homelab-infra

Micha/homelab-infra

Fork 0

Commit Graph

Author	SHA1	Message	Date
Micha	ad9267c66a	Split renovate config: repo config in renovate.json, bot config in ops/ Renovate liest die repo-eigene renovate.json als REPO-Config, nicht als BOT-Config. Bot-spezifische Felder (platform, endpoint, repositories, autodiscover, gitAuthor, prHourlyLimit, ...) gehoeren nicht hinein und werden als "this repo is forbidden / disabled" fehlinterpretiert. Saubere Trennung: - renovate.json (Repo-Root): nur extends, packageRules, ignorePaths, manager file patterns, labels, rangeStrategy - ops/renovate/bot-config.js: Plattform, Endpoint, Username, gitAuthor, autodiscover=false, repositories=[Micha/homelab-infra], Concurrent-/Hourly-Limits bot-config.js statt config.json, weil Renovate Module-exports als config-file akzeptiert (offizielle Variante). Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>	2026-05-29 20:20:00 +02:00
Micha	bdae014bff	Harden renovate runner: env-file, add-host, explicit DNS Drei Issues beim Erstlauf gefunden und gefixt: 1. EAI_AGAIN: Renovate-Container konnte git.kaleschke.info nicht aufloesen. Analog zu Komodos extra_hosts mappen wir den Hostname per --add-host auf 192.168.178.58 (LAN-IP des Unraid-Hosts). Zusaetzlich --dns 1.1.1.1/8.8.8.8 fuer externe Image-Registries. 2. Token-Leak in ps und docker inspect: -e RENOVATE_TOKEN=... macht den Wert in Process-Listing sichtbar. Stattdessen --env-file mit einem 0600 tempfile unter $RENOVATE_STATE_DIR/.env, das nach dem Lauf via shred bzw. rm geloescht wird. 3. Doppelter rc=$? Block plus return innerhalb einer {}-Subshell waren Tot-Code; aufgeraeumt. Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>	2026-05-29 20:04:24 +02:00
Micha	30aa696e61	Prepare Renovate bot against Gitea (F-12) + doc sweep renovate.json: gitea platform, autodiscover Micha/*, group rules (major separate, minor+patch+digest grouped, stateful tier-1 individual, komodo-major disabled), pin range strategy, no automerge, dependency dashboard enabled. ops/renovate/run-renovate.sh: one-shot docker run wrapper that reads the Gitea PAT from /mnt/user/appdata/secrets/renovate_token.txt, runs renovate/renovate:41, logs into /mnt/user/services/renovate/logs/. docs/RENOVATE.md: 5-step operator setup (Gitea service account, PAT, token file, first run, six-hourly user script). Explicit no-automerge stance with notfall-stop checklist. Cross-doc sweep: SECRETS_MAP entry for renovate_token.txt, REPO_MAP entry for RENOVATE.md, AUDIT_2026-05-25_TODO new Sprint 8 with F-15, F-07, F-09 rest, F-12 status, MIGRATION_LOG captures the four-block sprint in one entry. Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>	2026-05-29 15:29:20 +02:00

Author

SHA1

Message

Date

Micha

ad9267c66a

Split renovate config: repo config in renovate.json, bot config in ops/

Renovate liest die repo-eigene renovate.json als REPO-Config, nicht
als BOT-Config. Bot-spezifische Felder (platform, endpoint,
repositories, autodiscover, gitAuthor, prHourlyLimit, ...) gehoeren
nicht hinein und werden als "this repo is forbidden / disabled"
fehlinterpretiert.

Saubere Trennung:
- renovate.json (Repo-Root): nur extends, packageRules,
  ignorePaths, manager file patterns, labels, rangeStrategy
- ops/renovate/bot-config.js: Plattform, Endpoint, Username,
  gitAuthor, autodiscover=false, repositories=[Micha/homelab-infra],
  Concurrent-/Hourly-Limits

bot-config.js statt config.json, weil Renovate Module-exports als
config-file akzeptiert (offizielle Variante).

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

2026-05-29 20:20:00 +02:00

Micha

bdae014bff

Harden renovate runner: env-file, add-host, explicit DNS

Drei Issues beim Erstlauf gefunden und gefixt:

1. EAI_AGAIN: Renovate-Container konnte git.kaleschke.info nicht
   aufloesen. Analog zu Komodos extra_hosts mappen wir den Hostname
   per --add-host auf 192.168.178.58 (LAN-IP des Unraid-Hosts).
   Zusaetzlich --dns 1.1.1.1/8.8.8.8 fuer externe Image-Registries.

2. Token-Leak in ps und docker inspect: -e RENOVATE_TOKEN=... macht
   den Wert in Process-Listing sichtbar. Stattdessen --env-file mit
   einem 0600 tempfile unter $RENOVATE_STATE_DIR/.env, das nach dem
   Lauf via shred bzw. rm geloescht wird.

3. Doppelter rc=$? Block plus return innerhalb einer {}-Subshell
   waren Tot-Code; aufgeraeumt.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

2026-05-29 20:04:24 +02:00

Micha

30aa696e61

Prepare Renovate bot against Gitea (F-12) + doc sweep

renovate.json: gitea platform, autodiscover Micha/*, group rules
(major separate, minor+patch+digest grouped, stateful tier-1
individual, komodo-major disabled), pin range strategy, no
automerge, dependency dashboard enabled.

ops/renovate/run-renovate.sh: one-shot docker run wrapper that
reads the Gitea PAT from /mnt/user/appdata/secrets/renovate_token.txt,
runs renovate/renovate:41, logs into /mnt/user/services/renovate/logs/.

docs/RENOVATE.md: 5-step operator setup (Gitea service account,
PAT, token file, first run, six-hourly user script). Explicit
no-automerge stance with notfall-stop checklist.

Cross-doc sweep: SECRETS_MAP entry for renovate_token.txt,
REPO_MAP entry for RENOVATE.md, AUDIT_2026-05-25_TODO new
Sprint 8 with F-15, F-07, F-09 rest, F-12 status, MIGRATION_LOG
captures the four-block sprint in one entry.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

2026-05-29 15:29:20 +02:00

3 Commits