jack/infra
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
infra/docs/DECISIONS.md
jack 207e1dcff0
All checks were successful
CI/CD / syntax-check (push) Successful in 1m29s
Details
CI/CD / deploy (push) Successful in 16m39s
Details
chore: project cleanup and docs update 
- Remove Syncthing mention from authelia comment in docker-compose
- Fix backup.sh.j2 comment: hourly → every 6 hours
- Update CLAUDE.md: add docs update rule, fix backup schedule note
- Update STATUS.md: dash.csrx.ru fixed, PTR pending, backup schedule, mail hostnames
- Update BACKLOG.md: mark DNS/PTR/backup-schedule done, add SnappyMail domain task
- Update DECISIONS.md: fix backup section (no --storage-class COLD, correct schedule)

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-03-23 17:00:35 +07:00

116 lines
7.7 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Журнал архитектурных решений
> Фиксируй здесь: что решили, почему, какие альтернативы отвергли.
> Формат: дата | решение | причина | альтернативы
---
## Инфраструктура
### Два сервера (main + tools)
**Дата:** начало проекта
**Решение:** Разделить сервисы на два VPS: main для ядра, tools для вспомогательных.
**Причина:** main (1 vCPU / 2 GB RAM) перегружен — Plane + Forgejo + мониторинг занимают почти всю память. tools позволяет разгрузить.
**Итог:** Outline, n8n, mail работают на tools. Traefik на main проксирует к tools через IP:PORT.
### Traefik вместо nginx/caddy
**Дата:** начало проекта
**Решение:** Traefik v3 как единственный точка входа.
**Причина:** Автоматический TLS через Let's Encrypt, file provider для маршрутов, удобная интеграция с Docker.
**Альтернативы:** nginx + certbot (ручной renewal), Caddy (проще но меньше гибкости).
### Cloudflare proxy + UFW whitelist
**Дата:** начало проекта
**Решение:** Порты 80/443 открыты только для IP Cloudflare.
**Причина:** Скрывает реальный IP сервера, защита от DDoS на уровне Cloudflare, бесплатный WAF.
**Важно:** Некоторые сервисы (wiki, vault, webmail) должны быть DNS-only (оранжевое облако off) — когда Cloudflare не поддерживает нужные порты или протоколы.
### Wildcard TLS через DNS-01
**Дата:** начало проекта
**Решение:** Один сертификат `*.csrx.ru` вместо отдельных на каждый поддомен.
**Причина:** Новый сервис — ноль ожидания сертификата. Cloudflare DNS-01 работает без HTTP-challenge.
**Конфиг:** `roles/services/templates/traefik/traefik.yml.j2` — certresolver `letsencrypt`.
---
## Безопасность
### Authelia для 2FA
**Дата:** начало проекта
**Решение:** Authelia + TOTP защищает admin-панели (Traefik dashboard, Plane god-mode).
**Причина:** Одна точка SSO, не нужно настраивать auth в каждом сервисе.
**Альтернативы:** Keycloak (тяжелее, требует больше ресурсов), Authentik (сложнее).
### CrowdSec community edition
**Дата:** начало проекта
**Решение:** CrowdSec без платного API ключа.
**Причина:** Бесплатная tier достаточна. Анализирует логи Traefik + auth.log.
**Ограничение:** Нет расширенных threat feeds — только community reputation.
### Syncthing — удалён
**Дата:** 2026-03
**Решение:** Удалить Syncthing полностью из инфраструктуры.
**Причина:** Не используется. Открытые порты (22000, 21027) без сервиса — лишняя attack surface.
**Что убрали:** UFW rules, docker image, domain_sync, переменную vault, Authelia правило.
---
## Сервисы
### Outline wiki — email magic link
**Дата:** 2026-02
**Решение:** Авторизация через email magic link (SMTP → docker-mailserver).
**Причина:** Outline не поддерживает простую login/password аутентификацию без SSO.
**Проблемы решённые:**
- `guestSignin=true` в БД обязателен для email auth
- `jwtSecret` в БД хранится в зашифрованном виде — при смене `SECRET_KEY` нужно пересоздать
### docker-mailserver вместо внешнего SMTP
**Дата:** 2026-03
**Решение:** Self-hosted Postfix + Dovecot на tools-сервере.
**Причина:** Полный контроль, аккаунты @csrx.ru для приёма и отправки, нет зависимости от внешних SMTP.
**Конфиг:** SSL_TYPE=letsencrypt через certbot с Cloudflare DNS-01. DKIM через opendkim.
**Альтернативы:** Mailgun/SendGrid (только отправка, без приёма), Maddy (менее зрелый).
### Бэкап в Timeweb S3
**Дата:** 2026-03
**Решение:** Backup каждые 6 часов (00/06/12/18) → S3 `visual-backup/data/`, 7 дней хранения.
**Причина:** 6 часов = баланс между частотой и нагрузкой на сервер. Тип хранилища COLD задаётся на уровне бакета в Timeweb, не через параметр `--storage-class` (Timeweb S3 не поддерживает этот параметр).
**Формат архива:** единый `main_data_YYYY-MM-DD_HH-MM.tar.gz` с `data/databases/` и `data/volumes/`.
### SnappyMail вместо Roundcube
**Дата:** 2026-03
**Решение:** djmaze/snappymail как веб-клиент почты на `mail.csrx.ru`.
**Причина:** Лёгкий, современный UI, простой Docker образ.
**Альтернативы:** Roundcube (тяжелее, требует MySQL), Rainloop (заброшен).
### mx.csrx.ru вместо mail.csrx.ru для MX-сервера
**Дата:** 2026-03
**Решение:** docker-mailserver hostname = `mx.csrx.ru`, веб-клиент = `mail.csrx.ru`.
**Причина:** Стандарт индустрии — MX-хост называется `mx`, пользовательский интерфейс — `mail`.
Раньше оба указывали на разные вещи под одним именем, что запутывало.
**DNS:** `mx.csrx.ru` → 85.193.83.9 (DNS-only, прямые порты SMTP/IMAP).
`mail.csrx.ru` → 87.249.49.32 (Cloudflare proxied, HTTPS вебмейл через Traefik).
**SPF:** `v=spf1 mx -all``-all` жёстче чем `~all`, явно запрещает чужие отправители.
**DMARC:** `p=quarantine` — подозрительные письма в спам (было `p=none` — только мониторинг).
---
## CI/CD
### Forgejo Actions
**Дата:** начало проекта
**Решение:** Forgejo Actions + act_runner для CI/CD деплоя.
**Причина:** Self-hosted, интегрировано с Forgejo, совместимо с GitHub Actions синтаксисом.
**Принцип:** Push в master → `ansible-playbook deploy.yml` + `tools.yml`. Никаких ручных правок на сервере.
---
## Известные компромиссы
| Компромисс | Почему так | Что улучшить |
|-----------|-----------|-------------|
| act_runner монтирует `/var/run/docker.sock` | Нужен для запуска job-контейнеров | Rootless Docker или ограниченный API |
| Plane использует `:stable` тег | Plane не публикует версионные теги | Мониторить GitHub releases |
| Мониторинг на main (не на отдельном сервере) | mon-сервер пока не задеплоен | Создать `playbooks/mon.yml` |
| Нет бэкапа tools-сервера | Бэкап роль подключена только к main | Добавить в `tools.yml` |
Reference in a new issue View git blame Copy permalink