Fix Dokploy deploy to match agencja-ai runtime clone pattern.
Revert compose to public git clone with env-based HTML generation, allow inline scripts in CSP for YouTube player, and use window.location.origin for embed origin. Co-authored-by: Cursor <cursoragent@cursor.com>
This commit is contained in:
@@ -22,45 +22,44 @@ site-slavic-pulse-com/
|
||||
|
||||
## Dokploy deployment
|
||||
|
||||
**Ten sam model co `site-agencja-ai-com`:** Dokploy kopiuje na serwer **tylko** `docker-compose.yml` + `.env` — nie ma tam `Dockerfile` ani pełnego repo. Kontener przy starcie robi `git clone` publicznego repo, generuje HTML z `.env` i uruchamia nginx.
|
||||
|
||||
**Kroki w Dokploy UI:**
|
||||
1. Nowa aplikacja (Compose) → wklej `docker-compose-example/docker-compose.yml`
|
||||
2. Wklej `.env` (na podstawie `.env.example`) — ustaw `VIDEO_ID_*`, opisy SEO
|
||||
2. Wklej `.env` (na podstawie `.env.example`) — ustaw `FRONTEND_PORT`, `VIDEO_ID_*`, opisy SEO
|
||||
3. **Domains** → dodaj **oba** hosty (Container Port = `80`, HTTPS = Let's Encrypt):
|
||||
- `slavic-pulse.com`
|
||||
- `www.slavic-pulse.com` ← **wymagane** — bez tego www dostaje domyślny cert Traefika (CN=*, self-signed) i telefony pokazują „serwer nie potrafi udowodnić tożsamości”
|
||||
4. (Opcjonalnie) **Advanced → Redirects** → preset **www → non-www**, żeby `www` przekierowywało na apex
|
||||
5. Traefik routuje ruch HTTPS → port 80 kontenera (bez mapowania portu na hosta)
|
||||
6. Deploy — Dokploy klonuje repo na hoście i **buduje obraz z Dockerfile** (brak git clone w kontenerze)
|
||||
4. (Opcjonalnie) **Advanced → Redirects** → preset **www → non-www**
|
||||
5. Deploy
|
||||
|
||||
**Porty:** nie używaj `ports:` w compose — Traefik/Dokploy łączy się z wewnętrznym `:80`.
|
||||
W `docker ps` kolumna PORTS może być pusta — to normalne przy routingu przez Traefik.
|
||||
**Porty:** compose mapuje `${FRONTEND_PORT}:80` (jak agencja-ai). Traefik/Dokploy dodatkowo routuje po FQDN do wewnętrznego portu 80 kontenera.
|
||||
|
||||
**Gitea Provider w Dokploy** (OAuth) — autoryzuje Dokploy do listowania repo i deployu z UI.
|
||||
Repo klonowane jest na **hoście** przez Dokploy; kontener nie potrzebuje tokena GITEA ani `git clone` w runtime.
|
||||
**Repo musi być publiczne** w Gitea — clone bez tokenu. Po `git push` zrób redeploy, żeby kontener pobrał nowy kod.
|
||||
|
||||
## Jak to działa
|
||||
|
||||
1. **Build** — Dokploy buduje obraz z `Dockerfile` (nginx + assets + szablony)
|
||||
2. **Start kontenera** — entrypoint generuje `index.html` i `site.webmanifest` ze zmiennych `.env`, usuwa szablony z dysku
|
||||
3. **Tło** — miniaturka YouTube (`img.youtube.com`) dopasowana do FHD/vertical
|
||||
4. **Intro wideo** — YouTube IFrame API, autoplay
|
||||
5. **Po filmie** — przekierowanie (jeśli `POST_VIDEO_REDIRECT_ENABLED=true`) lub tło z miniaturki
|
||||
1. **Start kontenera** — `git clone` publicznego repo do `/app`
|
||||
2. **`generate-from-env.sh`** — buduje `index.html` i `site.webmanifest` ze zmiennych `.env`
|
||||
3. **Kopiowanie** — `assets/`, `default.conf`, `nginx.conf` → nginx
|
||||
4. **Cleanup** — `rm -rf /app` (brak pełnego repo na dysku kontenera)
|
||||
5. **Intro wideo** — YouTube IFrame API, autoplay; po filmie redirect lub tło
|
||||
|
||||
## Konfiguracja (.env)
|
||||
|
||||
| Zmienna | Opis |
|
||||
|---------|------|
|
||||
| `FRONTEND_PORT` | Port na hoście (np. `8082`) |
|
||||
| `VIDEO_ID_FHD` / `VIDEO_ID_VERTICAL` | ID shortów YouTube |
|
||||
| `POST_VIDEO_REDIRECT_URL_*` | URL po zakończeniu filmu |
|
||||
| `POST_VIDEO_REDIRECT_ENABLED` | `true` = redirect, `false` = zostaje tło |
|
||||
|
||||
**Nie dodawaj do produkcyjnego `.env`:** `GITEA_REPO_URL`, `FRONTEND_PORT` — nie są używane w tym modelu deployu.
|
||||
|
||||
## Hardening bezpieczeństwa (wbudowany)
|
||||
|
||||
- Build z Dockerfile zamiast runtime git clone — brak tokenów w kontenerze
|
||||
- Repo publiczne — brak tokena GITEA w kontenerze
|
||||
- Po starcie `/app` usuwane — brak compose/README/szablonów na dysku
|
||||
- nginx: whitelist ścieżek, blokada `.env`/`.sh`/`.template`, nagłówki CSP/Referrer-Policy
|
||||
- Szablony i generator usuwane z kontenera po wygenerowaniu HTML
|
||||
- CSP z `'unsafe-inline'` dla skryptu YouTube (inline JS w `index.html`)
|
||||
- `server_tokens off` — ukryta wersja nginx
|
||||
|
||||
## Weryfikacja po deployu
|
||||
@@ -77,34 +76,35 @@ curl -sI https://slavic-pulse.com/random-path | grep HTTP
|
||||
# Nagłówki bezpieczeństwa
|
||||
curl -sI https://slavic-pulse.com/ | grep -iE 'content-security-policy|referrer-policy|permissions-policy'
|
||||
|
||||
# Brak wersji nginx w Server
|
||||
curl -sI https://slavic-pulse.com/ | grep -i server
|
||||
|
||||
# W kontenerze (na serwerze)
|
||||
docker exec slavic-pulse-com-frontend ls /opt/slavic-pulse 2>&1 # powinno: No such file
|
||||
docker inspect slavic-pulse-com-frontend --format '{{range .Config.Env}}{{println .}}{{end}}' | grep -i gitea # brak wyniku
|
||||
docker logs slavic-pulse-com-frontend --tail 30
|
||||
docker exec slavic-pulse-com-frontend ls /app 2>&1 # powinno: No such file
|
||||
docker exec slavic-pulse-com-frontend head -3 /usr/share/nginx/html/index.html
|
||||
```
|
||||
|
||||
## Rozwiązywanie problemów
|
||||
|
||||
### Brak portów w `docker ps` (kolumna PORTS pusta)
|
||||
### Kontener `Restarting` / unhealthy
|
||||
|
||||
Przy Traefik/Dokploy bez `ports:` w compose — **to oczekiwane**.
|
||||
Sprawdź w Dokploy UI: domena → Container Port = **80**, kontener `Up (healthy)`.
|
||||
|
||||
### Kontener nie startuje / unhealthy
|
||||
|
||||
**Diagnostyka na serwerze:**
|
||||
```bash
|
||||
docker logs slavic-pulse-com-frontend --tail 50
|
||||
```
|
||||
|
||||
Typowe przyczyny: błąd builda Dockerfile, brak `.env`, błąd w `generate-from-env.sh`.
|
||||
Typowe przyczyny:
|
||||
- Repo **prywatne** → ustaw jako Public w Gitea
|
||||
- Brak lub błędny `.env` w Dokploy
|
||||
- Błąd w `generate-from-env.sh` (sprawdź logi)
|
||||
|
||||
### Strona czarna / loader bez końca
|
||||
|
||||
- Sprawdź konsolę przeglądarki (CSP / YouTube)
|
||||
- Upewnij się, że `VIDEO_ID_*` są poprawne w `.env`
|
||||
- Po zmianie `default.conf` lub szablonu: `git push` + redeploy
|
||||
|
||||
### Zmiana konfiguracji po deployu
|
||||
|
||||
1. Edytuj `.env` w Dokploy
|
||||
2. Redeploy / restart kontenera (entrypoint regeneruje HTML z nowych zmiennych)
|
||||
2. Redeploy / restart kontenera (przy starcie ponownie klonuje repo i generuje HTML)
|
||||
|
||||
### Błąd certyfikatu SSL na telefonie („serwer nie potrafi udowodnić…”)
|
||||
|
||||
@@ -121,8 +121,8 @@ Strona wysyła `Strict-Transport-Security: includeSubDomains`, więc po wizycie
|
||||
4. Sprawdź: `curl -I https://www.slavic-pulse.com` (powinno być HTTP 200 lub 301, bez błędu SSL)
|
||||
5. (Opcjonalnie) **Advanced → Redirects** → **www to non-www**
|
||||
|
||||
**Alternatywa w DNS (OVH):** zamiast rekordu A dla `www` ustaw przekierowanie HTTP na `https://slavic-pulse.com` w panelu domeny — wtedy ruch www nie trafia na serwer bez certyfikatu.
|
||||
**Alternatywa w DNS (OVH):** zamiast rekordu A dla `www` ustaw przekierowanie HTTP na `https://slavic-pulse.com` w panelu domeny.
|
||||
|
||||
**Facebook / in-app browser:** linki w postach powinny wskazywać `https://slavic-pulse.com` (bez www). Po naprawie www problem znika także dla użytkowników, którzy wpiszą www ręcznie.
|
||||
**Facebook / in-app browser:** linki w postach powinny wskazywać `https://slavic-pulse.com` (bez www).
|
||||
|
||||
**Odnowienie certyfikatu:** Let's Encrypt odnawia cert automatycznie przez Traefik. Jeśli cert wygasa, w Dokploy sprawdź logi Traefik i czy port 80 jest dostępny z internetu (HTTP-01 challenge).
|
||||
|
||||
Reference in New Issue
Block a user