Compare commits
8 Commits
c5963d1d30
...
v1.0.5
| Author | SHA1 | Date | |
|---|---|---|---|
| 7f96932a40 | |||
| d59c867010 | |||
| 9ea851ad95 | |||
| 5146f88c7d | |||
| 20ecb9cc4c | |||
| ea2d352cae | |||
| d459eedf41 | |||
| 9d31429e14 |
28
Dockerfile
28
Dockerfile
@@ -44,10 +44,11 @@ ENV DJANGO_SETTINGS_MODULE=dicquo.settings
|
|||||||
# Пакеты -dev и build-essential здесь не нужны.
|
# Пакеты -dev и build-essential здесь не нужны.
|
||||||
RUN apt-get update && apt-get install -y --no-install-recommends \
|
RUN apt-get update && apt-get install -y --no-install-recommends \
|
||||||
libjpeg62-turbo \
|
libjpeg62-turbo \
|
||||||
|
sqlite3 \
|
||||||
&& rm -rf /var/lib/apt/lists/*
|
&& rm -rf /var/lib/apt/lists/*
|
||||||
|
|
||||||
# Создаем пользователя без прав root для безопасности
|
# Создаем пользователя без прав root для безопасности
|
||||||
RUN addgroup --system app && adduser --system --ingroup app app
|
# RUN addgroup --system app && adduser --system --ingroup app app
|
||||||
|
|
||||||
# Создаем рабочую директорию
|
# Создаем рабочую директорию
|
||||||
WORKDIR /home/app/web
|
WORKDIR /home/app/web
|
||||||
@@ -55,22 +56,29 @@ WORKDIR /home/app/web
|
|||||||
# Копируем установленные Python-пакеты из builder-стадии
|
# Копируем установленные Python-пакеты из builder-стадии
|
||||||
COPY --from=builder /usr/local/lib/python3.12/site-packages /usr/local/lib/python3.12/site-packages
|
COPY --from=builder /usr/local/lib/python3.12/site-packages /usr/local/lib/python3.12/site-packages
|
||||||
|
|
||||||
|
# Копируем исполняемые файлы (gunicorn, pip и т.д.)
|
||||||
|
COPY --from=builder /usr/local/bin /usr/local/bin
|
||||||
|
|
||||||
# Копируем исходный код проекта и устанавливаем правильного владельца
|
# Копируем исходный код проекта и устанавливаем правильного владельца
|
||||||
COPY --chown=app:app . .
|
# ИЗМЕНЕНИЕ: app:app -> 1000:1000
|
||||||
|
COPY --chown=1000:1000 . .
|
||||||
|
|
||||||
# Создаём директорию для конфигов nginx и даём права пользователю app
|
# Создаём директорию для конфигов nginx и даём права пользователю app
|
||||||
# Это выполняется ещё от root, поэтому проблем с permissions не будет.
|
# Это выполняется ещё от root, поэтому проблем с permissions не будет.
|
||||||
RUN mkdir -p /nginx_configs_host/nginx
|
RUN mkdir -p /nginx_configs_host/nginx && chown -R 1000:1000 /nginx_configs_host
|
||||||
# ...и даём права пользователю app
|
|
||||||
# RUN chown -R app:app /nginx_configs_host
|
|
||||||
|
|
||||||
# Создаём директорию для собранной статики
|
# Создаём директорию для собранной статики и даём права пользователю app
|
||||||
RUN mkdir -p /home/app/web/staticfiles
|
RUN mkdir -p /home/app/web/staticfiles && chown -R 1000:1000 /home/app/web/staticfiles
|
||||||
# ...и даём права пользователю app
|
|
||||||
RUN chown -R app:app /home/app/web/staticfiles
|
# Создаём директорию для ошибок (404, 500) и даём права пользователю app
|
||||||
|
RUN mkdir -p /app/public/media/errors && chown -R 1000:1000 /app/public/media
|
||||||
|
|
||||||
|
# Создаём директорию для БД и даём права пользователю app
|
||||||
|
# Это важно когда БД монтируется как том с хоста
|
||||||
|
RUN mkdir -p /app/database && chown -R 1000:1000 /app/database
|
||||||
|
|
||||||
# Переключаемся на пользователя без прав root
|
# Переключаемся на пользователя без прав root
|
||||||
USER app
|
USER 1000
|
||||||
|
|
||||||
|
|
||||||
# Собираем статику
|
# Собираем статику
|
||||||
|
|||||||
@@ -108,7 +108,9 @@ server {
|
|||||||
proxy_set_header Host $host;
|
proxy_set_header Host $host;
|
||||||
proxy_set_header X-Real-IP $remote_addr;
|
proxy_set_header X-Real-IP $remote_addr;
|
||||||
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
|
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
|
||||||
proxy_set_header X-Forwarded-Proto $scheme;
|
# ВАЖНО: Явно указываем https, потому что клиент всегда приходит по HTTPS к Nginx
|
||||||
|
# Даже если внутри контейнера это HTTP на 127.0.0.1:8010, для Django это должно быть HTTPS
|
||||||
|
proxy_set_header X-Forwarded-Proto https;
|
||||||
|
|
||||||
# Тайм-ауты (важно для долгих операций, если они есть)
|
# Тайм-ауты (важно для долгих операций, если они есть)
|
||||||
proxy_read_timeout 180s;
|
proxy_read_timeout 180s;
|
||||||
|
|||||||
@@ -81,8 +81,10 @@ DATABASES = {
|
|||||||
'NAME': BASE_DIR.parent / 'database/db.sqlite3',
|
'NAME': BASE_DIR.parent / 'database/db.sqlite3',
|
||||||
'OPTIONS': {
|
'OPTIONS': {
|
||||||
# Таймаут ожидания блокировки SQLite (в секундах)
|
# Таймаут ожидания блокировки SQLite (в секундах)
|
||||||
# При сложных операциях (например, каскадное удаление тегов) нужно больше времени
|
# ВАЖНО: Увеличен до 60 сек для работы с несколькими воркерами Gunicorn
|
||||||
'timeout': 20,
|
'timeout': 60,
|
||||||
|
# Дополнительные опции для лучшей работы SQLite при concurrent доступе
|
||||||
|
'init_command': "PRAGMA journal_mode=WAL;", # Write-Ahead Logging для лучшей concurrency
|
||||||
},
|
},
|
||||||
}
|
}
|
||||||
}
|
}
|
||||||
|
|||||||
@@ -63,11 +63,14 @@ services:
|
|||||||
# Медиа (папка media должна быть рядом с docker-compose.yml)
|
# Медиа (папка media должна быть рядом с docker-compose.yml)
|
||||||
- ./media:/app/public/media
|
- ./media:/app/public/media
|
||||||
|
|
||||||
# Конфиги (Монтируем папку ./configs с хоста в /nginx_configs_host внутри контейнера)
|
# Конфиги (Монтируем папку ./config с хоста в /nginx_configs_host внутри контейнера)
|
||||||
# Это нужно, чтобы скрипт запуска мог положить туда .example конфиг и прочитать боевой конфиг.
|
# Это нужно, чтобы скрипт запуска мог положить туда .example конфиг и прочитать боевой конфиг.
|
||||||
- ./configs:/nginx_configs_host
|
- ./config:/nginx_configs_host
|
||||||
|
|
||||||
# 6. Переменные окружения
|
# 6. Запускать от имени пользователя с UID 1000 и GID 1000
|
||||||
|
user: "1000:1000"
|
||||||
|
|
||||||
|
# 7. Переменные окружения
|
||||||
env_file:
|
env_file:
|
||||||
- .env
|
- .env
|
||||||
environment:
|
environment:
|
||||||
@@ -76,7 +79,7 @@ services:
|
|||||||
# Передаем переменную с путем на хосте внутрь контейнера, чтобы sed мог её использовать
|
# Передаем переменную с путем на хосте внутрь контейнера, чтобы sed мог её использовать
|
||||||
- HOST_PROJECT_PATH=${HOST_PROJECT_PATH:-/home/default_user/projects/dq-site}
|
- HOST_PROJECT_PATH=${HOST_PROJECT_PATH:-/home/default_user/projects/dq-site}
|
||||||
|
|
||||||
# 7. Проверка здоровья контейнера (Healthcheck)
|
# 8. Проверка здоровья контейнера (Healthcheck)
|
||||||
# Docker будет периодически проверять статус контейнера. Это критично для Watchtower!
|
# Docker будет периодически проверять статус контейнера. Это критично для Watchtower!
|
||||||
# Если контейнер объявлен "unhealthy", Watchtower сначала остановит старый образ, потом запустит новый.
|
# Если контейнер объявлен "unhealthy", Watchtower сначала остановит старый образ, потом запустит новый.
|
||||||
healthcheck:
|
healthcheck:
|
||||||
@@ -86,14 +89,14 @@ services:
|
|||||||
start_period: 10s # Даем 10 секунд на стартап перед первой проверкой
|
start_period: 10s # Даем 10 секунд на стартап перед первой проверкой
|
||||||
retries: 3 # Unhealthy после 3 неудачных попыток
|
retries: 3 # Unhealthy после 3 неудачных попыток
|
||||||
|
|
||||||
# 8. Логирование (Ротация)
|
# 9. Логирование (Ротация)
|
||||||
logging:
|
logging:
|
||||||
driver: "json-file"
|
driver: "json-file"
|
||||||
options:
|
options:
|
||||||
max-size: "10m"
|
max-size: "10m"
|
||||||
max-file: "3"
|
max-file: "3"
|
||||||
|
|
||||||
# 9. Ресурсы
|
# 10. Ресурсы
|
||||||
deploy:
|
deploy:
|
||||||
resources:
|
resources:
|
||||||
limits:
|
limits:
|
||||||
|
|||||||
Reference in New Issue
Block a user