discadmin/disclosure-bureau
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
disclosure-bureau/docs/adrs/ADR-005-self-hosted-by-default.md

91 lines
4.3 KiB
Markdown
Raw Permalink Normal View History

W2: rerank opt-in, analyze_image_region tool, RAG eval, graph cleanup, ADRs - TD#8 hybrid.ts: rerank_strategy {always|when_top_k_gt|never} + threshold (default skips rerank for top_k ≤ 15; chat tool uses threshold 10) - O11 vision.ts + tools.ts: analyze_image_region tool — sharp-crops the bbox, claude CLI reads the temp PNG via Read tool, Sonnet vision answers - TD#12 /graph: SigmaGraph replaces ForceGraphCanvas; react-force-graph-2d uninstalled (-37 transitive deps); force-graph-canvas.tsx deleted - TD#27 messages/route.ts gatherContext slice sizes via CTX_* env vars - TD#22 tests/rag/: golden.yaml (15 queries) + run.py (Recall@k + MRR + negative-pass rate) + baseline.json + CI job in .forgejo/workflows/ci.yml - docs/adrs/: ADR-001..005 published from systems-atelier deliverables Verified live on disclosure.top: top_k=5 path skips rerank (6.7s embed-only, was 12-15s with rerank); rerank=always still available on demand. First RAG baseline: Recall@5 = 0.2083, MRR = 0.25, Negative pass = 1.0. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-23 22:20:09 +00:00
---
adr: ADR-005
title: Self-hosted by default — managed SaaS exige excecao escrita; politica de excecoes vigentes
status: accepted
date: 2026-05-23
deciders: sa-principal, sa-platform-lead
project: disclosure-bureau
---
## Context
O `systems-atelier` declara no manifest:
> "Open-source e self-hosted em VPS por padrao. SaaS/managed exige excecao escrita e justificada."
O Disclosure Bureau implementa essa politica em maioria mas mantem dependencias externas que precisam ser **explicitas** para nao virarem dette tecnica oculta:
| Dependencia externa | Categoria | Justificativa |
|---|---|---|
| OpenRouter (chat sincrono) | LLM proxy | Tier free 0 USD; tool calling funciona; sem alternativa OSS local com mesma qualidade + multi-modelo |
| Anthropic Claude (vision + investigator) | LLM | Sonnet 4.6 vision para PDF + agente investigador. Sem OSS equivalente em qualidade vision. |
| Claude Code OAuth Max 20x | LLM (quota) | Quota gratis ja paga. Mesmo provider, canal alternativo. |
| Spacemail (SMTP) | Email transactional | Magic-link envio. SES self-host overkill para volume baixo. |
| Let's Encrypt (TLS) | PKI | Padrao da industria. CertResolver via Traefik. |
| war.gov source PDFs | Data source | E o corpus em si — nao auto-substituivel. |
| GitHub (deploy artifacts) | Code host | Pode migrar para Forgejo/Gitea self-host (Q3 2026 review). |
| Hetzner / similar VPS | IaaS | Infra fisica; nao se evita. |
E o que **NAO** entra (self-host adotado):
- Postgres (Supabase) — self-host.
- GoTrue, PostgREST, Realtime, Storage, Imgproxy, Studio, Kong — self-host.
- BGE-M3 + Reranker — self-host (embed-service).
- Meilisearch — self-host.
- Traefik — self-host.
- Sentry — **decisao W1**: avaliar Glitchtip self-host vs Sentry cloud free tier.
## Decision
**Politica formal:**
1. **Default: self-host.** Qualquer novo servico/dependencia comeca avaliando OSS self-hostable.
2. **Excecao escrita** em ADR quando:
- Sem alternativa OSS com qualidade aceitavel (criterio claro), OU
- Custo de operar self-host > custo direto SaaS × 12 meses, OU
- Restricao legal/compliance especifica.
3. **Excecoes vigentes** listadas na tabela acima. Cada uma precisa ser:
- Sem state critico do projeto (exemplo: dados podem ser exportados a qualquer momento; nao ha lock-in).
- Substituivel em <4 semanas de trabalho (plano de saida documentado).
4. **Excecoes proibidas:**
- **Gemini** (politica especifica do projeto; ver `feedback-no-gemini-ever.md` memoria).
- Banco de dados managed (RDS, Supabase Cloud paid) — corpus precisa estar 100% sob controle.
- LLM gateway pagas alem de OpenRouter free tier sem ADR especifico.
- CDN com state (Vercel KV, Cloudflare D1) — viola "data soberania".
5. **Periodicamente:** revisar lista de excecoes (semestre). Revisar se equilibrio mudou (ex: Glitchtip amadureceu? Forgejo viavel?).
## Consequences
**Positivas:**
- Soberania de dados sobre corpus desclassificado (motivo central do projeto).
- Custo recorrente baixo (~10 EUR/mes VPS + $0 OpenRouter free + $30-110/mes LLM agentic).
- Sem dependencia de business decisions de fornecedor (Vercel mudar tier, Supabase Cloud aumentar preco).
**Negativas:**
- Mais operacao (10 containers no VPS, monitorados manualmente).
- Atualizacoes de seguranca por nossa conta (Trivy em CI mitiga).
- Backup/DR e nosso problema (W5+ adicionar backup strategy).
## Verification
- `docker-compose.yml` lista todos os servicos do data plane self-host. Confirmado.
- Lista de excecoes nesta ADR. Confirmar trimestralmente.
- Plano de saida documentado para cada excecao:
- OpenRouter -> Mistral.ai self-host (>= 70B local com GPU) em 2-4 semanas.
- Anthropic -> Llama local (BAIXA qualidade hoje; 2027+).
- Spacemail SMTP -> Postfix self-host em 1 dia.
- GitHub -> Forgejo self-host em 1 semana.
## Future review triggers
- Volume de chat > 10k/dia: avaliar movido para Mistral/Groq self-host.
- Quota Anthropic Max 20x saturada constantemente: avaliar adicionar API key paid OU mover para local model.
- Sentry cloud free tier estoura: instalar Glitchtip imediatamente.
- Auditoria seguranca pediu zero-trust extra: provisionar VPS dedicado para investigator-runtime em rede separada.
## References
- `systems-atelier/business.yaml` (manifest do business)
- Memoria do projeto: `feedback-no-gemini-ever.md`, `user-plan-max-20x.md`
- `infra/disclosure-stack/docker-compose.yml`
Reference in a new issue Copy permalink