chore(cutover): prepare backend/-Layout for Hetzner-Pipeline-Cutover

Phase-1-Vorbereitung für den Rebreak-Cutover (apps/rebreak Nuxt → backend standalone Nitro). Alle Änderungen sind lokal verifiziert (build = 9.66 MB gzipped 3.08 MB, node .output/server/index.mjs startet ohne ERR_MODULE_NOT_FOUND auf :3000). Kein Push, kein Server-Eingriff in dieser Session. Inhalt: - backend/nitro.config.ts: 8 zusätzliche runtimeConfig-Keys (cartesia*, eleven*, supabaseUrl/AnonKey/ServiceKey, public.supabase.{url,key}). Schließt den Auth-500-Cascade vom 2026-05-06 (server/utils/auth.ts:32 liest config.public.supabase ?? config.supabase — beide Pfade jetzt deklariert). - .npmrc (NEU, root-level): node-linker=hoisted für Prisma 7 transitive @prisma/client-runtime-utils (siehe feedback_backend_runtime_config.md). - backend/start-staging.sh: Pfad korrigiert von /srv/rebreak-monorepo/... → /srv/rebreak/backend/.output-staging/server/index.mjs. infisical run wrapper (kein NUXT_*-Mapping mehr — runtimeConfig liest process.env.X direkt). IMAP-Services entfernt (sind Mo's Scope, separat in ecosystem). - scripts/deploy.sh (NEU): adaptiert von /srv/rebreak/scripts/deploy.sh für backend/-Layout. APP_DIR=backend, pnpm --filter rebreak-backend build, .output → .output-staging atomic-move bleibt erhalten, pm2 restart --update-env zieht neue Infisical-Secrets. - scripts/deploy-webhook/server.mjs (NEU): 1:1-Kopie vom Server, damit ecosystem.config.js auf die Repo-Version zeigen kann. - ecosystem.config.js (NEU, root-level): rebreak-staging zeigt auf backend/start-staging.sh, rebreak-webhook zeigt auf scripts/deploy-webhook. rebreak-prod + dns-* sind kommentiert (folgen in späterer Phase). - ops/CUTOVER_PLAN.md: Plan-Doku vom 2026-05-06 (yesterday's work). - .gitignore: .claude/ und xgit ergänzt (lokale Agent-State, nicht versioniert). Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-07 00:35:50 +02:00 · 2026-05-07 00:35:50 +02:00 · d1b71e76b2
commit d1b71e76b2
parent 5dfbe886a4
8 changed files with 848 additions and 12 deletions
--- a/.gitignore
+++ b/.gitignore
@ -27,3 +27,9 @@ Thumbs.db
 .env
 .env.local
 *.local
 # Claude Code agent state (lokale Definitionen, nicht versioniert)
 .claude/
 # xgit binary (generated)
 xgit
--- a/.npmrc
+++ b/.npmrc
@ -0,0 +1 @@
 node-linker=hoisted
--- a/backend/nitro.config.ts
+++ b/backend/nitro.config.ts
@ -16,27 +16,65 @@ export default defineNitroConfig({
  },
  runtimeConfig: {
    // ─── Database / Core ─────────────────────────────────────────────────
    databaseUrl: process.env.DATABASE_URL ?? "",
    encryptionKey: process.env.ENCRYPTION_KEY ?? "",
    // ─── Admin / Cron ────────────────────────────────────────────────────
    adminSecret: process.env.ADMIN_SECRET ?? "",
    cronSecret: process.env.CRON_SECRET ?? "",
    // ─── LLM-Provider ────────────────────────────────────────────────────
    openrouterApiKey: process.env.OPENROUTER_API_KEY ?? "",
-    deepgramApiKey: process.env.DEEPGRAM_API_KEY ?? "",
+    openaiApiKey: process.env.OPENAI_API_KEY ?? "",
-    googleApiKey: process.env.GOOGLE_API_KEY ?? "",
+    groqApiKey: process.env.GROQ_API_KEY ?? "",
    googleAiApiKey: process.env.GOOGLE_AI_API_KEY ?? "",
    // ─── TTS-Provider ────────────────────────────────────────────────────
    googleApiKey: process.env.GOOGLE_API_KEY ?? "",
    deepgramApiKey: process.env.DEEPGRAM_API_KEY ?? "",
    azureTtsKey: process.env.AZURE_TTS_KEY ?? "",
    azureTtsRegion: process.env.AZURE_TTS_REGION ?? "",
-    openaiApiKey: process.env.OPENAI_API_KEY ?? "",
+    // NEU im backend/-Layout (existieren in nuxt.config.ts NICHT, aber backend code liest sie)
    cartesiaApiKey: process.env.CARTESIA_API_KEY ?? "",
    cartesiaVoiceId: process.env.CARTESIA_VOICE_ID ?? "",
    elevenlabsApiKey: process.env.ELEVENLABS_API_KEY ?? "",
    elevenlabsVoiceId: process.env.ELEVENLABS_VOICE_ID ?? "",
    // ─── Supabase (Server-only) ──────────────────────────────────────────
    // Im alten Nuxt-Layout via @nuxtjs/supabase auto-injected. In standalone Nitro
    // explizit deklarieren, damit auth/middleware nicht 500't.
    // server/utils/auth.ts:32 liest `config.public.supabase ?? config.supabase`,
    // also beide Pfade müssen existieren.
    supabaseUrl: process.env.SUPABASE_URL ?? "https://db-staging.rebreak.org",
    supabaseAnonKey: process.env.SUPABASE_ANON_KEY ?? "",
    supabaseServiceKey: process.env.SUPABASE_SERVICE_ROLE_KEY ?? "",
    // ─── Stripe ──────────────────────────────────────────────────────────
    stripeSecretKey: process.env.STRIPE_SECRET_KEY ?? "",
    stripeWebhookSecret: process.env.STRIPE_WEBHOOK_SECRET ?? "",
    // ─── Email / External APIs ───────────────────────────────────────────
    resendApiKey: process.env.RESEND_API_KEY ?? "",
-    encryptionKey: process.env.ENCRYPTION_KEY ?? "",
+
    // ─── Bot-User-IDs (DB-User-References für Lyra/Rebreak-Bot-Posts) ────
    lyraBotUserId: process.env.LYRA_BOT_USER_ID ?? "",
    rebreakBotUserId: process.env.REBREAK_BOT_USER_ID ?? "",
-    groqApiKey: process.env.GROQ_API_KEY ?? "",
+
-    cronSecret: process.env.CRON_SECRET ?? "",
+    // ─── Public (client-readable) ────────────────────────────────────────
    public: {
      stripePublishableKey: process.env.STRIPE_PUBLISHABLE_KEY ?? "",
      appUrl: process.env.APP_URL ?? "https://staging.rebreak.org",
      apiBase: process.env.API_BASE ?? "https://staging.rebreak.org",
      // server/utils/auth.ts liest config.public.supabase.{url,key}
      // — wenn das fehlt, 500-cascade auf allen authentifizierten Routes
      // (Incident 2026-05-06).
      supabase: {
        url:
          process.env.SUPABASE_URL ??
          "https://db-staging.rebreak.org",
        key: process.env.SUPABASE_ANON_KEY ?? "",
      },
    },
  },
 });
--- a/backend/start-staging.sh
+++ b/backend/start-staging.sh
@ -1,10 +1,27 @@
 #!/bin/bash
 # rebreak-backend Staging — startet Nitro mit Infisical-Secrets.
-# Pattern analog trucko-backend/start-prod.sh, aber env=staging.
+#
 # Pattern: infisical login (universal-auth) → infisical run (--env=staging)
 #   spritzt secrets als process.env.X in den node-Prozess.
 #   Nitro's runtimeConfig (siehe nitro.config.ts) liest sie direkt — kein
 #   NUXT_*-Prefix-Mapping mehr nötig (jeder Key in nitro.config.ts hat
 #   `process.env.X ?? ""` als Default).
 #
 # Pfad-Konvention (Backyard-Layout, post-cutover):
 #   - Repo-Root: /srv/rebreak
 #   - Backend-Dir: /srv/rebreak/backend
 #   - Build-Output (deployt von scripts/deploy.sh): backend/.output-staging/server/index.mjs
 #
 # IMAP-Services (rebreak-imap-staging, rebreak-idle-staging) sind NICHT mehr
 # Teil dieses Scripts — sie werden separat über ecosystem.config.js verwaltet
 # (Mo's Scope, fährt unter /srv/rebreak/apps/rebreak/imap-{proxy,idle}/).
 set -euo pipefail
 source /etc/environment
-if [[ -z "$INFISICAL_CLIENT_ID" || -z "$INFISICAL_CLIENT_SECRET" ]]; then
+if [[ -z "${INFISICAL_CLIENT_ID:-}" || -z "${INFISICAL_CLIENT_SECRET:-}" ]]; then
-  echo "❌ INFISICAL_CLIENT_ID / INFISICAL_CLIENT_SECRET nicht gesetzt in /etc/environment" >&2
+  echo "[start-staging] FEHLER: INFISICAL_CLIENT_ID / INFISICAL_CLIENT_SECRET nicht in /etc/environment" >&2
  exit 1
 fi
@ -15,7 +32,7 @@ INFISICAL_TOKEN=$(infisical login \
  --silent --plain 2>/dev/null)
 if [[ -z "$INFISICAL_TOKEN" ]]; then
-  echo "❌ Infisical login fehlgeschlagen" >&2
+  echo "[start-staging] FEHLER: Infisical login fehlgeschlagen" >&2
  exit 1
 fi
@ -24,8 +41,16 @@ export NITRO_PORT=3016
 export NITRO_HOST=127.0.0.1
 export PORT=3016
 NODE_BIN="/root/.nvm/versions/node/v24.11.1/bin/node"
 INDEX_MJS="/srv/rebreak/backend/.output-staging/server/index.mjs"
 if [[ ! -f "$INDEX_MJS" ]]; then
  echo "[start-staging] FEHLER: $INDEX_MJS nicht gefunden — wurde deploy.sh ausgeführt?" >&2
  exit 1
 fi
 exec infisical run \
-  --projectId="${INFISICAL_PROJECT_ID}" \
+  --projectId="${INFISICAL_PROJECT_ID:-14b11b35-ef59-4b8a-a16b-398f0cc3ad93}" \
  --env=staging \
  --token="$INFISICAL_TOKEN" \
-  -- /root/.nvm/versions/node/v24.11.1/bin/node /srv/rebreak-monorepo/backend/.output/server/index.mjs
+  -- "$NODE_BIN" "$INDEX_MJS"
--- a/ecosystem.config.js
+++ b/ecosystem.config.js
@ -0,0 +1,91 @@
 /**
 * ecosystem.config.js – PM2 Prozess-Konfiguration für Rebreak
 *                       (backend/-Layout, post-cutover)
 *
 * Repo-Root:  /srv/rebreak
 * Backend:    /srv/rebreak/backend  (standalone Nitro)
 * Node:       /root/.nvm/versions/node/v24.11.1/bin/node
 *
 * Aktivierung auf Server:
 *   pm2 startOrReload /srv/rebreak/ecosystem.config.js
 */
 const NODE_BIN = "/root/.nvm/versions/node/v24.11.1/bin/node";
 const REPO_ROOT = "/srv/rebreak";
 const APP_DIR = `${REPO_ROOT}/backend`;
 module.exports = {
  apps: [
    // ─── Rebreak Staging (Nitro standalone) ────────────────────────────────
    {
      name: "rebreak-staging",
      script: `${APP_DIR}/start-staging.sh`,
      interpreter: "bash",
      cwd: APP_DIR,
      instances: 1,
      autorestart: true,
      watch: false,
      max_memory_restart: "700M",
      env: {
        NODE_ENV: "production",
        PORT: "3016",
        NITRO_PORT: "3016",
      },
    },
    // ─── Rebreak Prod (Nitro standalone) ───────────────────────────────────
    // Wird erst aktiviert wenn Phase 3 (DNS-Cutover) abgeschlossen ist.
    // start-prod.sh wird analog start-staging.sh aufgesetzt
    // (existiert noch nicht im backend/ — nicht-blockierend für Cutover).
    // Start: pm2 start ecosystem.config.js --only rebreak
    // {
    //   name: "rebreak",
    //   script: `${APP_DIR}/start-prod.sh`,
    //   interpreter: "bash",
    //   cwd: APP_DIR,
    //   instances: 1,
    //   autorestart: true,
    //   watch: false,
    //   max_memory_restart: "700M",
    //   env: {
    //     NODE_ENV: "production",
    //     PORT: "3015",
    //     NITRO_PORT: "3015",
    //   },
    // },
    // ─── Webhook-Listener ──────────────────────────────────────────────────
    {
      name: "rebreak-webhook",
      script: `${REPO_ROOT}/scripts/deploy-webhook/server.mjs`,
      interpreter: NODE_BIN,
      cwd: REPO_ROOT,
      instances: 1,
      autorestart: true,
      watch: false,
      max_memory_restart: "128M",
    },
    // ─── DNS-Blocker (auskommentiert bis DNS-Daemons aufgesetzt sind) ──────
    // {
    //   name: "dns-rebreak",
    //   script: `${APP_DIR}/server/dns/start-prod.sh`,
    //   interpreter: "bash",
    //   cwd: `${APP_DIR}/server/dns`,
    //   instances: 1,
    //   autorestart: true,
    //   watch: false,
    //   max_memory_restart: "512M",
    // },
    // {
    //   name: "dns-rebreak-staging",
    //   script: `${APP_DIR}/server/dns/start-staging.sh`,
    //   interpreter: "bash",
    //   cwd: `${APP_DIR}/server/dns`,
    //   instances: 1,
    //   autorestart: true,
    //   watch: false,
    //   max_memory_restart: "512M",
    // },
  ],
 };
--- a/ops/CUTOVER_PLAN.md
+++ b/ops/CUTOVER_PLAN.md
@ -0,0 +1,407 @@
 # Rebreak Cutover-Plan: `apps/rebreak/` (Nuxt) → `backend/` (Standalone Nitro)
 **Verantwortlich:** Backyard-Scope (Hetzner-Pipeline + Cutover-Architektur)
 **Erstellt:** 2026-05-06
 **Status:** PLAN — nicht ausgeführt. Alle destruktiven Schritte sind ⚠️-markiert und bedürfen explizitem User-Approval.
 **Server:** `ssh rebreak-server` (49.13.55.22, rebreak-prod-01, CX23, 4 GB RAM)
 **Repo:** `git@github.com:RaynisDev/rebreak.git`
 ---
 ## 1. Status quo (Stand 2026-05-06, post-rollback)
 ### 1.1 Server `/srv/rebreak/` (live, Backyard's Layout)
 ```
 /srv/rebreak/
 ├── apps/
 │   ├── rebreak/                       ← Nuxt-App (LIVE)
 │   │   ├── nuxt.config.ts             ← runtimeConfig (vollständig)
 │   │   ├── start-staging.sh           ← Infisical login + jq-eval + NUXT_*-Mapping
 │   │   ├── server/api/...             ← API-Routes
 │   │   ├── .output-staging/           ← gebauter Output (pm2 fährt das)
 │   │   ├── imap-proxy/                ← Mo's Scope
 │   │   └── imap-idle/                 ← Mo's Scope
 │   └── rebreak-native/                ← React-Native-App
 ├── scripts/
 │   ├── deploy.sh                      ← cd apps/rebreak + pnpm --filter @trucko/rebreak build
 │   └── deploy-webhook/server.mjs      ← GitHub HMAC validator → spawnt deploy.sh
 ├── ecosystem.config.js                ← pm2 zeigt auf apps/rebreak/start-staging.sh
 └── ops/nginx/                         ← Source-tracking only (nicht live)
 ```
 - **Git-HEAD:** `6eca0b5` (rolled back, Backyard's working state)
 - **Branch:** `main`
 - **Remote-main:** `6eca0b5` (force-pushed back to safe state)
 - **pm2:** `rebreak-staging` online, `rebreak-imap-staging` online, `rebreak-idle-staging` online, `rebreak-webhook` online
 - **Smoke-Tests:** `https://staging.rebreak.org/` → 200, `/api/auth/me` → 401 (correct).
 ### 1.2 Mac `~/mono/rebreak-monorepo/` (Cutover-Target)
 ```
 ~/mono/rebreak-monorepo/
 ├── backend/                           ← Standalone Nitro (NEU)
 │   ├── nitro.config.ts                ← runtimeConfig UNVOLLSTÄNDIG (siehe §3)
 │   ├── start-staging.sh               ← infisical run wrapper, zeigt auf /srv/rebreak-monorepo/backend/.output/server/index.mjs
 │   ├── package.json                   ← name: rebreak-backend
 │   ├── prisma/                        ← Prisma 7
 │   ├── server/api/...
 │   └── tsconfig.json
 ├── apps/rebreak-native/
 ├── ops/nginx/                         ← gleiche Source-Tracking-Configs wie auf Server
 ├── pnpm-workspace.yaml                ← packages: apps/* + backend
 ├── package.json                       ← name: rebreak-monorepo
 └── xgit
 ```
 - **Git-HEAD:** `5dfbe88` (mit `cutover-llm-toggle-prep`-Arbeit, llmProvider-Toggle-Code)
 - **Branch:** `main` (Mac), preserved as `cutover-llm-toggle-prep` auf Remote
 - **Kein `.npmrc`** — siehe §3 Risiko Prisma 7 transitive deps
 ### 1.3 Was kaputt war (Incident 2026-05-06)
 User force-pushte aus dem neuen Mac-Repo (`backend/`-Layout) zu `RaynisDev/rebreak.git` →
 Server-Webhook triggerte `deploy.sh` → `cd /srv/rebreak/apps/rebreak` schlug fehl
 (Pfad existiert nicht im neuen Layout) bzw. anderer build-pfad lief → schließlich
 crashte Auth-Middleware mit HTTP 500: `Cannot read properties of undefined (reading 'url')`,
 weil `backend/nitro.config.ts.runtimeConfig` keine `supabase`-Section hat und die
 `@nuxtjs/supabase`-Module-Config (die das im alten Setup auto-injected) im Standalone-Nitro
 nicht mehr existiert. Cascade: alle authentifizierten Endpoints kaputt.
 **Rollback durchgeführt vor dieser Session:** `RaynisDev/rebreak.git` main = `6eca0b5`,
 Server-HEAD = `6eca0b5`, pm2 läuft wieder, HTTP 200 + 401.
 ---
 ## 2. Pipeline-Diagramm
 ### 2.1 Pipeline AKTUELL (Backyard-Layout, läuft)
 ```
 Mac (trucko-monorepo)         GitHub                       Hetzner-Server (49.13.55.22)
 ────────────────────         ───────                       ─────────────────────────────
 ./xgit "msg"        ─push──▶ RaynisDev/rebreak.git ─hook─▶ rebreak-webhook (pm2, :9000)
                                                            │  HMAC-validate
                                                            ▼
                                                            scripts/deploy.sh
                                                            │  cd /srv/rebreak
                                                            │  git fetch && reset --hard origin/main
                                                            │  pnpm install --frozen-lockfile
                                                            │  cd apps/rebreak
                                                            │  pnpm --filter @trucko/rebreak build
                                                            │  cp -r .output .output-staging-new
                                                            │  rm -rf .output-staging
                                                            │  mv .output-staging-new .output-staging
                                                            ▼
                                                            pm2 restart rebreak-staging
                                                            │  → bash apps/rebreak/start-staging.sh
                                                            │     → infisical login (universal-auth)
                                                            │     → infisical secrets --env=staging --output=json
                                                            │     → eval/export VAR=val + NUXT_*-Mapping
                                                            │     → pm2 start imap-staging + idle-staging
                                                            │     → exec node apps/rebreak/.output-staging/server/index.mjs
                                                            ▼
                                                            nginx: staging.rebreak.org → 127.0.0.1:3016
 ```
 ### 2.2 Pipeline ZIEL (nach Cutover, neues Layout)
 ```
 Mac (rebreak-monorepo)        GitHub                       Hetzner-Server
 ────────────────────         ───────                       ──────────────
 ./xgit "msg"        ─push──▶ RaynisDev/rebreak.git ─hook─▶ rebreak-webhook
                                                            ▼
                                                            scripts/deploy.sh   ← MUSS GEÄNDERT WERDEN
                                                            │  cd /srv/rebreak
                                                            │  git fetch && reset --hard origin/main
                                                            │  pnpm install --frozen-lockfile
                                                            │  cd backend                                  ← NEU
                                                            │  pnpm --filter rebreak-backend build         ← NEU
                                                            │  cp -r .output .output-staging-new           ← NEU (relativ zu backend/)
                                                            │  rm -rf .output-staging
                                                            │  mv .output-staging-new .output-staging
                                                            ▼
                                                            pm2 restart rebreak-staging
                                                            │  → bash backend/start-staging.sh             ← NEU
                                                            │     → infisical login + run --env=staging
                                                            │     → exec node backend/.output-staging/server/index.mjs
                                                            ▼
                                                            nginx: staging.rebreak.org → 127.0.0.1:3016
 ```
 **Wichtigste Pfad-Änderungen:**
 | Bereich | Vorher (live) | Nachher (Cutover) |
 |---|---|---|
 | App-Dir | `/srv/rebreak/apps/rebreak/` | `/srv/rebreak/backend/` |
 | Build-Filter | `pnpm --filter @trucko/rebreak build` | `pnpm --filter rebreak-backend build` |
 | Build-Output | `apps/rebreak/.output-staging/server/index.mjs` | `backend/.output-staging/server/index.mjs` |
 | Start-Script | `apps/rebreak/start-staging.sh` | `backend/start-staging.sh` |
 | ecosystem.config.js | zeigt auf apps/rebreak | zeigt auf backend |
 | start-staging.sh-Pattern | jq+eval+NUXT_*-Mapping | `infisical run -- node …/.output/server/index.mjs` (kein Mapping nötig — Nitro liest `process.env.X` direkt via runtimeConfig-Defaults) |
 **Achtung:** `backend/start-staging.sh` aktuell zeigt auf `/srv/rebreak-monorepo/backend/...` — falscher Pfad,
 muss `/srv/rebreak/backend/...` sein (siehe §4 Schritt 6).
 ---
 ## 3. Fehlende runtimeConfig-Keys
 Quelle 1: `/srv/rebreak/apps/rebreak/nuxt.config.ts` (live, vollständig)
 Quelle 2: grep `config.X` in `~/mono/rebreak-monorepo/backend/server/`
 Ziel: `backend/nitro.config.ts.runtimeConfig`
 ### 3.1 Keys die im AKTUELLEN `backend/nitro.config.ts` schon existieren (16 total)
 ✅ databaseUrl, adminSecret, openrouterApiKey, deepgramApiKey, googleApiKey, googleAiApiKey,
 azureTtsKey, azureTtsRegion, openaiApiKey, stripeSecretKey, stripeWebhookSecret, resendApiKey,
 encryptionKey, lyraBotUserId, rebreakBotUserId, groqApiKey, cronSecret +
 public.{stripePublishableKey, appUrl, apiBase}
 ### 3.2 Keys die FEHLEN (Cutover-Blocker)
 | Key | Quelle (Mac backend code) | Wofür | Default |
 |---|---|---|---|
 | `cartesiaApiKey` | `server/api/coach/speak-cartesia.post.ts:22` | Cartesia TTS API | `process.env.CARTESIA_API_KEY ?? ""` |
 | `cartesiaVoiceId` | `server/api/coach/speak-cartesia.post.ts:24` | Cartesia voice override | `process.env.CARTESIA_VOICE_ID ?? ""` |
 | `elevenlabsApiKey` | `server/api/coach/speak-elevenlabs.post.ts:26,34` | ElevenLabs TTS API | `process.env.ELEVENLABS_API_KEY ?? ""` |
 | `elevenlabsVoiceId` | `server/api/coach/speak-elevenlabs.post.ts:28` | ElevenLabs voice ID | `process.env.ELEVENLABS_VOICE_ID ?? ""` |
 > Diese 4 Keys sind in der live `nuxt.config.ts` **ebenfalls nicht deklariert** —
 > die TTS-Routes für Cartesia/ElevenLabs sind **NEU** in der `backend/`-Welt
 > (existieren als untracked files: `backend/server/api/coach/speak-cartesia.post.ts`
 > + `speak-elevenlabs.post.ts`). Cutover-Risiko: gering (alte Routes existierten gar nicht),
 > aber für Vollständigkeit muss `nitro.config.ts` diese Keys deklarieren, sonst
 > `config.cartesiaApiKey === undefined` zur Laufzeit.
 ### 3.3 Supabase-Keys (Hauptbruchstelle des Incidents)
 ⚠️ **Im aktuellen `backend/nitro.config.ts` fehlen `supabase.url` / `supabase.key` / `supabase.serviceKey` komplett.**
 Im alten Nuxt-Layout setzt `@nuxtjs/supabase` automatisch
 `config.public.supabase = { url, key }` aus dem `supabase: { ... }`-Block.
 Im standalone-Nitro gibt es kein Modul → muss explizit deklariert werden.
 Backend-Code-Aufrufer (siehe `server/utils/auth.ts:30` etc.) lesen Supabase
 typischerweise via `@supabase/supabase-js`-Client, der direkt `process.env.SUPABASE_URL` /
 `SUPABASE_SERVICE_ROLE_KEY` liest. Trotzdem: für Konsistenz mit Frontend/native
 und falls irgendein File `config.public.supabase.url` liest, **müssen wir
 `public.supabase.{url, key}` und top-level `supabaseServiceKey` ergänzen**.
 → siehe `backend/nitro.config.ts.cutover-draft` für vollständige Liste.
 ### 3.4 Verifikation des Cutover-Drafts
 Nach Cutover:
 ```
 ssh rebreak-server "tr '\\0' '\\n' < /proc/$(ss -tlnp | grep :3016 | grep -oE 'pid=[0-9]+' | cut -d= -f2)/environ | grep -E 'API_KEY|SUPABASE|JWT|SECRET' | sort"
 ```
 Liste muss alle erwarteten Werte enthalten. Wenn `process.env.X` leer ist, ist
 Infisical-Wrapper kaputt — siehe `feedback_infisical_secrets.md` Verify-Trick.
 ---
 ## 4. Cutover-Sequence (sequentiell abarbeiten, jeden Step bestätigen lassen)
 > Annahme: Mac-Repo ist auf einem Pre-Cutover-Branch (z.B. `cutover-llm-toggle-prep`),
 > `main` lokal = `5dfbe88`. Server `main` = `6eca0b5`. Webhook ist online.
 ### Phase A — Vorbereitung (nicht-destruktiv, lokal auf Mac)
 **Step 1.** Aktiviere `backend/nitro.config.ts.cutover-draft` →
 nach Review der Datei: `mv backend/nitro.config.ts.cutover-draft backend/nitro.config.ts`.
 **Step 2.** Aktiviere `.npmrc.cutover-draft` →
 `mv .npmrc.cutover-draft .npmrc` (Repo-root-level, sorgt für `node-linker=hoisted`).
 **Step 3.** Korrigiere Pfad in `backend/start-staging.sh` Zeile 31:
 - VORHER: `/srv/rebreak-monorepo/backend/.output/server/index.mjs`
 - NACHHER: `/srv/rebreak/backend/.output-staging/server/index.mjs` (analog zur prod-pattern: gebauten output nach `.output-staging` movt deploy.sh).
 **Step 4.** Lokaler Build-Test: `cd backend && pnpm install && pnpm build`. Muss `.output/server/index.mjs` produzieren.
 **Step 5.** Smoke-Test lokal: `node backend/.output/server/index.mjs` mit allen ENV-Vars manuell gesetzt → Health-Check (Port 3016).
 ### Phase B — Server-Vorbereitung (read-only, kein Eingriff in laufendes System)
 **Step 6.** SSH-Vergleich: `ssh rebreak-server "ls /srv/rebreak/"`. Verifiziere dass `backend/`-Pfad NICHT existiert (sonst stale Files vom letzten Force-Push-Versuch).
 **Step 7.** ⚠️ **Falls stale `backend/` existiert:** `ssh rebreak-server "ls -la /srv/rebreak/backend/ 2>&1"` Output an User eskalieren. **NICHT selbst löschen.**
 **Step 8.** Infisical-Secrets Audit: User soll bestätigen dass alle in §3.2 + §3.3 genannten
 Keys (CARTESIA_API_KEY, ELEVENLABS_API_KEY, SUPABASE_URL, SUPABASE_SERVICE_ROLE_KEY etc.)
 im Infisical-staging-Env existieren. **NICHT selbst Infisical-CLI ausführen** (Token-Scope-Risiko).
 ### Phase C — Pipeline-Anpassung (auf Mac, dann xgit)
 **Step 9.** Edit `scripts/deploy.sh` (Mac-Repo erstellen, Server hat noch alte Version):
 - `APP_DIR="${REPO_ROOT}/apps/rebreak"` → `APP_DIR="${REPO_ROOT}/backend"`
 - `pnpm --filter @trucko/rebreak build` → `pnpm --filter rebreak-backend build`
 **Step 10.** Edit `ecosystem.config.js` (falls im neuen Repo gemirrort wird — derzeit ist es nur auf Server):
 - `script: \`${APP_DIR}/start-staging.sh\`` (APP_DIR jetzt = backend)
 - `cwd: APP_DIR` analog
 - Webhook-Eintrag `script: \`${REPO_ROOT}/scripts/deploy-webhook/server.mjs\`` bleibt (existiert weiter unter scripts/).
 > **Klärung an User:** Liegt `scripts/deploy.sh` und `ecosystem.config.js` im neuen Mac-Repo? Falls nein, müssen sie aus `/srv/rebreak/` rüberkopiert + angepasst werden. Wenn der Webhook auf dem Server diese Files NICHT aus dem Repo zieht (sondern lokal vorhält), dann werden Step 9+10 zu manuellen Server-Edits — siehe Step 14 ⚠️.
 ### Phase D — Deploy (DESTRUKTIV)
 **Step 11. ⚠️** Sichere Backyard-State auf Server: `ssh rebreak-server "cd /srv/rebreak && git tag -a backyard-pre-cutover -m 'Pre-cutover safe-state 6eca0b5' 6eca0b5"` — User-OK einholen (read-only-tag, aber zur Sicherheit).
 **Step 12. ⚠️** Force-push neuen Layout-State: aus `~/mono/rebreak-monorepo` mit `./xgit "cutover: backend/-Layout aktiviert"`.
 - Webhook-Triggert deploy.sh AUTOMATISCH.
 - **Risiko:** alte deploy.sh ist auf `apps/rebreak/`-Pfad fixiert, wird also `cd: apps/rebreak: No such file` werfen → build crash → kein restart, alter `.output-staging` läuft weiter.
 - **Mitigation:** Der CRASH ist gewollt — er verhindert dass kaputter Code gestartet wird. Server bleibt auf laufenden `rebreak-staging` (alter index.mjs) live.
 **Step 13. ⚠️** Manueller Server-Edit für `scripts/deploy.sh` UND `ecosystem.config.js`:
 - **NICHT von dieser Agent-Session ausgeführt — User macht das selbst.**
 - Alternativen je nach User-Wahl: (a) ssh + sed-Edit der Server-Files (b) deploy.sh wird Teil des Repos und der webhook-deploy-flow zieht es aus dem Repo (cleaner, aber selbst-referentielles Bootstrap-Problem: alter deploy.sh muss erst die neue deploy.sh ans richtige `scripts/`-Pfad kopieren).
 - **Empfehlung:** (a) für ersten Cutover, danach (b) als follow-up commit.
 **Step 14. ⚠️** Trigger Re-Deploy nach Server-deploy.sh-Edit: `ssh rebreak-server "bash /srv/rebreak/scripts/deploy.sh"` ODER neuer xgit-trivial-commit (z.B. README touch). User-Wahl.
 **Step 15. ⚠️** Manueller pm2-restart falls deploy.sh letzten restart noch nicht getriggert hat:
 `ssh rebreak-server "pm2 restart rebreak-staging --update-env"`. Das `--update-env` ist wichtig damit
 neue Infisical-secrets gezogen werden.
 ### Phase E — Verifikation (read-only)
 **Step 16.** `ssh rebreak-server "pm2 logs rebreak-staging --nostream --lines 50"` — keine 500er, kein crash-loop.
 **Step 17.** Endpoint-Tests (siehe §6 Test-Checklist).
 **Step 18.** Wenn 30 Minuten stable: cleanup `ssh rebreak-server "rm -rf /srv/rebreak/apps/rebreak/.output-staging /srv/rebreak/apps/rebreak/.output"`. **An User eskalieren — `rm -rf` ist destruktiv.**
 ---
 ## 5. Rollback-Plan (Cutover scheitert, <5 min)
 ### 5.1 Schneller Rollback (Webhook re-triggert alter HEAD)
 ```
 # Aus Mac-Repo:
 git checkout main
 git reset --hard 6eca0b5    # Backyard's safe state
 git push --force origin main  # ⚠️ destructiv, User-OK
 # Dann auf Server:
 ssh rebreak-server "cd /srv/rebreak && git reset --hard 6eca0b5"  # ⚠️
 ssh rebreak-server "bash /srv/rebreak/scripts/deploy.sh"           # alter deploy.sh, alter Pfad
 ssh rebreak-server "pm2 restart rebreak-staging --update-env"
 ```
 ### 5.2 Falls Server `scripts/deploy.sh` schon im Cutover modifiziert wurde
 User muss manuell die alte Version aus `git show 6eca0b5:scripts/deploy.sh > /srv/rebreak/scripts/deploy.sh` schreiben (read-only-Mac, dann scp), bevor Re-Deploy klappt.
 ### 5.3 Falls `.output-staging` bereits gelöscht wurde
 ```
 ssh rebreak-server "cd /srv/rebreak/apps/rebreak && pnpm --filter @trucko/rebreak build && cp -r .output .output-staging"
 ```
 Vorher User-OK einholen (Build dauert 90-180s, zwischenzeitlich keine Auth möglich).
 ### 5.4 Smoke-Test nach Rollback
 ```
 curl -s -o /dev/null -w '%{http_code}\n' https://staging.rebreak.org/
 curl -s -o /dev/null -w '%{http_code}\n' https://staging.rebreak.org/api/auth/me
 # Erwartung: 200 + 401
 ```
 ---
 ## 6. Test-Checklist nach Cutover
 **Pflicht (alle müssen pass):**
 - [ ] `GET https://staging.rebreak.org/` → 200
 - [ ] `GET https://staging.rebreak.org/api/auth/me` → 401 (unauthenticated, NICHT 500)
 - [ ] `GET https://staging.rebreak.org/api/auth/me` mit gültigem JWT → 200 + user-data
 - [ ] `POST https://staging.rebreak.org/api/coach/sos-session` mit JWT → 200 + sessionId
 - [ ] `GET https://staging.rebreak.org/api/coach/sos-stream?session=<id>` → SSE stream openend
 - [ ] `POST /api/coach/speak-google` mit JWT → audio/mpeg blob
 - [ ] `POST /api/coach/speak-deepgram` mit JWT → audio blob
 - [ ] `POST /api/coach/speak-gemini` mit JWT → audio blob
 - [ ] `POST /api/coach/speak-cartesia` mit JWT → audio blob (NEU)
 - [ ] `POST /api/coach/speak-elevenlabs` mit JWT → audio blob (NEU)
 - [ ] `POST /api/coach/transcribe` mit audio + JWT → text
 - [ ] `GET /api/community/posts` mit JWT → posts-array
 - [ ] `GET /api/dns/profile` mit JWT → profile-config (achtet auf `config.public.appUrl.includes("staging")`)
 - [ ] `GET /api/lyra/welcome-back` mit JWT → message
 - [ ] `POST /api/stripe/checkout` mit JWT → session-url
 **Best-effort (admin/cron):**
 - [ ] `GET /api/admin/stats?secret=<adminSecret>` → 200
 - [ ] `POST /api/cron/lyra-post?secret=<cronSecret>` → 200/204
 **Process-Health:**
 - [ ] `pm2 logs rebreak-staging --nostream --lines 100` — keine 500er, keine crash-restarts
 - [ ] `pm2 jlist | jq '.[] | select(.name=="rebreak-staging") | .pm2_env.restart_time'` → 0 increments über 5 min
 - [ ] `tr '\0' '\n' < /proc/<node-pid>/environ | grep -E 'API_KEY|SUPABASE'` → alle keys present
 **iOS/Android-App-Test (User-Side):**
 - [ ] App-Login → User-Profile lädt
 - [ ] SOS-Session öffnen → Lyra streamt + spricht (TtsProvider beide testen)
 - [ ] Community-Tab → posts laden
 - [ ] DNS-Profile-Sync läuft
 ---
 ## 7. Risiken + Open Questions
 ### Risiken
 - **R1 (high):** `scripts/deploy.sh` und `ecosystem.config.js` sind auf dem Server, NICHT im Repo. Cutover-Bootstrap ist selbstreferentiell — entweder manueller Server-Edit (Step 13) ODER Repo-Migration der Files. Diese Sequenz hat ein narrow window in dem ein altes deploy.sh gegen neue Repo-Struktur baut → fail.
 - **R2 (medium):** `node-linker=hoisted` in `.npmrc` muss BEFORE first `pnpm install` aktiv sein, sonst landet `@prisma/client-runtime-utils` in einem nested `node_modules/.pnpm/...` und ESM-Loader findet's nicht. Step 2 muss vor Step 4 passieren. Strikte Order.
 - **R3 (medium):** `start-staging.sh` im neuen Backend nutzt `infisical run -- node ...` — beim alten gab es `eval` von secrets-JSON. Falls irgendeine ENV-Var-Mapping-Magie (NUXT_*-Prefix) gebraucht wird, muss sie nachgezogen werden. Audit nötig: existiert ein Code-Pfad der `process.env.NUXT_X` direkt liest und nicht via `useRuntimeConfig`?
 - **R4 (low):** PWA-Manifest + i18n-locales aus `nuxt.config.ts` haben kein Äquivalent in standalone Nitro. Falls App-Frontend (rebreak-native) auf SSR-i18n-Endpoints angewiesen ist → kaputt. Native-App-Test im Detail.
 - **R5 (low):** `nitro.config.externals.inline: [/^(?!@supabase\/supabase-js)/]` ist eine Anti-pattern-Regex (matched fast alles). Möglicherweise produziert sie unerwartet riesige `.output`-bundles. Code-Review im Cutover-PR sinnvoll.
 ### Open Questions an User
 1. **Sollen `scripts/deploy.sh` + `ecosystem.config.js` Teil des Cutover-Commits werden** (im Repo unter `scripts/` und `ecosystem.config.js` Root)? Das vermeidet manuelle Server-Edits und ist Backyard-konform. Bootstrap-Frage: einmaliger manueller `git pull && cp scripts/deploy.sh /srv/rebreak/scripts/` first-time, danach automatisch.
 2. **`backend/start-staging.sh` Pfad:** soll auf `/srv/rebreak/backend/.output-staging/server/index.mjs` zeigen (analog Backyard's apps/rebreak-Pattern, mit deploy.sh-`.output → .output-staging` move) ODER direkt `/srv/rebreak/backend/.output/server/index.mjs` (ohne staging-suffix-Move)? Erste Variante = Konsistenz mit Backyard. Zweite = simpler Cutover.
 3. **Webhook-Build-Filter:** soll der Filter `pnpm --filter rebreak-backend build` den Frontend-Native-App-Build IGNORIEREN (bisher: nur Backend baut)? Die rebreak-native-App buildet via Capacitor/Metro, nicht via pnpm — also ist `--filter rebreak-backend` korrekt restriktiv. Bestätigen.
 4. **Gibt es eine Test-Staging-Umgebung** wo wir den Cutover proben können bevor wir die echte staging.rebreak.org nehmen? Andernfalls ist DiGA-User-Test-Window (TestFlight) während Cutover potentiell down.
 5. **Cartesia/ElevenLabs-Secrets in Infisical:** existieren `CARTESIA_API_KEY` und `ELEVENLABS_API_KEY` schon im staging-Env? Falls nein, sind die neuen TTS-Routes nach Cutover broken (404-degradation, nicht 500 — `if (!key) return error`).
 ---
 ## 8. Operations-Cheatsheet (post-Cutover)
 ```
 # Logs live
 ssh rebreak-server "pm2 logs rebreak-staging --lines 100"
 # Manueller Re-Deploy (nur bei broken webhook)
 ssh rebreak-server "bash /srv/rebreak/scripts/deploy.sh"
 # pm2-status
 ssh rebreak-server "pm2 list"
 # Verify .output-staging is fresh
 ssh rebreak-server "stat -c '%y' /srv/rebreak/backend/.output-staging/server/index.mjs"
 # Verify config-key present in built bundle
 ssh rebreak-server "grep -l 'cartesiaApiKey' /srv/rebreak/backend/.output-staging/server/chunks/*.mjs"
 # Check ENV-Vars in running node-process
 ssh rebreak-server "tr '\\0' '\\n' < /proc/\$(ss -tlnp | grep :3016 | grep -oE 'pid=[0-9]+' | cut -d= -f2)/environ | grep -E 'CARTESIA|ELEVENLABS|SUPABASE' | sort"
 # nginx reload (NUR wenn nginx-conf changed; wir machen das nicht in diesem Cutover)
 ssh rebreak-server "nginx -t && systemctl reload nginx"
 ```
 **KEIN-GO-Liste (gilt während Cutover und danach):**
 - ❌ `pm2 delete rebreak-staging` (nur restart)
 - ❌ `git reset --hard` direkt auf Server (deploy.sh macht das offiziell)
 - ❌ `rm -rf` auf `/srv/rebreak/...` ohne explizites User-OK
 - ❌ DNS-Änderungen
 - ❌ Infisical-Token-Rotation
 - ❌ `pnpm install` parallel zum Webhook-Deploy (OOM auf 4 GB)
--- a/scripts/deploy-webhook/server.mjs
+++ b/scripts/deploy-webhook/server.mjs
@ -0,0 +1,175 @@
 #!/usr/bin/env node
 /**
 * Rebreak GitHub Webhook Listener
 *
 * Empfängt GitHub push-Events, validiert HMAC-SHA256-Signatur,
 * und triggert das deploy.sh Script im Hintergrund.
 *
 * Port: 9000 (intern, wird von nginx reverse-proxied)
 * Secret: GITHUB_WEBHOOK_SECRET in /etc/environment (via Infisical)
 */
 import http from "http";
 import crypto from "crypto";
 import { spawn } from "child_process";
 import { readFileSync } from "fs";
 const REPO_ROOT = "/srv/rebreak";
 const DEPLOY_SCRIPT = `${REPO_ROOT}/scripts/deploy.sh`;
 const PORT = 9000;
 // Lade GITHUB_WEBHOOK_SECRET aus /etc/environment
 function loadEnvFile() {
  try {
    const content = readFileSync("/etc/environment", "utf-8");
    for (const line of content.split("\n")) {
      const match = line.match(/^([^=]+)="?([^"]*)"?$/);
      if (match) process.env[match[1]] = match[2];
    }
  } catch {
    // /etc/environment nicht lesbar – Env-Vars müssen anderweitig gesetzt sein
  }
 }
 loadEnvFile();
 const WEBHOOK_SECRET = process.env.GITHUB_WEBHOOK_SECRET;
 if (!WEBHOOK_SECRET) {
  console.error(
    "[Webhook] FATAL: GITHUB_WEBHOOK_SECRET nicht in /etc/environment gesetzt",
  );
  process.exit(1);
 }
 function verifySignature(secret, signature, payload) {
  const hmac = crypto.createHmac("sha256", secret);
  hmac.update(payload, "utf-8");
  const digest = `sha256=${hmac.digest("hex")}`;
  try {
    return crypto.timingSafeEqual(
      Buffer.from(signature),
      Buffer.from(digest),
    );
  } catch {
    return false;
  }
 }
 // Deploy-Queue: verhindert parallele Builds (OOM-Schutz auf 4 GB RAM)
 let deployRunning = false;
 let pendingDeploy = false;
 function runDeploy() {
  if (deployRunning) {
    pendingDeploy = true;
    console.log("[Webhook] Deploy already running – queued next deploy");
    return;
  }
  deployRunning = true;
  console.log("[Webhook] Starting deploy.sh...");
  const proc = spawn("bash", [DEPLOY_SCRIPT], {
    cwd: REPO_ROOT,
    stdio: ["ignore", "pipe", "pipe"],
    detached: false,
  });
  proc.stdout.on("data", (d) => process.stdout.write(`[deploy] ${d}`));
  proc.stderr.on("data", (d) => process.stderr.write(`[deploy:err] ${d}`));
  proc.on("close", (code) => {
    deployRunning = false;
    console.log(`[Webhook] deploy.sh exited with code ${code}`);
    if (pendingDeploy) {
      pendingDeploy = false;
      console.log("[Webhook] Running queued deploy...");
      runDeploy();
    }
  });
  proc.on("error", (err) => {
    deployRunning = false;
    console.error("[Webhook] deploy.sh spawn error:", err.message);
    if (pendingDeploy) {
      pendingDeploy = false;
      runDeploy();
    }
  });
 }
 const server = http.createServer((req, res) => {
  if (req.method !== "POST" || req.url !== "/webhook") {
    res.writeHead(404);
    res.end("Not found");
    return;
  }
  let body = "";
  req.on("data", (chunk) => (body += chunk));
  req.on("end", () => {
    const sig = req.headers["x-hub-signature-256"];
    if (!sig) {
      res.writeHead(401);
      res.end(JSON.stringify({ error: "Missing signature" }));
      return;
    }
    if (!verifySignature(WEBHOOK_SECRET, sig, body)) {
      res.writeHead(401);
      res.end(JSON.stringify({ error: "Invalid signature" }));
      return;
    }
    let payload;
    try {
      payload = JSON.parse(body);
    } catch {
      res.writeHead(400);
      res.end(JSON.stringify({ error: "Invalid JSON" }));
      return;
    }
    const branch = payload.ref?.split("/").pop();
    if (branch !== "main") {
      console.log(`[Webhook] Ignoring non-main branch: ${branch}`);
      res.writeHead(200);
      res.end(JSON.stringify({ ok: false, reason: "Not main branch", branch }));
      return;
    }
    const changedFiles = (payload.commits || []).flatMap((c) => [
      ...(c.added || []),
      ...(c.modified || []),
      ...(c.removed || []),
    ]);
    console.log(
      `[Webhook] Push to main by ${payload.pusher?.name} – ${changedFiles.length} files changed`,
    );
    console.log("[Webhook] Changed files:", changedFiles.slice(0, 10));
    res.writeHead(202);
    res.end(
      JSON.stringify({
        ok: true,
        message: deployRunning
          ? "Deploy queued (previous still running)"
          : "Deploy started",
        files: changedFiles.length,
      }),
    );
    // Asynchron deployen – Response ist bereits gesendet
    runDeploy();
  });
 });
 server.listen(PORT, "127.0.0.1", () => {
  console.log(`[Webhook] Listening on http://127.0.0.1:${PORT}/webhook`);
  console.log(`[Webhook] Secret loaded: ${WEBHOOK_SECRET ? "yes" : "NO – FATAL"}`);
 });
 process.on("SIGTERM", () => {
  console.log("[Webhook] SIGTERM received, shutting down");
  server.close(() => process.exit(0));
 });
--- a/scripts/deploy.sh
+++ b/scripts/deploy.sh
@ -0,0 +1,93 @@
 #!/bin/bash
 # deploy.sh – Rebreak Deploy Script (backend/-Layout, post-cutover)
 #
 # Wird vom Webhook-Listener (scripts/deploy-webhook/server.mjs) aufgerufen.
 # Repo-Root: /srv/rebreak
 # Clone:     git@github.com:RaynisDev/rebreak.git
 # Backend:   /srv/rebreak/backend  (standalone Nitro, package: rebreak-backend)
 #
 # Ablauf:
 #   1. Git pull (via Deploy-Key)
 #   2. pnpm install --frozen-lockfile (mit hoisted node-linker via .npmrc)
 #   3. cd backend && pnpm --filter rebreak-backend build (Prisma generate + Nitro build)
 #   4. .output → .output-staging (atomisch via tmp)
 #   5. pm2 restart rebreak-staging --update-env
 #   6. pm2 restart rebreak-imap-staging / rebreak-idle-staging (best-effort, falls vorhanden)
 #   7. pm2 restart dns-rebreak-staging / dns-rebreak (best-effort, falls vorhanden)
 #
 # Secrets: via Infisical (INFISICAL_CLIENT_ID/SECRET in /etc/environment) — NICHT hier,
 #          sondern in start-staging.sh / ecosystem.config.js zur Laufzeit.
 set -euo pipefail
 REPO_ROOT="/srv/rebreak"
 APP_DIR="${REPO_ROOT}/backend"
 NODE_BIN="/root/.nvm/versions/node/v24.11.1/bin/node"
 PNPM_BIN="/root/.nvm/versions/node/v24.11.1/bin/pnpm"
 PM2_BIN="/root/.nvm/versions/node/v24.11.1/bin/pm2"
 log() { echo "[deploy] $(date '+%H:%M:%S') $*"; }
 log_err() { echo "[deploy:err] $(date '+%H:%M:%S') $*" >&2; }
 log "=== Rebreak Deploy gestartet (backend/-Layout) ==="
 # 0. Sicherstellen dass PATH stimmt
 export PATH="/root/.nvm/versions/node/v24.11.1/bin:$PATH"
 # 1. Git pull via Deploy-Key (SSH ist konfiguriert in /root/.ssh/config)
 log "Step 1: git pull..."
 cd "${REPO_ROOT}"
 git fetch origin main 2>&1
 git reset --hard origin/main 2>&1
 git clean -fd 2>&1
 log "Git updated to $(git rev-parse --short HEAD)"
 # 2. pnpm install (workspace-root, .npmrc mit node-linker=hoisted ist im Repo)
 log "Step 2: pnpm install --frozen-lockfile..."
 cd "${REPO_ROOT}"
 CI=true "${PNPM_BIN}" install --frozen-lockfile 2>&1 || {
  log_err "frozen-lockfile fehlgeschlagen, fallback ohne frozen..."
  CI=true "${PNPM_BIN}" install --no-frozen-lockfile 2>&1
 }
 log "pnpm install done"
 # 3. Build backend (Nitro standalone) — Prisma generate ist Teil des build-scripts
 log "Step 3: pnpm --filter rebreak-backend build..."
 cd "${APP_DIR}"
 # NODE_OPTIONS: max 1.5 GB für den Build-Prozess (4 GB RAM Server)
 NODE_OPTIONS="--max-old-space-size=1536" CI=true "${PNPM_BIN}" --filter rebreak-backend build 2>&1
 log "Build done"
 # 4. Atomisches Deploy: .output → .output-staging (relativ zu backend/)
 log "Step 4: Atomisches Deploy .output → .output-staging..."
 cd "${APP_DIR}"
 if [ -d ".output" ]; then
  rm -rf .output-staging-new
  cp -r .output .output-staging-new
  rm -rf .output-staging
  mv .output-staging-new .output-staging
  log ".output-staging aktualisiert"
 else
  log_err "FEHLER: .output Verzeichnis nicht gefunden nach Build!"
  exit 1
 fi
 # 5. pm2 restart rebreak-staging (--update-env zieht neue Infisical-secrets)
 log "Step 5: pm2 restart rebreak-staging..."
 "${PM2_BIN}" restart rebreak-staging --update-env 2>/dev/null || \
  "${PM2_BIN}" start "${REPO_ROOT}/ecosystem.config.js" --only rebreak-staging
 log "rebreak-staging restarted"
 # 6. IMAP + DNS Services (optional – kein Fehler wenn nicht vorhanden, Mo's Scope)
 log "Step 6: Optional services restart..."
 "${PM2_BIN}" restart rebreak-imap-staging 2>/dev/null || true
 "${PM2_BIN}" restart rebreak-idle-staging 2>/dev/null || true
 "${PM2_BIN}" restart dns-rebreak-staging 2>/dev/null || \
  "${PM2_BIN}" start "${REPO_ROOT}/ecosystem.config.js" --only dns-rebreak-staging 2>/dev/null || true
 "${PM2_BIN}" restart dns-rebreak 2>/dev/null || \
  "${PM2_BIN}" start "${REPO_ROOT}/ecosystem.config.js" --only dns-rebreak 2>/dev/null || true
 # 7. pm2 save
 "${PM2_BIN}" save 2>/dev/null || true
 log "=== Deploy erfolgreich: $(git -C ${REPO_ROOT} rev-parse --short HEAD) ==="