docker: zentrale .env + Compose mit MariaDB+OpenCRM+Adminer + Bind-Mounts

Big Move: vom backend-only-Setup zum vollständigen Container-Stack.

📁 Neue Struktur
- /.env (lokal, nicht getrackt) – zentrale Konfiguration für Dev + Docker
- /.env.example – Template mit allen Variablen
- /data/{db,uploads,factory-defaults,backups}/ – Bind-Mounts statt Volumes
  (auf Wunsch: Daten bleiben im Projektverzeichnis)
- /backend/Dockerfile – Multi-Stage Build (Frontend + Backend)
- /backend/docker-entrypoint.sh – wartet auf DB, prisma db push, optional seed

🐳 docker-compose.yml (neu konsolidiert)
- mariadb 10.11 mit Bind-Mount ./data/db
- opencrm-app (Backend serviert Frontend statisch in production)
- adminer mit Theme pepa-linha-dark als DB-UI
- Ports + Pfade + Secrets alle aus .env

🔧 Backend
- index.ts dotenv-Loader: lädt zuerst Root /.env, dann backend/.env als
  Fallback. Funktioniert nahtlos für npm run dev und für Container.
- backend/.env.example als Legacy-Fallback dokumentiert

📝 README
- Quick-Start mit Docker als empfohlener Default (3 Befehle)
- Tabelle der Daten-Verzeichnisse
- Hinweis auf RUN_SEED=true beim ersten Start

⚙ Konfigurierbar via .env
- OPENCRM_PORT (Backend extern), ADMINER_PORT (DB-UI), DB_PORT
- Daten-Pfade (DATA_DIR, DB_DATA_DIR, UPLOADS_DIR etc.)
- DB_NAME/USER/PASSWORD, JWT_SECRET, ENCRYPTION_KEY
- ADMINER_DESIGN (Theme-Auswahl)

Hinweis: Vor dem ersten `docker compose up -d` muss das laufende
`npm run dev`-Backend gestoppt werden (Port + DB-Conflict). Das alte
Volume `opencrm_mariadb_data` bleibt unangetastet als Notfall-Backup.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

docker-compose.yml

@@ -1,4 +1,13 @@
-version: '3.8'
+# OpenCRM – komplettes Setup: MariaDB + Backend/Frontend + Adminer
+# Konfiguration über ./.env (siehe ./.env.example)
+#
+# Quick-Start:
+#   cp .env.example .env       # Werte anpassen (Secrets rotieren!)
+#   docker compose up -d       # erstes Mal: holt Images, baut Backend, startet alles
+#   open http://localhost:${OPENCRM_PORT}     # CRM
+#   open http://localhost:${ADMINER_PORT}     # DB-UI
+#
+# Daten liegen alle unter ./data/* – Bind-Mounts statt Volumes (auf Wunsch).
 
 services:
   db:
@@ -6,20 +15,59 @@ services:
     container_name: opencrm-db
     restart: unless-stopped
     environment:
-      MYSQL_ROOT_PASSWORD: rootpassword
-      MYSQL_DATABASE: opencrm
-      MYSQL_USER: opencrm
-      MYSQL_PASSWORD: opencrm123
+      MARIADB_ROOT_PASSWORD: ${DB_ROOT_PASSWORD}
+      MARIADB_DATABASE: ${DB_NAME}
+      MARIADB_USER: ${DB_USER}
+      MARIADB_PASSWORD: ${DB_PASSWORD}
     ports:
-      - "3306:3306"
+      # Externe Erreichbarkeit für lokale DB-Tools (TablePlus etc.).
+      # Auf 127.0.0.1 binden – kein public exposure.
+      - "127.0.0.1:${DB_PORT:-3306}:3306"
     volumes:
-      - mariadb_data:/var/lib/mysql
+      - ${DB_DATA_DIR:-./data/db}:/var/lib/mysql
     healthcheck:
       test: ["CMD", "healthcheck.sh", "--connect", "--innodb_initialized"]
-      start_period: 10s
+      start_period: 20s
       interval: 10s
       timeout: 5s
-      retries: 3
+      retries: 5
 
-volumes:
-  mariadb_data:
+  opencrm:
+    build:
+      context: .
+      dockerfile: backend/Dockerfile
+    container_name: opencrm-app
+    restart: unless-stopped
+    depends_on:
+      db:
+        condition: service_healthy
+    environment:
+      # Connection ins Container-Netzwerk (Service-Name = Hostname)
+      DATABASE_URL: "mysql://root:${DB_ROOT_PASSWORD}@db:3306/${DB_NAME}"
+      JWT_SECRET: ${JWT_SECRET}
+      JWT_EXPIRES_IN: ${JWT_EXPIRES_IN:-7d}
+      ENCRYPTION_KEY: ${ENCRYPTION_KEY}
+      NODE_ENV: production
+      PORT: 3001
+      LISTEN_ADDR: 0.0.0.0
+      CORS_ORIGINS: ${CORS_ORIGINS:-}
+      RUN_SEED: ${RUN_SEED:-false}
+    ports:
+      - "${OPENCRM_PORT:-3010}:3001"
+    volumes:
+      # Bind-Mounts für persistente Daten unter ./data/
+      - ${UPLOADS_DIR:-./data/uploads}:/app/uploads
+      - ${FACTORY_DEFAULTS_DIR:-./data/factory-defaults}:/app/factory-defaults
+      - ${BACKUPS_DIR:-./data/backups}:/app/prisma/backups
+
+  adminer:
+    image: adminer:latest
+    container_name: opencrm-adminer
+    restart: unless-stopped
+    depends_on:
+      - db
+    environment:
+      ADMINER_DEFAULT_SERVER: db
+      ADMINER_DESIGN: ${ADMINER_DESIGN:-pepa-linha-dark}
+    ports:
+      - "127.0.0.1:${ADMINER_PORT:-8081}:8080"