Backup y restauración

Qué respaldar

1. Postgres — state: users, orgs, dashboards, rules, audit log. pg_dump a diario + WAL streaming para el PITR.
2. ${CA_DIR}/secrets.key — la master key para AES-256-GCM SecretBox. Perderla = perder todos los sealed-secrets (OAuth tokens, channel signing secrets).
3. ${CA_DIR}/ca.crt + ca.key — la CA para los agentes. Perderla = volver a registrar todos los agentes.
4. Datos TSDB — storageDataPath. Un snapshot vía la API TSDB + una utilidad de backup.

Restauración

1. Restauración de Postgres desde un dump (o PITR)
2. Restaurar CA_DIR con secrets.key + ca.{crt,key}
3. Restauración de TSDB desde un snapshot
4. Arrancar la API — recoge el state existente

Prueba la restauración al menos una vez por trimestre. Un backup que nunca has restaurado es teórico.