f33b2dd319
Intégration Sentry SaaS pour error monitoring + replay sur les 2 apps.
API (apps/api) :
- start/sentry.ts : init au plus tôt dans bin/server.ts (avant Ignitor)
pour capturer les erreurs de bootstrap. No-op si SENTRY_DSN_API absent.
- app/exceptions/handler.ts:report : captureException sur les 5xx avec
tags { url, method, status } et user.id (PII minimisée). 4xx filtrés
par beforeSend dans start/sentry.ts (validation, auth invalide = bruit).
- start/env.ts : SENTRY_DSN_API + APP_VERSION optionnels.
- bin/server.ts : import #start/sentry en 1er.
- @sentry/node + @sentry/profiling-node ajoutés au package.json.
Web (apps/web) :
- src/lib/sentry.ts : init au plus tôt dans main.tsx, BrowserTracing +
Replay (0% session, 100% sur erreur — économie quota free tier).
maskAllText + blockAllMedia pour privacy par défaut.
- src/lib/auth.ts : Sentry.setUser({ id }) au login, setUser(null) au
logout (corrélation cross-stack des erreurs front avec un user).
- src/main.tsx : ErrorBoundary autour de l'app avec FallbackError UX.
- vite.config.ts : @sentry/vite-plugin uploads les sourcemaps + les
SUPPRIME du dist/ final (filesToDeleteAfterUpload) pour ne pas leak
le code source via nginx en prod. Helper resolveAppVersion() pour
injecter le sha git en dev (le shell n'étant pas évaluable dans .env).
- src/lib/env.ts : VITE_SENTRY_DSN_WEB + VITE_APP_VERSION optionnels.
- .env.development : VITE_SENTRY_DSN_WEB (préfixé correctement pour
être exposé par Vite — l'ancienne SENTRY_DSN ne marchait pas).
- @sentry/react + @sentry/vite-plugin ajoutés au package.json.
CI Gitea :
- deploy-api.yml : kubectl set env APP_VERSION=${{ github.sha }}
runtime → release Sentry trackable au commit pour l'API.
- deploy-web.yml : build-args VITE_SENTRY_DSN_WEB, VITE_APP_VERSION,
SENTRY_AUTH_TOKEN, SENTRY_ORG injectés depuis les secrets Gitea.
- Dockerfile.web : ARG correspondants + propagation au stage build.
Privacy / sécurité (cf. ADR-024) :
- captureException tags : ctx.route?.pattern (pas l'URL réelle) →
les codes OAuth (?code=...) et tokens de check-in n'apparaissent
jamais dans les tags Sentry indexés.
- Sentry user context = user.id UUID seulement, pas d'email/nom.
- Sourcemaps en prod : uploadées à Sentry, supprimées du bundle.
- 4xx filtrées en amont (beforeSend) ET en aval (handler.ts:report).
- DSN public (by-design) commit-able, AUTH_TOKEN secret CI uniquement.
Sample rates (free tier 5K events / 50 replays par mois) :
- traces : 10% prod, 100% dev
- profiles : 100% (sampled par traces)
- replay session : 0% (économie quota)
- replay sur erreur : 100% (debug post-mortem)
Pré-requis runtime à configurer hors-repo :
- Secret K3s rubis-app-secrets : SENTRY_DSN_API
- Secrets Gitea Actions : SENTRY_DSN_WEB, SENTRY_AUTH_TOKEN, SENTRY_ORG
ADR-024 logué dans docs/decisions.md.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
96 lines
3.8 KiB
Docker
96 lines
3.8 KiB
Docker
# syntax=docker/dockerfile:1.7
|
|
# =============================================================================
|
|
# Rubis — image web (SPA React/Vite servi par nginx)
|
|
# Sert app.rubis.pro (front + reverse proxy /api/* → rubis-api).
|
|
# =============================================================================
|
|
|
|
ARG NODE_VERSION=22.13.1
|
|
ARG PNPM_VERSION=10.0.0
|
|
ARG NGINX_VERSION=1.27-alpine
|
|
|
|
# =============================================================================
|
|
# Build-time env vars exposées au bundle Vite (`import.meta.env.VITE_*`).
|
|
# Vite remplace ces literals à la compile, donc il faut les fournir AVANT
|
|
# `vite build`. Valeurs par défaut = prod ; surcharger via --build-arg pour
|
|
# preview/staging.
|
|
# =============================================================================
|
|
ARG VITE_API_URL=https://app.rubis.pro
|
|
ARG VITE_PUBLIC_LANDING_URL=https://rubis.pro
|
|
ARG VITE_USE_MOCKS=false
|
|
# Sentry — DSN baked dans le bundle pour init côté SPA (cf. lib/sentry.ts).
|
|
# VITE_APP_VERSION = sha git pour identifier la release dans Sentry.
|
|
ARG VITE_SENTRY_DSN_WEB=
|
|
ARG VITE_APP_VERSION=
|
|
# Sentry CI uniquement — utilisé par @sentry/vite-plugin pour upload des
|
|
# sourcemaps (cf. vite.config.ts). Ne fuit pas en runtime (consommé au build).
|
|
ARG SENTRY_AUTH_TOKEN=
|
|
ARG SENTRY_ORG=rubis
|
|
|
|
# -----------------------------------------------------------------------------
|
|
# build — Vite produit dist/
|
|
# -----------------------------------------------------------------------------
|
|
FROM node:${NODE_VERSION}-alpine AS build
|
|
|
|
ARG PNPM_VERSION
|
|
RUN apk add --no-cache libc6-compat && \
|
|
corepack enable && \
|
|
corepack prepare pnpm@${PNPM_VERSION} --activate
|
|
|
|
WORKDIR /repo
|
|
|
|
# Manifests pour cache Docker
|
|
COPY package.json pnpm-lock.yaml pnpm-workspace.yaml turbo.json tsconfig.base.json ./
|
|
COPY apps/web/package.json ./apps/web/
|
|
COPY packages/shared/package.json ./packages/shared/
|
|
|
|
# Install : on prend tout le workspace pour que les workspace deps résolvent.
|
|
# Le filter --include-deps évite de gaspiller en installant les deps de l'API.
|
|
RUN --mount=type=cache,id=pnpm,target=/root/.local/share/pnpm/store \
|
|
pnpm install --frozen-lockfile
|
|
|
|
COPY packages/shared ./packages/shared
|
|
COPY apps/web ./apps/web
|
|
|
|
# Re-déclare les ARG dans le stage où on les utilise (Docker scope).
|
|
ARG VITE_API_URL
|
|
ARG VITE_PUBLIC_LANDING_URL
|
|
ARG VITE_USE_MOCKS
|
|
ARG VITE_SENTRY_DSN_WEB
|
|
ARG VITE_APP_VERSION
|
|
ARG SENTRY_AUTH_TOKEN
|
|
ARG SENTRY_ORG
|
|
|
|
# vite build direct (le `tsc -b` du script build plante sans cache .tsbuildinfo
|
|
# à cause de @tanstack/router-core ; le typecheck strict est en CI séparée).
|
|
# Les VITE_* env vars sont lues par Vite à la compile via process.env.
|
|
# SENTRY_AUTH_TOKEN active sentryVitePlugin (upload sourcemaps).
|
|
RUN VITE_API_URL=$VITE_API_URL \
|
|
VITE_PUBLIC_LANDING_URL=$VITE_PUBLIC_LANDING_URL \
|
|
VITE_USE_MOCKS=$VITE_USE_MOCKS \
|
|
VITE_SENTRY_DSN_WEB=$VITE_SENTRY_DSN_WEB \
|
|
VITE_APP_VERSION=$VITE_APP_VERSION \
|
|
APP_VERSION=$VITE_APP_VERSION \
|
|
SENTRY_AUTH_TOKEN=$SENTRY_AUTH_TOKEN \
|
|
SENTRY_ORG=$SENTRY_ORG \
|
|
pnpm --filter @rubis/web exec vite build
|
|
|
|
# -----------------------------------------------------------------------------
|
|
# runner — nginx-alpine + dist + config
|
|
# -----------------------------------------------------------------------------
|
|
FROM nginx:${NGINX_VERSION} AS runner
|
|
|
|
# Pas besoin de /etc/nginx/conf.d/default.conf legacy
|
|
RUN rm /etc/nginx/conf.d/default.conf
|
|
|
|
COPY apps/web/nginx.conf /etc/nginx/conf.d/default.conf
|
|
COPY --from=build /repo/apps/web/dist /var/www
|
|
|
|
EXPOSE 80
|
|
|
|
# Healthcheck : nginx répond 200 sur /index.html
|
|
HEALTHCHECK --interval=30s --timeout=3s --start-period=5s --retries=3 \
|
|
CMD wget -qO- http://127.0.0.1/index.html >/dev/null 2>&1 || exit 1
|
|
|
|
# Démarre nginx en foreground (pas de tini nécessaire pour nginx).
|
|
CMD ["nginx", "-g", "daemon off;"]
|