Park backend_net internal:true hardening with egress prereq in MASTER_TODO

Capture the audit egress analysis durably so the deferred maintenance window keeps the prep. backend_net -> internal:true is the only remaining P3 item; the single risk is dawarich_sidekiq (the only backend_net-only worker), all DB/cache and dual-homed containers are safe. If sidekiq needs egress, use a dedicated dawarich_egress net (immich_egress precedent). Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
2026-06-23 15:22:33 +02:00
parent c4ba67b55c
commit 5a0a4c9d56
1 changed files with 1 additions and 0 deletions
@@ -58,6 +58,7 @@ Bewusst nicht jetzt - Begruendungen in `docs/DECISIONS.md`, hier nur Thema und T
 | Filebrowser-Mount-Scope | naechster Hardening-Sprint | `docs/SERVICE_CATALOG.md` |
 | Scrutiny Privileged-Ausnahme | nur mit klarer Begruendung aendern | `docs/SERVICE_CATALOG.md` |
 | Immich Redis named volume | passende Wartung am Immich-Stack | `docs/SERVICE_CATALOG.md` |
 | `backend_net` auf `internal:true` (Containment-Hardening) | naechstes Docker-Wartungsfenster; Prereq aus Audit-Egress-Analyse 2026-06-23: nur `dawarich_sidekiq` ist backend_net-only Worker -> Outbound messen, bei Egress-Bedarf dediziertes `dawarich_egress`-Netz analog `immich_egress` (DECISIONS 2026-06-16); alle anderen Mitglieder (DB/Cache + dual-homed) sind sicher | `HOMELAB_ARCHITECTURE_MASTER_V2.md` Abschnitt 3.1 |
 | Komodo keys named volume | gemeinsames Wartungsfenster mit Operator | Live-Volume `komodo_komodo_keys` nach `/mnt/user/appdata/komodo/keys` migrieren, Compose anpassen, Periphery-Reconnect pruefen, dann in Borg-Scope aufnehmen |
 | Storage-Wachstum (zweite NVMe, zweite Array-Disk, ZFS/BTRFS) | Trigger aus Capacity-Doku | `docs/STORAGE_LAYOUT.md`, `docs/CAPACITY_AND_LIFECYCLE.md` |
 | Wiederkehrende Restore-Drills | laufend nach Kadenz, inkl. quartalsweisem Frische-Negativtest (`run-restore-checks.sh freshness-negative`) | `docs/RESTORE_MATRIX.md`, `ops/restore-tests/schedule.md` |