feat(docker): 生产环境 DevOps 基础设施 — TLS + 备份加密 + Prometheus + Redis 持久化

新增: - nginx/nginx.conf: TLS 1.2/1.3 终端 + HSTS/CSP 安全头 + SSE 长连接 + 50M 上传限制 - prometheus/prometheus.yml: HMS/PostgreSQL/Redis/Nginx 四指标源 - prometheus/alerts.yml: 4 组告警规则（系统/应用/数据库/Redis），含 5xx 错误率 + 内存 + 连接数 - restore.sh: 备份恢复脚本（支持加密备份解密恢复）改进: - backup.sh: 新增 BACKUP_PASSPHRASE 加密（AES-256-CBC）+ 完整性校验 + 恢复指引 - docker-compose.production.yml: 添加 Nginx/Prometheus/Grafana/uploads-backup 容器 - docker-compose.yml: Redis 添加 --appendonly yes 持久化 - .env.production.example: 添加 DevOps 相关环境变量模板
2026-05-21 18:21:51 +08:00
parent 8e616f2210
commit bc571c7749
10 changed files with 458 additions and 9 deletions
--- a/docker/.env.production.example
+++ b/docker/.env.production.example
@@ -50,3 +50,21 @@ ERP__AI__DEFAULT_PROVIDER=ollama
 ERP__AI__API_KEY=
 ERP__AI__BASE_URL=http://localhost:11434
 ERP__AI__MODEL=qwen2.5:7b
+
+# ===== DevOps =====
+
+# 备份加密密码（openssl AES-256-CBC，必填用于生产）
+BACKUP_PASSPHRASE=CHANGE_ME_BACKUP_ENCRYPTION_PASSWORD
+
+# 备份保留天数
+BACKUP_KEEP_DAYS=7
+
+# 备份执行时间（cron 格式）
+BACKUP_CRON=0 2 * * *
+
+# uploads 备份时间
+UPLOADS_BACKUP_CRON=0 3 * * *
+
+# Grafana 管理员密码
+GRAFANA_ADMIN_PASSWORD=CHANGE_ME_GRAFANA_ADMIN
+GRAFANA_ROOT_URL=http://localhost:3001