Review N8N Stack

Executa uma auditoria completa do arquivo

n8n.yaml

e reporta conformidade, problemas e sugestões.

Instruções de Execução

Quando esta skill for invocada, siga exatamente este roteiro:

Passo 1 — Ler o arquivo

Leia o arquivo

n8n.yaml

completo.

Passo 2 — Executar todos os checks abaixo

Execute cada bloco de verificação e registre os resultados (✅ OK / ⚠️ Atenção / ❌ Erro).

Passo 3 — Gravar o resultado

Grave o relatório completo em um arquivo chamado n8n.audit.md.

Checks de Verificação

1. Variáveis de Ambiente Obrigatórias

Verifique se todas as variáveis abaixo estão definidas nos anchors YAML (

x-n8n-*

Segurança (
x-n8n-keys
)

```
N8N_ENCRYPTION_KEY
```
— deve existir e não ser o valor padrão
```
r3djGX2vPoeL9zKL
```
```
N8N_RUNNERS_AUTH_TOKEN
```
— deve existir e não ser o valor padrão
```
r3djGX2YCWRTvPoeHGRFGHL9zKLYaq31
```
, deve ser o mesmo valor em todos os serviços

Banco de dados (
x-n8n-db
)

```
DB_TYPE
```
— deve ser
```
postgresdb
```
```
DB_POSTGRESDB_DATABASE
```
— deve ser definido (padrão
```
n8n
```
)
```
DB_POSTGRESDB_HOST
```
— deve ser definido (padrão:
```
postgres
```
)
```
DB_POSTGRESDB_PORT
```
— deve ser
```
"5432"
```
```
DB_POSTGRESDB_USER
```
— deve ser definido (padrão:
```
postgres
```
)
```
DB_POSTGRESDB_PASSWORD
```
— deve existir e não deve ser o placeholder
SENHA
, leia a senha que está no arquivo
```
postgres.yaml
```

Fila Redis (
x-n8n-queue
)

```
EXECUTIONS_MODE
```
— deve ser
```
queue
```
```
QUEUE_BULL_REDIS_HOST
```
— deve ser definido (ex:
```
redis
```
)
```
QUEUE_BULL_REDIS_PORT
```
— deve ser
```
"6379"
```
```
QUEUE_BULL_REDIS_DB
```
— deve ser definido (ex:
```
"2"
```
)

Domínios (
x-n8n-domains
)

```
N8N_PORT
```
— deve ser
```
"5678"
```
```
N8N_PROTOCOL
```
— deve ser
```
https
```
```
N8N_HOST
```
— deve ser um domínio válido (não localhost, não
```
workflows.agenciasynca.com.br
```
se placeholder)
```
N8N_EDITOR_BASE_URL
```
— deve começar com
```
https://
```
e terminar com
```
/
```
```
WEBHOOK_URL
```
— deve começar com
```
https://
```
e terminar com
```
/
```
```
N8N_ENDPOINT_WEBHOOK
```
— deve ser
```
webhook
```

Runners Externos (
x-n8n-runners
)

```
N8N_RUNNERS_MODE
```
— deve ser
```
external
```

N8N_RUNNERS_BROKER_LISTEN_ADDRESS

— deve ser

0.0.0.0

```
N8N_NATIVE_PYTHON_RUNNER
```
— deve ser
```
"true"
```

OFFLOAD_MANUAL_EXECUTIONS_TO_WORKERS

— deve ser

"true"

Ambiente Geral (
x-n8n-env
)

```
NODE_ENV
```
— deve ser
```
production
```
```
GENERIC_TIMEZONE
```
— deve ser definido (ex:
```
America/Sao_Paulo
```
)
```
N8N_LOG_LEVEL
```
— deve ser
```
info
```
ou
```
warn
```
(não
```
debug
```
em produção)
```
N8N_METRICS
```
— deve ser
```
"true"
```
```
N8N_DIAGNOSTICS_ENABLED
```
— deve ser
```
"false"
```
```
N8N_PAYLOAD_SIZE_MAX
```
— deve ser definido (ex:
```
"16"
```
)

N8N_ENFORCE_SETTINGS_FILE_PERMISSIONS

— deve ser

"true"

```
EXECUTIONS_TIMEOUT
```
— deve ser um número positivo (ex:
```
"3600"
```
)

EXECUTIONS_TIMEOUT_MAX

— deve ser maior que

EXECUTIONS_TIMEOUT

(ex:

"7200"

)

```
EXECUTIONS_DATA_PRUNE
```
— deve ser
```
"true"
```
```
EXECUTIONS_DATA_MAX_AGE
```
— deve ser definido (ex:
```
"336"
```
)

EXECUTIONS_DATA_PRUNE_HARD_DELETE_INTERVAL

— deve ser definido (ex:

"15"

)

```
NODE_FUNCTION_ALLOW_BUILTIN
```
— deve ser
```
*
```
```
NODE_FUNCTION_ALLOW_EXTERNAL
```
— deve ser definido (ex:
```
lodash
```
)
```
N8N_COMMUNITY_PACKAGES_ENABLED
```
— deve ser
```
"true"
```
```
N8N_REINSTALL_MISSING_PACKAGES
```
— deve ser
```
"true"
```
```
N8N_NODE_PATH
```
— deve ser
```
/home/node/.n8n/nodes
```
```
N8N_BLOCK_ENV_ACCESS_IN_NODE
```
— alertar se for
```
"false"
```
(risco de segurança)

2. Serviços Obrigatórios

Verifique se todos estes serviços estão presentes:

Serviço	Obrigatório
`n8n_editor`	Sim
`n8n_worker_01`	Sim
`n8n_webhook`	Sim
`n8n_runners_01`	Sim
`n8n_mcp_api`	Sim

3. Comandos dos Containers

Verifique o comando (

command

) de cada serviço:

Serviço	Comando Esperado
`n8n_editor`	`start`
`n8n_worker_01`	`worker --concurrency=10` (ou outro valor inteiro positivo)
`n8n_webhook`	`webhook`
`n8n_runners_01`	`["javascript", "python"]`
`n8n_mcp_api`	`webhook`

Se algum comando estiver ausente ou incorreto, reportar como ❌.

4. Replicas dos Serviços

Verifique a quantidade de réplicas de cada serviço:

Serviço	Réplicas Mínimas	Observação
`n8n_editor`	1	Não deve ter mais de 1 (sessão única)
`n8n_worker_01`	1	Pode escalar para mais
`n8n_webhook`	2	Deve ter pelo menos 2 para HA
`n8n_runners_01`	1	Deve ter ao menos 1 runner por worker
`n8n_mcp_api`	1	Separado do webhook principal

Alertar se

n8n_editor

tiver mais de 1 réplica (quebra sessões de usuário). Alertar se

n8n_webhook

tiver menos de 2 réplicas (falta de alta disponibilidade). Verificar se a quantidade de runners é proporcional aos workers.

5. Rotas Traefik

Para cada serviço com labels Traefik (

n8n_editor

n8n_webhook

n8n_mcp_api

), verifique:

Âncoras de endereço:

A âncora
```
x-n8n-editor-app-url
```
deve existir e conter o domínio do editor (não placeholder como
```
workflows.agenciasynca.com.br
```
)
A âncora
```
x-n8n-webhook-app-url
```
deve existir e conter o domínio dos webhooks (não placeholder como
```
webhooks.agenciasynca.com.br
```
)

O domínio em

x-n8n-editor-app-url

deve ser idêntico ao domínio dentro de

Host(...)

na label

traefik.http.routers.n8n_editor.rule

O domínio em

x-n8n-webhook-app-url

deve ser idêntico ao domínio dentro de

Host(...)

na label

traefik.http.routers.n8n_webhook.rule

O domínio em
```
x-n8n-webhook-app-url
```
deve ser idêntico ao domínio dentro de
```
Host(...)
```
na label
```
traefik.http.routers.n8n_mcp_api.rule
```
(MCP usa mesmo domínio de webhook)
Se houver inconsistência, reportar como ❌ Erro: âncora e regra Traefik não coincidem
O domínio em
```
x-n8n-editor-app-url
```
deve coincidir com
```
N8N_HOST
```
e com o domínio em
```
N8N_EDITOR_BASE_URL
```
O domínio em
```
x-n8n-webhook-app-url
```
deve coincidir com o domínio em
```
WEBHOOK_URL
```

Labels obrigatórias:

```
traefik.enable=true
```

traefik.swarm.network=network_swarm_public

traefik.http.routers.<nome>.rule

— deve conter

Host(...)

com domínio válido

traefik.http.routers.<nome>.entrypoints=websecure

traefik.http.routers.<nome>.tls.certresolver=letsencryptresolver

traefik.http.routers.<nome>.service=<nome>

— deve bater com o nome do serviço

traefik.http.services.<nome>.loadbalancer.server.port=5678

traefik.http.services.<nome>.loadbalancer.passHostHeader=true

Regras específicas:

```
n8n_editor
```
: rule deve ser apenas
```
Host(...)
```
— sem PathPrefix
```
n8n_webhook
```
: rule deve ser
```
Host(...)
```
com o domínio de webhook — sem PathPrefix

n8n_mcp_api

: rule deve ter

Host(...) && PathPrefix('/mcp')

— separado do webhook

Verificar conflito de rotas:

Os domínios de
```
n8n_editor
```
e
```
n8n_webhook
```
não devem ser iguais
```
n8n_mcp_api
```
deve usar o mesmo domínio de
```
n8n_webhook
```
com PathPrefix
```
/mcp
```
Serviços sem Traefik (
```
n8n_worker_01
```
,
```
n8n_runners_01
```
) não devem ter labels Traefik

6. Task Runners — Associação com Workers

Verifique se os runners estão corretamente associados:

n8n_runners_01

deve ter

N8N_RUNNERS_TASK_BROKER_URI

apontando para

http://n8n_worker_01:5679

N8N_RUNNERS_AUTH_TOKEN

do runner deve ser idêntico ao definido em

x-n8n-keys.N8N_RUNNERS_AUTH_TOKEN

O worker (
```
n8n_worker_01
```
) deve ter as variáveis de runners via
```
*n8n-env
```
(que inclui
```
*n8n-runners
```
)
O editor (
```
n8n_editor
```
) também deve ter as variáveis de runners via
```
*n8n-env
```

7. Serviço MCP Separado

Verifique se o MCP está corretamente isolado:

```
n8n_mcp_api
```
deve ser um serviço separado de
```
n8n_webhook
```
Deve usar
```
command: webhook
```
(não
```
start
```
nem
```
worker
```
)
Deve ter rota Traefik com
```
PathPrefix('/mcp')
```
diferenciando do webhook geral
Deve ter limite de memória maior (2048M) em relação aos outros serviços (1024M)
Não deve ter mais de 1 réplica por padrão (MCP é stateful por sessão)

8. Recursos dos Containers

Para cada serviço, verifique os limites de recursos:

Serviço	CPU Mínimo	Memória Mínima	Memória Máxima
`n8n_editor`	"0.5"	512M	1024M
`n8n_worker_01`	"0.5"	512M	1024M
`n8n_webhook`	"0.5"	512M	1024M
`n8n_runners_01`	"0.5"	512M	1024M
`n8n_mcp_api`	"0.5"	1024M	2048M

Alertar se algum serviço não tiver

resources.limits

definido.

9. Configuração de Deploy

Para cada serviço, verifique:

```
mode: replicated
```
— todos devem ser
```
replicated
```

placement.constraints

— deve incluir

node.role == manager

```
update_config.order: start-first
```
— garante zero downtime
```
update_config.failure_action: rollback
```
— garante reversão automática
```
update_config.delay
```
— deve ser pelo menos
```
30s
```

10. Redes e Imagens

Redes:

Todos os serviços devem estar na rede
```
network_swarm_public
```
A rede deve ser declarada como
```
external: true
```
na seção
```
networks:
```
Não deve haver redes internas desnecessárias

Imagens:

n8n_editor

n8n_worker_01

n8n_webhook

n8n_mcp_api

— devem usar

*n8n-image

(anchor)

```
n8n_runners_01
```
— deve usar
```
*n8n-runners-image
```
(anchor separado)
Verificar se alguma imagem usa tag específica de versão em vez de
```
latest
```
(recomendado em produção)

11. Segurança

```
DB_POSTGRESDB_PASSWORD
```
não deve ser
```
SENHA
```
(placeholder)
```
N8N_ENCRYPTION_KEY
```
não deve ser o valor padrão de exemplo
```
N8N_RUNNERS_AUTH_TOKEN
```
deve ter pelo menos 32 caracteres
```
N8N_BLOCK_ENV_ACCESS_IN_NODE: "false"
```
— alertar como risco de segurança

N8N_ENFORCE_SETTINGS_FILE_PERMISSIONS: "true"

— deve estar presente

```
N8N_RESTRICT_FILE_ACCESS_TO
```
— deve estar definido

Formato do Relatório de Saída

Ao final, produza um relatório estruturado:

# Relatório de Auditoria — n8n.yaml
Data: <data atual>

## Resumo
- Total de checks: X
- ✅ OK: X
- ⚠️ Atenções: X
- ❌ Erros: X

## Resultados por Categoria

### 1. Variáveis de Ambiente
✅ N8N_ENCRYPTION_KEY: definido
❌ DB_POSTGRESDB_PASSWORD: usando placeholder SENHA — troque antes do deploy
...

### 2. Serviços
✅ n8n_editor: presente
✅ n8n_worker_01: presente
...

### 3. Comandos
✅ n8n_editor: comando `start` correto
✅ n8n_worker_01: comando `worker --concurrency=10` correto
...

### 4. Replicas
✅ n8n_webhook: 2 réplicas (HA ok)
⚠️ n8n_runners_01: 1 runner para 1 worker (proporcional, ok)
...

### 5. Rotas Traefik
✅ n8n_editor: rota Host correta, TLS ok
✅ n8n_mcp_api: PathPrefix(/mcp) configurado corretamente
...

### 6. Task Runners
✅ n8n_runners_01: BROKER_URI aponta para n8n_worker_01:5679
✅ AUTH_TOKEN consistente entre runner e keys
...

### 7. MCP
✅ n8n_mcp_api: serviço separado
✅ n8n_mcp_api: memória 2048M (maior que demais)
...

### 8. Recursos
✅ Todos os serviços com limits definidos
...

### 9. Deploy
✅ Todos com start-first e rollback
...

### 10. Redes e Imagens
⚠️ Imagens usando `latest` — considere fixar uma versão em produção
...

### 11. Segurança
❌ DB_POSTGRESDB_PASSWORD: placeholder SENHA detectado
❌ N8N_ENCRYPTION_KEY: usando valor padrão `r3djGX2vPoeL9zKL` — gere uma nova chave
❌ N8N_RUNNERS_AUTH_TOKEN: usando valor padrão `r3djGX2YCWRTvPoeHGRFGHL9zKLYaq31` — gere um novo token
⚠️ N8N_BLOCK_ENV_ACCESS_IN_NODE: false — permite acesso a variáveis de ambiente nos nodes
...

## Ações Recomendadas (por prioridade)

### Crítico (fazer antes do deploy)
1. ...

### Recomendado
1. ...

### Opcional
1. ...

promovaweb-devops-review-n8n-stack

NPX Install

Tags

SKILL.md Content

Review N8N Stack

Instruções de Execução

Passo 1 — Ler o arquivo

Passo 2 — Executar todos os checks abaixo

Passo 3 — Gravar o resultado

Checks de Verificação

1. Variáveis de Ambiente Obrigatórias

2. Serviços Obrigatórios

3. Comandos dos Containers

4. Replicas dos Serviços

5. Rotas Traefik

6. Task Runners — Associação com Workers

7. Serviço MCP Separado

8. Recursos dos Containers

9. Configuração de Deploy

10. Redes e Imagens

11. Segurança

Formato do Relatório de Saída