archicratie-edition/docs/DEPLOY_PROD_SYNOLOGY_DS220.md

# Déploiement production (Synology DS220+ / DSM 7.3) — Astro → Nginx statique

> ✅ **CANONIQUE** — Procédure de référence “prod DS220+ / DSM 7.3”.

> Toute modif de déploiement doit être faite **ici**, via PR sur Gitea/main (pas d’édition à la main en prod).

> Périmètre : build Docker (Node→Nginx), blue/green 8081/8082, Reverse Proxy DSM, smoke, rollback.

> Dépendances critiques : variables PUBLIC_GITEA_* (sinon “Proposer” part en 404/login loop).

> Voir aussi : OPS-REFERENCE.md (index), OPS_COCKPIT.md (checklist), TROUBLESHOOTING.md (incidents).

Dernière mise à jour : 2026-02-01

Ce document décrit une mise en place stable sur NAS :
- build Astro dans une image (Node)
- runtime Nginx statique
- bascule blue/green via Reverse Proxy DSM
- tests fonctionnels (dont “Proposer” → Gitea)

---

## 1) Arborescence recommandée

Dossier racine “courant” :
- `/volume2/docker/archicratie-web/current` (symlink vers la release active)

Contenu attendu :
- `Dockerfile`
- `docker-compose.yml`
- `nginx.conf`
- `.env`
- le code du site (package.json, src/, scripts/, etc.)
- `ops/` (scripts de smoke, etc.)

Releases :
- `/volume2/docker/archicratie-web/releases/<YYYYmmdd-HHMMSS>/app`

---

## 2) Pré-requis DSM

- DSM 7.3 avec accès SSH (admin)
- Docker / Container Manager installé
- Reverse Proxy DSM configuré (Portail des applications)
- Sortie Internet OK depuis le NAS (résolution DNS + accès registry)

---

## 3) Sécurité réseau (important)

On publie le site via **HTTPS 443** sur DSM Reverse Proxy.

Les ports 8081/8082 :
- bindés en **localhost uniquement** (`127.0.0.1:8081:80`, `127.0.0.1:8082:80`)
- **n’ont PAS besoin d’être ouverts** dans le pare-feu WAN
- servent uniquement à DSM Reverse Proxy (loopback)

---

## 4) Variables Gitea (FEATURE “Proposer”)

Le site injecte des variables “publiques” au build :

- `PUBLIC_GITEA_BASE` (URL gitea)
- `PUBLIC_GITEA_OWNER` (**casse sensible**)
- `PUBLIC_GITEA_REPO`

Exemple dans `.env` :
PUBLIC_GITEA_BASE=https://gitea.archicratie.trans-hands.synology.me
PUBLIC_GITEA_OWNER=Archicratia
PUBLIC_GITEA_REPO=archicratie-edition

### 4.1 Piège validé : mauvais owner/repo ⇒ 404/redirect
Symptômes typiques :
- nouvel onglet “Proposer” ouvre `/archicratia/archicratie-web/...` (mauvais)
- Gitea renvoie 404 “page inexistante ou non autorisé”
- ou 303 `/user/login` (si non loggé)

Contrôle rapide :
en sh
for f in .env .env.local .env.production .env.production.local; do
  [ -f "$f" ] && echo "---- $f" && grep -nE '^PUBLIC_GITEA_(BASE|OWNER|REPO)=' "$f" || true
done

En cas d’échec :
- 404 / login loop / mauvais repo → `docs/TROUBLESHOOTING.md#proposer-404`
- double onglet → `docs/TROUBLESHOOTING.md#proposer-double-onglet`

## Diagnostic — “Proposer” (résumé)

**Symptôme :** clic “Proposer” → 404 / login / mauvais repo  
**Cause la plus fréquente :** `PUBLIC_GITEA_OWNER` (casse sensible) ou `PUBLIC_GITEA_REPO` faux.

➡️ Procédure complète (pas-à-pas + commandes) : voir `docs/TROUBLESHOOTING.md#proposer-404`.

## 5) Reverse Proxy DSM (le point clé)

### DSM 7.3 :
Panneau de configuration → Portail des applications → Proxy inversé

Règle pour le site :

Source : HTTPS / archicratie.trans-hands.synology.me / port 443

Destination : HTTP / 127.0.0.1 / port 8081 (BLUE) ou 8082 (GREEN)

Certificat :

Sécurité → Certificat : associer le bon certificat au nom de domaine.

## 6) Notes DS220+ “spécificités”
### 6.1 Build réseau (DNS/apt/npm) : mode robuste

Sur DSM, il arrive que apt-get/npm aient des soucis réseau pendant docker build.
Mesures robustes validées :

build en --network host

apt-get avec retries + ForceIPv4

Exemple (dans Dockerfile) :

apt-get -o Acquire::Retries=5 -o Acquire::ForceIPv4=true ...

### 6.2 BuildKit / buildx / API Docker (DSM)

Certains environnements DSM peuvent :

exiger BuildKit pour --network=host au build

avoir des incompatibilités d’API (client/daemon)

Standard “chez nous” :

activer BuildKit au build

utiliser DOCKER_API_VERSION="$API" si requis sur la machine

Remarque : la valeur de $API est celle validée localement sur le NAS.

### 6.3 Artefacts Mac (PaxHeader / ._ / DS_Store)

Si tu transfères une archive depuis macOS, tu peux embarquer des fichiers parasites.
Conséquence possible : Astro “voit” un faux contenu → erreurs de schema.

Remède :

.dockerignore robuste (voir docs anchors / ops)

éviter les copies “tar” non nettoyées

## 7) Cycle blue/green (procédure protocolaire)
### 7.1 Identifier quel slot est actuellement “en prod”

Comparer l’ETag/Last-Modified public avec 8081/8082 :
curl -kI https://archicratie.trans-hands.synology.me/ | egrep -i 'etag:|last-modified:|server:'
curl -fsSI http://127.0.0.1:8081/ | egrep -i 'etag:|last-modified:'
curl -fsSI http://127.0.0.1:8082/ | egrep -i 'etag:|last-modified:'

Le port qui “match” est le slot actif.

### 7.2 Déployer sur le slot inactif (ex: GREEN 8082)

# Se placer sur le checkout courant :
cd /volume2/docker/archicratie-web/current || exit 1

# Charger .env dans le shell (pour les build-args) :
set -a
. ./.env
set +a

# Rebuild image (exemple green) :
sudo env DOCKER_BUILDKIT=1 DOCKER_API_VERSION="$API" docker build --no-cache --network host \
  --build-arg PUBLIC_GITEA_BASE="$PUBLIC_GITEA_BASE" \
  --build-arg PUBLIC_GITEA_OWNER="$PUBLIC_GITEA_OWNER" \
  --build-arg PUBLIC_GITEA_REPO="$PUBLIC_GITEA_REPO" \
  -t archicratie-web:green \
  -f Dockerfile .

# Recreate conteneur (important) :
sudo docker compose up -d --force-recreate --no-build web_green

# Smoke local :
/volume2/docker/archicratie-web/ops/smoke.sh 8082

# Sanity check (fichiers clés) :
curl -fsSI http://127.0.0.1:8082/ | head -n 20
curl -fsSI http://127.0.0.1:8082/favicon.ico | head -n 20
curl -fsSI http://127.0.0.1:8082/favicon.svg | head -n 20

# Contrôle “Proposer” (validation fonctionnelle)

Ouvrir une page chapitre sur le domaine public (ou sur le slot direct si tu testes en local)

Clic Proposer → choix 1 → choix 2

Attendus :

un seul onglet

URL sur .../Archicratia/archicratie-edition/issues/new?...

formulaire visible (si loggé sur Gitea)

issue créée et CI/runner OK (si configuré)

### 7.3 Bascule DSM

Dans DSM Reverse Proxy :

destination 8081 ↔ 8082 (BLUE ↔ GREEN)

### 7.4 Rollback (immédiat)

repointer DSM sur l’ancien port (1 clic)

analyser ensuite le slot inactif

## 8) Favicon (et faux positifs navigateur)
### 8.1 Symptom: Firefox affiche un 504 sur /favicon.ico

Cause fréquemment observée : cache navigateur (Firefox).
Diagnose :

curl -kI https://.../favicon.ico renvoie 200

mais la console navigateur montre encore une erreur
Fix :

désactiver le cache dans l’onglet Réseau, puis reload

ou vider le cache site

### 8.2 Permissions fichiers (si 403)

Si /favicon.svg renvoie 403 :

vérifier droits dans l’image nginx

standard : fichiers 644, répertoires 755 (validé via RUN find ... chmod)

## 9) Exploitation : log driver “db” et erreur “database is locked”

# Erreur observée :

failed to initialize logging driver : database is locked

# Contexte validé :

docker info → Logging Driver: db

# Remède validé :

redémarrer Container Manager (centre de paquets DSM)

# vérifier l’espace disque (df -h) et /tmp

Commandes :
sudo docker info 2>/dev/null | egrep -i 'Logging Driver|Docker Root Dir|Server Version' || true
df -h
df -i

## 10) Références

Pour l’opérationnel minute par minute + tableau de bord : OPS_COCKPIT.md

Pour la synchro Mac/Gitea/NAS : OPS-SYNC-TRIPLE-SOURCE.md

Pour le workflow branches/PR/tags : WORKFLOW-GIT.md

Pour l’ENV : CONFIG-ENV.md

Pour les pannes connues : TROUBLESHOOTING.md

## Depuis quelle machine tu fais ça ?

- **Édition des docs** : **Mac Studio** (éditeur confortable, git propre)
- **Commit/push** : **Mac Studio** (idéal), NAS seulement en “urgence”
- **Déploiement** : **NAS** (évidemment)
- **Gitea docker** : juste l’UI/Actions, pas nécessaire pour écrire les fichiers.

---

## Et maintenant (ordre propre)

1) Sur Mac : crée/complète ce doc (ci-dessus) + les autres docs.
2) Commit “docs: ops runbooks (2026-02-01)” sur `main`.
3) Push → CI verte.
4) Sur NAS : `reset --hard origin/main` (via alpine/git si besoin).
5) Rebuild/deploy **uniquement si** tu as touché Dockerfile/nginx/src/public (pas si docs only).