From 267e76059a30c801fcaab4fc38cfbbbcc635aa43 Mon Sep 17 00:00:00 2001 From: Micha Date: Tue, 26 May 2026 19:29:51 +0200 Subject: [PATCH] Clean up Komodo webhook drift --- docs/AI_CONTEXT.md | 1 + docs/AUDIT_2026-05-25_TODO.md | 8 ++++---- docs/MIGRATION_LOG.md | 6 ++++++ docs/SERVICES_RECOVERY.md | 3 ++- 4 files changed, 13 insertions(+), 5 deletions(-) diff --git a/docs/AI_CONTEXT.md b/docs/AI_CONTEXT.md index 8f6a565..934c03a 100644 --- a/docs/AI_CONTEXT.md +++ b/docs/AI_CONTEXT.md @@ -40,6 +40,7 @@ Traefik ist der zentrale Web-Einstieg fuer HTTP(S). Admin-/Ops-UIs liegen entwed - Komodo ist Stack-Manager und Deploy-Consumer. - Komodo Periphery braucht Docker-Socket und `/mnt/user/services` Mount, um Stacks reproduzierbar zu deployen. - Neue produktive Komodo-Stacks aus `Micha/homelab-infra` muessen einen aktiven Gitea->Komodo-Webhook auf die aktuelle Stack-ID haben; Ausnahmen wie deaktivierte/pausierte Stacks muessen dokumentiert werden. +- Der `komodo`-Self-Stack ist eine dokumentierte Ausnahme ohne aktiven Gitea-Webhook; Bootstrap/Recovery laeuft ueber `docs/SERVICES_RECOVERY.md`. ### Identity / Security diff --git a/docs/AUDIT_2026-05-25_TODO.md b/docs/AUDIT_2026-05-25_TODO.md index 0d09167..9f2e5a8 100644 --- a/docs/AUDIT_2026-05-25_TODO.md +++ b/docs/AUDIT_2026-05-25_TODO.md @@ -15,10 +15,9 @@ Status: Arbeitsliste fuer die Umsetzung. Authelia-2FA/OIDC bleibt bewusst spaet, Kontext bewusst gesichert, bevor weitere Live-Aenderungen passieren: -1. Komodo/Gitea-Restdrift pruefen: alter Komodo-Stack `grafana` existiert noch als historischer Eintrag, aber Gitea-Hook `35` ist inaktiv; Komodo-Webhook fuer `komodo` warnt bei `master`-Pushes wegen erwarteter Branch `main`; Nextcloud-Hook `36` wurde nach Secret-Sync mit erfolgreicher Delivery getestet. -2. Hardware-/USV-Audit abschliessen: CPU/RAM/Mainboard/NIC/Disks/SMART sind erfasst; offen bleiben USV/Strom/BIOS. `apcaccess` ist vorhanden, `apcaccess status` lieferte zuletzt Connection refused. -3. Policy-Warnings triagieren: Plex Host-Netz, mutable Tags bei `ddns-updater`, `glances`, `scrutiny` und `monitoring-influxdb3-core` als Root-Ausnahme bewerten. -4. Authelia 2FA/OIDC weiterhin nicht anfassen; das bleibt bewusst der letzte Block. +1. Hardware-/USV-Audit abschliessen: CPU/RAM/Mainboard/NIC/Disks/SMART sind erfasst; offen bleiben USV/Strom/BIOS. `apcaccess` ist vorhanden, `apcaccess status` lieferte zuletzt Connection refused. +2. Policy-Warnings triagieren: Plex Host-Netz, mutable Tags bei `ddns-updater`, `glances`, `scrutiny` und `monitoring-influxdb3-core` als Root-Ausnahme bewerten. +3. Authelia 2FA/OIDC weiterhin nicht anfassen; das bleibt bewusst der letzte Block. ## Sprint 0 - Inventar und Baseline @@ -39,6 +38,7 @@ Kontext bewusst gesichert, bevor weitere Live-Aenderungen passieren: | erledigt (repo) | AdGuard Admin-Bind vorbereiten | Tailscale-IP `100.80.98.33` erfasst, Compose-Soll geaendert | | erledigt | AdGuard Admin-Port auf Tailscale-IP binden | Live validiert: `ss -ltnp` zeigt `100.80.98.33:8082`, DNS auf Port 53 funktioniert, LAN-Zugriff auf `192.168.178.58:8082` schlaegt fehl | | erledigt | Alte Monitoring-Verzeichnisse entfernen | `ops/grafana-influxdb/` und `ops/loki/` sind aus dem aktiven Repo entfernt; Rollback erfolgt ueber Git-Historie | +| erledigt | Komodo/Gitea-Restdrift bereinigen | alter Komodo-Stack `grafana` ist inert und ohne Repo-Pfad/Webhook; Gitea-Hook `35` und `komodo`-Self-Hook `11` sind inaktiv; aktive Gitea-Hooks haben keine Fehlstatus | | offen | Policy-Warnings triagieren | Jede Warning ist behoben oder bewusst dokumentiert | ## Sprint 2 - Storage und Recovery verbindlich machen diff --git a/docs/MIGRATION_LOG.md b/docs/MIGRATION_LOG.md index beff95f..e1e1255 100644 --- a/docs/MIGRATION_LOG.md +++ b/docs/MIGRATION_LOG.md @@ -17,6 +17,12 @@ Dieses Dokument ist nur noch ein historischer Verlauf. Der aktuelle operative Ab ## Historische Meilensteine +### 2026-05-26 - Komodo/Gitea-Restdrift bereinigt + +- Der alte Komodo-Stack `grafana` wurde als historischer Altstand inert gemacht: keine Repo-Dateipfade, kein Webhook, keine alte Stack-ENV, keine `missing_files`/`remote_errors`. Rollback bleibt Git-Historie, nicht der alte Komodo-Stack. +- Der Gitea-Hook `35` fuer den alten `grafana`-Stack bleibt inaktiv. Der nicht sinnvolle `komodo`-Self-Hook `11` wurde deaktiviert, weil Komodo selbst nicht per Gitea-Webhook auf `master` deployed wird. +- Nach der Bereinigung: aktive Gitea-Komodo-Hooks haben `0` Fehlstatus; `komodo-core`, `komodo-periphery`, `komodo-mongo`, `nextcloud` und die aktuellen `monitoring-*` Container laufen weiter. + ### 2026-05-26 - Monitoring-Altstaende aus aktivem Repo entfernt - Die abgeloesten Pfade `ops/grafana-influxdb` und `ops/loki` wurden per `git rm` aus dem aktiven Repo entfernt. `monitoring/` bleibt der einzige Observability-Zielstack. diff --git a/docs/SERVICES_RECOVERY.md b/docs/SERVICES_RECOVERY.md index 2f9f917..33cbda3 100644 --- a/docs/SERVICES_RECOVERY.md +++ b/docs/SERVICES_RECOVERY.md @@ -47,6 +47,8 @@ git -C /tmp/repo-restore-test fsck Problem: Komodo verwaltet Stacks, ist aber selbst Teil des Recovery-Pfads. Ein kalter Host darf nicht voraussetzen, dass Komodo schon laeuft. +Komodo ist deshalb bewusst kein normaler Auto-Deploy-Stack: der `komodo`-Self-Stack hat keinen aktiven Gitea-Webhook. Recovery und Aenderungen laufen ueber den dokumentierten Bootstrap-Pfad und muessen nach dem Start in Komodo validiert werden. + Minimaler Wiederanlauf: 1. Docker und externe Netze herstellen (`frontend_net`, `backend_net`, ggf. weitere dokumentierte Netze). @@ -95,4 +97,3 @@ Authoritativ ist `docs/SECRETS_MAP.md`. Fuer den Kaltstart ist diese Reihenfolge | offen | Komodo-Bootstrap-Quelle finalisieren | | offen | Restore-Kommandos nach erstem Trockenlauf mit echten Pfaden ergaenzen | | offen | Services-Recovery in `docs/DISASTER_RECOVERY.md` verlinken | -