Update Zora configuration: add detailed runbook, reassign ai-stack to CT 120, and improve infrastructure documentation

.gitea/workflows/docker-publish.yaml

@@ -90,12 +90,20 @@ jobs:
       # Pangolin-Bypass: Credentials direkt in config.json schreiben.
       # Kein "docker login" → kein Daemon-Ping → kein HTTPS-Fehler.
       # BuildKit liest ~/.docker/config.json und verwendet diese Credentials beim Push.
-      - name: Registry-Credentials konfigurieren (kein Daemon-Kontakt)
-        run: |
-          mkdir -p ~/.docker
-          AUTH=$(echo -n "${{ secrets.REGISTRY_USER }}:${{ secrets.REGISTRY_TOKEN }}" | base64 -w 0)
-          printf '{"auths":{"%s":{"auth":"%s"}}}\n' "${{ env.REGISTRY_INTERNAL }}" "${AUTH}" > ~/.docker/config.json
-          echo "✓ Credentials für ${{ env.REGISTRY_INTERNAL }} gespeichert"
+#      - name: Registry-Credentials konfigurieren (kein Daemon-Kontakt)
+#        run: |
+#          mkdir -p ~/.docker
+#          AUTH=$(echo -n "${{ secrets.REGISTRY_USER }}:${{ secrets.REGISTRY_TOKEN }}" | base64 -w 0)
+#          printf '{"auths":{"%s":{"auth":"%s"}}}\n' "${{ env.REGISTRY_INTERNAL }}" "${AUTH}" > ~/.docker/config.json
+#          echo "✓ Credentials für ${{ env.REGISTRY_INTERNAL }} gespeichert"
+
+      # NEU (sauber, nach daemon.json-Fix):
+      - name: Login to Gitea Registry
+        uses: docker/login-action@v3
+        with:
+          registry: ${{ env.REGISTRY_INTERNAL }}
+          username: ${{ secrets.REGISTRY_USER }}
+          password: ${{ secrets.REGISTRY_TOKEN }}
 
       # BuildKit-Instanz mit HTTP-Unterstützung für die interne Registry konfigurieren.
       # KEIN sudo, KEIN systemctl, KEIN Neustart — rein konfigurativ.