Docker & Online Readiness Foundation #2

Open
opened 2026-07-07 07:42:41 +00:00 by Masterluke77 · 0 comments
Masterluke77 commented 2026-07-07 07:42:41 +00:00 (Migrated from github.com)

Ziel

Vendoo für sicheren Docker-Betrieb und spätere öffentliche Bereitstellung vorbereiten, ohne den bestehenden lokalen Windows-Betrieb zu beschädigen.

Umfang

  • Dockerfile, .dockerignore und compose.yaml
  • Container läuft ohne Root-Rechte
  • keine Einbindung des Docker-Sockets
  • persistente Volumes für Datenbank, Uploads und Backups
  • konfigurierbare Pfade über Umgebungsvariablen
  • PUBLIC_BASE_URL, TRUST_PROXY, sichere Cookie-Konfiguration und Origin-Allowlist
  • /api/health/live und /api/health/ready
  • konsistente SQLite-Backup- und Restore-Strategie
  • gehärtete Upload-Verarbeitung
  • dynamische Etsy-/eBay-OAuth-Callbacks
  • Secrets über _FILE-Variablen beziehungsweise Container-Secrets
  • dokumentierter Betrieb hinter Reverse Proxy oder Cloudflare Tunnel
  • keine direkte öffentliche Freigabe von Port 8124
  • Update-, Rollback- und Pre-Update-Backup-Ablauf

Sicherheitsentscheidung

  • NAS: private Nutzung oder streng geschlossener Testkreis
  • öffentliche Benutzer/Kunden: getrennte VPS-/Server-Instanz
  • vor Mehrkundenbetrieb: Organisations- und Mandantentrennung verbindlich umsetzen

Abnahme

  • frischer Docker-Start ist reproduzierbar
  • Healthcheck wird grün
  • Neustart verliert keine Daten
  • Secrets und Laufzeitdaten liegen nicht im Image oder Repository
  • lokale Windows-Installation funktioniert weiterhin
## Ziel Vendoo für sicheren Docker-Betrieb und spätere öffentliche Bereitstellung vorbereiten, ohne den bestehenden lokalen Windows-Betrieb zu beschädigen. ## Umfang - [ ] `Dockerfile`, `.dockerignore` und `compose.yaml` - [ ] Container läuft ohne Root-Rechte - [ ] keine Einbindung des Docker-Sockets - [ ] persistente Volumes für Datenbank, Uploads und Backups - [ ] konfigurierbare Pfade über Umgebungsvariablen - [ ] `PUBLIC_BASE_URL`, `TRUST_PROXY`, sichere Cookie-Konfiguration und Origin-Allowlist - [ ] `/api/health/live` und `/api/health/ready` - [ ] konsistente SQLite-Backup- und Restore-Strategie - [ ] gehärtete Upload-Verarbeitung - [ ] dynamische Etsy-/eBay-OAuth-Callbacks - [ ] Secrets über `_FILE`-Variablen beziehungsweise Container-Secrets - [ ] dokumentierter Betrieb hinter Reverse Proxy oder Cloudflare Tunnel - [ ] keine direkte öffentliche Freigabe von Port 8124 - [ ] Update-, Rollback- und Pre-Update-Backup-Ablauf ## Sicherheitsentscheidung - NAS: private Nutzung oder streng geschlossener Testkreis - öffentliche Benutzer/Kunden: getrennte VPS-/Server-Instanz - vor Mehrkundenbetrieb: Organisations- und Mandantentrennung verbindlich umsetzen ## Abnahme - frischer Docker-Start ist reproduzierbar - Healthcheck wird grün - Neustart verliert keine Daten - Secrets und Laufzeitdaten liegen nicht im Image oder Repository - lokale Windows-Installation funktioniert weiterhin
Sign in to join this conversation.
1 Participants
Notifications
Due Date
No due date set.
Dependencies

No dependencies set.

Reference: Markus/vendoo#2