Update documentation to centralize Vaultwarden integration details and enhance backup scripts

Refactor README, architecture, and backup documentation to emphasize the use of Vaultwarden for credential management across various services. Update scripts for Nextcloud, Gitea, Paperless, and others to reference Vaultwarden for sensitive information. Remove outdated references to previous backup strategies and ensure clarity on credential retrieval processes. This improves security practices and streamlines backup operations.

docs/containers/container-107.md

@@ -43,20 +43,22 @@
 **Порты:** 3000 (хост) → 3000 (контейнер). NPM (контейнер 100) проксирует https://video.katykhin.ru → 192.168.1.107:3000.
 
 **Тома и конфиги:**
-- Invidious не использует отдельные bind‑тома для конфигов/данных — данные хранятся в PostgreSQL (`invidious_postgresdata`), а конфиг задаётся через переменную `INVIDIOUS_CONFIG` в compose (inline YAML).
+- Invidious не использует отдельные bind‑тома для конфигов/данных — данные хранятся в PostgreSQL (`invidious_postgresdata`), а конфиг задаётся через переменную `INVIDIOUS_CONFIG` в compose.
 - Отдельных каталогов с логами Invidious на хосте нет — логи идут в stdout контейнера (см. раздел «Логи и ротация»).
 
-**Основная конфигурация (в docker-compose.yml, секция `environment / INVIDIOUS_CONFIG`):**
-- `db`: dbname=invidious, user=kemal, password=kemal, host=invidious-db, port=5432, check_tables=true.
-- `invidious_companion`: URL сервиса companion (`http://companion:8282/companion`).
-- `invidious_companion_key` и `SERVER_SECRET_KEY` (в companion) — общий секрет между Invidious и Companion (сейчас заданы прямо в compose; **не выкладывать в публичный репозиторий**).
-- `external_port: 443`, `domain: "video.katykhin.ru"`, `https_only: true` — Invidious знает про внешний домен и порт, отдаёт ссылки на https.
-- Прочие опции (feeds, captions, hmac_key, default_user_preferences и т.д.).
+**Секреты:** `POSTGRES_USER`, `POSTGRES_PASSWORD`, `INVIDIOUS_COMPANION_KEY`, `HMAC_KEY` берутся из Vaultwarden (объект **INVIDIOUS**). Деплой с хоста Proxmox:
+```bash
+/root/scripts/deploy-invidious-credentials.sh
+```
+Скрипт генерирует `.env` из Vaultwarden, атомарно пушит в CT 107, запускает `docker compose up -d --force-recreate`. **Ротация:** сменил пароль/ключи в Vaultwarden → запустил скрипт.
 
 **Команды:**
 ```bash
-cd /opt/invidious && docker compose up -d
-docker logs invidious-invidious-1
+# Деплой (с хоста Proxmox)
+/root/scripts/deploy-invidious-credentials.sh
+
+# Логи
+pct exec 107 -- docker logs invidious-invidious-1
 curl -s http://127.0.0.1:3000/api/v1/stats
 ```
 
@@ -71,7 +73,7 @@ curl -s http://127.0.0.1:3000/api/v1/stats
 - volume `companioncache` → `/var/tmp/youtubei.js` (кэш js‑ресурсов YouTube / youtubei).
 
 **Безопасность:**
-- `SERVER_SECRET_KEY` совпадает с `invidious_companion_key` в конфиге Invidious — это shared secret для обмена.
+- `SERVER_SECRET_KEY` совпадает с `invidious_companion_key` — оба берутся из `.env` (генерируется из Vaultwarden).
 - Контейнер запущен с `read_only: true`, `cap_drop: [ALL]`, `no-new-privileges:true` — хорошая практика sandboxing.
 
 **Команды:**
@@ -89,7 +91,7 @@ docker logs invidious-companion-1
 - `/opt/invidious/config/sql` → `/config/sql` — SQL‑скрипты инициализации/миграций из репозитория Invidious (~40 KB).  
 - `/opt/invidious/docker/init-invidious-db.sh` → `/docker-entrypoint-initdb.d/init-invidious-db.sh` — скрипт инициализации БД при первом запуске.
 
-**Переменные окружения:** POSTGRES_DB=invidious, POSTGRES_USER=kemal, POSTGRES_PASSWORD=kemal (заданы в compose; не публиковать).  
+**Переменные окружения:** из `.env` (генерируется `deploy-invidious-credentials.sh` из Vaultwarden).  
 
 **Команды:**
 ```bash
@@ -124,16 +126,10 @@ Companion и PostgreSQL доступны только внутри docker-сет
 
 ## Запуск и порядок поднятия
 
-1. Зайти в каталог: `cd /opt/invidious`.  
-2. Проверить/при необходимости подредактировать `docker-compose.yml` (секция `INVIDIOUS_CONFIG`, домен video.katykhin.ru, секреты).  
-3. Запуск/перезапуск:
-   ```bash
-   docker compose up -d
-   ```
-   Порядок: сначала поднимается `invidious-db`, затем `invidious` (depends_on с healthcheck), параллельно Companion.
+1. С хоста Proxmox: `/root/scripts/deploy-invidious-credentials.sh` (генерирует `.env` из Vaultwarden, пушит в CT 107, запускает compose).
+2. Порядок: `invidious-db` → `invidious` (depends_on с healthcheck), параллельно Companion.
 
-После изменения конфигурации (секция `INVIDIOUS_CONFIG` или окружения Companion/DB):  
-`cd /opt/invidious && docker compose up -d` — конфигурация применяется при перезапуске контейнеров.
+После изменения секретов в Vaultwarden: запустить `deploy-invidious-credentials.sh` снова.
 
 ---