chore(release): bump version to 1.3.3

.env.docker

@@ -0,0 +1,13 @@
+# Dummy environment for Docker build stage
+# These values are only needed so Next.js can compile during docker build
+# Runtime values are injected via docker-compose environment
+DATABASE_URL=postgresql://lageplan:lageplan_secret@db:5432/lageplan
+NEXTAUTH_URL=http://localhost:3000
+NEXTAUTH_SECRET=build-time-secret-not-used-at-runtime
+MINIO_ENDPOINT=minio
+MINIO_PORT=9000
+MINIO_ACCESS_KEY=minioadmin
+MINIO_SECRET_KEY=minioadmin123
+MINIO_BUCKET=lageplan-icons
+MINIO_USE_SSL=false
+MINIO_PUBLIC_URL=http://localhost:9000

.env.example

@@ -27,3 +27,8 @@ MINIO_PUBLIC_URL=http://localhost:9002
 # Web App
 WEB_PORT=3000
 NODE_ENV=development
+
+# --- CI/CD / Registry (nur für Portainer Deployment) ---
+# Gitea Registry Login für Watchtower (automatische Image-Updates)
+GITEA_REGISTRY_USER=adminpepe
+GITEA_REGISTRY_PASS=dein_gitea_token_oder_passwort

.gitea/workflows/deploy.yml

@@ -0,0 +1,46 @@
+name: Build and Push Docker Image
+
+on:
+  push:
+    branches:
+      - main
+      - master
+  workflow_dispatch:
+
+env:
+  REGISTRY: git.purepixel.ch
+  IMAGE: git.purepixel.ch/adminpepe/lageplan
+
+jobs:
+  build-and-push:
+    runs-on: ubuntu-latest
+    steps:
+      - name: Checkout
+        uses: actions/checkout@v4
+
+      - name: Set up Docker Buildx
+        uses: docker/setup-buildx-action@v3
+
+      - name: Log in to Gitea Container Registry
+        uses: docker/login-action@v3
+        with:
+          registry: ${{ env.REGISTRY }}
+          username: ${{ secrets.REGISTRY_USER }}
+          password: ${{ secrets.REGISTRY_TOKEN }}
+
+      - name: Extract metadata
+        id: meta
+        uses: docker/metadata-action@v5
+        with:
+          images: ${{ env.IMAGE }}
+          tags: |
+            type=raw,value=latest
+            type=sha,prefix=,suffix=,format=short
+
+      - name: Build and push
+        uses: docker/build-push-action@v5
+        with:
+          context: .
+          push: true
+          tags: ${{ steps.meta.outputs.tags }}
+          labels: ${{ steps.meta.outputs.labels }}

.gitignore

@@ -58,4 +58,3 @@ Reglement_*/
 
 # Stack env (contains secrets)
 stack.env
-.env.docker

Dockerfile

@@ -26,34 +26,37 @@ RUN npm run build
 # Stage 3: Runner
 FROM node:20-alpine AS runner
 RUN apk add --no-cache openssl
-WORKDIR /app
 
 ENV NODE_ENV production
 ENV NEXT_TELEMETRY_DISABLED 1
 
-RUN addgroup --system --gid 1001 nodejs
+RUN addgroup --system --gid 1001 nodejs && \
-RUN adduser --system --uid 1001 nextjs
+    adduser --system --uid 1001 nextjs
 
-COPY --from=builder /app/public ./public
+WORKDIR /app
-COPY --from=builder /app/.next/standalone ./
+# Fast: only chown the /app directory itself, not recursively
-COPY --from=builder /app/.next/static ./.next/static
+RUN chown nextjs:nodejs /app
-COPY --from=builder /app/.env ./.env
-COPY --from=builder /app/prisma ./prisma
-COPY --from=builder /app/node_modules/.prisma ./node_modules/.prisma
-COPY --from=builder /app/node_modules/prisma ./node_modules/prisma
-COPY --from=builder /app/node_modules/@prisma ./node_modules/@prisma
-COPY --from=builder /app/node_modules/.bin/prisma ./node_modules/.bin/prisma
-COPY --from=builder /app/node_modules/bcryptjs ./node_modules/bcryptjs
-COPY --from=builder /app/node_modules/stripe ./node_modules/stripe
-COPY --from=builder /app/package.json ./package.json
-RUN npm install --omit=dev --legacy-peer-deps socket.io@4.7.4 @react-pdf/renderer@4.3.2 qrcode@1.5.4 --no-save
-COPY server-custom.js ./server-custom.js
-COPY docker-entrypoint.sh ./docker-entrypoint.sh
-
-RUN chown -R nextjs:nodejs /app/node_modules
 
 USER nextjs
 
+# Install only the unbundled runtime deps needed by the custom server.
+# Running as USER nextjs means files are already correctly owned — no slow chown -R needed afterwards.
+RUN npm install --omit=dev --legacy-peer-deps socket.io@4.7.4 @react-pdf/renderer@4.3.2 qrcode@1.5.4 --no-save
+
+COPY --chown=nextjs:nodejs --from=builder /app/public ./public
+COPY --chown=nextjs:nodejs --from=builder /app/.next/standalone ./
+COPY --chown=nextjs:nodejs --from=builder /app/.next/static ./.next/static
+COPY --chown=nextjs:nodejs --from=builder /app/.env ./.env
+COPY --chown=nextjs:nodejs --from=builder /app/prisma ./prisma
+COPY --chown=nextjs:nodejs --from=builder /app/node_modules/.prisma ./node_modules/.prisma
+COPY --chown=nextjs:nodejs --from=builder /app/node_modules/prisma ./node_modules/prisma
+COPY --chown=nextjs:nodejs --from=builder /app/node_modules/@prisma ./node_modules/@prisma
+COPY --chown=nextjs:nodejs --from=builder /app/node_modules/bcryptjs ./node_modules/bcryptjs
+COPY --chown=nextjs:nodejs --from=builder /app/node_modules/stripe ./node_modules/stripe
+COPY --chown=nextjs:nodejs --from=builder /app/package.json ./package.json
+COPY --chown=nextjs:nodejs server-custom.js ./server-custom.js
+COPY --chown=nextjs:nodejs docker-entrypoint.sh ./docker-entrypoint.sh
+
 EXPOSE 3000
 ENV PORT 3000
 ENV HOSTNAME "0.0.0.0"

deploy/README.md

@@ -1,102 +1,168 @@
-# Lageplan — Portainer Deployment
+# Lageplan — CI/CD & Portainer Deployment
 
-## Architektur
+## Übersicht
 
 ```
-Browser → :3000 (Web App) → intern: db:5432, minio:9000
+┌─────────────┐     Push      ┌─────────────────┐     Build + Push     ┌─────────────────┐
+│   Dein PC   │ ────────────► │  Gitea (git)    │ ──────────────────► │ Gitea Registry  │
+│  (VS Code)  │               │  git.purepixel  │                     │  (Docker Image) │
+└─────────────┘               └─────────────────┘                     └────────┬────────┘
+                                                                             │
+                                                                             │ Pull
+                                                                             ▼
+                                                                      ┌─────────────────┐
+                                                                      │   Portainer     │
+                                                                      │  (Stack Deploy) │
+                                                                      └─────────────────┘
 ```
 
-Nur **ein Port (3000)** muss exponiert werden. DB und MinIO laufen rein intern im Docker-Netzwerk. Icons werden über die Web-App gestreamt — kein direkter MinIO-Zugriff nötig.
+1. **Push auf `main`** → Gitea Actions baut Docker Image
+2. **Image wird gepusht** → Gitea Container Registry (`git.purepixel.ch`)
+3. **Watchtower (in Portainer)** → prüft alle 60s auf neue Images und startet Container neu
 
 ---
 
-## Dateien
+## Voraussetzungen
 
-| Datei | Beschreibung |
+- Gitea läuft mit Container Registry aktiviert
-|-------|-------------|
+- Gitea Actions Runner ist registriert (`deploy/docker-compose.runner.yml`)
-| `lageplan-web-v1.0.0.tar` | Docker Image (~92 MB) |
+- Portainer Stack ist deployed mit korrekten Environment-Variablen
-| `portainer-stack.yml` | Stack YAML für Portainer |
-| `.env.example` | Environment Variables Vorlage |
 
 ---
 
-## Schritt 1: Image auf Server laden
+## Schritt 1: Gitea Container Registry aktivieren
 
-```bash
+In Gitea:
-# Kopieren
+1. **Admin-Konsole** → **Konfiguration** → **Pakete**
-scp lageplan-web-v1.0.0.tar user@server:/tmp/
+2. **Container Registry** auf `Aktiviert` setzen
+3. Speichern
 
-# Auf dem Server laden
+Oder direkt in der `app.ini`:
-docker load -i /tmp/lageplan-web-v1.0.0.tar
+```ini
+[packages]
+ENABLED = true
 
-# Prüfen
+[package.container_registry]
-docker images | grep lageplan
+ENABLED = true
 ```
 
 ---
 
-## Schritt 2: Stack in Portainer erstellen
+## Schritt 2: Gitea Actions Runner registrieren
+
+1. In Gitea: **Admin** → **Actions** → **Runners** → **Neuen Runner erstellen**
+2. Token kopieren
+3. In Portainer: Stack `gitea-runner` deployen mit [`deploy/docker-compose.runner.yml`](docker-compose.runner.yml)
+4. Environment Variable `RUNNER_TOKEN` = das kopierte Token
+
+---
+
+## Schritt 3: Gitea Access Token erstellen
+
+Das CI/CD Workflow braucht einen Token um Images in die Registry zu pushen:
+
+1. Gitea → **Einstellungen** → **Anwendungen** → **Token erstellen**
+2. Name: `registry-push`
+3. Berechtigungen: `package:write` (mindestens)
+4. Token kopieren und als **Repository Secret** hinterlegen:
+   - Repo → **Einstellungen** → **Secrets** → **Neues Secret**
+   - Name: `GITEA_TOKEN`
+   - Wert: das kopierte Token
+
+---
+
+## Schritt 4: Portainer Stack deployen
 
 1. **Portainer** → `Stacks` → `+ Add stack`
 2. **Name**: `lageplan`
-3. **Web editor**: Inhalt von `portainer-stack.yml` einfügen
+3. **Build method**: `Repository`
-4. **Environment variables** setzen:
+4. **Git-URL**: `https://git.purepixel.ch/adminpepe/Lageplan.git`
+5. **Compose path**: `docker-compose.portainer.yml`
+6. **GitOps updates**: ✅ Aktivieren
+7. **Mechanism**: `Webhook`
+8. **Webhook URL kopieren** (für später)
 
-| Variable | Wert |
+### Environment Variables setzen:
-|----------|------|
-| `POSTGRES_USER` | `lageplan` |
-| `POSTGRES_PASSWORD` | *(sicheres Passwort)* |
-| `POSTGRES_DB` | `lageplan` |
-| `MINIO_ROOT_USER` | `minioadmin` |
-| `MINIO_ROOT_PASSWORD` | *(sicheres Passwort)* |
-| `MINIO_BUCKET` | `lageplan-icons` |
-| `WEB_PORT` | `3000` |
-| `NEXTAUTH_URL` | `http://SERVER_IP:3000` |
-| `NEXTAUTH_SECRET` | *(langer zufälliger String)* |
 
-> **Tipp**: Secret generieren: `openssl rand -base64 32`
+| Variable | Wert | Beschreibung |
+|----------|------|-------------|
+| `POSTGRES_USER` | `lageplan` | DB User |
+| `POSTGRES_PASSWORD` | *(sicheres Passwort)* | DB Passwort |
+| `POSTGRES_DB` | `lageplan` | DB Name |
+| `NEXTAUTH_URL` | `https://lageplan.ch` | Deine Domain |
+| `NEXTAUTH_SECRET` | *(openssl rand -base64 32)* | Auth Secret |
+| `MINIO_ROOT_USER` | `minioadmin` | MinIO User |
+| `MINIO_ROOT_PASSWORD` | *(sicheres Passwort)* | MinIO Passwort |
+| `MINIO_BUCKET` | `lageplan-icons` | Bucket Name |
+| `MINIO_PUBLIC_URL` | `https://s3.deinedomain.ch` | MinIO externe URL |
+| `GITEA_REGISTRY_USER` | `adminpepe` | Gitea User für Watchtower |
+| `GITEA_REGISTRY_PASS` | *(Token oder Passwort)* | Gitea Passwort/Token |
 
-5. **Deploy the stack**
+9. **Deploy the stack**
 
 ---
 
-## Schritt 3: Datenbank initialisieren (einmalig)
+## Schritt 5: Webhook in Gitea eintragen
 
-In Portainer: Container `web` → Console → `/bin/sh`:
+Damit Portainer bei jedem Push automatisch neu deployed:
 
-```bash
+1. Gitea Repo → **Einstellungen** → **Webhooks** → **Neuer Webhook** → `Gitea`
-npx prisma db push
+2. **Ziel-URL**: Die kopierte Portainer Webhook URL
-npx prisma db seed
+3. **HTTP-Methode**: `POST`
-```
+4. **Trigger**: Nur `Push events` (oder auch `Branch filter: main`)
-
+5. **Webhook aktivieren** → Hinzufügen
-Oder per SSH:
-
-```bash
-docker exec -it lageplan-web-1 npx prisma db push
-docker exec -it lageplan-web-1 npx prisma db seed
-```
 
 ---
 
-## Schritt 4: Zugriff
+## Schritt 6: Erstes Deployment testen
 
-- **Web App**: `http://SERVER_IP:3000`
+1. Lokal einen Push auf `main` machen:
-- **Login**: `admin@lageplan.local` / `admin123`
+   ```bash
+   git add .
+   git commit -m "Test CI/CD"
+   git push origin main
+   ```
+2. In Gitea: **Actions** Tab → Build-Job sollte laufen
+3. Wenn grün → Image wurde in Registry gepusht
+4. Watchtower (in Portainer) holt neues Image innerhalb von 60s
+5. App ist unter `NEXTAUTH_URL` erreichbar
 
 ---
 
-## Update
+## Troubleshooting
 
+### Gitea Actions startet nicht
+- Prüfen ob Runner registriert ist: Gitea → Admin → Actions → Runners
+- Runner muss `Idle` oder `Active` zeigen
+
+### Image Push schlägt fehl (401 Unauthorized)
+- `GITEA_TOKEN` Secret im Repo korrekt hinterlegt?
+- Token hat Berechtigung `package:write`?
+- Registry in Gitea aktiviert?
+
+### Watchtower zieht kein neues Image
+- `GITEA_REGISTRY_USER` und `GITEA_REGISTRY_PASS` in Portainer gesetzt?
+- Image-Name in `docker-compose.portainer.yml` korrekt?
+- Watchtower Logs prüfen: Portainer → Container `watchtower` → Logs
+
+### App startet nicht / DB-Fehler
+- Environment Variables in Portainer korrekt?
+- `DATABASE_URL` wird automatisch gebaut, nur `POSTGRES_*` muss gesetzt werden
+- Bei erstem Start: Prisma Migrations/Seed im Web-Container ausführen:
+  ```bash
+  docker exec -it lageplan-web-1 npx prisma db push
+  docker exec -it lageplan-web-1 npx prisma db seed
+  ```
+
+---
+
+## Manuelles Update (falls nötig)
+
+Wenn Watchtower mal nicht greift:
 ```bash
-# Lokal: neues Image bauen + exportieren
+# Auf dem Portainer-Host
-docker compose build web
+docker pull git.purepixel.ch/adminpepe/lageplan:latest
-docker tag lageplan-web:latest lageplan-web:v1.1.0
+docker compose -f docker-compose.portainer.yml up -d web
-docker save lageplan-web:v1.1.0 -o deploy/lageplan-web-v1.1.0.tar
-
-# Server: laden
-docker load -i lageplan-web-v1.1.0.tar
-
-# Portainer: Stack → Editor → Image-Tag ändern → Update the stack
 ```
 
 ---

deploy/docker-compose.runner.yml

@@ -0,0 +1,23 @@
+##############################################
+# Gitea Actions Runner — Portainer Stack
+#
+# In Portainer deployen:
+#   1. Stacks → Add Stack → "gitea-runner"
+#   2. Diese YAML einfügen
+#   3. Deploy
+##############################################
+
+services:
+  runner:
+    image: gitea/act_runner:latest
+    restart: unless-stopped
+    environment:
+      GITEA_INSTANCE_URL: https://git.purepixel.ch
+      GITEA_RUNNER_REGISTRATION_TOKEN: ${RUNNER_TOKEN}
+      GITEA_RUNNER_NAME: lageplan-runner
+    volumes:
+      - /var/run/docker.sock:/var/run/docker.sock
+      - runner_data:/data
+
+volumes:
+  runner_data:

deploy/portainer.env

@@ -7,3 +7,8 @@ MINIO_BUCKET=lageplan-icons
 WEB_PORT=3000
 NEXTAUTH_URL=http://SERVER_IP:3000
 NEXTAUTH_SECRET=HIER_LANGEN_ZUFAELLIGEN_STRING_GENERIEREN
+MINIO_PUBLIC_URL=http://SERVER_IP:9000
+
+# Gitea Registry Auth für Watchtower (automatische Image-Updates)
+GITEA_REGISTRY_USER=adminpepe
+GITEA_REGISTRY_PASS=HIER_GITEA_TOKEN_ODER_PASSWORT_SETZEN

docker-compose.gitea.yml

@@ -1,5 +1,5 @@
 ##############################################
-# Gitea — Lightweight Git Server
+# Gitea — Lightweight Git Server + Container Registry
 #
 # Verwendung in Portainer:
 #   1. Stacks → Add Stack → "Gitea"
@@ -12,6 +12,10 @@
 #   3. Repository "lageplan" erstellen
 #   4. Vom PC aus: git init → git remote add origin → git push
 #
+# Container Registry aktivieren:
+#   1. Gitea Admin → Konfiguration → Pakete → Container Registry aktivieren
+#   2. Oder app.ini: [packages] ENABLED = true
+#
 # Daten werden in gitea_data persistiert.
 ##############################################
 
@@ -27,6 +31,9 @@ services:
       - GITEA__server__ROOT_URL=https://git.purepixel.ch
       - GITEA__server__HTTP_PORT=3000
       - GITEA__server__LFS_START_SERVER=true
+      # Container Registry aktivieren
+      - GITEA__packages__ENABLED=true
+      - GITEA__package__container_registry__ENABLED=true
     volumes:
       - gitea_data:/data
       - /etc/timezone:/etc/timezone:ro
@@ -43,4 +50,3 @@ volumes:
 networks:
   lageplan_lageplan-net:
     external: true
-

docker-compose.portainer.yml

@@ -1,21 +1,29 @@
 ##############################################
-# Lageplan — Portainer Stack Configuration
+# Lageplan — Portainer Stack (Auto-Deploy)
 #
-# Verwendung in Portainer:
+# Setup in Portainer:
-#   1. Stacks → Add Stack
+#   1. Stacks → Add Stack → "Repository"
-#   2. "Upload" oder diesen Inhalt einfügen
+#   2. Git-URL: https://git.purepixel.ch/adminpepe/Lageplan.git
-#   3. Environment-Variablen setzen (siehe unten)
+#   3. Compose-Pfad: docker-compose.portainer.yml
-#   4. Deploy
+#   4. "GitOps updates" aktivieren + Webhook kopieren
+#   5. Webhook in Gitea eintragen (Repo → Einstellungen → Webhooks)
+#   6. Environment-Variablen setzen (siehe unten)
+#   7. Deploy
+#
+# Danach: Push auf main → Gitea Actions baut Image →
+#         Portainer Webhook/Watchtower holt neues Image
 #
 # Benötigte Environment-Variablen:
 #   POSTGRES_USER        (default: lageplan)
 #   POSTGRES_PASSWORD     (ÄNDERN!)
 #   POSTGRES_DB          (default: lageplan)
 #   NEXTAUTH_SECRET      (ÄNDERN! — z.B. openssl rand -base64 32)
-#   NEXTAUTH_URL         (z.B. https://lageplan.example.com)
+#   NEXTAUTH_URL         (z.B. https://lageplan.ch)
 #   MINIO_ROOT_USER      (default: minioadmin)
 #   MINIO_ROOT_PASSWORD  (ÄNDERN!)
 #   MINIO_PUBLIC_URL     (z.B. https://s3.example.com)
+#   GITEA_REGISTRY_USER  (für Watchtower Registry-Auth)
+#   GITEA_REGISTRY_PASS  (für Watchtower Registry-Auth)
 ##############################################
 
 services:
@@ -76,8 +84,9 @@ services:
       - lageplan
 
   # ─── Lageplan Web App ──────────────────────
+  # Image kommt aus Gitea Container Registry (gebaut via Gitea Actions)
   web:
-    image: 192.168.1.183:3100/adminpepe/lageplan:latest
+    image: git.purepixel.ch/adminpepe/lageplan:latest
     restart: unless-stopped
     environment:
       DATABASE_URL: postgresql://${POSTGRES_USER:-lageplan}:${POSTGRES_PASSWORD:-lageplan_secret}@db:5432/${POSTGRES_DB:-lageplan}
@@ -100,6 +109,22 @@ services:
     networks:
       - lageplan
 
+  # ─── Watchtower (Auto-Restart bei neuen Images) ─
+  watchtower:
+    image: containrrr/watchtower
+    restart: unless-stopped
+    volumes:
+      - /var/run/docker.sock:/var/run/docker.sock
+    environment:
+      WATCHTOWER_POLL_INTERVAL: 60
+      WATCHTOWER_CLEANUP: "true"
+      WATCHTOWER_LABEL_ENABLE: "false"
+      # Gitea Registry Auth
+      REPO_USER: ${GITEA_REGISTRY_USER}
+      REPO_PASS: ${GITEA_REGISTRY_PASS}
+    networks:
+      - lageplan
+
 volumes:
   postgres_data:
   minio_data:

package.json

@@ -1,6 +1,6 @@
 {
   "name": "lageplan",
-  "version": "1.3.2",
+  "version": "1.3.3",
   "description": "Feuerwehr Lageplan - Krokier-App für Einsatzdokumentation",
   "private": true,
   "scripts": {