monitoring + backup: Stale-Handle-Hardening und Dead-Man's-Switch

Schliesst den lokalen Code-Stand fuer zwei offene MASTER_TODO-Punkte ab.

monitoring: restliche Einzeldatei-Bind-Mounts (alertmanager, blackbox,
loki, promtail, alertmanager-ntfy-bridge) auf Directory-Mounts umgestellt,
analog zum Prometheus-Fix vom 2026-06-19. Vermeidet "Stale NFS file handle"
auf dem /mnt/user-FUSE-Share bei git/Komodo-Updates. grafana-provisioning
war bereits Directory-Mount. `docker compose config` gruen. Beim Deploy
--force-recreate noetig, da sich Mount-Zielpfade aendern.

backup: endpoint-agnostischer Dead-Man's-Switch (Healthchecks-kompatibel,
Cloud oder self-hosted) in pull-critical-backups.ps1 und pre-borg.sh.
Pings /start, Erfolg und /fail; No-Op ohne konfigurierte URL, bricht also
keinen Lauf. Ping-URLs sind Capability-URLs und bleiben als Secret
ausserhalb des Repos.

Doku: SECRETS_MAP, Nearline-README und MASTER_TODO nachgezogen.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

monitoring/docker-compose.yml

@@ -32,10 +32,13 @@ services:
     container_name: monitoring-alertmanager
     restart: unless-stopped
     command:
-      - --config.file=/etc/alertmanager/alertmanager.yml
+      - --config.file=/etc/alertmanager/config/alertmanager.yml
       - --storage.path=/alertmanager
     volumes:
-      - ./alertmanager/alertmanager.yml:/etc/alertmanager/alertmanager.yml:ro
+      # Verzeichnis-Mount statt Einzeldatei (Begruendung siehe prometheus):
+      # /mnt/user-FUSE bricht Einzeldatei-Bind-Mounts bei git/Komodo-Updates
+      # zu "Stale NFS file handle" -> Directory-Inode ist stabil.
+      - ./alertmanager:/etc/alertmanager/config:ro
       - alertmanager_data:/alertmanager
     networks:
       - monitoring_net
@@ -57,7 +60,9 @@ services:
       - python
       - /app/bridge.py
     volumes:
-      - ./alertmanager-ntfy-bridge/bridge.py:/app/bridge.py:ro
+      # Verzeichnis-Mount statt Einzeldatei (Begruendung siehe prometheus):
+      # vermeidet Stale-Handle auf dem /mnt/user-FUSE-Share bei git/Komodo-Updates.
+      - ./alertmanager-ntfy-bridge:/app:ro
     networks:
       - monitoring_net
     expose:
@@ -75,9 +80,11 @@ services:
     dns:
       - 172.23.0.3
     command:
-      - --config.file=/etc/blackbox_exporter/blackbox.yml
+      - --config.file=/etc/blackbox_exporter/config/blackbox.yml
     volumes:
-      - ./blackbox/blackbox.yml:/etc/blackbox_exporter/blackbox.yml:ro
+      # Verzeichnis-Mount statt Einzeldatei (Begruendung siehe prometheus):
+      # vermeidet Stale-Handle auf dem /mnt/user-FUSE-Share bei git/Komodo-Updates.
+      - ./blackbox:/etc/blackbox_exporter/config:ro
     networks:
       - monitoring_net
       - dns_net
@@ -91,9 +98,11 @@ services:
     container_name: monitoring-loki
     restart: unless-stopped
     command:
-      - -config.file=/etc/loki/loki-config.yml
+      - -config.file=/etc/loki/config/loki-config.yml
     volumes:
-      - ./loki/loki-config.yml:/etc/loki/loki-config.yml:ro
+      # Verzeichnis-Mount statt Einzeldatei (Begruendung siehe prometheus):
+      # vermeidet Stale-Handle auf dem /mnt/user-FUSE-Share bei git/Komodo-Updates.
+      - ./loki:/etc/loki/config:ro
       - loki_data:/loki
     networks:
       - monitoring_net
@@ -107,9 +116,11 @@ services:
     container_name: monitoring-promtail
     restart: unless-stopped
     command:
-      - -config.file=/etc/promtail/promtail-config.yml
+      - -config.file=/etc/promtail/config/promtail-config.yml
     volumes:
-      - ./promtail/promtail-config.yml:/etc/promtail/promtail-config.yml:ro
+      # Verzeichnis-Mount statt Einzeldatei (Begruendung siehe prometheus):
+      # vermeidet Stale-Handle auf dem /mnt/user-FUSE-Share bei git/Komodo-Updates.
+      - ./promtail:/etc/promtail/config:ro
       - promtail_positions:/positions
       - /var/run/docker.sock:/var/run/docker.sock:ro
       - /var/lib/docker/containers:/var/lib/docker/containers:ro