chore(ci): Align GH Workflows with Docker SSoT, new paths; minimal SSoT guard; staticAnalysis (#23)

* chore(MP-21): snapshot pre-refactor state (Epic 1) * chore(MP-22): scaffold new repo structure, relocate Docker Compose, move frontend/backend modules, update Makefile; add docs mapping and env template * MP-22 Epic 2: Erfolgreich umgesetzt und verifiziert * MP-23 Epic 3: Gradle/Build Governance zentralisieren * MP-23 Epic 3: Gradle/Build Governance zentralisieren * chore(devops)!: Docker-SSoT (.env) konsolidiert, Compose-Mounts ergänzt, Makefile entfernt - ENV Single Source of Truth - docker/.env.example neu (inkl. REDIS_PASSWORD, Ports, Build-Overrides) - config/.env(.example) als DEPRECATED markiert (Verweis auf docker/.env[.example]) - Docker Compose vereinheitlicht (docker/docker-compose.yaml) - Postgres: zentralen postgresql.conf mounten (../config/postgres/postgresql.conf) und Start mit -c config_file=/etc/postgresql/postgresql.conf - Redis: zentralen redis.conf mounten (../config/redis/redis.conf) und Start via "redis-server … ${REDIS_PASSWORD:+--requirepass $REDIS_PASSWORD}" - Web-Nginx: ../config/nginx/nginx.prod.conf → /etc/nginx/nginx.conf (ro) - Monitoring: Prometheus/Grafana nutzen ../config/monitoring/* als SSoT - Frontend/DI/Network (MP-23 Grundlage) - :frontend:core:network Modul mit Koin `apiClient` (Ktor + JSON/Retry/Timeout/Logging) - Plattform-Basis-URL-Auflösung (JVM: ENV API_BASE_URL; JS: globalThis.API_BASE_URL / Same-Origin) - Web index.html setzt API_BASE_URL (Query `?apiBaseUrl=…` > Same-Origin > Fallback) - Build/Gradle & Module-Refs - settings.gradle.kts: neue Frontend-/Backend-Pfade bereits inkludiert - Features/Shell: Abhängigkeiten auf :frontend:shared / :frontend:core:* angepasst - Ping-API-Refs auf :backend:services:ping:ping-api vereinheitlicht - Dockerfiles angepasst - backend/infrastructure/gateway/Dockerfile → Tasks/Pfade auf :backend:gateway - backend/services/ping/Dockerfile → Tasks/Pfade auf :backend:services:ping:ping-service - Static Analysis / Guards - config/detekt/detekt.yml hinzugefügt - Leichter Arch-Guard (Frontend) gegen manuelle Authorization-Header vorbereitet - Doku - docs/ARCHITECTURE.md (Struktur, Mapping, Next Steps) ergänzt - docs/adr/README.md angelegt BREAKING CHANGES: - Makefile komplett entfernt (bitte direkt `docker compose` verwenden) - ENV-Quelle ist jetzt docker/.env (statt config/.env oder Root) - Compose-Datei unter docker/docker-compose.yaml (nicht mehr compose.yaml im Repo-Root) Verifikation (lokal): - ENV anlegen: `cp docker/.env.example docker/.env` (Werte anpassen) - Compose prüfen: `docker compose --env-file docker/.env -f docker/docker-compose.yaml config` - Infrastruktur: `docker compose --env-file docker/.env -f docker/docker-compose.yaml -p meldestelle up -d postgres redis keycloak web-app` - Services bauen: `docker compose --env-file docker/.env -f docker/docker-compose.yaml -p meldestelle build api-gateway ping-service --no-cache --progress=plain` Refs: MP-22 (Epic 2), MP-23 (Epic 3) * chore(devops)!: Docker-SSoT (.env) konsolidiert, Compose-Mounts ergänzt, Makefile entfernt - ENV Single Source of Truth - docker/.env.example neu (inkl. REDIS_PASSWORD, Ports, Build-Overrides) - config/.env(.example) als DEPRECATED markiert (Verweis auf docker/.env[.example]) - Docker Compose vereinheitlicht (docker/docker-compose.yaml) - Postgres: zentralen postgresql.conf mounten (../config/postgres/postgresql.conf) und Start mit -c config_file=/etc/postgresql/postgresql.conf - Redis: zentralen redis.conf mounten (../config/redis/redis.conf) und Start via "redis-server … ${REDIS_PASSWORD:+--requirepass $REDIS_PASSWORD}" - Web-Nginx: ../config/nginx/nginx.prod.conf → /etc/nginx/nginx.conf (ro) - Monitoring: Prometheus/Grafana nutzen ../config/monitoring/* als SSoT - Frontend/DI/Network (MP-23 Grundlage) - :frontend:core:network Modul mit Koin `apiClient` (Ktor + JSON/Retry/Timeout/Logging) - Plattform-Basis-URL-Auflösung (JVM: ENV API_BASE_URL; JS: globalThis.API_BASE_URL / Same-Origin) - Web index.html setzt API_BASE_URL (Query `?apiBaseUrl=…` > Same-Origin > Fallback) - Build/Gradle & Module-Refs - settings.gradle.kts: neue Frontend-/Backend-Pfade bereits inkludiert - Features/Shell: Abhängigkeiten auf :frontend:shared / :frontend:core:* angepasst - Ping-API-Refs auf :backend:services:ping:ping-api vereinheitlicht - Dockerfiles angepasst - backend/infrastructure/gateway/Dockerfile → Tasks/Pfade auf :backend:gateway - backend/services/ping/Dockerfile → Tasks/Pfade auf :backend:services:ping:ping-service - Static Analysis / Guards - config/detekt/detekt.yml hinzugefügt - Leichter Arch-Guard (Frontend) gegen manuelle Authorization-Header vorbereitet - Doku - docs/ARCHITECTURE.md (Struktur, Mapping, Next Steps) ergänzt - docs/adr/README.md angelegt BREAKING CHANGES: - Makefile komplett entfernt (bitte direkt `docker compose` verwenden) - ENV-Quelle ist jetzt docker/.env (statt config/.env oder Root) - Compose-Datei unter docker/docker-compose.yaml (nicht mehr compose.yaml im Repo-Root) Verifikation (lokal): - ENV anlegen: `cp docker/.env.example docker/.env` (Werte anpassen) - Compose prüfen: `docker compose --env-file docker/.env -f docker/docker-compose.yaml config` - Infrastruktur: `docker compose --env-file docker/.env -f docker/docker-compose.yaml -p meldestelle up -d postgres redis keycloak web-app` - Services bauen: `docker compose --env-file docker/.env -f docker/docker-compose.yaml -p meldestelle build api-gateway ping-service --no-cache --progress=plain` Refs: MP-22 (Epic 2), MP-23 (Epic 3) * chore(devops)!: Docker-SSoT (.env) konsolidiert, Compose-Mounts ergänzt, Makefile entfernt - ENV Single Source of Truth - docker/.env.example neu (inkl. REDIS_PASSWORD, Ports, Build-Overrides) - config/.env(.example) als DEPRECATED markiert (Verweis auf docker/.env[.example]) - Docker Compose vereinheitlicht (docker/docker-compose.yaml) - Postgres: zentralen postgresql.conf mounten (../config/postgres/postgresql.conf) und Start mit -c config_file=/etc/postgresql/postgresql.conf - Redis: zentralen redis.conf mounten (../config/redis/redis.conf) und Start via "redis-server … ${REDIS_PASSWORD:+--requirepass $REDIS_PASSWORD}" - Web-Nginx: ../config/nginx/nginx.prod.conf → /etc/nginx/nginx.conf (ro) - Monitoring: Prometheus/Grafana nutzen ../config/monitoring/* als SSoT - Frontend/DI/Network (MP-23 Grundlage) - :frontend:core:network Modul mit Koin `apiClient` (Ktor + JSON/Retry/Timeout/Logging) - Plattform-Basis-URL-Auflösung (JVM: ENV API_BASE_URL; JS: globalThis.API_BASE_URL / Same-Origin) - Web index.html setzt API_BASE_URL (Query `?apiBaseUrl=…` > Same-Origin > Fallback) - Build/Gradle & Module-Refs - settings.gradle.kts: neue Frontend-/Backend-Pfade bereits inkludiert - Features/Shell: Abhängigkeiten auf :frontend:shared / :frontend:core:* angepasst - Ping-API-Refs auf :backend:services:ping:ping-api vereinheitlicht - Dockerfiles angepasst - backend/infrastructure/gateway/Dockerfile → Tasks/Pfade auf :backend:gateway - backend/services/ping/Dockerfile → Tasks/Pfade auf :backend:services:ping:ping-service - Static Analysis / Guards - config/detekt/detekt.yml hinzugefügt - Leichter Arch-Guard (Frontend) gegen manuelle Authorization-Header vorbereitet - Doku - docs/ARCHITECTURE.md (Struktur, Mapping, Next Steps) ergänzt - docs/adr/README.md angelegt BREAKING CHANGES: - Makefile komplett entfernt (bitte direkt `docker compose` verwenden) - ENV-Quelle ist jetzt docker/.env (statt config/.env oder Root) - Compose-Datei unter docker/docker-compose.yaml (nicht mehr compose.yaml im Repo-Root) Verifikation (lokal): - ENV anlegen: `cp docker/.env.example docker/.env` (Werte anpassen) - Compose prüfen: `docker compose --env-file docker/.env -f docker/docker-compose.yaml config` - Infrastruktur: `docker compose --env-file docker/.env -f docker/docker-compose.yaml -p meldestelle up -d postgres redis keycloak web-app` - Services bauen: `docker compose --env-file docker/.env -f docker/docker-compose.yaml -p meldestelle build api-gateway ping-service --no-cache --progress=plain` Refs: MP-22 (Epic 2), MP-23 (Epic 3) * chore(ci): Workflows an Docker-SSoT & neue Struktur angepasst, minimaler SSoT-Guard - ssot-guard.yml: Option B (minimal) → `docker compose -f docker/docker-compose.yaml config` als Lint - integration-tests.yml: `./gradlew staticAnalysis` vor Integrationstests - docs-kdoc-sync.yml: Dokka-Task Fallback (dokkaGfmAll || dokkaGfm), YouTrack-Sync nur wenn Script vorhanden - deploy-proxmox.yml: Compose-Pfade auf docker/docker-compose.yaml + `--env-file docker/.env`; Build/Test Schritte vereinheitlicht - ci-main.yml: SSoT-Skripte per `if: hashFiles(...)` guarded, Compose-Lint Fallback; OpenAPI‑Pfad → backend/gateway; ADR‑Pfade → docs/adr/**; `staticAnalysis` in Build integriert - youtrack-sync.yml: unverändert (funktional) Refs: MP-22, MP-23 * chore(ci): Workflows an Docker-SSoT & neue Struktur angepasst, minimaler SSoT-Guard - ssot-guard.yml: Option B (minimal) → `docker compose -f docker/docker-compose.yaml config` als Lint - integration-tests.yml: `./gradlew staticAnalysis` vor Integrationstests - docs-kdoc-sync.yml: Dokka-Task Fallback (dokkaGfmAll || dokkaGfm), YouTrack-Sync nur wenn Script vorhanden - deploy-proxmox.yml: Compose-Pfade auf docker/docker-compose.yaml + `--env-file docker/.env`; Build/Test Schritte vereinheitlicht - ci-main.yml: SSoT-Skripte per `if: hashFiles(...)` guarded, Compose-Lint Fallback; OpenAPI‑Pfad → backend/gateway; ADR‑Pfade → docs/adr/**; `staticAnalysis` in Build integriert - youtrack-sync.yml: unverändert (funktional) Refs: MP-22, MP-23 * fix(ci): create .env from example before validating compose config * fix(ci): update ssot-guard filename (.yaml) and sync workflow state * fixing * fix(webpack): correct sql.js fallback configuration for webpack 5
2025-12-03 12:03:40 +01:00
parent 034892e890
commit 95fe3e0573
365 changed files with 2283 additions and 15142 deletions
@@ -0,0 +1,94 @@
+# ===================================================================
+# Multi-Stage Dockerfile für Meldestelle Desktop-App (VNC)
+# ===================================================================
+
+# ===================================================================
+# Stage 1: Build Stage - Kotlin Desktop-App kompilieren
+# ===================================================================
+FROM gradle:8-jdk21-alpine AS builder
+
+WORKDIR /app
+
+# Kopiere Gradle-Konfiguration und Wrapper
+COPY build.gradle.kts settings.gradle.kts gradle.properties ./
+COPY gradle ./gradle
+COPY gradlew ./
+
+# Kopiere alle notwendigen Module für Multi-Modul-Projekt
+COPY frontend ./frontend
+COPY backend ./backend
+COPY core ./core
+COPY domains ./domains
+COPY platform ./platform
+COPY docs ./docs
+
+# Setze Gradle-Wrapper Berechtigung
+RUN chmod +x ./gradlew
+
+# Dependencies downloaden (für besseres Caching)
+RUN ./gradlew :frontend:shells:meldestelle-portal:dependencies --no-configure-on-demand
+
+# Desktop-App kompilieren (createDistributable für native Distribution)
+RUN ./gradlew :frontend:shells:meldestelle-portal:createDistributable --no-configure-on-demand
+
+# ===================================================================
+# Stage 2: Runtime Stage - Ubuntu mit VNC + noVNC
+# ===================================================================
+FROM ubuntu:22.04
+
+# Verhindere interaktive Installationen
+ENV DEBIAN_FRONTEND=noninteractive
+
+# Installiere System-Dependencies
+RUN apt-get update && apt-get install -y \
+    openjdk-21-jdk \
+    xvfb \
+    x11vnc \
+    novnc \
+    websockify \
+    xfce4 \
+    xfce4-goodies \
+    curl \
+    wget \
+    unzip \
+    supervisor \
+    && rm -rf /var/lib/apt/lists/*
+
+# Arbeitsverzeichnis
+WORKDIR /app
+
+# Kopiere kompilierte Desktop-App von Build-Stage
+COPY --from=builder /app/frontend/shells/meldestelle-portal/build/compose/binaries/main/desktop/ ./desktop-app/
+
+# Kopiere Scripts
+COPY dockerfiles/clients/desktop-app/entrypoint.sh /entrypoint.sh
+COPY dockerfiles/clients/desktop-app/health-check.sh /opt/health-check.sh
+COPY dockerfiles/clients/desktop-app/supervisord.conf /etc/supervisor/conf.d/supervisord.conf
+
+# Setze Permissions
+RUN chmod +x /entrypoint.sh /opt/health-check.sh
+
+# Erstelle VNC-User
+RUN useradd -m -s /bin/bash vncuser && \
+    mkdir -p /home/vncuser/.vnc && \
+    chown -R vncuser:vncuser /home/vncuser && \
+    chown -R vncuser:vncuser /app
+
+# VNC und noVNC Ports
+EXPOSE 5901 6080
+
+# Environment Variables
+ENV DISPLAY=:99
+ENV VNC_PORT=5901
+ENV NOVNC_PORT=6080
+ENV API_BASE_URL=http://api-gateway:8081
+
+# Health-Check
+HEALTHCHECK --interval=30s --timeout=10s --start-period=60s --retries=3 \
+    CMD /opt/health-check.sh
+
+# User wechseln
+USER vncuser
+
+# Entrypoint
+ENTRYPOINT ["/entrypoint.sh"]
@@ -0,0 +1,104 @@
+#!/bin/bash
+# ===================================================================
+# Entrypoint-Script für Meldestelle Desktop-App (VNC)
+# ===================================================================
+
+set -e
+
+# Logging-Funktion
+log() {
+    echo "[$(date '+%Y-%m-%d %H:%M:%S')] $1"
+}
+
+log "Starting Meldestelle Desktop-App VNC Container..."
+
+# Environment-Variablen setzen
+export DISPLAY=${DISPLAY:-:99}
+export VNC_PORT=${VNC_PORT:-5901}
+export NOVNC_PORT=${NOVNC_PORT:-6080}
+export API_BASE_URL=${API_BASE_URL:-http://api-gateway:8081}
+
+log "Environment:"
+log "  DISPLAY: $DISPLAY"
+log "  VNC_PORT: $VNC_PORT"
+log "  NOVNC_PORT: $NOVNC_PORT"
+log "  API_BASE_URL: $API_BASE_URL"
+
+# Erstelle .Xauthority wenn nicht vorhanden
+touch /home/vncuser/.Xauthority
+
+# 1. Starte X11 Virtual Display (Xvfb)
+log "Starting Xvfb on display $DISPLAY..."
+Xvfb $DISPLAY -screen 0 1280x1024x24 -ac +extension GLX +render -noreset &
+XVFB_PID=$!
+
+# Warte bis X11 bereit ist
+sleep 3
+
+# 2. Starte Desktop Environment (XFCE4)
+log "Starting XFCE4 desktop environment..."
+startxfce4 &
+XFCE_PID=$!
+
+# Warte bis Desktop bereit ist
+sleep 5
+
+# 3. Starte VNC Server
+log "Starting VNC server on port $VNC_PORT..."
+x11vnc -display $DISPLAY -forever -usepw -create -rfbport $VNC_PORT -nopw -shared -bg
+VNC_PID=$!
+
+# 4. Starte noVNC Web Interface
+log "Starting noVNC web interface on port $NOVNC_PORT..."
+websockify --web=/usr/share/novnc/ $NOVNC_PORT localhost:$VNC_PORT &
+NOVNC_PID=$!
+
+# 5. Warte bis Services bereit sind
+sleep 10
+
+# 6. Starte Desktop-App
+log "Starting Meldestelle Desktop-App..."
+cd /app/desktop-app
+export API_BASE_URL=$API_BASE_URL
+
+# Finde die ausführbare Datei
+if [ -f "client/bin/client" ]; then
+    DESKTOP_APP="client/bin/client"
+elif [ -f "bin/client" ]; then
+    DESKTOP_APP="bin/client"
+elif [ -f "client" ]; then
+    DESKTOP_APP="client"
+else
+    log "ERROR: Desktop-App executable not found!"
+    log "Contents of /app/desktop-app:"
+    ls -la /app/desktop-app/
+    exit 1
+fi
+
+log "Found desktop app: $DESKTOP_APP"
+chmod +x "$DESKTOP_APP"
+
+# Starte Desktop-App
+./"$DESKTOP_APP" &
+APP_PID=$!
+
+log "All services started successfully!"
+log "VNC: vnc://localhost:$VNC_PORT"
+log "noVNC: http://localhost:$NOVNC_PORT/vnc.html"
+
+# Cleanup-Funktion
+cleanup() {
+    log "Shutting down services..."
+    kill $APP_PID 2>/dev/null || true
+    kill $NOVNC_PID 2>/dev/null || true
+    kill $VNC_PID 2>/dev/null || true
+    kill $XFCE_PID 2>/dev/null || true
+    kill $XVFB_PID 2>/dev/null || true
+    exit 0
+}
+
+# Signal-Handler
+trap cleanup SIGTERM SIGINT
+
+# Warten auf Prozesse
+wait $APP_PID
@@ -0,0 +1,63 @@
+#!/bin/bash
+# ===================================================================
+# Health-Check-Script für Meldestelle Desktop-App (VNC)
+# ===================================================================
+
+set -e
+
+# Environment-Variablen
+VNC_PORT=${VNC_PORT:-5901}
+NOVNC_PORT=${NOVNC_PORT:-6080}
+DISPLAY=${DISPLAY:-:99}
+
+# Logging-Funktion
+log() {
+    echo "[HEALTH] $1"
+}
+
+# 1. Überprüfe X11 Display
+if ! xdpyinfo -display $DISPLAY >/dev/null 2>&1; then
+    log "ERROR: X11 display $DISPLAY is not running"
+    exit 1
+fi
+log "✓ X11 display $DISPLAY is running"
+
+# 2. Überprüfe VNC Server
+if ! netstat -ln | grep -q ":$VNC_PORT "; then
+    log "ERROR: VNC server is not listening on port $VNC_PORT"
+    exit 1
+fi
+log "✓ VNC server is running on port $VNC_PORT"
+
+# 3. Überprüfe noVNC Web Interface
+if ! curl -f -s "http://localhost:$NOVNC_PORT/" > /dev/null 2>&1; then
+    log "ERROR: noVNC web interface is not responding on port $NOVNC_PORT"
+    exit 1
+fi
+log "✓ noVNC web interface is running on port $NOVNC_PORT"
+
+# 4. Überprüfe ob Desktop-App läuft (optional, da sie crashen könnte)
+if pgrep -f "client" >/dev/null 2>&1; then
+    log "✓ Desktop-App is running"
+else
+    log "⚠ Desktop-App is not running (may have crashed or not started yet)"
+    # Nicht als Fehler behandeln, da die App crashen könnte
+fi
+
+# 5. Überprüfe Xvfb
+if ! pgrep -f "Xvfb" >/dev/null 2>&1; then
+    log "ERROR: Xvfb is not running"
+    exit 1
+fi
+log "✓ Xvfb is running"
+
+# 6. Überprüfe XFCE4
+if ! pgrep -f "xfce4" >/dev/null 2>&1; then
+    log "WARNING: XFCE4 desktop might not be running"
+    # Nicht als kritischer Fehler behandeln
+else
+    log "✓ XFCE4 desktop environment is running"
+fi
+
+log "All critical services are healthy"
+exit 0
@@ -0,0 +1,54 @@
+[supervisord]
+nodaemon=true
+user=root
+logfile=/var/log/supervisor/supervisord.log
+pidfile=/var/run/supervisord.pid
+
+[program:xvfb]
+command=Xvfb :99 -screen 0 1280x1024x24 -ac +extension GLX +render -noreset
+user=vncuser
+autostart=true
+autorestart=true
+priority=100
+stdout_logfile=/var/log/supervisor/xvfb.log
+stderr_logfile=/var/log/supervisor/xvfb.log
+
+[program:xfce4]
+command=startxfce4
+user=vncuser
+environment=DISPLAY=":99"
+autostart=true
+autorestart=true
+priority=200
+stdout_logfile=/var/log/supervisor/xfce4.log
+stderr_logfile=/var/log/supervisor/xfce4.log
+
+[program:vnc]
+command=x11vnc -display :99 -forever -usepw -create -rfbport 5901 -nopw -shared
+user=vncuser
+environment=DISPLAY=":99"
+autostart=true
+autorestart=true
+priority=300
+stdout_logfile=/var/log/supervisor/vnc.log
+stderr_logfile=/var/log/supervisor/vnc.log
+
+[program:novnc]
+command=websockify --web=/usr/share/novnc/ 6080 localhost:5901
+user=vncuser
+autostart=true
+autorestart=true
+priority=400
+stdout_logfile=/var/log/supervisor/novnc.log
+stderr_logfile=/var/log/supervisor/novnc.log
+
+[program:desktop-app]
+command=/app/desktop-app/client/bin/client
+user=vncuser
+environment=DISPLAY=":99",API_BASE_URL="http://api-gateway:8081"
+directory=/app/desktop-app
+autostart=true
+autorestart=false
+priority=500
+stdout_logfile=/var/log/supervisor/desktop-app.log
+stderr_logfile=/var/log/supervisor/desktop-app.log
@@ -0,0 +1,83 @@
+# ===================================================================
+# Multi-Stage Dockerfile für Meldestelle Web-App (Kotlin/JS)
+# ===================================================================
+
+# ===================================================================
+# Stage 1: Build Stage - Kotlin/JS kompilieren
+# ===================================================================
+# Build args (build-time only)
+ARG GRADLE_VERSION
+ARG JAVA_VERSION
+ARG NODE_VERSION
+ARG NGINX_IMAGE_TAG=1.28.0-alpine
+# Toggle build profile: dev (default) or prod
+ARG WEB_BUILD_PROFILE=dev
+FROM gradle:${GRADLE_VERSION}-jdk${JAVA_VERSION} AS builder
+
+# Install Node.js (version aligned with versions.toml)
+# Derive major version from NODE_VERSION (e.g., 22.21.0 -> setup_22.x)
+RUN apt-get update && apt-get install -y curl && \
+    NODE_MAJOR=$(echo "$NODE_VERSION" | cut -d. -f1) && \
+    curl -fsSL "https://deb.nodesource.com/setup_${NODE_MAJOR}.x" | bash - && \
+    apt-get install -y nodejs && \
+    rm -rf /var/lib/apt/lists/*
+
+WORKDIR /app
+
+# Kopiere Gradle-Konfiguration und Wrapper
+COPY build.gradle.kts settings.gradle.kts gradle.properties ./
+COPY gradle ./gradle
+COPY gradlew ./
+
+# Kopiere alle notwendigen Module für Multi-Modul-Projekt
+COPY frontend ./frontend
+COPY backend ./backend
+COPY core ./core
+COPY domains ./domains
+COPY platform ./platform
+COPY docs ./docs
+
+# Setze Gradle-Wrapper Berechtigung
+RUN chmod +x ./gradlew
+
+# Dependencies downloaden (für besseres Caching)
+RUN ./gradlew :frontend:shells:meldestelle-portal:dependencies --no-configure-on-demand
+
+# Kotlin/JS Web-App kompilieren (Profil wählbar über WEB_BUILD_PROFILE)
+# - dev  → jsBrowserDevelopmentExecutable (schneller, Source Maps)
+# - prod → jsBrowserDistribution (minifiziert, optimiert)
+RUN if [ "$WEB_BUILD_PROFILE" = "prod" ]; then \
+      ./gradlew :frontend:shells:meldestelle-portal:jsBrowserDistribution --no-configure-on-demand -Pproduction=true; \
+      mkdir -p /app/web-dist && cp -r frontend/shells/meldestelle-portal/build/dist/js/productionExecutable/* /app/web-dist/; \
+    else \
+      ./gradlew :frontend:shells:meldestelle-portal:jsBrowserDevelopmentExecutable --no-configure-on-demand; \
+      mkdir -p /app/web-dist && cp -r frontend/shells/meldestelle-portal/build/dist/js/developmentExecutable/* /app/web-dist/; \
+    fi
+
+# ===================================================================
+# Stage 2: Runtime Stage - Nginx für Static Files + API Proxy
+# ===================================================================
+# Build arg controls runtime base image tag (declared globally to allow usage in FROM)
+FROM nginx:${NGINX_IMAGE_TAG}
+
+# Installiere curl für Health-Checks
+RUN apk add --no-cache curl
+
+# Kopiere kompilierte Web-App von Build-Stage (vereinheitlichtes Ausgabeverzeichnis)
+COPY --from=builder /app/web-dist/ /usr/share/nginx/html/
+
+# Kopiere Nginx-Konfiguration
+COPY dockerfiles/clients/web-app/nginx.conf /etc/nginx/nginx.conf
+
+# Exponiere Port 4000 (statt Standard 80)
+EXPOSE 4000
+
+# Downloads (Platzhalter) ausliefern lassen
+COPY dockerfiles/clients/web-app/downloads/ /usr/share/nginx/html/downloads/
+
+# Health-Check für Container
+HEALTHCHECK --interval=30s --timeout=10s --start-period=30s --retries=3 \
+    CMD curl -f http://localhost:4000/ || exit 1
+
+# Starte Nginx
+CMD ["nginx", "-g", "daemon off;"]
@@ -0,0 +1,30 @@
+<!doctype html>
+<html lang="de">
+  <head>
+    <meta charset="utf-8" />
+    <meta name="viewport" content="width=device-width, initial-scale=1" />
+    <title>Meldestelle – Desktop Downloads (Platzhalter)</title>
+    <style>
+      body { font-family: system-ui, -apple-system, Segoe UI, Roboto, Ubuntu, Cantarell, 'Helvetica Neue', Arial, 'Noto Sans', 'Liberation Sans', sans-serif; margin: 2rem; }
+      h1 { margin-bottom: .25rem; }
+      .muted { color: #666; }
+      ul { line-height: 1.8; }
+      .card { border: 1px solid #e5e7eb; border-radius: 8px; padding: 1rem 1.25rem; max-width: 720px; }
+    </style>
+  </head>
+  <body>
+    <h1>Desktop Downloads</h1>
+    <p class="muted">Platzhalter-Verzeichnis. Hier können zukünftig Installer/Archive der Desktop-App bereitgestellt werden.</p>
+    <div class="card">
+      <p>Lege deine Dateien in dieses Verzeichnis im Repository:</p>
+      <pre><code>dockerfiles/clients/web-app/downloads/</code></pre>
+      <p>Oder mounte in Docker Compose ein Host-Verzeichnis auf <code>/usr/share/nginx/html/downloads</code>.</p>
+      <p>Beispiele (geplant):</p>
+      <ul>
+        <li>Meldestelle-Setup-1.0.0.msi (Windows)</li>
+        <li>Meldestelle-1.0.0.dmg (macOS)</li>
+        <li>Meldestelle-1.0.0.deb (Linux)</li>
+      </ul>
+    </div>
+  </body>
+  </html>
@@ -0,0 +1,101 @@
+# ===================================================================
+# Nginx-Konfiguration für Meldestelle Web-App
+# Static Files + API Proxy zu Gateway
+# ===================================================================
+
+# Worker-Prozesse (konfigurierbar über NGINX_WORKER_PROCESSES)
+worker_processes auto;
+
+events {
+    worker_connections 1024;
+    use epoll;
+    multi_accept on;
+}
+
+http {
+    include /etc/nginx/mime.types;
+    default_type application/octet-stream;
+
+    # Logging
+    access_log /var/log/nginx/access.log;
+    error_log /var/log/nginx/error.log;
+
+    # Performance Optimizations
+    sendfile on;
+    tcp_nopush on;
+    tcp_nodelay on;
+    keepalive_timeout 65;
+    types_hash_max_size 2048;
+
+    # Gzip Kompression für bessere Performance
+    gzip on;
+    gzip_vary on;
+    gzip_min_length 1024;
+    gzip_comp_level 6;
+    gzip_types
+        text/plain
+        text/css
+        text/xml
+        text/javascript
+        application/javascript
+        application/xml+rss
+        application/json
+        application/wasm;
+
+    # Upstream für API Gateway
+    upstream api-gateway {
+        server api-gateway:8081;
+    }
+
+    # Server-Block für Web-App
+    server {
+        listen 4000;
+        server_name localhost;
+        root /usr/share/nginx/html;
+        index index.html;
+
+        # Serve static files (Kotlin/JS compiled files)
+        location / {
+            try_files $uri $uri/ /index.html;
+
+            # Cache-Headers für statische Assets
+            location ~* \.(js|css|png|jpg|jpeg|gif|ico|svg|woff|woff2|ttf|eot)$ {
+                expires 1y;
+                add_header Cache-Control "public, immutable";
+            }
+
+            # WASM Files mit korrektem MIME-Type
+            location ~* \.wasm$ {
+                add_header Content-Type application/wasm;
+                expires 1y;
+                add_header Cache-Control "public, immutable";
+            }
+        }
+
+        # Proxy API calls zu Gateway
+        location /api/ {
+            proxy_pass http://api-gateway;
+            proxy_set_header Host $host;
+            proxy_set_header X-Real-IP $remote_addr;
+            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
+            proxy_set_header X-Forwarded-Proto $scheme;
+
+            # CORS Headers für API-Calls
+            add_header Access-Control-Allow-Origin *;
+            add_header Access-Control-Allow-Methods "GET, POST, PUT, DELETE, OPTIONS";
+            add_header Access-Control-Allow-Headers "Content-Type, Authorization";
+
+            # Handle preflight requests
+            if ($request_method = 'OPTIONS') {
+                return 204;
+            }
+        }
+
+        # Health-Check Endpoint
+        location /health {
+            access_log off;
+            return 200 "healthy\n";
+            add_header Content-Type text/plain;
+        }
+    }
+}