hermes-glass-ui-personal/.memory/deployment-kang.md

---
name: Hermes Glass UI 个人版 · kang-kang.com 部署
description: 从公司版 hermes.milejoy.com fork + 合规隔离重建的个人 VPS 部署完整细节
type: project
---

# 架构

```
浏览器
  ↓ https://hermes.kang-kang.com/
Coolify Traefik (443, letsencrypt 自动签)
  ↓ Host(`hermes.kang-kang.com`) → http://10.0.0.1:8088
宿主 nginx 1.24 (listen 10.0.0.1:8088, /etc/nginx/sites-available/hermes.kang-kang.com)
  ├─ /login.html + /_auth/verify + /_auth/logout   cookie 门禁
  ├─ /                                              /var/www/hermes-kang/（Glass UI 静态）
  ├─ /v1/ + /api/v1/(rewrite) + /api/jobs          注入 Bearer → LXC
  ├─ /memory/ + /hermes-skills/ + /classic/        空目录占位
  └─ /health                                        免门禁
Incus LXC hermes-personal (10.3.73.137, Debian trixie, privileged + nesting)
  └─ Docker 26.1.5 (hermes-agent container)
      └─ Hermes Agent v0.7, gateway run, 0.0.0.0:8642
          └─ OpenRouter → google/gemini-3.1-pro-preview
```

# 关键决策

## CORS 白名单必须配（2026-04-21 事后补的坑）
- Hermes gateway 的 API Server 会检查 `Origin` header 白名单
- `.env` 里必须 `API_SERVER_CORS_ORIGINS=https://hermes.kang-kang.com`
- 不配的话：curl 测试一切 200（curl 不发 Origin），但**真实浏览器发 POST /api/v1/chat/completions 会返回 403 body=0**（Hermes CORS 拒绝）
- 公司版 .env 原本就配了 `https://hermes.milejoy.com`，我 fork 时抄漏了
- 修复：加环境变量 → `docker compose down && up`（不能 restart）

## 为什么用 Debian trixie 不用 Ubuntu 24.04
- Ubuntu 24.04 + Docker 29 在非/特权 LXC 内启动容器报 `net.ipv4.ip_unprivileged_port_start: permission denied`
- Debian trixie + Docker 26 没这个 bug（公司版 hermes-box 用的就是这个组合，直接照搬）
- 也加了 `security.syscalls.intercept.mknod/setxattr=true`（跟公司版对齐）

## 为什么宿主 nginx 听 10.0.0.1:8088 不是 127.0.0.1:8088
- Coolify-proxy (Traefik) 跑在 docker coolify 网络，从容器内访问宿主要走 docker0 gateway
- 宿主 docker0 IP 是 `10.0.0.1`（非标准，Coolify 自定义）
- 127.0.0.1 从 Traefik 容器里访问是容器自己的 localhost，不是宿主
- Traefik 容器 /etc/hosts 有 `10.0.0.1 host.docker.internal` —— 用宿主 docker0 IP 直连宿主 nginx

## 为什么 gitea.yaml 和 notebooklm-mcp.yaml 被改了
- Traefik watcher 解析 `dynamic/` 目录时遇到这两个文件里 `dialTimeout/responseHeaderTimeout` **不在 forwardingTimeouts 下**，报 `field not found`
- 这个错误**阻止了整个 directory 的 reload**（不是 per-file 隔离），所以我新写的 hermes-kang.yaml 一直没被 pick up
- 修复：把两个文件里的 `dialTimeout`/`responseHeaderTimeout` 包到 `forwardingTimeouts:` 下（Traefik v3 正确嵌套）
- 备份：`gitea.yaml.bak-<ts>`, `notebooklm-mcp.yaml.bak-<ts>`
- gitea/lobehub/notebooklm-mcp 都继续工作（verified via curl 200/302）

## 为什么不用 Traefik basicauth middleware / forwardAuth sidecar
- 保留公司版的自定义 Liquid Glass login.html + cookie 门禁体验
- 单用户场景 Authelia sidecar 不划算
- nginx 熟悉度高，排障快

# 凭证

存 `credentials.md` 不在本文件重复。

# 文件清单

## 宿主 76.13.31.179

| 路径 | 作用 | 备注 |
|---|---|---|
| `/etc/nginx/sites-available/hermes.kang-kang.com` | nginx 站点，listen 10.0.0.1:8088 | sites-enabled 软链已建 |
| `/etc/nginx/.htpasswd-hermes-kang` | bcrypt 密码 | 只 `kang` 一个用户 |
| `/data/coolify/proxy/dynamic/hermes-kang.yaml` | Traefik 路由+letsencrypt | owner 9999:root, mode 700 |
| `/var/www/hermes-kang/` | Glass UI 静态 | rsync 自本机个人版 src/ |
| `/var/www/hermes-memory-kang/` | `/memory/` 路由空目录 | 自己以后填 |
| `/var/www/hermes-skills-kang/` | `/hermes-skills/` 路由空目录 | 自己以后填 |
| `/opt/hermes-build/` | 镜像 build 源码（rsync 自本机）| 32MB |
| `/tmp/hermes-build.log` | build 过程 log | 留作参考 |

## Incus LXC hermes-personal

| 路径 | 作用 |
|---|---|
| `/opt/hermes-agent/docker-compose.yml` | compose |
| `/opt/hermes-agent/config.yaml` | Hermes gateway 配置（OpenRouter + gemini-3.1-pro-preview）|
| `/opt/hermes-agent/.env` | `OPENROUTER_API_KEY` + `API_SERVER_KEY`, mode 600 |
| `/opt/hermes-agent/data/` | Hermes workspace（HERMES_HOME）|

# 常用操作

## 改前端代码后同步
```bash
cd ~/Projects/code/20260421-hermes-glass-ui-personal
# 编辑 src/*
rsync -az --delete src/ root@76.13.31.179:/var/www/hermes-kang/
# sw.js 如需强刷：bump CACHE 版本号
```

## 改后端配置/模型
```bash
ssh root@76.13.31.179
incus exec hermes-personal -- bash
cd /opt/hermes-agent
vi config.yaml           # 改模型
vi .env                  # 改 key
docker compose down && docker compose up -d
# ⚠️ docker restart 不 reload env_file，必须 down + up
```

## 换 OpenRouter key
```bash
incus exec hermes-personal -- bash -c "sed -i 's|^OPENROUTER_API_KEY=.*|OPENROUTER_API_KEY=<新key>|' /opt/hermes-agent/.env && cd /opt/hermes-agent && docker compose down && docker compose up -d"
```

## 查日志
```bash
incus exec hermes-personal -- docker logs hermes-agent --tail 50
ssh root@76.13.31.179 tail -f /var/log/nginx/error.log
ssh root@76.13.31.179 docker logs coolify-proxy --since 2m 2>&1 | grep -i hermes
```

# 不破坏的约束

- ✅ 不碰 Coolify 现有 22+ 容器 + Coolify-proxy 本体
- ✅ 不碰 `/opt/lobechat-mirror/` 独立 docker compose
- ✅ 不碰 `/opt/gitea/` `/opt/postgres/` `/opt/mysql/`
- ✅ hermes-kang 走独立 LXC + 独立 nginx 站点 + 独立 Traefik dynamic file
- ✅ 宿主 nginx 独自启动（systemd nginx.service 新启用）
- ✅ 禁用了 sites-enabled/default 和 sites-enabled/styles.kang-kang.com（冲突 listen 80，且 styles 实际由 style-gallery-nginx docker 容器跑）

# 与公司版的差异

| 维度 | 公司版 hermes.milejoy.com | 个人版 hermes.kang-kang.com |
|---|---|---|
| 宿主 | 公司 VPS 2.24.28.41 | 个人 VPS 76.13.31.179 |
| 入口 | 宿主 nginx 直听 443 | Coolify Traefik 443 → 宿主 nginx 10.0.0.1:8088 |
| 证书 | certbot ai.milejoy.com 复用 | Traefik letsencrypt certresolver |
| LXC | hermes-box, Debian trixie, 10.146.223.10 | hermes-personal, Debian trixie, 10.3.73.137 |
| 模型 | Gemini 3 Pro Preview 直连（GOOGLE_API_KEY）| Gemini 3.1 Pro Preview via OpenRouter |
| 认证 | basic auth boss/mile | basic auth kang |
| Skills/Memory | 78 真实 skill + 同步真实 memory | 空目录（未来按需填充） |

# 合规边界（离职场景）

✅ **可搬**：
- 个人编写的 Glass UI 前端源码（fork 到 `code/20260421-hermes-glass-ui-personal/`）
- Hermes Agent 开源代码（NousResearch 上游）
- 架构和 nginx/Traefik 配置思路

❌ **未搬**：
- 公司 API Server Key `ffd2f8af...`（重新用 openssl 生成新的）
- 公司 GOOGLE_API_KEY（换 OpenRouter + 个人 key）
- 公司 LXC 里的 memory/skills/sessions/对话历史（个人版从零起）
- 公司 basic auth 账号 `boss/mile`（改 `kang` 单账号）
- 公司 nginx 证书（letsencrypt 新签）