From 5a0a4c9d56f610af6f7ae00ddecd5bca9b2b43a1 Mon Sep 17 00:00:00 2001 From: Micha Date: Tue, 23 Jun 2026 15:22:33 +0200 Subject: [PATCH] Park backend_net internal:true hardening with egress prereq in MASTER_TODO Capture the audit egress analysis durably so the deferred maintenance window keeps the prep. backend_net -> internal:true is the only remaining P3 item; the single risk is dawarich_sidekiq (the only backend_net-only worker), all DB/cache and dual-homed containers are safe. If sidekiq needs egress, use a dedicated dawarich_egress net (immich_egress precedent). Co-Authored-By: Claude Opus 4.8 --- docs/MASTER_TODO.md | 1 + 1 file changed, 1 insertion(+) diff --git a/docs/MASTER_TODO.md b/docs/MASTER_TODO.md index d87d129..d19c47f 100644 --- a/docs/MASTER_TODO.md +++ b/docs/MASTER_TODO.md @@ -58,6 +58,7 @@ Bewusst nicht jetzt - Begruendungen in `docs/DECISIONS.md`, hier nur Thema und T | Filebrowser-Mount-Scope | naechster Hardening-Sprint | `docs/SERVICE_CATALOG.md` | | Scrutiny Privileged-Ausnahme | nur mit klarer Begruendung aendern | `docs/SERVICE_CATALOG.md` | | Immich Redis named volume | passende Wartung am Immich-Stack | `docs/SERVICE_CATALOG.md` | +| `backend_net` auf `internal:true` (Containment-Hardening) | naechstes Docker-Wartungsfenster; Prereq aus Audit-Egress-Analyse 2026-06-23: nur `dawarich_sidekiq` ist backend_net-only Worker -> Outbound messen, bei Egress-Bedarf dediziertes `dawarich_egress`-Netz analog `immich_egress` (DECISIONS 2026-06-16); alle anderen Mitglieder (DB/Cache + dual-homed) sind sicher | `HOMELAB_ARCHITECTURE_MASTER_V2.md` Abschnitt 3.1 | | Komodo keys named volume | gemeinsames Wartungsfenster mit Operator | Live-Volume `komodo_komodo_keys` nach `/mnt/user/appdata/komodo/keys` migrieren, Compose anpassen, Periphery-Reconnect pruefen, dann in Borg-Scope aufnehmen | | Storage-Wachstum (zweite NVMe, zweite Array-Disk, ZFS/BTRFS) | Trigger aus Capacity-Doku | `docs/STORAGE_LAYOUT.md`, `docs/CAPACITY_AND_LIFECYCLE.md` | | Wiederkehrende Restore-Drills | laufend nach Kadenz, inkl. quartalsweisem Frische-Negativtest (`run-restore-checks.sh freshness-negative`) | `docs/RESTORE_MATRIX.md`, `ops/restore-tests/schedule.md` |