Zum Inhalt springen
Farbschema wählenSprache wählen

Server-Umgebungsvariablen (vollständig)

Alle Variablen werden beim Start aus der Prozessumgebung gelesen. Die meisten String-Booleans akzeptieren 1 | true | yes (Groß-/Kleinschreibung bei true/yes wird ignoriert) als wahr; andere Werte gelten als falsch. Einige Flags folgen einer eigenen Regel (z. B. ist SUPACLOUD_SMTP_USE_TLS aktiv, sofern nicht 0|false|no gesetzt wird). Die verkürzte Admin-Seite deckt die wesentlichen Deployment-Variablen ab – siehe Umgebungsvariablen (Admin).

Variable Standard Hinweise
MODE dev dev lockert produktionsspezifische Schutzmaßnahmen (schwächeres JWT, keine Verschlüsselungsschlüssel-Pflicht). Für die Produktion einen anderen Wert setzen – oder die Variable weglassen.
SERVER_HOST 0.0.0.0 Bind-Adresse.
SERVER_PORT 8080 Listen-Port.
PUBLIC_URL http://localhost:<port> in dev, erforderlich in Prod Kanonischer öffentlicher Ursprung. Befüllt die CORS-Allowlist und dient zur Ableitung von Callback-URLs.
CORS_ALLOWED_ORIGINS Kommagetrennte Ursprünge, die die API aufrufen dürfen. Wenn leer, enthält die Allowlist standardmäßig PUBLIC_URL (sowie die üblichen Localhost-Dev-Ursprünge im Dev-Modus).
Variable Standard Hinweise
DATABASE_URL postgresql://supacloud:supacloud@postgres:5432/supacloud libpq-Verbindungsstring. Kann auch aus dem OpenBao-Pfad supacloud/db stammen, wenn SECRET_BACKEND=openbao.
Variable Standard Hinweise
AUTH_PROVIDER builtin Eines von builtin, oidc, authelia_proxy, oidc_proxy.
SUPACLOUD_JWT_SECRET Dev-Standard Session-Signing-Secret. ≥ 32 Bytes erforderlich. Der Dev-Standard wird für jede nicht-Loopback-PUBLIC_URL abgelehnt. Wird auch als AUTH_JWT_SECRET (Legacy) akzeptiert.
SUPACLOUD_INITIAL_ADMIN_EMAILS Kommagetrennte E-Mail-Adressen, die beim ersten Start als Workspace-Eigentümer angelegt werden. In Prod erforderlich für builtin- und oidc-Provider. Wird auch als SUPACLOUD_INITIAL_ADMIN_EMAIL akzeptiert.
AUTH_SESSION_TTL_MINUTES 480 Session-Lebensdauer (8 h).
AUTH_COOKIE_SECURE true in Prod, false in Dev Für lokales HTTP auf false setzen.
OIDC_ISSUER_URL Discovery-URL des OIDC-Providers (AUTH_PROVIDER=oidc).
OIDC_CLIENT_ID OIDC-Client-ID.
OIDC_CLIENT_SECRET OIDC-Client-Secret. Wird aus supacloud/app via Vault befüllt.
OIDC_REDIRECT_URL OIDC-Callback-URL (/api/auth/oidc/callback).
OIDC_SCOPES openid email profile Leerzeichen- oder kommagetrennt. Muss openid enthalten.
OIDC_PKCE_ENABLED true Nur für Legacy-Provider, die code_verifier ablehnen, auf false setzen.
OIDC_TOKEN_AUTH_METHOD basic basic oder post (client_secret_post).
AUTH_PROXY_USER_HEADER Remote-User Trusted-Proxy-Benutzer-Header (authelia_proxy / oidc_proxy).
AUTH_PROXY_EMAIL_HEADER Remote-Email Trusted-Proxy-E-Mail-Header.
AUTH_PROXY_NAME_HEADER Remote-Name Trusted-Proxy-Anzeigename-Header.
AUTH_PROXY_REQUIRED_HEADER Erforderlich für Proxy-Modi. Name des Headers, der vorhanden sein muss.
AUTH_PROXY_REQUIRED_VALUE Erforderlich für Proxy-Modi. Erwarteter Wert des Pflicht-Headers.
AUTH_PROXY_LOGOUT_URL Abmelde-URL des vorgelagerten Proxys, die in /config ausgegeben wird. Nur in Proxy-Auth-Modi relevant.
SUPACLOUD_SSO_AUTOREDIRECT abgeleitet on erzwingt die Einzeln-IdP-Standalone-Weiterleitung; off unterdrückt sie. Wird aus Edition und SSO-Realm-Anzahl abgeleitet, wenn nicht gesetzt.
DEFAULT_SSO_ORG Reiner Org-Slug, der als Ziel der Standalone-SSO-Weiterleitung festgelegt ist.
Variable Standard Hinweise
SECRET_BACKEND auto openbao oder env. Erkennt openbao automatisch, wenn Vault-Auth vorhanden ist; andernfalls env. Ein Tippfehler führt zu einem harten Boot-Fehler.
OPENBAO_ADDR https://vault.blockworx.tech OpenBao-/Vault-Adresse. Wird auch als VAULT_ADDR akzeptiert.
VAULT_TOKEN Direktes Token-Auth.
OPENBAO_ROLE_ID AppRole-Rollen-ID (zusammen mit OPENBAO_SECRET_ID).
OPENBAO_SECRET_ID AppRole-Secret-ID.

Mit SECRET_BACKEND=openbao werden folgende Variablen aus der supacloud/app-KV2-Map gelesen (Env gewinnt; Vault füllt Lücken): SUPACLOUD_JWT_SECRET, SUPACLOUD_CREDENTIAL_ENCRYPTION_KEY, OIDC_CLIENT_SECRET, SUPACLOUD_MCP_CONFIRMATION_SECRET, DISCORD_BOT_TOKEN, SUPACLOUD_{LINEAR,NOTION}_OAUTH_CLIENT_{ID,SECRET}, STRIPE_SECRET_KEY, STRIPE_WEBHOOK_SECRET, SUPACLOUD_SMTP_PASSWORD, BW_FINTS_WORKER_API_KEY, SUPACLOUD_OPERATOR_TOKEN, SUPACLOUD_EDITION_LICENSE, SUPACLOUD_EDITION_SECRET.

Variable Standard Hinweise
SUPACLOUD_CREDENTIAL_ENCRYPTION_KEY AES-256-Schlüssel für in der Datenbank gespeicherte Zugangsdaten. Akzeptiert rohe 32 Bytes, Hex, Base64 oder das Präfix hex:/base64:. In Prod erforderlich. Wird der Schlüssel aus Vault bezogen, wird er im Prozess gehalten und nie wieder in die Umgebung exportiert.
SUPACLOUD_MCP_CONFIRMATION_SECRET HMAC-Secret für Deploy-Tier-MCP-Bestätigungstoken (app.deploy, app.migration.apply). ≥ 32 Bytes. Ohne dieses Secret schlagen die betreffenden Tools fail-closed fehl. Wird aus supacloud/app via Vault befüllt.
Variable Standard Hinweise
SUPACLOUD_EDITION_LICENSE HS256-JWT mit dem Claim edition=enterprise. Wird gegen SUPACLOUD_EDITION_SECRET validiert. Wird aus supacloud/app via Vault befüllt.
SUPACLOUD_EDITION_SECRET Signing-Secret für die Edition-Lizenz. ≥ 32 Bytes. Wird aus supacloud/app via Vault befüllt.
SUPACLOUD_EDITION Nur Dev-Bypass: zusammen mit MODE=dev auf enterprise setzen, um die Enterprise-Edition ohne Lizenztoken zu aktivieren. Niemals in der Produktion verwenden.
Variable Standard Hinweise
AGENT_NETWORK supacloud-agents Docker-Netzwerk, dem Agent-Container beitreten.
AGENT_IMAGE_PREFIX Registry-Präfix, das Agent-Image-Namen vorangestellt wird (z. B. git.blockworx.tech/blockworx/).
AGENT_MEMORY_BYTES 2147483648 Arbeitsspeicherlimit pro Agent (Bytes).
AGENT_NANO_CPUS 2000000000 CPU-Limit pro Agent (Nano-CPUs; 2 000 000 000 = 2 vCPUs).
AGENT_PIDS_LIMIT 512 PID-Limit pro Agent.
AGENT_READ_ONLY_ROOTFS true Das Root-Dateisystem des Agents schreibgeschützt einbinden.
AGENT_TASK_TIMEOUT_MINUTES 90 Hartes Timeout pro Agent-Task.
MAX_PARALLEL_TASKS_PER_WORKSPACE 3 Gleichzeitigkeitsgrenze pro Workspace.
Variable Standard Hinweise
SUPACLOUD_CONNECTOR_EXECUTOR_MODE in_process in_process, pooled oder runner_fleet.
SUPACLOUD_CONNECTOR_EXECUTOR_IMAGE Container-Image für den pooled-Modus.
SUPACLOUD_CONNECTOR_EXECUTOR_AUTH_TOKEN Gemeinsames Token (≥ 16 Zeichen) für den pooled-Modus. Wird über das executor-exklusive Netzwerk übertragen.
SUPACLOUD_CONNECTOR_EXECUTOR_NETWORK Dediziertes Docker-Netzwerk für den Hub-↔-Executor-Verkehr im pooled-Modus.
SUPACLOUD_CONNECTOR_EXECUTOR_POOL_SIZE 2 Anzahl warmer Executor-Container im pooled-Modus.
SUPACLOUD_CONNECTOR_EXECUTOR_MAX_INFLIGHT 4 Maximale Anzahl gleichzeitig laufender Runs im pooled-Modus.
SUPACLOUD_CONNECTOR_EXECUTOR_MAX_RUNS 0 Schwellenwert für das Recycling von Containern im pooled-Modus. 0 = kein Recycling nach Run-Anzahl.
SUPACLOUD_CONNECTOR_EXECUTOR_REQUEST_TIMEOUT_SECS 60 Maximale Wartezeit auf einen freien Pool-Slot.
SUPACLOUD_SCRIPT_RUNTIME_DIR Crate-Dev/Test-Assets Absoluter Pfad zu den vorkompilierten Wasm-Script-Runtime-Komponenten (js-runner, ts-runner, py-runner). Nicht bereitgestellte Sprachen degradieren graceful.
Variable Standard Hinweise
SUPACLOUD_HUB_MODE false Aktiviert die Weiterleitung von Tasks an eine registrierte Remote-Runner-Fleet. Bei false laufen alle Tasks lokal.
SUPACLOUD_HUB_EVENT_RELAY false Leitet Echtzeit-Hub-Events über Postgres LISTEN/NOTIFY zwischen Server-Replicas weiter (der WS-Event-Fan-out, #623 P4). Auf einer einzelnen Replica inert; für ein Multi-Replica-Deployment aktivieren.
MODEL_CATALOG_REFRESH_HOURS 24 Wie oft der Modell-Katalog aktualisiert wird (1–720).
Variable Standard Hinweise
SUPACLOUD_MANAGEMENT_API_TOKEN Bearer-Token für den Zugriff auf die M2M-Management-API. Wird auch als MANAGEMENT_API_TOKEN (Legacy) akzeptiert. Wird aus supacloud/management via Vault befüllt.
Variable Standard Hinweise
TELEGRAM_BOT_TOKEN Telegram-Control-Bot-Token. Wird aus supacloud/messaging via Vault befüllt. Bot ist deaktiviert, wenn nicht gesetzt.
TELEGRAM_BOT_USERNAME Telegram-Bot-Benutzername (ohne @). Via Vault befüllt.
TELEGRAM_WEBHOOK_SECRET Webhook-Secret für die Telegram-Update-Validierung. Via Vault befüllt.
DISCORD_BOT_TOKEN Discord-Control-Bot-Token (ADR 0032). Wird aus supacloud/app via Vault befüllt. Bot ist deaktiviert, wenn nicht gesetzt. Unabhängig von workspace-spezifischen Discord-Notify/Trigger-Ressourcen.
Variable Standard Hinweise
SUPACLOUD_SMTP_HOST Hostname des SMTP-Relays. Wenn nicht gesetzt, ist der globale SMTP-Transport deaktiviert; workspace-spezifische SMTP-Ressourcen funktionieren weiterhin.
SUPACLOUD_SMTP_PORT 587 SMTP-Port.
SUPACLOUD_SMTP_USE_TLS true TLS aktivieren.
SUPACLOUD_SMTP_STARTTLS true STARTTLS verwenden.
SUPACLOUD_SMTP_USERNAME SMTP-Auth-Benutzername.
SUPACLOUD_SMTP_PASSWORD SMTP-Auth-Passwort. Wird aus supacloud/app via Vault befüllt.
Variable Standard Hinweise
SUPACLOUD_APPS_HOSTED_FRONTEND false Aktiviert die Auslieferung von erstellten React/Svelte-App-Frontends. Erfordert SUPACLOUD_APPS_BASE_DOMAIN.
SUPACLOUD_APPS_BASE_DOMAIN Bare-Domain (z. B. supacloud.net) auf einem anderen eTLD+1 als die Control-Plane. Hosted Apps werden unter <opaque-subdomain>.<apps_base_domain> ausgeliefert. Der Boot schlägt fehl, wenn diese Domain dieselbe registrierbare Domain wie PUBLIC_URL teilt.
Variable Standard Hinweise
SUPACLOUD_LINEAR_OAUTH_CLIENT_ID Client-ID der Linear-OAuth-App. Via Vault befüllt.
SUPACLOUD_LINEAR_OAUTH_CLIENT_SECRET Client-Secret der Linear-OAuth-App. Via Vault befüllt.
SUPACLOUD_NOTION_OAUTH_CLIENT_ID Client-ID der Notion-OAuth-App. Via Vault befüllt.
SUPACLOUD_NOTION_OAUTH_CLIENT_SECRET Client-Secret der Notion-OAuth-App. Via Vault befüllt.
Variable Standard Hinweise
STRIPE_SECRET_KEY Geheimer Stripe-API-Schlüssel. Wird aus supacloud/app via Vault befüllt.
STRIPE_WEBHOOK_SECRET Stripe-Webhook-Signing-Secret. Wird aus supacloud/app via Vault befüllt.
BW_FINTS_WORKER_API_KEY Interner API-Schlüssel für den Marketplace-FinTS-Auszahlungsworker. Wird aus supacloud/app via Vault befüllt.
SUPACLOUD_OPERATOR_TOKEN Operator-Bearer-Token für privilegierte interne Aufrufe. Wird aus supacloud/app via Vault befüllt.
SUPACLOUD_METRICS_TOKEN Bearer-Token zum Schutz des /metrics-Endpunkts. Wird aus supacloud/app via Vault befüllt.