[Unit]
Description=Cloudflare Tunnel connector (tdd.md)
Wants=network-online.target
After=network-online.target

[Container]
ContainerName=tdd-cloudflared
Image=docker.io/cloudflare/cloudflared:latest
AutoUpdate=registry

# Token uit podman secret (zie deploy-cloudflared.sh).
# Aparte secret-naam zodat dit niet conflicteert met de Umbraco-tunnel
# (cloudflared_token) die mogelijk al op p620 draait.
Secret=tdd_cloudflared_token,type=env,target=TUNNEL_TOKEN

# Host network: zodat cloudflared bij localhost-services op de host kan
# (tdd.pod publisht :44390 op host). Egress naar Cloudflare gewoon outbound.
Network=host

Exec=tunnel --no-autoupdate run

[Service]
Restart=always
TimeoutStartSec=60

[Install]
WantedBy=default.target