План дальнейших действий
Дата: 2026-02-08
Контекст: Переход на nginx-reverse-proxy выполнен; зафиксирована Версия 1.0 архитектуры DENKART (единая точка входа).
0. Сохранение Версии 1.0 архитектуры ✅
- Описание: architecture-version-nginx-reverse-proxy.md
- Снимок версии: ../versions/architecture-denkart-v1.0.md
- История версий: architecture-versions.md
Дальнейшие шаги ниже выполняются при сохранённой и принятой Версии 1.0.
1. Ближайшие шаги (рекомендуется)
| № | Действие | Команда / ссылка | Приоритет |
|---|---|---|---|
| 1.1 | Синхронизировать документацию на docs.cdto.life | sudo /home/cdto/DENKART/scripts/sync-docs-to-web.sh |
Высокий |
| 1.2 | Обновить статус в плане миграции | В MIGRATION-PLAN-NGINX-REVERSE-PROXY.md указать «Статус: ✅ Выполнен» | Средний |
| 1.3 | Создать тег версии (точка отката/релиза) | git tag -a v1.6-nginx-proxy -m "Единая точка входа nginx-reverse-proxy" && git push origin v1.6-nginx-proxy |
Средний |
| 1.4 | Проверить доступ из внешней сети | Открыть с телефона (мобильный интернет) или другой сети: https://denkart.cdto.group/system, https://docs.cdto.life/, https://school.cdto.life/ | Высокий |
2. Сохранение правил iptables после перезагрузки
Сейчас правила iptables действуют до перезагрузки хоста. Чтобы они применялись после перезагрузки:
| Вариант | Действие |
|---|---|
| netfilter-persistent | sudo apt-get install iptables-persistent (если ещё не установлен); после изменений: sudo netfilter-persistent save |
| Свой скрипт | Сохранять правила в /etc/network/if-pre-up.d/ или systemd unit, который при загрузке выполняет iptables-restore из config/snapshots/ или из скрипта port-forwarding-rules-nginx-proxy.sh |
Проверить после перезагрузки: sudo iptables -t nat -L PREROUTING -n | head -10 — должны быть DNAT на 10.218.14.200:80 и :443.
3. Регулярные операции (по daily-operations.md)
| Период | Задачи |
|---|---|
| Ежедневно | Статус сервисов (./scripts/check-services.sh), место на дисках (df -h), логи на ошибки |
| Еженедельно | Обновление системы, проверка безопасности, использование ресурсов, SSL-сертификаты |
| Ежемесячно | Аудит безопасности, обзор логов, проверка бэкапов (тест восстановления), актуализация документации |
Документация на docs.cdto.life синхронизируется автоматически каждые 5 минут (timer docs-sync); при необходимости — ручной запуск sync-docs-to-web.sh.
4. Опционально: упрощение BBB-CONT22-1 (Фаза 4 плана миграции)
После стабилизации можно:
- Оставить в BBB только приём трафика от nginx-reverse-proxy по внутренней сети (10.218.14.200 → 10.218.14.37:80), убрать лишнюю маршрутизацию по доменам denkart/docs в HAProxy/Nginx внутри BBB.
- Или не менять BBB и оставить текущую схему (внешний трафик уже не идёт в BBB, только в nginx-reverse-proxy).
Документация: MIGRATION-PLAN-NGINX-REVERSE-PROXY.md, фаза 4.
5. Сертификаты и nginx-reverse-proxy
| Задача | Описание |
|---|---|
| Продление | Сертификаты в контейнере (/etc/ssl/denkart/) скопированы с хоста. Продлевать на хосте (или в контейнере, если настроен certbot), затем при необходимости копировать обновлённые в контейнер и делать systemctl reload nginx. |
| Автоматизация | При желании настроить certbot в nginx-reverse-proxy для автообновления (см. документацию по доменам и SSL). |
6. При следующих изменениях инфраструктуры
- Перед любыми изменениями маршрутизации, конфигов контейнеров или iptables: выполнять
./scripts/save-state-before-migration.sh <метка>и коммит (см. BACKUP-BEFORE-CHANGES.md). - При изменении конфигов — создавать копии (
.bakили вconfig/snapshots/с датой).
7. Полезные ссылки
| Документ | Назначение |
|---|---|
| architecture-version-nginx-reverse-proxy.md | Версия 1.0 архитектуры (описание) |
| architecture-versions.md | История версий архитектуры |
| ROUTING-ANALYSIS-AND-NGINX-PROXY-MIGRATION-PLAN.md | Анализ маршрутизации и расширенный план перехода/отката |
| MIGRATION-PLAN-NGINX-REVERSE-PROXY.md | Фазы 0–4 перехода на nginx-reverse-proxy |
| BACKUP-BEFORE-CHANGES.md | Сохранение состояния перед изменениями |
| daily-operations.md | Ежедневные и периодические операции |
| final-architecture.md | Целевая архитектура с nginx-reverse-proxy |
8. Дальнейший план действий (сводка)
| Этап | Действия |
|---|---|
| Сразу | Синхронизация docs на docs.cdto.life; проверка доступа извне по доменам; при необходимости — тег v1.6-nginx-proxy. |
| Устойчивость | Обеспечить сохранение правил iptables после перезагрузки хоста (netfilter-persistent или скрипт при загрузке). |
| Регулярно | Ежедневно: сервисы, диски, логи. Еженедельно: обновления, безопасность, SSL. Ежемесячно: аудит, бэкапы, актуализация документации. |
| При изменениях | Перед сменой маршрутизации/конфигов/iptables — save-state-before-migration.sh, коммит; копии изменяемых файлов. |
| Опционально | Упрощение BBB-CONT22-1 (Фаза 4); автоматизация продления сертификатов в nginx-reverse-proxy. |
Итог: Версия 1.0 архитектуры сохранена. Далее — выполнить пункты раздела 1, обеспечить сохранение iptables после перезагрузки и придерживаться регулярных операций и правил резервного копирования.