feat: CPU/RAM limits per stage, NPM access list (global + per-project)

Resource limits:
- Add cpu_limit (cores) and memory_limit (MB) fields to Stage model
- Pass limits to Docker container via NanoCPUs and Memory in HostConfig
- Add CPU/Memory fields to stage creation form in project detail
- 0 = unlimited (default)

NPM access list:
- Add npm_access_list_id to Settings (global default) and Project (per-project override)
- Per-project overrides global when > 0
- NPM provider passes access_list_id when configuring proxy hosts
- Add GET /api/settings/npm-access-lists endpoint to list NPM access lists
- Add access list picker on NPM settings page (global)
- Add access list ID field on project edit form (per-project)
- DB migrations for all new columns

web/src/lib/api.ts

@@ -10,6 +10,7 @@ import type {
 	InspectResult,
 	Instance,
 	NpmCertificate,
+	NpmAccessList,
 	ProxyRoute,
 	Project,
 	ProjectDetail,
@@ -282,6 +283,10 @@ export function listNpmCertificates(): Promise<NpmCertificate[]> {
 	return get<NpmCertificate[]>('/api/settings/npm-certificates');
 }
 
+export function listNpmAccessLists(): Promise<NpmAccessList[]> {
+	return get<NpmAccessList[]>('/api/settings/npm-access-lists');
+}
+
 // ── DNS ────────────────────────────────────────────────────────────
 
 export function testDnsConnection(provider: string, token: string, zoneId: string): Promise<{ success: boolean; error?: string }> {

web/src/lib/i18n/en.json

@@ -103,6 +103,12 @@
     "maxInstances": "Max Instances",
     "autoDeployLabel": "Auto Deploy",
     "enableProxy": "Enable Proxy",
+    "accessListId": "NPM Access List ID",
+    "accessListIdHelp": "Per-project override. 0 = use global default from NPM settings.",
+    "cpuLimit": "CPU Limit (cores)",
+    "cpuLimitHelp": "e.g., 0.5, 1, 2. Leave 0 for unlimited",
+    "memoryLimit": "Memory Limit (MB)",
+    "memoryLimitHelp": "e.g., 256, 512, 1024. Leave 0 for unlimited",
     "npmProxy": "NPM Proxy",
     "creating": "Creating...",
     "createStage": "Create Stage",
@@ -376,7 +382,13 @@
     "saveFailedConnection": "Cannot save \u2014 connection test failed",
     "remoteMode": "Remote NPM",
     "remoteModeHelp": "Enable when NPM runs on a different machine than Docker. Forwards to Server IP with published host ports.",
-    "remoteModeWarning": "Requires Server IP in General settings. Ports are auto-mapped to random host ports."
+    "remoteModeWarning": "Requires Server IP in General settings. Ports are auto-mapped to random host ports.",
+    "accessList": "Default Access List",
+    "accessListHelp": "NPM access list for HTTP authentication on proxy hosts. Can be overridden per project.",
+    "noAccessList": "None (public)",
+    "selectAccessList": "Select an access list",
+    "noAccessLists": "No access lists found in NPM",
+    "accessListLoadFailed": "Failed to load access lists"
   },
   "settingsCredentials": {
     "title": "Credentials",

web/src/lib/i18n/ru.json

@@ -103,6 +103,12 @@
     "maxInstances": "Макс. экземпляров",
     "autoDeployLabel": "Авто-деплой",
     "enableProxy": "Включить прокси",
+    "accessListId": "ID списка доступа NPM",
+    "accessListIdHelp": "Переопределение для проекта. 0 = использовать глобальное из настроек NPM.",
+    "cpuLimit": "Лимит CPU (ядра)",
+    "cpuLimitHelp": "напр., 0.5, 1, 2. Оставьте 0 для без ограничений",
+    "memoryLimit": "Лимит памяти (МБ)",
+    "memoryLimitHelp": "напр., 256, 512, 1024. Оставьте 0 для без ограничений",
     "npmProxy": "NPM прокси",
     "creating": "Создание...",
     "createStage": "Создать стадию",
@@ -376,7 +382,13 @@
     "saveFailedConnection": "Невозможно сохранить — проверка соединения не пройдена",
     "remoteMode": "Удалённый NPM",
     "remoteModeHelp": "Включите, если NPM работает на другой машине. Перенаправление на IP сервера с опубликованными портами.",
-    "remoteModeWarning": "Требуется IP сервера в общих настройках. Порты автоматически привязываются к случайным портам хоста."
+    "remoteModeWarning": "Требуется IP сервера в общих настройках. Порты автоматически привязываются к случайным портам хоста.",
+    "accessList": "Список доступа по умолчанию",
+    "accessListHelp": "Список доступа NPM для HTTP-аутентификации на прокси-хостах. Можно переопределить для каждого проекта.",
+    "noAccessList": "Нет (публичный)",
+    "selectAccessList": "Выберите список доступа",
+    "noAccessLists": "Списки доступа в NPM не найдены",
+    "accessListLoadFailed": "Не удалось загрузить списки доступа"
   },
   "settingsCredentials": {
     "title": "Учётные данные",

web/src/lib/types.ts

@@ -9,6 +9,7 @@ export interface Project {
 	healthcheck: string;
 	env: string;
 	volumes: string;
+	npm_access_list_id: number;
 	created_at: string;
 	updated_at: string;
 }
@@ -24,6 +25,8 @@ export interface Stage {
 	enable_proxy: boolean;
 	promote_from: string;
 	subdomain: string;
+	cpu_limit: number;
+	memory_limit: number;
 	created_at: string;
 	updated_at: string;
 }
@@ -107,6 +110,7 @@ export interface Settings {
 	/** Sent on PUT to update the password; never returned by GET. */
 	npm_password?: string;
 	npm_remote: boolean;
+	npm_access_list_id: number;
 	polling_interval: string;
 	base_volume_path: string;
 	ssl_certificate_id: number;
@@ -258,6 +262,12 @@ export interface ProxyHealth {
 	error?: string;
 }
 
+/** An NPM access list for proxy authentication. */
+export interface NpmAccessList {
+	id: number;
+	name: string;
+}
+
 /** A proxy route managed by a deployed instance. */
 export interface ProxyRoute {
 	instance_id: string;