Ich wollte die Qdrant Daten im Browser sehen, ohne die Datenbank öffentlich zu machen. Lokal nutze ich Traefik, in Produktion öffne ich nur einen SSH Tunnel und lasse Qdrant intern.
Ich wollte den Weg von der Extension bis zur Speicherung sichtbar machen. Mit Bull Board und Dozzle habe ich Queue Status und Container Logs direkt im Browser und kann Fehler jetzt viel schneller einordnen.
Der Frontend Container war gebaut, lief und war trotzdem unhealthy. Die Ursache war eine kleine Alpine Falle: BusyBox Wget suchte localhost zuerst über IPv6 und nginx lauschte nur auf IPv4.
Der 401 Fehler beim Ingest kam nicht vom JWT selbst, sondern von einem kleinen Architekturbruch. Issuer, JWKS und Host Header mussten dieselbe öffentliche Sicht auf Zitadel haben.
Ich habe den Stack so umgebaut, dass Browser und Extension nur noch Traefik sehen. Der Rest läuft über zwei Docker Netze, klare Labels und keine direkten Host-Ports mehr.
Vor dem Launch habe ich meine Architektur nicht nur auf Skalierung geprüft, sondern auch auf stillschweigende Sicherheitsannahmen. Dabei sind mir zwei kleine Lücken aufgefallen, die in Produktion sehr schnell teuer werden können.