260322:1648 Correct Coresspondence / Doing RFA / Correct CI

specs/02-architecture/02-01-system-context.md

@@ -8,16 +8,19 @@ status: first-draft
 owner: Nattanin Peancharoen
 last_updated: 2026-02-23
 related:
-  - specs/01-requirements/01-objectives.md
-  - specs/03-implementation/03-01-fullftack-js-v1.7.0.md
+
+- specs/01-requirements/01-objectives.md
+- specs/03-implementation/03-01-fullftack-js-v1.7.0.md
 
 ---
 
 ## 1. 📋 ภาพรวมระบบ (System Overview)
+
 ระบบ LCBP3-DMS (Laem Chabang Port Phase 3 - Document Management System) ถูกออกแบบด้วยสถาปัตยกรรมแบบ **Headless/API-First Architecture** โดยทำงานแบบ **On-Premise 100%** บนเครื่องเซอร์ฟเวอร์ QNAP และ ASUSTOR
 ระบบทั้งหมดทำงานอยู่ภายใต้สภาวะแวดล้อมแบบ **Container Isolation** (ผ่าน Container Station) เพื่อความปลอดภัย, ง่ายต่อการจัดการ, และไม่ยึดติดกับ Hardware (Hardware Agnostic)
 
 ### 1.1 Architecture Principles
+
 1. **Data Integrity First:** ความถูกต้องของข้อมูลต้องมาก่อนทุกอย่าง
 2. **Security by Design & Container Isolation:** รักษาความปลอดภัยที่ทุกชั้น และแยกส่วนการทำงานของแต่ละระบบอย่างชัดเจน (Network Segmentation & Containerization)
 3. **On-Premise First:** ข้อมูลและระบบงานทั้งหมดต้องอยู่ภายในเครือข่ายของโครงการเท่านั้น
@@ -27,6 +30,7 @@ related:
 ## 2. 🏢 มาตรฐานการติดตั้ง On-Premise (QNAP/ASUSTOR Installation Standards)
 
 ### 2.1 Hardware Infrastructure
+
 - **Primary Server (QNAP TS-473A):**
   - IP: 192.168.10.8 (VLAN 10)
   - Role: Primary NAS for DMS, Container Host
@@ -37,7 +41,9 @@ related:
 - **Network Interface:** NAS ทั้งสองตัวใช้ LACP bonding แบบ IEEE 802.3ad เพื่อเพิ่ม bandwidth และ redundancy
 
 ### 2.2 Container Isolation & Environment
+
 อ้างอิงข้อจำกัดและมาตรฐานของระบบ Container Station บน QNAP:
+
 - **Containerization Engine:** Docker & Docker Compose
 - **Network Isolation:** ทุกคอนเทนเนอร์ (Frontend, Backend, Database, Redis, Search) จะต้องเชื่อมต่อกันผ่าน Internal Docker Network ชื่อ `lcbp3` เท่านั้น ห้าม Expose Port ออกสู่ภายนอกโดยไม่จำเป็น
 - **Reverse Proxy:** ใช้ Nginx Proxy Manager (`npm.np-dms.work`) เป็น Gateway (Load Balancer & SSL Termination) รับ Traffic เพียงจุดเดียวบน Port 80/443 และ Map เข้าสู่ Internal Docker Network
@@ -51,6 +57,7 @@ related:
 ระบบจัดแบ่งเครือข่ายออกเป็น VLANs ต่างๆ เพื่อการควบคุมการเข้าถึงตามหลักการ Zero Trust ย่อยๆ โดยใช้อุปกรณ์เครือข่าย (ER7206 Router & SG2428P Core Switch) ในการบังคับใช้ ACL:
 
 ### 3.1 VLAN Configuration
+
 | VLAN ID | Name   | Purpose            | Subnet          | Gateway      | Notes                                     |
 | ------- | ------ | ------------------ | --------------- | ------------ | ----------------------------------------- |
 | 10      | SERVER | Server & Storage   | 192.168.10.0/24 | 192.168.10.1 | Servers (QNAP, ASUSTOR). Static IPs ONLY. |
@@ -62,6 +69,7 @@ related:
 | 70      | GUEST  | Guest Wi-Fi        | 192.168.70.0/24 | 192.168.70.1 | Isolated Internet Access only.            |
 
 ### 3.2 Network ACL & Isolation Rules
+
 - **SERVER Isolation:** `VLAN 30 (USER)` สามารถเข้าถึง `VLAN 10 (SERVER)` ได้เฉพาะพอร์ตที่จำเป็น (HTTP/HTTPS/SSH)
 - **MGMT Restriction:** ไม่อนุญาตให้ `VLAN 30 (USER)` เข้าถึง `VLAN 20 (MGMT)` โดยเด็ดขาด
 - **Device Isolation:** `CCTV`, `VOICE`, และ `GUEST` แยกขาดออกจากวงอื่นๆ (Deny-All to Internal)
@@ -83,6 +91,7 @@ related:
 | **Search**   | -                | -                   | Elasticsearch   | Full-text Indexing |
 
 ## 5. 📊 Data Flow & Interactions
+
 1. **User Request:** ผู้ใช้งานส่ง Request ไปที่โดเมนผ่าน HTTP/HTTPS
 2. **Reverse Proxy:** Nginx Proxy Manager รับ Request, ตรวจสอบ SSL, และ Forward ไปให้ Frontend หรือ Backend ในวง Docker Network
 3. **API Processing:** Backend รัน Business Logic, ประมวลผล Authentication (JWT) และ Permissions (RBAC via Redis Cache)
@@ -90,6 +99,7 @@ related:
 5. **Storage Process:** ไฟล์ถูกคัดกรองผ่าน ClamAV (ถ้ามี) และเก็บลง Storage `/share/dms-data` บน QNAP แบบ Two-Phase Storage (Temp -> Permanent) เพื่อป้องกัน Orphan Files
 
 ## 6. 💾 Backup & Disaster Recovery (DR)
+
 - **Database Backup:** ทำ Automated Backup รายวันด้วย QNAP HBS 3 หรือ mysqldump
 - **File Backup:** ทำ Snapshot หรือ rsync จาก `/share/dms-data` บนเครื่องหลัก (QNAP) ไปยังเครื่องสำรอง (ASUSTOR) อย่างสม่ำเสมอ
 - **Recovery Standard:** หาก NAS พัง สามารถ Restore Config ย้ายข้อมูล และรัน `docker-compose up` ขึ้นใหม่บนเครื่อง Backup ได้ทันที เนื่องจาก Architecture ออกแบบแบบ Stateless สำหรับตัวแอพพลิเคชั่น และ Data แยกลง Volume Storage ชัดเจน