rubis

ordinarthur/rubis

Fork 0

Commit Graph

Author	SHA1	Message	Date
ordinarthur	f33b2dd319	feat(observability): Sentry monitoring API + Web (ADR-024) All checks were successful Build & Deploy Web / build-and-deploy (push) Successful in 1m9s Details Build & Deploy API / build-and-deploy (push) Successful in 2m2s Details Intégration Sentry SaaS pour error monitoring + replay sur les 2 apps. API (apps/api) : - start/sentry.ts : init au plus tôt dans bin/server.ts (avant Ignitor) pour capturer les erreurs de bootstrap. No-op si SENTRY_DSN_API absent. - app/exceptions/handler.ts:report : captureException sur les 5xx avec tags { url, method, status } et user.id (PII minimisée). 4xx filtrés par beforeSend dans start/sentry.ts (validation, auth invalide = bruit). - start/env.ts : SENTRY_DSN_API + APP_VERSION optionnels. - bin/server.ts : import #start/sentry en 1er. - @sentry/node + @sentry/profiling-node ajoutés au package.json. Web (apps/web) : - src/lib/sentry.ts : init au plus tôt dans main.tsx, BrowserTracing + Replay (0% session, 100% sur erreur — économie quota free tier). maskAllText + blockAllMedia pour privacy par défaut. - src/lib/auth.ts : Sentry.setUser({ id }) au login, setUser(null) au logout (corrélation cross-stack des erreurs front avec un user). - src/main.tsx : ErrorBoundary autour de l'app avec FallbackError UX. - vite.config.ts : @sentry/vite-plugin uploads les sourcemaps + les SUPPRIME du dist/ final (filesToDeleteAfterUpload) pour ne pas leak le code source via nginx en prod. Helper resolveAppVersion() pour injecter le sha git en dev (le shell n'étant pas évaluable dans .env). - src/lib/env.ts : VITE_SENTRY_DSN_WEB + VITE_APP_VERSION optionnels. - .env.development : VITE_SENTRY_DSN_WEB (préfixé correctement pour être exposé par Vite — l'ancienne SENTRY_DSN ne marchait pas). - @sentry/react + @sentry/vite-plugin ajoutés au package.json. CI Gitea : - deploy-api.yml : kubectl set env APP_VERSION=${{ github.sha }} runtime → release Sentry trackable au commit pour l'API. - deploy-web.yml : build-args VITE_SENTRY_DSN_WEB, VITE_APP_VERSION, SENTRY_AUTH_TOKEN, SENTRY_ORG injectés depuis les secrets Gitea. - Dockerfile.web : ARG correspondants + propagation au stage build. Privacy / sécurité (cf. ADR-024) : - captureException tags : ctx.route?.pattern (pas l'URL réelle) → les codes OAuth (?code=...) et tokens de check-in n'apparaissent jamais dans les tags Sentry indexés. - Sentry user context = user.id UUID seulement, pas d'email/nom. - Sourcemaps en prod : uploadées à Sentry, supprimées du bundle. - 4xx filtrées en amont (beforeSend) ET en aval (handler.ts:report). - DSN public (by-design) commit-able, AUTH_TOKEN secret CI uniquement. Sample rates (free tier 5K events / 50 replays par mois) : - traces : 10% prod, 100% dev - profiles : 100% (sampled par traces) - replay session : 0% (économie quota) - replay sur erreur : 100% (debug post-mortem) Pré-requis runtime à configurer hors-repo : - Secret K3s rubis-app-secrets : SENTRY_DSN_API - Secrets Gitea Actions : SENTRY_DSN_WEB, SENTRY_AUTH_TOKEN, SENTRY_ORG ADR-024 logué dans docs/decisions.md. Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>	2026-05-08 13:38:12 +02:00
ordinarthur	dd93249362	refactor(deploy): split monolithique en 2 services (rubis-web nginx + rubis-api Node) All checks were successful Build & Deploy Web / build-and-deploy (push) Successful in 1m16s Details Build & Deploy API / build-and-deploy (push) Successful in 1m32s Details Avant : une seule image (Dockerfile.app) qui bundle AdonisJS + SPA static. Après : deux images, deux deployments, deux workflows CI avec path filters indépendants. Architecture - rubis-web (NodePort 30110, exposé via Traefik) · nginx-alpine + SPA Vite dist + nginx.conf · sert /assets/* (cache 1y immutable), / (try_files index.html SPA fallback) · reverse-proxy /api/* → rubis-api.rubis.svc.cluster.local:3333 - rubis-api (ClusterIP, accessible uniquement depuis le cluster) · AdonisJS V7 + workers BullMQ dans le même process · init-container migrate (idempotent, depuis build/) · /api/v1/health pour les probes K3s + healthcheck Docker - rubis-redis (ClusterIP, inchangé) Bénéfices - Build/deploy indépendants : changement front ne reconstruit pas l'API, changement API ne reconstruit pas le SPA - nginx en frontal donne du gzip + cache long sur les assets fingerprintés - API n'expose plus de surface publique (defense in depth) - Routes plus simples : on retire le wildcard SPA fallback dans start/routes.ts (nginx s'en charge), on retire @adonisjs/static aurait été cohérent mais on le garde pour minimiser les diffs Files - Dockerfile.api (replaces Dockerfile.app, Node-only) - Dockerfile.web (new, nginx) - apps/web/nginx.conf (new) - k3s/app/api.yml (replaces deployment.yml + service.yml, ClusterIP) - k3s/app/web.yml (new, NodePort 30110) - .gitea/workflows/deploy-{api,web}.yml (replaces deploy-app.yml) - /api/v1/health route ajoutée Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>	2026-05-07 02:58:25 +02:00

Author

SHA1

Message

Date

ordinarthur

f33b2dd319

feat(observability): Sentry monitoring API + Web (ADR-024)

Build & Deploy Web / build-and-deploy (push) Successful in 1m9s

Details

Build & Deploy API / build-and-deploy (push) Successful in 2m2s

Details

Intégration Sentry SaaS pour error monitoring + replay sur les 2 apps.

API (apps/api) :
- start/sentry.ts : init au plus tôt dans bin/server.ts (avant Ignitor)
  pour capturer les erreurs de bootstrap. No-op si SENTRY_DSN_API absent.
- app/exceptions/handler.ts:report : captureException sur les 5xx avec
  tags { url, method, status } et user.id (PII minimisée). 4xx filtrés
  par beforeSend dans start/sentry.ts (validation, auth invalide = bruit).
- start/env.ts : SENTRY_DSN_API + APP_VERSION optionnels.
- bin/server.ts : import #start/sentry en 1er.
- @sentry/node + @sentry/profiling-node ajoutés au package.json.

Web (apps/web) :
- src/lib/sentry.ts : init au plus tôt dans main.tsx, BrowserTracing +
  Replay (0% session, 100% sur erreur — économie quota free tier).
  maskAllText + blockAllMedia pour privacy par défaut.
- src/lib/auth.ts : Sentry.setUser({ id }) au login, setUser(null) au
  logout (corrélation cross-stack des erreurs front avec un user).
- src/main.tsx : ErrorBoundary autour de l'app avec FallbackError UX.
- vite.config.ts : @sentry/vite-plugin uploads les sourcemaps + les
  SUPPRIME du dist/ final (filesToDeleteAfterUpload) pour ne pas leak
  le code source via nginx en prod. Helper resolveAppVersion() pour
  injecter le sha git en dev (le shell n'étant pas évaluable dans .env).
- src/lib/env.ts : VITE_SENTRY_DSN_WEB + VITE_APP_VERSION optionnels.
- .env.development : VITE_SENTRY_DSN_WEB (préfixé correctement pour
  être exposé par Vite — l'ancienne SENTRY_DSN ne marchait pas).
- @sentry/react + @sentry/vite-plugin ajoutés au package.json.

CI Gitea :
- deploy-api.yml : kubectl set env APP_VERSION=${{ github.sha }}
  runtime → release Sentry trackable au commit pour l'API.
- deploy-web.yml : build-args VITE_SENTRY_DSN_WEB, VITE_APP_VERSION,
  SENTRY_AUTH_TOKEN, SENTRY_ORG injectés depuis les secrets Gitea.
- Dockerfile.web : ARG correspondants + propagation au stage build.

Privacy / sécurité (cf. ADR-024) :
- captureException tags : ctx.route?.pattern (pas l'URL réelle) →
  les codes OAuth (?code=...) et tokens de check-in n'apparaissent
  jamais dans les tags Sentry indexés.
- Sentry user context = user.id UUID seulement, pas d'email/nom.
- Sourcemaps en prod : uploadées à Sentry, supprimées du bundle.
- 4xx filtrées en amont (beforeSend) ET en aval (handler.ts:report).
- DSN public (by-design) commit-able, AUTH_TOKEN secret CI uniquement.

Sample rates (free tier 5K events / 50 replays par mois) :
- traces : 10% prod, 100% dev
- profiles : 100% (sampled par traces)
- replay session : 0% (économie quota)
- replay sur erreur : 100% (debug post-mortem)

Pré-requis runtime à configurer hors-repo :
- Secret K3s rubis-app-secrets : SENTRY_DSN_API
- Secrets Gitea Actions : SENTRY_DSN_WEB, SENTRY_AUTH_TOKEN, SENTRY_ORG

ADR-024 logué dans docs/decisions.md.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

2026-05-08 13:38:12 +02:00

ordinarthur

dd93249362

refactor(deploy): split monolithique en 2 services (rubis-web nginx + rubis-api Node)

Build & Deploy Web / build-and-deploy (push) Successful in 1m16s

Details

Build & Deploy API / build-and-deploy (push) Successful in 1m32s

Details

Avant : une seule image (Dockerfile.app) qui bundle AdonisJS + SPA static.
Après : deux images, deux deployments, deux workflows CI avec path filters
indépendants.

Architecture
- rubis-web (NodePort 30110, exposé via Traefik)
  · nginx-alpine + SPA Vite dist + nginx.conf
  · sert /assets/* (cache 1y immutable), / (try_files index.html SPA fallback)
  · reverse-proxy /api/* → rubis-api.rubis.svc.cluster.local:3333
- rubis-api (ClusterIP, accessible uniquement depuis le cluster)
  · AdonisJS V7 + workers BullMQ dans le même process
  · init-container migrate (idempotent, depuis build/)
  · /api/v1/health pour les probes K3s + healthcheck Docker
- rubis-redis (ClusterIP, inchangé)

Bénéfices
- Build/deploy indépendants : changement front ne reconstruit pas l'API,
  changement API ne reconstruit pas le SPA
- nginx en frontal donne du gzip + cache long sur les assets fingerprintés
- API n'expose plus de surface publique (defense in depth)
- Routes plus simples : on retire le wildcard SPA fallback dans
  start/routes.ts (nginx s'en charge), on retire @adonisjs/static aurait
  été cohérent mais on le garde pour minimiser les diffs

Files
- Dockerfile.api (replaces Dockerfile.app, Node-only)
- Dockerfile.web (new, nginx)
- apps/web/nginx.conf (new)
- k3s/app/api.yml (replaces deployment.yml + service.yml, ClusterIP)
- k3s/app/web.yml (new, NodePort 30110)
- .gitea/workflows/deploy-{api,web}.yml (replaces deploy-app.yml)
- /api/v1/health route ajoutée

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

2026-05-07 02:58:25 +02:00

2 Commits