diff --git a/docs/AUDIT_2026-05-25_TODO.md b/docs/AUDIT_2026-05-25_TODO.md index 996a30f..3cd8441 100644 --- a/docs/AUDIT_2026-05-25_TODO.md +++ b/docs/AUDIT_2026-05-25_TODO.md @@ -99,6 +99,15 @@ In diesem Audit-Zyklus werden diese Punkte **nicht** umgesetzt. Sie sind dokumen | erledigt | `infra/redis` Doku-Etikett korrigieren (F-16) | SERVICE_CATALOG, REPO_MAP, MASTER (Sektion 13) und DISASTER_RECOVERY Bootstrap-Stufe 2 auf "primaer Paperless-Redis" praezisiert; keine Compose-Aenderung | | erledigt | Paperless-DBPass DR-Restore-Reihenfolge in DR-Doc (F-20) | DISASTER_RECOVERY 6.2.1 (Restore-Quellen fuer Stack-ENV-Werte) ergaenzt; SECRETS_MAP um Abschnitt "Stack-ENV-only Secrets - Restore-Wege" mit Reihenfolge Komodo-Mongo-Dump -> Vaultwarden -> externe Notiz erweitert; Paperless, Immich, Mail-Archiver, Speedtest, Komodo, Hermes und Glance je mit Restore-Quelle dokumentiert | +## Sprint 8 - Reife der Stack-Hygiene (2026-05-29) + +| Status | Aufgabe | Ergebnis | +|---|---|---| +| erledigt 2026-05-29 | Healthchecks fuer Tier-1 (F-15) | postgresql17 (`pg_isready`), Redis (`redis-cli ping` mit Auth), Vaultwarden (`curl /alive`), Gitea (`wget /api/healthz`), Traefik (`traefik healthcheck --ping`, `--ping=true` in CLI), Authelia (`wget /api/health`, weil v4.39 `helper health-check` entfernt hat); komodo-mongo war bereits gepinnt healthy. Live-Smoke: alle 6 healthy nach Recreate. Postgres- und Gitea-Stack-Workspace waren Komodo-seitig zurueckgeblieben (124 bzw. 52 commits behind); manuell per `cp` + `docker compose up -d` synchronisiert. | +| erledigt 2026-05-29 | Monitoring-Stack Digest-Pinning (F-07) | 9 Container in `monitoring/docker-compose.yml` per Tag@sha256 gepinnt: prometheus, alertmanager, alertmanager-ntfy-bridge (python:3.13-alpine), blackbox-exporter, loki, promtail, grafana, node-exporter, cadvisor. Digests aus dem aktuell laufenden Container ausgelesen, damit der Pin den Live-Stand reflektiert. influxdb3-core war bereits gepinnt. | +| erledigt 2026-05-29 | Komodo-Bootstrap-Trockenlauf-Skript (F-09 Rest) | `ops/restore-tests/komodo-bootstrap-{compose.test.yml,test.sh,plan.md,runbook.md}` analog zum Immich-Restore-Test angelegt. Test-Compose nutzt dieselben Image-Digests wie Produktion, isoliert unter Project `restoretest-komodo`, Test-Periphery ohne docker.sock-Mount, Test-Port nur `127.0.0.1:19120`. Wegwerf-Secrets im Compose. Erster Lauf manuell durch Operator. | +| vorbereitet 2026-05-29 (Setup-Schritte Operator-Aufgabe) | Renovate-Bot gegen Gitea (F-12) | `renovate.json` im Repo-Root mit Group-Rules (Major getrennt, Minor/Patch/Digest gruppiert, Tier-1-Datenhalter einzeln, Komodo-Major deaktiviert). `ops/renovate/run-renovate.sh` als One-Shot-Wrapper. `docs/RENOVATE.md` mit Setup-Anleitung: Gitea-Service-Account `renovate` anlegen, PAT erzeugen, in `/mnt/user/appdata/secrets/renovate_token.txt` ablegen, User-Script `renovate-six-hourly` (`20 */6 * * *`) aktivieren. Kein Auto-Merge, jede PR braucht Operator-Sichtpruefung. | + ## Sprint 7 - Off-site und 3-2-1 (offen) | Status | Aufgabe | Bemerkung | diff --git a/docs/MIGRATION_LOG.md b/docs/MIGRATION_LOG.md index 12db742..d042d26 100644 --- a/docs/MIGRATION_LOG.md +++ b/docs/MIGRATION_LOG.md @@ -17,6 +17,39 @@ Dieses Dokument ist nur noch ein historischer Verlauf. Der aktuelle operative Ab ## Historische Meilensteine +### 2026-05-29 - Stack-Hygiene Sprint: Healthchecks, Monitoring-Digests, Komodo-Bootstrap-Skript, Renovate-Vorbereitung + +Vier Audit-Punkte am Stueck abgearbeitet. Pro Block: Live-Verifikation am Host, Doku im Repo. + +**F-15 Tier-1 Healthchecks** + +- 6 Tier-1-Stacks bekommen Healthchecks: postgresql17 (`pg_isready`), Redis (`redis-cli ping` mit Auth aus dem mount), Vaultwarden (`curl /alive`), Gitea (`wget /api/healthz`), Traefik (`traefik healthcheck --ping`, vorher `--ping=true` in CLI aktiviert), Authelia (`wget /api/health` - Authelia v4.39 hat `helper health-check` entfernt, daher direkter Endpoint). +- Erste Iteration in Vaultwarden + Authelia schlug fehl: Vaultwarden hat kein `wget`, Authelia kennt das `helper`-Subcommand nicht mehr. Probe per `docker exec` zeigte: Vaultwarden hat `curl`, Authelia hat `wget`. Compose entsprechend nachgezogen, zweiter Lauf gruen. +- Komodo-Stack-Workspaces fuer `postgresql17` (124 commits behind) und `gitea` (52 commits behind) wurden Komodo-seitig nicht automatisch gepullt. Manuell ueber `git pull --ff-only` plus `cp` der aktuellen Compose-Datei aus dem Host-Repo-Clone in den Stack-Workspace synchronisiert, dann `docker compose up -d`. Gitea-Workspace hatte zusaetzlich untracked Doku-Files; nur die im aktuellen Master tracked-en Files entfernt, nicht via `git clean -fd`. Workspace-Drift selbst ist nicht heute Auftrag, aber als Folge-Befund notiert. +- Endstand Live: alle 6 Healthchecks `healthy`. + +**F-07 Monitoring-Stack Digest-Pinning** + +- 9 Container in `monitoring/docker-compose.yml` per Tag@sha256 gepinnt (prometheus, alertmanager, alertmanager-ntfy-bridge, blackbox-exporter, loki, promtail, grafana, node-exporter, cadvisor; plus zweiter python:3.13-alpine im Bootstrap-Dashboard-Importer). InfluxDB war bereits gepinnt. +- Digests aus den laufenden Containern per `docker inspect ... .Config.Image` + `docker image inspect ... .RepoDigests` ausgelesen, damit die Pins exakt dem Live-Stand entsprechen. +- Kein Recreate ausgeloest, weil die Images identisch sind; nur die Compose-Datei ist jetzt reproduzierbar wie die Tier-1-Stateful-Stacks. + +**F-09 Rest - Komodo-Bootstrap-Trockenlauf-Skript** + +- `ops/restore-tests/komodo-bootstrap-{compose.test.yml,test.sh,plan.md,runbook.md}` analog zum Immich-Restore-Test-Muster angelegt. +- Test-Compose nutzt dieselben Image-Digests wie Produktion (mongo:7.0.32, komodo-core:2, komodo-periphery:2), isoliert unter Compose-Project `restoretest-komodo`, Test-Port nur `127.0.0.1:19120`, **Test-Periphery ohne docker.sock-Mount und ohne `/mnt/user/services`-Mount** - kann produktive Container nicht managen. +- Wegwerf-Secrets sind im Compose hardcodiert, produktive `KOMODO_*`-Werte werden nicht beruehrt. +- Smoke-Test-Kriterien: docker compose config valid, Mongo healthy, Mongo Auth-Ping ok, Core HTTP 200/302/303/401, Periphery container `running`. +- Erster Lauf bleibt manueller Operator-Schritt. + +**F-12 Renovate-Bot (vorbereitet)** + +- `renovate.json` im Repo-Root mit Homelab-tauglichen Group-Rules: Major-Updates getrennt, Minor/Patch/Digest fuer Docker-Compose und Dockerfile gruppiert, Tier-1-Datenhalter (Postgres, Mongo, Redis, pgvecto-rs) einzeln ohne Group, Komodo-Major-Updates explizit deaktiviert. +- `ops/renovate/run-renovate.sh` als One-Shot-Container-Wrapper: liest Gitea-PAT aus Host-Secret-Datei, startet `renovate/renovate:41` einmalig, schreibt Log unter `/mnt/user/services/renovate/logs/`. +- `docs/RENOVATE.md` mit kompletter Operator-Setup-Anleitung (5 Schritte): Gitea-Service-Account `renovate`, Access-Token, Token-Datei, Erstlauf, User-Script `renovate-six-hourly` (`20 */6 * * *`). +- Bewusst KEIN Auto-Merge: jede PR braucht Operator-Sichtpruefung. +- Setup-Schritte (Gitea-User, PAT, Token-Datei, User-Script-Aktivierung) bleiben Operator-Aufgabe; Repo-seitig alles vorbereitet. + ### 2026-05-29 - Borg-Source `/local/appdata/homepage` verspaetet entfernt + Removal-Checkliste in WORKFLOW - Befund aus den ersten Tagen scharfer Alert-Pipeline: `HomelabBorgLastJobCompletedWithWarnings` firing fuer die letzten vier Borg-Laeufe (26.05.-29.05.), jeweils Exit-Code 107. diff --git a/docs/RENOVATE.md b/docs/RENOVATE.md new file mode 100644 index 0000000..d5095a1 --- /dev/null +++ b/docs/RENOVATE.md @@ -0,0 +1,129 @@ +# Renovate Bot - Self-hosted gegen Gitea + +Status: **vorbereitet 2026-05-29**; PAT-Setup und Cron-Aktivierung sind Operator-Schritte. +Audit-Bezug: `docs/AUDIT_2026-05-25.md` Finding **F-12**. + +## Zweck + +Wir pinnen Image-Versionen und Digests konsequent (siehe `HOMELAB_ARCHITECTURE_MASTER_V2.md` Sektion 13, "Reproduzierbare Deployments"). Das macht das Setup stabil, aber jede Image-Aktualisierung musste bisher manuell laufen. Renovate uebernimmt das in Zukunft: scant das Repo periodisch, oeffnet Pull-Requests in Gitea fuer Image-/Digest-Updates, gruppiert sinnvoll, laesst Operator entscheiden. + +Bewusst kein Auto-Merge: jede PR braucht eine Operator-Sichtpruefung und einen Merge-Click. Komodo deployt danach automatisch ueber den Standard-Webhook-Pfad. + +## Architektur + +- **Image:** `renovate/renovate:41` (versioniert, kein latest) +- **Lauf:** ein-shot pro Cron-Tick, danach beendet sich der Container; persistente State liegt in `/mnt/user/services/renovate/state/` +- **Schedule:** alle 6 Stunden (User-Script `renovate-six-hourly`) +- **Plattform:** Gitea via `https://git.kaleschke.info/api/v1` +- **Authentifizierung:** Gitea-PAT als Host-Secret-Datei +- **Konfiguration:** `renovate.json` im Repo-Root + +## Operator-Setup (einmalig, ~10 Minuten) + +### Schritt 1 - Service-Account in Gitea + +1. Als Admin in Gitea einloggen. +2. Neuen User anlegen: + - Username: `renovate` + - E-Mail: ein gueltiges Postfach (Renovate sendet keine Mails, aber Gitea braucht eine Adresse) + - Passwort: zufaellig, in Vaultwarden speichern +3. Diesem User Schreibrechte fuer die Repos geben, die Renovate scannen soll. Einfachster Weg: dem User direkt Maintainer-Recht in jedem Repo unter `Micha/` geben (Settings -> Collaborators -> Add Collaborator -> `renovate` -> Permission `Write`). + +### Schritt 2 - Access-Token erzeugen + +1. Als `renovate`-User in Gitea einloggen. +2. Profile -> Settings -> Applications -> Generate New Token. +3. Token-Name: `renovate-bot`. +4. Scopes: + - `read:user` + - `write:repository` + - `write:issue` (Renovate setzt Labels und kann den Dependency Dashboard erstellen) +5. Token kopieren (wird nur einmal angezeigt). + +### Schritt 3 - Token als Host-Secret ablegen + +Am Unraid-Host: + +```bash +TOKEN='hier-das-token-einfuegen' +echo -n "$TOKEN" > /mnt/user/appdata/secrets/renovate_token.txt +chmod 600 /mnt/user/appdata/secrets/renovate_token.txt +chown root:root /mnt/user/appdata/secrets/renovate_token.txt +``` + +Token-Wert nicht in dieses Repo, nicht in Logs, nicht in Issues. + +### Schritt 4 - Erstlauf manuell + +```bash +bash /mnt/user/services/homelab-infra/ops/renovate/run-renovate.sh +``` + +Erwartete Ausgabe: Renovate verbindet sich mit Gitea, scant Repos unter `Micha/*` und entweder + +- erstellt Pull-Requests, falls Updates verfuegbar sind, **oder** +- erstellt nur die "Renovate Dependency Dashboard"-Issue im Repo (Onboarding-PR ist via `onboarding: false` deaktiviert) + +Log liegt unter `/mnt/user/services/renovate/logs/renovate-.log` und symlinkt auf `latest.log`. + +### Schritt 5 - User-Script aktivieren + +Unraid User Scripts: + +``` +Name: renovate-six-hourly +Description: Run Renovate against Gitea every 6 hours. +Schedule: 20 */6 * * * +Script: bash /mnt/user/services/homelab-infra/ops/renovate/run-renovate.sh +``` + +20 Minuten nach jeder vollen Stunde, damit es nicht mit `gitea-bundle-mirror-6h` (Minute 10) kollidiert. + +## Was Renovate macht und was nicht + +| Verhalten | Renovate-Konfig | Wirkung | +|---|---|---| +| Major-Updates | `groupName: major-updates`, `automerge: false` | Eine gesammelte PR pro Lauf mit allen Major-Updates, manueller Merge | +| Minor + Patch + Digest fuer Docker-Compose | `groupName: minor-and-patch-updates`, `automerge: false` | Eine gesammelte PR; Operator merged manuell | +| Tier-1-Datenhalter (Postgres, Mongo, Redis, pgvecto-rs) | `groupName: null`, eigener Label | Einzelne PRs ohne Group, hoehere Sichtbarkeit | +| Komodo-Major-Updates | `enabled: false` fuer matchPackageNames + matchUpdateTypes major | Komodo bleibt auf `:2`, wird nicht versehentlich auf `:3` migriert | +| Lock-File-Maintenance | `lockFileMaintenance.enabled: false` | Renovate macht keine reinen Lock-File-Refreshs | +| Schedule | `extends ["schedule:weekly"]` | Renovate-Engine prueft, aber PRs/Updates folgen Wochen-Profilen wo sinnvoll | +| Dependency Dashboard | aktiv | Gitea-Issue, die alle ausstehenden Updates auflistet | +| Onboarding-PR | `onboarding: false` | Keine `Configure Renovate`-Onboarding-PR; wir nutzen die Repo-`renovate.json` direkt | +| Ignore-Pfade | `_archive`, `ops/grafana-influxdb`, `ops/loki` | Renovate scant alte/abgeloeste Stacks nicht | + +## Erwartete erste PRs + +Beim Erstlauf wird Renovate vermutlich PRs fuer einige der digest-gepinnten Images oeffnen, weil diese Digests seit Wochen nicht erneuert wurden. Reihenfolge der Sichtpruefung: + +1. **Stateful Tier-1 zuerst, einzeln**: Postgres, Redis, Mongo, pgvecto-rs - jeder eigener PR, einzeln pruefen und mergen. Smoke-Test nach Merge ueber Komodo-Webhook-Deploy beobachten. +2. **Gruppe minor-and-patch-updates**: Alle anderen Docker-Compose-Images zusammen. Wenn der Diff vernuenftig aussieht, mergen. +3. **Gruppe major-updates**: Erst nach Operator-Sichtpruefung pro Image, ggf. zurueckstellen oder manuell entscheiden. + +## Notfall-Stop + +Wenn Renovate aus irgendeinem Grund zu aggressiv wird oder ungewollte PRs oeffnet: + +```bash +# 1. User-Script disablen +# Unraid UI: User Scripts -> renovate-six-hourly -> Schedule -> Disabled + +# 2. Im Worst Case: Token sofort widerrufen +# Gitea -> Login als renovate -> Settings -> Applications -> Token loeschen + +# 3. Offene PRs schliessen ohne mergen +``` + +## Was bewusst NICHT enthalten ist + +- **Auto-Merge**: keine PR wird ohne Operator-Click ausgerollt. Auto-Merge waere bei einem GitOps-Setup mit live-Webhooks ein zu grosses Risiko. +- **Renovate-UI**: kein Mend.io-Cloud-Account, kein zusaetzlicher Service; lokal genutzte CLI im Docker-Container. +- **Slack/E-Mail-Benachrichtigungen**: Renovate signalisiert ueber Gitea-PRs und das Dependency Dashboard. +- **Self-hosted Renovate-Runner-Cluster**: ein einzelner User-Script-Lauf reicht fuer den Homelab-Scope. + +## Verwandte Doku + +- `HOMELAB_ARCHITECTURE_MASTER_V2.md` Sektion 13 ("Reproduzierbare Deployments", Digest-Pinning) +- `docs/WORKFLOW.md` Image-Versionierungs-Regel +- `docs/SECRETS_MAP.md` (Renovate-Token wird dort nach Aktivierung ergaenzt) diff --git a/docs/REPO_MAP.md b/docs/REPO_MAP.md index a18e891..c3b0ce8 100644 --- a/docs/REPO_MAP.md +++ b/docs/REPO_MAP.md @@ -41,6 +41,7 @@ Secret-Werte werden hier nicht dokumentiert. Aufgefuehrt werden nur Variablennam | `docs/FAMILY_VIEW_DASHBOARD.md` | Spezifikation fuer das Grafana Family-View-Dashboard (Doku-only, kein JSON) | | `docs/RESTORE_DRILL_ROUTINE.md` | Quartalsweise Restore-Drill-Routine, Tier-Belegung, DR-Sanity-Check | | `docs/IMMICH_RESTORE_TEST.md` | Operator-Overview Immich-Restore-Test, Erstlauf 2026-05-27 erfolgreich | +| `docs/RENOVATE.md` | Self-hosted Renovate gegen Gitea (Setup + Wartung) | | `docs/FRITZBOX_PORT_CORRECTION_PLAN.md` | Vorbereitungs-Doku fuer FRITZ!Box-Portfreigaben-Korrektur (kein Router-Eingriff) | | `docs/OFFSITE_BACKUP_OPTIONS.md` | Entscheidungsvorlage zweites Offsite-Backup-Ziel (rsync.net vs. BorgBase EU2 vs. Cold-Platte) | | `docs/AUDIT_2026-05-25_TODO.md` | Operative Arbeitsliste aus dem Audit vom 2026-05-25; Authelia-2FA bewusst geparkt | diff --git a/docs/SECRETS_MAP.md b/docs/SECRETS_MAP.md index a24d113..b4cee43 100644 --- a/docs/SECRETS_MAP.md +++ b/docs/SECRETS_MAP.md @@ -52,6 +52,7 @@ Dieses Dokument listet sensible Daten, deren Ablageorte und die vorgesehene Einb | Monitoring Grafana | Admin Password | `/mnt/user/appdata/secrets/monitoring_grafana_admin_password.txt` -> Docker Secret `/run/secrets/monitoring_grafana_admin_password` -> `GF_SECURITY_ADMIN_PASSWORD__FILE` | aktiv | | Monitoring Grafana -> InfluxDB | Datasource Token | `/mnt/user/appdata/secrets/monitoring_grafana_influxdb_token.txt` -> Docker Secret `/run/secrets/monitoring_grafana_influxdb_token` | aktiv | | Home Assistant -> InfluxDB | HA InfluxDB Token | `/homeassistant/secrets.yaml` -> `influxdb3_homeassistant_token` | geplant | +| Renovate Bot | Gitea Service-Account PAT | `/mnt/user/appdata/secrets/renovate_token.txt` -> Host-Datei (chmod 600), gelesen von `ops/renovate/run-renovate.sh` und an Renovate-Container als `RENOVATE_TOKEN` weitergegeben | aktiv nach Operator-Setup (siehe `docs/RENOVATE.md`) | --- diff --git a/ops/renovate/run-renovate.sh b/ops/renovate/run-renovate.sh new file mode 100644 index 0000000..dd03815 --- /dev/null +++ b/ops/renovate/run-renovate.sh @@ -0,0 +1,68 @@ +#!/bin/bash +set -euo pipefail + +# Self-hosted Renovate runner fuer Gitea. +# +# Wird vom Host-User-Script `renovate-six-hourly` aufgerufen. Liest das +# Gitea-PAT aus einer Host-Secret-Datei, startet den Renovate-Container +# ein einziges Mal, schreibt ein Log, beendet sich. +# +# Operator-Setup-Aufgaben (einmalig): +# 1. Gitea-User `renovate` anlegen (Service-Account), 2FA nicht zwingend +# 2. Diesem User Repo-Schreibrechte auf `Micha/*` geben +# 3. Im Gitea-Profil des renovate-Users ein Access-Token erzeugen: +# Scope: `write:repository` + `read:user` +# 4. Token in `/mnt/user/appdata/secrets/renovate_token.txt` ablegen (chmod 600) +# 5. Erstlauf: `bash /mnt/user/services/homelab-infra/ops/renovate/run-renovate.sh` +# 6. User-Script `renovate-six-hourly` aktivieren + +RENOVATE_IMAGE="${RENOVATE_IMAGE:-renovate/renovate:41}" +RENOVATE_TOKEN_FILE="${RENOVATE_TOKEN_FILE:-/mnt/user/appdata/secrets/renovate_token.txt}" +RENOVATE_LOG_DIR="${RENOVATE_LOG_DIR:-/mnt/user/services/renovate/logs}" +RENOVATE_STATE_DIR="${RENOVATE_STATE_DIR:-/mnt/user/services/renovate/state}" +RENOVATE_CONFIG_FILE="${RENOVATE_CONFIG_FILE:-/mnt/user/services/homelab-infra/renovate.json}" + +if [ ! -r "$RENOVATE_TOKEN_FILE" ]; then + echo "Renovate token file missing or unreadable: $RENOVATE_TOKEN_FILE" >&2 + echo "See ops/renovate/run-renovate.sh header for operator setup steps." >&2 + exit 1 +fi + +if [ ! -r "$RENOVATE_CONFIG_FILE" ]; then + echo "Renovate config missing: $RENOVATE_CONFIG_FILE" >&2 + exit 1 +fi + +mkdir -p "$RENOVATE_LOG_DIR" "$RENOVATE_STATE_DIR" + +TS="$(date -u '+%Y-%m-%dT%H-%M-%SZ')" +LOG_FILE="$RENOVATE_LOG_DIR/renovate-$TS.log" +LATEST_SYMLINK="$RENOVATE_LOG_DIR/latest.log" + +# Renovate liest die Konfiguration ueber RENOVATE_CONFIG_FILE als Pfad im +# Container; wir mounten die Repo-Datei read-only nach /usr/src/app/config.json. +{ + echo "[renovate] starting $TS" + echo "[renovate] image: $RENOVATE_IMAGE" + echo "[renovate] config: $RENOVATE_CONFIG_FILE" + echo "[renovate] log: $LOG_FILE" + echo + + docker run --rm \ + --name renovate-run \ + -v "$RENOVATE_CONFIG_FILE":/usr/src/app/config.json:ro \ + -v "$RENOVATE_STATE_DIR":/tmp/renovate \ + -e RENOVATE_CONFIG_FILE=/usr/src/app/config.json \ + -e RENOVATE_PLATFORM=gitea \ + -e RENOVATE_ENDPOINT=https://git.kaleschke.info/api/v1 \ + -e RENOVATE_TOKEN="$(cat "$RENOVATE_TOKEN_FILE")" \ + -e LOG_LEVEL="${RENOVATE_LOG_LEVEL:-info}" \ + "$RENOVATE_IMAGE" 2>&1 + + rc=$? + echo + echo "[renovate] finished rc=$rc" + exit $rc +} | tee "$LOG_FILE" + +ln -sfn "$LOG_FILE" "$LATEST_SYMLINK" diff --git a/renovate.json b/renovate.json new file mode 100644 index 0000000..d60ab58 --- /dev/null +++ b/renovate.json @@ -0,0 +1,80 @@ +{ + "$schema": "https://docs.renovatebot.com/renovate-schema.json", + "extends": [ + "config:recommended", + ":dependencyDashboard", + ":semanticCommits", + "schedule:weekly" + ], + "platform": "gitea", + "endpoint": "https://git.kaleschke.info/api/v1", + "username": "renovate", + "gitAuthor": "Renovate Bot ", + "onboarding": false, + "requireConfig": "optional", + "autodiscover": true, + "autodiscoverFilter": ["Micha/*"], + "dependencyDashboardTitle": "Renovate Dependency Dashboard", + "prHourlyLimit": 0, + "prConcurrentLimit": 5, + "branchConcurrentLimit": 10, + "labels": ["dependencies"], + "rangeStrategy": "pin", + "lockFileMaintenance": { + "enabled": false + }, + "docker-compose": { + "fileMatch": [ + "(^|/)docker-compose([^/]*)\\.ya?ml$", + "(^|/)compose([^/]*)\\.ya?ml$" + ] + }, + "dockerfile": { + "enabled": true + }, + "packageRules": [ + { + "description": "Major-Updates getrennt sammeln, manuell mergen", + "matchUpdateTypes": ["major"], + "groupName": "major-updates", + "groupSlug": "major-updates", + "automerge": false, + "labels": ["dependencies", "major"] + }, + { + "description": "Patch- und Minor-Digest-Updates fuer stabile Images zusammenfassen", + "matchUpdateTypes": ["minor", "patch", "digest"], + "matchManagers": ["docker-compose", "dockerfile"], + "groupName": "minor-and-patch-updates", + "groupSlug": "minor-patch-updates", + "automerge": false, + "labels": ["dependencies", "minor-patch"] + }, + { + "description": "Stateful Tier-1 (Postgres, Mongo, Redis): keine Auto-Group, einzelne PRs, kein Auto-Merge", + "matchPackageNames": [ + "postgres", + "mongo", + "redis", + "tensorchord/pgvecto-rs" + ], + "groupName": null, + "automerge": false, + "labels": ["dependencies", "stateful-tier1"] + }, + { + "description": "Komodo Major-Tag (release :2 mit Digest-Pin) wird nicht von Renovate auf :3 hochgesetzt", + "matchPackageNames": [ + "ghcr.io/moghtech/komodo-core", + "ghcr.io/moghtech/komodo-periphery" + ], + "matchUpdateTypes": ["major"], + "enabled": false + } + ], + "ignorePaths": [ + "**/_archive/**", + "ops/grafana-influxdb/**", + "ops/loki/**" + ] +}