devops/gitea: Speak about ALLOWED_HOST_LIST

tutorial/devops/tools-gitea-ansible.md

@@ -30,6 +30,7 @@ Votre playbook ressemblera à quelque chose comme ça :
       INSTALL_LOCK: "true"
       GITEA__security__SECRET_KEY: "{{ secret_key }}"
       GITEA__security__INTERNAL_TOKEN: "{{ internal_token }}"
+      GITEA__webhook__ALLOWED_HOST_LIST: "external"
 ```
 </div>
 

tutorial/devops/tools-gitea-cmd.md

@@ -29,7 +29,8 @@ docker container run --name gitea --network my_ci_net -p 2222:22 \
     -p 3000:3000 -v /etc/localtime:/etc/localtime:ro -v gitea-data:/data \
     -v /etc/timezone:/etc/timezone:ro -e RUN_MODE=prod \
     -e DOMAIN=gitea -e SSH_DOMAIN=gitea -e INSTALL_LOCK=true \
-    -e GITEA__security__SECRET_KEY -e GITEA__security__INTERNAL_TOKEN -d \
+    -e GITEA__security__SECRET_KEY -e GITEA__security__INTERNAL_TOKEN \
+    -e GITEA__webhook__ALLOWED_HOST_LIST=private,external -d \
     gitea/gitea:1
 ```
 </div>

tutorial/devops/tools-gitea-end.md

@@ -1,3 +1,18 @@
+::::: {.warning}
+
+Pour des raisons de sécurité, les *webhooks* ne peuvent, par défaut, être
+appelés que vers des IP publiques d'Internet (afin d'éviter de pouvoir explorer
+le réseau local par ce biais).
+
+Étant donné que nous faisons tout localement entre deux conteneurs, nous allons
+nécessairement utiliser des IP privées, c'est pourquoi il est nécessaire de
+changer la valeur du paramètre `ALLOWED_HOST_LIST` pour autoriser les IP
+publiques (`external`, la valeur par défaut), mais également `private`.
+
+<https://docs.gitea.io/en-us/config-cheat-sheet/#webhook-webhook>
+
+:::::
+
 Une fois le conteneur lancé, vous pouvez accéder à l'interface de votre
 gestionnaire de versions sur le port 3000 de votre machine (à moins que vous
 n'ayez opté pour un autre port).