services:
  bw-samern-ohne:
    build: .
    container_name: bw-samern-ohne
    restart: always
    networks:
      - proxy
    labels:
      # 1. Aktivierung in Traefik [cite: 60]
      - "traefik.enable=true"
      
      # 2. Router-Konfiguration (Domain & HTTPS) [cite: 61, 62]
      - "traefik.http.routers.bw-samern-ohne.rule=Host(`bw-samern-ohne.enwelo-serverumgebung.cloud`)"
      - "traefik.http.routers.bw-samern-ohne.entrypoints=websecure"
      - "traefik.http.routers.bw-samern-ohne.tls.certresolver=le"
      
      # 3. Zuweisung des internen Service-Ports [cite: 59, 74]
      - "traefik.http.services.bw-samern-ohne.loadbalancer.server.port=80"
      
      # 4. Authentik-Schutz (Middleware) aktivieren [cite: 63, 79]
      # Hinweis: Wir nutzen den Namen 'authentik@docker', da dies der Standard ist.
      - "traefik.http.routers.bw-samern-ohne.middlewares=authentik@docker"

networks:
  proxy:
    external: true