+Madagascar Local Authority folosește SQLite ca sursă de adevăr runtime pentru hosturi, aliasuri, vhosturi, taguri, Work Orders, workeri de date și certificate.

+Hosturile sunt identificate prin FQDN complet, nu prin short name. Exemplu: `gw.local` și `gw.remote` sunt identități diferite. Coloana internă compatibilă `legacy_id` păstrează ID-ul scurt pentru migrare și Work Orders istorice, dar contractul UI/export este `hosts.fqdn`.

+- taguri: [`tags`](tables/tags.md), [`host_tags`](tables/host_tags.md)

+Schema curentă este versiunea `3`.

+schema_meta('schema_version') = '3'

+| [`tags`](tables/tags.md) | catalog de taguri cu label, culoare și icon |

+| [`host_tags`](tables/host_tags.md) | asocieri active/retrase între hosturi și taguri |

+  hosts ||--o{ host_tags : tagged

+  tags ||--o{ host_tags : catalog

+`config/hosts.yaml` este exportul finit și seed pentru instalări noi. Nu mai există un export versionat `local-hosts.tsv`; scriptul de sync generează recorduri efemere direct din SQLite-ul runtime de pe jumper.

+sqlite3 var/host-manager.sqlite 'select fqdn, status, dns_ip from hosts order by fqdn;'

+| `source` | `TEXT` | no | none | Source label kept for historical audit, for example `madagascar.json`. |

+# Table: `host_tags`

+

+Stores active and retired tag associations for canonical hosts.

+

+## Columns

+

+| Column | Type | Null | Default | Notes |

+|--------|------|------|---------|-------|

+| `host_fqdn` | `TEXT` | no | none | Canonical host FQDN. References `hosts(fqdn)`. |

+| `tag_id` | `TEXT` | no | none | Tag identifier. References `tags(tag_id)`. |

+| `status` | `TEXT` | no | `'active'` | Association lifecycle state. |

+| `created_at` | `TEXT` | no | none | ISO UTC creation timestamp. |

+| `retired_at` | `TEXT` | yes | none | ISO UTC retirement timestamp. |

+

+## Keys And Indexes

+

+- Primary key: `(host_fqdn, tag_id)`

+- Lookup index: `idx_host_tags_tag_status` on `(tag_id, status)`

+

+## Relationships

+

+References:

+

+- `hosts.fqdn`

+- `tags.tag_id`

+

+## Definition

+

+```sql

+CREATE TABLE IF NOT EXISTS host_tags (

+    host_fqdn TEXT NOT NULL,

+    tag_id TEXT NOT NULL,

+    status TEXT NOT NULL DEFAULT 'active',

+    created_at TEXT NOT NULL,

+    retired_at TEXT,

+    PRIMARY KEY (host_fqdn, tag_id),

+    FOREIGN KEY (host_fqdn) REFERENCES hosts(fqdn) ON UPDATE CASCADE ON DELETE RESTRICT,

+    FOREIGN KEY (tag_id) REFERENCES tags(tag_id) ON UPDATE CASCADE ON DELETE RESTRICT

+);

+

+CREATE INDEX IF NOT EXISTS idx_host_tags_tag_status

+ON host_tags(tag_id, status);

+```

+`legacy_id` and `hosts_ip` exist for compatibility with existing runtime databases and Work Orders, but they are not the product contract. UI and exports identify hosts by `fqdn` and expose one canonical `ip`.

+| `legacy_id` | `TEXT` | no | none | Internal compatibility ID. Unique. |

+- `host_tags.host_fqdn`

+# Table: `tags`

+

+Catalog for host tags managed in the UI.

+

+## Columns

+

+| Column | Type | Null | Default | Notes |

+|--------|------|------|---------|-------|

+| `tag_id` | `TEXT` | no | none | Stable tag identifier derived from the label. Primary key. |

+| `label` | `TEXT` | no | none | Display label. Unique. |

+| `color` | `TEXT` | no | `'#647084'` | UI color, stored as `#rrggbb`. |

+| `icon` | `TEXT` | no | `'tag'` | UI icon key. |

+| `notes` | `TEXT` | no | `''` | Operator notes. |

+| `created_at` | `TEXT` | no | none | ISO UTC creation timestamp. |

+| `updated_at` | `TEXT` | no | none | ISO UTC update timestamp. |

+

+## Keys And Indexes

+

+- Primary key: `tag_id`

+- Unique key: `label`

+

+## Relationships

+

+Referenced by:

+

+- `host_tags.tag_id`

+

+## Definition

+

+```sql

+CREATE TABLE IF NOT EXISTS tags (

+    tag_id TEXT PRIMARY KEY,

+    label TEXT NOT NULL UNIQUE,

+    color TEXT NOT NULL DEFAULT '#647084',

+    icon TEXT NOT NULL DEFAULT 'tag',

+    notes TEXT NOT NULL DEFAULT '',

+    created_at TEXT NOT NULL,

+    updated_at TEXT NOT NULL

+);

+```

+| 2026-06-11 | Registry Maturity Contract | [Database](development-logs/database.md#2026-06-11---registry-maturity-contract) |

+| 2026-06-11 | No Intermediate DNS TSV Product | [DNS](development-logs/dns.md#2026-06-11---no-intermediate-dns-tsv-product) |

+| 2026-06-11 | Tags and Observed Hints | [Hosts view](development-logs/hosts-view.md#2026-06-11---tags-and-observed-hints) |

+- download-urile sunt randate din SQLite

+- la acel moment exista un manifest TSV explicit pentru sync-ul DNS local; acesta a fost retras prin contractul din 2026-06-11

+- YAML/exporturile sa ramana utile pentru review si bootstrap fara sa fie storage-ul live

+

+## 2026-06-11 - Registry Maturity Contract

+

+Observatie: modelul vechi pastra mai multe artefacte care puteau fi confundate cu surse de adevar: `local-hosts.tsv`, campuri legacy din export si surse istorice pe host.

+

+Decizie:

+

+- SQLite ramane singura sursa de adevar runtime

+- `hosts.yaml` devine produsul finit descarcabil si vizibil raw in UI

+- `local-hosts.tsv` nu mai este fisier versionat sau download; resolver sync genereaza recorduri efemere din SQLite

+- schema urca la versiunea 3 cu `tags` si `host_tags`

+- `dhcp_leases` si `mdns_observations` sunt inputuri observate pentru hinturi/autocomplete, nu muta automat registry-ul

+

+Motiv:

+

+- sa evitam drift intre DB, exporturi si configurarea resolverelor

+- sa facem tagurile o functie administrabila, nu text liber fara catalog

+- sa pastram observatiile externe utile fara sa le promovam automat in DNS

+- modificarile DNS facute prin aplicatie nu mai scriu un manifest intermediar

+

+## 2026-06-11 - No Intermediate DNS TSV Product

+

+Decizie: `local-hosts.tsv` nu mai este produs versionat, endpoint download sau fisier scris de aplicatie. `scripts/sync_local_hosts.sh` cere recorduri efemere de la `host_manager.pl --print-resolver-records`, generate direct din SQLite.

+

+Motiv: produsul finit pentru registry este `hosts.yaml`, iar configurarea resolverelor este o actiune operationala. Un fisier TSV intermediar crea inca un loc care putea fi confundat cu sursa de adevar.

+

+## 2026-06-11 - Tags and Observed Hints

+

+Decizie:

+

+- UI-ul afiseaza hosturile prin FQDN si nu mai aglomereaza tabelele cu aliasuri derivate de tip short name

+- tagurile au catalog administrabil cu redenumire, culoare si icon

+- hosturile pot fi asociate cu taguri din editor

+- observatiile DHCP si mDNS apar ca hinturi/autocomplete la hosturi si vhosturi

+- pentru un nume observat precum `nasturel.local`, UI-ul poate propune IP-ul sau hostul existent cu acel IP, dar nu scrie automat in registry

+

+Motiv:

+

+- ecranul principal trebuie sa arate intentia aprobata, nu toate numele derivate

+- inputurile observate sunt utile la editare, dar nu sunt sursa de adevar

+`var/host-manager.sqlite` este sursa de adevăr runtime pentru hosturi, aliasuri, vhosturi, taguri, Work Orders, workeri de date și certificate emise. `hosts.yaml` este produsul finit exportat din baza runtime și seed pentru baze noi. La prima pornire, aplicația seed-uiește tabelele din `config/hosts.yaml` și `config/work-orders.yaml` dacă baza nu are încă rânduri operaționale. Aplicația este complet în spatele autentificării OTP pentru orice date de registru, exporturi sau modificări.

+- `/api/tags`

+- `/api/exports/hosts.yaml`

+- `POST /api/tags/upsert`

+- `POST /api/tags/rename`

+- `POST /api/tags/delete`

+- `POST /api/dns/publish`

+2. Operatorii autentificați pot descărca `/download/hosts.yaml` sau `/download/monitoring.json`; UI-ul afișează și raw `hosts.yaml`.

+3. Pentru DNS local, schimbările făcute în aplicație pun în coadă acțiunea de sincronizare a resolverelor.

+4. Aplicația atinge `var/dns-publish.trigger`, iar pe jumper `host-manager-dns-publish.path` pornește:

+- pune în coadă sincronizarea resolverelor locale prin `host-manager-dns-publish.path`

+Aliasurile derivate nu se declară separat în `hosts.yaml` și nu sunt afișate ca zgomot separat în UI. Ele sunt păstrate în tabelul `host_aliases` și pot apărea în exporturile tehnice care au nevoie de nume efective.

+

+## Taguri și observații

+

+Tagurile sunt învățate din tagurile atașate hosturilor și sunt gestionate în catalogul de taguri: redenumire, culoare, icon și asocieri pe host. Tagurile sunt exportate în `hosts.yaml`.

+

+`dhcp_leases` și `mdns_observations` sunt inputuri observate. Aplicația le afișează ca hinturi/autocomplete la adăugarea sau editarea de hosturi și vhosturi. Dacă există `nasturel.local` și operatorul tastează `nasturel` ca vhost/host, UI-ul poate propune IP-ul detectat sau atașarea la hostul existent cu acel IP; nu modifică registry-ul automat.

+  export verificat         citesc hosts.yaml/monitoring.json

+- DHCP și mDNS sunt inputuri observate pentru hinturi/autocomplete, nu surse de adevăr pentru registry.

+Regula importantă: local nu se folosește wildcard pentru `*.madagascar.xdev.ro`. Doar hostname-urile aprobate în SQLite și publicate prin acțiunea de sincronizare a resolverelor se rezolvă local; orice nume necunoscut, inclusiv typo-uri precum `nohost.madagascar.xdev.ro`, trebuie să întoarcă `NXDOMAIN`.

+| `config/hosts.yaml` | produs finit exportat pentru hosturi și FQDN-uri canonice, plus seed pentru baze noi |

+| `scripts/sync_local_hosts.sh` | generează recorduri efemere din SQLite-ul runtime de pe jumper și sincronizează `/etc/hosts`, `cloaking-rules.txt` și `/ip dns static` |

+4. `hosts-local.yaml` — inventar SSH istoric: aliasuri, utilizatori, entrypoint-uri și căi de acces. IP-urile de aici sunt utile pentru audit, dar pot fi stale dacă DHCP spune altceva.

+5. mDNS (`*.local`) — input observat de descoperire și validare. Confirmă prezența unui host sau propune aliasuri, dar nu creează automat intrări `madagascar.xdev.ro`.

+6. DNS public — folosit doar pentru acces extern. Local, numele interne trebuie shadow-uite exact sau lăsate nerezolvate; wildcard-ul public nu este autoritate pentru LAN.

+- Dacă o sursă observată există doar în mDNS sau doar în lease-uri dinamice, se afișează ca hint/autocomplete, nu se sincronizează automat în DNS.

+Regulă importantă: listenerul mDNS scrie doar în tabelul `mdns_observations`; nu modifică registry-ul de hosturi sau `config/hosts.yaml`. Seed-ul mDNS rămâne observație separată până la review.

+Endpoint-ul scrie doar în `dhcp_leases` și actualizează `data_workers.last_run_at`; nu modifică automat registry-ul de hosturi sau `config/hosts.yaml`.

+- `config/hosts.yaml` - finished host registry export and seed for new databases

+- `scripts/sync_local_hosts.sh` - resolver configuration action for jumper and as01, sourced from the runtime DB on jumper

+`config/` is not deployed by default. The live source of truth is `var/host-manager.sqlite`; `hosts.yaml` is the finished host export/seed and `work-orders.yaml` is a compatibility seed/snapshot. Deploy config only when intentionally replacing seed/export files:

+Name removals with operational impact go through a Work Order. A WO records intent first; the operational checklist must be completed before confirmation can update the SQLite registry, mark the WO as confirmed, and queue resolver sync. Resolver sync remains an explicit operator action and reads runtime records from the jumper database.

+updated_at: "2026-06-11T00:00:00Z"

+  finished_export: "hosts.yaml"

+  storage_authority: "sqlite-relational"

+  - fqdn: "andrafiabe.madagascar.xdev.ro"

+    ip: "192.168.2.96"

+    aliases:

+    vhosts:

+      - "pbs.andrafiabe.madagascar.xdev.ro"

+      - "backup"

+      - "pbs"

+    tags:

+    notes: ""

+  - fqdn: "anjothibe.madagascar.xdev.ro"

+    ip: "192.168.2.95"

+    aliases:

+    vhosts:

+      - "pbs.anjothibe.madagascar.xdev.ro"

+      - "backup"

+      - "pbs"

+    tags:

+    notes: ""

+  - fqdn: "autonas01.madagascar.xdev.ro"

+    aliases:

+    vhosts:

+    tags:

+  - fqdn: "autonas02.madagascar.xdev.ro"

+    aliases:

+    vhosts:

+    tags:

+  - fqdn: "baobab.madagascar.xdev.ro"

+    ip: "192.168.10.91"

+    aliases:

+    vhosts:

+      - "pmx.baobab.madagascar.xdev.ro"

+      - "pmx"

+      - "proxmox"

+    tags:

+    notes: "Service DNS uses thunderbridge."

+  - fqdn: "ebony.madagascar.xdev.ro"

+    ip: "192.168.10.92"

+    aliases:

+    vhosts:

+      - "pmx.ebony.madagascar.xdev.ro"

+      - "pmx"

+      - "proxmox"

+    tags:

+    notes: "Service DNS uses thunderbridge."

+  - fqdn: "jumper.madagascar.xdev.ro"

+    status: "active"

+    ip: "192.168.2.100"

+    aliases:

+    vhosts:

+      - "hosts.madagascar.xdev.ro"

+    roles:

+      - "dns"

+      - "entrypoint"

+    tags:

+    monitoring: "enabled"

+    notes: "Cluster registry publishes only the routable address."

+  - fqdn: "mazeri.madagascar.xdev.ro"

+    aliases:

+    vhosts:

+    tags:

+  - fqdn: "tapia.madagascar.xdev.ro"

+    status: "active"

+    ip: "192.168.10.93"

+    aliases:

+    vhosts:

+      - "pmx.tapia.madagascar.xdev.ro"

+    roles:

+      - "pmx"

+      - "proxmox"

+    tags:

+    monitoring: "pending"

+    notes: "Service DNS uses thunderbridge."

+  - fqdn: "toltec.madagascar.xdev.ro"

+    aliases:

+    vhosts:

+    tags:

+  - fqdn: "zabbix.madagascar.xdev.ro"

+    aliases:

+    vhosts:

+    tags:

+curl -k -o /dev/null -w '%{http_code}\n' -X POST https://madagascar.xdev.ro/api/dns/publish

+Schimbările DNS făcute prin aplicație ating `var/dns-publish.trigger`. Pe jumper,

+`host-manager-mdns` este un listener separat care observă mDNS și scrie direct în tabelul SQLite `mdns_observations`. Listenerul nu modifică host registry-ul sau `config/hosts.yaml`. Sync-ul resolverului generează recorduri efemere din SQLite, nu dintr-un export static.

+my $print_resolver_records = 0;

+my $print_hosts_yaml = 0;

+    } elsif ($arg eq '--print-hosts-yaml') {

+        $print_hosts_yaml = 1;

+    } elsif ($arg eq '--print-resolver-records' || $arg eq '--print-local-hosts-tsv') {

+        $print_resolver_records = 1;

+if ($print_hosts_yaml) {

+    print render_hosts_yaml(load_registry());

+    exit 0;

+}

+

+if ($print_resolver_records) {

+    print render_resolver_records(load_registry());

+  --print-hosts-yaml            Print the finished hosts.yaml export and exit.

+  --print-resolver-records      Print ephemeral resolver records and exit.

+SQLite is the runtime source of truth. hosts.yaml is the finished registry

+export. Resolver sync is an action sourced from SQLite, not a tracked TSV

+artifact. The nginx vhost keeps registry, CA, work order and download endpoints

+behind OTP.

+    if ($method eq 'GET' && $path eq '/api/tags') {

+        return send_json($client, 200, tags_payload(dbh()));

+    }

+    if ($method eq 'GET' && $path eq '/api/exports/hosts.yaml') {

+        my $registry = load_registry();

+        return send_response($client, 200, render_hosts_yaml($registry), 'text/plain; charset=utf-8');

+    }

+            return delete_host($client, $payload->{fqdn} || $payload->{id} || '');

+        }

+        if ($path eq '/api/tags/upsert') {

+            my $payload = request_payload(\%headers, $body);

+            return upsert_tag($client, $payload);

+        }

+        if ($path eq '/api/tags/rename') {

+            my $payload = request_payload(\%headers, $body);

+            return rename_tag($client, $payload);

+        }

+        if ($path eq '/api/tags/delete') {

+            my $payload = request_payload(\%headers, $body);

+            return delete_tag($client, $payload);

+        }

+        if ($path eq '/api/dns/publish') {

+            my $publish = publish_dns_change(load_registry(), 'manual-publish');

+            return send_json($client, 200, { ok => json_bool(1), dns_publish => $publish });

+    return $path =~ m{\A/(?:|overview|hosts|vhosts|tags|dns|work-orders|ca|debug)\z};

+sub upsert_tag {

+    my ($client, $payload) = @_;

+    my $label = clean_tag_label($payload->{label} || $payload->{tag} || $payload->{tag_id} || '');

+    return send_json($client, 400, { error => 'invalid_tag' }) unless length $label;

+    my $dbh = dbh();

+    my $now = iso_now();

+    my $tag = eval {

+        with_transaction($dbh, sub {

+            upsert_tag_to_db(

+                $dbh,

+                $label,

+                clean_tag_color($payload->{color} || ''),

+                clean_tag_icon($payload->{icon} || ''),

+                clean_scalar($payload->{notes} || ''),

+                $now,

+            );

+        });

+        tag_payload_by_label($dbh, $label);

+    };

+    if (!$tag) {

+        return send_json($client, 409, { error => 'tag_upsert_failed', detail => clean_scalar($@ || '') });

+    }

+    return send_json($client, 200, { ok => json_bool(1), tag => $tag });

+}

+

+sub rename_tag {

+    my ($client, $payload) = @_;

+    my $old_id = clean_tag_id($payload->{tag_id} || $payload->{old_label} || $payload->{old_tag} || '');

+    my $new_label = clean_tag_label($payload->{new_label} || $payload->{label} || '');

+    return send_json($client, 400, { error => 'invalid_tag' }) unless length $old_id && length $new_label;

+    my $new_id = clean_tag_id($new_label);

+    my $dbh = dbh();

+    return send_json($client, 404, { error => 'tag_not_found' })

+        unless db_scalar($dbh, 'SELECT COUNT(*) FROM tags WHERE tag_id = ?', $old_id);

+    if ($new_id ne $old_id && db_scalar($dbh, 'SELECT COUNT(*) FROM tags WHERE tag_id = ? OR label = ?', $new_id, $new_label)) {

+        return send_json($client, 409, { error => 'tag_exists' });

+    }

+    my $now = iso_now();

+    my $renamed = eval {

+        with_transaction($dbh, sub {

+            $dbh->do(

+                'UPDATE tags SET tag_id = ?, label = ?, color = ?, icon = ?, notes = ?, updated_at = ? WHERE tag_id = ?',

+                undef,

+                $new_id,

+                $new_label,

+                clean_tag_color($payload->{color} || ''),

+                clean_tag_icon($payload->{icon} || ''),

+                clean_scalar($payload->{notes} || ''),

+                $now,

+                $old_id,

+            );

+            set_schema_meta($dbh, 'registry_updated_at', $now);

+        });

+        tag_payload_by_label($dbh, $new_label);

+    };

+    if (!$renamed) {

+        return send_json($client, 409, { error => 'tag_rename_failed', detail => clean_scalar($@ || '') });

+    }

+    return send_json($client, 200, { ok => json_bool(1), tag => $renamed });

+}

+

+sub delete_tag {

+    my ($client, $payload) = @_;

+    my $tag_id = clean_tag_id($payload->{tag_id} || $payload->{label} || '');

+    return send_json($client, 400, { error => 'invalid_tag' }) unless length $tag_id;

+    my $dbh = dbh();

+    return send_json($client, 404, { error => 'tag_not_found' })

+        unless db_scalar($dbh, 'SELECT COUNT(*) FROM tags WHERE tag_id = ?', $tag_id);

+    my $now = iso_now();

+    with_transaction($dbh, sub {

+        $dbh->do('DELETE FROM host_tags WHERE tag_id = ?', undef, $tag_id);

+        $dbh->do('DELETE FROM tags WHERE tag_id = ?', undef, $tag_id);

+        set_schema_meta($dbh, 'registry_updated_at', $now);

+    });

+    return send_json($client, 200, { ok => json_bool(1), tag_id => $tag_id });

+}

+

+    my %tag_catalog = tag_catalog_by_label($dbh);

+    my @hosts = map { host_payload($_, $host_tls{ canonical_host_fqdn($_) }, \%tag_catalog) } @{ $registry->{hosts} };

+    my $tags = tags_payload($dbh);

+        tags => $tags->{tags},

+        observations => observations_payload($dbh),

+        tags => [ clean_tag_labels($payload->{tags}) ],

+    my ($client, $target) = @_;

+    my $fqdn = normalize_dns_name($target || '');

+    my $id = clean_id($target || '');

+    return send_json($client, 400, { error => 'invalid_host' }) unless $fqdn || $id;

+    my @kept = grep {

+        (canonical_host_fqdn($_) ne $fqdn) && (($_->{id} || '') ne $id)

+    } @{ $registry->{hosts} };

+    my ($host, $tls, $tag_catalog) = @_;

+    $tls ||= {};

+    $tag_catalog ||= {};

+    $copy{tags} = [ clean_tag_labels($host->{tags}) ];

+    $copy{tag_details} = [

+        map { $tag_catalog->{$_} || default_tag_payload($_) } @{ $copy{tags} }

+    ];

+sub render_resolver_records {

+    my $out = "# Ephemeral resolver records for the madagascar network.\n";

+    $out .= "# hosts.yaml is the finished export; this stream is consumed by resolver sync only.\n";

+            tags => [ clean_tag_labels($host->{tags}) ],

+        } elsif (($section || '') eq 'hosts' && $line =~ /^  - (id|fqdn):\s*(.+)$/) {

+                id => '',

+                tags => [],

+            if ($1 eq 'id') {

+                $current->{id} = yaml_unquote($2);

+            } else {

+                $current->{fqdn} = normalize_dns_name(yaml_unquote($2));

+                $current->{id} = legacy_id_from_fqdn($current->{fqdn});

+            }

+        $host->{id} ||= legacy_id_from_fqdn($host->{fqdn});

+    for my $host (sort { canonical_host_fqdn($a) cmp canonical_host_fqdn($b) } @{ $registry->{hosts} || [] }) {

+        $out .= "  - fqdn: " . yq(canonical_host_fqdn($host)) . "\n";

+        for my $key (qw(aliases vhosts roles tags)) {

+sub clean_tag_label {

+    my ($value) = @_;

+    $value = lc clean_scalar($value || '');

+    $value =~ s/[^a-z0-9_. -]+/-/g;

+    $value =~ s/\s+/-/g;

+    $value =~ s/-+/-/g;

+    $value =~ s/^-+|-+$//g;

+    return $value;

+}

+

+sub clean_tag_id {

+    my ($value) = @_;

+    return clean_id(clean_tag_label($value || ''));

+}

+

+sub clean_tag_labels {

+    my ($value) = @_;

+    return unique_preserve(grep { length $_ } map { clean_tag_label($_) } clean_list($value));

+}

+

+sub default_tag_color {

+    return '#647084';

+}

+

+sub default_tag_icon {

+    return 'tag';

+}

+

+sub clean_tag_color {

+    my ($value) = @_;

+    $value = clean_scalar($value || '');

+    return lc $value if $value =~ /\A#[0-9a-fA-F]{6}\z/;

+    return default_tag_color();

+}

+

+sub clean_tag_icon {

+    my ($value) = @_;

+    $value = lc clean_scalar($value || '');

+    $value =~ s/[^a-z0-9_-]+/-/g;

+    $value =~ s/^-+|-+$//g;

+    return length($value) ? $value : default_tag_icon();

+}

+

+        action => 'resolver-sync',

+        action => 'resolver-sync',

+        undef, 'schema_version', '3', iso_now()

+SQL

+    $dbh->do(<<'SQL');

+CREATE TABLE IF NOT EXISTS tags (

+    tag_id TEXT PRIMARY KEY,

+    label TEXT NOT NULL UNIQUE,

+    color TEXT NOT NULL DEFAULT '#647084',

+    icon TEXT NOT NULL DEFAULT 'tag',

+    notes TEXT NOT NULL DEFAULT '',

+    created_at TEXT NOT NULL,

+    updated_at TEXT NOT NULL

+)

+SQL

+    $dbh->do(<<'SQL');

+CREATE TABLE IF NOT EXISTS host_tags (

+    host_fqdn TEXT NOT NULL,

+    tag_id TEXT NOT NULL,

+    status TEXT NOT NULL DEFAULT 'active',

+    created_at TEXT NOT NULL,

+    retired_at TEXT,

+    PRIMARY KEY (host_fqdn, tag_id),

+    FOREIGN KEY (host_fqdn) REFERENCES hosts(fqdn) ON UPDATE CASCADE ON DELETE RESTRICT,

+    FOREIGN KEY (tag_id) REFERENCES tags(tag_id) ON UPDATE CASCADE ON DELETE RESTRICT

+)

+SQL

+    $dbh->do(<<'SQL');

+CREATE INDEX IF NOT EXISTS idx_host_tags_tag_status

+ON host_tags(tag_id, status)

+            tags => [ active_tags_for_host($dbh, $fqdn) ],

+    sync_host_tags($dbh, $fqdn, [ clean_tag_labels($host->{tags}) ]);

+sub sync_host_tags {

+    my ($dbh, $fqdn, $labels) = @_;

+    my $now = iso_now();

+    my %active;

+    for my $label (@$labels) {

+        $label = clean_tag_label($label);

+        next unless length $label;

+        my $tag_id = upsert_tag_to_db($dbh, $label, '', '', '', $now);

+        next unless length $tag_id;

+        $active{$tag_id} = 1;

+        $dbh->do(

+            "INSERT INTO host_tags (host_fqdn, tag_id, status, created_at, retired_at) VALUES (?, ?, 'active', ?, '') "

+            . "ON CONFLICT(host_fqdn, tag_id) DO UPDATE SET status = 'active', retired_at = ''",

+            undef,

+            $fqdn, $tag_id, $now,

+        );

+    }

+

+    my $sth = $dbh->prepare("SELECT tag_id FROM host_tags WHERE host_fqdn = ? AND status = 'active'");

+    $sth->execute($fqdn);

+    while (my ($tag_id) = $sth->fetchrow_array) {

+        next if $active{$tag_id};

+        $dbh->do("UPDATE host_tags SET status = 'retired', retired_at = ? WHERE host_fqdn = ? AND tag_id = ?", undef, $now, $fqdn, $tag_id);

+    }

+}

+

+sub upsert_tag_to_db {

+    my ($dbh, $label, $color, $icon, $notes, $now) = @_;

+    $label = clean_tag_label($label);

+    return '' unless length $label;

+    my $tag_id = clean_tag_id($label);

+    $color = clean_tag_color($color || '');

+    $icon = clean_tag_icon($icon || '');

+    $notes = clean_scalar($notes || '');

+    $dbh->do(

+        'INSERT INTO tags (tag_id, label, color, icon, notes, created_at, updated_at) VALUES (?, ?, ?, ?, ?, ?, ?) '

+        . 'ON CONFLICT(tag_id) DO UPDATE SET label = excluded.label, '

+        . 'color = CASE WHEN excluded.color <> ? THEN excluded.color ELSE tags.color END, '

+        . 'icon = CASE WHEN excluded.icon <> ? THEN excluded.icon ELSE tags.icon END, '

+        . 'notes = CASE WHEN excluded.notes <> ? THEN excluded.notes ELSE tags.notes END, '

+        . 'updated_at = excluded.updated_at',

+        undef,

+        $tag_id, $label, $color, $icon, $notes, $now, $now,

+        default_tag_color(), default_tag_icon(), '',

+    );

+    return $tag_id;

+}

+

+    $dbh->do("UPDATE host_tags SET status = 'retired', retired_at = ? WHERE host_fqdn = ? AND status = 'active'", undef, $now, $fqdn);

+sub active_tags_for_host {

+    my ($dbh, $fqdn) = @_;

+    my @values;

+    my $sth = $dbh->prepare(<<'SQL');

+SELECT t.label

+FROM host_tags ht

+JOIN tags t ON t.tag_id = ht.tag_id

+WHERE ht.host_fqdn = ? AND ht.status = 'active'

+ORDER BY t.label

+SQL

+    $sth->execute($fqdn);

+    while (my ($label) = $sth->fetchrow_array) {

+        push @values, clean_tag_label($label);

+    }

+    return @values;

+}

+

+sub tags_payload {

+    my ($dbh) = @_;

+    my @tags;

+    my $sth = $dbh->prepare(<<'SQL');

+SELECT

+    t.tag_id,

+    t.label,

+    t.color,

+    t.icon,

+    t.notes,

+    COUNT(CASE WHEN ht.status = 'active' THEN 1 END) AS host_count

+FROM tags t

+LEFT JOIN host_tags ht ON ht.tag_id = t.tag_id

+GROUP BY t.tag_id, t.label, t.color, t.icon, t.notes

+ORDER BY t.label

+SQL

+    $sth->execute;