fix(searxng): Init-Container für Env-Substitution
All checks were successful
Build & Publish Docker Image / build-and-push (push) Successful in 1m17s
All checks were successful
Build & Publish Docker Image / build-and-push (push) Successful in 1m17s
Der entrypoint-Override im vorherigen Commit scheiterte, weil der
erwartete Pfad /usr/local/searxng/dockerfiles/docker-entrypoint.sh im
aktuellen SearXNG-Image (granian-basiert) nicht existiert. Stattdessen
jetzt ein Ein-Shot-Init-Container mit dem gleichen SearXNG-Image:
- searxng-init: liest ./searxng/settings.yml read-only, expandiert
${VAR}-Platzhalter per Python os.path.expandvars, schreibt Ergebnis
auf ein named volume (searxng-config).
- searxng: mountet searxng-config auf /etc/searxng und startet
unverändert mit seinem Original-Entrypoint (kein Pfad-Raten).
- depends_on mit condition: service_completed_successfully → searxng
wartet auf fertigen Init.
settings.yml: secret_key nutzt ${SEARXNG_SECRET} ohne :- default
(Python-expandvars kennt das nicht). Der Default landet als ENV im
Compose.
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
hsiegeln
@@ -30,38 +30,48 @@ services:
|
|||||||
# Explicitly tell Traefik which network to use (since kochwas is on two networks)
|
# Explicitly tell Traefik which network to use (since kochwas is on two networks)
|
||||||
- "traefik.docker.network=traefik_proxy"
|
- "traefik.docker.network=traefik_proxy"
|
||||||
|
|
||||||
searxng:
|
# Ein-Shot-Init: expandiert ${…}-Platzhalter in der Source-settings.yml und
|
||||||
# Absichtlich nur intern erreichbar — keine Traefik-Labels, kein externer Port.
|
# legt das gerenderte File aufs searxng-config Named-Volume. Verwendet das
|
||||||
|
# gleiche SearXNG-Image — bereits gepullt, hat Python 3 an Bord. Kein
|
||||||
|
# zusätzliches Image, kein apk add gettext, kein fragiler entrypoint-Override
|
||||||
|
# am Hauptcontainer. FORCE_OWNERSHIP=false, damit der Init-Container nicht
|
||||||
|
# versucht den chown-Setup zu machen.
|
||||||
|
searxng-init:
|
||||||
image: searxng/searxng:latest
|
image: searxng/searxng:latest
|
||||||
# settings.yml wird read-only gemountet und beim Start in eine beschreib-
|
restart: 'no'
|
||||||
# bare /etc/searxng-Kopie expandiert (${…}-Platzhalter → ENV-Werte),
|
user: root
|
||||||
# damit der Brave-API-Key aus .env eingesetzt werden kann, ohne ihn im
|
|
||||||
# Repo zu pflegen. SearXNG selbst hat kein !env-Tag, daher machen wir
|
|
||||||
# es per Python im Entrypoint-Hook. Das SearXNG-Image hat Python bereits
|
|
||||||
# installiert; envsubst fehlt im Alpine-Base.
|
|
||||||
volumes:
|
|
||||||
- ./searxng:/config-src:ro
|
|
||||||
environment:
|
|
||||||
- BASE_URL=http://searxng:8080/
|
|
||||||
- INSTANCE_NAME=kochwas-search
|
|
||||||
# Brave Search API-Key aus .env (auf dem Pi gepflegt, nicht im Repo).
|
|
||||||
# Leer oder fehlend → brave-Engine antwortet mit 401, andere Engines
|
|
||||||
# laufen normal weiter.
|
|
||||||
- BRAVE_API_KEY=${BRAVE_API_KEY:-}
|
|
||||||
- SEARXNG_SECRET=${SEARXNG_SECRET:-dev-secret-change-in-prod}
|
|
||||||
entrypoint:
|
entrypoint:
|
||||||
- /bin/sh
|
- /bin/sh
|
||||||
- -c
|
- -c
|
||||||
- |
|
- |
|
||||||
set -e
|
set -e
|
||||||
mkdir -p /etc/searxng
|
python3 -c "import os; open('/out/settings.yml','w').write(os.path.expandvars(open('/in/settings.yml').read()))"
|
||||||
python3 -c "import os,sys; sys.stdout.write(os.path.expandvars(open('/config-src/settings.yml').read()))" > /etc/searxng/settings.yml
|
volumes:
|
||||||
exec /usr/local/searxng/dockerfiles/docker-entrypoint.sh "$@"
|
- ./searxng:/in:ro
|
||||||
- --
|
- searxng-config:/out
|
||||||
|
environment:
|
||||||
|
- FORCE_OWNERSHIP=false
|
||||||
|
- BRAVE_API_KEY=${BRAVE_API_KEY:-}
|
||||||
|
- SEARXNG_SECRET=${SEARXNG_SECRET:-dev-secret-change-in-prod}
|
||||||
|
|
||||||
|
searxng:
|
||||||
|
# Absichtlich nur intern erreichbar — keine Traefik-Labels, kein externer Port.
|
||||||
|
image: searxng/searxng:latest
|
||||||
|
volumes:
|
||||||
|
- searxng-config:/etc/searxng
|
||||||
|
environment:
|
||||||
|
- BASE_URL=http://searxng:8080/
|
||||||
|
- INSTANCE_NAME=kochwas-search
|
||||||
|
depends_on:
|
||||||
|
searxng-init:
|
||||||
|
condition: service_completed_successfully
|
||||||
restart: unless-stopped
|
restart: unless-stopped
|
||||||
networks:
|
networks:
|
||||||
- internal
|
- internal
|
||||||
|
|
||||||
|
volumes:
|
||||||
|
searxng-config:
|
||||||
|
|
||||||
networks:
|
networks:
|
||||||
traefik_proxy:
|
traefik_proxy:
|
||||||
# Dasselbe externe Netz wie bei deinem Gitea-Compose.
|
# Dasselbe externe Netz wie bei deinem Gitea-Compose.
|
||||||
|
|||||||
@@ -1,8 +1,9 @@
|
|||||||
use_default_settings: true
|
use_default_settings: true
|
||||||
|
|
||||||
server:
|
server:
|
||||||
# In production override via env (see docker-compose.prod.yml).
|
# Platzhalter wird beim Container-Start per os.path.expandvars aus der
|
||||||
secret_key: ${SEARXNG_SECRET:-dev-secret-change-in-prod}
|
# SEARXNG_SECRET-Env-Variable gesetzt (Default im docker-compose.prod.yml).
|
||||||
|
secret_key: "${SEARXNG_SECRET}"
|
||||||
# Disables rate limiter + bot detection. This is a private internal service
|
# Disables rate limiter + bot detection. This is a private internal service
|
||||||
# called only by kochwas — no public exposure, no abuse risk.
|
# called only by kochwas — no public exposure, no abuse risk.
|
||||||
limiter: false
|
limiter: false
|
||||||
|
|||||||
Reference in New Issue
Block a user