diff --git a/deploy/README.md b/deploy/README.md index e52ba05..2aab8e1 100644 --- a/deploy/README.md +++ b/deploy/README.md @@ -36,6 +36,8 @@ - 更新业务服务:克隆/检查固定仓库,生成 release manifest。正式后端/后台未生成前仅执行安全 dry-run。 - EMQX:输出原生 Apt/无 Docker/MQTTX 禁止策略和本机命令状态。 - HTTPS:输出固定域名、API 路径和 Nginx 配置检查。 +- Nginx:提供 `deploy/nginx/api.txyundm.cn.conf.template`,菜单第 4 项会检查模板、站点文件、TLS 和健康端点。 +- 非交互检查:`setup.sh --preflight`、`setup.sh --status`、`setup.sh --https`、`setup.sh --diagnose`。 - 状态:显示部署上下文、快检、仓库状态和当前 release manifest。 - 备份:当前生成 manifest-only 备份记录,不触碰真实数据库。 - 恢复/回滚:列出人工输入和回滚点,不自动改动生产数据。 diff --git a/deploy/VERSION b/deploy/VERSION index dd63fc7..3357dc5 100644 --- a/deploy/VERSION +++ b/deploy/VERSION @@ -1 +1 @@ -0.1.0-m00-deploy-baseline +0.1.1-m00-domain-https-check diff --git a/deploy/nginx/api.txyundm.cn.conf.template b/deploy/nginx/api.txyundm.cn.conf.template new file mode 100644 index 0000000..a63b0f1 --- /dev/null +++ b/deploy/nginx/api.txyundm.cn.conf.template @@ -0,0 +1,58 @@ +server { + listen 80; + server_name api.txyundm.cn; + + location /.well-known/acme-challenge/ { + root /var/www/certbot; + } + + location / { + return 301 https://$host$request_uri; + } +} + +server { + listen 443 ssl http2; + server_name api.txyundm.cn; + + ssl_certificate /etc/letsencrypt/live/api.txyundm.cn/fullchain.pem; + ssl_certificate_key /etc/letsencrypt/live/api.txyundm.cn/privkey.pem; + + client_max_body_size 20m; + + access_log /var/log/nginx/qipai-api.access.log; + error_log /var/log/nginx/qipai-api.error.log; + + location /app-api/ { + proxy_pass http://127.0.0.1:3000/app-api/; + proxy_http_version 1.1; + proxy_set_header Host $host; + proxy_set_header X-Real-IP $remote_addr; + proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; + proxy_set_header X-Forwarded-Proto $scheme; + } + + location /admin-api/ { + proxy_pass http://127.0.0.1:3000/admin-api/; + proxy_http_version 1.1; + proxy_set_header Host $host; + proxy_set_header X-Real-IP $remote_addr; + proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; + proxy_set_header X-Forwarded-Proto $scheme; + } + + location /uploads/ { + alias /opt/apps/uploads/; + autoindex off; + } + + location /admin/ { + alias /opt/apps/qipai-admin/dist/; + try_files $uri $uri/ /admin/index.html; + } + + location = /health { + return 200 "ok\n"; + add_header Content-Type text/plain; + } +} diff --git a/docs/api-domain-test-report.md b/docs/api-domain-test-report.md index 2930f45..f5c1889 100644 --- a/docs/api-domain-test-report.md +++ b/docs/api-domain-test-report.md @@ -2,9 +2,9 @@ | 环境 | 检查项 | 命令/步骤 | 期望 | 实际 | 结果 | 时间 | |---|---|---|---|---|---|---| -| Windows | DNS/HTTPS | `check-api-domain.ps1` | PASS | 未执行 | - | - | -| WSL | TLS/健康接口 | `check-api-domain.sh` | PASS | 未执行 | - | - | -| Ubuntu | Nginx/证书/公开 API | `setup.sh` 环境检测 | PASS | 未执行 | - | - | +| Windows | DNS/HTTPS | `scripts/dev/windows/check-api-domain.ps1` | PASS 或明确 WARN | 脚本已生成,待执行 | - | 2026-06-15 | +| WSL | TLS/健康接口 | `setup.sh --https` | PASS 或明确 WARN | DNS 已解析到 `101.42.38.246`;TLS 证书主题为 `CN=git.txyundm.cn`;`/health` 不可达 | WARN | 2026-06-15 | +| Ubuntu | Nginx/证书/公开 API | `setup.sh` 菜单 4 或 `setup.sh --https` | PASS 或明确 WARN | 检查脚本已生成,生产未执行 | - | 2026-06-15 | | 微信开发者工具 | request/upload/download | 关闭忽略合法域名 | 成功 | 未执行 | - | - | | 微信真机 | 登录/上传/下载/下单/开门 | 体验版 | 成功 | 未执行 | - | - | @@ -17,5 +17,6 @@ ## 问题与修复 -- 当前仅建立报告模板。 - +- 已补充 Windows 域名检查脚本、Ubuntu 菜单第 4 项检查和 Nginx 模板。 +- 生产 DNS、证书、Nginx 启用和健康接口仍未完成,不能标记为通过。 +- `api.txyundm.cn` 当前解析正常,但证书和健康接口不满足 API 验收要求。 diff --git a/docs/deployment-changelog.md b/docs/deployment-changelog.md index 2485f74..366086d 100644 --- a/docs/deployment-changelog.md +++ b/docs/deployment-changelog.md @@ -1,5 +1,17 @@ # 部署变更记录 +## 2026-06-15 / 0.1.1-m00-domain-https-check + +- 关联模块:M00-E +- 关联 commit:本轮待提交 +- 变化内容:新增 `deploy/nginx/api.txyundm.cn.conf.template`、`scripts/setup/domain-https.sh`、`setup.sh --https` 和 Windows 域名检查脚本。 +- 配置变化:菜单第 4 项扩展为检查固定域名、Nginx 模板、站点启用状态、TLS 证书和健康端点。 +- 数据库变化:无。 +- 兼容性:仅增加检查和模板,不自动写入生产 Nginx,不申请证书。 +- 已执行验证:Windows 本地检查、敏感信息扫描、PowerShell 解析检查通过;WSL `bash -n`、`setup.sh --preflight/--status/--https/--diagnose` 通过,HTTPS 项返回 WARN。 +- 回滚方式:移除新增模板和检查脚本即可回到 0.1.0 行为;未改动生产环境。 +- 生产环境人工步骤:管理员在 Ubuntu 上安装证书后,按菜单提示复制 Nginx 模板并执行 `nginx -t` 与 reload。 + ## 2026-06-15 / 0.1.0-m00-deploy-baseline - 关联模块:M00 diff --git a/docs/deployment-status.md b/docs/deployment-status.md index 977475d..0c0281e 100644 --- a/docs/deployment-status.md +++ b/docs/deployment-status.md @@ -2,7 +2,7 @@ | 项目 | 当前值 | |---|---| -| 菜单脚本版本 | 0.1.0-m00-deploy-baseline | +| 菜单脚本版本 | 0.1.1-m00-domain-https-check | | Gitea 仓库 Web | https://git.txyundm.cn/panda/qipai.git | | API 固定域名 | https://api.txyundm.cn | | 小程序 API | https://api.txyundm.cn/app-api | @@ -14,8 +14,8 @@ | Gitea 仓库 SSH | ssh://git@git.txyundm.cn:2222/panda/qipai.git | | 生产拉取仓库 | ssh://git@127.0.0.1:2222/panda/qipai.git | | 默认分支 | main | -| 最近模块 push commit | 远端 HEAD(M00-A/M00-B 基线) | -| 最近 push 远端校验 | 通过:`HEAD == origin/main` | +| 最近模块 push commit | 远端 HEAD;本轮 M00-E 域名/HTTPS 检查待提交 | +| 最近 push 远端校验 | 上一轮通过:`HEAD == origin/main`;本轮待 push 后复验 | | 目标系统 | Ubuntu 24.04 | | 内核架构 | x86_64 | | DPKG 架构 | amd64 | @@ -25,18 +25,18 @@ | 命令行 MQTT 工具 | mosquitto-clients:未安装/未验证 | | Windows MQTTX 验证 | 未验证 | | WSL 环境验证 | 已完成轻量检查、shell 语法检查、临时副本准备和清理;完整构建待正式项目生成 | -| 最近环境快检 | 2026-06-15 WSL 执行 `setup.sh --preflight/--status/--diagnose` 通过,WARN 项已记录 | +| 最近环境快检 | 2026-06-15 WSL 执行 `setup.sh --preflight/--status/--https/--diagnose` 通过;HTTPS 检查返回证书/健康接口 WARN | | 最近部署后复检 | 未执行 | -| 最近验证 commit | 远端 HEAD;M00-C 推送脚本语法检查通过 | +| 最近验证 commit | 远端 HEAD;M00-C 推送脚本语法检查通过;M00-E 域名/HTTPS 检查待提交 | | 最近验证日期 | 2026-06-15 | | 已验证系统 | Ubuntu 24.04 / 未验证 | | 菜单 1 首次安装 | 脚本已实现目录布局;未在生产 Ubuntu 执行 | | 菜单 2 更新业务 | 脚本已实现仓库检查和 dry-run 发布清单;未在生产 Ubuntu 执行 | | 菜单 3 MQTT | 状态检查已实现;EMQX 安装未执行 | -| 菜单 4 域名与 HTTPS | 状态检查已实现;证书申请/续期未执行 | +| 菜单 4 域名与 HTTPS | 域名、Nginx 模板、站点启用、TLS 和健康端点检查已实现;当前线上证书为 `git.txyundm.cn`,证书申请/续期未执行 | | 菜单 5 状态 | 已实现 | | 菜单 6 备份 | manifest-only 已实现;真实备份待生产配置 | | 菜单 7 恢复 | 人工恢复提示已实现 | | 菜单 8 回滚 | 回滚点列表已实现;自动切换待正式 release | | 菜单 9 诊断 | 已实现 | -| 已知限制 | 未执行生产部署;WSL 快检显示 Node/Nginx/PM2 缺失或未安装,生产 Ubuntu 需重新验证;正式后端/后台未生成前,业务构建为 dry-run。 | +| 已知限制 | 未执行生产部署;WSL 快检可能显示 Node/Nginx/PM2 缺失或未安装,生产 Ubuntu 需重新验证;正式后端/后台未生成前,业务构建为 dry-run。 | diff --git a/docs/devlogs/2026-06-15-M00-A-单仓库基线.md b/docs/devlogs/2026-06-15-M00-A-单仓库基线.md index 089beb1..421ea0b 100644 --- a/docs/devlogs/2026-06-15-M00-A-单仓库基线.md +++ b/docs/devlogs/2026-06-15-M00-A-单仓库基线.md @@ -12,6 +12,7 @@ - 生成 `docs/reference-page-map.md`、`docs/db-schema-inventory.md` 和 `docs/reference-api-inventory.md` 作为可提交脱敏摘要。 - 生成 `scripts/dev/windows/push-module.ps1` 和 `check-gitea-ssh.ps1`,串联模块检查、提交、推送和远端校验。 - 生成 `scripts/setup/*.sh` 和新版 `setup.sh` 菜单,覆盖 `/opt/apps` 目录、仓库状态、dry-run 发布清单、备份 manifest、恢复/回滚提示和诊断。 +- 继续补强 M00-E,新增固定 API 域名 Nginx 模板、Ubuntu 菜单第 4 项域名/HTTPS 检查和 Windows 域名检查脚本。 ## 起始状态 @@ -31,7 +32,7 @@ ## 部署影响 -有。新增并升级 `setup.sh` 与 `scripts/setup/*.sh` 菜单式部署骨架,但未执行生产部署。 +有。新增并升级 `setup.sh` 与 `scripts/setup/*.sh` 菜单式部署骨架,补充 `api.txyundm.cn` Nginx 模板和域名/HTTPS 检查,但未执行生产部署。 ## 测试记录 @@ -42,6 +43,7 @@ - Windows 推送脚本:已新增,遇到 SSH 主机指纹问题时停止,不自动覆盖 `known_hosts`。 - PowerShell 语法检查:`push-module.ps1`、`check-gitea-ssh.ps1` 均已通过 Parser 检查。 - 部署脚本:WSL 已执行 `bash -n setup.sh scripts/setup/*.sh`、`setup.sh --preflight`、`setup.sh --status`、`setup.sh --diagnose`;输出 PASS/WARN,未执行生产写入。 +- 域名/HTTPS:新增菜单检查和 Windows 检查脚本;WSL `setup.sh --https` 显示 `api.txyundm.cn` 可解析到 `101.42.38.246`,但线上证书主题为 `CN=git.txyundm.cn` 且 `/health` 不可达,生产 DNS/证书/健康接口仍不得标记通过。 - WSL 检查:已执行 `check-env.sh`、`check-workspace.sh`、`verify-linux.sh`、`prepare-test-copy.sh` 和 `cleanup-test-copy.sh`;临时副本创建和清理通过。完整 Linux 构建待正式后端/后台项目生成后执行。 - Git fetch/push:首次多次失败后,`git push origin main` 已成功;随后 `git fetch origin main` 校验 `HEAD == origin/main` 通过。 diff --git a/docs/domain-https.md b/docs/domain-https.md index 8e4995e..d539935 100644 --- a/docs/domain-https.md +++ b/docs/domain-https.md @@ -11,24 +11,27 @@ ## DNS - A/AAAA 记录:未验证 -- 当前服务器公网 IP:未验证 -- 最近验证时间:未验证 +- 当前服务器公网 IP:WSL 检查解析到 `101.42.38.246` +- 最近验证时间:2026-06-15(WSL `setup.sh --https`) ## Nginx -- 配置文件:待生成 -- 配置备份:待生成 -- `nginx -t`:未执行 -- 路由检查:未执行 +- 配置模板:`deploy/nginx/api.txyundm.cn.conf.template` +- 生产配置目标:`/etc/nginx/sites-available/qipai-api.conf` +- 启用目标:`/etc/nginx/sites-enabled/qipai-api.conf` +- `nginx -t`:菜单第 4 项可执行;生产未验证 +- 路由检查:`/health`、`/app-api/`、`/admin-api/`、`/uploads/`、`/admin/` 已在模板中预留 ## 证书 -- 签发机构:未验证 -- SAN:未验证 -- 生效/到期:未验证 -- 剩余天数:未验证 +- 签发机构:线上返回 Let's Encrypt `YE1`,但证书主题为 `CN=git.txyundm.cn` +- SAN:未确认包含 `api.txyundm.cn` +- 生效/到期:线上返回 `2026-06-15` 到 `2026-09-13`,但不是已验收的 API 证书 +- 剩余天数:未计算 - 自动续期:未验证 - 最近 dry-run:未执行 +- 现场检查:菜单第 4 项会尝试读取线上 TLS 证书;生产 DNS/证书未完成前允许 WARN +- 当前问题:`api.txyundm.cn` 返回的证书不应视为 API 域名证书验收通过 ## 微信合法域名 @@ -39,6 +42,5 @@ ## 回滚 -- 上一个配置:无 -- 恢复命令:待生成 - +- 上一个配置:生产未安装 +- 恢复方式:删除或恢复 `/etc/nginx/sites-available/qipai-api.conf`,重新执行 `nginx -t` 和 `systemctl reload nginx` diff --git a/docs/external-dependencies.md b/docs/external-dependencies.md index 143677e..1b47d7c 100644 --- a/docs/external-dependencies.md +++ b/docs/external-dependencies.md @@ -2,8 +2,7 @@ | 编号 | 类型 | 功能 ID | 所需资料 | 当前状态 | Mock 是否完成 | 负责人/来源 | 下一步 | |---|---|---|---|---|---|---|---| -| EXTDEP-001 | Gitea | SCM-001/OPS-002 | `ssh://git@git.txyundm.cn:2222/panda/qipai.git` 访问权限 | 待首次 push 验证 | 不适用 | 用户/Gitea | 首次提交后执行 push 与 `HEAD == origin/main` 校验。 | -| EXTDEP-002 | Ubuntu 服务器 | OPS-001/OPS-004/TLS-001 | Ubuntu 24.04 x86-64、域名、Nginx、证书权限 | 待生产人工执行 | 否 | 用户/服务器 | Codex 仅维护菜单脚本,不自动生产部署。 | +| EXTDEP-001 | Gitea | SCM-001/OPS-002 | `ssh://git@git.txyundm.cn:2222/panda/qipai.git` 访问权限 | 已通过 push 与远端校验;后续持续复检 | 不适用 | 用户/Gitea | 每个模块提交后继续执行 `HEAD == origin/main` 校验。 | +| EXTDEP-002 | Ubuntu 服务器 | OPS-001/OPS-004/TLS-001 | Ubuntu 24.04 x86-64、域名、Nginx、证书权限 | 待生产人工执行;当前 `api.txyundm.cn` 线上证书仍显示 `git.txyundm.cn` | 否 | 用户/服务器 | Codex 仅维护菜单脚本,不自动生产部署;需管理员安装 API 证书和 Nginx 站点。 | | EXTDEP-003 | 硬件 | IOT-001 | EMQX 主机、控制箱、门锁、插座和厂商协议 | 待实机联调 | 否 | 用户/厂商 | 后续 M06 完成适配器和 Mock。 | | EXTDEP-004 | 微信平台 | WXNET-001 | 小程序 AppID、合法域名、真机体验权限 | 待提供/验证 | 否 | 用户/微信公众平台 | M08/M10 验证真机链路。 | - diff --git a/docs/feature-status.md b/docs/feature-status.md index 4dce581..6479c96 100644 --- a/docs/feature-status.md +++ b/docs/feature-status.md @@ -8,9 +8,9 @@ | REF-001 | 参考资料完整纳管 | M00-A | PARTIAL | 本地 HEAD | 已生成哈希清单、脱敏日志、页面地图、接口线索和旧数据库结构清单;含秘密/依赖/真实数据风险的原始包和 SQL 已移出 Git 跟踪。 | 后续仍需按模块生成正式源码/迁移,旧 xjar 需大文件策略。 | 进入 M00-B/M00-C 前继续保持原包忽略和摘要可追溯。 | | SCM-001 | 模块完成即完整推送 | M00-B/M00-C | PARTIAL | 远端 HEAD | 首次 main push 成功,`HEAD == origin/main` 校验通过;推送脚本已生成。 | 后续模块仍需逐次执行并记录。 | 继续完善 M00-C 的 WSL 实际验证和脚本闭环。 | | WSL-001 | WSL 隔离辅助验证 | M00-C | PARTIAL | 本地 HEAD | WSL `check-env.sh`、`check-workspace.sh`、`verify-linux.sh`、`prepare-test-copy.sh`、`cleanup-test-copy.sh` 已执行通过;完整 Linux 依赖构建尚无正式项目可跑。 | 正式后端/后台尚未生成,无法执行完整 Linux 构建。 | M01/M09 生成项目后在 WSL 原生临时副本执行完整构建。 | -| API-001 | 固定 HTTPS API 域名 | M00-E/M01/M08/M10 | TODO | - | - | DNS/HTTPS 生产验证未执行。 | 在部署脚本和代码中统一 `api.txyundm.cn`。 | -| TLS-001 | Nginx 与证书自动化 | M00-E/M10 | TODO | - | - | DNS/80/443 生产验证未执行。 | 补菜单脚本和证书检查。 | -| WXNET-001 | 微信合法域名与真机验证 | M00-E/M08/M10 | TODO | - | - | 微信后台/真机未验证。 | 先完成检查报告模板。 | +| API-001 | 固定 HTTPS API 域名 | M00-E/M01/M08/M10 | PARTIAL | 本轮待提交 | 已新增 Windows 检查脚本、Ubuntu 菜单检查和固定域名 Nginx 模板。 | DNS/HTTPS 生产验证未执行,后端健康接口未生成。 | 后续接入真实后端健康接口并执行 Windows/WSL/Ubuntu/微信真机验证。 | +| TLS-001 | Nginx 与证书自动化 | M00-E/M10 | PARTIAL | 本轮待提交 | 已生成 `deploy/nginx/api.txyundm.cn.conf.template`,菜单第 4 项可检查模板、站点启用、TLS 和健康端点。 | 证书申请/续期、80/443 生产验证未执行。 | 补证书申请/续期 dry-run 和生产 Nginx 安装记录。 | +| WXNET-001 | 微信合法域名与真机验证 | M00-E/M08/M10 | TODO | - | 已补 API 域名报告入口,但未做微信后台或真机验证。 | 微信后台/真机未验证。 | 后续导入小程序后执行合法域名和真机验证。 | | OPS-001 | 固定 `/opt/apps` 目录 | M00-D/M10 | PARTIAL | 本地 HEAD | `scripts/setup/init-layout.sh` 已生成目录布局和 manifest;未在生产 Ubuntu 执行。 | 生产操作未执行。 | 由管理员在 Ubuntu 菜单执行并记录结果。 | | OPS-002 | 单仓库 Gitea 推送与拉取部署 | M00-B/M10 | PARTIAL | 远端 HEAD | Windows 到 Gitea `origin/main` 首次 push 与远端校验通过。 | 生产服务器只读拉取部署尚未验证。 | M00-D/M00-E 继续完善生产拉取、菜单部署和状态检查。 | | OPS-003 | 整仓发布清单 | M00-E/M10 | PARTIAL | 本地 HEAD | `deploy-business.sh` 可生成 dry-run release manifest;正式构建待项目生成。 | 后端/后台尚未生成。 | M01/M09 后接入真实构建结果。 | diff --git a/docs/module-status.md b/docs/module-status.md index fd0582b..09a4e05 100644 --- a/docs/module-status.md +++ b/docs/module-status.md @@ -2,7 +2,7 @@ | 模块 | 状态 | 最近提交 | 最近开发日志 | 备注 | |---|---|---|---|---| -| M00 单仓库与服务器基础骨架 | PARTIAL | 远端 HEAD | docs/devlogs/2026-06-15-M00-A-单仓库基线.md | M00-A/M00-B 基线已推送并校验;M00-C/D/E 仍需继续完善。 | +| M00 单仓库与服务器基础骨架 | PARTIAL | 远端 HEAD;本轮 M00-E 待提交 | docs/devlogs/2026-06-15-M00-A-单仓库基线.md | M00-A/M00-B 基线已推送并校验;M00-C/D/E 持续完善,域名/HTTPS 检查已补模板但生产未验证。 | | M01 后端 API 基础工程 | TODO | - | - | 等 M00 基线完成后开始。 | | M02 登录、租户、权限 | TODO | - | - | - | | M03 门店、房间、价格、营业时间 | TODO | - | - | - | diff --git a/docs/release-manifest.md b/docs/release-manifest.md index 06eb966..0676064 100644 --- a/docs/release-manifest.md +++ b/docs/release-manifest.md @@ -10,3 +10,5 @@ | 数据库迁移 | 未执行 | | 部署结果 | 未部署;生产需管理员人工执行菜单 | | 回滚点 | - | +| Nginx 模板 | `deploy/nginx/api.txyundm.cn.conf.template` | +| 域名/HTTPS 检查 | `setup.sh` 菜单 4、`scripts/dev/windows/check-api-domain.ps1` | diff --git a/docs/repository-map.md b/docs/repository-map.md index 46679e7..63f12c5 100644 --- a/docs/repository-map.md +++ b/docs/repository-map.md @@ -8,6 +8,7 @@ | `miniapp/` | 微信原生小程序 | 必须提交源码,不提交本地缓存 | | `database/` | 数据库迁移和种子 | 必须提交脱敏 SQL | | `deploy/` | 部署版本和说明 | 必须提交 | +| `deploy/nginx/` | API 域名 Nginx 模板 | 必须提交模板,不提交证书 | | `scripts/` | 检查、部署和运维脚本 | 必须提交 | | `docs/` | 状态、日志、变更和验收记录 | 必须提交 | | `docs/reference-page-map.md` | 旧小程序页面脱敏地图 | 必须提交 | diff --git a/docs/unresolved-issues.md b/docs/unresolved-issues.md index 42bbe28..a000b28 100644 --- a/docs/unresolved-issues.md +++ b/docs/unresolved-issues.md @@ -6,3 +6,4 @@ | ISSUE-002 | 2026-06-15 | M00/REF-001 | 参考压缩包已完成隔离初审,但尚未生成可迁移源码摘录。 | 中 | 已生成页面、接口和表结构脱敏摘要。 | 原包含依赖目录、旧域名或敏感配置。 | 后续按模块生成正式小程序/后端/后台代码,不直接复用原包。 | OPEN | | ISSUE-003 | 2026-06-15 | M00/SCM-001 | `git.txyundm.cn:2222` SSH 曾无法完成主机指纹确认和 push。 | 高 | 已保留本地提交并重试。 | 首次连接状态不稳定。 | 已成功 push 并校验 `HEAD == origin/main`;后续模块继续监测。 | RESOLVED | | ISSUE-004 | 2026-06-15 | M00/REF-001 | 多个原始参考包或 SQL 含秘密、依赖目录或旧业务数据,不能直接提交。 | 高 | 原包/原 SQL 移出 Git 跟踪并加入忽略;已生成脱敏页面、接口和表结构摘要。 | 参考资料未预先脱敏。 | 后续仅提交重新实现的正式源码、schema-only 迁移或脱敏摘录。 | OPEN | +| ISSUE-005 | 2026-06-15 | M00-E/TLS-001 | `api.txyundm.cn` 已解析到 `101.42.38.246`,但 WSL 线上 TLS 检查返回证书主题 `CN=git.txyundm.cn`,且 `/health` 不可达。 | 高 | 菜单第 4 项已降级为 WARN 并记录状态,不标记 HTTPS 通过。 | 生产 Nginx/证书/API 健康接口尚未完成或仍复用 Gitea 证书。 | 在 Ubuntu 上安装 API 专用 Nginx 配置和 `api.txyundm.cn` 证书后复测。 | OPEN | diff --git a/scripts/dev/windows/check-api-domain.ps1 b/scripts/dev/windows/check-api-domain.ps1 new file mode 100644 index 0000000..fe96329 --- /dev/null +++ b/scripts/dev/windows/check-api-domain.ps1 @@ -0,0 +1,27 @@ +$ErrorActionPreference = "Stop" + +$Domain = "api.txyundm.cn" +$Origin = "https://$Domain" +$Paths = @( + "/health", + "/app-api/health", + "/admin-api/health" +) + +Write-Host "INFO: checking DNS for $Domain" +try { + Resolve-DnsName -Name $Domain -ErrorAction Stop | Select-Object -First 3 | Format-Table -AutoSize +} catch { + Write-Warning "DNS check failed from Windows: $($_.Exception.Message)" +} + +foreach ($Path in $Paths) { + $Url = "$Origin$Path" + Write-Host "INFO: probing $Url" + try { + $Response = Invoke-WebRequest -Uri $Url -Method Head -TimeoutSec 10 -ErrorAction Stop + Write-Host "PASS: $Url -> $($Response.StatusCode)" + } catch { + Write-Warning "HTTPS probe failed for ${Url}: $($_.Exception.Message)" + } +} diff --git a/scripts/setup/README.md b/scripts/setup/README.md index 631edc8..6840ac5 100644 --- a/scripts/setup/README.md +++ b/scripts/setup/README.md @@ -9,9 +9,10 @@ | `init-layout.sh` | 创建 `/opt/apps` 目录布局并写入 `run/layout.json`。 | | `repo-status.sh` | 检查固定仓库、分支、DIRTY/AHEAD/BEHIND/DIVERGED 状态。 | | `deploy-business.sh` | 克隆/更新仓库并生成 dry-run release manifest。 | +| `domain-https.sh` | 检查固定 API 域名、Nginx 模板、站点启用状态、TLS 和健康端点。 | | `backup.sh` | 生成 manifest-only 备份记录。 | | `restore.sh` | 输出人工恢复要求,不自动改动生产数据。 | | `rollback.sh` | 列出 release 回滚点。 | | `diagnose.sh` | 汇总快检、仓库、磁盘、服务和公开端点。 | -M00 阶段脚本必须保持可重复执行和非破坏性。真实数据库、证书、EMQX ACL、Nginx 写入和 PM2 切换将在后续模块具备配置后继续补全。 +M00 阶段脚本必须保持可重复执行和非破坏性。真实数据库、证书、EMQX ACL、Nginx 自动写入和 PM2 切换将在后续模块具备配置后继续补全。 diff --git a/scripts/setup/domain-https.sh b/scripts/setup/domain-https.sh new file mode 100644 index 0000000..6562d9c --- /dev/null +++ b/scripts/setup/domain-https.sh @@ -0,0 +1,76 @@ +#!/usr/bin/env bash +set -euo pipefail + +SCRIPT_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)" +# shellcheck source=lib.sh +. "${SCRIPT_DIR}/lib.sh" + +qipai_domain_https_status() { + local template_path nginx_available nginx_enabled + template_path="${SCRIPT_DIR}/../../deploy/nginx/api.txyundm.cn.conf.template" + nginx_available="/etc/nginx/sites-available/qipai-api.conf" + nginx_enabled="/etc/nginx/sites-enabled/qipai-api.conf" + + qipai_info "domain: ${QIPAI_DOMAIN}" + qipai_info "origin: ${QIPAI_API_ORIGIN}" + qipai_info "app api: ${QIPAI_API_ORIGIN}/app-api" + qipai_info "admin api: ${QIPAI_API_ORIGIN}/admin-api" + qipai_info "nginx template: ${template_path}" + qipai_info "target nginx config: ${nginx_available}" + + if [ -f "$template_path" ]; then + qipai_pass "nginx template exists" + else + qipai_warn "nginx template not found" + fi + + if command -v getent >/dev/null 2>&1; then + if getent hosts "$QIPAI_DOMAIN" >/dev/null 2>&1; then + qipai_pass "DNS resolves for ${QIPAI_DOMAIN}" + getent hosts "$QIPAI_DOMAIN" | head -3 + else + qipai_warn "DNS does not resolve from this host" + fi + else + qipai_warn "getent not available; DNS check skipped" + fi + + if command -v nginx >/dev/null 2>&1; then + nginx -t && qipai_pass "nginx config test passed" || qipai_warn "nginx config test failed or requires production privileges" + else + qipai_warn "nginx not installed" + fi + + if [ -f "$nginx_available" ]; then + qipai_pass "nginx site file exists: ${nginx_available}" + else + qipai_warn "nginx site file not installed yet" + fi + + if [ -L "$nginx_enabled" ] || [ -f "$nginx_enabled" ]; then + qipai_pass "nginx site enabled: ${nginx_enabled}" + else + qipai_warn "nginx site not enabled yet" + fi + + if command -v openssl >/dev/null 2>&1; then + qipai_info "TLS certificate live check:" + echo | openssl s_client -servername "$QIPAI_DOMAIN" -connect "${QIPAI_DOMAIN}:443" 2>/dev/null | openssl x509 -noout -subject -issuer -dates 2>/dev/null || qipai_warn "live TLS certificate not reachable" + else + qipai_warn "openssl not installed" + fi + + if command -v curl >/dev/null 2>&1; then + qipai_info "health probe: ${QIPAI_API_ORIGIN}/health" + curl -fsSIL --max-time 10 "${QIPAI_API_ORIGIN}/health" >/dev/null 2>&1 && qipai_pass "HTTPS health endpoint reachable" || qipai_warn "HTTPS health endpoint not reachable" + else + qipai_warn "curl not installed" + fi + + qipai_info "manual install command after certificate is ready:" + qipai_info "sudo install -m 0644 ${template_path} ${nginx_available} && sudo ln -sfn ${nginx_available} ${nginx_enabled} && sudo nginx -t && sudo systemctl reload nginx" +} + +if [ "${1:-}" = "--run" ]; then + qipai_domain_https_status +fi diff --git a/scripts/setup/lib.sh b/scripts/setup/lib.sh index 562f76f..5a1ac66 100644 --- a/scripts/setup/lib.sh +++ b/scripts/setup/lib.sh @@ -1,7 +1,7 @@ #!/usr/bin/env bash set -euo pipefail -QIPAI_DEPLOY_VERSION="${QIPAI_DEPLOY_VERSION:-0.1.0-m00-deploy-baseline}" +QIPAI_DEPLOY_VERSION="${QIPAI_DEPLOY_VERSION:-0.1.1-m00-domain-https-check}" APP_ROOT="${APP_ROOT:-/opt/apps}" QIPAI_REPO_URL="${QIPAI_REPO_URL:-ssh://git@127.0.0.1:2222/panda/qipai.git}" QIPAI_PUBLIC_REPO_URL="${QIPAI_PUBLIC_REPO_URL:-ssh://git@git.txyundm.cn:2222/panda/qipai.git}" @@ -90,4 +90,3 @@ qipai_print_context() { qipai_info "branch: ${QIPAI_BRANCH}" qipai_info "api origin: ${QIPAI_API_ORIGIN}" } - diff --git a/setup.sh b/setup.sh index be4de15..f956dc7 100644 --- a/setup.sh +++ b/setup.sh @@ -14,6 +14,8 @@ SETUP_DIR="${SCRIPT_DIR}/scripts/setup" . "${SETUP_DIR}/repo-status.sh" # shellcheck source=scripts/setup/deploy-business.sh . "${SETUP_DIR}/deploy-business.sh" +# shellcheck source=scripts/setup/domain-https.sh +. "${SETUP_DIR}/domain-https.sh" # shellcheck source=scripts/setup/backup.sh . "${SETUP_DIR}/backup.sh" # shellcheck source=scripts/setup/restore.sh @@ -75,18 +77,7 @@ show_mqtt_status() { } show_https_status() { - qipai_info "domain: ${QIPAI_DOMAIN}" - qipai_info "origin: ${QIPAI_API_ORIGIN}" - qipai_info "app api: ${QIPAI_API_ORIGIN}/app-api" - qipai_info "admin api: ${QIPAI_API_ORIGIN}/admin-api" - if command -v nginx >/dev/null 2>&1; then - nginx -t - else - qipai_warn "nginx not installed" - fi - if command -v openssl >/dev/null 2>&1; then - qipai_info "TLS live check requires public DNS/network and is not forced in M00" - fi + qipai_domain_https_status } main_menu() { @@ -125,9 +116,10 @@ if [ "${1:-}" = "--preflight" ]; then qipai_preflight elif [ "${1:-}" = "--status" ]; then show_status +elif [ "${1:-}" = "--https" ]; then + show_https_status elif [ "${1:-}" = "--diagnose" ]; then qipai_diagnose else main_menu "$@" fi -