d6ab90c810
## 🔴 CRITIQUES 1. Suppression du secret hardcodé du Dockerfile (KEYCLOAK_CLIENT_SECRET) Les secrets doivent maintenant être injectés via Kubernetes Secrets 2. Configuration TLS sécurisée par défaut - quarkus.oidc.tls.verification=required (au lieu de 'none') - Prévient les attaques Man-in-the-Middle - 'none' reste disponible uniquement en développement local ## 🟠 MAJEURES - Ajout de annotationProcessorPaths pour Lombok dans maven-compiler-plugin Assure la génération correcte des getters/setters/builders ## 📋 Contexte Suite à l'audit de sécurité AUDIT_INTEGRAL_COMPLET_2025.md Score avant: 5.6/10 - NE PAS DÉPLOYER EN PRODUCTION Problèmes critiques identifiés et corrigés ## ⚠️ ACTION REQUISE Créer le Kubernetes Secret avant déploiement: kubectl create secret generic unionflow-client-secrets \ --namespace=applications \ --from-literal=keycloak-client-secret='...' Voir: kubernetes/secrets/README.md 🤖 Generated with Claude Code
61 lines
1.7 KiB
Docker
61 lines
1.7 KiB
Docker
####
|
|
# Dockerfile pour UnionFlow Client - Compatible lionsctl
|
|
# Utilise l'uber-jar pré-compilé par Maven
|
|
####
|
|
|
|
FROM eclipse-temurin:17-jre-alpine
|
|
|
|
ENV LANGUAGE='en_US:en'
|
|
|
|
# Configuration Quarkus
|
|
ENV QUARKUS_PROFILE=prod
|
|
ENV QUARKUS_HTTP_PORT=8080
|
|
ENV QUARKUS_HTTP_HOST=0.0.0.0
|
|
|
|
# Configuration Backend UnionFlow
|
|
ENV UNIONFLOW_BACKEND_URL=https://lions.dev/unionflow
|
|
|
|
# Configuration Keycloak OIDC
|
|
# IMPORTANT: Les secrets doivent être injectés via Kubernetes Secrets au runtime
|
|
ENV KEYCLOAK_AUTH_SERVER_URL=https://security.lions.dev/realms/unionflow
|
|
# ENV KEYCLOAK_CLIENT_SECRET will be injected via Kubernetes Secret
|
|
|
|
# Créer l'utilisateur appuser
|
|
RUN addgroup -g 185 appuser && adduser -D -u 185 -G appuser appuser
|
|
|
|
# Installer curl pour health checks
|
|
RUN apk add --no-cache curl
|
|
|
|
# Créer les répertoires nécessaires
|
|
RUN mkdir -p /app/logs /app/storage && chown -R appuser:appuser /app
|
|
|
|
WORKDIR /app
|
|
|
|
# Copier l'uber-jar depuis target/
|
|
COPY --chown=appuser:appuser target/*-runner.jar /app/app.jar
|
|
|
|
USER appuser
|
|
|
|
# Exposer le port 8080
|
|
EXPOSE 8080
|
|
|
|
# Variables JVM optimisées
|
|
ENV JAVA_OPTS="-Xmx1g -Xms512m \
|
|
-XX:+UseG1GC \
|
|
-XX:MaxGCPauseMillis=200 \
|
|
-XX:+UseStringDeduplication \
|
|
-XX:+HeapDumpOnOutOfMemoryError \
|
|
-XX:HeapDumpPath=/app/logs/heapdump.hprof \
|
|
-Djava.security.egd=file:/dev/./urandom \
|
|
-Djava.awt.headless=true \
|
|
-Dfile.encoding=UTF-8 \
|
|
-Djava.util.logging.manager=org.jboss.logmanager.LogManager \
|
|
-Dquarkus.profile=${QUARKUS_PROFILE}"
|
|
|
|
# Point d'entrée
|
|
ENTRYPOINT ["sh", "-c", "exec java $JAVA_OPTS -jar /app/app.jar"]
|
|
|
|
# Health check sur le bon port
|
|
HEALTHCHECK --interval=30s --timeout=10s --start-period=120s --retries=3 \
|
|
CMD curl -f http://localhost:8080/q/health/ready || exit 1
|