.</span>win
+      <svg class="nav-logo" viewBox="0 0 16 16" fill="none" xmlns="http://www.w3.org/2000/svg" aria-hidden="true">
+        <rect x="0" y="0" width="7" height="7" rx="1" fill="#38bdf8" opacity="0.9" />
+        <rect x="9" y="0" width="7" height="7" rx="1" fill="#38bdf8" opacity="0.5" />
+        <rect x="0" y="9" width="7" height="7" rx="1" fill="#38bdf8" opacity="0.5" />
+        <rect x="9" y="9" width="7" height="7" rx="1" fill="#38bdf8" opacity="0.2" />
+      </svg>
+      <span class="nav-text">pixelium<span class="nav-dot">.</span>win</span>
     </a>
     <div class="nav-links">
       <a href="/symbiose" class:list={[{ active: currentPath === '/symbiose' || currentPath === '/symbiose/' }]}>Symbiose</a>
       <a href="/projets" class:list={[{ active: currentPath === '/projets' || currentPath === '/projets/' }]}>Projets</a>
       <a href="/securite" class:list={[{ active: currentPath === '/securite' || currentPath === '/securite/' }]}>Sécurité</a>
       <a href="/cybersecurite" class:list={[{ active: currentPath === '/cybersecurite' || currentPath === '/cybersecurite/' }]}>Cyber</a>
       <a href="/ia" class:list={[{ active: currentPath === '/ia' || currentPath === '/ia/' }]}>IA</a>
-      <a href="/stack" class:list={[{ active: currentPath === '/stack' || currentPath === '/stack/' }]}>Stack</a>
+      <a href="/infrastructure" class:list={[{ active: currentPath === '/infrastructure' || currentPath === '/infrastructure/' }]}>Infra</a>
+      <a href="/journal" class:list={[{ active: currentPath === '/journal' || currentPath === '/journal/' }]}>Journal</a>
       <a href="/about" class:list={[{ active: currentPath === '/about' || currentPath === '/about/' }]}>À propos</a>
     </div>
   </div>
@@ -26,8 +33,13 @@ const { currentPath = '' } = Astro.props;
 <style>
   .site-nav {
     padding: 1.25rem 0;
-    position: relative;
+    position: sticky;
+    top: 0;
     z-index: 100;
+    background: rgba(15, 23, 42, 0.95);
+    backdrop-filter: blur(8px);
+    -webkit-backdrop-filter: blur(8px);
+    border-bottom: 1px solid var(--color-border);
   }
 
   .nav-container {
@@ -41,19 +53,36 @@ const { currentPath = '' } = Astro.props;
 
   .nav-brand {
     font-family: var(--font-mono);
-    font-size: 0.95rem;
+    font-size: 1.1rem;
     color: var(--color-text);
-    font-weight: 600;
+    font-weight: 700;
     text-decoration: none;
+    display: flex;
+    align-items: center;
+    gap: 0.5rem;
   }
 
   .nav-brand:hover {
     color: var(--color-accent);
   }
 
-  .nav-prompt {
-    color: var(--color-accent);
-    margin-right: 0.3rem;
+  .nav-brand:hover .nav-logo rect {
+    opacity: 1;
+  }
+
+  .nav-logo {
+    width: 1.25rem;
+    height: 1.25rem;
+    flex-shrink: 0;
+    transition: filter 0.3s;
+  }
+
+  .nav-logo rect {
+    transition: opacity 0.3s;
+  }
+
+  .nav-brand:hover .nav-logo {
+    filter: drop-shadow(0 0 4px rgba(56, 189, 248, 0.5));
   }
 
   .nav-dot {
@@ -66,13 +95,15 @@ const { currentPath = '' } = Astro.props;
   }
 
   .nav-links a {
-    font-family: var(--font-mono);
-    font-size: 0.85rem;
+    font-family: var(--font-sans);
+    font-size: 0.95rem;
+    font-weight: 500;
     color: var(--color-text-muted);
     text-decoration: none;
     padding: 0.25rem 0;
     border-bottom: 1px solid transparent;
     transition: color 0.2s, border-color 0.2s;
+    letter-spacing: 0.01em;
   }
 
   .nav-links a:hover {
@@ -91,7 +122,7 @@ const { currentPath = '' } = Astro.props;
       justify-content: flex-end;
     }
     .nav-links a {
-      font-size: 0.75rem;
+      font-size: 0.8rem;
     }
   }
 </style>

src/content/journal/2026-03-20-dns-dot-technitium.md

@@ -0,0 +1,22 @@
+---
+title: "DNS-over-TLS et DNS secondaire"
+date: 2026-03-20
+tags: ["dns", "sécurité", "technitium"]
+summary: "Déploiement DNS secondaire CT 101 + DoT port 853 + blocklists OISD et Hagezi sur les deux serveurs."
+---
+
+Le DNS est critique — c'est le premier service que tout le réseau interroge. J'ai renforcé l'architecture DNS du homelab sur deux axes.
+
+**DNS secondaire (CT 101 sur pve2) :**
+- Réplication AXFR automatique depuis le primaire CT 100 (pve1)
+- Les nœuds Proxmox et terre2 utilisent les deux serveurs en résolveurs
+- Si pve1 tombe, le DNS continue de répondre
+
+**DNS-over-TLS (port 853) :**
+- Activé sur les deux serveurs TechnitiumDNS
+- terre2 configuré en DoT strict via `systemd-resolved`
+- Les requêtes DNS sont chiffrées entre la workstation et les résolveurs
+
+**Blocklists :**
+- OISD (full) + Hagezi (Pro) déployées sur les deux instances
+- Couverture publicité, tracking, malware et telemetry

src/content/journal/2026-03-20-lien-direct-2.5g.md

@@ -0,0 +1,15 @@
+---
+title: "Lien direct 2.5G entre pve1 et pve2"
+date: 2026-03-20
+tags: ["réseau", "proxmox", "infrastructure"]
+summary: "Câble Ethernet direct entre les deux nœuds principaux — 2.36 Gbps mesurés, 0.17ms de latence."
+---
+
+Les deux nœuds Proxmox principaux communiquaient jusque-là via le switch et la Freebox — en gigabit. J'ai configuré un lien direct entre pve1 et pve2 via leurs NICs RTL8125B 2.5GbE.
+
+**Ce qui a été fait :**
+- Câble Ethernet direct entre les NICs secondaires (nic1) de pve1 et pve2
+- Création du bridge `vmbr1` sur chaque nœud — `10.10.10.1/30` ↔ `10.10.10.2/30`
+- Test de débit : **2.36 Gbps** mesuré avec iperf3, latence **0.17ms**
+
+Ce lien sert aux migrations live de CTs entre nœuds et au trafic de backup, sans saturer le réseau LAN principal.

src/content/journal/2026-03-21-telemetrie-desactivation.md

@@ -0,0 +1,20 @@
+---
+title: "Désactivation de la télémétrie — Loki et Tailscale"
+date: 2026-03-21
+tags: ["sécurité", "vie-privée", "hardening"]
+summary: "Blocage des phone-home de Grafana et Tailscale — le homelab ne fuit pas de données vers l'extérieur."
+---
+
+Un self-hosted qui phone-home, c'est un self-hosted qui ne l'est qu'à moitié. Audit et correction de deux services qui envoyaient de la télémétrie.
+
+**Loki (CT 240) :**
+- Le binaire Loki contactait `stats.grafana.org` à chaque démarrage
+- Résolution DNS bloquée via TechnitiumDNS (enregistrement CNAME vers `0.0.0.0`)
+- Configuration ajustée : `analytics.reporting_enabled: false`
+
+**Tailscale/Headscale (CT 106) :**
+- Le client Tailscale envoyait des logs à `log.tailscale.com`
+- Désactivé via `--no-logs-no-support` dans la configuration du service
+- Vérifié : plus aucune connexion sortante vers les serveurs Tailscale
+
+Philosophie : chaque service tourne en local, les données restent en local.

src/content/journal/2026-03-22-beszel-monitoring.md

@@ -0,0 +1,20 @@
+---
+title: "Beszel — Monitoring agents sur tout le homelab"
+date: 2026-03-22
+tags: ["monitoring", "ansible", "beszel"]
+summary: "Déploiement Beszel sur 32 systèmes via Ansible — dashboard unifié CPU, RAM, disque, réseau."
+---
+
+Beszel est un outil de monitoring léger (agent ~5 MB, communication SSH) que j'ai choisi pour remplacer une stack Grafana+Prometheus trop lourde pour le homelab.
+
+**Déploiement :**
+- Playbook Ansible `deploy_beszel_agent.yml` exécuté via Semaphore (CT 202)
+- 27 CTs/VMs + 3 nœuds Proxmox + OMV + terre2 = **32 systèmes** enregistrés
+- Règle firewall Proxmox ajoutée : port 45876/TCP pour la communication agent ↔ hub
+
+**Résultat :**
+- 31/32 systèmes UP au premier déploiement
+- Dashboard unifié sur `beszel.pixelium.internal` : CPU, RAM, disque, réseau, uptime
+- Alertes configurables par seuil (pas encore activées)
+
+Le gotcha principal : l'agent beszel nécessite la variable `KEY` (clé publique du hub) dans son service systemd — sans elle, il crashe silencieusement en boucle.

src/content/journal/2026-03-22-hardening-pve-firewall.md

@@ -0,0 +1,23 @@
+---
+title: "Hardening Proxmox — Firewall natif datacenter"
+date: 2026-03-22
+tags: ["sécurité", "proxmox", "firewall"]
+summary: "Firewall Proxmox activé au niveau datacenter et host — IP Sets, Security Groups, politique DROP par défaut."
+---
+
+Les trois nœuds Proxmox étaient exposés sur le LAN sans filtrage réseau. J'ai implémenté le firewall natif Proxmox à deux niveaux.
+
+**Niveau datacenter :**
+- Politique par défaut : **DROP** en entrée
+- IP Sets créés : `management` (terre2, Semaphore), `dns-servers` (CT 100, 101), `web-services` (CT 110)
+- Security Groups : SSH+WebUI limités aux IPs de management uniquement
+
+**Niveau host (pve1, pve2, pve3) :**
+- Firewall activé sur chaque nœud individuellement
+- Règles héritées du datacenter + règles spécifiques par nœud
+- Ports Proxmox API (8006), SSH (22), et cluster (corosync) autorisés uniquement depuis les sources légitimes
+
+**Vérification :**
+- Connectivité inter-services testée après activation
+- Accès WebUI confirmé depuis terre2 uniquement
+- Les CTs continuent de communiquer normalement entre eux

src/content/journal/2026-03-23-netboot-pxe.md

@@ -0,0 +1,21 @@
+---
+title: "netboot.xyz — Boot PXE sur le LAN"
+date: 2026-03-23
+tags: ["infrastructure", "pxe", "commission"]
+summary: "CT 188 déployé sur pve1 — les machines du LAN peuvent booter un OS depuis le réseau."
+---
+
+Objectif : permettre aux Dell OptiPlex et autres machines du LAN de démarrer un système d'exploitation sans clé USB, directement depuis le réseau.
+
+**Déploiement :**
+- CT 188 sur pve1 via script tteck — Debian, 1 vCPU, 512 MB RAM, 8 GB disque
+- TFTP (`in.tftpd --secure`) sert le fichier boot depuis `/var/www/html/`
+- Freebox configurée en DHCP TFTP : serveur `192.168.1.188`, fichier `netboot.xyz-snp.efi`
+
+**Gotcha résolu :**
+- Le fichier boot standard (`.efi`) ne fonctionnait pas sur les Dell OptiPlex — driver UNDI bugué
+- Solution : utiliser `netboot.xyz-snp.efi` qui embarque son propre driver réseau (SNP)
+- Le flag `firewall=1` sur l'interface `net0` du CT est obligatoire — sans lui, les réponses TFTP sur port éphémère sont bloquées
+
+**Enregistrement complet :**
+DNS, clés SSH (terre2 + Semaphore), Ansible, Beszel agent, Homepage, NetBox — le CT est pleinement intégré au homelab.

src/content/journal/2026-03-25-authentik-sso.md

@@ -0,0 +1,19 @@
+---
+title: "Authentik SSO — Semaphore, Proxmox, Jellyfin"
+date: 2026-03-25
+tags: ["sécurité", "authentik", "sso"]
+summary: "OAuth2/OIDC intégré sur 3 services — identité centralisée via Authentik CT 118."
+---
+
+Authentik (CT 118) est le fournisseur d'identité centralisé du homelab. Après l'intégration réussie avec Forgejo, j'ai étendu le SSO à trois nouveaux services.
+
+**Intégrations réalisées :**
+- **Semaphore** (CT 202) — OAuth2/OIDC, login transparent depuis Authentik
+- **Proxmox** (pve1, pve2) — Realm OpenID Connect, les utilisateurs Authentik accèdent à l'interface Proxmox
+- **Jellyfin** (CT 220) — SSO plugin, fix critique sur `KnownProxies` pour que les headers `X-Forwarded-Proto` de Traefik soient respectés
+
+**Gotcha Jellyfin :**
+Sans la configuration `KnownProxies` dans Jellyfin, le service ignore les headers du reverse proxy et génère des URLs de callback en HTTP au lieu de HTTPS — ce qui casse le flux OAuth silencieusement.
+
+**Résultat :**
+Un seul login Authentik donne accès à Forgejo, Semaphore, Proxmox et Jellyfin. Les mots de passe locaux restent en fallback.

src/content/journal/2026-03-27-github-action-cicd.md

@@ -0,0 +1,19 @@
+---
+title: "pixelium.win — GitHub Action CI/CD"
+date: 2026-03-27
+tags: ["cicd", "cloudflare", "déploiement"]
+summary: "Pipeline automatisé : git push main → build Astro → deploy Cloudflare Workers en ~35 secondes."
+---
+
+Jusqu'ici, le déploiement de pixelium.win nécessitait trois commandes manuelles : build, wrangler deploy, git push. J'ai automatisé la chaîne.
+
+**GitHub Action :**
+- Déclenchement : push sur `main`
+- Étapes : checkout → Node 22 → `npm ci` → `npm run build` → `npx wrangler deploy`
+- Durée totale : **~35 secondes**
+- Secret : `CLOUDFLARE_API_TOKEN` configuré dans les secrets du repo GitHub
+
+**Résultat :**
+Un `git push origin main` suffit — le site est live sur Cloudflare Workers quelques secondes après. Le push Forgejo reste manuel (`git -c http.sslVerify=false push forgejo main`) et ne déclenche pas de deploy.
+
+Ce même site a aussi reçu les logos Simple Icons (via CDN) sur 5 pages et une refonte complète de la page `/infrastructure`.