Konfigurace
PgArachne načítá konfiguraci z proměnných prostředí nebo ze souboru.
Note:
Proxy uživatel (
schema.sql se pokusí vytvořit roli pgarachne_admin a přiřadit ji roli pgarachne. Bez superuser práv se vytvoření přeskočí. V tom případě vytvořte roli a nastavte grant ručně.Proxy uživatel (
DB_USER) musí být členem pgarachne a pgarachne_admin, aby mohl ověřovat a vytvářet API tokeny.Bezpečnostní poznámka: PgArachne nepracuje s hesly k databázi v konfiguračním souboru.
Pro autentizaci spoléhá na standardní mechanismus PostgreSQL souboru
.pgpass (nebo
systémovou proměnnou PGPASSWORD).Tip: Pokud běží PgArachne za reverse proxy, nastavte
TRUSTED_PROXIES, aby se správně určovala IP klienta a nešlo obejít rate limiting.Pořadí hledání: Pokud není konfigurační soubor specifikován přes CLI, hledá se v tomto
pořadí:
- Aktuální složka:
./pgarachne.env(všechny OS) - Uživatelská konfigurace:
- Linux / macOS:
~/.config/pgarachne/pgarachne.env - Windows:
%USERPROFILE%\.config\pgarachne\pgarachne.env
- Linux / macOS:
- Systémová konfigurace:
/etc/pgarachne/pgarachne.env(pouze Linux / macOS)
Příklad minimální konfigurace
Pro základní spuštění aplikace postačuje následující nastavení:
DB_HOST=localhost
DB_PORT=5432
DB_USER=pgarachne
JWT_SECRET=change_me_to_something_secureKompletní přehled nastavení
| Proměnná | Povinné | Popis |
|---|---|---|
| Připojení k databázi | ||
DB_HOST | Ano | Adresa PostgreSQL serveru (např. localhost). |
DB_PORT | Ano | Port databáze. |
DB_USER | Ano | Databázový uživatel, pod kterým se PgArachne připojuje. |
DB_SSLMODE | Ne | SSL režim PostgreSQL. Výchozí: disable. |
DB_SSLROOTCERT | Ne | Cesta k CA root certifikátu (PEM). |
DB_SSLCERT | Ne | Cesta ke klientskému certifikátu (PEM). |
DB_SSLKEY | Ne | Cesta ke klientskému privátnímu klíči (PEM). |
| HTTP Server | ||
HTTP_PORT | Ne | Port pro naslouchání. Výchozí: 8080. |
ALLOWED_ORIGINS | Ne | Nastavení CORS. Čárkou oddělený seznam povolených domén (např.
https://mojeaplikace.cz).
Výchozí: *. |
STATIC_FILES_PATH | Ne | Absolutní cesta k servírování statických souborů (Explorer/Frontend). |
| Bezpečnost (JWT) | ||
JWT_SECRET | Ano | Dlouhý náhodný řetězec používaný k podepisování relačních tokenů. |
JWT_EXPIRY_HOURS | Ne | Platnost relace v hodinách. Výchozí: 8. |
LOGIN_RATE_LIMIT | Ne | Max. počet pokusů o přihlášení v okně. Pro vypnutí nastavte 0. Výchozí: 5 |
LOGIN_RATE_WINDOW | Ne | Délka časového okna pro limit. Výchozí: 1m. |
| Omezení přihlášení je per instance (v paměti). Ve více instancích je potřeba sdílený limiter pro globální vynucení. | ||
TRUSTED_PROXIES | Ne | Důvěryhodné proxy IP/CIDR pro zpracování X-Forwarded-For. Čárkou oddělené. |
MAX_REQUEST_BYTES | No | Maximální velikost request body v bajtech. Výchozí: 2097152. |
SSE_MAX_CHANNELS | No | Maximální počet kanálů na SSE připojení. Výchozí: 8. |
SSE_MAX_CLIENTS | No | Maximální počet současných SSE klientů na databázi. Výchozí: 1000. |
SSE_CLIENT_BUFFER | No | Velikost per‑klientského bufferu SSE (počet zpráv). Výchozí: 64. |
SSE_SEND_TIMEOUT | No | Maximální čekání při odesílání pomalému klientovi. Výchozí: 2s. |
SSE_HEARTBEAT | No | Interval heartbeat zpráv pro SSE. Výchozí: 20s. |
SSE_IDLE_TIMEOUT | No | Timeout neaktivity bez notifikací. Výchozí: 90s. |
| Logování | ||
LOG_LEVEL | Ne | Úroveň detailů: DEBUG, INFO, WARN, ERROR.
Výchozí: INFO. |
LOG_OUTPUT | Ne | Kam zapisovat logy: stdout nebo cesta k souboru. |
Spuštění serveru:
./pgarachne -config .env