thread-master/infra/README.md

巡樓部署 (infra)

部署拓樸：

瀏覽器 → nginx(systemd, :80/:443)
            ├─ 靜態前端  /var/www/haixun  (frontend/dist)
            └─ /api 反向代理 → Go gateway (systemd, 127.0.0.1:8890)
Go gateway / Go worker (systemd) → Mongo / Redis (docker compose, 綁 127.0.0.1)
Node playwright worker (systemd) → 透過 HTTP 打 gateway

• 資料服務（Mongo/Redis）用 docker compose，只綁 127.0.0.1。
• Go gateway / Go worker / Node worker 都是 systemd 原生服務。
• secret 一律放 /opt/haixun/etc/haixun.env（不進 repo），yaml 用 ${VAR} 讀取。

目錄

infra/
  docker-compose.yml          # mongo + redis
  .env.example                # compose 用環境變數
  etc/haixun.env.example      # systemd EnvironmentFile 範本（secret）
  nginx/haixun.conf           # 靜態前端 + /api 反代 + SSE
  systemd/
    haixun-gateway.service
    haixun-worker.service
    haixun-node-worker.service

1. 起資料服務 (docker)

cd infra
cp .env.example .env        # 填入 Mongo/Redis 密碼
docker compose --env-file .env up -d
docker compose ps

2. 建置產物（本機或 CI）

make build        # 前端 dist + 兩個 linux Go binary（backend/bin/）

3. 安裝到目標主機

於目標主機（需 root）：

sudo make install

make install 會：

1. 建立使用者 haixun 與目錄 /opt/haixun/{bin,etc,node-worker}、/var/www/haixun。
2. 複製 backend/bin/{gateway,worker}、backend/etc/gateway.prod.yaml、backend/etc/gateway.worker.prod.yaml。
3. 複製 frontend/dist/* → /var/www/haixun。
4. 複製 backend/worker/*（Node worker）→ /opt/haixun/node-worker，並 npm ci + npx playwright install。
5. 安裝 infra/systemd/*.service 與 infra/nginx/haixun.conf。

接著手動建立 secret 檔（只做一次）：

sudo cp infra/etc/haixun.env.example /opt/haixun/etc/haixun.env
sudo chmod 600 /opt/haixun/etc/haixun.env
sudoedit /opt/haixun/etc/haixun.env   # 填入實際 secret

4. 初始化資料庫與 admin 帳號（只做一次）

Mongo 起來、secret 填好後，建立索引 / 權限 catalog / role_permissions，並建立第一個 admin：

# 可在 haixun.env 內設定 INIT_ADMIN_EMAIL / INIT_ADMIN_PASSWORD，或在這裡用環境變數覆寫
sudo make prod-init
# 等同：source /opt/haixun/etc/haixun.env 後執行 /opt/haixun/bin/tool init -f /opt/haixun/etc/gateway.prod.yaml

之後一般使用者可走 POST /api/v1/auth/register 自助註冊（前端登入頁）。

5. 啟用服務

sudo systemctl daemon-reload
sudo systemctl enable --now haixun-gateway haixun-worker haixun-node-worker
sudo nginx -t && sudo systemctl reload nginx

6. 健康檢查

curl http://127.0.0.1:8890/api/v1/health
sudo systemctl status haixun-gateway haixun-worker haixun-node-worker
journalctl -u haixun-gateway -f

產生 secret

openssl rand -base64 48   # JWT access / refresh / worker secret
openssl rand -base64 32   # HAIXUN_SECRETS_KEY（機敏資料落地加密）