Fix Dokploy deploy to match agencja-ai runtime clone pattern.

Revert compose to public git clone with env-based HTML generation, allow inline scripts in CSP for YouTube player, and use window.location.origin for embed origin.

Co-authored-by: Cursor <cursoragent@cursor.com>
This commit is contained in:
2026-06-27 17:25:28 +02:00
parent f4775366ef
commit b8bb8eecd2
6 changed files with 76 additions and 51 deletions
+1 -1
View File
@@ -17,7 +17,7 @@ SITE_DESCRIPTION="Lokalne modele LLM, własny serwer AI (Proxmox, TrueNAS, Ubunt
FACEBOOK_DESCRIPTION="Polub nas na YouTube i wesprzyj fundację — linki na slavic-pulse.com" FACEBOOK_DESCRIPTION="Polub nas na YouTube i wesprzyj fundację — linki na slavic-pulse.com"
TWITTER_DESCRIPTION="Lokalne modele LLM, własny serwer AI (Proxmox, TrueNAS, Ubuntu), RAG, Ollama, Open WebUI, bezpieczny self-hosting i wdrożenia biznesowe lokalnej AI." TWITTER_DESCRIPTION="Lokalne modele LLM, własny serwer AI (Proxmox, TrueNAS, Ubuntu), RAG, Ollama, Open WebUI, bezpieczny self-hosting i wdrożenia biznesowe lokalnej AI."
SITE_OG_IMAGE_ALT="Slavic Pulse" SITE_OG_IMAGE_ALT="Slavic Pulse"
THEME_COLOR=#000000 THEME_COLOR="#000000"
# --- Ikony (ścieżki względem roota strony) --- # --- Ikony (ścieżki względem roota strony) ---
FAVICON_48=/assets/imgs/favico/48x48.png FAVICON_48=/assets/imgs/favico/48x48.png
+1 -1
View File
@@ -54,5 +54,5 @@ server {
add_header X-Content-Type-Options nosniff always; add_header X-Content-Type-Options nosniff always;
add_header Referrer-Policy "strict-origin-when-cross-origin" always; add_header Referrer-Policy "strict-origin-when-cross-origin" always;
add_header Permissions-Policy "camera=(), microphone=(), geolocation=(), payment=()" always; add_header Permissions-Policy "camera=(), microphone=(), geolocation=(), payment=()" always;
add_header Content-Security-Policy "default-src 'self'; script-src 'self' https://www.youtube.com https://www.gstatic.com; style-src 'self' 'unsafe-inline'; img-src 'self' https://img.youtube.com data:; frame-src https://www.youtube.com; connect-src 'self' https://www.youtube.com; base-uri 'self'; form-action 'none'; object-src 'none'; upgrade-insecure-requests;" always; add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' https://www.youtube.com https://www.gstatic.com; style-src 'self' 'unsafe-inline'; img-src 'self' https://img.youtube.com data:; frame-src https://www.youtube.com; connect-src 'self' https://www.youtube.com; base-uri 'self'; form-action 'none'; object-src 'none'; upgrade-insecure-requests;" always;
} }
+7 -3
View File
@@ -2,8 +2,12 @@
# Copy to .env before deploy if needed. # Copy to .env before deploy if needed.
# Never commit .env with real credentials to version control. # Never commit .env with real credentials to version control.
# #
# Tylko zmienne runtime strony — bez GITEA_REPO_URL, bez FRONTEND_PORT. # Dokploy kopiuje tylko docker-compose.yml + .env (jak site-agencja-ai-com).
# Dokploy buduje obraz z Dockerfile; repo klonowane jest na hoście przez Dokploy. # Repo publiczne — brak GITEA_REPO_URL.
# --- Frontend Server ---
# Port publikowany na hoście. W kontenerze nginx zawsze nasłuchuje na 80.
FRONTEND_PORT=8082
# --- Strona (meta, SEO, PWA) --- # --- Strona (meta, SEO, PWA) ---
SITE_TITLE="Slavic Pulse" SITE_TITLE="Slavic Pulse"
@@ -13,7 +17,7 @@ SITE_DESCRIPTION="Lokalne modele LLM, własny serwer AI (Proxmox, TrueNAS, Ubunt
FACEBOOK_DESCRIPTION="Polub nas na YouTube i wesprzyj fundację — linki na slavic-pulse.com" FACEBOOK_DESCRIPTION="Polub nas na YouTube i wesprzyj fundację — linki na slavic-pulse.com"
TWITTER_DESCRIPTION="Lokalne modele LLM, własny serwer AI (Proxmox, TrueNAS, Ubuntu), RAG, Ollama, Open WebUI, bezpieczny self-hosting i wdrożenia biznesowe lokalnej AI." TWITTER_DESCRIPTION="Lokalne modele LLM, własny serwer AI (Proxmox, TrueNAS, Ubuntu), RAG, Ollama, Open WebUI, bezpieczny self-hosting i wdrożenia biznesowe lokalnej AI."
SITE_OG_IMAGE_ALT="Slavic Pulse" SITE_OG_IMAGE_ALT="Slavic Pulse"
THEME_COLOR=#000000 THEME_COLOR="#000000"
# --- Ikony (ścieżki względem roota strony) --- # --- Ikony (ścieżki względem roota strony) ---
FAVICON_48=/assets/imgs/favico/48x48.png FAVICON_48=/assets/imgs/favico/48x48.png
+33 -33
View File
@@ -22,45 +22,44 @@ site-slavic-pulse-com/
## Dokploy deployment ## Dokploy deployment
**Ten sam model co `site-agencja-ai-com`:** Dokploy kopiuje na serwer **tylko** `docker-compose.yml` + `.env` — nie ma tam `Dockerfile` ani pełnego repo. Kontener przy starcie robi `git clone` publicznego repo, generuje HTML z `.env` i uruchamia nginx.
**Kroki w Dokploy UI:** **Kroki w Dokploy UI:**
1. Nowa aplikacja (Compose) → wklej `docker-compose-example/docker-compose.yml` 1. Nowa aplikacja (Compose) → wklej `docker-compose-example/docker-compose.yml`
2. Wklej `.env` (na podstawie `.env.example`) — ustaw `VIDEO_ID_*`, opisy SEO 2. Wklej `.env` (na podstawie `.env.example`) — ustaw `FRONTEND_PORT`, `VIDEO_ID_*`, opisy SEO
3. **Domains** → dodaj **oba** hosty (Container Port = `80`, HTTPS = Let's Encrypt): 3. **Domains** → dodaj **oba** hosty (Container Port = `80`, HTTPS = Let's Encrypt):
- `slavic-pulse.com` - `slavic-pulse.com`
- `www.slavic-pulse.com`**wymagane** — bez tego www dostaje domyślny cert Traefika (CN=*, self-signed) i telefony pokazują „serwer nie potrafi udowodnić tożsamości” - `www.slavic-pulse.com`**wymagane** — bez tego www dostaje domyślny cert Traefika (CN=*, self-signed) i telefony pokazują „serwer nie potrafi udowodnić tożsamości”
4. (Opcjonalnie) **Advanced → Redirects** → preset **www → non-www**, żeby `www` przekierowywało na apex 4. (Opcjonalnie) **Advanced → Redirects** → preset **www → non-www**
5. Traefik routuje ruch HTTPS → port 80 kontenera (bez mapowania portu na hosta) 5. Deploy
6. Deploy — Dokploy klonuje repo na hoście i **buduje obraz z Dockerfile** (brak git clone w kontenerze)
**Porty:** nie używaj `ports:` w compose — Traefik/Dokploy łączy się z wewnętrznym `:80`. **Porty:** compose mapuje `${FRONTEND_PORT}:80` (jak agencja-ai). Traefik/Dokploy dodatkowo routuje po FQDN do wewnętrznego portu 80 kontenera.
W `docker ps` kolumna PORTS może być pusta — to normalne przy routingu przez Traefik.
**Gitea Provider w Dokploy** (OAuth) — autoryzuje Dokploy do listowania repo i deployu z UI. **Repo musi być publiczne** w Gitea — clone bez tokenu. Po `git push` zrób redeploy, żeby kontener pobrał nowy kod.
Repo klonowane jest na **hoście** przez Dokploy; kontener nie potrzebuje tokena GITEA ani `git clone` w runtime.
## Jak to działa ## Jak to działa
1. **Build** — Dokploy buduje obraz z `Dockerfile` (nginx + assets + szablony) 1. **Start kontenera**`git clone` publicznego repo do `/app`
2. **Start kontenera**entrypoint generuje `index.html` i `site.webmanifest` ze zmiennych `.env`, usuwa szablony z dysku 2. **`generate-from-env.sh`** — buduje `index.html` i `site.webmanifest` ze zmiennych `.env`
3. **Tło** — miniaturka YouTube (`img.youtube.com`) dopasowana do FHD/vertical 3. **Kopiowanie**`assets/`, `default.conf`, `nginx.conf` → nginx
4. **Intro wideo** — YouTube IFrame API, autoplay 4. **Cleanup**`rm -rf /app` (brak pełnego repo na dysku kontenera)
5. **Po filmie** — przekierowanie (jeśli `POST_VIDEO_REDIRECT_ENABLED=true`) lub tło z miniaturki 5. **Intro wideo** — YouTube IFrame API, autoplay; po filmie redirect lub tło
## Konfiguracja (.env) ## Konfiguracja (.env)
| Zmienna | Opis | | Zmienna | Opis |
|---------|------| |---------|------|
| `FRONTEND_PORT` | Port na hoście (np. `8082`) |
| `VIDEO_ID_FHD` / `VIDEO_ID_VERTICAL` | ID shortów YouTube | | `VIDEO_ID_FHD` / `VIDEO_ID_VERTICAL` | ID shortów YouTube |
| `POST_VIDEO_REDIRECT_URL_*` | URL po zakończeniu filmu | | `POST_VIDEO_REDIRECT_URL_*` | URL po zakończeniu filmu |
| `POST_VIDEO_REDIRECT_ENABLED` | `true` = redirect, `false` = zostaje tło | | `POST_VIDEO_REDIRECT_ENABLED` | `true` = redirect, `false` = zostaje tło |
**Nie dodawaj do produkcyjnego `.env`:** `GITEA_REPO_URL`, `FRONTEND_PORT` — nie są używane w tym modelu deployu.
## Hardening bezpieczeństwa (wbudowany) ## Hardening bezpieczeństwa (wbudowany)
- Build z Dockerfile zamiast runtime git clone — brak tokenów w kontenerze - Repo publiczne — brak tokena GITEA w kontenerze
- Po starcie `/app` usuwane — brak compose/README/szablonów na dysku
- nginx: whitelist ścieżek, blokada `.env`/`.sh`/`.template`, nagłówki CSP/Referrer-Policy - nginx: whitelist ścieżek, blokada `.env`/`.sh`/`.template`, nagłówki CSP/Referrer-Policy
- Szablony i generator usuwane z kontenera po wygenerowaniu HTML - CSP z `'unsafe-inline'` dla skryptu YouTube (inline JS w `index.html`)
- `server_tokens off` — ukryta wersja nginx - `server_tokens off` — ukryta wersja nginx
## Weryfikacja po deployu ## Weryfikacja po deployu
@@ -77,34 +76,35 @@ curl -sI https://slavic-pulse.com/random-path | grep HTTP
# Nagłówki bezpieczeństwa # Nagłówki bezpieczeństwa
curl -sI https://slavic-pulse.com/ | grep -iE 'content-security-policy|referrer-policy|permissions-policy' curl -sI https://slavic-pulse.com/ | grep -iE 'content-security-policy|referrer-policy|permissions-policy'
# Brak wersji nginx w Server
curl -sI https://slavic-pulse.com/ | grep -i server
# W kontenerze (na serwerze) # W kontenerze (na serwerze)
docker exec slavic-pulse-com-frontend ls /opt/slavic-pulse 2>&1 # powinno: No such file docker logs slavic-pulse-com-frontend --tail 30
docker inspect slavic-pulse-com-frontend --format '{{range .Config.Env}}{{println .}}{{end}}' | grep -i gitea # brak wyniku docker exec slavic-pulse-com-frontend ls /app 2>&1 # powinno: No such file
docker exec slavic-pulse-com-frontend head -3 /usr/share/nginx/html/index.html
``` ```
## Rozwiązywanie problemów ## Rozwiązywanie problemów
### Brak portów w `docker ps` (kolumna PORTS pusta) ### Kontener `Restarting` / unhealthy
Przy Traefik/Dokploy bez `ports:` w compose — **to oczekiwane**.
Sprawdź w Dokploy UI: domena → Container Port = **80**, kontener `Up (healthy)`.
### Kontener nie startuje / unhealthy
**Diagnostyka na serwerze:**
```bash ```bash
docker logs slavic-pulse-com-frontend --tail 50 docker logs slavic-pulse-com-frontend --tail 50
``` ```
Typowe przyczyny: błąd builda Dockerfile, brak `.env`, błąd w `generate-from-env.sh`. Typowe przyczyny:
- Repo **prywatne** → ustaw jako Public w Gitea
- Brak lub błędny `.env` w Dokploy
- Błąd w `generate-from-env.sh` (sprawdź logi)
### Strona czarna / loader bez końca
- Sprawdź konsolę przeglądarki (CSP / YouTube)
- Upewnij się, że `VIDEO_ID_*` są poprawne w `.env`
- Po zmianie `default.conf` lub szablonu: `git push` + redeploy
### Zmiana konfiguracji po deployu ### Zmiana konfiguracji po deployu
1. Edytuj `.env` w Dokploy 1. Edytuj `.env` w Dokploy
2. Redeploy / restart kontenera (entrypoint regeneruje HTML z nowych zmiennych) 2. Redeploy / restart kontenera (przy starcie ponownie klonuje repo i generuje HTML)
### Błąd certyfikatu SSL na telefonie („serwer nie potrafi udowodnić…”) ### Błąd certyfikatu SSL na telefonie („serwer nie potrafi udowodnić…”)
@@ -121,8 +121,8 @@ Strona wysyła `Strict-Transport-Security: includeSubDomains`, więc po wizycie
4. Sprawdź: `curl -I https://www.slavic-pulse.com` (powinno być HTTP 200 lub 301, bez błędu SSL) 4. Sprawdź: `curl -I https://www.slavic-pulse.com` (powinno być HTTP 200 lub 301, bez błędu SSL)
5. (Opcjonalnie) **Advanced → Redirects****www to non-www** 5. (Opcjonalnie) **Advanced → Redirects****www to non-www**
**Alternatywa w DNS (OVH):** zamiast rekordu A dla `www` ustaw przekierowanie HTTP na `https://slavic-pulse.com` w panelu domeny — wtedy ruch www nie trafia na serwer bez certyfikatu. **Alternatywa w DNS (OVH):** zamiast rekordu A dla `www` ustaw przekierowanie HTTP na `https://slavic-pulse.com` w panelu domeny.
**Facebook / in-app browser:** linki w postach powinny wskazywać `https://slavic-pulse.com` (bez www). Po naprawie www problem znika także dla użytkowników, którzy wpiszą www ręcznie. **Facebook / in-app browser:** linki w postach powinny wskazywać `https://slavic-pulse.com` (bez www).
**Odnowienie certyfikatu:** Let's Encrypt odnawia cert automatycznie przez Traefik. Jeśli cert wygasa, w Dokploy sprawdź logi Traefik i czy port 80 jest dostępny z internetu (HTTP-01 challenge). **Odnowienie certyfikatu:** Let's Encrypt odnawia cert automatycznie przez Traefik. Jeśli cert wygasa, w Dokploy sprawdź logi Traefik i czy port 80 jest dostępny z internetu (HTTP-01 challenge).
+33 -11
View File
@@ -1,34 +1,56 @@
# ============================================================ # ============================================================
# Slavic Pulse - Docker Compose (Dokploy / manual) # Slavic Pulse - Docker Compose (Dokploy / manual)
# ============================================================ # ============================================================
# Dokploy + Traefik: NIE mapuj portu na hosta (ports:). # Dokploy-compatible pattern: pre-built nginx image + runtime git clone.
# W UI Dokploy ustaw domenę i Container Port = 80 — Traefik routuje po FQDN. # Dokploy only copies docker-compose.yml + .env to the server, so local
# Wewnętrznie nginx nasłuchuje na :80 (expose poniżej). # build context with a Dockerfile does not work (same as site-agencja-ai-com).
# #
# Build z Dockerfile — Dokploy klonuje repo na hoście i buduje obraz. # Repo publiczne — clone bez tokenu. HTML generowany z .env przy starcie.
# Brak runtime git clone w kontenerze (hardening bezpieczeństwa). # Po setupie /app jest usuwane (brak pełnego repo na dysku kontenera).
#
# Port hosta: FRONTEND_PORT z .env → nginx w kontenerze na porcie 80.
# Dokploy/Traefik routuje po FQDN do wewnętrznego portu 80 kontenera.
# ============================================================ # ============================================================
services: services:
frontend: frontend:
build: image: nginx:1.27-alpine
context: ..
dockerfile: Dockerfile
container_name: slavic-pulse-com-frontend container_name: slavic-pulse-com-frontend
restart: unless-stopped restart: unless-stopped
expose: ports:
- "80" - "${FRONTEND_PORT:-8080}:80"
env_file: env_file:
- .env - .env
command: >
sh -ce "
echo '[slavic-pulse] Installing git + gettext...' &&
apk add --no-cache git gettext &&
echo '[slavic-pulse] Cloning repo...' &&
rm -rf /app &&
git clone --depth 1 https://gitea.expert-it.agency-ai.dev/tomasz-syn-grzegorza/site-slavic-pulse-com.git /app &&
echo '[slavic-pulse] Generating index.html from env...' &&
chmod +x /app/generate-from-env.sh &&
TEMPLATE_DIR=/app /app/generate-from-env.sh /usr/share/nginx/html &&
echo '[slavic-pulse] Copying assets and nginx config...' &&
cp -r /app/assets /usr/share/nginx/html/assets &&
rm -f /etc/nginx/conf.d/default.conf &&
cp /app/default.conf /etc/nginx/conf.d/default.conf &&
cp /app/nginx.conf /etc/nginx/nginx.conf &&
echo '[slavic-pulse] Removing cloned repo from container...' &&
rm -rf /app &&
echo '[slavic-pulse] Starting nginx...' &&
nginx -g 'daemon off;'
"
healthcheck: healthcheck:
test: ["CMD", "wget", "-qO-", "http://127.0.0.1:80/"] test: ["CMD", "wget", "-qO-", "http://127.0.0.1:80/"]
interval: 30s interval: 30s
timeout: 10s timeout: 10s
retries: 3 retries: 3
start_period: 15s start_period: 60s
deploy: deploy:
resources: resources:
+1 -2
View File
@@ -168,7 +168,6 @@
redirectEnabled: ${POST_VIDEO_REDIRECT_ENABLED_VERTICAL_JS} redirectEnabled: ${POST_VIDEO_REDIRECT_ENABLED_VERTICAL_JS}
} }
}; };
const SITE_ORIGIN = '${SITE_BASE_URL}';
let player; let player;
let activeFormat; let activeFormat;
let activeConfig; let activeConfig;
@@ -290,7 +289,7 @@
disablekb: 1, disablekb: 1,
iv_load_policy: 3, iv_load_policy: 3,
cc_load_policy: 0, cc_load_policy: 0,
origin: SITE_ORIGIN.replace(/\/$/, '') origin: window.location.origin
}, },
events: { events: {
onReady: onPlayerReady, onReady: onPlayerReady,