Maintenance script: Aggiunta documentazione progetto CartClin e pubblicazione cartclin.gazzi.net

2026-03-30T23:09:58Z

Aggiunta documentazione progetto CartClin e pubblicazione cartclin.gazzi.net

Nuova pagina

== CartClin ==

'''CartClin''' e' un'applicazione web Python/Flask pubblicata dietro reverse proxy come:

* URL pubblico: <code>https://cartclin.gazzi.net/</code>
* host applicativo: <code>web01.gazzi.local</code>
* host proxy pubblico: <code>proxy01.gazzi.local</code>

== Architettura ==

La pubblicazione e' divisa in tre livelli:

* '''runtime applicativo''' su <code>web01</code>
* '''backend HTTP interno''' su <code>web01</code>
* '''reverse proxy e TLS''' su <code>proxy01</code>

=== Runtime applicativo su web01 ===

Il codice applicativo viene installato in:

* <code>/opt/cartclin</code>

Componenti principali runtime:

* virtualenv Python: <code>/opt/cartclin/venv</code>
* database SQLite locale: <code>/opt/cartclin/cartclin.db</code>
* cache locale per WeasyPrint/fontconfig: <code>/opt/cartclin/.cache</code>

Il servizio applicativo e' gestito da systemd:

* unit file: <code>/etc/systemd/system/cartclin.service</code>
* service name: <code>cartclin.service</code>
* utente runtime: <code>www-data</code>
* working directory: <code>/opt</code>
* variabili runtime rilevanti:
** <code>PYTHONPATH=/opt</code>
** <code>HOME=/opt/cartclin</code>
** <code>XDG_CACHE_HOME=/opt/cartclin/.cache</code>

Il servizio avvia:

* <code>gunicorn --workers 2 --bind 127.0.0.1:8090 cartclin.app:app</code>

=== Backend HTTP interno su web01 ===

Nginx locale su <code>web01</code> pubblica l'app su una porta interna dedicata:

* vhost backend: <code>/etc/nginx/sites-available/cartclin-backend</code>
* symlink attivo: <code>/etc/nginx/sites-enabled/cartclin-backend</code>
* bind interno: <code>0.0.0.0:8082</code>
* upstream applicativo: <code>http://127.0.0.1:8090</code>

Test locale atteso su <code>web01</code>:

* <code>http://127.0.0.1:8090/</code> risponde con redirect a <code>/login</code>
* <code>http://127.0.0.1:8082/</code> risponde come proxy locale verso l'app

=== Reverse proxy e TLS su proxy01 ===

La pubblicazione pubblica e' gestita da <code>proxy01</code>:

* vhost: <code>/etc/nginx/sites-available/cartclin</code>
* symlink attivo: <code>/etc/nginx/sites-enabled/cartclin</code>
* host pubblico: <code>cartclin.gazzi.net</code>
* upstream interno: <code>http://172.16.1.3:8082</code>

Comportamento del vhost:

* su porta 80 esegue redirect verso HTTPS
* su porta 443 termina TLS e inoltra verso <code>web01:8082</code>

== Certificato TLS ==

Il certificato pubblico e' gestito con Let's Encrypt su <code>proxy01</code>:

* certificate path: <code>/etc/letsencrypt/live/cartclin.gazzi.net/fullchain.pem</code>
* private key path: <code>/etc/letsencrypt/live/cartclin.gazzi.net/privkey.pem</code>
* rinnovo automatico: gestito da Certbot

== Flusso richieste ==

Percorso sintetico di una richiesta:

# il client apre <code>https://cartclin.gazzi.net/</code>
# <code>proxy01</code> riceve TLS e inoltra verso <code>http://172.16.1.3:8082</code>
# <code>web01</code> inoltra verso <code>gunicorn</code> su <code>127.0.0.1:8090</code>
# l'app Flask serve la login page o le route applicative

== Verifiche rapide ==

Su <code>web01</code>:

* <code>systemctl status cartclin.service</code>
* <code>curl -I http://127.0.0.1:8090/</code>
* <code>curl -I -H 'Host: web01.gazzi.local' http://127.0.0.1:8082/</code>

Su <code>proxy01</code>:

* <code>nginx -t</code>
* <code>curl -I --resolve cartclin.gazzi.net:443:127.0.0.1 https://cartclin.gazzi.net/ -k</code>
* <code>certbot certificates</code>

== Note operative ==

* Non versionare segreti o password nel repository.
* Il file SQLite fa parte del runtime applicativo e va trattato come dato operativo, non come configurazione di proxy.
* Se si cambia host o porta interna, aggiornare sia il backend Nginx su <code>web01</code> sia il reverse proxy su <code>proxy01</code>.

Progetti/CartClin - Cronologia

Maintenance script: Aggiunta documentazione progetto CartClin e pubblicazione cartclin.gazzi.net