Container und Ingress
Nutzen Sie Container-Images, wenn Sie Workspace über Docker, eine Containerplattform oder eine orchestrierte Laufzeit betreiben. Der Ingress oder Reverse Proxy bildet den öffentlichen Zugang ab und leitet Anfragen an Workspace weiter.
Wenn Sie Workspace nur lokal ausprobieren möchten, starten Sie mit Docker-Demo in 10 Minuten.
Architektur
Wann passt Containerbetrieb?
Containerbetrieb eignet sich, wenn Ihre Umgebung:
- Images und Rollouts zentral steuert,
- Health-Checks und Neustarts automatisiert,
- persistente Volumes bereitstellt,
- Ingress, TLS und Routing zentral verwaltet,
- Secrets über Plattformmechanismen bereitstellt.
Für direkte Linux-Installation ohne Containerplattform nutzen Sie Serverinstallation.
Komponenten
| Komponente | Aufgabe |
|---|---|
| Server-Image | betreibt die Workspace-API und die eingebettete Administrationsoberfläche |
| Reverse Proxy oder Ingress | stellt TLS, Hostnamen und öffentliche Routen bereit |
| PostgreSQL | hält die relationale Datenbank außerhalb des Containers |
| Persistenter Speicher | hält Konfiguration, Uploads, Dokumente und generierte Dateien |
| Secrets | stellen NUCLEUS_KEY, Datenbankpasswort und weitere geheime Werte bereit |
Container-Image
Verwenden Sie ein explizites Release-Image:
git.schukai.me/releases/nucleus:4.59.0Verwenden Sie keine beweglichen Tags für produktive Deployments. Ein expliziter Versionstag macht Rollbacks und Supportfälle nachvollziehbar.
Persistenter Speicher
Workspace benötigt persistenten Speicher für:
- verschlüsselte Konfigurationsdatei, zum Beispiel
/data/nucleus.config.enc, - Storage-Pfad für Uploads, Dokumente und generierte Dateien,
- Betriebsdaten, die nicht im Container-Dateisystem verloren gehen dürfen.
Der Server kann die verschlüsselte Konfiguration nur zusammen mit dem passenden NUCLEUS_KEY lesen. Bewahren Sie Konfigurationsdatei und NUCLEUS_KEY getrennt, aber wiederherstellbar auf.
Setup und Laufzeit
Starten Sie den Container beim ersten Mal interaktiv, damit der Setup-Assistent die verschlüsselte Konfiguration erzeugen kann. Danach stellen Sie NUCLEUS_KEY als Secret oder Umgebungswert bereit und starten die Laufzeit regulär.
Die lokale Schritt-für-Schritt-Anleitung steht unter Docker-Demo in 10 Minuten.
Ingress und TLS
Betreiben Sie Workspace in produktiven Umgebungen hinter einem Reverse Proxy oder Ingress. Der Proxy nimmt öffentliche HTTPS-Verbindungen an, verwaltet das Zertifikat und leitet intern an den Workspace-Container weiter.
Setzen Sie bei TLS-Terminierung am Proxy:
X-Forwarded-Host: workspace.example
X-Forwarded-Proto: httpsWeitere Details stehen unter TLS und Reverse Proxy.
System Domains
System Domains (CSV) enthält die Hostnamen, über die die Administrationsoberfläche vor der Mandantenauswahl erreichbar ist. Für lokale Demos reicht localhost; für produktive Umgebungen ergänzen Sie die öffentliche Admin-Domain.
Weitere Details stehen unter System Domains verstehen.
Häufige Fehler
| Fehler | Ursache |
|---|---|
localhost als Datenbank-Host | Im Container zeigt localhost auf den Workspace-Container selbst, nicht auf PostgreSQL. |
NUCLEUS_KEY fehlt | Der Server kann /data/nucleus.config.enc nicht entschlüsseln. |
| Zertifikat nicht gemountet | Der Setup-Assistent sieht nur Pfade im Container. |
| Storage nicht persistent | Uploads, Dokumente und Konfiguration gehen beim Containerwechsel verloren. |
| öffentliche Domain fehlt | Der Systemzugang erkennt die Admin-Domain nicht. |
Verwenden Sie in Docker Compose als Database host den Service-Namen der PostgreSQL-Datenbank, zum Beispiel postgres.
Start prüfen
Prüfen Sie nach jedem Start:
curl -sk https://workspace.example/api/v1/pingPrüfen Sie zusätzlich:
- Browseranmeldung funktioniert,
- Administrationsoberfläche lädt,
- PostgreSQL ist verbunden,
- Storage ist beschreibbar,
- öffentliche URL und TLS passen zur Ingress-Konfiguration.
Update und Rollback
Führen Sie Container-Updates kontrolliert aus:
- neues Image mit explizitem Versionstag beziehen,
- Prüfsumme oder Signatur nach Ihrem Betriebsstandard prüfen,
- Container neu starten,
- technische und fachliche Smoke-Tests ausführen,
- bei Fehlern auf den vorherigen Versionstag zurückrollen.
Die vollständige Anleitung steht unter Updates und Rollback.
Nächste Schritte
- Richten Sie TLS und Reverse Proxy mit TLS und Reverse Proxy ein.
- Pflegen Sie öffentliche System-Domains mit System Domains verstehen.
- Prüfen Sie Start, Health und Betriebsbereitschaft mit Diagnose und Readiness.
- Planen Sie Updates und Rollback mit Updates und Rollback.