fix(searxng): Init-Container für Env-Substitution
All checks were successful
Build & Publish Docker Image / build-and-push (push) Successful in 1m17s
All checks were successful
Build & Publish Docker Image / build-and-push (push) Successful in 1m17s
Der entrypoint-Override im vorherigen Commit scheiterte, weil der
erwartete Pfad /usr/local/searxng/dockerfiles/docker-entrypoint.sh im
aktuellen SearXNG-Image (granian-basiert) nicht existiert. Stattdessen
jetzt ein Ein-Shot-Init-Container mit dem gleichen SearXNG-Image:
- searxng-init: liest ./searxng/settings.yml read-only, expandiert
${VAR}-Platzhalter per Python os.path.expandvars, schreibt Ergebnis
auf ein named volume (searxng-config).
- searxng: mountet searxng-config auf /etc/searxng und startet
unverändert mit seinem Original-Entrypoint (kein Pfad-Raten).
- depends_on mit condition: service_completed_successfully → searxng
wartet auf fertigen Init.
settings.yml: secret_key nutzt ${SEARXNG_SECRET} ohne :- default
(Python-expandvars kennt das nicht). Der Default landet als ENV im
Compose.
Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
hsiegeln
@@ -30,38 +30,48 @@ services:
|
||||
# Explicitly tell Traefik which network to use (since kochwas is on two networks)
|
||||
- "traefik.docker.network=traefik_proxy"
|
||||
|
||||
searxng:
|
||||
# Absichtlich nur intern erreichbar — keine Traefik-Labels, kein externer Port.
|
||||
# Ein-Shot-Init: expandiert ${…}-Platzhalter in der Source-settings.yml und
|
||||
# legt das gerenderte File aufs searxng-config Named-Volume. Verwendet das
|
||||
# gleiche SearXNG-Image — bereits gepullt, hat Python 3 an Bord. Kein
|
||||
# zusätzliches Image, kein apk add gettext, kein fragiler entrypoint-Override
|
||||
# am Hauptcontainer. FORCE_OWNERSHIP=false, damit der Init-Container nicht
|
||||
# versucht den chown-Setup zu machen.
|
||||
searxng-init:
|
||||
image: searxng/searxng:latest
|
||||
# settings.yml wird read-only gemountet und beim Start in eine beschreib-
|
||||
# bare /etc/searxng-Kopie expandiert (${…}-Platzhalter → ENV-Werte),
|
||||
# damit der Brave-API-Key aus .env eingesetzt werden kann, ohne ihn im
|
||||
# Repo zu pflegen. SearXNG selbst hat kein !env-Tag, daher machen wir
|
||||
# es per Python im Entrypoint-Hook. Das SearXNG-Image hat Python bereits
|
||||
# installiert; envsubst fehlt im Alpine-Base.
|
||||
volumes:
|
||||
- ./searxng:/config-src:ro
|
||||
environment:
|
||||
- BASE_URL=http://searxng:8080/
|
||||
- INSTANCE_NAME=kochwas-search
|
||||
# Brave Search API-Key aus .env (auf dem Pi gepflegt, nicht im Repo).
|
||||
# Leer oder fehlend → brave-Engine antwortet mit 401, andere Engines
|
||||
# laufen normal weiter.
|
||||
- BRAVE_API_KEY=${BRAVE_API_KEY:-}
|
||||
- SEARXNG_SECRET=${SEARXNG_SECRET:-dev-secret-change-in-prod}
|
||||
restart: 'no'
|
||||
user: root
|
||||
entrypoint:
|
||||
- /bin/sh
|
||||
- -c
|
||||
- |
|
||||
set -e
|
||||
mkdir -p /etc/searxng
|
||||
python3 -c "import os,sys; sys.stdout.write(os.path.expandvars(open('/config-src/settings.yml').read()))" > /etc/searxng/settings.yml
|
||||
exec /usr/local/searxng/dockerfiles/docker-entrypoint.sh "$@"
|
||||
- --
|
||||
python3 -c "import os; open('/out/settings.yml','w').write(os.path.expandvars(open('/in/settings.yml').read()))"
|
||||
volumes:
|
||||
- ./searxng:/in:ro
|
||||
- searxng-config:/out
|
||||
environment:
|
||||
- FORCE_OWNERSHIP=false
|
||||
- BRAVE_API_KEY=${BRAVE_API_KEY:-}
|
||||
- SEARXNG_SECRET=${SEARXNG_SECRET:-dev-secret-change-in-prod}
|
||||
|
||||
searxng:
|
||||
# Absichtlich nur intern erreichbar — keine Traefik-Labels, kein externer Port.
|
||||
image: searxng/searxng:latest
|
||||
volumes:
|
||||
- searxng-config:/etc/searxng
|
||||
environment:
|
||||
- BASE_URL=http://searxng:8080/
|
||||
- INSTANCE_NAME=kochwas-search
|
||||
depends_on:
|
||||
searxng-init:
|
||||
condition: service_completed_successfully
|
||||
restart: unless-stopped
|
||||
networks:
|
||||
- internal
|
||||
|
||||
volumes:
|
||||
searxng-config:
|
||||
|
||||
networks:
|
||||
traefik_proxy:
|
||||
# Dasselbe externe Netz wie bei deinem Gitea-Compose.
|
||||
|
||||
@@ -1,8 +1,9 @@
|
||||
use_default_settings: true
|
||||
|
||||
server:
|
||||
# In production override via env (see docker-compose.prod.yml).
|
||||
secret_key: ${SEARXNG_SECRET:-dev-secret-change-in-prod}
|
||||
# Platzhalter wird beim Container-Start per os.path.expandvars aus der
|
||||
# SEARXNG_SECRET-Env-Variable gesetzt (Default im docker-compose.prod.yml).
|
||||
secret_key: "${SEARXNG_SECRET}"
|
||||
# Disables rate limiter + bot detection. This is a private internal service
|
||||
# called only by kochwas — no public exposure, no abuse risk.
|
||||
limiter: false
|
||||
|
||||
Reference in New Issue
Block a user