Harden code-server and move Redis password to secret file
Harden code-server and move Redis password to secret file
This commit is contained in:
@@ -112,6 +112,26 @@ Komodo ist in diesem Setup:
|
||||
- Pushes koennen automatisch einen Komodo-Deploy ausloesen
|
||||
- wenn Komodo und Git voneinander abweichen, gewinnt Git
|
||||
|
||||
### Ausnahme: Komodo-Zugangsmodell
|
||||
|
||||
Komodo bleibt **bewusst** ohne zentrale Traefik-ForwardAuth-Middleware.
|
||||
|
||||
Grund:
|
||||
|
||||
- Komodo hat eigene Authentifizierung
|
||||
- Komodo nutzt REST- und WebSocket-Endpunkte
|
||||
- Webhooks laufen ueber `/listener/...`
|
||||
- Periphery nutzt den speziellen WebSocket-Pfad `/ws/periphery`
|
||||
|
||||
Deshalb wird Komodo aktuell nur ueber Traefik veroeffentlicht, aber **nicht** pauschal mit `authelia@file` vorgeschaltet.
|
||||
|
||||
**Regel:** Aenderungen an Komodo-Auth, Komodo-Routing oder vorgeschalteter Middleware nur nach expliziter Wirkungspruefung auf:
|
||||
|
||||
- UI-Login
|
||||
- Gitea-Webhooks
|
||||
- Periphery-Verbindung
|
||||
- API-/Automationszugriffe
|
||||
|
||||
---
|
||||
|
||||
## Verbotene Arbeitsweise
|
||||
@@ -191,6 +211,8 @@ Manchmal ist ein Live-Hotfix noetig. Das ist erlaubt, aber nur unter diesen Bedi
|
||||
|
||||
Komodo deployed ausschliesslich `docker-compose.yml`-Dateien. Die Traefik-Konfigurationsdateien unter `traefik/dynamic/` im Git-Repo werden **nicht** automatisch auf den Host uebertragen.
|
||||
|
||||
Diese Ausnahme bleibt bewusst bestehen. Der File-Provider wird weiterhin nur fuer zentrale Middlewares, TLS und Dashboard-Konfiguration genutzt, waehrend Service-Routing ueber Docker-Labels laeuft.
|
||||
|
||||
### Betroffene Dateien
|
||||
|
||||
| Git-Pfad | Host-Pfad (NAS) |
|
||||
|
||||
Reference in New Issue
Block a user