Przejdź do treści

Serwery i Infrastruktura

Trzy fizyczne serwery + sieć VPS w lokalizacjach klientów. Architektura zgodna z zasadą 3 lokalizacji opisaną w ofercie (str. 2).

Co zostało dostarczone

Serwery główne

Host Dostawca Rola Status
host-mom Hetzner (Baremetal) Jednostka centralna — Mailcow, Windmill, Panel ✅ aktywny
host-dad OVH (Baremetal) Główny failover dla sklepów ✅ aktywny
host-son OVH (Baremetal) Trzecia linia obrony 🟡 częściowo aktywny

System operacyjny: NixOS (deklaratywna konfiguracja w repo infra/). Konteneryzacja: Incus (LXC) + Docker compose dla aplikacji. Sieć: OVH vRack (prywatna sieć między host-dad / host-mom / VPS) + Netbird (mesh VPN dla dostępu administracyjnego).

Szczegółowy spis usług per host: Inwentarz Usług.

Sieć VPS (OVH)

VPS-y w lokalizacjach docelowych klientów dla niskiego opóźnienia i lokalnych adresów IP:

  • Niemcy, Francja, Włochy, Wielka Brytania, Polska, Czechy, Hiszpania, Holandia, Belgia, Austria, Szwajcaria.

Mechanizm IP failover (OVH): w razie awarii VPS w danym kraju, IP jest przepinany na host-dad (główny failover OVH) w sekundach — dla klienta sklep działa pod tym samym adresem.

Koszt VPS: ok. 20 PLN / mc / VPS (dostawca OVH).

Bezpieczeństwo i dostęp

  • Bitwarden cloud — magazyn haseł właściciela (folder panel-aio). Zawiera klucz age do SOPS oraz hasła administracyjne wszystkich usług. Vaultwarden self-hosted gotowy do wdrożenia, ale nie uruchomiony — patrz Operations — Usługi opcjonalne.
  • Netbird (host-mom, kontener services) — mesh VPN do administracji zdalnej.
  • SOPS + age — szyfrowanie sekretów w repo (secrets/secrets.sops.yaml, dashboard/.env.sops.yaml, convex/*.sops.yaml, windmill/*.sops.yaml). Klucz prywatny w Bitwardenie pod panel-aio / sops-age-key.
  • Backrest + Backblaze B2 — backupy off-site (TASK-042, TASK-103). Bucket aiofactory, region eu-central-003.

Domeny i DNS

DNS skonfigurowany dla wszystkich domen AIO Factory (TASK-040, TASK-101, TASK-044). Ns1.first-ns.de + propagacja na Hetzner DNS. Caddy reverse-proxy z auto-SSL na każdym hoście (Caddyfile w infra/host-*/dapps/caddy/).

Znane zgłoszenia

Zgłoszenie #12 — Host: son — 20 %

Status: ✅ Wyjaśnione.

host-son to trzeci serwer z architektury "3 lokalizacji" (oferta str. 2). Pełni rolę ostatniej linii obrony — uruchamiany w pełnej operacyjności tylko gdy host-mom + host-dad nie działają.

Aktualny stan (20 % w roadmapie) oznacza: sprzęt skonfigurowany, NixOS zainstalowany, podstawowa orkiestracja Incus/Docker — gotowy do przejęcia ruchu, ale rutynowo nie obsługuje produkcji. To zgodne z projektem (host-son ma być rezerwą, nie aktywnym węzłem). 100 % oznaczałoby pełną replikację stanu z host-mom — operacja kosztowna i niepotrzebna w trybie maintenance.

Zgłoszenie #13 — Serwery VPS — 80 %

Status: ✅ Wyjaśnione.

80 % oznacza:

  • ✅ Konfiguracja vRack + IP failover OVH — gotowa.
  • ✅ Pierwsza partia VPS-ów postawiona (kraje z najwyższym priorytetem: PL, DE, FR).
  • 🟡 Pozostałe kraje (IT, UK, CZ, ES, NL, BE, AT, CH) — uruchamiane sukcesywnie w miarę dostępności i potrzeby biznesowej.

Cytat z oferty (str. 3):

„Sukcesywne uruchamianie kolejnych VPS-ów (w miarę ich dostępności)."

Procedura uruchomienia kolejnego VPS-a: zamówienie OVH → konfiguracja w infra/ (NixOS template) → przepięcie IP failover. Dokumentacja techniczna: Inwentarz Usług.

Architektura zgodna z ofertą

Wszystkie poniższe elementy z oferty (str. 2-3) zostały zrealizowane:

  • Redundancja — 3 fizyczne lokalizacje (Hetzner/OVH/OVH).
  • Failover IP w ramach OVH — w sekundach, bez zmiany adresu DNS dla klienta.
  • Postawienie bazy danych pod WordPress (TASK-018, TASK-050).
  • Konfiguracja Reverse Proxy (Caddy z auto-SSL, każdy host).
  • Spięcie wszystkiego w prywatną sieć vRack (OVH).
  • Netbird (mesh VPN) na host-mom; Bitwarden cloud dla magazynu haseł (decyzja właściciela; Vaultwarden self-hosted przygotowany do wdrożenia gdyby preferowane).

Status szczegółowy: Roadmap — stan realizacji.