sistema-de-chamados/docs/migracao-sistema-2025-11-15.md

Migração do stack sistema para a VPS 154.12.253.40 (15/11/2025)

Este documento registra o procedimento completo usado para clonar e mover o stack sistema (Convex self-hosted + dashboard + web/Next.js) da VPS antiga 217.216.64.168 para a VPS nova 154.12.253.40 (ambas Ubuntu 24.04 com Docker Swarm). Use-o como referência para futuros blue/green ou rollbacks.

1. Componentes inventariados

Item	VPS antiga	VPS nova
Hostname	vmi2889318	vmi2872619
CPU/RAM	4 vCPU / 8 GB	8 vCPU / 24 GB
Stack	sistema_convex_backend, sistema_convex_dashboard, sistema_web	os mesmos + outros stacks existentes
Redes relevantes	traefik_public, digital_network	idem
Volumes do stack	sistema_convex_data, sistema_sistema_db, sistema_db	copiados 1:1
Bind mount	/apps/sistema (5 GB)	/home/renan/apps/sistema + symlink /apps/sistema

Arquivos auxiliares recuperados da VPS antiga e copiados para /root na nova:

• /root/services.json – inventário completo de serviços, útil para recriar stacks.
• /root/replay_services_from_json.sh – script que recria serviços usando services.json.

2. Pré-requisitos e boas práticas

1. Autenticação: senha root na VPS antiga (sshpass) e chave codex_ed25519 para a nova (chmod 600).
2. Congelamento de escrita: antes do delta final, escalar a 0 os serviços que escrevem (docker service scale sistema_* =0).
3. Snapshots/volumes: cópia via contêiner Alpine + tar em streaming evita salvar arquivos temporários.
4. DNS: prepare um alias (ex.: vps2.esdrasrenan.com.br) e reduza o TTL dos CNAMEs antes do corte para minimizar caches antigos.
5. TLS: copie acme.json entre as VPS e recarregue o Traefik para manter os certificados válidos após o corte.

3. Procedimento realizado

3.1. Inventário e auditoria

# CPU/memória, Swarm, stacks e volumes na VPS antiga
sshpass -p '...' ssh root@217.216.64.168 'lscpu; free -h; docker info; docker stack ls; docker stack services sistema; docker volume ls'

# Idem na VPS nova (confirmar recursos extras)
ssh -i codex_ed25519 root@154.12.253.40 'lscpu; free -h; docker stack ls; docker service ls'

3.2. Cópia inicial do código e volumes

# Código Next.js (bind mount)
sshpass -p '...' ssh root@217.216.64.168 'tar czf - -C /apps sistema'   | ssh -i codex_ed25519 root@154.12.253.40 'tar xzf - -C /apps'

# Volumes Docker em streaming (repetir para cada volume)
for vol in sistema_convex_data sistema_sistema_db sistema_db; do
  sshpass -p '...' ssh root@217.216.64.168     "docker run --rm -v $vol:/data alpine tar cz -C /data ."   | ssh -i codex_ed25519 root@154.12.253.40       "docker volume create $vol >/dev/null; docker run --rm -i -v $vol:/data alpine tar xz -C /data"
done

# Ajustar caminho esperado pelo serviço web
ssh root@154.12.253.40 'mkdir -p /home/renan/apps && mv /apps/sistema /home/renan/apps/ && ln -sfn /home/renan/apps/sistema /apps/sistema'

3.3. Recriação dos serviços no Swarm da VPS nova

Recriação manual (mais controle que o script) mantendo labels do Traefik:

# Convex backend
NET=traefik_public
STACK=sistema
**docker service create**   --name ${STACK}_convex_backend   --replicas 1   --constraint 'node.role == manager'   --network $NET   --mount type=volume,src=sistema_convex_data,dst=/convex/data   --limit-memory 12g   --env CONVEX_CLOUD_ORIGIN=https://convex.esdrasrenan.com.br   --env CONVEX_SITE_ORIGIN=https://convex.esdrasrenan.com.br   --env FLEET_SYNC_SECRET=...   --env MACHINE_PROVISIONING_SECRET=...   --env MACHINE_TOKEN_TTL_MS=2592000000   --env RUST_LOG=info   --label traefik.http.routers.sistema_convex.rule='Host(`convex.esdrasrenan.com.br`)'   ghcr.io/get-convex/convex-backend:latest

# Dashboard (mantido 0/0 até ser necessário)
docker service create ... --replicas 0 ghcr.io/get-convex/convex-dashboard:latest

# Web (Next.js/Bun) – notar bind mount + volume SQLite
docker service create   --name ${STACK}_web   --replicas 1   --constraint 'node.role == manager'   --network $NET   --mount type=bind,src=/home/renan/apps/sistema,dst=/app   --mount type=volume,src=sistema_sistema_db,dst=/app/data   --limit-memory 2g   --user 1000:1000   --workdir /app   --env NEXT_PUBLIC_APP_URL=https://tickets.esdrasrenan.com.br   --env NEXT_PUBLIC_CONVEX_URL=https://convex.esdrasrenan.com.br   --env CONVEX_INTERNAL_URL=http://sistema_convex_backend:3210   --env BETTER_AUTH_SECRET=...   --label traefik.http.routers.sistema_web.rule='Host(`tickets.esdrasrenan.com.br`)'   oven/bun:1.3.1 bash -lc 'bash /app/scripts/start-web.sh'

3.4. Certificados TLS

1. Copiar acme.json das duas VPS.
2. Mesclar certificados (para não perder a conta/chain nova) e reenviar para o volume certificados.
3. Escalar traefik_traefik para 0, gravar o arquivo e retornar a 1.

sshpass -p '...' ssh root@217.216.64.168 'docker run --rm -v certificados:/data alpine cat /data/acme.json' > acme-old.json
ssh root@154.12.253.40 'docker run --rm -v certificados:/data alpine cat /data/acme.json' > acme-new.json
python3 merge_acme.py  # script que mescla Certificates
cat acme-merged.json | ssh root@154.12.253.40   'docker run --rm -i -v certificados:/data alpine sh -c "cat > /data/acme.json && chmod 600 /data/acme.json"'

3.5. Delta final antes do corte

1. docker service scale sistema_* =0 na VPS antiga.
2. Repetir o loop de volumes + tar do código para pegar qualquer alteração mais recente.
3. Reaplicar chown -R 1000:1000 /home/renan/apps/sistema e re-symlink /apps/sistema.
4. Forçar rolling update nos serviços da VPS nova:

ssh root@154.12.253.40 'docker service update --force sistema_convex_backend sistema_web'

3.6. DNS

• Criado vps2.esdrasrenan.com.br (A → 154.12.253.40).
• Atualizados os CNAMEs tickets.esdrasrenan.com.br e convex.esdrasrenan.com.br para apontar ao alias novo (TTL efetivo 300 s após propagação).
• Observação: durante ~4 h alguns clientes ainda enxergaram o IP antigo porque o TTL prévio era 14.400 s; na próxima migração, reduzir o TTL horas antes do corte para evitar 404 temporário.

3.7. Imagem Bun com OpenSSL

Para eliminar o warning do Prisma, foi criada uma imagem local (sistema-web:openssl-20251115) adicionando apt-get install openssl. Atualização do serviço:

ssh root@154.12.253.40 'docker build -t sistema-web:openssl-20251115 - <<"EOF"
FROM oven/bun:1.3.1
RUN apt-get update && apt-get install -y --no-install-recommends openssl \n  && rm -rf /var/lib/apt/lists/*
EOF'

docker service update --image sistema-web:openssl-20251115 sistema_web

Atenção: essa imagem só existe localmente; se outro nó entrar no Swarm, publique-a em um registry ou reconstrua no novo nó antes de escalar o serviço.

4. Verificações pós-migração

• docker service ls | grep sistema → convex_backend 1/1, web 1/1, dashboard 0/0.
• curl -k -I --resolve tickets.esdrasrenan.com.br:443:154.12.253.40 https://tickets.esdrasrenan.com.br → 307 /login.
• curl -k -I --resolve convex.esdrasrenan.com.br:443:154.12.253.40 https://convex.esdrasrenan.com.br → 200.
• docker logs <container web> sem warnings de OpenSSL.
• dig @1.1.1.1 +short tickets.esdrasrenan.com.br → vps2.esdrasrenan.com.br → 154.12.253.40.

5. Recomendações para futuras trocas

1. TTL primeiro, migração depois: reduza CNAMEs para 300 s pelo menos 4 h antes de alterar IPs.
2. Dashboard opcional: mantenha sistema_convex_dashboard em 0/0 até precisar, escalando com docker service scale sistema_convex_dashboard=1.
3. Imagem Bun custom: mantenha o Dockerfile acima em repositório (ex.: containers/sistema-web/Dockerfile) para reconstruções reproduzíveis.
4. Rollback: para voltar à VPS antiga, restaure o DNS (CNAME → vps.esdrasrenan.com.br) e escale os serviços antigos para 1. Guarde a VPS por 24–48 h antes de desativá-la definitivamente.
5. Logs: monitore docker service logs sistema_convex_backend para garantir que não haja exit 137. Se reaparecer, mantenha o limite de memória ≥ 12 GB ou ajuste conforme uso real.

Com este fluxo documentado, repetir ou reverter a migração passa a ser um processo guiado e audível.