from: VPS Claude topic: Public Docker stack — prereqs (NS + Cloudflare DNS token + DNS records) priority: high date: 2026-05-12T10:30:37Z ref: gcp-audit-2026-05-12 (паралельний трек)

Передумови для public Docker stack — допоможи закрити

Контекст

Архітектурне рішення Сергія 2026-05-12: публічні сервіси (med-detective × 4, biogaia-story, brocken-3d × 2, proflex-game, webhook'и) переносимо у окремий Docker stack на VPS + Cloudflare proxy (orange cloud) перед ним.

Це безкоштовно (на відміну від GCP), дає DDoS захист, TLS, кешинг, приховує реальний IP. VPS Claude паралельно готує всю Docker-частину (~4 години роботи), але стартонути HTTPS не може без передумов нижче.

Чому Desktop: ці кроки потребують браузера під логіном Сергія (Hostiq + Cloudflare). VPS Claude не має VNC/браузерного доступу під Сергієм. Сергій сам не хоче клікати — каже «передай локальному Клоду».

Що зробити (3 task'и)

Task 1 — Hostiq NS → Cloudflare (5 хв + 24h propagation)

Context: домен deltamedicalservices.online куплений 2026-05-05, доданий як site у Cloudflare, але NS досі на Hostiq (dns1.hostiq.ua, dns2.hostiq.ua). Без NS на Cloudflare ми не можемо створювати subdomains і керувати proxy.

Що зробити:

1. Логін у Hostiq кабінет (Сергій'ів акк, credentials у passepartout якщо потрібно — /srv/passepartout/domains/)
2. Перейти у домени → deltamedicalservices.online → DNS / Name Servers
3. Змінити NS на Cloudflare:

   alice.ns.cloudflare.com
   jonah.ns.cloudflare.com
   

4. Зберегти
5. Підтвердження: Cloudflare через ~24h пришле Сергію email «Your site is active»

Перевірка з твого боку:

dig NS deltamedicalservices.online
# Має повернути alice.ns.cloudflare.com + jonah.ns.cloudflare.com

Task 2 — Cloudflare DNS API token (2 хв)

Context: Caddy у public Docker stack буде робити automatic Let's Encrypt сертифікати через DNS-01 challenge (бо HTTP-01 не працює коли orange cloud активний). Для цього потрібен Cloudflare API token з вузьким scope.

Що зробити:

1. Cloudflare dashboard → My Profile (правий верхній) → API Tokens → Create Token
2. Шаблон: Edit zone DNS (offered template)
3. Permissions: Zone:DNS:Edit
4. Zone Resources: Include — Specific zone — deltamedicalservices.online
5. (Optional) TTL: 1 рік
6. Create → скопіювати токен (показується один раз)
7. Зберегти у VPS:

   ssh root@31.131.26.203 'cat > /srv/passepartout/cloudflare/dns-edit-token.txt' <<< "ТОКЕН_ТУТ"
   ssh root@31.131.26.203 'chmod 600 /srv/passepartout/cloudflare/dns-edit-token.txt'
   

8. Створити .meta поряд:

   ssh root@31.131.26.203 'cat > /srv/passepartout/cloudflare/dns-edit-token.txt.meta' <<EOF
   what: Cloudflare API token для Caddy DNS-01 ACME challenge
   scope: Zone:DNS:Edit для deltamedicalservices.online
   issued_at: 2026-05-12
   issued_by: Desktop Claude (від імені Сергія)
   used_by: /srv/public-stack/caddy (через CLOUDFLARE_API_TOKEN env)
   rotate_if: leak / TTL expire / scope change
   EOF
   

Task 3 — DNS records у Cloudflare (10 хв, після Task 1)

Context: після NS-propagation треба створити subdomain-и для всіх публічних сервісів. Кожний — A record на VPS IP з orange cloud (proxy).

Subdomain map:

Webhook subdomain-и (теж публічні, без auth — для OAuth callbacks):

Internal subdomain (приватне, з basic_auth + Cloudflare Access у майбутньому):

Як створювати у UI:

• Cloudflare dashboard → deltamedicalservices.online → DNS → Records → Add Record
• Type: A, Name: medetective (без full FQDN), Target: 31.131.26.203, Proxy: enabled (orange)
• Повторити для кожного

Альтернативно через API (швидше — bash one-liner): можеш зробити через curl + DNS token, але UI наочніше.

Bonus (опційно) — Cloudflare security tuning

Якщо є 5 додаткових хвилин:

• SSL/TLS → Full (strict) — Cloudflare → VPS теж шифрує. Caddy на VPS буде валідним cert через DNS-01.
• SSL/TLS → Edge Certificates → Always Use HTTPS: ON
• Security → Bot Fight Mode: ON (free)
• Security → DDoS: Sensitivity Medium (default OK)
• Rules → Rate Limiting: створити правило для всіх subdomains: 100 req/min per IP (free tier дозволяє 10 правил)

Чого НЕ робити

• ❌ Не створювати CNAME, тільки A records (бо ми direct IP)
• ❌ Не вимикати orange cloud на жодному subdomain — ми ховаємо реальний IP
• ❌ Не змінювати root A record @ чи * без узгодження з Сергієм
• ❌ Не видаляти n8n.31-131-26-203.nip.io legacy A record поки n8n не мігрує
• ❌ SSL → Flexible — це слабо, треба Full (strict)

Після виконання — як підтвердити

Кинь у inbox-from-desktop файл read-{TS}-public-stack-prereqs.md з:

1. Чек-лист 3 task'ів (✅/❌ або «в процесі»)
2. Якщо Task 1 ще пропагується — дата коли запустив, очікувана дата активації
3. Шлях де лежить DNS token на VPS (підтвердження)
4. Список створених DNS records (8 продакт + 2 webhook + 1 internal = 11 шт)
5. Будь-які блокери (Hostiq UI глюк, Cloudflare account проблема, тощо)

VPS Claude підхопить після цього і запустить:

• /srv/public-stack/ готовий чекає
• Caddy public stack з DNS-01 ACME
• Pilot: med-detective-test переключається на новий subdomain
• Backwards-compat redirects на 30 днів

Cross-references

• Domain meta: /srv/passepartout/domains/deltamedicalservices.online.meta
• Cloudflare credentials: /srv/passepartout/cloudflare/ (workers-edit + rescue-auth — є; dns-edit — нема, ти створиш)
• Hostiq логін: passepartout (Сергій'ів акк)
• Wiki Caddy сторінка: /srv/wiki/integrations/google-cloud.md (треба буде створити окрему wiki для cloudflare/public-stack — це VPS-Claude'а робота після)
• Decision log запис: 2026-05-12 [security/posture] (буде доповнено після завершення)
• Контекст: попередня розмова з Сергієм у Telegram 2026-05-12 ~10:00-10:30 UTC