@
fix(immich): ML-Egress-Netz fuer Modell-Download immich_machine_learning hing nur in immich_default (internal: true) -> kein DNS/Egress, /cache leer, Logs "Failed to resolve huggingface.co". Container healthy, aber Smart Search + Gesichtserkennung faktisch tot. Fix: dediziertes nicht-internes Netz immich_egress nur an ML + explizites dns 1.1.1.1/8.8.8.8 (DNS-Regel docs/WORKFLOW.md). DB/Redis bleiben in immich_default isoliert (P3). Bewusst nicht frontend_net (unauth. ML-API). Doku: Architektur-Zielbild (Netze + ML-Zeile), SERVICE_CATALOG, DECISIONS-ADR. Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com> @
This commit is contained in:
@@ -11,6 +11,34 @@ in `HOMELAB_ARCHITECTURE_MASTER_V2.md` §13, `docs/MASTER_TODO.md` (Geparkt),
|
||||
|
||||
---
|
||||
|
||||
## 2026-06-16 - Immich ML bekommt dediziertes Egress-Netz (Modell-Download)
|
||||
|
||||
**Entscheidung:** `immich_machine_learning` haengt zusaetzlich zu `immich_default`
|
||||
(`internal: true`) in einem neuen, bewusst **nicht**-internen Compose-Netz
|
||||
`immich_egress` und bekommt explizit `dns: 1.1.1.1/8.8.8.8`. Damit kann ML die
|
||||
Modelle (CLIP `ViT-B-32__openai`, Gesichtserkennung `buffalo_l`) einmalig von
|
||||
huggingface nach `model-cache` laden. DB und Redis bleiben unveraendert in
|
||||
`immich_default` isoliert.
|
||||
|
||||
**Kontext:** Am 2026-06-16 live gemessen: ML lief zwar `healthy`, aber
|
||||
`/cache` war 0 B und die Logs zeigten in Schleife
|
||||
`NameResolutionError: Failed to resolve 'huggingface.co'`. Ursache: ML hing nur
|
||||
im `internal: true`-Netz `immich_default` ohne Egress/DNS. Folge: Smart Search
|
||||
und Gesichtserkennung waren faktisch tot, trotz gesundem Container (Healthcheck
|
||||
prueft nur den HTTP-Endpoint, nicht die Modellverfuegbarkeit). Das Zielbild §7.4
|
||||
sagte vorher "bleibt intern" und widersprach damit dem eigenen Einordnungsschema
|
||||
§6 Schritt 2 ("braucht Internet -> nicht-internal").
|
||||
|
||||
**Alternativen:** (a) ML an `frontend_net` haengen — verworfen, weil die
|
||||
unauthentifizierte ML-API dann im geteilten Web-Netz erreichbar waere.
|
||||
(b) `immich_default` auf nicht-internal umstellen — verworfen, weil dann auch
|
||||
Postgres/Redis Outbound-Internet bekaemen (Least-Privilege-Verlust). Das
|
||||
dediziertes Egress-Netz isoliert den Internetbedarf auf genau ML.
|
||||
|
||||
**Review-Trigger:** Immich-Update, das ML-Modelle anders bezieht; Wunsch nach
|
||||
vollstaendigem Air-Gap (dann Modelle offline vorseeden statt Egress); oder wenn
|
||||
ML weitere Modelle braucht (Egress bleibt dafuer noetig).
|
||||
|
||||
## 2026-06-13 - Wetter-/Langzeitarchiv: HA schreibt nach InfluxDB 3 Core
|
||||
|
||||
**Entscheidung:** Home Assistant schreibt die Ecowitt-Sensoren
|
||||
|
||||
Reference in New Issue
Block a user