chore(deps): update postgres:18.4 docker digest to 29ee7bb

fix: protect ha onboarding with authelia
fix: allow home hairpin during ha onboarding
2026-06-12 22:20:51 +00:00 · 2026-06-12 21:52:45 +02:00 · 2026-06-12 21:51:34 +02:00 · 2026-06-12 21:50:15 +02:00 · 2026-06-12 20:51:18 +02:00 · 2026-06-12 20:45:32 +02:00
316 changed files with 28365 additions and 5036 deletions
@@ -0,0 +1,6 @@
 *.sh text eol=lf
 *.ps1 text eol=crlf
 *.md text
 *.json text
 *.yml text
 *.yaml text
@@ -0,0 +1,35 @@
 # Local environment and stack values
 .env
 *.env
 !*.env.example
 **/stack.env
 !**/stack.env.example
 # Secrets and certificate material
 **/secrets/
 **/letsencrypt/
 **/acme.json
 **/*.key
 **/*.pem
 **/*.crt
 # Backup, dump, and archive artifacts
 **/*.dump
 **/*.sql.gz
 **/*.archive.gz
 **/*.tar
 **/*.tar.gz
 **/*.tgz
 **/*.zip
 # Generated reports
 ops/policy-checks/last-report.md
 # Local/editor noise
 .DS_Store
 Thumbs.db
 *.tmp
 *.log
 .serena/
 .claude/settings.local.json
 memory/
@@ -0,0 +1,20 @@
 # Agent Context - Homelab Infra
 Typ: Einstieg/Index · Stand: 2026-06-11 · Status: aktiv
 Einstiegspunkt fuer KI-Agenten (Codex, Gemini u. a.; Claude nutzt zusaetzlich
 `CLAUDE.md`). Kein eigener Inhalt - nur Pflichtpfade.
 ## Vor jeder Arbeit lesen
 1. `docs/AI_CONTEXT.md` - Systembild, harte Regeln, Ausnahmen-Kurzliste
 2. `HOMELAB_ARCHITECTURE_MASTER_V2.md` - Architektur-Zielbild
 3. `docs/WORKFLOW.md` - verbindlicher GitOps-/No-Drift-Ablauf
 4. die betroffene `docker-compose.yml` bzw. das betroffene Runbook (Index: `docs/README.md`)
 ## Nicht verhandelbar
 - Keine Secret-Werte lesen, zitieren oder schreiben - nur Namen und Pfade.
 - Keine Deployments, Host-Hotfixes oder Docker-Schreibbefehle ohne ausdrueckliche Anweisung.
 - Doku-Regeln aus `docs/REPO_MAP.md` einhalten: ein Fakt, ein Zuhause. Status nur in `docs/MASTER_TODO.md`, Entscheidungen nur in `docs/DECISIONS.md`.
 - Bei Drift oder zwei fehlgeschlagenen Reparaturversuchen: stoppen, `docs/GITOPS_DRIFT_RUNBOOK.md`.
@@ -0,0 +1,131 @@
 # Claude Code Context - Homelab Infra
 Stand: 2026-06-11
 Dieses Repository ist die GitOps-Quelle fuer das KalliLab CORE Homelab auf einem Unraid-Host. Es verwaltet Docker-Compose-Stacks fuer Core-Dienste, Security, Infrastruktur, Apps, Operations-Tools, Host-nahe Dienste und Traefik. Gitea Online ist die operative Quelle der Wahrheit; Komodo konsumiert den Git-Stand und deployed daraus.
 ## Vor jeder Aenderung lesen
 Claude muss vor jeder fachlichen oder technischen Aenderung mindestens diese Dateien lesen:
 1. `HOMELAB_ARCHITECTURE_MASTER_V2.md`
 2. `docs/WORKFLOW.md`
 3. `docs/README.md`
 4. `docs/REPO_MAP.md`
 5. `docs/SERVICE_CATALOG.md`
 6. die betroffene `docker-compose.yml`
 Zusaetzlich je nach Thema:
 - Restore / Host-Ausfall: `docs/DISASTER_RECOVERY.md` und `docs/RESTORE_MATRIX.md`
 - Rollback: `docs/ROLLBACK.md`
 - Secrets: `docs/SECRETS_MAP.md`
 - GitOps-/Komodo-/Runtime-Drift: `docs/GITOPS_DRIFT_RUNBOOK.md`
 - Gesamtbild fuer KI-Agenten: `docs/AI_CONTEXT.md`
 - Architektur-/Betriebsentscheidungen mit Begruendung: `docs/DECISIONS.md`
 ## Projektbeschreibung
 - Host: Unraid, Hostname `Kallilabcore`
 - Domain: `kaleschke.info`
 - Reverse Proxy: Traefik v3
 - DNS: AdGuard Home + Unbound
 - VPN/Remote: Tailscale
 - Git: Gitea unter `git.kaleschke.info`
 - Deployment: Komodo als primaerer und einziger produktiver Stack-Manager
 - Lokale Arbeitskopie: Windows/GitHub Desktop
 - Persistenz: ueberwiegend `/mnt/user/appdata`, Nutzdaten in `/mnt/user/documents`, `/mnt/user/photos`, GitOps/Gitea in `/mnt/user/services`
 ## Architekturprinzipien
 - Traefik ist der einzige oeffentliche HTTP(S)-Einstiegspunkt.
 - Service-Routing erfolgt per Docker-Labels, nicht ueber neue Traefik File-Provider-Service-Routen.
 - `frontend_net` ist das Web-/Proxy-Netz.
 - `backend_net` ist `internal: true` fuer Datenbanken, Redis und interne Backends.
 - App-interne Netze sind erlaubt, wenn sie eine App und ihre Datenbank/Worker sauber isolieren.
 - Datenbanken und Caches duerfen nicht im `frontend_net` liegen.
 - Direkte Host-Ports sind nur mit dokumentierter Ausnahme erlaubt.
 - Komodo bleibt bewusst ohne pauschale zentrale Authelia-ForwardAuth-Middleware.
 - Secrets gehoeren niemals ins Git-Repository.
 - Produktive Container sollen als Compose/Git-Stack verwaltet werden.
 ## GitOps-Regeln
 Quelle der Wahrheit:
 1. Gitea `origin/master`
 2. lokaler Clone
 3. Komodo Stack Workspace
 4. laufende Docker-Container
 5. Host-Zustand
 Standard-Workflow:
 1. Lokal synchronisieren (`Fetch`, ggf. `Pull`)
 2. Betroffene Docs und Compose-Datei lesen
 3. Zielzustand und Rollback klaeren
 4. Lokal minimal aendern
 5. Validieren
 6. Commit und Push durch den Benutzer oder nach expliziter Freigabe
 7. Komodo-Deploy/Runtime pruefen
 8. Dokumentation nachziehen
 Neue produktive Komodo-Stacks aus `Micha/homelab-infra` brauchen verpflichtend einen aktiven Gitea->Komodo-Webhook auf die aktuelle Stack-ID. Ausnahmen muessen im selben Aenderungsblock dokumentiert werden.
 Wenn Drift vermutet wird, nicht raten. Erst die Pflichtmatrix in `docs/GITOPS_DRIFT_RUNBOOK.md` abarbeiten.
 ## Sicherheitsregeln
 - Secret-Werte niemals ausgeben. Wenn Werte auftauchen: redakten.
 - Nur Secret-Namen, Env-Key-Namen und Pfade dokumentieren.
 - Keine produktiven `.env`- oder Stack-Env-Werte zitieren.
 - Keine Compose-Aenderung ohne vorherigen Architektur-/Workflow-Abgleich.
 - Keine Deployments, Host-Hotfixes oder Docker-Schreibbefehle ohne ausdrueckliche Anweisung.
 - Keine direkten Host-Ports fuer Web-UIs, ausser dokumentierte Ausnahmen.
 - `privileged: true`, Docker-Socket und Host-Netz nur als dokumentierte Ausnahme.
 - Traefik dynamic config unter `traefik/dynamic/` wird nicht automatisch von Komodo deployed und muss bei Aenderungen manuell auf den Host synchronisiert werden.
 ## Bekannte dokumentierte Ausnahmen
 - `traefik`: Host-Ports 80/443
 - `gitea`: SSH-Port 222
 - `AdGuard Home`: DNS-Port 53 und LAN-Admin-Port 8082
 - `tailscale`: natives Unraid-Plugin (`tailscale.plg`, Interface `tailscale1`), Subnet-Router fuers LAN; nicht repo-/Komodo-verwaltet. Der frueher repo-verwaltete userspace-Docker-Stack `host-services/tailscale/` wurde am 2026-06-06 entfernt.
 - `Plex-Media-Server`: historischer Host-Netz-Sonderfall, nicht als Repo-Stack enthalten
 - `scrutiny`: `privileged: true` fuer SMART/Laufwerkszugriff
 - `Komodo`: Docker-Socket und native Auth ohne pauschale ForwardAuth
 - `traefik/dynamic/*`: manuelle Host-Sync-Ausnahme
 - `influxdb3-core`: LAN-only Host-Port 8181 fuer Home Assistant Writer, keine Traefik-Route, nicht im `frontend_net`
 ## No-Go-Regeln
 - Keine produktiven Aenderungen direkt in Komodo.
 - Keine `docker run`-Ad-hoc-Container als Dauerzustand.
 - Keine Compose-Dateien, Secrets oder Host-Konfigurationen stillschweigend aendern.
 - Keine Deployments ausloesen, wenn der Benutzer nur Analyse oder Dokumentation verlangt.
 - Kein `push --force` auf `master` als Standard-Rollback.
 - Keine History-Rewrites ohne ausdrueckliche Freigabe.
 - Keine Loesch-, Reset- oder Migrationsbefehle ohne klaren Zielzustand und Rollback.
 - Keine neuen `latest`-/mutable Image-Tags ohne bewusste Versionsentscheidung.
 ## Rollback-Erwartungen
 Jede Aenderung braucht vor dem Deploy eine klare Rueckkehrstrategie:
 - letzter bekannter funktionierender Git-Stand
 - betroffener Stack und Persistenzpfade
 - ob Datenpfade unveraendert bleiben
 - ob Secrets/ENV betroffen sind
 - konkrete Smoke-Tests nach Rollback
 Standard-Rollback ist ein Ruecknahme-Commit oder gezielte Rueckaenderung mit Push nach Gitea. Produktive Datenpfade unter `/mnt/user/appdata`, `/mnt/user/documents`, `/mnt/user/photos`, `/mnt/user/services` und `/mnt/user/backups` nicht blind loeschen.
 ## Arbeitsweise fuer Claude
 - Erst lesen, dann handeln.
 - Doku-Regeln aus `docs/REPO_MAP.md` einhalten: ein Fakt, ein Zuhause. Status nur in `docs/MASTER_TODO.md`, Entscheidungen nur in `docs/DECISIONS.md`, Erledigtes verlaesst die Arbeitskopie.
 - Bei Unsicherheit Zustand messen, nicht erraten.
 - Aenderungen klein halten und nur den betroffenen Bereich anfassen.
 - Bestehende Doku und Repo-Konventionen bevorzugen.
 - Bei Secret-/Runtime-/Komodo-Fragen besonders konservativ sein.
 - Wenn zwei Reparaturversuche nicht funktionieren: stoppen, Pflichtmatrix ausfuellen, eine abweichende Ebene benennen.
@@ -3,7 +3,7 @@
 > **Single Source of Truth** für Docker-Netzwerkarchitektur, Sicherheitsregeln, Zielbild und Migration des Kallilabcore-Homelabs.
 > **Arbeitsregel für KI-Assistenten:** Dieses Dokument immer zuerst lesen, bevor Fragen zu Containern, Netzwerken, Traefik, Tailscale, Migration oder Security beantwortet werden.
-**Stand:** 2026-03-29 | **Aktueller Sprint:** 7 (Authelia SSO/2FA) — Sprints 1–6 abgeschlossen
+**Stand:** 2026-06-11 | **Aktueller Schwerpunkt:** GitOps / Doku-Synchronisierung / Reproduzierbare Deployments
 ---
@@ -16,11 +16,11 @@
 6. [Einordnungsschema für neue Container](#6-einordnungsschema-für-neue-container)
 7. [Container-Zielbild (vollständig)](#7-container-zielbild-vollständig)
 8. [Traefik-Label-Standard](#8-traefik-label-standard)
-9. [Migrationsstrategie (Blöcke A–F)](#9-migrationsstrategie-blöcke-af)
+9. [Historische Migration (abgeschlossen)](#9-historische-migration-abgeschlossen)
 10. [Bekannte Ausnahmen und Begründungen](#10-bekannte-ausnahmen-und-begründungen)
 11. [Projektorganisation und Arbeitsmodus](#11-projektorganisation-und-arbeitsmodus)
 12. [Nutzung mit KI / Kontext-Regel](#12-nutzung-mit-ki--kontext-regel)
-13. [Betriebserfahrungen und Entscheidungs-Log](#13-betriebserfahrungen-und-entscheidungs-log)
+13. [Betriebserfahrungen und Entscheidungs-Log (ausgelagert)](#13-betriebserfahrungen-und-entscheidungs-log-ausgelagert)
 ---
@@ -30,14 +30,14 @@
 |---|---|
 | Host-OS | Unraid |
 | Hostname | Kallilabcore |
-| Reverse Proxy | Traefik v3 (100% Docker-Labels, kein File-Provider) |
+| Reverse Proxy | Traefik v3 (Service-Routing via Docker-Labels, File-Provider fuer Middlewares, TLS und Dashboards) |
 | VPN / Remote-Zugang | Tailscale (`tailscale`, host-Netz, Git-Stack) |
 | DNS-Stack | AdGuard Home (`dns_net` + `frontend_net`) → Unbound (`dns_net`) |
 | Basis-Domain | `kaleschke.info` |
 | TLS | Let's Encrypt via Cloudflare DNS Challenge |
 | Certresolver | `le` |
 | Compose-Standard | Komodo (GitOps, Stack aus Gitea) |
-| Legacy | Portainer CE (in Ablösung durch Komodo, Sprint 5) |
+| Legacy | Portainer CE entfernt; Komodo ist alleiniger Stack-Manager |
 | Homelab-Compose-Pfad | `/mnt/user/services/homelab/` |
 | Secrets-Pfad | `/mnt/user/appdata/secrets/` |
 | Grundsatz | Keine neuen Dockerman-Einzelcontainer |
@@ -47,26 +47,26 @@
 ## 2. Architektur-Prinzipien
 ### P1 — Traefik ist der einzige öffentliche HTTP(S)-Einstiegspunkt
-Kein Webdienst veröffentlicht finale direkte Host-Ports außer `traefik` selbst. Begründete Ausnahmen: `gitea`-SSH (Port 222), `AdGuard Home` (Port 53/DNS + 3000/Admin), `Tailscale`, `Plex-Media-Server`.
+Kein Webdienst veröffentlicht finale direkte Host-Ports außer `traefik` selbst. Begründete Ausnahmen: `gitea`-SSH (Port 222), `AdGuard Home` (Port 53/DNS direkt; Admin 8082 nur auf Tailscale-IP `100.80.98.33`), `Tailscale`, `Plex-Media-Server` und `monitoring-influxdb3-core` Port 8181 als LAN-only Writer-Endpunkt fuer Home Assistant.
 ### P2 — Das Setup bleibt bewusst einfach: `frontend_net` + `backend_net` + app-interne Netze
 - `frontend_net` = Proxy-/Web-Netz
 - `backend_net` = intern für DB/Cache/App-Kommunikation
- zusätzliche Netze nur app-intern, wenn technisch nötig (`mealie_mealie_internal`, `immich_default`, `dns_net`)
+- zusätzliche Netze nur app-intern, wenn technisch nötig (`mealie_internal`, `immich_default`, `dns_net`)
-Es gibt **keine künstlichen globalen Zusatznetze** wie `admin_net`, `monitoring_net` oder `media_net`.
+Es gibt **keine künstlichen globalen Zusatznetze** wie `admin_net` oder `media_net`. `monitoring_net` ist die dokumentierte Ausnahme fuer den zentralen Observability-Stack.
 ### P3 — Datenbanken gehören nie ins `frontend_net`
 Postgres, Redis und ähnliche Dienste laufen ausschließlich in `backend_net` oder einem eigenen internen Compose-Netz.
 ### P4 — Admin-UIs sind nicht öffentlich
-Komodo, filebrowser, scrutiny, UptimeKuma, code-server, Traefik-Dashboard, backrest, borg-ui und beszel sind standardmäßig **Tailscale-only** oder hinter Traefik **mit zentraler Middleware** abgesichert.
+filebrowser, scrutiny, code-server, Traefik-Dashboard und borg-ui sind standardmaessig **Tailscale-only** oder hinter Traefik **mit zentraler Middleware** abgesichert. `Komodo` ist die dokumentierte Ausnahme und bleibt bewusst bei nativer Authentifizierung ohne pauschal vorgeschaltete ForwardAuth-Middleware.
 ### P5 — Compose-first
 Alle produktiven Container werden als Compose verwaltet. Bestehende Dockerman-/Ad-hoc-Container werden schrittweise migriert.
 ### P6 — Secrets nie im Klartext
-Passwörter, Tokens und API-Keys gehören in Secret-Dateien unter `/mnt/user/appdata/secrets/` oder als Komodo/Portainer Environment Variables mit `${VARIABLE}` in der Compose.
+Passwörter, Tokens und API-Keys gehören in Secret-Dateien unter `/mnt/user/appdata/secrets/` oder als Komodo Stack Environment Variables mit `${VARIABLE}` in der Compose.
 ### P7 — `restart: unless-stopped` ist Pflichtstandard
 Jeder produktive Container nutzt `restart: unless-stopped`, außer eine Ausnahme ist dokumentiert.
@@ -74,7 +74,7 @@ Jeder produktive Container nutzt `restart: unless-stopped`, außer eine Ausnahme
 ### P8 — Least Privilege
 - `security_opt: ["no-new-privileges:true"]` standardmäßig ergänzen
 - `privileged: true` nur mit dokumentierter Begründung
- Docker-Socket standardmäßig vorsichtig behandeln; **Komodo/PortainerCE sind dokumentierte Ausnahmen**
+- Docker-Socket standardmäßig vorsichtig behandeln; **Komodo ist dokumentierte Ausnahme**
 ---
@@ -87,8 +87,13 @@ Jeder produktive Container nutzt `restart: unless-stopped`, außer eine Ausnahme
 | `frontend_net` | bridge, external | einziges Traefik-/Web-Netz | Standard |
 | `backend_net` | bridge, `internal: true` | interne App-/DB-/Cache-Kommunikation | Standard |
 | `dns_net` | bridge | Resolver-Schicht: AdGuard Home + Unbound | bleibt |
-| `mealie_mealie_internal` | bridge, `internal: true` | internes Netz nur für `mealie` + `mealie-postgres` | ✅ umgesetzt |
+| `mealie_internal` | bridge, `internal: true` | internes Netz nur für `mealie` + `mealie-postgres` | ✅ umgesetzt |
 | `immich_default` | Compose-intern, `internal: true` | internes Immich-Netz | ✅ umgesetzt |
 | `nextcloud_internal` | bridge, `internal: true` | internes Netz nur fuer `nextcloud` + `nextcloud-postgres` + `nextcloud-redis` | ✅ vorbereitet |
 | `monitoring_net` | Compose-intern, bridge | zentraler Observability-Stack fuer Prometheus, Loki, Grafana, Promtail, Exporter und InfluxDB | Zielzustand |
 | `monitoring_influx_lan` | Compose-intern, bridge | nicht-oeffentliches Zusatznetz nur fuer Docker Host-Port-Publishing von InfluxDB 8181 | Zielzustand |
 | `glance_socket_net` | Compose-intern, `internal: true` | interner Zugriff von Glance auf den Docker-Socket-Proxy | umgesetzt |
 | `smarthome_net` | bridge, `internal: true` | interne Smart-Home-Kommunikation zwischen Home Assistant, Mosquitto, spaeter Zigbee2MQTT/ESPHome | vorbereitet |
 | `host` | host | nur für echte Sonderfälle | begründet |
 ### 3.2 Finales Diagramm (vereinfacht)
@@ -99,9 +104,10 @@ Internet
 traefik (80/443)
 │
 └── frontend_net
-    ├── öffentliche Apps (vaultwarden, mealie, paperless, immich, gitea, ntfy, homepage)
+    ├── öffentliche Apps (vaultwarden, mealie, paperless, immich, gitea, ntfy, mail-archiver, nextcloud)
-    ├── Admin-UIs mit Middleware (komodo, uptime-kuma, filebrowser, scrutiny, code-server, backrest, borg-ui, beszel)
+    ├── geschützte UIs mit Middleware (glance, paperless-gpt, filebrowser, scrutiny, code-server, borg-ui, glances, speedtest, bentopdf, monitoring-grafana)
-    └── Hybrid-Dienste mit Internetbedarf (mail-archiver, ddns-updater)
+    ├── Admin-UI mit nativer Auth (komodo)
    └── Dienste mit Internetbedarf ohne öffentliche UI (ddns-updater)
 backend_net (internal: true)
 ├── postgresql17
@@ -114,13 +120,17 @@ dns_net
 └── unbound
 App-interne Netze
-├── mealie_mealie_internal (internal: true) ✅
+├── mealie_internal (internal: true) ✅
-└── immich_default (internal: true) ✅
+├── immich_default (internal: true) ✅
 ├── nextcloud_internal (internal: true) ✅
 ├── monitoring_net (zentraler Observability-Stack)
 ├── monitoring_influx_lan (Bridge fuer LAN-Port-Publishing, keine Traefik-Route)
 └── smarthome_net (HA, Mosquitto, spaeter Zigbee2MQTT/ESPHome)
 Host-Sonderfälle
 ├── tailscale
-├── Plex-Media-Server
+└── Plex-Media-Server
-└── beszel-agent
+
 ```
 ---
@@ -136,21 +146,30 @@ Diese Dienste sind über echte `*.kaleschke.info`-Domains erreichbar:
 - `ntfy` — ntfy.kaleschke.info
 - `gitea` (Web) — git.kaleschke.info
 - `immich_server` — immich.kaleschke.info
- `homepage` — homepage.kaleschke.info
+- `nextcloud` — cloud.kaleschke.info
 - `plex` — plex.kaleschke.info (Traefik, native Plex-Auth; Plex Remote Access/Port 32400 bleibt aus)
 - `homeassistant` — home.kaleschke.info (Traefik, native Home-Assistant-Auth)
 ### 4.2 Nicht öffentlich / nur Tailscale oder Traefik + Middleware
 Diese Dienste sind **keine Public Apps**:
- `Komodo` — komodo.kaleschke.info (Middleware)
+- `Komodo` — komodo.kaleschke.info (Traefik, aber bewusst ohne zentrale Middleware; native Auth bleibt aktiv)
 - `UptimeKuma` — uptime.kaleschke.info (Middleware)
 - `filebrowser` — files.kaleschke.info (Middleware)
 - `scrutiny` — scrutiny.kaleschke.info (Middleware)
 - `code-server` — Traefik + Middleware
 - `beszel` — beszel.kaleschke.info (Middleware ausstehend)
 - `backrest` — Traefik + Middleware
 - `borg-ui` — borg.kaleschke.info (Middleware)
 - `glance` — glance.kaleschke.info (Middleware)
 - `paperless-gpt` — paperless-gpt.kaleschke.info (Middleware)
 - `mail-archiver` — mail.kaleschke.info (Middleware + App-Auth)
 - `glances` — glances.kaleschke.info (Middleware)
 - `speedtest-tracker` — speedtest.kaleschke.info (Middleware)
 - `bentopdf` — pdf.kaleschke.info (Middleware)
 - `monitoring-grafana` — monitoring.kaleschke.info (Middleware)
 - `hermes-dashboard` — hermes.kaleschke.info (Middleware)
 - `super-productivity` — sp.kaleschke.info (Middleware)
 - `n8n` — n8n.kaleschke.info (Traefik ohne pauschale Middleware, native Auth + Webhook-Ausnahme analog Komodo)
 - `Traefik-Dashboard`
- `AdGuard Home` — Port 3000 direkt (kein Traefik, nur LAN-Zugang)
+- `AdGuard Home` — Admin-UI auf Port 8082 (`80` im Container), kein Traefik, nur Tailscale-IP `100.80.98.33`; 2026-05-26 bewusst keine 2FA-/Traefik-Umstellung
 ### 4.3 Regel
 Wenn ein Dienst im `frontend_net` hängt, heißt das **nicht automatisch öffentlich**. Admin-Dienste dürfen im `frontend_net` liegen, wenn:
@@ -159,6 +178,8 @@ Wenn ein Dienst im `frontend_net` hängt, heißt das **nicht automatisch öffent
 - keine direkten Host-Ports bestehen
 - Zugriff durch Tailscale bzw. Auth begrenzt ist
 `Komodo` ist hiervon die dokumentierte Ausnahme: Traefik ja, aber keine pauschale ForwardAuth-Middleware, damit Webhooks, API und Periphery-Kommunikation nicht versehentlich beeintraechtigt werden.
 ---
 ## 5. Globale Sicherheitsregeln
@@ -166,10 +187,10 @@ Wenn ein Dienst im `frontend_net` hängt, heißt das **nicht automatisch öffent
 1. Keine produktiven Dienste im Docker-Default-`bridge`
 2. Keine direkten Host-Ports für Web-UIs außer dokumentierte Ausnahmen
 3. `restart: unless-stopped` als Standard
-4. Secrets als Datei / `_FILE` oder Komodo/Portainer Environment Variables mit `${VAR}`
+4. Secrets als Datei / `_FILE` oder Komodo Stack Environment Variables mit `${VAR}`
 5. `no-new-privileges:true` ergänzen, wo praktikabel
 6. `traefik.docker.network=frontend_net` immer explizit setzen
-7. Admin-Dienste immer mit `dashboard-auth@file,secure-headers@file`
+7. Admin- und interne Web-Dienste standardmaessig mit zentraler Middleware absichern (`authelia@file,secure-headers@file` oder dokumentierte Ausnahme)
 8. Placeholder-Domains (`yourdomain.tld`) sind verboten
 9. `privileged: true` nur mit Begründung
 10. Volume-Mounts so klein und so read-only wie möglich
@@ -219,20 +240,18 @@ Legende Status:
 | Container | Status | Soll-Netz(e) | Finaler Zugang | Finaler Sollzustand | Offene Punkte |
 |---|---|---|---|---|---|
-| `traefik` | ✅ | `frontend_net`, `backend_net` | öffentlich 80/443 | zentraler Ingress, 100% Docker-Labels | — |
+| `traefik` | ✅ | `frontend_net`, `backend_net` | öffentlich 80/443 | zentraler Ingress, Service-Routing via Docker-Labels | — |
-| `AdGuard Home` | ✅ | `dns_net` (172.23.0.3), `frontend_net` | Port 53 DNS direkt, Port 3000 Admin (LAN) | DNS-Server + Upstream zu unbound; kein Traefik (DNS-Sonderfall) | Admin-Port per Traefik + Middleware absichern (Block F) |
+| `AdGuard Home` | ✅ | `dns_net` (172.23.0.3), `frontend_net` | Port 53 DNS direkt, Port 8082 Admin nur auf Tailscale-IP `100.80.98.33` | DNS-Server + Upstream zu unbound; kein Traefik fuer Admin-UI | Admin-Port bleibt bewusst ohne Traefik/2FA, aber nicht mehr auf allen LAN-Interfaces |
 | `unbound` | ✅ | `dns_net` | intern | Upstream-Resolver für AdGuard, isoliert | — |
 | `ddns-updater` | ✅ | `frontend_net` | intern | Cloudflare DNS API; bleibt in `frontend_net` | Dokumentierte Ausnahme |
-| `tailscale` | ✅ | `host` | VPN-Zugang | Git-Stack (`host-services/tailscale/`) | `TS_USERSPACE`/`privileged` später prüfen |
+| `tailscale` | ✅ | `host` | VPN-Zugang / Subnet-Router | **Natives Unraid-Plugin** (`tailscale.plg`, Interface `tailscale1`, State `/boot/config/plugins/tailscale/state`) — **nicht** repo-/Komodo-verwaltet | Subnet-Router fuer `192.168.178.0/24`; der redundante userspace-Docker-Stack `host-services/tailscale/` wurde am 2026-06-06 entfernt |
 | `backrest` | ✅ | `frontend_net`, `backend_net` | Traefik + Middleware | `traefik.docker.network=frontend_net` korrigiert | Breite Mounts straffen (Block F) |
 | `homepage` | ✅ | `frontend_net` | Traefik | öffentliche Startseite via `homepage.kaleschke.info` | — |
 ### 7.2 Sicherheit / Identity
 | Container | Status | Soll-Netz(e) | Finaler Zugang | Finaler Sollzustand | Offene Punkte |
 |---|---|---|---|---|---|
 | `vaultwarden` | ✅ | `frontend_net` | Traefik | kein Host-Port, `ADMIN_TOKEN_FILE` | — |
-| `authelia` | 🔄 | `frontend_net`, `backend_net` | Traefik via `auth.kaleschke.info` | ForwardAuth-Provider, Secrets via `_FILE`, PostgreSQL + Redis Shared | NAS-seitige Einrichtung ausstehend (Secrets, DB, Users, DNS) |
+| `authelia` | ✅ | `frontend_net`, `backend_net` | Traefik via `auth.kaleschke.info` | aktiver ForwardAuth-Provider, Secrets via `_FILE`, PostgreSQL Storage; bewusst ohne Redis-Session-Backend | — |
 ### 7.3 Datenbanken / Caches
@@ -240,48 +259,62 @@ Legende Status:
 |---|---|---|---|---|---|
 | `postgresql17` | ✅ | `backend_net` | intern | kein Host-Port, `POSTGRES_PASSWORD_FILE` | — |
 | `Redis` | ✅ | `backend_net` | intern | intern-only Cache | optional named volume |
-| `mealie-postgres` | ✅ | `mealie_mealie_internal` | intern | isoliert, nie `frontend_net` | — |
+| `mealie-postgres` | ✅ | `mealie_internal` | intern | isoliert, nie `frontend_net` | — |
 | `immich_postgres` | ✅ | `immich_default` | intern | intern-only | — |
 | `immich_redis` | ⏳ | `immich_default` | intern | intern-only | anonymes Volume → named volume |
 | `nextcloud-postgres` | ✅ | `nextcloud_internal` | intern | app-eigene Nextcloud-Datenbank mit `_FILE`-Secret | — |
 | `nextcloud-redis` | ✅ | `nextcloud_internal` | intern | app-eigener Cache fuer File Locking / Sessions | — |
 | `smarthome-mosquitto` | ✅ vorbereitet | `smarthome_net` | intern `1883`, kein Host-Port in Phase 1 | MQTT-Datenbus fuer Home Assistant, spaeter ESPHome und Zigbee2MQTT; Passwortdatei und ACLs in `/mnt/user/appdata/mosquitto/config` | LAN-Port erst in ESPHome-Phase mit ACLs/per-Device-Usern |
-### 7.4 Öffentliche Apps
+### 7.4 Produktive Apps
 | Container | Status | Soll-Netz(e) | Finaler Zugang | Finaler Sollzustand | Offene Punkte |
 |---|---|---|---|---|---|
 | `paperless-ngx` | ✅ | `frontend_net`, `backend_net` | Traefik | aktiv via `paperless.kaleschke.info` | — |
-| `Paperless-AI` | ✅ | `frontend_net` | Traefik | aktiv | — |
+| `mail-archiver` | ✅ | `frontend_net`, `backend_net` | Traefik + Middleware | aktiv via `mail.kaleschke.info`; IMAP-Abruf + DB-Zugang; App-eigene Auth bleibt zusaetzliche Schutzschicht | — |
-| `mealie` | ✅ | `frontend_net`, `mealie_mealie_internal` | Traefik | sauber getrennte App/DB-Struktur | — |
+| `mealie` | ✅ | `frontend_net`, `mealie_internal` | Traefik | sauber getrennte App/DB-Struktur | — |
 | `ntfy` | ✅ | `frontend_net` | Traefik | aktiv via `ntfy.kaleschke.info`, Git-Stack | — |
 | `gitea` | ✅ | `frontend_net` | Traefik + SSH-Port 222 | Web via Traefik, SSH direkt gebunden | — |
 | `immich_server` | ✅ | `immich_default`, `frontend_net` | Traefik | aktiv via `immich.kaleschke.info` | — |
 | `immich_machine_learning` | ✅ | `immich_default` | intern | bleibt intern | — |
 | `nextcloud` | ✅ | `frontend_net`, `nextcloud_internal` | Traefik | aktiv via `cloud.kaleschke.info`, nativer Nextcloud-Login, WebDAV/CardDAV faehig | CalDAV/CardDAV-Redirect via Traefik-Labels |
 | `homeassistant` | ✅ vorbereitet | `frontend_net`, `smarthome_net` | Traefik via `home.kaleschke.info`, native HA-Auth | Home Assistant Container im GitOps-Stack `smart-home/`; kein HAOS, kein Supervised; Fach-YAML kommt aus `smart-home-kalli`, `.storage` bleibt in `/mnt/user/appdata/homeassistant` | Deploy, Onboarding, Restore-Probe, Cloud-Integrationen |
 | `plex` | ✅ | `host` | Traefik via `plex.kaleschke.info` + Plex native Auth; LAN direkt `:32400` | Compose-Stack unter `host-services/plex/`; Host-Netz bleibt fuer Discovery / Plex GDM dokumentierte Ausnahme; Traefik routet per File-Provider-Ausnahme auf `http://192.168.178.58:32400`, weil Docker-Labels Host-Netz-Container aus Traefik heraus auf `127.0.0.1` routen wuerden; kein direkter WAN-Port 32400 und Plex Remote Access bleibt aus; Server geclaimt von `Xeridos`; Smart-TVs (Schlafzimmer, Wohnzimmer) ueber WLAN-LAN per mDNS | — |
 | `super-productivity` | ✅ vorbereitet | `frontend_net` | Traefik + Middleware | Persoenliche Task-PWA des Operators; Issues kommen aus Gitea `Micha/mails` via n8n-Mail-Workflow | Deploy + Webhook + DNS-Eintrag offen |
 | `n8n` | ✅ vorbereitet | `frontend_net` | Traefik, native Auth (keine pauschale Authelia) | Workflow-Automation; erster Workflow: GMX-Mail -> OpenAI-Extraktion -> Gitea-Issue in `Micha/mails`; `N8N_ENCRYPTION_KEY` ist Stack-ENV-Pflichtsecret | Deploy + Webhook + Owner-Setup offen |
 ### 7.5 Admin / Operations
 | Container | Status | Soll-Netz(e) | Finaler Zugang | Finaler Sollzustand | Offene Punkte |
 |---|---|---|---|---|---|
-| `komodo` | ✅ | `frontend_net` | Traefik + Middleware | primärer GitOps-Stack-Manager | — |
+| `komodo` | ✅ | `frontend_net` | Traefik, native Auth | primaerer GitOps-Stack-Manager | bewusste Ausnahme: keine pauschale ForwardAuth-Middleware vor UI/API/Webhooks/Periphery |
 | `code-server` | ✅ | `frontend_net` | Traefik + Middleware | `PASSWORD_FILE` aktiv | — |
-| `PortainerCE` | ⚠️ Legacy | `frontend_net` | Traefik + Middleware | wird durch Komodo abgelöst | abschalten Sprint 5 |
+| `PortainerCE` | ❌ entfernt | - | - | 2026-03-29 abgeschaltet | historisch; nicht mehr deployen |
-| `filebrowser` | ✅ | `frontend_net` | Traefik + Middleware | aktiv via `files.kaleschke.info` | Mounts einschränken (Block F) |
+| `filebrowser` | ✅ | `frontend_net` | Traefik + Middleware | aktiv via `files.kaleschke.info` | Appdata-Breitmount entfernt; nur Documents/Photos/Projekte plus eigener App-State |
-| `borg-ui` | 🔄 | `frontend_net` | Traefik + Middleware | Git-Stack für Borg/BorgBase-Backups; Borg UI bündelt Borg-CLI im Container | BorgBase-SSH-Key hinterlegen, erstes Repo initialisieren, Quell-Mounts bei Bedarf gezielt erweitern |
+| `borg-ui` | ✅ | `frontend_net` | Traefik + Middleware | produktiver Borg-/Restore-Dienst; `/local/secrets` ist bewusst Teil des Restore-Scopes | BorgBase-Repo und Key laufend pflegen |
-| `mail-archiver` | ✅ | `frontend_net`, `backend_net` | intern | IMAP-Abruf + DB-Zugang, kein öffentlicher Zugang | — |
+| `paperless-gpt` | ✅ | `frontend_net` | Traefik + Middleware | aktiv via `paperless-gpt.kaleschke.info` | — |
 | `bentopdf` | ✅ vorbereitet | `frontend_net` | Traefik + Middleware | PDF-Tooling via `pdf.kaleschke.info`; browserseitige Verarbeitung, COOP/COEP fuer Office-Konvertierung | Deploy und fachliche Abnahme offen |
 | `hermes-dashboard` | ✅ | `frontend_net`, `hermes_net` | Traefik + Middleware | aktiv via `hermes.kaleschke.info`; Dashboard bindet intern mit `--insecure` auf `0.0.0.0`, externe Absicherung ueber Authelia | — |
 ### 7.6 Monitoring / Status
 | Container | Status | Soll-Netz(e) | Finaler Zugang | Finaler Sollzustand | Offene Punkte |
 |---|---|---|---|---|---|
-| `UptimeKuma` | ✅ | `frontend_net` | Traefik + Middleware | aktiv via `uptime.kaleschke.info` | — |
+| `glance` | ✅ | `frontend_net`, `glance_socket_net` | Traefik + Middleware | einziges Homelab-Dashboard via `glance.kaleschke.info`; Docker-Status nur ueber internen Socket-Proxy | — |
 | `glances` | ✅ | `frontend_net` | Traefik + Middleware | aktiv via `glances.kaleschke.info` | — |
 | `scrutiny` | ✅ | `frontend_net` | Traefik + Middleware | aktiv via `scrutiny.kaleschke.info`, Git-Stack | `privileged` später prüfen |
-| `beszel` | ✅ | `frontend_net` | Traefik | aktiv via `beszel.kaleschke.info`, Git-Stack | Admin-Middleware ergänzen (Block F) |
+| `speedtest-tracker` | ✅ | `frontend_net` | Traefik + Middleware | aktiv via `speedtest.kaleschke.info` | — |
-| `beszel-agent` | ✅ | `host` | intern | System-Monitoring, Socket-Zugriff auf Host | — |
+| `monitoring-grafana` | ✅ | `frontend_net`, `monitoring_net` | Traefik + Middleware | zentrale UI via `monitoring.kaleschke.info`; Datasources fuer Prometheus, Loki und InfluxDB | — |
 | `monitoring-influxdb3-core` | ✅ | `monitoring_net`, `monitoring_influx_lan` + LAN-Bind | LAN-Port nur fuer interne Writer | InfluxDB 3 Core fuer Home-Assistant-/Ecowitt-Langzeitdaten; keine Traefik-/Public-Freigabe; Port 8181 nur via `INFLUXDB_BIND_IP` | HA-Write-Token und Sensor-Export finalisieren |
 | `monitoring-loki` | ✅ | `monitoring_net` | intern | interner Container-Logspeicher ohne Public Route; Monitoring-Grafana greift ueber Loki-Datasource zu | Retention/Storage beobachten |
 | `monitoring-promtail` | ✅ | `monitoring_net` | intern | Docker-Log-Collector mit read-only Docker-Socket-Ausnahme; schreibt nach Loki | Socket-Ausnahme regelmaessig pruefen |
 | `grafana` / `influxdb3-core` / `loki` / `alloy` | entfernt | - | abgeloest | alte Docker-Runtime frei von Altcontainern; Compose-Pfade am 2026-05-26 aus aktivem Repo entfernt | Rollback nur ueber Git-Historie |
-### 7.7 Sprint 5 — noch zu migrieren / abzuschalten
+### 7.7 Noch offene Sonderfälle
 | Container | Status | Ziel |
 |---|---|---|
-| `Plex-Media-Server` | ⏳ Dockerman | Compose-Migration, `host`-Netz bleibt (Discovery) |
+| — | — | Plex ist nicht mehr direkt offen: der Dienst ist als Repo-Compose-Stack unter `host-services/plex/` dokumentiert; `host`-Netz bleibt als Discovery-Ausnahme. Externer Zugriff laeuft ausschliesslich ueber Traefik/443 auf `plex.kaleschke.info`; keine direkte 32400-WAN-Freigabe. Technisch nutzt Plex als einzige Host-Netz-Route `traefik/dynamic/plex.yml`, weil Docker-Labels fuer `network_mode: host` in Traefik auf `127.0.0.1:32400` zeigen. |
 | `PortainerCE` | ⚠️ Legacy | abschalten nach vollständiger Komodo-Übernahme |
 ### 7.8 Entfernte Container
@@ -293,13 +326,19 @@ Legende Status:
 | `diun` | 2026-03-28 | Update-Monitoring via Komodo; Stack + Netz `diun_diun_default` + Repo-Eintrag entfernt |
 | `binhex-official-pihole` | 2026-03-28 | ersetzt durch AdGuard Home + Unbound |
 | `gotify` | 2026-03-28 | nicht mehr aktiv; Push-Notifications via ntfy abgedeckt |
-| `Dozzle` | 2026-03-28 | nicht mehr aktiv; Log-Monitoring via Komodo/beszel |
+| `Dozzle` | 2026-03-28 | nicht mehr aktiv |
-| `dashdot` | 2026-03-28 | nicht mehr aktiv; System-Monitoring via beszel |
+| `dashdot` | 2026-03-28 | nicht mehr aktiv |
-| `netdata` | 2026-03-28 | nicht mehr aktiv; System-Monitoring via beszel |
+| `netdata` | 2026-03-28 | nicht mehr aktiv |
 | `Glances` | 2026-03-28 | nicht mehr aktiv |
 | `netalertx` | 2026-03-28 | nicht mehr aktiv |
-| `luckyBackup` | 2026-03-28 | nicht mehr aktiv; Backup via backrest |
+| `luckyBackup` | 2026-03-28 | nicht mehr aktiv; Backup via Borg |
 | `backrest` | 2026-05-15 | entfernt; Borg ist die alleinige Backup-Technologie, WD MyBookLive ist kein Backup-Ziel mehr |
 | `Stash` | 2026-03-28 | nicht mehr aktiv |
 | `PortainerCE` | 2026-03-29 | abgeschaltet; Komodo ist alleiniger Stack-Manager |
 | `beszel` | nicht dokumentiert | bereits entfernt; nicht mehr Teil des Zielbilds |
 | `beszel-agent` | nicht dokumentiert | bereits entfernt; nicht mehr Teil des Zielbilds |
 | `jellyfin` | 2026-05-25 | doppelter Medienserver neben Plex; Plex bleibt einziger Medienserver |
 | `homepage` | 2026-05-25 | doppeltes Dashboard neben Glance; Glance bleibt einziges Homelab-Dashboard |
 | `uptime-kuma` | 2026-05-25 | durch `monitoring-blackbox-exporter`, Prometheus-Alerts und `monitoring-grafana` ersetzt |
 ---
@@ -317,9 +356,9 @@ labels:
  - traefik.http.services.<name>.loadbalancer.server.port=<interner-port>
 ```
-### Zusatz für Admin-Dienste
+### Zusatz fuer Admin-Dienste (Standard)
 ```yaml
-  - traefik.http.routers.<name>.middlewares=dashboard-auth@file,secure-headers@file
+  - traefik.http.routers.<name>.middlewares=authelia@file,secure-headers@file
 ```
 ### Regeln
@@ -328,163 +367,77 @@ labels:
 - certresolver immer `le`
 - `tls=true` immer explizit setzen
 - wenn Traefik aktiv ist, werden direkte Host-Ports entfernt
- Admin-Dienste niemals ohne Middleware veröffentlichen
+- Admin-Dienste standardmaessig nicht ohne Middleware veroeffentlichen
 - Das Traefik-Dashboard nutzt ebenfalls `authelia@file`; dokumentierte Ausnahmen wie `Komodo` bleiben moeglich
 - **File-Provider nur noch für:** `middlewares.yml`, `tls.yml`, `dashboards.yml` — keine Service-Routen mehr via File-Provider
 - dokumentierte Ausnahmen muessen in Abschnitt 10 begruendet werden
 ---
-## 9. Migrationsstrategie (Blöcke A–F)
+## 9. Historische Migration (abgeschlossen)
 **Letzte Aktualisierung:** 2026-03-29
 ### Block A — Quick Wins ✅ ABGESCHLOSSEN
 ```text
 [x] restart: unless-stopped für alle Container gesetzt
 [x] vaultwarden ADMIN_TOKEN-Doppelpräfix korrigiert
 [x] backrest DNS-Hardcoding entfernt
 [x] leere Netzwerke entfernt: br0, immich_net, kopia_default, netbox_default, diun_default
 [x] anonyme/verwaiste Volumes bereinigt
 [x] scanopy komplett entfernt (3 Container + 2 Volumes + Netz)
 [x] binhex-official-pihole entfernt → ersetzt durch AdGuard Home + Unbound
 ```
 ### Block B — Kritische Kernmigrationen ✅ ABGESCHLOSSEN
 ```text
 [x] vaultwarden - frontend_net, Host-Port entfernt, ADMIN_TOKEN_FILE, Traefik aktiv
 [x] postgresql17 - Port 5432 entfernt, nur backend_net, POSTGRES_PASSWORD_FILE
 [x] mealie-postgres - aus frontend_net raus, nur mealie_mealie_internal
 ```
 ### Block C — Frontend-Stack finalisieren ✅ ABGESCHLOSSEN
 ```text
 [x] ntfy - Git-Stack - ntfy.kaleschke.info - Traefik aktiv
 [x] paperless-ngx - traefik.enable=true - paperless.kaleschke.info - Port entfernt - tls=true
 [x] Paperless-AI - traefik.enable=true - aktiv
 [x] PortainerCE - traefik.enable=true - Middleware aktiv - direkte Ports entfernt
 [x] UptimeKuma - traefik.enable=true - uptime.kaleschke.info - Port entfernt - Middleware aktiv
 [x] filebrowser - frontend_net - traefik.enable=true - files.kaleschke.info - Port entfernt - Middleware aktiv
 [x] scrutiny - frontend_net - traefik.enable=true - scrutiny.kaleschke.info - Git-Stack
 [x] gitea - traefik.enable=true - git.kaleschke.info - SSH-Port 222 bleibt (Ausnahme dokumentiert)
 [x] backrest - traefik.docker.network=frontend_net korrigiert (war backend_net — Routing-Bug)
 [x] Traefik File-Provider bereinigt - immich.yml, gitea.yml, mealie.yml, scrutiny.yml, vaultwarden.yml.bak gelöscht
 [x] immich Bad Gateway behoben - Traefik nutzt jetzt immich@docker statt immich@file
 [x] AdGuard Home - Git-Stack - dns_net + frontend_net - Port 53 (DNS) + 3000 (Admin)
 [x] beszel - Git-Stack - frontend_net - beszel.kaleschke.info - Traefik aktiv
 [ ] beszel - Admin-Middleware (dashboard-auth@file) ergänzen
 ```
 ### Block D — Dockerman-Container in Git-Stacks
 ```text
 [x] vaultwarden ✅
 [x] postgresql17 ✅
 [x] mail-archiver ✅
 [x] scrutiny ✅
 [x] filebrowser ✅
 [x] tailscale ✅
 [x] AdGuard Home ✅
 [x] beszel ✅
 [x] ntfy ✅
 [x] homepage ✅
 [ ] Plex-Media-Server (Sprint 5)
 ```
 ### Block E — Secrets-Migration
 ```text
 [x] vaultwarden → ADMIN_TOKEN_FILE ✅
 [x] postgresql17 → POSTGRES_PASSWORD_FILE ✅
 [x] mail-archiver → Stack ENV (${MAILARCHIVER_AUTH_PASSWORD}) ✅
 [x] mealie → Stack ENV (kein _FILE-Support) ✅
 [x] mealie-postgres → Stack ENV (kein _FILE-Support) ✅
 [x] paperless-ngx → Stack ENV (${PAPERLESS_DBPASS}) ✅
 [x] code-server → PASSWORD_FILE ✅
 [x] immich_server → Stack ENV (${IMMICH_DB_PASSWORD}) ✅
 [x] immich_postgres → POSTGRES_PASSWORD_FILE ✅
 [ ] immich_redis → anonymes Volume → named volume
 ```
 ### Block F — Feinschliff / Hardening
 ```text
 [x] immich_default - internal: true gesetzt (2026-03-29)
 [x] PortainerCE - abgeschaltet (Sprint 5, 2026-03-29)
 [ ] immich_redis - anonymes Volume → named volume in Compose
 [ ] immich_server - anonymes Volume prüfen und benennen
 [ ] backrest - /mnt/user doppelt gemountet (ro + rw) - rw-Mount auf konkrete Pfade einschränken
 [ ] filebrowser - /mnt/user:/srv ist sehr breit - auf /mnt/user/documents:/srv einschränken wenn möglich
 [ ] Redis - optional named volume
 [ ] scrutiny - später prüfen, ob privileged reduziert werden kann
 [ ] tailscale - TS_USERSPACE/privileged bereinigen wenn möglich
 [ ] beszel - Admin-Middleware (dashboard-auth@file) ergänzen
 [ ] AdGuard Home - Admin-Port 3000 per Traefik + Middleware absichern (aktuell direkter Port)
 ```
 ### Block G — Authelia SSO/2FA (Sprint 7)
 ```text
 [x] security/authelia/docker-compose.yml im Repo (2026-03-29)
 [x] security/authelia/configuration.yml im Repo (2026-03-29)
 [x] traefik/dynamic/middlewares.yml - authelia ForwardAuth Middleware ergänzt (2026-03-29)
 [ ] NAS: Secrets anlegen (jwt_secret, session_secret, storage_encryption_key, postgres_password)
 [ ] NAS: Authelia PostgreSQL-User und -Datenbank anlegen
 [ ] NAS: /mnt/user/appdata/authelia/config/configuration.yml aus Repo übernehmen
 [ ] NAS: users_database.yml mit gehashten Passwörtern anlegen
 [ ] NAS: DNS-Eintrag auth.kaleschke.info in AdGuard setzen
 [ ] Komodo: Stack security/authelia deployen
 [ ] Services schrittweise mit authelia@docker Middleware absichern
 ```
 ---
 Die Blockmigration aus der Portainer-/Dockerman-Phase ist abgeschlossen: Traefik laeuft labelbasiert ohne File-Provider-Service-Routen, Komodo ist alleiniger Stack-Manager, Portainer CE ist entfernt, Borg/Dumps/Restore-Tests sind produktiv. Entscheidungen und Hintergruende stehen in `docs/DECISIONS.md`; die Sprint-Historie liegt in Git.
 ## 10. Bekannte Ausnahmen und Begründungen
 | Container | Ausnahme | Begründung |
 |---|---|---|
 | `traefik` | Host-Ports 80/443 | zentraler Reverse Proxy |
-| `tailscale` | `host` | VPN-Zugang; Umstellung nur kontrolliert möglich |
+| `tailscale` | `host`, `NET_ADMIN`, `NET_RAW`, `/dev/net/tun` | VPN-Zugang benoetigt Kernel-Netzwerkfunktionen; Umstellung nur kontrolliert moeglich |
-| `AdGuard Home` | Port 53 (TCP/UDP) direkt + Port 3000 Admin | DNS benötigt direkten Port 53; kein HTTP-Proxy für DNS möglich |
+| `AdGuard Home` | Port 53 (TCP/UDP) direkt + `100.80.98.33:8082` auf Container-Port 80 | DNS benoetigt direkten Port 53; Admin-Port 8082 bleibt bewusst ohne Traefik/2FA, aber nur via Tailscale |
 | `Plex-Media-Server` | `host` | Discovery / mDNS / Plex GDM |
 | `scrutiny` | `privileged: true` | SMART-Datenzugriff auf Laufwerke |
 | `beszel-agent` | `host` | direkter Host-Zugriff für System-Monitoring nötig |
 | `Komodo` | Docker-Socket Zugriff | Stack-Deployments benötigen Socket |
-| `PortainerCE` | Docker-Socket | Legacy-UI; wird durch Komodo abgelöst |
+| `glance-docker-socket-proxy` | Docker-Socket read-only | Glance benoetigt Containerstatus; Zugriff wird ueber einen internen Socket-Proxy auf lesende Docker-API-Endpunkte begrenzt und nicht ins `frontend_net` gelegt |
-| `gitea` | SSH-Port 222 direkt gebunden | Git-SSH-Zugang; kein HTTP-Proxy für SSH möglich |
+| `Komodo` | keine pauschale zentrale Middleware | Webhooks (`/listener`), API und Periphery-WebSocket (`/ws/periphery`) sollen nicht durch vorgeschaltete ForwardAuth gebrochen werden |
 | `gitea` | SSH-Port 222 direkt gebunden (LAN/Tailscale) | Git-SSH-Zugang; kein HTTP-Proxy für SSH möglich. Bewusst **nicht** in FRITZ!Box-WAN freigegeben (Operator-Entscheidung 2026-05-28): Tailscale ist Operator-Pfad, GitHub-Mirror deckt DR-Bootstrap ab, SSH-Brute-Force-Vektor extern vermeiden. |
 | `ddns-updater` | bleibt in `frontend_net` statt `backend_net` | braucht Cloudflare-API-Zugang; `backend_net` ist `internal: true` |
 | `mail-archiver` | `frontend_net` + `backend_net` | braucht Internetzugang für IMAP-Abruf (GMX, Gmail) und DB-Zugang |
 | `traefik/dynamic/*` | manueller Host-Sync trotz GitOps | File-Provider bleibt bewusst fuer `middlewares.yml`, `tls.yml` und `dashboards.yml`; Komodo deployed diese Dateien nicht automatisch |
 | `nextcloud` | keine zentrale ForwardAuth-Middleware | Nextcloud bringt eigene Auth, Clients und WebDAV/CardDAV-Endpunkte mit; Traefik bleibt Reverse Proxy, Auth bleibt app-nativ |
 | `monitoring-influxdb3-core` | Host-Port 8181 auf LAN-IP; `user: "0"` | Home Assistant schreibt spaeter Langzeitdaten. Nach der HA-Container-Entscheidung muss der Writer-Pfad in der Influx-Phase explizit gewaehlt werden: entweder LAN-Bind via `INFLUXDB_BIND_IP` oder gezieltes gemeinsames internes Netz. Keine Traefik-Route, Zugriff nur ueber Token; InfluxDB 3 Core benoetigt im aktuellen Container-Setup Root-Rechte fuer den lokalen Object-Store-Pfad im named volume |
 | `monitoring-promtail` | Docker-Socket read-only | Docker-Log-Discovery fuer Loki; keine Schreibrechte, keine Appdaten-Persistenz ueber den Socket |
 | `n8n` | keine pauschale Authelia-Middleware | Webhook-Endpunkte (`/webhook/*`, `/webhook-test/*`) muessen ohne ForwardAuth erreichbar bleiben; n8n bringt eigene Owner-/Login-Auth mit (analog Komodo/Nextcloud) |
 | `plex` | Traefik ohne Authelia, File-Provider-Ausnahme trotz Host-Netz | Plex bringt native Konto-/Client-Auth mit; vorgeschaltete ForwardAuth wuerde Plex Web, Apps und Client-Flows stoeren. Docker-Labels sind fuer diesen Host-Netz-Container ungeeignet, weil Traefik sonst `127.0.0.1:32400` nutzt; daher `traefik/dynamic/plex.yml` mit Ziel `192.168.178.58:32400`. Route nur ueber Traefik/443 (`plex.kaleschke.info`), direkter Plex-WAN-Port 32400 und Plex Remote Access bleiben deaktiviert. |
 | `homeassistant` | Traefik ohne Authelia, Fach-YAML aus separatem Repo | Home Assistant bringt eigene Auth, mobile Apps, Webhooks und Integrationsfluesse mit. Der Container haengt in `frontend_net` fuer Traefik und in `smarthome_net` fuer MQTT/Zigbee2MQTT/ESPHome. `.storage` und Secrets bleiben in Appdata und werden per Borg gesichert, nicht versioniert. |
 | `Ecowitt` | spaetere HTTP-Ausnahme offen | Ecowitt kann nur HTTP. Wegen globalem Traefik-HTTP-Redirect wird in Phase 2 entschieden, ob Traefik eine selektive Webhook-Ausnahme bekommt oder ob ein LAN-only HA-Port `8123` als dokumentierte Host-Port-Ausnahme noetig wird. |
 ---
 ## 11. Projektorganisation und Arbeitsmodus
 ### 11.1 Unser Arbeitsprinzip
-Dieses Projekt wird **blockweise** umgesetzt, nicht wild containerweise.
+Dieses Projekt wird heute nicht mehr sprintweise im Dokument gesteuert, sondern über einen stabilen GitOps-Betrieb.
-### 11.2 Reihenfolge der Umsetzung
+### 11.2 Operativer Ablauf
-
+1. Zielbild prüfen
-| Sprint | Inhalt | Status |
+2. lokal synchronisieren
-|---|---|---|
+3. gezielt ändern
-| Sprint 1 | Quick Wins + `vaultwarden` | ✅ Abgeschlossen |
+4. Commit + Push
-| Sprint 2 | `postgresql17` + `diun/gotify` | ✅ Abgeschlossen |
+5. Komodo-Webhook und Ergebnis prüfen
-| Sprint 3 | `mealie` / `mealie-postgres` + `mail-archiver` | ✅ Abgeschlossen |
+6. Dokumentation nachziehen
 | Sprint 4 | Frontend-Stack (`paperless`, `PortainerCE`, `Dozzle`, `dashdot`, `scrutiny`, `filebrowser`, `gitea`, `UptimeKuma`, `ntfy`, `beszel`) + Traefik File-Provider Bereinigung + Komodo Einführung + AdGuard Home Migration + Pi-hole Ablösung | ✅ Abgeschlossen |
 | Sprint 5 | `Plex-Media-Server` Compose-Migration + `PortainerCE` abschalten | ✅ Abgeschlossen |
 | Sprint 6 | Hardening / Secrets / Volumes / Sonderfälle (`immich_default` ✅, Volumes, Mounts, AdGuard Traefik) | ✅ Abgeschlossen |
 | Sprint 7 | `Authelia` SSO/2FA: Compose + Config im Repo, Traefik ForwardAuth Middleware, NAS-seitige Einrichtung | 🔄 In Bearbeitung |
 | Sprint 8 | `borg-ui` Git-Stack + BorgBase Offsite-Backup-Workflow | 🔄 In Bearbeitung |
 ### 11.3 Regel für jede Änderung
 1. Zielbild in diesem Dokument prüfen
-2. nur den aktuellen Block anfassen
+2. nur den betroffenen Bereich anfassen
-3. Compose-Datei ändern
+3. Änderung lokal vorbereiten
-4. deployen
+4. nach Gitea pushen
-5. testen
+5. automatische Reaktion von Komodo beachten
-6. dokumentieren / abhaken
+6. testen
-7. erst dann nächster Schritt
+7. dokumentieren
 ### 11.4 Source-of-Truth-Hierarchie
-1. **Dieses Dokument**
+1. **Gitea Online (`origin/master`)**
-2. Compose-Dateien im Git-Repo
+2. lokaler Clone / GitHub Desktop
-3. operative Checklisten
+3. Compose-Dateien im Git-Repo
-4. ad-hoc Notizen / Chat
+4. Komodo als Deploy-Consumer
 5. operative Checklisten und Notizen
---
+### 11.5 Operativer Git-Workflow
 - Gitea Online ist der verbindliche Sollzustand.
 - Lokal wird standardmäßig über GitHub Desktop gearbeitet.
 - Komodo deployt aus Gitea und ist kein Bearbeitungsort.
 - Webhooks sind aktiv: Ein Push kann unmittelbar einen Komodo-Deploy auslösen.
 - Wenn online in Gitea editiert wurde, muss vor der nächsten lokalen Änderung zuerst `Fetch origin` und danach `Pull origin` erfolgen.
 ## 12. Nutzung mit KI / Kontext-Regel
@@ -502,93 +455,18 @@ Damit ist sofort klar:
 ---
-## 13. Betriebserfahrungen und Entscheidungs-Log
+## 13. Betriebserfahrungen und Entscheidungs-Log (ausgelagert)
-### Traefik — Wechsel zu reinen Docker-Labels (2026-03-28)
+Architektur- und Betriebsentscheidungen werden seit 2026-06-11 zentral in
-Die statischen File-Provider-Konfigurationen in `/mnt/user/appdata/traefik/dynamic/` wurden vollständig bereinigt:
+`docs/DECISIONS.md` gefuehrt (ADR-light: Entscheidung, Kontext, Review-Trigger).
- **Gelöscht:** `immich.yml`, `gitea.yml`, `mealie.yml`, `scrutiny.yml`, `vaultwarden.yml.bak`
+Dieses Dokument haelt nur noch das Zielbild. Neue Entscheidungen werden dort
- **Verbleibend (notwendig):** `middlewares.yml`, `tls.yml`, `dashboards.yml`
+eingetragen; hier aendert sich nur etwas, wenn das Zielbild selbst betroffen
-
+ist (Netze, Zugangsmodell, Ausnahmen in Sektion 10).
 **Hintergrund:** Die alten File-Provider-Configs haben `@file`-Routen mit `@docker`-Routen konkurrieren lassen. In Traefik v3 gewinnt der File-Provider und hat z.B. Immich auf die falsche IP geroutet (Bad Gateway). Nach Löschung läuft Traefik ausschließlich auf Docker-Labels.
 **Regel:** Neue Dienste ausschließlich via Docker Compose Labels konfigurieren. Keine neuen `.yml`-Dateien im `dynamic/`-Verzeichnis für Service-Routen anlegen.
 ### Komodo — Ablösung von Portainer als Stack-Manager (2026-03-28)
 Komodo ist nun der primäre GitOps-Stack-Manager:
 - **Komodo Core** läuft als Docker-Stack (`ops/komodo/docker-compose.yml`)
 - **Komodo Periphery** läuft auf dem Unraid-Host für direktes Server-Management
 - Stacks werden via Gitea synchronisiert und über Komodo deployed
 - Portainer CE läuft noch als Legacy-UI und wird in Sprint 5 abgeschaltet
 **Vorteil gegenüber Portainer:** Sauberer GitOps-Flow ohne Web-Editor; alle Stack-Änderungen laufen über Git.
 ### AdGuard Home — Ablösung von Pi-hole (2026-03-28)
 `binhex-official-pihole` wurde entfernt und durch `AdGuard Home` + `unbound` ersetzt:
 - AdGuard läuft als Git-Stack (`host-services/Adguard/docker-compose.yml`)
 - Netzwerke: `dns_net` (feste IP 172.23.0.3) + `frontend_net`
 - Port 53 (DNS) direkt gebunden — dokumentierte Ausnahme
 - Port 3000 (Admin-UI) direkt gebunden — Traefik-Absicherung ausstehend (Block F)
 - `unbound` läuft weiterhin als Upstream-Resolver in `dns_net`
 ### diun — Entfernung (2026-03-28)
 `diun` (Docker Image Update Notifier) wurde deinstalliert:
 - Stack gelöscht
 - Orphan-Netzwerk `diun_diun_default` bereinigt
 - Repo-Eintrag `infra/diun/` aus Git entfernt
 Update-Monitoring kann über Komodo's eingebaute Update-Notifications abgedeckt werden.
 ### ntfy — Push-Notifications (Git-Stack)
 `ntfy` läuft als Git-Stack (`apps/ntfy/docker-compose.yml`):
 - `ntfy.kaleschke.info` via Traefik
 - `NTFY_UPSTREAM_BASE_URL: https://ntfy.sh` für mobile Push-Notifications
 - `NTFY_BEHIND_PROXY: true` korrekt gesetzt
 ### immich_default — internal: true gesetzt (2026-03-29)
 `immich_default` wurde von `external: true` auf ein Compose-verwaltetes internes Netz umgestellt:
 - **Vorher:** `external: true` (manuell erstellt, falsche Labels `com.docker.compose.network=default`)
 - **Nachher:** Compose-managed, `internal: true`, `driver: bridge`, korrekte Labels
 - Durchgeführt via: manuelles `docker stop` der Containers → `docker network rm immich_default` → Komodo Redeploy
 - Ergebnis: alle Immich-Container (`immich_postgres`, `immich_redis`, `immich_machine_learning`) sind jetzt vom Internet isoliert; nur `immich_server` hat zusätzlich `frontend_net` für Traefik
 ### Secrets in Komodo / Portainer Stacks
 Host-Pfade in `env_file` (z.B. `/mnt/...`) sind in Git-Stacks nicht verfügbar. Standardlösung: Stack Environment Variables + `${VARIABLE_NAME}` in der Compose.
 **Regel:** Wenn `_FILE` nicht unterstützt wird → Stack Environment Variable. Kein Secret im Git.
 ### Borg UI / BorgBase (2026-04-12)
 - `borg-ui` läuft als Admin-Dienst in `ops/borg-ui/docker-compose.yml`
 - nur `frontend_net`, weil Web-UI + externer SSH-Zugang zu BorgBase benötigt werden
 - keine direkten Host-Ports; Zugriff ausschließlich via Traefik + Middleware über `borg.kaleschke.info`
 - Mounts bewusst klein gehalten: `/mnt/user/appdata` read-only als erste Backup-Quelle, separates Restore-Ziel unter `/mnt/user/appdata/borg-ui/restore`
 - kein separater Borg-CLI-Container nötig, da Borg UI die Borg-CLI bereits im Container mitbringt
 | Container | `_FILE` Support |
 |---|---|
 | Vaultwarden | ✅ ja |
 | PostgreSQL | ✅ ja |
 | code-server | ✅ ja (`PASSWORD_FILE`) |
 | Immich Postgres | ✅ ja (`POSTGRES_PASSWORD_FILE`) |
 | Mealie | ❌ nein → Stack ENV |
 | paperless-ngx | ❌ nein für DB-Pass → Stack ENV |
 ### ddns-updater — Netz-Ausnahme
 Bleibt bewusst in `frontend_net` statt `backend_net`, weil `backend_net` `internal: true` ist und ddns-updater die Cloudflare-API erreichen muss.
 ### mail-archiver — Hybrid-Dienst
 Benötigt `backend_net` (PostgreSQL) + `frontend_net` (IMAP-Abruf von GMX/Gmail). Kein reiner Backend-Dienst. Kein öffentlicher Traefik-Zugang.
 ### Netzwerk-Standard für Apps mit Datenbanken
 - App → `frontend_net` + internes Netzwerk
 - Datenbank → nur internes Netzwerk (`internal: true`)
 Beispiel (Mealie): `mealie` → `frontend_net` + `mealie_mealie_internal`, `mealie-postgres` → nur `mealie_mealie_internal`.
 ---
 ## Schlussformel
 Dieses Dokument ist keine lose Notiz, sondern das **operative Masterdokument** für die Docker- und Zugriffsarchitektur des Homelabs.
 **Zielbild in einem Satz:**
-`frontend_net` für alle Web-UIs und Dienste mit Internetbedarf, `backend_net` für interne Backends, app-interne Netze nur wenn technisch nötig, Tailscale für Remote-Admin-Zugriff, Traefik als einziger Web-Einstieg (100% Docker-Labels), Komodo als GitOps-Stack-Manager, AdGuard Home + Unbound für DNS, keine produktiven `bridge`-Container mehr.
+`frontend_net` für Web-UIs und Dienste mit Internetbedarf, `backend_net` für interne Backends, app-interne Netze nur wenn technisch nötig, Tailscale für Remote-Admin-Zugriff, Traefik als einziger Web-Einstieg (Service-Routing via Docker-Labels, File-Provider nur für zentrale Dynamic-Config), Komodo als GitOps-Stack-Manager, AdGuard Home + Unbound für DNS, keine produktiven Container im Docker-Default-`bridge`.
@@ -0,0 +1,194 @@
 %PDF-1.4
 %“Œ‹ž ReportLab Generated PDF document (opensource)
 1 0 obj
 <<
 /F1 2 0 R /F2 3 0 R /F3 6 0 R
 >>
 endobj
 2 0 obj
 <<
 /BaseFont /Helvetica /Encoding /WinAnsiEncoding /Name /F1 /Subtype /Type1 /Type /Font
 >>
 endobj
 3 0 obj
 <<
 /BaseFont /Helvetica-Bold /Encoding /WinAnsiEncoding /Name /F2 /Subtype /Type1 /Type /Font
 >>
 endobj
 4 0 obj
 <<
 /Contents 15 0 R /MediaBox [ 0 0 595.2756 841.8898 ] /Parent 14 0 R /Resources <<
 /Font 1 0 R /ProcSet [ /PDF /Text /ImageB /ImageC /ImageI ]
 >> /Rotate 0 /Trans <<
 >> 
  /Type /Page
 >>
 endobj
 5 0 obj
 <<
 /Contents 16 0 R /MediaBox [ 0 0 595.2756 841.8898 ] /Parent 14 0 R /Resources <<
 /Font 1 0 R /ProcSet [ /PDF /Text /ImageB /ImageC /ImageI ]
 >> /Rotate 0 /Trans <<
 >> 
  /Type /Page
 >>
 endobj
 6 0 obj
 <<
 /BaseFont /Helvetica-Oblique /Encoding /WinAnsiEncoding /Name /F3 /Subtype /Type1 /Type /Font
 >>
 endobj
 7 0 obj
 <<
 /Contents 17 0 R /MediaBox [ 0 0 595.2756 841.8898 ] /Parent 14 0 R /Resources <<
 /Font 1 0 R /ProcSet [ /PDF /Text /ImageB /ImageC /ImageI ]
 >> /Rotate 0 /Trans <<
 >> 
  /Type /Page
 >>
 endobj
 8 0 obj
 <<
 /Contents 18 0 R /MediaBox [ 0 0 595.2756 841.8898 ] /Parent 14 0 R /Resources <<
 /Font 1 0 R /ProcSet [ /PDF /Text /ImageB /ImageC /ImageI ]
 >> /Rotate 0 /Trans <<
 >> 
  /Type /Page
 >>
 endobj
 9 0 obj
 <<
 /Contents 19 0 R /MediaBox [ 0 0 595.2756 841.8898 ] /Parent 14 0 R /Resources <<
 /Font 1 0 R /ProcSet [ /PDF /Text /ImageB /ImageC /ImageI ]
 >> /Rotate 0 /Trans <<
 >> 
  /Type /Page
 >>
 endobj
 10 0 obj
 <<
 /Contents 20 0 R /MediaBox [ 0 0 595.2756 841.8898 ] /Parent 14 0 R /Resources <<
 /Font 1 0 R /ProcSet [ /PDF /Text /ImageB /ImageC /ImageI ]
 >> /Rotate 0 /Trans <<
 >> 
  /Type /Page
 >>
 endobj
 11 0 obj
 <<
 /Contents 21 0 R /MediaBox [ 0 0 595.2756 841.8898 ] /Parent 14 0 R /Resources <<
 /Font 1 0 R /ProcSet [ /PDF /Text /ImageB /ImageC /ImageI ]
 >> /Rotate 0 /Trans <<
 >> 
  /Type /Page
 >>
 endobj
 12 0 obj
 <<
 /PageMode /UseNone /Pages 14 0 R /Type /Catalog
 >>
 endobj
 13 0 obj
 <<
 /Author (Claude Sonnet - Read-Only Audit) /CreationDate (D:20260505184207+00'00') /Creator (\(unspecified\)) /Keywords () /ModDate (D:20260505184207+00'00') /Producer (ReportLab PDF Library - \(opensource\)) 
  /Subject (KalliLab CORE GitOps & Design Review) /Title (Homelab Audit 2026-05-05) /Trapped /False
 >>
 endobj
 14 0 obj
 <<
 /Count 7 /Kids [ 4 0 R 5 0 R 7 0 R 8 0 R 9 0 R 10 0 R 11 0 R ] /Type /Pages
 >>
 endobj
 15 0 obj
 <<
 /Filter [ /ASCII85Decode /FlateDecode ] /Length 2097
 >>
 stream
 Gau0D?#SK;&q0MXR&@eM6CQ)Y-0_n7c:=A":+[7c/cl`O30H1o89me\Y]50j4\LnOR7a`2j]I9!jmLEa3BK#Y6U;2GUA6lT'>;,WZaYO>9@n4t^?sDB7s]6)EcY[t8&S<PmQ5I%fHn3jag!kuHs;8q90jQMDAYnW:2#DL#,I[L5G-S'&4N`t[VN=^A:($B6db@H,<N]bDLZ=]Od*`OpI>kBU">9Pi3Q_H'40>YGBOoKan)>^gPr=,TcFu>imo56nB;F9hpVEZiik_UZingCYo=(.mFW/VV!Bn/IRpb<I8$O1bN77nZKQ_Ajp]./FfHp3*EQE>JDV/brKXO82VNm0"^lY-3taP^<AB?HN^#dS[mdk[$5nKW!$oe>#8Tk`0/1l;1UbAu7cW0+Qe^_bh8h9jg)=DuRa6,^2._GQ^H+RtW#KI@N#'gN:ZG9gkit_,^E]EK-_^!.Fh&sc-bA56/TSG^>K(e^JE-G-3.$qX!GUK2NOue3',O5?YKmI:8H5O.XP!#&J0_+:R:l8=oY)`SF)%A#[oi`Eqf;OGXqR(LH1;$=,.*%GbC:M.B89n8GSEP3^Yn6/mml/Y^9]]R_Vb_Df<<58i?C;aT\AcRqMoQ]m/_)R)EY<FRRqbo4"c_>2<?pN<Lke_rne!DLP0n\%$T\QF.OQjckurs,ht4Em\MZE4Z`^u6U;;Ta7ct5R"a`cXSM6+4'1n)KX)q3`c`'8&I'+I%dNcmo"W*<51]la?GhV9I.'G)+6L\_;e"&`ignY_kb'*HaSiVim_e;DG^KhLhA!=j.OpR<.-3<t>Wl&V[qUh%c?NSqR@5_,gsiF'$!cSQ3lt?dE)i2=Ws*8Y4L(J*9?k"A(Q-sd[OtPTTJi4\8X6u;V]/pc\L^aCF-aM8'^IE0<P@P-8h)s"gEOg5.*,>pTK5k_<TGGO?icPqq<u**O'A`E'I'JLl7)&$U^>@(=4[9GKjqj</m?bih((GJ(:mn+4f:4gJ)G,Q*DE;]VIlAZUP?V6<3r=i*l(gA._u0[XZ<Fi2,2rBEWZUe(L1!P]<S43'T(dK>qJ'8$-nV2_k<+_Q]tSCHN\`rTZ8oAoYRWY@.)3rX[Q/hCW[<^/K;c4SFS!Wmcc6R:1\!X9K@O(Zcma=bD\=(idpD!*o>ks;KF2"EGc8s"FIU#GbM"Hj5?)$bu*(QlaoPdCt,PnC+RB>PM,LZBs_N@&bZOiDg5P&>4\bg"<`Tt*%T9:+W&WNQe%"".:`VZ$%D7H>r;SCB_B>0rc-?^]$#2,c1&7V-ZqCfOj9X&.9jm_8H=]PY4%PBiZa1i9U=E\p/j@aKO*J_GIq*mhl]/>Rl(70rHlX1P`JHIr;T9m\(B'5A?jah7jLTO%35b@H`_T^Y.rT4O^.YX2RU#'[&m$r?&Kjo1t-6(XH4,jU>0*WHD+iD?M4Uc-Di71XEL&/SRV,F@Rmk9?Kp,UjlreF2/9F:\fF?AIOmWkW#)2[E9'i4Ho<GSrY9Yiq&K]&X-(*`X\V.cmnQf'$soa-Xd&Ob7/?GJ!6)nf_qf)jMJ!Wc>:Hb>frEn2E0)U*JFGYdMUe5h+*XpY.)&+l<Pr:@]]lGakJuCo4GN=7$][G1$_=)0r8_osc'HqVdRhEVF.OCtYO`UJ_a-DZ,V,um8Y.Kc0`UKi_rlisTF6h(C!$30R4:294m;lEj9kmg7fCU'!:P&b7f`:ppcuN`TM3f?`*%*'qVHOfn5:i7h`X3e^"-\dG7jB^l:s/P#&%5*Dbs`!0#$L7I39eRRYk%jf+U6?m4ZUUgI!FD'kQ^e`GUF-hX&G4DSd8SFp8<Z9+D4_-/<I^h$Gm&gL//4q^IbB_^Q#k.9'lr.1H)&De+nHp/>E'_[O/VBS7S`JWM)bEX0E&+n5G]Z"%"mM>ds<_9`]RQ4CV=&>h1*_SbgEK]t2E"[Ag%&7VTrfH(-TT/%n:$19+X7/hE='mW9^'CU3*+N!*L!Vc,."64Fjr7fNj6f3j3^%o)E9P`.:$[sMNGb3@fDPhfMj8_t9RTQr$F'[jOR/WX4gA#3bYnY1rNMfX01)\@%Y"aCop'Z1A[XKfdXLY9:[U&0*.SFE2:9@0\cZ=2;BM#ttLJIgRls+?t~>endstream
 endobj
 16 0 obj
 <<
 /Filter [ /ASCII85Decode /FlateDecode ] /Length 1616
 >>
 stream
 Gatn%l#59H'YqKHYB]?1[)*<]Yq]Bq-,PeM3QN*tlE2V1!M7Oeiu'm!QR:ENIc"O"U$7])8e-6m]]8ahnXrH<hY-u^!4YSYD!6H56^iSXEa+W3_]V,<GiCXAaDZjlH@Db\mp3[CGX39jINiKIlih:Z$3CJpThF\qn7+Cj7BHhP6MBPP/(o]d)d:X[SQn)^lj*7AOo9*mdKXW&>o:+La7"6aqglAER20af`J!1$C^.Rm1&qR9WWE@[G,kd*i&CVUBnl9W)Ua*XI:Lgph##6M6VSV)+,'WuV?q9qi#`7$$'").0g)f#AJeUq(?m.*3c<"4r7\R^ftnV"nZ_W^?b!3p,e-n#6j`BcQ%mE"Ja%Y^0V9U[rXN`Yqecs%gQVj5qEQG,[B1K'Ybp+[G-'Z*fCV+dGOQV3K8r_3>?Z*-`p**cOfnqTk?I'!lg<8%QjuX<"6Y[^K3H,]6(otKI(jF4Pq(9M_8NSR$3n!6^dJJ:[AjRuL81Ud0Vl5)k^<P6a<a$\G'YMQQNfYnVm`6$?>Mna^s0FK\Ps8q:BZB5TNpt+._1(pdMc3,4[SdX8>5e$+SBqB0uK8-agDPLECpG!PYujSdnQ%RqZc[_PO9\:,h$;N)rD0h^D_&O9#l.>Bg3IEdqSC@p0p.uC-Zu"m>Z&5_>CUEV_]29pS6SQg?YWllg\NgDFTsa2][lrVfYSn_lC"1S`<2u;VGeL<Y918$kk77J^/M"RMhrm?)>4;RG[pbaEW`AEUL?$AC!&86Ye9M#/XQE7C=oK'?WA"9)*@/]*C.Id"Sa]jsX4q0q_N02IBq(9nuqFTXdnLikt)W>hOa7<-l:&nPR^5(D$l4c7^D]aj#'93e'Aq6rcDQ5];d9oD;Gud8_:?69RTUWYtWXMm^?u6DASM4>RieK7`qh;TY>).pt0-9[V`MW?lu7+V^>Cf-]cVM-Qh#'4P)PK?$Sc3+(c<WO()-WN!-#h3r(]3_n-MpL@BpDZ3]Ng:FMa`a(WlRKC*Ka>q69)7:+?Q0.4;Wn-;PUiI_uS@.LO\3M6XDTF'D(o9o["OZ5'a(QO=Dj2d7EJ&RK1eLomS17"2CdD:@HfpmLoH+VMgMXYOi6brbd%Wa<`.W-s[qN-NVeF!OmASS/+M$9eQi^Gga,T+S9K*#"hc8SV.eoUfj&+9Y^s]]j/Ta#]6l,acKQ+"dV3*H&7BnN/b7,34cNE!t+Wc+pcs_#u#Mr*7!E*D\W>2*_A@U\\9`bEeJs9@!BO3MDTl"/8X+,\SD.j(de4Z`#'P`=s8s8IGQeMj.>H?1KAsXTnf622.Ai,/6-'7(`cq[<G+UWs88V02_gCZ?6nj7f1bfVMCfHo<*B2@EZ/u[<&>PEP\BB7HRW\%O40r*oPYQ&hoCcbZ^EA!J2V9s,HI\#>DP$='Ao2j1<c35-2EE5/JWEI4d3uc:8<1j%(>Eb)pblmU*WJr-=HR!LD["Gk=F/o)<bQO[g.%P_7epb;!m6[G10Y'dDS."TujAW1g>F?cEc5_>d"Uif+kb2diV\XqScrl(l1<Qk=MU>;`:bRfT%G*(:0S@#=EC88G\7m/&P*u/;!7\pNBS"MF9GccJXj(@K+AMQKp24_lJT+U(m-@s]-iX57.N;C~>endstream
 endobj
 17 0 obj
 <<
 /Filter [ /ASCII85Decode /FlateDecode ] /Length 2759
 >>
 stream
 GauHLCNJ5g(B*Z.EMq7rDT8LJIUm&7<jq)AlSs&6[@Zbr`WM'j`/4[t5-3DkrU5(5;DOLeQC?(L:+Ut+^jVc#EBo]rr0lp>1a>%#e*2QXVFBO49Lj;?r14,QUYh)R,Od8A-/Gpp#P5OgfV\%70fp"M*142&3jqb#kj"9$a9m%DnJmSs:@Xeu[Bi<9m`MZLG$j(5jUZ2l4o(jr`<*BRcLl94ZpKrXbLY48j,B#%=dg]+fn@XhLBGug1=(3&@BY]SMCc[91rI;I+)(R&NSd9LXa?ZXdFDdEHJ>j922uiYEO%YFm>6SfH5QWh_-pbk$jV)e>c<FDBf3=.3K(7KOZp1%s%X[$JqeZ@CSO!dTBidl,3kQp,EfUodBhQBqM(mQ[c%;kEZ3N2+S8J)klu_#^d#^H/bj&WT&Z:sI+S4_OlM.A&;1&g.?1S1:'I6H<Uci%\,A2*Q7be^R'm'l-f]>s>pNEJ:?S-"&eQF!<c5IW>JD,!p%to9)t_<aLIe0foD)trTi,eXp#hd#./++@:b?9::TJ$GBlr%7>Yj\GHW_A"OLm5\[t)"(1".gD%i0(I!u\[7>&6#BS#sf@10GLLRRV?ViI[d,G\!c\j*ScL>c:(ZAKq.:M2ElaN*fi>WLls&]V%iY9]m-bG`n1sHo`o2luuO/l04:"I$s+mC\NlG+He+(B6:uQ.2K7H:;')M/Q59aMBY0pbje+%[BOR1YBfeGS^<6A.7L>V_^U4%:0/<cOY\V)#gb%M+r!2A;!YM">U$k[2QCi/FiK)6"oZl`[HY?R%nMf@mnStHqgRb'e!]0'OAc$35b[taDgF$M5^_#i+<EjFi+tS]ER3Ak/q7(;a8&Xq6K5Bng\)UDIAoO/G&-`lGN>jjLW*aYjkGc;/JhSOOD/pWcgtt@QX&j_MC6"Pflj;UBYH-X)GKRbG%?s5Jc:Z$TNEB3]^!QW8pK`lq7:@EeS`=jC<k:]mI>$<?h.ojG4]mf??dBf.ab,Qe,!"/G0c.L)pb)afX@X2T&m\"pFQ/p"4CG%S`>`aK?3_t4$'u:pX*,I&Q-MCHc!+OA]nY1.Mr!t@G,>elu*T(QQ<gXQCsM1jMafn^B!^s@+Nad_U>U^.j>XSlbEY8iprS5$mtq!U^,EI"&I9\E/D",AhQ:Q,=r\X=@E&AfQqAHaE8bODhFY7RD<K!JPOmd^h>l^2V=G5W0mqH2Hs).B!BZnS#.6oVOCe?J!g^bC:f5LbcV3<oT*??CF&:pPmk0Wh*#Q?Q6q(S\P380ZC<D9?J+"(h/p3:V!Im,Rt.-bo^R1T9dl=*[J9M!LlSRn7ZN1d^k8#b,uuIo(<fCtG/Gcd.CfE-F[G]m82rd=p&C5T3_ibms2J#VP,\TLq(kFh6-neo%kJgc,1JOF%-'%!HD;m'`fa;2`H7\6JdUU\_/VtY'!GU%o#-LJ=M%/!.-2:djK.F:9I;2VQck!oL6c5^Q7t.gY!WHb=P)<L@mO:p=8INFOt//pSqoAXL3X5[3+isP6;bmkEmR.9:Kk[7+*!J7Nk:skM/nj3]G(3EEaCrg`J-q?oWI'FL?Fn)57`JZ]q<<2%sP_7kl,bX567=/1?bAM)=*lOFVF$&Q+AfP!0?VOnkMc$6(3;c`@R:.6-j\.X.#d!)e^4P.Q1RsC=cctK"73o03V<#heVsX)GQ>THLk8R8GbL1Jj71i>3-mU=;`Vq/]kA5(k3p`/DFhX(Q?DVU'Y=\3.cHV3XrBkXBXH[hJS,<7'Rf9c#NL=7B)jjSAMjM'Y@i2r6mDqSjEBra,k`U2U=:'mPr?*FiHk8TK'jjADD@Q4XdZ(Dc&D.b%=p(A6ni7%saGYYk"p-TNo:[nd5&]lpO-t7Q9A>"0Ct@oM,Gbs,%`JIFjZ`T-FLcMKsS2^=.ga#2g58!gu0E4'%ZJ]Vt>4jKa'/9LQsjoFE"6:3.!pZW!P;T<]rg7B*1FmXJ<J72>/f;W?Q#Wb^DuBRd!o72!We3_bKi(ppV1<qj(I*9aC@:n/9r$=MHQjfOXI)!VG6Tga=)f2Y5h@oeqS4DR4a2"k&s%_^]aV<Y61%?iPMj:p3?4i3h&O[h8]Z&`-H<HqU+O%CTiWL!\K!j4]7JtXs\&Z9TZcF2M;`[A/$b_d4a5p3ReI;.PUKjP3c)^)gK%Ed^uMmmeVHZRrVICLAh?/FFE5E#g0_nl+dhuC<:hM`PZ#QOYH!A:n@*Z$BfRj%Gc0+,F,3lH]Tl4VcM5,gIQd_ehLBG&VPq(:FoaZRlcg5&N4TM$p$h-FaHr2FsqJOGFY"bsI>(dJGDOLUF",1Gk;"sR7%!nO#aj[)_:.1:Z*^+?g]_\N$G"ECJ4Veaf`nlQ[V-&P6:b&Y?D<lE8)YgHY:.3PNhYMY_oN%\%Rpk$rqkf;)'mBC;rj\`2R33Xb<[]RakcS/Y1N8uLSLhChL.s-#]r^8Wh*?]i\=>.(@4ZPF0]@#6Ie,`8#'eEsKWVg"X33>F<cd6WGR:M`Z\s0>i46*sOAt))ja)'N-$>;Ko/nghr!!k,B<".$IkaGc;3O$;1@ap;`d"dEW9Y9=RL8.q[9Bp_OgYuF\)FXq#UCbI]#F6<'g7XtA-#_++8R@/7"%aV99Yi'p8IO%UEBW-r'PDSha]E^"g&N]TPbD:8Qe1&<X\^fqKZ,k-m>?ph+6r5eF1=)<UFf8ln)Nq6=8gTl=+0H?(OEI.V@M1;a'\p-7o[r4-#l4e0L&_VM5]VM2ZoR,neRmt?JiKj>FT(M'@_q#q&ZpKOB9a5^t?$L%Nait^R7$&]`~>endstream
 endobj
 18 0 obj
 <<
 /Filter [ /ASCII85Decode /FlateDecode ] /Length 2447
 >>
 stream
 Gatm<?$"c/&q0MXfU4oKm?f`F-+QgWA#F5BF_.tkF'h%k#YBhC5UA^sf(@#?"-B7Qe;6#aS2cNT&D4=9cImo!o'j]/s,M/pM]nWsqr@u=S<+i'&Ii[CC3]<iM<f;JTG*OT#JCE3]0R/-@>Ba)M8[;;5BPp6$n:V`0%M<_FPSWCU4`kKPFkV:c2i(CfPKAZp3#EBHr9bs0jf**4Q&0G`JL)VJt>co+E["B_joS5@Tb$qfn_7&#$9m40.Q-&IdL49ckL^jicm3Wr^ap[2#PH8f>.85M!^CR6m'FbmR^2ZBMQt+7XMH"I6S0jMr:fr6sbOf&R<ZL"b':g2W--/*b=uui;SZ&X+CP'Tq!KqAZMi\9Vu$frs-MJn!F5P@Zt-XL8!3"#u%J55pqP<El/fdpJi=WL$!2Mc^lFT?uWcnF(--h$SQO,dY,q%9eQbQ!H=Ha.1&RuX/@,@omG@5%W;8=Pt^G[^q!96Qb$Q4kDB49EOjd0pDX-gD8:'CLnefT^?>5'+DQCL]s&=N*LBh0o,D)2"ZE]KS12p7a^/i6btBK9B-YBQPY-L.(PPJ^\J?i#UNt7gEp#"6j`i]HY)j=YdZ('#X246`QWMM"rF,a"i?PV/>_@M*:9*iCU_qFbbo&1B!dj@&0#XCN-tgM(n3W`[)rV2_PFP`dSj;8FOBb[9Ur[O(cH4V,4%!iC>R?6,gG5S;BM[A7M+aJOPj9M'\]D"bg]56XT2dV<A8:@6E!4*L-&E8Ne-3n<l[YPH#toIZi#Y_HBO>%tT%e,Jl9e'7/G^*=N4[mgJeCddTuaI%6lhm(*udZ2'IA"2g[!jcN1R`u6/:3Yi*4rb;\4[=+AQC&F"_cALaf5XqP;9(CB5>m\cu5hS<j'$&U43@@/Rt/F:h4%Ydb@b;=?2YhE*p>q(s]R/``sRP;@mbU1DM)B?m<92S'n$S"cXrX"E610m:-FN,L?TG;B#uUc=p)$Wj8_:o[?'b$WH:#1@c$H%P0.QXWpZBF#.s.AU<A87;W!Yu"g&>Z1hYb_2[i_;-N*@BGuIBm4DCqn>5@d,!moCVb0VF2sq)I.Q@a)VT/p"%nSEVL0P_1cilR7<A&k-$,b;cUP!dWWo13F4KK!`._30hOaMs+pB7TBi/8f8?h(e/l,&u/@*bho:h+B2+;^E-_&0ecrdq,Tskj5a(&DZBaM)n/#6IqXYX6^,"k_tZo"2f)U$;++F&5mB=316cDa6Xf(_C[PPQh1j#Jc_Z-!l_jR-fT2:tA&dlEC&Yl(KH?)TqgWM36u$sK,=)gS9-Of;D]:p..Pf%alV\Z@`?X\Z/Na(SE:T5E+oh&6LKrLr0#RTF/.i"R4\/W#?c`.YU3GRLdD9K1IK`.)jIV\qB9B>\_V27S>5!RoY*Q8DZg%`kO):l,VkTN;irTiVpKO'X!n-1W$0SdV-IZ>PGYX=T\F+e)ML?b'f0:[*(g<VZ[fMS_OK$@BggQ]:mTe+@3NfUr6K/@fH6FKLZ,UQIgP!Nf5D2C=cn/&#p$7K)79)Qt+OZ?.^ekrWA7/],"<]^B%B<h+N>=2a5O^<lADXDoL/k=V&W&4(p^g/@I'C%J,0[5L9+T`BXb,L*0timO[8Ru`4$nE/^/)7*%a-=Xh]44Te#U+fm^LIBWm5)--8.hm1$O=]`<O(8hn-DAJ"VQ08N$sh0g*4E(3[HsnnKpFO;\/8pXPK?;ChZ8l+UKJ</".K%V[qPK78Th&q<@_e9d8$f[+`\pK`4/2u)SE:JUp[tIFFc&U8hV&(cO;V`lJA]XjBPYEm!S(,TKZ*n$a4a.QQbhRqN*%J6EZVtr]jg2("L74fjX8!%"g]G`'sB%<%p6NMt3pBhPdnjko%eMF8D64brG52KHB0"cm[&X(5'7jdgS/Abk-.[&c)Mf\%;."$\E8D/@IO0lZJ?jGo85#*E01XbkHWq`[V$1G#78,WW#._#._DWSC/*X1su!tP8,P)<:/D:CT^As13::)raOiR<48XtC_0YpFoT@5KU],Z(i1$e)\F"V6qjW_)^oFtnIf^FnsOP`LiRB\;m'f*0k4;jO:$4+4ir^G7jD"8;N2N*$CO(NDLCL\M/_#emIW7g>,,igo1bE-(OUPfKp[[npE+o7NqQif\js)rS%Oc$.<%<(#%nn["P@f<)#qNR`Sf)q4hr.3dS-"I@dJVS*nb700GSgCAeif5ANm4$,$]URjK3PMCH7AiiI3$;EPP7U=-!m%mlp/aiFWME2st9ASM6CC7(gU&Bt]f'_g(82Z1u-+NlIh(Ggr2/^![0#A*VP!nBl2eCQpnd1C8mYnRY]%.pY_`r)]\ZSF0p"5>&]Bq*%FNX)@iRQt;7b?&uB>/0XY05ENk<+G)C'o9"`DF:JK+I9N;Z_h[42ca\SE]jCe%GAbs\-K:J*R3Ck-ei^CP>Q',Aq'aL8fMg\@lF_Zm9s1SpR-$;:R%b+"LS&Be3h?0j5J-1m~>endstream
 endobj
 19 0 obj
 <<
 /Filter [ /ASCII85Decode /FlateDecode ] /Length 1691
 >>
 stream
 Gau0DgN)%,&:N/3m,Xk(Ak\!\8<@q+3ht>AOuc?S99Y.F_'19^i^MhF:,DkD/gq;W>rddBg%O')/\$-;(4-%5JrSZpq)qLS?I*$W#6i7X('/Q6"1&O-AiBKH,.9.lk5q>.E6qCJ_^Y>Q=H#"_fVb7L%d2aS0#;N/Qqt4:*!(bFkgcVgbePI+%NTBG&sqo;0RnfUC80\iFGnEZ6j,'6i%n,sR'RK5?H=CK5KI%gqfME6/9mMZ.RA,RLN*LAB#:iZr:q(>?XWS"Vq]XH!2?*B,'r[_@A^#].g>l:HY11pnML.K_9Yi.@lp%o_$))lP\mY\-lH3\ZK1I+msj8*?,2G'kLMIcP4*NraXldE^W'`k&I$oaXChq#F5+T$T\YFl*XDY#4C-iW%e?rO^lTr<K]>q>H+W1+Jg1?Vqgjet!`KNB1P,&l#p'I9jD+kL'_Sc*]NL=_ce$@dWedGFH`RRUMCK5R`XD_5Wm4Y1)DE0siPb<hQNIVE&rL;B4U2jN`1t0Q$iQPMP!IZkO&%q6gHL<[g@5k8(3G\LI7Ro'h]&!Zidf*Dlsr/9m-Nf@0/D;(F:aiE4*g4M9YHujLQUC[.S0C7$;u1@"o\B''Sk2aq2+\@R+#*1rJ``"4lE"rHGG6:h'bB[]+)0U*QB+\:`&5u)a1<6<L:DXFu-SO9(ulXr\i&tY*LPo-/>Nt\h#AQQ^L1N$fge:36tY`aD@R$&m]prVQSKae5b"@P^oIallk2i0dn[FXGk=pA_"VUW-HC^dHn2%MrFo]UkI@*`6XQOLpU((V$6>_U^W?C6l(m,@eCkiPB\7FD)f3LYN8*10Cgq1F(fi&PHteN3@]9-2(V^sTm.ZM<<iW4_(%)F[5shAa0rh*,-KooQ=Jqtn:ca7[=!^tF9t1l(60?Db&E8#(r"`_iB(&8WWW_i?P/RZJb=A&&G8bplU2bcNQJA"->aZWdq6Q@b_l3`<p-bnhWD*L@9qr&]rL'RW3bu=];J$d5/X6l<!HE$'$lnER*Q;/4(atRh"8lk-':(8Q%D`na?"p\.^gPNA<l-Dfbke.FnjUJ5)CKVgBP@Pnl2g0$G.`)cS2:diI-U+;$(?.AS%R.a'!T`l?+3r=?=5"csI,qVm:qX$"d;qT#/0iDa:G7e!8(^c%1"1mFaH:#fkrcR.aP;Wd0cZU"OfL^!`O6MTIu[b=jP;8%6@5&Ya-g2TH$f9]G]/_ZRl'Zga"$aJ<^2'B8_0EYM87gSgHJI-HVDrDV@iiX*h>S<S)_W"XD[a@Ko`r'$%%qV1g]W(U-\^9CraSZ'AWZ8a;q9C.:2L$J\2F%/6UV.VV0^sg\Y<NiOh4C<:cJOem31B.:eTA0)$7r)!mKiGYIVl_kIScDnB[6B.0C!"."H2Qs\[UckN&`q;Zf[EU%D51Fs/!3$-RV%F$gmiO-.Z\[rD=a>@Tnh@Q]ZQ.)ijl[O]Desgd3DXRK?TaM$EO8ujlnfZYu`aJQ?TjuM"REN^,?c`'Y]N^&"B2\[j/cKhHX0Yh.rT?osIJ;>I/J)K9,EV^tt/C!pT$1^'dZqikq[=QUbCgoNc.=/q%6WF(s+5`.3n,NQW3Td&(ff!=WhR/q)3qF(s+5]E&FX)OEO9ThXS,!uT`K/inNVc.:te;"u%:0u+nm#gNF$e!l-O1plL-DP,/Tdhn%kf(&UARl]^/KJVTQl`oafN;a"A"#*F~>endstream
 endobj
 20 0 obj
 <<
 /Filter [ /ASCII85Decode /FlateDecode ] /Length 2670
 >>
 stream
 Gau0DD,]4L')p1[kh<TYA1MgS^RM8#5[Xj;+[]kSak]ss-o70%Zt%:cZ5j_Kp:kN=IV4EE$*sa9)G0nuW;BH$#T3>tW;dYO^tTFWS.QkjKF&2o[ip,0PORM>"5WHPdrRc%AmjZ3DV>l24:o[<NgkH+l&KU`huo(#lWc,lh6L>@"[O=-q*7M0_:'DR3b[U>N[;H5qsDNZ,o&A#`]D/jh7sF)pnjl<R:-;TQVj3WpX(R_9P5$ci&o>!MSnI(AgNh!l"Ys*hle1#'uHT>]#MER7LV-d[,,iIZ)0Nm,mAK8BEoHq[pf&i"j_h;2Jgm$`W^Zr'!o#`7\a(To(9Zdqu?/Z&hp)M>asnjqG7o<`8cF5+7V$hM6>M3lPZkn>D@o!+K*Vu4'_D2o[E>Ydmj?G.ko@HbB%N]_!G@eB*Pd`ke8/63(RJ<ijUCV]qL%U`/adR^lg=mYT];>86=en)!2b[#(30)Q50W='jjiK)*37!=>!\nd;n=;a<F:O]YLef`fk\67FG&^2UPAtpPA-cL@b(Pl@E_q543ah]A7$:gNI"S5pr'CEo/O<Gj]IkNr:2cXf\1T-'PH[m?$[QF`\n]h<NN#\b9&_7rljmqp]SK?RMZq^W4"FTa3N8)(1&QbUMp/Jm"l^ZX8(p'a9Y!);W$EncR_@4EIae1+Mr?ds-nK(^s*[9*$f./#h]/Wh=d=]<RD>):#-mdoeYlA#PZpZfG?9p24t-068<#>*>P\rKjh/MK8*K/SS&tOAo1%q33CuZKO181:`0ta)IN+V,f=,WWN!0abitM=oaU!Ws;*k_CeB*m?lA(=KI7]pnh[c#`D[rYjpLi,ei*oA0Od8Q$>h&g;]F3"KN>$^C%/%aCBllJt[V699q7ONKAa7c4dXf&/9]fp#XO_4,+1sQtTP59>A-n!DfofMNoJ^pAtiqFT[Z3?Z8'B)>^4!@^0BLWAs1id&pIjVt;UYe>-OknH[!#5o?F%Y,[Zkid>$CPa;``>l]".pBZjtZiJbb:b?of&9X_nWQ6bj(l-dT*b',1F*/JJ0)giuP]2L6aCpuMmcB%8+"NeWoJOkW6I<$R5I,Z2[1K6[LJXmhNsLl.-_5Z1e;=1diq1L-Mc9"*&i&L,04DR,N0e[A]b=6Un`\4$:X\P&e$k-6Kk8-K:W?1\Z'/##.GkS0VepqA"<C"EHcDqHHpru=\BM9AcJ^Rm?01lcX()7Gjr#.G?YGeu*_OWuXo_2G9lDJ@fe!q#;<da%j)I:5*:;0GF()U]6XuZEY3gC!jE:+]m2;WnEgo*uIsla&WjKE;dA635lNin<`Te)q$FpMqX@+l;4VZDFr4lts7NUJN?5GDX5lqk]nk@(6Sr8c\n[+?*rDi]Ti7#eY=b\m5NM&!VNY%)B\B@=?>t9,TU1%X0q^,kbZ7WpqCZ)uh>d<r.hXFLfYp\3*:T&3in5p](#CD*$P<!!+Wau$6]?$]meW?ob'i.Fq"`1S7?GuL%QWLC''ht-Y=Y:Bd]Af^:[;TG6DT3$4?bj$(];tit'fJR!AB6;"Tn5_%=0]K"0WPti2:WR?EeTN'QeE?l#;BGGS/3&k>SI+6>#k^>,!eTpNI@gE@5$C/E*;''aJ!EPq`_HV0Ld-'K8"q(:C*+(hf-a)Kulf&0I;M1'R"Q8.3*M0fYe5sE7dlf,CedYRj'(5jKP3G7ooDu&am^E[l;,E=^]tdB?._E'1#I8Kf#M%]>r"`c2&jMF>mmr5<eah?kZ>F"-^fDIJX)`dXu/JhsuA-Gs_`gHbm3ikr6pK;X')/43EH:%i2$*ndsR63q`0]#^iCci6>[p/4Xilq`)"2KOJKe$Lo?Me4N35"=j)?+7GIbJ_[GmL5*:s^'"T3[&(k9C3hqSq)iqL5+Q$:bU4dE8bgV]r3,q/*oC3trptn35[(#f9.].bB'@/icli\`i:%FB8A'AR/&!V:MZR:SHL&F[8i<R4rjekL<Io4:Jcq%5kH\G0/'?"DUGc_H=<lF^MLLFF9n?@IQ8G@q(K%'$P%'lf7q*ms?&\t!?d^3_)XaQ*(j*:+N>.DP4AU51jsqGF=6(6:>Xl30md"*'%Su1Lb4l)4d4eq/YfSIsZ`G5=1hh)XK[(;&4U]m2f+=]X=Q:I<-G5:+[90I5FB/44>0_pV<qoO-rScp1P\=$I@,T'lS#:N\oe,JUNOXR;LLY-Ed'6^GU1]G*33QMI=<a>FKd``[:uE%fMJcK-j\*&#U6:-;kGj#B4C%&lEN*?ECJer#!X240W3R^A/0?qF[R>SfifD9!9\MP6gHZjDS7t3KchiFNq7N8JP)E!Iq1ACXP?_W2=1=V%Ig[&)J#M::>VsP\8\ReO;nC=iUQI`78t@92rt7tVSq@O9H%KTSQ;M#\5)Q[)ISMV$oD;C_nWZVteIG9!P+]fA&[/XBTq@e9?Ms4;qh_Fn?YZE2YJ(c74NXp(?;U#G.Oi7]<6.1ar6k?37p&86eu3gl+`0))L"*M=S<pa`2GTAQ>-/G,N8j)Z\rfRZ.bUD6O$U.S%`I`BLpO:;+$;@<l*i#nTHu4mDXO-<p:e#FU]6HX4<6o;>Oo2\N_0WKTXI"+7CRu^SEd8WMZe<`%Jg5jamK<@@qIomIC_D+gmf@>a7#qp<%&d5:<kN0a[u9NCa.!7'\Jm;kFd7`gZONFm-0m-]f[?XF8s;hHMdNT_4R4A,6%~>endstream
 endobj
 21 0 obj
 <<
 /Filter [ /ASCII85Decode /FlateDecode ] /Length 1010
 >>
 stream
 Gatm8?$"IS'Re<2\AM6RY\Hc/jK0`a['[W3Qs#0c%&:bmM85:dZJ;b0rqO0Mghpf:^r&3.A3&)KkFQau3/$q__sc:ZS/-)A)[A!gW.7AhK&R-_MTMJ((1rCo@piR&&cL$D,e6UbD'kQ,B3_`%OqQb:B!a/kOYI_";$%6$H8ZY&"f*^;U%8k_`Nm8:ISBTR5c"p;A/?UEa[OJu'9WflKn6!l<S.(>Xl/<qq&'<ShAE>.HIA)4K*XmYKJD:YU%f&8ZTd03h?+DfOZ9V4Z1pN2!jtNhpOI^e7egI2%N,,4$rIj=>U#N@>]?t.2FgaODf,I)R.oM-VK4H3lR#^jFoAFX]s?`@oljs/*F^3^@?XA=.DqC-T_Fn14ARs74(b21`</0n9m[4q55A#.Z;9ZI*1an]["\>/U*+A<]fmn-(EYnbQ,TjkbM`?<oQYO6%F14hd;$:EW^@"IV^c9.nV++1md'KZQ:G5=m_tCZ$)$r+3fA1WPeh,VhPG>$6%dn"b(-2`:XM8R.frYMG.k"8[OjrG:4UA28E5%'*a]JVq\k0.QALEfn"l]bOD,?(r'2L;P=UWFM*[jdOoc`8np!ijs)5WqEJ(YrUkdeL<ClEpLI"4990+#/96s"\_MkL#6"`jc?!X5+Ba9a:7b+.@]^(gRoOud$H],Jk)01V'hV`]Q&E_i<2u(q,l_Z1bpXc79*kHM8;Wc<!=i$>9ZlVE+s5q-GX"0VC2lbH*7^l8*FR+Fq3$E`[>Y*-IOo8ZRaKfddW>rf-Xa)d4)=6eeD!Ym=;3J7:b;5U:YkTkDE>n3Hb-@uhN!Hd[rMe-_-gqNNc3N[4<5hha]+/2IQLs^s:@2><f6Y-tgC$V1#JEpqc<`&gK<(VNer@Z1Ek=C`")TQdHN,V>@(=WD(jt[.:05sGGM]_+3F"J>.2uqmFSF'US+RS>_7[*\)r0gN32*'9f@^U:\7lolN>_S@JSU$)pk*f9gie+pK-eqeW$WrP4.u<sD5^'.LCFWTIfM[j]L)~>endstream
 endobj
 xref
 0 22
 0000000000 65535 f 
 0000000061 00000 n 
 0000000112 00000 n 
 0000000219 00000 n 
 0000000331 00000 n 
 0000000536 00000 n 
 0000000741 00000 n 
 0000000856 00000 n 
 0000001061 00000 n 
 0000001266 00000 n 
 0000001471 00000 n 
 0000001677 00000 n 
 0000001883 00000 n 
 0000001953 00000 n 
 0000002284 00000 n 
 0000002382 00000 n 
 0000004571 00000 n 
 0000006279 00000 n 
 0000009130 00000 n 
 0000011669 00000 n 
 0000013452 00000 n 
 0000016214 00000 n 
 trailer
 <<
 /ID 
 [<d46a1b7909dbc491a240e4a50a35fd17><d46a1b7909dbc491a240e4a50a35fd17>]
 % ReportLab generated PDF document -- digest (opensource)
 /Info 13 0 R
 /Root 12 0 R
 /Size 22
 >>
 startxref
 17316
 %%EOF
@@ -1,53 +1,81 @@
 # Homelab Infrastructure (KalliLab CORE)
-Dieses Repository ist die zentrale Quelle ("Single Source of Truth") für die komplette Infrastruktur meines Homelabs.
+Dieses Repository ist die zentrale Quelle ("Single Source of Truth") fuer die komplette Infrastruktur meines Homelabs.
-## 🚨 WICHTIG – Einstieg
+## WICHTIG - Einstieg
-Vor jeder Änderung lesen:
+Vor jeder Aenderung lesen:
-1. 👉 HOMELAB_ARCHITECTURE_MASTER_V2.md
+1. `HOMELAB_ARCHITECTURE_MASTER_V2.md`
-2. 👉 docs/WORKFLOW.md
+2. `docs/WORKFLOW.md`
 3. `docs/README.md`
 Bei Restore-, Host-Ausfall- oder Wiederanlauf-Fragen zusaetzlich:
 4. `docs/DISASTER_RECOVERY.md`
 5. `docs/RESTORE_MATRIX.md`
 6. `docs/SERVICES_RECOVERY.md`
 Bei Hardware-, Netzwerk-, Provider- oder Kapazitaetsfragen zusaetzlich:
 7. `docs/HARDWARE_INVENTORY.md`
 8. `docs/NETWORK_INVENTORY.md`
 9. `docs/EXTERNAL_DEPENDENCIES.md`
 10. `docs/CAPACITY_AND_LIFECYCLE.md`
 ## Architektur
 - Host: Unraid
- Container: Docker (Compose)
+- Container: Docker Compose
- Reverse Proxy: Traefik v3 (100% Docker-Labels, kein File-Provider mehr)
+- Reverse Proxy: Traefik v3 (Service-Routing via Docker-Labels, File-Provider nur fuer zentrale Dynamic-Config)
 - Zugriff: Tailscale (VPN)
 - DNS: AdGuard Home + Unbound
- GitOps: Gitea + Komodo (Stack-Manager)
+- GitOps: Gitea + Komodo
 ## Grundprinzipien
- Alle Änderungen erfolgen über Git (Komodo deployed automatisch aus Gitea)
+- Gitea Online ist der operative Sollzustand.
- Keine produktiven Container außerhalb von Compose
+- Der lokale Clone ist die Arbeitskopie.
- Traefik ist der einzige öffentliche Einstiegspunkt
+- Komodo deployed automatisch aus Gitea und ist kein Bearbeitungsort.
- Admin-Dienste sind nicht öffentlich erreichbar (nur via VPN oder Auth)
+- Keine produktiven Container ausserhalb von Compose.
- Secrets werden niemals im Repository gespeichert
+- Traefik ist der einzige oeffentliche Einstiegspunkt.
 - Secrets werden niemals im Repository gespeichert.
 ## Repository-Struktur
- `core/` → Basisdienste (Gitea)
+- `core/` -> Basisdienste (Gitea)
- `security/` → sicherheitskritische Dienste (Vaultwarden)
+- `security/` -> sicherheitskritische Dienste
- `infra/` → Datenbanken & technische Services (PostgreSQL, Redis, DDNS-Updater)
+- `infra/` -> Datenbanken und technische Services
- `apps/` → Anwendungen (Immich, Paperless, Mealie, Homepage, ...)
+- `apps/` -> Anwendungen
- `ops/` → Monitoring & Tools (Komodo, Scrutiny, Uptime-Kuma, Backrest, ...)
+- `ops/` -> operative Tools
- `host-services/` → Dienste mit Host-Netz (AdGuard, Beszel, Tailscale, ...)
+- `monitoring/` -> zentraler Observability-Stack
- `traefik/` → Reverse Proxy Konfiguration
+- `host-services/` -> Dienste mit Host-Netz
- `docs/` → Dokumentation & Prozesse
+- `traefik/` -> Reverse Proxy Konfiguration
- `env/` → Beispiel-Umgebungsvariablen
+- `docs/` -> Dokumentation und Prozesse
 - `env/` -> Beispiel-Umgebungsvariablen
-## Workflow
+## Kurz-Workflow
-1. Änderung im Repository (Git)
+1. In GitHub Desktop `Fetch origin`.
-2. Commit & Push nach Gitea
+2. Wenn noetig `Pull origin`.
-3. Komodo deployed automatisch (GitOps)
+3. Lokal aendern.
-4. Testen
+4. Commit erstellen.
-5. Dokumentation aktualisieren
+5. `Push origin`.
 6. Komodo-Webhook und Ergebnis pruefen.
 7. Doku bei Bedarf aktualisieren.
 ## Status
-GitOps-Migration (Sprint 1–4) abgeschlossen. Komodo ist primärer Stack-Manager.
+- Offene Punkte stehen ausschliesslich in `docs/MASTER_TODO.md`; Entscheidungen mit Begruendung in `docs/DECISIONS.md`.
-
+- Komodo ist der primaere und einzige produktive Stack-Manager.
-> ⚠️ Portainer CE läuft noch als Legacy-UI – wird in Sprint 5 abgeschaltet.
+- Komodo bleibt bewusst bei nativer Authentifizierung; zentrale Traefik-Auth wird dort nicht pauschal vorgeschaltet.
 - Portainer CE ist abgeschaltet und kein Teil des aktiven Betriebs mehr.
 - Glance ist das aktive produktive Homelab-Dashboard.
 - Traefik `dynamic/` bleibt eine dokumentierte manuelle Host-Sync-Ausnahme ausserhalb des normalen Komodo-Deployments.
 - Mutable Image-Tags sind auf die aktuell laufenden Digests eingefroren; echte Versions-Upgrades erfolgen bewusst separat.
 - Disaster-Recovery und dienstspezifische Restore-Quellen sind in `docs/DISASTER_RECOVERY.md` und `docs/RESTORE_MATRIX.md` beschrieben.
 - Recovery-kritische Services-Pfade wie Gitea-Repositories, Komodo-Workspaces und Host-Automation sind in `docs/SERVICES_RECOVERY.md` beschrieben.
 - Hardware-, Netzwerk-, Provider- und Capacity-Inventare sind als operative Audit-Dokumente unter `docs/HARDWARE_INVENTORY.md`, `docs/NETWORK_INVENTORY.md`, `docs/EXTERNAL_DEPENDENCIES.md` und `docs/CAPACITY_AND_LIFECYCLE.md` vorbereitet.
 - Der verbindliche Detailablauf steht in `docs/WORKFLOW.md`.
 - Der Doku-Index mit aktiven und archivierten Dokumenten steht in `docs/README.md`.
 - `nextcloud`, `bentopdf` und `monitoring` folgen dem dokumentierten Netz-/Secret-/Traefik-Modell; der zentrale Monitoring-Stack buendelt Prometheus, Loki, Promtail, Grafana und InfluxDB 3 Core.
@@ -0,0 +1,34 @@
 services:
  bentopdf:
    image: bentopdfteam/bentopdf:2.8.5@sha256:2d867aacb8ab5b196d00ee86944b1899d09d72df355384c5e15cf974737963a0
    container_name: bentopdf
    restart: unless-stopped
    tmpfs:
      - /tmp:rw,noexec,nosuid,nodev,mode=1777
      - /var/cache/nginx:rw,noexec,nosuid,nodev,uid=101,gid=101,mode=0755
      - /var/run:rw,noexec,nosuid,nodev,uid=101,gid=101,mode=0755
    networks:
      - frontend_net
    security_opt:
      - no-new-privileges:true
    healthcheck:
      test: ["CMD", "wget", "--spider", "-q", "http://localhost:8080"]
      interval: 30s
      timeout: 10s
      retries: 3
      start_period: 20s
    labels:
      - traefik.enable=true
      - traefik.docker.network=frontend_net
      - traefik.http.routers.bentopdf.rule=Host(`pdf.kaleschke.info`)
      - traefik.http.routers.bentopdf.entrypoints=websecure
      - traefik.http.routers.bentopdf.tls=true
      - traefik.http.routers.bentopdf.tls.certresolver=le
      - traefik.http.routers.bentopdf.middlewares=authelia@file,secure-headers@file,bentopdf-coi@docker
      - traefik.http.middlewares.bentopdf-coi.headers.customresponseheaders.Cross-Origin-Opener-Policy=same-origin
      - traefik.http.middlewares.bentopdf-coi.headers.customresponseheaders.Cross-Origin-Embedder-Policy=require-corp
      - traefik.http.services.bentopdf.loadbalancer.server.port=8080
 networks:
  frontend_net:
    external: true
@@ -1,4 +0,0 @@
 backend/.env
 backend/app/__pycache__
 backend/app/**/*.pyc
 assets/.DS_Store
@@ -1,23 +0,0 @@
 DASHBOARD_IMAGE=
 APP_ENV=production
 APP_HOST=0.0.0.0
 APP_PORT=8000
 APP_LOG_LEVEL=INFO
 APP_TIMEZONE=Europe/Berlin
 APP_NAME=Homelab Dashboard API
 APP_VERSION=0.1.0
 CORS_ALLOW_ORIGINS=["https://dashboard.kaleschke.info"]
 REQUEST_TIMEOUT_SECONDS=5.0
 CACHE_TTL_OVERVIEW_SECONDS=15
 CACHE_TTL_SYSTEM_SECONDS=15
 CACHE_TTL_SERVICES_SECONDS=15
 CACHE_TTL_STORAGE_SECONDS=30
 BESZEL_BASE_URL=http://beszel:8090
 BESZEL_ADMIN_EMAIL=
 BESZEL_ADMIN_PASSWORD=
 UPTIME_KUMA_BASE_URL=http://uptime-kuma:3001
 UPTIME_KUMA_USERNAME=
 UPTIME_KUMA_PASSWORD=
 HOME_ASSISTANT_BASE_URL=http://192.168.178.50:8123
 HOME_ASSISTANT_TOKEN=
@@ -1,19 +0,0 @@
 FROM python:3.12-slim
 ENV PYTHONDONTWRITEBYTECODE=1 \
    PYTHONUNBUFFERED=1
 WORKDIR /app/backend
 COPY backend/requirements.txt ./requirements.txt
 RUN pip install --no-cache-dir -r requirements.txt
 COPY backend/app ./app
 WORKDIR /app
 COPY dashboard.html ./dashboard.html
 COPY assets ./assets
 WORKDIR /app/backend
 EXPOSE 8000
 CMD ["uvicorn", "app.main:app", "--host", "0.0.0.0", "--port", "8000"]
@@ -1,22 +0,0 @@
 async function fetchJson(path) {
  const res = await fetch(path);
  if (!res.ok) throw new Error(path + " HTTP " + res.status);
  return res.json();
 }
 export async function fetchDashboardData() {
  const [overview, system, services, storage, adguard, scrutiny, immich, backrest, home_assistant, uptime_kuma] =
    await Promise.all([
      fetchJson("/api/overview"),
      fetchJson("/api/system"),
      fetchJson("/api/services"),
      fetchJson("/api/storage"),
      fetchJson("/api/adguard"),
      fetchJson("/api/scrutiny"),
      fetchJson("/api/immich"),
      fetchJson("/api/backrest"),
      fetchJson("/api/home_assistant"),
      fetchJson("/api/uptime_kuma"),
    ]);
  return { overview, system, services, storage, adguard, scrutiny, immich, backrest, home_assistant, uptime_kuma };
 }
@@ -1,40 +0,0 @@
 import { fetchDashboardData } from "./api.js";
 import { getState, subscribe, updateData } from "./state.js";
 import { renderHeader } from "./renderers/header.js";
 import { renderStats } from "./renderers/stats.js";
 import { renderStorage } from "./renderers/storage.js";
 import { renderServices } from "./renderers/services.js";
 import { renderNetworkHealth } from "./renderers/network-health.js";
 import { renderQuickAccess } from "./renderers/quick-access.js";
 import { renderHomeAssistant } from "./renderers/home-assistant.js";
 import { renderUptimeKuma } from "./renderers/uptime-kuma.js";
 import { renderImmich } from "./renderers/immich.js";
 import { renderBackrest } from "./renderers/backrest.js";
 function render(state) {
  renderHeader(state);
  renderStats(state);
  renderStorage(state);
  renderServices(state);
  renderNetworkHealth(state);
  renderHomeAssistant(state);
  renderUptimeKuma(state);
  renderImmich(state);
  renderBackrest(state);
  renderQuickAccess();
 }
 subscribe(render);
 async function refresh() {
  try {
    const data = await fetchDashboardData();
    updateData(data);
  } catch (err) {
    console.error("Dashboard fetch error:", err);
  }
 }
 render(getState());
 refresh();
 setInterval(refresh, (getState().overview?.refresh_hint_seconds ?? 20) * 1000);
@@ -1,50 +0,0 @@
 export function renderBackrest(state) {
  const d = state.backrest || {};
  const online = d.source_status === "online";
  const pill = document.getElementById("backrest-pill");
  if (pill) {
    pill.textContent = online ? "ONLINE" : "OFFLINE";
    pill.className = "status-pill " + (online ? "pill-online" : "pill-offline");
  }
  const set = (id, val) => { const el = document.getElementById(id); if (el) el.textContent = val; };
  if (online) {
    set("backrest-repos", d.repo_count ?? 0);
    set("backrest-last", fmtAge(d.last_backup_age_hours));
    set("backrest-errors", d.error_count ?? 0);
  } else {
    set("backrest-repos", "—");
    set("backrest-last", "—");
    set("backrest-errors", "—");
  }
  // Color last backup age warn if > 26h
  const lastEl = document.getElementById("backrest-last");
  if (lastEl && online) {
    const age = d.last_backup_age_hours;
    lastEl.style.color = age !== null && age > 26 ? "var(--clr-warn)" : "";
  }
  // Color errors warn if any
  const errEl = document.getElementById("backrest-errors");
  if (errEl && online) {
    errEl.style.color = (d.error_count ?? 0) > 0 ? "var(--clr-warn)" : "";
  }
  // Status dot
  const dot = document.getElementById("backrest-status-dot");
  if (dot) {
    const s = d.last_backup_status || "unknown";
    dot.className = "status-dot dot-" + (s === "ok" ? "ok" : s === "error" ? "err" : "unk");
    dot.title = s;
  }
 }
 function fmtAge(hours) {
  if (hours === null || hours === undefined) return "—";
  if (hours < 1) return `${Math.round(hours * 60)}m ago`;
  if (hours < 24) return `${Math.round(hours)}h ago`;
  return `${Math.round(hours / 24)}d ago`;
 }
@@ -1,20 +0,0 @@
 export function renderHeader(state) {
  const overview = state.overview || {};
  const status = overview.overall_status || "offline";
  const dot = document.getElementById("overall-dot");
  if (dot) {
    dot.style.background = status === "online" ? "var(--teal)" : status === "degraded" ? "var(--yellow)" : "var(--red)";
    dot.style.boxShadow = status === "online" ? "0 0 8px var(--teal-glow)" : "";
  }
  const txt = document.getElementById("overall-status-text");
  if (txt) txt.textContent = status.toUpperCase();
  const upd = document.getElementById("last-updated");
  if (upd && overview.generated_at) {
    const d = new Date(overview.generated_at);
    const pad = n => String(n).padStart(2, "0");
    upd.textContent = `updated ${pad(d.getHours())}:${pad(d.getMinutes())}:${pad(d.getSeconds())}`;
  }
 }
@@ -1,29 +0,0 @@
 export function renderHomeAssistant(state) {
  const d = state.home_assistant || {};
  const online = d.status === "online";
  // pill
  const pill = document.getElementById("ha-pill");
  if (pill) {
    pill.textContent = online ? "ONLINE" : "OFFLINE";
    pill.className = "status-pill " + (online ? "pill-online" : "pill-offline");
  }
  // stat blocks
  const set = (id, val) => { const el = document.getElementById(id); if (el) el.textContent = val; };
  set("ha-lights", online ? `${d.lights_on ?? 0}/${d.lights_total ?? 0}` : "—");
  set("ha-climate", online ? (d.climate_active ?? 0) : "—");
  set("ha-doors", online ? (d.doors_open ?? 0) : "—");
  set("ha-alerts", online ? (d.alerts ?? 0) : "—");
  // version subtitle
  const ver = document.getElementById("ha-version");
  if (ver) ver.textContent = d.version ? `v${d.version}` : "";
  // alerts highlight
  const alertsEl = document.getElementById("ha-alerts");
  if (alertsEl) {
    alertsEl.style.color = d.alerts > 0 ? "var(--clr-warn)" : "";
  }
 }
@@ -1,28 +0,0 @@
 export function renderImmich(state) {
  const d = state.immich || {};
  const online = d.source_status === "online";
  const pill = document.getElementById("immich-pill");
  if (pill) {
    pill.textContent = online ? "ONLINE" : "OFFLINE";
    pill.className = "status-pill " + (online ? "pill-online" : "pill-offline");
  }
  const set = (id, val) => { const el = document.getElementById(id); if (el) el.textContent = val; };
  if (online) {
    set("immich-photos", fmtNum(d.photos ?? 0));
    set("immich-videos", fmtNum(d.videos ?? 0));
    set("immich-storage", `${(d.storage_gb ?? 0).toFixed(1)} GB`);
  } else {
    set("immich-photos", "—");
    set("immich-videos", "—");
    set("immich-storage", "—");
  }
 }
 function fmtNum(n) {
  if (n >= 1_000_000) return (n / 1_000_000).toFixed(1) + "M";
  if (n >= 1_000) return (n / 1_000).toFixed(1) + "K";
  return String(n);
 }
@@ -1,69 +0,0 @@
 export function renderNetworkHealth(state) {
  renderAdGuard(state.adguard || {});
  renderScrutiny(state.scrutiny || {});
 }
 function renderAdGuard(data) {
  const online = data.source_status === "online";
  setPill("adguard-pill", online ? "ONLINE" : "OFFLINE", online ? "pill-online" : "pill-offline");
  setText("adguard-total", online ? fmtCompact(data.total_queries) : "\u2014");
  setText("adguard-blocked", online ? fmtCompact(data.blocked_queries) : "\u2014");
  setText("adguard-blocked-pct", online ? `${Math.round(data.blocked_percent ?? 0)}%` : "\u2014");
  setText("adguard-latency", online ? `${Math.round(data.avg_processing_ms ?? 0)}ms` : "\u2014");
  const fill = document.getElementById("adguard-bar-fill");
  if (fill) {
    fill.style.width = `${online ? Math.min(data.blocked_percent ?? 0, 100) : 0}%`;
  }
 }
 function renderScrutiny(data) {
  const online = data.source_status === "online";
  setPill("scrutiny-pill", online ? "ONLINE" : "OFFLINE", online ? "pill-online" : "pill-offline");
  const total = data.total_count ?? 0;
  const failed = data.failed_count ?? 0;
  const passed = Math.max(total - failed, 0);
  setText("scrutiny-total", online ? total : "\u2014");
  setText("scrutiny-passed", online ? passed : "\u2014");
  setText("scrutiny-failed", online ? failed : "\u2014");
  const list = document.getElementById("scrutiny-list");
  if (!list) return;
  const devices = Array.isArray(data.devices) ? data.devices.slice(0, 3) : [];
  if (!online || devices.length === 0) {
    list.innerHTML = `<div class="scrutiny-offline">\u2014 ${online ? "no disks" : "offline"}</div>`;
    return;
  }
  list.innerHTML = `<div class="scrutiny-strip">${devices.map((device) => {
    const status = device.status || "unknown";
    const cls = status === "passed" ? "ok" : status === "failed" ? "fail" : "unk";
    const token = status === "passed" ? "OK" : status === "failed" ? "ER" : "--";
    const name = device.name || device.device || "disk";
    return `<span class="scrutiny-chip ${cls}"><strong>${token}</strong>${name}</span>`;
  }).join("")}</div>`;
 }
 function setText(id, value) {
  const el = document.getElementById(id);
  if (el) el.textContent = value;
 }
 function setPill(id, label, cls) {
  const el = document.getElementById(id);
  if (!el) return;
  el.textContent = label;
  el.className = `status-pill ${cls}`;
 }
 function fmtCompact(value) {
  const num = Number(value ?? 0);
  if (num >= 1_000_000) return `${(num / 1_000_000).toFixed(1)}M`;
  if (num >= 1_000) return `${Math.round(num / 1_000)}K`;
  return `${num}`;
 }
@@ -1,29 +0,0 @@
 const QUICK_LINKS = [
  { label: "Home Assistant", icon: "🏠", url: "https://ha.kaleschke.info" },
  { label: "Komodo", icon: "🦎", url: "https://komodo.kaleschke.info" },
  { label: "Uptime Kuma", icon: "📡", url: "https://uptime.kaleschke.info" },
  { label: "Beszel", icon: "📊", url: "https://beszel.kaleschke.info" },
  { label: "Firefly III", icon: "🦋", url: "https://firefly.kaleschke.info" },
  { label: "Paperless", icon: "📄", url: "https://paperless.kaleschke.info" },
  { label: "Mealie", icon: "🍽️", url: "https://mealie.kaleschke.info" },
  { label: "Immich", icon: "🖼️", url: "https://immich.kaleschke.info" },
  { label: "Gitea", icon: "🐙", url: "https://git.kaleschke.info" },
  { label: "Code Server", icon: "💻", url: "https://code.kaleschke.info" },
  { label: "FileBrowser", icon: "📁", url: "https://files.kaleschke.info" },
  { label: "Backrest", icon: "💾", url: "https://backrest.kaleschke.info" },
  { label: "Vaultwarden", icon: "🔐", url: "https://vault.kaleschke.info" },
  { label: "AdGuard", icon: "🛡️", url: "https://adguard.kaleschke.info" },
  { label: "Traefik", icon: "🔀", url: "https://traefik.kaleschke.info" },
  { label: "Scrutiny", icon: "🔍", url: "https://scrutiny.kaleschke.info" },
 ];
 export function renderQuickAccess() {
  const grid = document.getElementById("quick-access-grid");
  if (!grid) return;
  grid.innerHTML = QUICK_LINKS.map(({ label, icon, url }) => `
    <a class="quick-tile" href="${url}" target="_blank" rel="noopener noreferrer">
      <span class="quick-tile-icon">${icon}</span>
      <span class="quick-tile-label">${label}</span>
    </a>
  `).join("");
 }
@@ -1,24 +0,0 @@
 export function renderServices(state) {
  const services = state.services || {};
  const summary = services.summary || {};
  const set = (id, val) => { const el = document.getElementById(id); if (el) el.textContent = val; };
  set("svc-online", summary.online ?? "—");
  set("svc-degraded", summary.degraded ?? "—");
  set("svc-offline", summary.offline ?? "—");
  set("svc-total", summary.total ?? "—");
  const pill = document.getElementById("services-pill");
  if (pill) {
    const s = summary.overall_status || "offline";
    pill.textContent = s.toUpperCase();
    pill.className = "status-pill " + (s === "online" ? "pill-online" : s === "degraded" ? "pill-degraded" : "pill-offline");
  }
  // Colour counts
  const degEl = document.getElementById("svc-degraded");
  if (degEl) degEl.className = "stat-num" + ((summary.degraded ?? 0) > 0 ? " warn" : "");
  const offEl = document.getElementById("svc-offline");
  if (offEl) offEl.className = "stat-num" + ((summary.offline ?? 0) > 0 ? " danger" : "");
 }
@@ -1,49 +0,0 @@
 export function renderStats(state) {
  const sys = state.system || {};
  const overview = state.overview || {};
  const cpu = sys.cpu || {};
  const mem = sys.memory || {};
  const net = sys.network || {};
  const host = sys.host || {};
  const docker = overview.docker || state.services?.docker || {};
  const set = (id, val) => { const el = document.getElementById(id); if (el) el.textContent = val; };
  // CPU
  set("cpu-percent", cpu.usage_percent != null ? `${cpu.usage_percent.toFixed(1)}%` : "—");
  set("cpu-cores", cpu.cores ?? "—");
  set("cpu-load", cpu.load_5 != null ? cpu.load_5.toFixed(2) : "—");
  // Colour CPU
  const cpuEl = document.getElementById("cpu-percent");
  if (cpuEl && cpu.usage_percent != null) {
    cpuEl.className = "stat-num" + (cpu.usage_percent > 85 ? " danger" : cpu.usage_percent > 65 ? " warn" : "");
  }
  // Memory
  set("ram-percent", mem.usage_percent != null ? `${mem.usage_percent.toFixed(1)}%` : "—");
  set("ram-used", mem.used_gb != null ? mem.used_gb.toFixed(1) : "—");
  set("ram-total", mem.total_gb != null ? mem.total_gb.toFixed(0) : "—");
  const ramEl = document.getElementById("ram-percent");
  if (ramEl && mem.usage_percent != null) {
    ramEl.className = "stat-num" + (mem.usage_percent > 85 ? " danger" : mem.usage_percent > 65 ? " warn" : "");
  }
  // Network
  set("net-rx", net.rx_mbps != null ? net.rx_mbps.toFixed(1) : "—");
  set("net-tx", net.tx_mbps != null ? net.tx_mbps.toFixed(1) : "—");
  // Host
  const upDays = host.uptime_seconds != null ? Math.floor(host.uptime_seconds / 86400) : null;
  set("uptime-days", upDays != null ? upDays : "—");
  set("host-platform", host.platform ? host.platform.slice(0, 5).toUpperCase() : "—");
  // Docker
  set("docker-running", docker.running ?? "—");
  set("docker-stopped", docker.stopped ?? "—");
  set("docker-total", docker.total ?? "—");
  const stoppedEl = document.getElementById("docker-stopped");
  if (stoppedEl) stoppedEl.className = "stat-num" + ((docker.stopped ?? 0) > 0 ? " warn" : " dim");
 }
@@ -1,86 +0,0 @@
 export function renderStorage(state) {
  const storage = state.storage || {};
  const grid = document.getElementById("storage-grid");
  if (!grid) return;
  const root = storage.root || storage.disks?.[0] || null;
  const disks = storage.disks || [];
  const rootPct = root?.usage_percent ?? 0;
  const rootTone = pickTone(rootPct);
  const warningCount = disks.filter((disk) => between(disk.usage_percent, 70, 85)).length;
  const criticalCount = disks.filter((disk) => (disk.usage_percent ?? 0) > 85).length;
  const highest = disks.length
    ? disks.reduce((current, disk) => ((disk.usage_percent ?? 0) > (current.usage_percent ?? 0) ? disk : current), disks[0])
    : null;
  const matrixPill = criticalCount > 0 ? "pill-offline" : warningCount > 0 ? "pill-degraded" : "pill-online";
  const strip = disks.length
    ? disks.slice(0, 4).map((disk) => {
        const pct = disk.usage_percent ?? 0;
        return `<span class="storage-chip" style="color:${pickColor(pct)}">${disk.name || disk.mount} ${pct.toFixed(0)}%</span>`;
      }).join("")
    : '<span class="storage-chip">No disk data</span>';
  grid.innerHTML = `
    <div class="card service-card storage-card storage-primary">
      <div class="card-title">
        <div class="card-title-left">
          <span class="service-icon icon-storage"><span class="icon-glyph glyph-storage"></span></span>
          <span class="service-name">ROOT STORAGE</span>
        </div>
        <span class="status-pill ${statusPill(root?.status)}">${(root?.status || "stable").toUpperCase()}</span>
      </div>
      <div class="stats-grid">
        <div class="stat-block"><div class="stat-num ${rootTone}">${root ? `${rootPct.toFixed(1)}%` : "\u2014"}</div><div class="stat-label">Usage</div></div>
        <div class="stat-block"><div class="stat-num dim">${root ? fmtNum(root.used_gb) : "\u2014"}</div><div class="stat-label">Used GB</div></div>
        <div class="stat-block"><div class="stat-num dim">${root ? fmtNum(root.free_gb) : "\u2014"}</div><div class="stat-label">Free GB</div></div>
      </div>
      <div class="progress-wrap">
        <div class="progress-meta"><span>${root?.mount || "/"}</span><span>${root ? `${rootPct.toFixed(1)}%` : "0%"}</span></div>
        <div class="progress-bar"><div class="progress-fill ${rootTone}" style="width:${Math.min(100, rootPct)}%"></div></div>
      </div>
    </div>
    <div class="card service-card storage-card storage-matrix-card">
      <div class="card-title">
        <div class="card-title-left">
          <span class="service-icon icon-matrix"><span class="icon-glyph glyph-matrix"></span></span>
          <span class="service-name">DISK MATRIX</span>
        </div>
        <span class="status-pill ${matrixPill}">${disks.length}</span>
      </div>
      <div class="stats-grid">
        <div class="stat-block"><div class="stat-num">${disks.length || "\u2014"}</div><div class="stat-label">Volumes</div></div>
        <div class="stat-block"><div class="stat-num warn">${warningCount}</div><div class="stat-label">Warning</div></div>
        <div class="stat-block"><div class="stat-num danger">${criticalCount}</div><div class="stat-label">Critical</div></div>
        <div class="stat-block"><div class="stat-num ${pickTone(highest?.usage_percent ?? 0)}">${highest ? `${(highest.usage_percent ?? 0).toFixed(0)}%` : "\u2014"}</div><div class="stat-label">Peak</div></div>
      </div>
      <div class="service-footer"><span>Mounted Volumes</span><div class="storage-strip">${strip}</div></div>
    </div>
  `;
 }
 function fmtNum(value) {
  return value == null ? "\u2014" : Number(value).toFixed(1);
 }
 function between(value, min, max) {
  const num = value ?? 0;
  return num > min && num <= max;
 }
 function pickTone(pct) {
  if (pct > 85) return "danger";
  if (pct > 70) return "warn";
  return "";
 }
 function pickColor(pct) {
  if (pct > 85) return "var(--red)";
  if (pct > 70) return "var(--yellow)";
  return "var(--teal-bright)";
 }
 function statusPill(status) {
  if (status === "critical") return "pill-offline";
  if (status === "warning") return "pill-degraded";
  return "pill-online";
 }
@@ -1,53 +0,0 @@
 export function renderUptimeKuma(state) {
  const d = state.uptime_kuma || {};
  const online = d.source_status === "online";
  const pill = document.getElementById("uk-pill");
  if (pill) {
    pill.textContent = online ? "ONLINE" : "OFFLINE";
    pill.className = "status-pill " + (online ? "pill-online" : "pill-offline");
  }
  const set = (id, val) => { const el = document.getElementById(id); if (el) el.textContent = val; };
  set("uk-up", online ? (d.monitors_up ?? 0) : "—");
  set("uk-down", online ? (d.monitors_down ?? 0) : "—");
  const total = (d.monitors_up ?? 0) + (d.monitors_down ?? 0);
  const pct = total > 0 ? Math.round((d.monitors_up / total) * 100) : (online ? 100 : 0);
  set("uk-uptime", online ? `${pct}%` : "—");
  // down monitors list
  const downList = document.getElementById("uk-down-list");
  if (downList) {
    const downs = (d.monitors || []).filter(m => m.status === "offline");
    if (!online || downs.length === 0) {
      downList.innerHTML = "";
    } else {
      downList.innerHTML = downs.map(m =>
        `<span class="uk-down-name">▼ ${m.name}</span>`
      ).join("");
    }
  }
  // uptime bars per monitor (top 6 by name)
  const barsContainer = document.getElementById("uk-bars");
  if (barsContainer) {
    const monitors = (d.monitors || []).slice(0, 6);
    if (!online || monitors.length === 0) {
      barsContainer.innerHTML = '<span class="widget-offline-msg">—</span>';
    } else {
      barsContainer.innerHTML = monitors.map(m => {
        const beats = m.heartbeats && m.heartbeats.length
          ? m.heartbeats
          : (m.status === "online" ? Array(20).fill(1) : Array(20).fill(0));
        const segments = beats.slice(-20).map(b =>
          `<span class="hb-seg ${b ? "hb-up" : "hb-down"}"></span>`
        ).join("");
        return `
          <div class="uk-monitor-row">
            <span class="uk-monitor-name">${m.name}</span>
            <span class="uk-bar">${segments}</span>
          </div>`;
      }).join("");
    }
  }
 }
@@ -1,60 +0,0 @@
 const DEFAULT_DATA = {
  overview: {
    generated_at: new Date().toISOString(),
    overall_status: "online",
    refresh_hint_seconds: 20,
    services: { online: 8, degraded: 2, offline: 1, total: 11 },
    docker: { running: 18, stopped: 2, unhealthy: 1, total: 20, source_status: "online" },
    system: {
      cpu_percent: 23,
      ram_percent: 61,
      root_storage_percent: 49,
      network_rx_mbps: 12.4,
      network_tx_mbps: 3.1,
      uptime_seconds: 864000,
    },
    home_assistant: {
      status: "online",
      label: "Home Assistant",
      version: "2026.3.4",
      response_time_ms: 142,
      last_checked: new Date().toISOString(),
    },
  },
  system: {
    generated_at: new Date().toISOString(),
    source: { name: "beszel", status: "online", host_name: "nas", agent_name: "beszel-agent" },
    cpu: { usage_percent: 23, cores: 8, load_1: 0.8, load_5: 0.6, load_15: 0.5 },
    memory: { used_gb: 12.4, total_gb: 32.0, available_gb: 19.6, usage_percent: 38.7 },
    network: { primary_interface: "eth0", rx_mbps: 12.4, tx_mbps: 3.1 },
    host: { uptime_seconds: 864000, platform: "linux", kernel: "6.1.0" },
  },
  storage: {
    generated_at: new Date().toISOString(),
    summary: { total_used_gb: 2048, total_size_gb: 8192, total_free_gb: 6144, overall_usage_percent: 25 },
    disks: [],
  },
  services: {
    generated_at: new Date().toISOString(),
    summary: { overall_status: "online", total: 11, online: 8, degraded: 2, offline: 1 },
    docker: { running: 18, stopped: 2, unhealthy: 1, total: 20, source_status: "online" },
    uptime_kuma: { monitors_up: 8, monitors_down: 1, source_status: "online" },
    items: [],
  },
  adguard: { source_name: "adguard", source_status: "offline", total_queries: 0, blocked_queries: 0, blocked_percent: 0, avg_processing_ms: 0 },
  scrutiny: { source_name: "scrutiny", source_status: "offline", overall_status: "offline", devices: [], failed_count: 0, total_count: 0 },
  immich: { source_name: "immich", source_status: "offline", photos: 0, videos: 0, storage_gb: 0 },
  backrest: { source_name: "backrest", source_status: "offline", repo_count: 0, last_backup_age_hours: null, last_backup_status: "unknown", error_count: 0 },
  home_assistant: { source_name: "home_assistant", status: "offline", version: null, lights_on: 0, lights_total: 0, climate_active: 0, doors_open: 0, alerts: 0 },
  uptime_kuma: { source_name: "uptime_kuma", source_status: "offline", monitors_up: 0, monitors_down: 0, monitors_paused: 0, total: 0, monitors: [] },
 };
 let _state = structuredClone(DEFAULT_DATA);
 const _subscribers = [];
 export function getState() { return _state; }
 export function subscribe(fn) { _subscribers.push(fn); }
 export function updateData(partial) {
  _state = { ..._state, ...partial };
  _subscribers.forEach((fn) => fn(_state));
 }
@@ -1 +0,0 @@
 """Homelab dashboard backend package."""
@@ -1 +0,0 @@
 """External system clients."""
@@ -1,55 +0,0 @@
 from __future__ import annotations
 import logging
 from app.clients.base import BaseHTTPClient
 from app.config import Settings
 from app.models.sources import AdGuardSnapshot
 logger = logging.getLogger(__name__)
 class AdGuardClient(BaseHTTPClient):
    """
    Reads DNS statistics from AdGuard Home's /control/stats endpoint.
    Requires Basic Auth (username + password).
    """
    def __init__(self, settings: Settings) -> None:
        super().__init__(settings, "adguard", settings.adguard_base_url)
    async def fetch_stats(self) -> AdGuardSnapshot:
        snapshot = AdGuardSnapshot()
        if not self.base_url:
            logger.info("adguard skipped: base URL missing")
            return snapshot
        if not self.settings.adguard_username or not self.settings.adguard_password:
            logger.info("adguard skipped: no credentials configured")
            return snapshot
        data = await self._request_json(
            "GET",
            "/control/stats",
            auth=(self.settings.adguard_username, self.settings.adguard_password),
        )
        if data is None:
            logger.warning("adguard: empty or failed response")
            return snapshot
        total = int(data.get("num_dns_queries") or 0)
        blocked = int(data.get("num_blocked_filtering") or 0)
        avg_ms = round(float(data.get("avg_processing_time") or 0.0) * 1000, 2)
        blocked_pct = round((blocked / total * 100), 1) if total > 0 else 0.0
        result = AdGuardSnapshot(
            source_status="online",
            total_queries=total,
            blocked_queries=blocked,
            blocked_percent=blocked_pct,
            avg_processing_ms=avg_ms,
        )
        logger.info("adguard stats: %s", result.model_dump())
        return result
@@ -1,82 +0,0 @@
 from __future__ import annotations
 import logging
 from datetime import datetime, timezone
 from app.clients.base import BaseHTTPClient
 from app.config import Settings
 from app.models.sources import BackrestSnapshot
 logger = logging.getLogger(__name__)
 class BackrestClient(BaseHTTPClient):
    def __init__(self, settings: Settings) -> None:
        super().__init__(settings, "backrest", settings.backrest_base_url)
    def _auth(self) -> tuple[str, str] | None:
        if self.settings.backrest_username and self.settings.backrest_password:
            return (self.settings.backrest_username, self.settings.backrest_password)
        return None
    async def fetch_status(self) -> BackrestSnapshot:
        snapshot = BackrestSnapshot()
        if not self.base_url:
            logger.info("backrest skipped: base URL missing")
            return snapshot
        auth = self._auth()
        # Get config (repo list) via Connect-RPC
        data = await self._request_json(
            "POST", "/v1.Backrest/GetConfig",
            json={},
            auth=auth,
        )
        if not isinstance(data, dict):
            return snapshot
        repos = data.get("repos") or []
        repo_count = len(repos) if isinstance(repos, list) else 0
        # Get recent operations via Connect-RPC
        last_backup_age_hours: float | None = None
        error_count = 0
        last_backup_status = "unknown"
        ops_data = await self._request_json(
            "POST", "/v1.Backrest/GetOperations",
            json={"lastN": 20},
            auth=auth,
        )
        if isinstance(ops_data, dict):
            ops = ops_data.get("operations") or []
            backup_ops = [
                op for op in ops
                if isinstance(op, dict) and op.get("backupOp") is not None
            ]
            error_ops = [op for op in backup_ops if op.get("status") == "STATUS_ERROR"]
            error_count = len(error_ops)
            if backup_ops:
                latest = backup_ops[0]
                ts = latest.get("unixTimeEndMs")
                if ts:
                    ended = datetime.fromtimestamp(int(ts) / 1000, tz=timezone.utc)
                    now = datetime.now(timezone.utc)
                    last_backup_age_hours = round((now - ended).total_seconds() / 3600, 1)
                status_str = latest.get("status", "")
                if status_str == "STATUS_SUCCESS":
                    last_backup_status = "ok"
                elif status_str == "STATUS_ERROR":
                    last_backup_status = "error"
                else:
                    last_backup_status = "unknown"
        return BackrestSnapshot(
            source_status="online",
            repo_count=repo_count,
            last_backup_age_hours=last_backup_age_hours,
            last_backup_status=last_backup_status,
            error_count=error_count,
        )
@@ -1,111 +0,0 @@
 from __future__ import annotations
 import logging
 from typing import Any
 import httpx
 from app.config import Settings
 logger = logging.getLogger(__name__)
 class BaseHTTPClient:
    def __init__(self, settings: Settings, name: str, base_url: str | None) -> None:
        self.settings = settings
        self.name = name
        self.base_url = str(base_url).rstrip("/") if base_url else None
    async def _request_json(
        self,
        method: str,
        path: str,
        *,
        headers: dict[str, str] | None = None,
        params: dict[str, Any] | None = None,
        auth: tuple[str, str] | None = None,
        json: Any | None = None,
    ) -> Any | None:
        response = await self._request(
            method,
            path,
            headers=headers,
            params=params,
            auth=auth,
            json=json,
        )
        if response is None:
            return None
        try:
            return response.json()
        except ValueError:
            logger.warning("%s returned non-JSON payload for %s", self.name, path)
            return None
    async def _request_text(
        self,
        method: str,
        path: str,
        *,
        headers: dict[str, str] | None = None,
        params: dict[str, Any] | None = None,
        auth: tuple[str, str] | None = None,
    ) -> str | None:
        response = await self._request(
            method,
            path,
            headers=headers,
            params=params,
            auth=auth,
        )
        if response is None:
            return None
        return response.text
    async def _request(
        self,
        method: str,
        path: str,
        *,
        headers: dict[str, str] | None = None,
        params: dict[str, Any] | None = None,
        auth: tuple[str, str] | None = None,
        json: Any | None = None,
    ) -> httpx.Response | None:
        if not self.base_url:
            logger.info("%s client skipped because base URL is not configured", self.name)
            return None
        url = f"{self.base_url}/{path.lstrip('/')}"
        try:
            async with httpx.AsyncClient(
                timeout=self.settings.request_timeout_seconds,
                trust_env=False,
            ) as client:
                response = await client.request(
                    method,
                    url,
                    headers=headers,
                    params=params,
                    auth=auth,
                    json=json,
                )
                response.raise_for_status()
                return response
        except httpx.TimeoutException:
            logger.warning("%s request timed out: %s %s", self.name, method, url)
        except httpx.HTTPStatusError as exc:
            logger.warning(
                "%s request failed with status %s for %s %s",
                self.name,
                exc.response.status_code,
                method,
                url,
            )
        except httpx.HTTPError as exc:
            logger.warning("%s request error for %s %s: %s", self.name, method, url, exc)
        return None
@@ -1,431 +0,0 @@
 from __future__ import annotations
 from datetime import datetime, timedelta, timezone
 import logging
 from typing import Any
 from app.clients.base import BaseHTTPClient
 from app.config import Settings
 from app.models.sources import (
    BeszelDiskMetric,
    BeszelSystemSnapshot,
    DockerContainerSummary,
    DockerSnapshot,
 )
 logger = logging.getLogger(__name__)
 class BeszelClient(BaseHTTPClient):
    """
    Beszel exposes a PocketBase-backed REST API. The exact record schema may
    change between Beszel releases, so this client intentionally normalizes
    multiple likely field layouts into a stable internal snapshot.
    """
    def __init__(self, settings: Settings) -> None:
        super().__init__(settings, "beszel", settings.beszel_base_url)
        self._admin_jwt: str | None = None
        self._admin_jwt_expires_at: datetime | None = None
    async def fetch_system_snapshot(self) -> BeszelSystemSnapshot:
        snapshot = BeszelSystemSnapshot()
        if not self.base_url:
            logger.info("beszel skipped: base URL missing")
            return snapshot
        headers = await self._build_auth_headers()
        if headers is None:
            logger.warning("beszel skipped: no usable auth method configured")
            return snapshot
        payload = await self._request_json(
            "GET",
            "/api/collections/system_stats/records",
            headers=headers,
            params={"page": 1, "perPage": 1, "sort": "-created"},
        )
        if not payload:
            logger.warning("beszel returned empty payload")
            return snapshot
        logger.info("beszel raw payload: %s", payload)
        items = payload.get("items") if isinstance(payload, dict) else None
        if not items:
            logger.warning("beszel returned no system_stats records")
            return snapshot
        record = items[0]
        details = await self._fetch_system_details(headers, record)
        normalized = self._normalize_snapshot(record, details)
        logger.info("beszel normalized snapshot: %s", normalized.model_dump())
        return normalized
    async def fetch_container_snapshot(self) -> DockerSnapshot:
        snapshot = DockerSnapshot()
        if not self.base_url:
            return snapshot
        headers = await self._build_auth_headers()
        if headers is None:
            return snapshot
        payload = await self._request_json(
            "GET",
            "/api/collections/containers/records",
            headers=headers,
            params={"page": 1, "perPage": 200, "sort": "-updated"},
        )
        logger.info("beszel raw containers payload: %s", payload)
        if not isinstance(payload, dict):
            logger.warning("beszel containers mapping: payload is not a dict")
            return snapshot
        items = payload.get("items")
        if not isinstance(items, list):
            logger.warning("beszel containers mapping: items missing or not a list")
            return snapshot
        if not items:
            logger.warning("beszel containers mapping: no container records returned")
            return snapshot
        containers: list[DockerContainerSummary] = []
        running = 0
        stopped = 0
        unhealthy = 0
        for item in items:
            if not isinstance(item, dict):
                continue
            state = self._normalize_container_state(item)
            if state == "running":
                running += 1
            elif state == "unhealthy":
                unhealthy += 1
            else:
                stopped += 1
            containers.append(
                DockerContainerSummary(
                    id=str(item.get("id") or ""),
                    name=str(item.get("name") or item.get("container") or item.get("service") or "unknown"),
                    state=state,
                    status_text=str(item.get("status") or item.get("state") or "unknown"),
                    image=str(item.get("image") or ""),
                    health=str(item.get("health") or item.get("health_status") or "").lower() or None,
                )
            )
        normalized = DockerSnapshot(
            source_status="online",
            running=running,
            stopped=stopped,
            unhealthy=unhealthy,
            total=len(containers),
            containers=containers,
        )
        logger.info("beszel normalized containers snapshot: %s", normalized.model_dump())
        return normalized
    def _normalize_snapshot(self, record: dict[str, Any], details: dict[str, Any] | None) -> BeszelSystemSnapshot:
        stats = self._coerce_mapping(record.get("stats") or {})
        details = self._coerce_mapping(details or {})
        details_payload = self._coerce_mapping(
            details.get("details")
            or details.get("stats")
            or details.get("info")
            or details.get("data")
            or {}
        )
        expanded_system = self._coerce_mapping(self._coerce_mapping(record.get("expand")).get("system"))
        memory_used_gb = self._as_float(stats.get("m"))
        memory_total_gb = self._as_float(stats.get("m"))
        if stats.get("mp"):
            memory_total_gb = round(memory_used_gb / (self._as_float(stats.get("mp")) / 100), 1) if self._as_float(stats.get("mp")) else memory_used_gb
        memory_available_gb = max(round(memory_total_gb - memory_used_gb, 1), 0.0)
        network_pair = stats.get("b") if isinstance(stats.get("b"), list) else []
        disks = self._normalize_disks(
            details_payload.get("disks")
            or details_payload.get("disk")
            or details_payload.get("mounts")
            or details.get("disks")
            or details.get("disk")
            or details.get("mounts")
            or []
        )
        if not disks and self._as_float(stats.get("dp")) > 0:
            disk_pct = self._as_float(stats.get("dp"))
            disk_used = self._as_float(stats.get("du"))
            disk_total = round(disk_used / (disk_pct / 100), 1) if disk_pct > 0 else 0.0
            disk_free = round(max(disk_total - disk_used, 0.0), 1)
            logger.info("beszel storage fallback: using dp=%.1f du=%.1f from stats", disk_pct, disk_used)
            disks = [BeszelDiskMetric(
                name="rootfs",
                mount="/",
                used_gb=disk_used,
                total_gb=disk_total,
                free_gb=disk_free,
                usage_percent=disk_pct,
            )]
        if not disks:
            logger.info("beszel storage unsupported: no disks/mounts in payload")
        return BeszelSystemSnapshot(
            source_status="online",
            host_name=str(
                details_payload.get("hostname")
                or details_payload.get("host")
                or details.get("hostname")
                or details.get("host")
                or expanded_system.get("name")
                or record.get("system_name")
                or record.get("name")
                or "unknown"
            ),
            agent_name="beszel-agent",
            cpu_usage_percent=self._as_float(stats.get("cpu")),
            cpu_cores=len(stats.get("cpus")) if isinstance(stats.get("cpus"), list) else 0,
            load_1=0.0,
            load_5=0.0,
            load_15=0.0,
            memory_used_gb=memory_used_gb,
            memory_total_gb=memory_total_gb,
            memory_available_gb=memory_available_gb,
            memory_usage_percent=self._as_float(stats.get("mp")),
            primary_interface=str(
                details_payload.get("primary_interface")
                or details_payload.get("interface")
                or details.get("primary_interface")
                or "primary"
            ),
            network_rx_mbps=self._network_value_to_mbps(network_pair[0] if len(network_pair) > 0 else 0),
            network_tx_mbps=self._network_value_to_mbps(network_pair[1] if len(network_pair) > 1 else 0),
            uptime_seconds=self._minutes_to_seconds(stats.get("d")),
            platform=str(
                details_payload.get("platform")
                or details_payload.get("os")
                or details.get("platform")
                or "unknown"
            ),
            kernel=str(details_payload.get("kernel") or details.get("kernel") or "unknown"),
            disks=disks,
        )
    async def _fetch_system_details(
        self,
        headers: dict[str, str],
        stats_record: dict[str, Any],
    ) -> dict[str, Any] | None:
        system_id = stats_record.get("system")
        params: dict[str, Any] = {
            "page": 1,
            "perPage": 100,
            "sort": "-created",
        }
        payload = await self._request_json(
            "GET",
            "/api/collections/system_details/records",
            headers=headers,
            params=params,
        )
        logger.info("beszel raw details payload: %s", payload)
        if not isinstance(payload, dict):
            logger.warning("beszel system_details mapping: payload is not a dict")
            return None
        items = payload.get("items")
        if isinstance(items, list) and items:
            if system_id:
                for item in items:
                    if isinstance(item, dict) and str(item.get("system") or "") == str(system_id):
                        return item
            return items[0]
        logger.warning("beszel system_details mapping: no matching detail records returned")
        return None
    @staticmethod
    def _normalize_container_state(item: dict[str, Any]) -> str:
        raw = " ".join(
            str(item.get(key) or "")
            for key in ("status", "state", "health", "health_status")
        ).lower()
        if "unhealthy" in raw or "degraded" in raw:
            return "unhealthy"
        if any(token in raw for token in ("running", "up", "healthy", "active")):
            return "running"
        if raw.strip():
            return "stopped"
        return "unknown"
    async def _build_auth_headers(self) -> dict[str, str] | None:
        admin_headers = await self._get_admin_auth_headers()
        if admin_headers:
            return admin_headers
        if self.settings.beszel_api_token:
            return {"Authorization": self.settings.beszel_api_token}
        return None
    async def _get_admin_auth_headers(self) -> dict[str, str] | None:
        if not self.settings.beszel_admin_email or not self.settings.beszel_admin_password:
            return None
        now = datetime.now(timezone.utc)
        if self._admin_jwt and self._admin_jwt_expires_at and now < self._admin_jwt_expires_at:
            return {"Authorization": self._admin_jwt}
        auth_payload = await self._request_json(
            "POST",
            "/api/collections/_superusers/auth-with-password",
            headers={"Content-Type": "application/json"},
            params=None,
        )
        if auth_payload is None:
            auth_payload = await self._request_json_with_body(
                "POST",
                "/api/collections/_superusers/auth-with-password",
                json_body={
                    "identity": self.settings.beszel_admin_email,
                    "password": self.settings.beszel_admin_password,
                },
            )
        if not isinstance(auth_payload, dict):
            logger.warning("beszel admin auth failed: no payload")
            return None
        token = auth_payload.get("token")
        if not token:
            logger.warning("beszel admin auth failed: token missing")
            return None
        self._admin_jwt = str(token)
        self._admin_jwt_expires_at = now + timedelta(minutes=30)
        logger.info("beszel admin auth succeeded")
        return {"Authorization": self._admin_jwt}
    async def _request_json_with_body(
        self,
        method: str,
        path: str,
        *,
        json_body: dict[str, Any],
    ) -> Any | None:
        if not self.base_url:
            return None
        import httpx
        url = f"{self.base_url}/{path.lstrip('/')}"
        try:
            async with httpx.AsyncClient(
                timeout=self.settings.request_timeout_seconds,
                trust_env=False,
            ) as client:
                response = await client.request(
                    method,
                    url,
                    json=json_body,
                    headers={"Content-Type": "application/json"},
                )
                response.raise_for_status()
                return response.json()
        except httpx.TimeoutException:
            logger.warning("beszel auth request timed out: %s %s", method, url)
        except httpx.HTTPStatusError as exc:
            logger.warning("beszel auth request failed with status %s for %s %s", exc.response.status_code, method, url)
            try:
                logger.info("beszel auth error payload: %s", exc.response.json())
            except ValueError:
                logger.info("beszel auth error text: %s", exc.response.text)
        except httpx.HTTPError as exc:
            logger.warning("beszel auth request error for %s %s: %s", method, url, exc)
        return None
    def _normalize_disks(self, raw_disks: Any) -> list[BeszelDiskMetric]:
        if isinstance(raw_disks, dict):
            raw_disks = [
                {"mount": key, **(value if isinstance(value, dict) else {"used": value})}
                for key, value in raw_disks.items()
            ]
        disks: list[BeszelDiskMetric] = []
        if not isinstance(raw_disks, list):
            return disks
        for item in raw_disks:
            if not isinstance(item, dict):
                continue
            total_gb = self._bytes_to_gb(item.get("total") or item.get("total_bytes"))
            used_gb = self._bytes_to_gb(item.get("used") or item.get("used_bytes"))
            free_gb = self._bytes_to_gb(item.get("free") or item.get("free_bytes"))
            usage_percent = self._as_float(item.get("usage_percent") or item.get("percent"))
            if not total_gb and used_gb and free_gb:
                total_gb = round(used_gb + free_gb, 1)
            disks.append(
                BeszelDiskMetric(
                    name=str(item.get("name") or item.get("device") or item.get("mount") or "disk"),
                    mount=str(item.get("mount") or item.get("path") or "/"),
                    used_gb=used_gb,
                    total_gb=total_gb,
                    free_gb=free_gb,
                    usage_percent=usage_percent,
                )
            )
        return disks
    @staticmethod
    def _coerce_mapping(value: Any) -> dict[str, Any]:
        return value if isinstance(value, dict) else {}
    @staticmethod
    def _as_float(value: Any) -> float:
        try:
            return round(float(value or 0), 1)
        except (TypeError, ValueError):
            return 0.0
    @staticmethod
    def _as_int(value: Any) -> int:
        try:
            return int(float(value or 0))
        except (TypeError, ValueError):
            return 0
    @classmethod
    def _bytes_to_gb(cls, value: Any) -> float:
        if value in (None, ""):
            return 0.0
        try:
            return round(float(value) / (1024 ** 3), 1)
        except (TypeError, ValueError):
            return 0.0
    @classmethod
    def _bytes_per_second_to_mbps(cls, value: Any) -> float:
        if value in (None, ""):
            return 0.0
        try:
            return round((float(value) * 8) / 1_000_000, 1)
        except (TypeError, ValueError):
            return 0.0
    @classmethod
    def _network_value_to_mbps(cls, value: Any) -> float:
        try:
            numeric = float(value or 0)
        except (TypeError, ValueError):
            return 0.0
        if numeric <= 0:
            return 0.0
        return round((numeric * 8) / 1_000_000, 1)
    @classmethod
    def _minutes_to_seconds(cls, value: Any) -> int:
        try:
            return int(float(value or 0) * 60)
        except (TypeError, ValueError):
            return 0
@@ -1,103 +0,0 @@
 from __future__ import annotations
 import logging
 from app.clients.beszel_client import BeszelClient
 from app.clients.base import BaseHTTPClient
 from app.config import Settings
 from app.models.sources import DockerContainerSummary, DockerSnapshot
 logger = logging.getLogger(__name__)
 class DockerProxyClient(BaseHTTPClient):
    def __init__(self, settings: Settings) -> None:
        super().__init__(settings, "docker-proxy", settings.docker_proxy_base_url)
        self.beszel_client = BeszelClient(settings)
    async def fetch_containers(self) -> DockerSnapshot:
        snapshot = DockerSnapshot()
        payload = await self._request_json("GET", "/containers/json", params={"all": "true"})
        if not isinstance(payload, list):
            logger.warning("docker proxy returned non-list payload: %s", payload)
            fallback = await self.beszel_client.fetch_container_snapshot()
            if fallback.source_status == "online":
                logger.info("docker proxy fallback to beszel containers succeeded")
                return fallback
            logger.warning(
                "docker integration unavailable: docker proxy unreachable and beszel container fallback returned no usable data"
            )
            return snapshot
        logger.info("docker proxy raw payload count: %s", len(payload))
        logger.info("docker proxy raw payload sample: %s", payload[:3])
        containers: list[DockerContainerSummary] = []
        running = 0
        stopped = 0
        unhealthy = 0
        for item in payload:
            if not isinstance(item, dict):
                continue
            state = self._normalize_state(item)
            if state == "running":
                running += 1
            elif state == "unhealthy":
                unhealthy += 1
            else:
                stopped += 1
            containers.append(
                DockerContainerSummary(
                    id=str(item.get("Id") or item.get("ID") or ""),
                    name=self._normalize_name(item.get("Names")),
                    state=state,
                    status_text=str(item.get("Status") or item.get("State") or "unknown"),
                    image=str(item.get("Image") or ""),
                    health=self._extract_health(item),
                )
            )
        normalized = DockerSnapshot(
            source_status="online",
            running=running,
            stopped=stopped,
            unhealthy=unhealthy,
            total=len(containers),
            containers=containers,
        )
        logger.info("docker proxy normalized snapshot: %s", normalized.model_dump())
        return normalized
    @staticmethod
    def _normalize_name(names: object) -> str:
        if isinstance(names, list) and names:
            return str(names[0]).lstrip("/")
        return "unknown"
    @classmethod
    def _normalize_state(cls, item: dict) -> str:
        status_text = str(item.get("Status") or "").lower()
        state = str(item.get("State") or "").lower()
        health = cls._extract_health(item)
        if health == "unhealthy" or "unhealthy" in status_text:
            return "unhealthy"
        if state == "running":
            return "running"
        if state:
            return "stopped"
        return "unknown"
    @staticmethod
    def _extract_health(item: dict) -> str | None:
        if isinstance(item.get("Health"), str):
            return str(item["Health"]).lower()
        if isinstance(item.get("State"), dict):
            health = item["State"].get("Health")
            if isinstance(health, dict):
                return str(health.get("Status") or "").lower() or None
        return None
@@ -1,83 +0,0 @@
 from __future__ import annotations
 from datetime import datetime, timezone
 import logging
 from time import perf_counter
 from app.clients.base import BaseHTTPClient
 from app.config import Settings
 from app.models.sources import HomeAssistantSnapshot
 logger = logging.getLogger(__name__)
 class HomeAssistantClient(BaseHTTPClient):
    def __init__(self, settings: Settings) -> None:
        super().__init__(settings, "home-assistant", settings.home_assistant_base_url)
    async def fetch_status(self) -> HomeAssistantSnapshot:
        snapshot = HomeAssistantSnapshot()
        if not self.base_url or not self.settings.home_assistant_token:
            logger.info("home assistant skipped: base URL or token missing")
            return snapshot
        headers = {
            "Authorization": f"Bearer {self.settings.home_assistant_token}",
            "Content-Type": "application/json",
        }
        started_at = perf_counter()
        api_info = await self._request_json("GET", "/api/", headers=headers)
        logger.info("home assistant raw /api/ response: %s", api_info)
        elapsed_ms = int((perf_counter() - started_at) * 1000)
        config = await self._request_json("GET", "/api/config", headers=headers)
        logger.info("home assistant raw /api/config response: %s", config)
        version = None
        if isinstance(config, dict):
            version = config.get("version")
        # Fetch entity states for widget counts
        lights_on = 0
        lights_total = 0
        climate_active = 0
        doors_open = 0
        alerts = 0
        try:
            states = await self._request_json("GET", "/api/states", headers=headers)
            if isinstance(states, list):
                for entity in states:
                    eid = entity.get("entity_id", "")
                    state = entity.get("state", "")
                    if eid.startswith("light."):
                        lights_total += 1
                        if state == "on":
                            lights_on += 1
                    elif eid.startswith("climate."):
                        if state not in ("off", "unavailable", "unknown"):
                            climate_active += 1
                    elif eid.startswith("binary_sensor.") and "door" in eid:
                        if state == "on":
                            doors_open += 1
                    elif eid.startswith("persistent_notification."):
                        if state == "notifying":
                            alerts += 1
        except Exception as exc:
            logger.warning("home assistant fetch states failed: %s", exc)
        normalized = HomeAssistantSnapshot(
            status="online",
            version=str(version) if version else None,
            response_time_ms=elapsed_ms,
            last_checked=datetime.now(timezone.utc),
            lights_on=lights_on,
            lights_total=lights_total,
            climate_active=climate_active,
            doors_open=doors_open,
            alerts=alerts,
        )
        logger.info("home assistant normalized snapshot: %s", normalized.model_dump())
        return normalized
@@ -1,45 +0,0 @@
 from __future__ import annotations
 import logging
 from app.clients.base import BaseHTTPClient
 from app.config import Settings
 from app.models.sources import ImmichSnapshot
 logger = logging.getLogger(__name__)
 class ImmichClient(BaseHTTPClient):
    def __init__(self, settings: Settings) -> None:
        super().__init__(settings, "immich", settings.immich_base_url)
    async def fetch_stats(self) -> ImmichSnapshot:
        snapshot = ImmichSnapshot()
        if not self.base_url or not self.settings.immich_api_key:
            logger.info("immich skipped: base URL or API key missing")
            return snapshot
        headers = {"x-api-key": self.settings.immich_api_key}
        try:
            data = await self._request_json("GET", "/api/server/statistics", headers=headers)
        except Exception as exc:
            logger.warning("immich fetch_stats failed: %s", exc)
            return snapshot
        if not isinstance(data, dict):
            logger.warning("immich unexpected response type: %s", type(data))
            return snapshot
        photos = int(data.get("photos", 0))
        videos = int(data.get("videos", 0))
        usage_bytes = int(data.get("usage", 0))
        usage_gb = round(usage_bytes / (1024 ** 3), 1)
        return ImmichSnapshot(
            source_status="online",
            photos=photos,
            videos=videos,
            storage_gb=usage_gb,
        )
@@ -1,79 +0,0 @@
 from __future__ import annotations
 import logging
 from app.clients.base import BaseHTTPClient
 from app.config import Settings
 from app.models.sources import ScrutinyDevice, ScrutinySnapshot
 logger = logging.getLogger(__name__)
 class ScrutinyClient(BaseHTTPClient):
    """
    Reads SMART disk health data from Scrutiny's /api/summary endpoint.
    No authentication required.
    """
    def __init__(self, settings: Settings) -> None:
        super().__init__(settings, "scrutiny", settings.scrutiny_base_url)
    async def fetch_summary(self) -> ScrutinySnapshot:
        snapshot = ScrutinySnapshot()
        if not self.base_url:
            logger.info("scrutiny skipped: base URL missing")
            return snapshot
        data = await self._request_json("GET", "/api/summary")
        if data is None:
            logger.warning("scrutiny: empty or failed response")
            return snapshot
        devices = self._parse_devices(data)
        failed = sum(1 for d in devices if d.status == "failed")
        overall: str = "online" if failed == 0 and len(devices) > 0 else ("offline" if failed > 0 else "offline")
        result = ScrutinySnapshot(
            source_status="online",
            devices=devices,
            overall_status=overall,
            failed_count=failed,
            total_count=len(devices),
        )
        logger.info("scrutiny summary: %s devices, %s failed", len(devices), failed)
        return result
    @staticmethod
    def _parse_devices(data: dict) -> list[ScrutinyDevice]:
        devices: list[ScrutinyDevice] = []
        summary: dict = (data.get("data") or {}).get("summary") or {}
        for device_path, device_data in summary.items():
            device_info: dict = device_data.get("device") or {}
            smart_data = device_data.get("smart") or []
            name = device_info.get("device_name") or device_path.split("/")[-1]
            model = device_info.get("model_name") or "Unknown"
            if isinstance(smart_data, dict):
                # smart is a dict keyed by timestamp strings; grab the most recent value
                latest_smart = smart_data[max(smart_data)] if smart_data else {}
            elif isinstance(smart_data, list):
                latest_smart = smart_data[-1] if smart_data else {}
            else:
                latest_smart = {}
            if not isinstance(latest_smart, dict):
                latest_smart = {}
            status_code = latest_smart.get("Status", -1)
            if status_code == 0:
                status = "passed"
            elif status_code > 0:
                status = "failed"
            else:
                status = "unknown"
            devices.append(ScrutinyDevice(name=name, model=model, status=status))
        return sorted(devices, key=lambda d: d.name)
@@ -1,190 +0,0 @@
 from __future__ import annotations
 import logging
 import re
 import httpx
 from app.clients.base import BaseHTTPClient
 from app.config import Settings
 from app.models.sources import UptimeKumaMonitor, UptimeKumaSnapshot
 METRIC_LINE_RE = re.compile(r'^(?P<name>[a-zA-Z_:][a-zA-Z0-9_:]*){(?P<labels>[^}]*)}s+(?P<value>.+)$')
 LABEL_RE = re.compile(r'(w+)="((?:[^"\\]|\\.)*)"')
 logger = logging.getLogger(__name__)
 class UptimeKumaClient(BaseHTTPClient):
    """
    Reads Uptime Kuma monitor status from the /metrics endpoint.
    Auth: once an API key exists in Uptime Kuma, username/password Basic Auth
    is permanently disabled. The correct format is HTTP Basic Auth with an
    empty username and the API key as the password: auth=("", api_key).
    """
    def __init__(self, settings: Settings) -> None:
        super().__init__(settings, "uptime-kuma", settings.uptime_kuma_base_url)
    async def fetch_monitors(self) -> UptimeKumaSnapshot:
        snapshot = UptimeKumaSnapshot()
        if not self.base_url:
            logger.info("uptime kuma skipped: no base URL configured")
            return snapshot
        raw_metrics: str | None = None
        # Primary: API key as Basic Auth password (empty username)
        if self.settings.uptime_kuma_api_key:
            raw_metrics = await self._request_metrics_with_mode(
                "api-key",
                auth=("", self.settings.uptime_kuma_api_key),
            )
        # Fallback: regular username/password (only works if no API keys exist)
        if raw_metrics is None and self.settings.uptime_kuma_username and self.settings.uptime_kuma_password:
            raw_metrics = await self._request_metrics_with_mode(
                "basic-user",
                auth=(self.settings.uptime_kuma_username, self.settings.uptime_kuma_password),
            )
        if raw_metrics is None and not (
            self.settings.uptime_kuma_api_key
            or (self.settings.uptime_kuma_username and self.settings.uptime_kuma_password)
        ):
            logger.info("uptime kuma skipped: no usable metrics auth configured")
            return snapshot
        if not raw_metrics:
            logger.warning("uptime kuma returned empty metrics payload or metrics auth failed")
            return snapshot
        logger.info("uptime kuma raw metrics first 40 lines: %s", raw_metrics.splitlines()[:40])
        monitors = self._parse_metrics(raw_metrics)
        up = sum(1 for monitor in monitors if monitor.status == "online")
        down = sum(1 for monitor in monitors if monitor.status == "offline")
        paused = sum(1 for monitor in monitors if monitor.status == "degraded")
        normalized = UptimeKumaSnapshot(
            source_status="online",
            monitors_up=up,
            monitors_down=down,
            monitors_paused=paused,
            total=len(monitors),
            monitors=monitors,
        )
        logger.info("uptime kuma normalized snapshot: %s", normalized.model_dump())
        return normalized
    async def _request_metrics_with_mode(
        self,
        mode: str,
        *,
        auth: tuple[str, str] | None = None,
    ) -> str | None:
        if not self.base_url:
            return None
        url = f"{self.base_url}/metrics"
        try:
            async with httpx.AsyncClient(
                timeout=self.settings.request_timeout_seconds,
                trust_env=False,
            ) as client:
                response = await client.request("GET", url, auth=auth)
            if response.status_code == 200 and response.text:
                logger.info("uptime kuma metrics auth succeeded via %s", mode)
                return response.text
            if response.status_code in (401, 403):
                logger.warning(
                    "uptime kuma metrics auth failed via %s with status %s",
                    mode,
                    response.status_code,
                )
                return None
        except httpx.TimeoutException:
            logger.warning("uptime kuma metrics request timed out via %s", mode)
        except httpx.HTTPError as exc:
            logger.warning("uptime kuma metrics request error via %s: %s", mode, exc)
        return None
    def _parse_metrics(self, payload: str) -> list[UptimeKumaMonitor]:
        status_by_id: dict[str, UptimeKumaMonitor] = {}
        for line in payload.splitlines():
            parsed = self._parse_metric_line(line)
            if parsed is None:
                continue
            metric_name, labels, raw_value = parsed
            monitor_id = labels.get("monitor_id") or labels.get("id") or labels.get("monitor") or labels.get("monitor_name")
            monitor_name = labels.get("monitor_name") or labels.get("name")
            if not monitor_id or not monitor_name:
                continue
            if monitor_id not in status_by_id:
                status_by_id[monitor_id] = UptimeKumaMonitor(
                    id=self._as_int(monitor_id),
                    name=monitor_name,
                )
            monitor = status_by_id[monitor_id]
            if metric_name == "monitor_status":
                status_code = self._as_int_from_float(raw_value)
                if status_code == 1:
                    monitor.status = "online"
                elif status_code == 3:
                    monitor.status = "degraded"
                else:
                    monitor.status = "offline"
            elif metric_name == "monitor_response_time":
                latency = self._as_float(raw_value)
                monitor.latency_ms = int(latency) if latency >= 0 else None
            elif metric_name == "monitor_uptime":
                duration = labels.get("duration", "")
                if duration == "24":
                    uptime = self._as_float(raw_value)
                    if 0.0 <= uptime <= 1.0:
                        monitor.uptime_24h = round(uptime * 100, 1)
        # Build synthetic heartbeat bar (20 segments) from uptime_24h
        for monitor in status_by_id.values():
            if not monitor.heartbeats:
                if monitor.uptime_24h >= 99.9:
                    monitor.heartbeats = [1] * 20
                elif monitor.uptime_24h <= 0.1:
                    monitor.heartbeats = [0] * 20
                else:
                    green_count = round(monitor.uptime_24h / 100 * 20)
                    monitor.heartbeats = [0] * (20 - green_count) + [1] * green_count
        return list(status_by_id.values())
    @staticmethod
    def _parse_metric_line(line: str) -> tuple[str, dict[str, str], str] | None:
        if not line or line.startswith("#"):
            return None
        match = METRIC_LINE_RE.match(line.strip())
        if not match:
            return None
        labels = {
            key: value.encode("utf-8").decode("unicode_escape")
            for key, value in LABEL_RE.findall(match.group("labels"))
        }
        return match.group("name"), labels, match.group("value")
    @staticmethod
    def _as_float(value: str) -> float:
        try:
            return float(value)
        except (ValueError, TypeError):
            return -1.0
    @staticmethod
    def _as_int(value: str) -> int:
        try:
            return int(value)
        except (ValueError, TypeError):
            return 0
    @staticmethod
    def _as_int_from_float(value: str) -> int:
        try:
            return int(float(value))
        except (ValueError, TypeError):
            return 0
@@ -1,79 +0,0 @@
 from __future__ import annotations
 import logging
 from functools import lru_cache
 from pathlib import Path
 from typing import Literal
 from pydantic import Field, HttpUrl
 from pydantic_settings import BaseSettings, SettingsConfigDict
 BACKEND_ROOT_DIR = Path(__file__).resolve().parents[1]
 ENV_FILE_PATH = BACKEND_ROOT_DIR / ".env"
 class Settings(BaseSettings):
    model_config = SettingsConfigDict(
        env_file=ENV_FILE_PATH,
        env_file_encoding="utf-8",
        case_sensitive=False,
        extra="ignore",
    )
    app_env: Literal["development", "production", "test"] = "development"
    app_host: str = "0.0.0.0"
    app_port: int = 8000
    app_log_level: Literal["DEBUG", "INFO", "WARNING", "ERROR", "CRITICAL"] = "INFO"
    app_timezone: str = "Europe/Berlin"
    app_name: str = "Homelab Dashboard API"
    app_version: str = "0.1.0"
    app_root_dir: Path = Path(__file__).resolve().parents[2]
    cors_allow_origins: list[str] = Field(default_factory=lambda: ["http://localhost:3000"])
    cache_ttl_overview_seconds: int = Field(default=20, ge=1)
    cache_ttl_system_seconds: int = Field(default=10, ge=1)
    cache_ttl_services_seconds: int = Field(default=15, ge=1)
    cache_ttl_storage_seconds: int = Field(default=30, ge=1)
    request_timeout_seconds: float = Field(default=5.0, gt=0)
    beszel_base_url: HttpUrl | None = None
    beszel_api_token: str | None = None
    beszel_admin_email: str | None = None
    beszel_admin_password: str | None = None
    docker_proxy_base_url: HttpUrl | None = None
    uptime_kuma_base_url: HttpUrl | None = None
    uptime_kuma_api_key: str | None = None
    uptime_kuma_username: str | None = None
    uptime_kuma_password: str | None = None
    home_assistant_base_url: HttpUrl | None = None
    home_assistant_token: str | None = None
    adguard_base_url: HttpUrl | None = None
    adguard_username: str | None = None
    adguard_password: str | None = None
    scrutiny_base_url: HttpUrl | None = None
    immich_base_url: HttpUrl | None = None
    immich_api_key: str | None = None
    backrest_base_url: HttpUrl | None = None
    backrest_username: str | None = None
    backrest_password: str | None = None
@lru_cache(maxsize=1)
 def get_settings() -> Settings:
    return Settings()
 def configure_logging(level: str) -> None:
    logging.basicConfig(
        level=getattr(logging, level.upper(), logging.INFO),
        format="%(asctime)s %(levelname)s %(name)s %(message)s",
    )
@@ -1,93 +0,0 @@
 from __future__ import annotations
 import logging
 from contextlib import asynccontextmanager
 from pathlib import Path
 from fastapi import FastAPI
 from fastapi.responses import FileResponse
 from fastapi.middleware.cors import CORSMiddleware
 from fastapi.staticfiles import StaticFiles
 from app.config import configure_logging, get_settings
 from app.routes.adguard import router as adguard_router
 from app.routes.backrest import router as backrest_router
 from app.routes.home_assistant import router as home_assistant_router
 from app.routes.immich import router as immich_router
 from app.routes.overview import router as overview_router
 from app.routes.scrutiny import router as scrutiny_router
 from app.routes.services import router as services_router
 from app.routes.storage import router as storage_router
 from app.routes.system import router as system_router
 from app.routes.uptime_kuma import router as uptime_kuma_router
 logger = logging.getLogger(__name__)
@asynccontextmanager
 async def lifespan(app: FastAPI):
    settings = get_settings()
    configure_logging(settings.app_log_level)
    logger.info("Starting %s v%s in %s mode", settings.app_name, settings.app_version, settings.app_env)
    logger.info(
        "Config loaded: HOME_ASSISTANT_BASE_URL=%s HOME_ASSISTANT_TOKEN_SET=%s BESZEL_BASE_URL=%s DOCKER_PROXY_BASE_URL=%s UPTIME_KUMA_BASE_URL=%s IMMICH_BASE_URL=%s BACKREST_BASE_URL=%s",
        bool(settings.home_assistant_base_url),
        bool(settings.home_assistant_token),
        bool(settings.beszel_base_url),
        bool(settings.docker_proxy_base_url),
        bool(settings.uptime_kuma_base_url),
        bool(settings.immich_base_url),
        bool(settings.backrest_base_url),
    )
    yield
    logger.info("Stopping %s", settings.app_name)
 settings = get_settings()
 app = FastAPI(
    title=settings.app_name,
    version=settings.app_version,
    lifespan=lifespan,
 )
 app.add_middleware(
    CORSMiddleware,
    allow_origins=settings.cors_allow_origins,
    allow_credentials=True,
    allow_methods=["GET"],
    allow_headers=["*"],
 )
 app.include_router(overview_router)
 app.include_router(system_router)
 app.include_router(services_router)
 app.include_router(storage_router)
 app.include_router(adguard_router)
 app.include_router(scrutiny_router)
 app.include_router(immich_router)
 app.include_router(backrest_router)
 app.include_router(home_assistant_router)
 app.include_router(uptime_kuma_router)
 assets_dir = settings.app_root_dir / "assets"
 dashboard_file = settings.app_root_dir / "dashboard.html"
 if assets_dir.exists():
    app.mount("/assets", StaticFiles(directory=assets_dir), name="assets")
@app.get("/health", tags=["health"])
 async def health() -> dict[str, str]:
    return {
        "status": "ok",
        "service": settings.app_name,
        "version": settings.app_version,
        "environment": settings.app_env,
    }
@app.get("/", include_in_schema=False)
 async def dashboard() -> FileResponse:
    return FileResponse(dashboard_file)
@@ -1 +0,0 @@
 """Pydantic models for API and domain data."""
@@ -1,23 +0,0 @@
 from __future__ import annotations
 from datetime import datetime
 from typing import Literal
 from pydantic import BaseModel, ConfigDict
 SourceStatus = Literal["online", "offline", "unsupported"]
 OverallStatus = Literal["online", "degraded", "offline"]
 HealthStatus = Literal["healthy", "warning", "offline"]
 DiskStatus = Literal["online", "warning", "critical", "offline"]
 ServiceKind = Literal["core", "service"]
 ServiceSource = Literal["home_assistant", "uptime_kuma", "docker", "manual"]
 DockerContainerState = Literal["running", "stopped", "unhealthy", "unknown"]
 class APIModel(BaseModel):
    model_config = ConfigDict(extra="ignore", populate_by_name=True)
 class TimestampedResponse(APIModel):
    generated_at: datetime
@@ -1,44 +0,0 @@
 from __future__ import annotations
 from app.models.common import APIModel, OverallStatus, SourceStatus, TimestampedResponse
 class OverviewServicesSummary(APIModel):
    online: int
    degraded: int
    offline: int
    total: int
 class OverviewDockerSummary(APIModel):
    running: int
    stopped: int
    unhealthy: int
    total: int
    source_status: SourceStatus
 class OverviewSystemSummary(APIModel):
    cpu_percent: float
    ram_percent: float
    root_storage_percent: float
    network_rx_mbps: float
    network_tx_mbps: float
    uptime_seconds: int
 class OverviewHomeAssistantSummary(APIModel):
    status: SourceStatus
    label: str
    version: str | None = None
    response_time_ms: int | None = None
    last_checked: str | None = None
 class OverviewResponse(TimestampedResponse):
    overall_status: OverallStatus
    refresh_hint_seconds: int
    services: OverviewServicesSummary
    docker: OverviewDockerSummary
    system: OverviewSystemSummary
    home_assistant: OverviewHomeAssistantSummary
@@ -1,52 +0,0 @@
 from __future__ import annotations
 from app.models.common import (
    APIModel,
    DockerContainerState,
    HealthStatus,
    OverallStatus,
    ServiceKind,
    ServiceSource,
    SourceStatus,
    TimestampedResponse,
 )
 class ServicesDockerSummary(APIModel):
    running: int
    stopped: int
    unhealthy: int
    total: int
    source_status: SourceStatus
 class ServicesUptimeKumaSummary(APIModel):
    monitors_up: int
    monitors_down: int
    monitors_paused: int
    total: int
    source_status: SourceStatus
 class ServicesSummary(APIModel):
    overall_status: OverallStatus
    docker: ServicesDockerSummary
    uptime_kuma: ServicesUptimeKumaSummary
 class ServiceItem(APIModel):
    id: str
    name: str
    kind: ServiceKind
    status: OverallStatus
    health: HealthStatus
    latency_ms: int | None = None
    docker_state: DockerContainerState
    url: str | None = None
    source: ServiceSource
    last_checked: str | None = None
 class ServicesResponse(TimestampedResponse):
    summary: ServicesSummary
    services: list[ServiceItem]
@@ -1,132 +0,0 @@
 from __future__ import annotations
 from datetime import datetime
 from pydantic import Field
 from app.models.common import APIModel, DockerContainerState, OverallStatus, SourceStatus
 class BeszelDiskMetric(APIModel):
    name: str
    mount: str
    used_gb: float
    total_gb: float
    free_gb: float
    usage_percent: float
 class BeszelSystemSnapshot(APIModel):
    source_name: str = "beszel"
    source_status: SourceStatus = "offline"
    host_name: str = "unknown"
    agent_name: str = "beszel-agent"
    cpu_usage_percent: float = 0.0
    cpu_cores: int = 0
    load_1: float = 0.0
    load_5: float = 0.0
    load_15: float = 0.0
    memory_used_gb: float = 0.0
    memory_total_gb: float = 0.0
    memory_available_gb: float = 0.0
    memory_usage_percent: float = 0.0
    primary_interface: str = "unknown"
    network_rx_mbps: float = 0.0
    network_tx_mbps: float = 0.0
    uptime_seconds: int = 0
    platform: str = "unknown"
    kernel: str = "unknown"
    disks: list[BeszelDiskMetric] = Field(default_factory=list)
 class DockerContainerSummary(APIModel):
    id: str
    name: str
    state: DockerContainerState
    status_text: str
    image: str
    health: str | None = None
 class DockerSnapshot(APIModel):
    source_name: str = "docker"
    source_status: SourceStatus = "offline"
    containers: list[DockerContainerSummary] = Field(default_factory=list)
    running: int = 0
    stopped: int = 0
    unhealthy: int = 0
    total: int = 0
 class UptimeKumaMonitor(APIModel):
    id: int
    name: str
    status: str = "unknown"  # "online" | "offline" | "degraded" | "unknown"
    uptime_24h: float = 0.0
    heartbeats: list[int] = Field(default_factory=list)  # 1=up, 0=down, last 20
 class UptimeKumaSnapshot(APIModel):
    source_name: str = "uptime_kuma"
    source_status: SourceStatus = "offline"
    monitors_up: int = 0
    monitors_down: int = 0
    monitors_paused: int = 0
    total: int = 0
    monitors: list[UptimeKumaMonitor] = Field(default_factory=list)
 class HomeAssistantSnapshot(APIModel):
    source_name: str = "home_assistant"
    status: SourceStatus = "offline"
    label: str = "Home Assistant"
    version: str | None = None
    response_time_ms: int | None = None
    last_checked: datetime | None = None
    lights_on: int = 0
    lights_total: int = 0
    climate_active: int = 0
    doors_open: int = 0
    alerts: int = 0
 class AdGuardSnapshot(APIModel):
    source_name: str = "adguard"
    source_status: SourceStatus = "offline"
    total_queries: int = 0
    blocked_queries: int = 0
    blocked_percent: float = 0.0
    avg_processing_ms: float = 0.0
 class ScrutinyDevice(APIModel):
    name: str
    model: str
    status: str = "unknown"  # "passed" | "failed" | "unknown"
    temperature: int | None = None
 class ScrutinySnapshot(APIModel):
    source_name: str = "scrutiny"
    source_status: SourceStatus = "offline"
    overall_status: str = "offline"
    devices: list[ScrutinyDevice] = Field(default_factory=list)
    failed_count: int = 0
    total_count: int = 0
 class ImmichSnapshot(APIModel):
    source_name: str = "immich"
    source_status: SourceStatus = "offline"
    photos: int = 0
    videos: int = 0
    storage_gb: float = 0.0
 class BackrestSnapshot(APIModel):
    source_name: str = "backrest"
    source_status: SourceStatus = "offline"
    repo_count: int = 0
    last_backup_age_hours: float | None = None
    last_backup_status: str = "unknown"  # "ok" | "error" | "unknown"
    error_count: int = 0
@@ -1,27 +0,0 @@
 from __future__ import annotations
 from app.models.common import APIModel, DiskStatus, OverallStatus, SourceStatus, TimestampedResponse
 class StorageSummary(APIModel):
    overall_status: OverallStatus
    source_status: SourceStatus
    critical_disks: int
    warning_disks: int
    total_disks: int
 class StorageDisk(APIModel):
    name: str
    mount: str
    used_gb: float
    total_gb: float
    free_gb: float
    usage_percent: float
    status: DiskStatus
 class StorageResponse(TimestampedResponse):
    summary: StorageSummary
    root: StorageDisk
    disks: list[StorageDisk]
@@ -1,45 +0,0 @@
 from __future__ import annotations
 from app.models.common import APIModel, SourceStatus, TimestampedResponse
 class SystemSource(APIModel):
    name: str
    status: SourceStatus
    host_name: str
    agent_name: str
 class SystemCPU(APIModel):
    usage_percent: float
    cores: int
    load_1: float
    load_5: float
    load_15: float
 class SystemMemory(APIModel):
    used_gb: float
    total_gb: float
    available_gb: float
    usage_percent: float
 class SystemNetwork(APIModel):
    primary_interface: str
    rx_mbps: float
    tx_mbps: float
 class SystemHost(APIModel):
    uptime_seconds: int
    platform: str
    kernel: str
 class SystemResponse(TimestampedResponse):
    source: SystemSource
    cpu: SystemCPU
    memory: SystemMemory
    network: SystemNetwork
    host: SystemHost
@@ -1 +0,0 @@
 """API route modules."""
@@ -1,16 +0,0 @@
 from __future__ import annotations
 from fastapi import APIRouter, Depends
 from app.models.sources import AdGuardSnapshot
 from app.services.aggregator import AggregatorService, get_aggregator_service
 router = APIRouter(prefix="/api", tags=["adguard"])
@router.get("/adguard", response_model=AdGuardSnapshot)
 async def get_adguard(
    aggregator: AggregatorService = Depends(get_aggregator_service),
 ) -> AdGuardSnapshot:
    return await aggregator.get_adguard()
@@ -1,16 +0,0 @@
 from __future__ import annotations
 from fastapi import APIRouter, Depends
 from app.models.sources import BackrestSnapshot
 from app.services.aggregator import AggregatorService, get_aggregator_service
 router = APIRouter(prefix="/api", tags=["backrest"])
@router.get("/backrest", response_model=BackrestSnapshot)
 async def get_backrest(
    aggregator: AggregatorService = Depends(get_aggregator_service),
 ) -> BackrestSnapshot:
    return await aggregator.get_backrest()
@@ -1,16 +0,0 @@
 from __future__ import annotations
 from fastapi import APIRouter, Depends
 from app.models.sources import HomeAssistantSnapshot
 from app.services.aggregator import AggregatorService, get_aggregator_service
 router = APIRouter(prefix="/api", tags=["home_assistant"])
@router.get("/home_assistant", response_model=HomeAssistantSnapshot)
 async def get_home_assistant(
    aggregator: AggregatorService = Depends(get_aggregator_service),
 ) -> HomeAssistantSnapshot:
    return await aggregator.get_home_assistant()
@@ -1,16 +0,0 @@
 from __future__ import annotations
 from fastapi import APIRouter, Depends
 from app.models.sources import ImmichSnapshot
 from app.services.aggregator import AggregatorService, get_aggregator_service
 router = APIRouter(prefix="/api", tags=["immich"])
@router.get("/immich", response_model=ImmichSnapshot)
 async def get_immich(
    aggregator: AggregatorService = Depends(get_aggregator_service),
 ) -> ImmichSnapshot:
    return await aggregator.get_immich()
@@ -1,16 +0,0 @@
 from __future__ import annotations
 from fastapi import APIRouter, Depends
 from app.models.overview import OverviewResponse
 from app.services.aggregator import AggregatorService, get_aggregator_service
 router = APIRouter(prefix="/api", tags=["overview"])
@router.get("/overview", response_model=OverviewResponse)
 async def get_overview(
    aggregator: AggregatorService = Depends(get_aggregator_service),
 ) -> OverviewResponse:
    return await aggregator.get_overview()
@@ -1,16 +0,0 @@
 from __future__ import annotations
 from fastapi import APIRouter, Depends
 from app.models.sources import ScrutinySnapshot
 from app.services.aggregator import AggregatorService, get_aggregator_service
 router = APIRouter(prefix="/api", tags=["scrutiny"])
@router.get("/scrutiny", response_model=ScrutinySnapshot)
 async def get_scrutiny(
    aggregator: AggregatorService = Depends(get_aggregator_service),
 ) -> ScrutinySnapshot:
    return await aggregator.get_scrutiny()
@@ -1,16 +0,0 @@
 from __future__ import annotations
 from fastapi import APIRouter, Depends
 from app.models.services import ServicesResponse
 from app.services.aggregator import AggregatorService, get_aggregator_service
 router = APIRouter(prefix="/api", tags=["services"])
@router.get("/services", response_model=ServicesResponse)
 async def get_services(
    aggregator: AggregatorService = Depends(get_aggregator_service),
 ) -> ServicesResponse:
    return await aggregator.get_services()
@@ -1,16 +0,0 @@
 from __future__ import annotations
 from fastapi import APIRouter, Depends
 from app.models.storage import StorageResponse
 from app.services.aggregator import AggregatorService, get_aggregator_service
 router = APIRouter(prefix="/api", tags=["storage"])
@router.get("/storage", response_model=StorageResponse)
 async def get_storage(
    aggregator: AggregatorService = Depends(get_aggregator_service),
 ) -> StorageResponse:
    return await aggregator.get_storage()
@@ -1,16 +0,0 @@
 from __future__ import annotations
 from fastapi import APIRouter, Depends
 from app.models.system import SystemResponse
 from app.services.aggregator import AggregatorService, get_aggregator_service
 router = APIRouter(prefix="/api", tags=["system"])
@router.get("/system", response_model=SystemResponse)
 async def get_system(
    aggregator: AggregatorService = Depends(get_aggregator_service),
 ) -> SystemResponse:
    return await aggregator.get_system()
@@ -1,16 +0,0 @@
 from __future__ import annotations
 from fastapi import APIRouter, Depends
 from app.models.sources import UptimeKumaSnapshot
 from app.services.aggregator import AggregatorService, get_aggregator_service
 router = APIRouter(prefix="/api", tags=["uptime_kuma"])
@router.get("/uptime_kuma", response_model=UptimeKumaSnapshot)
 async def get_uptime_kuma(
    aggregator: AggregatorService = Depends(get_aggregator_service),
 ) -> UptimeKumaSnapshot:
    return await aggregator.get_uptime_kuma()
@@ -1 +0,0 @@
 """Application services."""
@@ -1,429 +0,0 @@
 from __future__ import annotations
 import asyncio
 import logging
 from datetime import datetime, timezone
 from functools import lru_cache
 from typing import Iterable
 from app.clients.adguard_client import AdGuardClient
 from app.clients.backrest_client import BackrestClient
 from app.clients.beszel_client import BeszelClient
 from app.clients.docker_proxy_client import DockerProxyClient
 from app.clients.home_assistant_client import HomeAssistantClient
 from app.clients.immich_client import ImmichClient
 from app.clients.scrutiny_client import ScrutinyClient
 from app.clients.uptime_kuma_client import UptimeKumaClient
 from app.config import Settings, get_settings
 from app.models.common import DiskStatus, HealthStatus, OverallStatus
 from app.models.overview import (
    OverviewDockerSummary,
    OverviewHomeAssistantSummary,
    OverviewResponse,
    OverviewServicesSummary,
    OverviewSystemSummary,
 )
 from app.models.services import (
    ServiceItem,
    ServicesDockerSummary,
    ServicesResponse,
    ServicesSummary,
    ServicesUptimeKumaSummary,
 )
 from app.models.sources import (
    AdGuardSnapshot,
    BackrestSnapshot,
    BeszelDiskMetric,
    BeszelSystemSnapshot,
    DockerSnapshot,
    HomeAssistantSnapshot,
    ImmichSnapshot,
    ScrutinySnapshot,
    UptimeKumaMonitor,
    UptimeKumaSnapshot,
 )
 from app.models.storage import StorageDisk, StorageResponse, StorageSummary
 from app.models.system import (
    SystemCPU,
    SystemHost,
    SystemMemory,
    SystemNetwork,
    SystemResponse,
    SystemSource,
 )
 from app.services.cache import TTLCacheService
 logger = logging.getLogger(__name__)
 class AggregatorService:
    def __init__(
        self,
        settings: Settings,
        cache: TTLCacheService,
        beszel_client: BeszelClient,
        docker_client: DockerProxyClient,
        uptime_kuma_client: UptimeKumaClient,
        home_assistant_client: HomeAssistantClient,
        adguard_client: AdGuardClient,
        scrutiny_client: ScrutinyClient,
        immich_client: ImmichClient,
        backrest_client: BackrestClient,
    ) -> None:
        self.settings = settings
        self.cache = cache
        self.beszel_client = beszel_client
        self.docker_client = docker_client
        self.uptime_kuma_client = uptime_kuma_client
        self.home_assistant_client = home_assistant_client
        self.adguard_client = adguard_client
        self.scrutiny_client = scrutiny_client
        self.immich_client = immich_client
        self.backrest_client = backrest_client
    async def get_system(self) -> SystemResponse:
        return await self.cache.get_or_load(
            "system",
            self.settings.cache_ttl_system_seconds,
            self._build_system,
        )
    async def get_storage(self) -> StorageResponse:
        return await self.cache.get_or_load(
            "storage",
            self.settings.cache_ttl_storage_seconds,
            self._build_storage,
        )
    async def get_services(self) -> ServicesResponse:
        return await self.cache.get_or_load(
            "services",
            self.settings.cache_ttl_services_seconds,
            self._build_services,
        )
    async def get_adguard(self) -> AdGuardSnapshot:
        return await self.cache.get_or_load(
            "adguard",
            self.settings.cache_ttl_services_seconds,
            self.adguard_client.fetch_stats,
        )
    async def get_scrutiny(self) -> ScrutinySnapshot:
        return await self.cache.get_or_load(
            "scrutiny",
            self.settings.cache_ttl_storage_seconds,
            self.scrutiny_client.fetch_summary,
        )
    async def get_immich(self) -> ImmichSnapshot:
        return await self.cache.get_or_load(
            "immich",
            self.settings.cache_ttl_services_seconds,
            self.immich_client.fetch_stats,
        )
    async def get_backrest(self) -> BackrestSnapshot:
        return await self.cache.get_or_load(
            "backrest",
            self.settings.cache_ttl_services_seconds,
            self.backrest_client.fetch_status,
        )
    async def get_home_assistant(self) -> HomeAssistantSnapshot:
        return await self.cache.get_or_load(
            "home_assistant",
            self.settings.cache_ttl_services_seconds,
            self.home_assistant_client.fetch_status,
        )
    async def get_uptime_kuma(self) -> UptimeKumaSnapshot:
        return await self.cache.get_or_load(
            "uptime_kuma",
            self.settings.cache_ttl_services_seconds,
            self.uptime_kuma_client.fetch_monitors,
        )
    async def get_overview(self) -> OverviewResponse:
        return await self.cache.get_or_load(
            "overview",
            self.settings.cache_ttl_overview_seconds,
            self._build_overview,
        )
    async def _build_system(self) -> SystemResponse:
        snapshot = await self.beszel_client.fetch_system_snapshot()
        now = datetime.now(timezone.utc)
        return SystemResponse(
            generated_at=now,
            source=SystemSource(
                name=snapshot.source_name,
                status=snapshot.source_status,
                host_name=snapshot.host_name,
                agent_name=snapshot.agent_name,
            ),
            cpu=SystemCPU(
                usage_percent=snapshot.cpu_usage_percent,
                cores=snapshot.cpu_cores,
                load_1=snapshot.load_1,
                load_5=snapshot.load_5,
                load_15=snapshot.load_15,
            ),
            memory=SystemMemory(
                used_gb=snapshot.memory_used_gb,
                total_gb=snapshot.memory_total_gb,
                available_gb=snapshot.memory_available_gb,
                usage_percent=snapshot.memory_usage_percent,
            ),
            network=SystemNetwork(
                primary_interface=snapshot.primary_interface,
                rx_mbps=snapshot.network_rx_mbps,
                tx_mbps=snapshot.network_tx_mbps,
            ),
            host=SystemHost(
                uptime_seconds=snapshot.uptime_seconds,
                platform=snapshot.platform,
                kernel=snapshot.kernel,
            ),
        )
    async def _build_storage(self) -> StorageResponse:
        snapshot = await self.beszel_client.fetch_system_snapshot()
        now = datetime.now(timezone.utc)
        disks = [self._map_disk(d, snapshot.source_status) for d in snapshot.disks]
        storage_source_status = snapshot.source_status
        if snapshot.source_status == "online" and not disks:
            storage_source_status = "unsupported"
        if disks:
            root = next((d for d in disks if d.mount == "/"), disks[0])
        else:
            root = StorageDisk(
                name="rootfs",
                mount="/",
                used_gb=0.0,
                total_gb=0.0,
                free_gb=0.0,
                usage_percent=0.0,
                status="offline" if snapshot.source_status == "offline" else "online",
            )
        critical_count = sum(1 for d in disks if d.status == "critical")
        warning_count = sum(1 for d in disks if d.status == "warning")
        overall_status: OverallStatus = (
            "offline" if snapshot.source_status == "offline"
            else ("degraded" if critical_count or warning_count else "online")
        )
        return StorageResponse(
            generated_at=now,
            summary=StorageSummary(
                overall_status=overall_status,
                source_status=storage_source_status,
                critical_disks=critical_count,
                warning_disks=warning_count,
                total_disks=len(disks),
            ),
            root=root,
            disks=disks,
        )
    async def _build_services(self) -> ServicesResponse:
        docker_snap, uk_snap = await asyncio.gather(
            self.docker_client.fetch_containers(),
            self.uptime_kuma_client.fetch_monitors(),
        )
        now = datetime.now(timezone.utc)
        monitor_by_name = {
            self._normalize_identifier(m.name): m for m in uk_snap.monitors
        }
        docker_by_name = {
            self._normalize_identifier(c.name): c for c in docker_snap.containers
        }
        items: list[ServiceItem] = []
        merged_names = sorted(set(docker_by_name) | set(monitor_by_name))
        for norm in merged_names:
            container = docker_by_name.get(norm)
            monitor = monitor_by_name.get(norm)
            status = self._resolve_overall_status(
                container.state if container else "unknown", monitor
            )
            items.append(ServiceItem(
                id=norm,
                name=monitor.name if monitor else container.name,
                kind="service",
                status=status,
                health=self._status_to_health(status),
                latency_ms=monitor.latency_ms if monitor else None,
                docker_state=container.state if container else "unknown",
                url=None,
                source="uptime_kuma" if monitor else "docker",
                last_checked=now.isoformat(),
            ))
        statuses = [i.status for i in items]
        overall = self._aggregate_statuses(statuses)
        return ServicesResponse(
            generated_at=now,
            summary=ServicesSummary(
                overall_status=overall,
                docker=ServicesDockerSummary(
                    running=docker_snap.running,
                    stopped=docker_snap.stopped,
                    unhealthy=docker_snap.unhealthy,
                    total=docker_snap.total,
                    source_status=docker_snap.source_status,
                ),
                uptime_kuma=ServicesUptimeKumaSummary(
                    monitors_up=uk_snap.monitors_up,
                    monitors_down=uk_snap.monitors_down,
                    monitors_paused=uk_snap.monitors_paused,
                    total=uk_snap.total,
                    source_status=uk_snap.source_status,
                ),
            ),
            services=items,
        )
    async def _build_overview(self) -> OverviewResponse:
        system_snap, docker_snap, uk_snap, ha_snap = await asyncio.gather(
            self.beszel_client.fetch_system_snapshot(),
            self.docker_client.fetch_containers(),
            self.uptime_kuma_client.fetch_monitors(),
            self.home_assistant_client.fetch_status(),
        )
        now = datetime.now(timezone.utc)
        statuses: list[OverallStatus] = []
        for container in docker_snap.containers:
            name_lower = self._normalize_identifier(container.name)
            monitor = next(
                (m for m in uk_snap.monitors if self._normalize_identifier(m.name) == name_lower),
                None,
            )
            statuses.append(self._resolve_overall_status(container.state, monitor))
        overall = self._aggregate_statuses(statuses)
        return OverviewResponse(
            generated_at=now,
            overall_status=overall,
            refresh_hint_seconds=self.settings.cache_ttl_overview_seconds,
            services=OverviewServicesSummary(
                online=sum(1 for s in statuses if s == "online"),
                degraded=sum(1 for s in statuses if s == "degraded"),
                offline=sum(1 for s in statuses if s == "offline"),
                total=len(statuses),
            ),
            docker=OverviewDockerSummary(
                running=docker_snap.running,
                stopped=docker_snap.stopped,
                unhealthy=docker_snap.unhealthy,
                total=docker_snap.total,
                source_status=docker_snap.source_status,
            ),
            system=OverviewSystemSummary(
                cpu_percent=system_snap.cpu_usage_percent,
                ram_percent=system_snap.memory_usage_percent,
                root_storage_percent=system_snap.disks[0].usage_percent if system_snap.disks else 0.0,
                network_rx_mbps=system_snap.network_rx_mbps,
                network_tx_mbps=system_snap.network_tx_mbps,
                uptime_seconds=system_snap.uptime_seconds,
            ),
            home_assistant=OverviewHomeAssistantSummary(
                status=ha_snap.status,
                label=ha_snap.label,
                version=ha_snap.version,
                response_time_ms=ha_snap.response_time_ms,
                last_checked=ha_snap.last_checked.isoformat() if ha_snap.last_checked else None,
            ),
        )
    @staticmethod
    def _normalize_identifier(value: str) -> str:
        return "".join(ch.lower() for ch in value if ch.isalnum())
    @staticmethod
    def _resolve_overall_status(
        docker_state: str,
        monitor: UptimeKumaMonitor | None,
    ) -> OverallStatus:
        if monitor:
            if monitor.status == "offline":
                return "offline"
            if monitor.status == "degraded":
                return "degraded"
        if docker_state == "unhealthy":
            return "degraded"
        if docker_state == "stopped":
            return "offline"
        if docker_state == "running":
            return "online"
        return "offline" if monitor is None else monitor.status
    @staticmethod
    def _status_to_health(status: OverallStatus) -> HealthStatus:
        if status == "online":
            return "healthy"
        if status == "degraded":
            return "warning"
        return "offline"
    def _map_disk(self, disk: BeszelDiskMetric, source_status: str) -> StorageDisk:
        if source_status == "offline":
            status: DiskStatus = "offline"
        elif disk.usage_percent >= 90:
            status = "critical"
        elif disk.usage_percent >= 75:
            status = "warning"
        else:
            status = "online"
        return StorageDisk(
            name=disk.name,
            mount=disk.mount,
            used_gb=disk.used_gb,
            total_gb=disk.total_gb,
            free_gb=disk.free_gb,
            usage_percent=disk.usage_percent,
            status=status,
        )
    @staticmethod
    def _aggregate_statuses(statuses: Iterable[OverallStatus]) -> OverallStatus:
        normalized = list(statuses)
        if not normalized:
            return "offline"
        if any(s == "offline" for s in normalized):
            return "degraded" if any(s == "online" for s in normalized) else "offline"
        if any(s in {"degraded", "warning", "critical"} for s in normalized):
            return "degraded"
        return "online"
@lru_cache(maxsize=1)
 def get_cache_service() -> TTLCacheService:
    return TTLCacheService()
@lru_cache(maxsize=1)
 def get_aggregator_service() -> AggregatorService:
    settings = get_settings()
    cache = get_cache_service()
    return AggregatorService(
        settings=settings,
        cache=cache,
        beszel_client=BeszelClient(settings),
        docker_client=DockerProxyClient(settings),
        uptime_kuma_client=UptimeKumaClient(settings),
        home_assistant_client=HomeAssistantClient(settings),
        adguard_client=AdGuardClient(settings),
        scrutiny_client=ScrutinyClient(settings),
        immich_client=ImmichClient(settings),
        backrest_client=BackrestClient(settings),
    )
@@ -1,60 +0,0 @@
 from __future__ import annotations
 import asyncio
 import logging
 from dataclasses import dataclass
 from datetime import datetime, timedelta, timezone
 from typing import Awaitable, Callable, Generic, TypeVar
 logger = logging.getLogger(__name__)
 T = TypeVar("T")
@dataclass
 class CacheEntry(Generic[T]):
    value: T
    expires_at: datetime
    updated_at: datetime
 class TTLCacheService:
    def __init__(self) -> None:
        self._entries: dict[str, CacheEntry[object]] = {}
        self._locks: dict[str, asyncio.Lock] = {}
    async def get_or_load(
        self,
        key: str,
        ttl_seconds: int,
        loader: Callable[[], Awaitable[T]],
    ) -> T:
        entry = self._entries.get(key)
        if entry and not self._is_expired(entry):
            return entry.value  # type: ignore[return-value]
        lock = self._locks.setdefault(key, asyncio.Lock())
        async with lock:
            entry = self._entries.get(key)
            if entry and not self._is_expired(entry):
                return entry.value  # type: ignore[return-value]
            try:
                value = await loader()
                now = datetime.now(timezone.utc)
                self._entries[key] = CacheEntry(
                    value=value,
                    expires_at=now + timedelta(seconds=ttl_seconds),
                    updated_at=now,
                )
                return value
            except Exception as exc:
                if entry:
                    logger.warning("Cache loader failed for %s, serving stale data: %s", key, exc)
                    return entry.value  # type: ignore[return-value]
                raise
    @staticmethod
    def _is_expired(entry: CacheEntry[object]) -> bool:
        return datetime.now(timezone.utc) >= entry.expires_at
@@ -1,4 +0,0 @@
 fastapi==0.116.1
 uvicorn[standard]==0.35.0
 pydantic-settings==2.10.1
 httpx==0.28.1
@@ -1,955 +0,0 @@
 <!DOCTYPE html>
 <html lang="de">
 <head>
 <meta charset="UTF-8">
 <meta name="viewport" content="width=device-width, initial-scale=1.0">
 <title>KalliLab Control Panel</title>
 <link href="https://fonts.googleapis.com/css2?family=Orbitron:wght@400;600;700&family=Share+Tech+Mono&family=Exo+2:wght@300;400;600&display=swap" rel="stylesheet">
 <style>
  :root {
    --bg: #060b09;
    --bg2: #0a1210;
    --card: rgba(8, 18, 15, 0.88);
    --card-border: rgba(0, 220, 140, 0.18);
    --card-hover: rgba(0, 220, 140, 0.28);
    --teal: #00dc8c;
    --teal-dim: #009e65;
    --teal-bright: #00ffaa;
    --teal-glow: rgba(0, 220, 140, 0.4);
    --text: #b8d4cc;
    --text-dim: #5a8a7a;
    --text-bright: #d8f0e8;
    --clr-warn: #ff4466;
    --red: #ff4466;
    --yellow: #ffcc44;
    --blue: #44aaff;
    --graph: #00cc88;
    --font-display: 'Orbitron', monospace;
    --font-mono: 'Share Tech Mono', monospace;
    --font-body: 'Exo 2', sans-serif;
  }
  * { margin: 0; padding: 0; box-sizing: border-box; }
  body {
    background: var(--bg);
    color: var(--text);
    font-family: var(--font-body);
    min-height: 100vh;
    overflow-x: hidden;
    position: relative;
  }
  body::before {
    content: '';
    position: fixed;
    inset: 0;
    background-image:
      linear-gradient(rgba(0, 220, 140, 0.025) 1px, transparent 1px),
      linear-gradient(90deg, rgba(0, 220, 140, 0.025) 1px, transparent 1px);
    background-size: 40px 40px;
    z-index: 0;
    pointer-events: none;
  }
  @keyframes scanline {
    0% { top: -5%; }
    100% { top: 105%; }
  }
  .scanline {
    position: fixed;
    left: 0; right: 0;
    height: 2px;
    background: linear-gradient(90deg, transparent, rgba(0,220,140,0.06), rgba(0,220,140,0.10), rgba(0,220,140,0.06), transparent);
    z-index: 1;
    animation: scanline 8s linear infinite;
    pointer-events: none;
  }
  .wrapper {
    position: relative;
    z-index: 2;
    max-width: 1340px;
    margin: 0 auto;
    padding: 0 10px 32px;
  }
  .header {
    display: flex;
    align-items: center;
    justify-content: space-between;
    padding: 10px 0 8px;
    border-bottom: 1px solid var(--card-border);
    margin-bottom: 10px;
    gap: 12px;
  }
  .header-logo { display: flex; align-items: center; gap: 10px; }
  .logo-text {
    font-family: var(--font-display);
    font-size: 16px;
    font-weight: 700;
    color: var(--teal-bright);
    text-shadow: 0 0 20px var(--teal-glow);
    letter-spacing: 2px;
  }
  .logo-sub {
    font-family: var(--font-mono);
    font-size: 9px;
    color: var(--text-dim);
    letter-spacing: 2px;
    text-transform: uppercase;
  }
  .header-center { display: flex; flex-direction: column; align-items: center; gap: 2px; }
  .overall-status { font-family: var(--font-mono); font-size: 10px; letter-spacing: 2px; color: var(--teal-dim); }
  .status-indicator {
    display: flex; align-items: center; gap: 6px;
    font-family: var(--font-display); font-size: 11px;
    color: var(--teal-bright); text-shadow: 0 0 10px var(--teal-glow);
  }
  .status-dot-main { width: 8px; height: 8px; border-radius: 50%; background: var(--teal); box-shadow: 0 0 8px var(--teal-glow); }
  .header-right { display: flex; flex-direction: column; align-items: flex-end; gap: 2px; }
  .clock {
    font-family: var(--font-display); font-size: 24px; font-weight: 700;
    color: var(--teal-bright); text-shadow: 0 0 20px var(--teal-glow), 0 0 40px rgba(0,220,140,0.2);
    letter-spacing: 2px;
  }
  .date-str { font-family: var(--font-mono); font-size: 10px; color: var(--text-dim); text-align: right; }
  #last-updated { font-family: var(--font-mono); font-size: 9px; color: var(--text-dim); text-align: right; }
  .section-header {
    display: flex; align-items: center; gap: 8px; margin-bottom: 6px;
    font-family: var(--font-display); font-size: 8px; font-weight: 600;
    letter-spacing: 3px; text-transform: uppercase; color: var(--teal-dim);
  }
  .section-header::after { content: ''; flex: 1; height: 1px; background: linear-gradient(90deg, var(--card-border), transparent); }
  .widget-row { display: grid; gap: 8px; margin-bottom: 8px; }
  .row-5 { grid-template-columns: repeat(5, 1fr); }
  .row-4 { grid-template-columns: repeat(4, 1fr); }
  .row-3 { grid-template-columns: repeat(3, 1fr); }
  .row-2 { grid-template-columns: repeat(2, 1fr); }
  .row-2-1 { grid-template-columns: 2fr 1fr; }
  .row-1-2 { grid-template-columns: 1fr 2fr; }
  .row-3-2 { grid-template-columns: 3fr 2fr; }
  .card {
    background: rgba(6, 14, 11, 0.78);
    border: 1px solid var(--card-border);
    border-radius: 8px;
    padding: 8px 10px;
    transition: border-color 0.2s, box-shadow 0.2s;
    backdrop-filter: blur(14px) saturate(1.4);
    -webkit-backdrop-filter: blur(14px) saturate(1.4);
  }
  .card:hover { border-color: rgba(0,220,140,0.32); box-shadow: 0 0 16px rgba(0,220,140,0.07), inset 0 0 20px rgba(0,220,140,0.02); }
  .card-title {
    font-family: var(--font-display); font-size: 8px; font-weight: 600;
    letter-spacing: 2px; text-transform: uppercase; color: var(--teal-dim);
    margin-bottom: 6px; display: flex; align-items: center; justify-content: space-between; gap: 6px;
  }
  .card-title-left { display: flex; align-items: center; gap: 6px; }
  .card-title .dot { width: 5px; height: 5px; border-radius: 50%; background: var(--teal); box-shadow: 0 0 5px var(--teal-glow); flex-shrink: 0; }
  .stats-grid { display: flex; justify-content: space-around; gap: 6px; flex-wrap: wrap; }
  .stat-block { text-align: center; min-width: 40px; }
  .stat-num { font-family: var(--font-display); font-size: 17px; font-weight: 700; color: var(--teal-bright); text-shadow: 0 0 10px var(--teal-glow); line-height: 1.1; }
  .stat-num.dim { color: var(--teal-dim); text-shadow: none; font-size: 14px; }
  .stat-num.warn { color: var(--yellow); text-shadow: 0 0 10px rgba(255,204,68,0.4); }
  .stat-num.danger { color: var(--red); text-shadow: 0 0 10px rgba(255,68,102,0.4); }
  .stat-num.blue { color: var(--blue); text-shadow: 0 0 10px rgba(68,170,255,0.4); }
  .stat-label { font-family: var(--font-mono); font-size: 8px; color: var(--text-dim); letter-spacing: 1px; text-transform: uppercase; margin-top: 1px; }
  .status-pill { font-family: var(--font-mono); font-size: 7px; letter-spacing: 1px; padding: 1px 5px; border-radius: 3px; font-weight: 700; }
  .pill-online { background: rgba(0,220,140,0.12); color: var(--teal); border: 1px solid rgba(0,220,140,0.3); }
  .pill-offline { background: rgba(255,68,102,0.1); color: var(--red); border: 1px solid rgba(255,68,102,0.25); }
  .pill-degraded { background: rgba(255,204,68,0.1); color: var(--yellow); border: 1px solid rgba(255,204,68,0.25); }
  .progress-wrap { margin-top: 5px; }
  .progress-label { display: flex; justify-content: space-between; font-family: var(--font-mono); font-size: 9px; color: var(--text-dim); margin-bottom: 2px; }
  .progress-bar { height: 3px; background: rgba(0,220,140,0.1); border-radius: 2px; overflow: hidden; }
  .progress-fill { height: 100%; background: linear-gradient(90deg, var(--teal-dim), var(--teal-bright)); border-radius: 2px; box-shadow: 0 0 5px var(--teal-glow); transition: width 1s ease; }
  .progress-fill.warn { background: linear-gradient(90deg, #cc8800, var(--yellow)); }
  .progress-fill.danger { background: linear-gradient(90deg, #cc2244, var(--red)); }
  .service-header { display: flex; align-items: center; gap: 7px; margin-bottom: 7px; }
  .service-icon { width: 24px; height: 24px; border-radius: 5px; display: flex; align-items: center; justify-content: center; font-size: 14px; flex-shrink: 0; }
  .service-name { font-family: var(--font-display); font-size: 9px; font-weight: 600; color: var(--text-bright); letter-spacing: 1px; flex: 1; }
  .service-version { font-family: var(--font-mono); font-size: 8px; color: var(--text-dim); }
  .sys-grid { display: grid; grid-template-columns: 1fr 1fr; gap: 1px 10px; font-family: var(--font-mono); font-size: 10px; }
  .sys-row { display: flex; justify-content: space-between; padding: 1px 0; }
  .sys-key { color: var(--text-dim); }
  .sys-val { color: var(--teal); }
  .disk-header { display: flex; justify-content: space-between; align-items: baseline; margin-bottom: 3px; }
  .disk-name { font-family: var(--font-display); font-size: 9px; color: var(--text-bright); letter-spacing: 1px; }
  .disk-usage { font-family: var(--font-mono); font-size: 9px; color: var(--teal); }
  .disk-sub { font-family: var(--font-mono); font-size: 8px; color: var(--text-dim); margin-bottom: 4px; }
  .scrutiny-row { display: flex; align-items: center; gap: 6px; padding: 2px 0; font-family: var(--font-mono); font-size: 9px; border-bottom: 1px solid rgba(0,220,140,0.05); }
  .scrutiny-row:last-child { border-bottom: none; }
  .disk-icon { font-size: 10px; font-weight: bold; width: 12px; text-align: center; }
  .disk-ok { color: var(--teal); }
  .disk-fail { color: var(--red); }
  .disk-unk { color: var(--text-dim); }
  .disk-name-col { flex: 1; color: var(--text-bright); min-width: 0; overflow: hidden; text-overflow: ellipsis; white-space: nowrap; }
  .disk-model { color: var(--text-dim); font-size: 8px; max-width: 90px; overflow: hidden; text-overflow: ellipsis; white-space: nowrap; }
  .disk-temp { color: var(--teal-dim); font-size: 8px; white-space: nowrap; }
  .scrutiny-offline { font-family: var(--font-mono); font-size: 9px; color: var(--text-dim); padding: 4px 0; }
  .uk-monitor-row { display: flex; align-items: center; gap: 6px; margin-bottom: 3px; }
  .uk-monitor-name { font-family: var(--font-mono); font-size: 8px; color: var(--text-dim); min-width: 70px; max-width: 90px; overflow: hidden; text-overflow: ellipsis; white-space: nowrap; }
  .uk-bar { display: flex; gap: 1px; flex: 1; }
  .hb-seg { height: 7px; flex: 1; border-radius: 1px; }
  .hb-up { background: var(--teal); box-shadow: 0 0 3px var(--teal-glow); opacity: 0.85; }
  .hb-down { background: var(--red); box-shadow: 0 0 3px rgba(255,68,102,0.4); opacity: 0.85; }
  .uk-down-name { display: block; font-family: var(--font-mono); font-size: 8px; color: var(--red); padding: 1px 0; }
  .status-dot { display: inline-block; width: 7px; height: 7px; border-radius: 50%; flex-shrink: 0; }
  .dot-ok { background: var(--teal); box-shadow: 0 0 5px var(--teal-glow); }
  .dot-err { background: var(--red); box-shadow: 0 0 5px rgba(255,68,102,0.4); }
  .dot-unk { background: var(--text-dim); }
  .adguard-bar-wrap { margin-top: 5px; }
  .adguard-bar { height: 3px; background: rgba(0,220,140,0.1); border-radius: 2px; overflow: hidden; position: relative; }
  .adguard-bar-fill { height: 100%; background: linear-gradient(90deg, var(--teal-dim), var(--teal-bright)); border-radius: 2px; box-shadow: 0 0 5px var(--teal-glow); width: 0%; transition: width 1s ease; }
  .net-health-grid { display: grid; grid-template-columns: 1fr 1fr; gap: 8px; }
  #quick-access-grid { display: grid; grid-template-columns: repeat(auto-fill, minmax(100px, 1fr)); gap: 6px; }
  .quick-tile { display: flex; flex-direction: column; align-items: center; gap: 4px; padding: 8px 6px 7px; background: rgba(6, 14, 11, 0.72); border: 1px solid var(--card-border); border-radius: 7px; cursor: pointer; transition: all 0.18s; text-decoration: none; color: var(--text); backdrop-filter: blur(14px); -webkit-backdrop-filter: blur(14px); }
  .quick-tile:hover { border-color: rgba(0,220,140,0.4); background: rgba(0,220,140,0.05); transform: translateY(-2px); box-shadow: 0 4px 18px rgba(0,220,140,0.10); }
  .quick-tile-icon { font-size: 18px; line-height: 1; }
  .quick-tile-label { font-family: var(--font-mono); font-size: 9px; color: var(--text-dim); text-align: center; line-height: 1.2; }
  .quick-tile:hover .quick-tile-label { color: var(--teal); }
  .docker-row { display: flex; gap: 6px; font-family: var(--font-mono); font-size: 9px; margin-top: 4px; flex-wrap: wrap; }
  .docker-chip { padding: 2px 6px; border-radius: 3px; background: rgba(0,220,140,0.07); border: 1px solid rgba(0,220,140,0.15); color: var(--teal-dim); }
  .docker-chip.running { color: var(--teal); border-color: rgba(0,220,140,0.3); }
  .docker-chip.stopped { color: var(--yellow); border-color: rgba(255,204,68,0.3); background: rgba(255,204,68,0.06); }
  .docker-chip.unhealthy { color: var(--red); border-color: rgba(255,68,102,0.3); background: rgba(255,68,102,0.06); }
  @media (max-width: 1100px) {
    .row-5 { grid-template-columns: repeat(3, 1fr); }
    .row-4 { grid-template-columns: repeat(2, 1fr); }
  }
  @media (max-width: 780px) {
    .row-5, .row-4, .row-3 { grid-template-columns: repeat(2, 1fr); }
    .row-2, .row-2-1, .row-1-2, .row-3-2 { grid-template-columns: 1fr; }
    .net-health-grid { grid-template-columns: 1fr; }
    #quick-access-grid { grid-template-columns: repeat(auto-fill, minmax(80px, 1fr)); }
  }
  /* Density / reference lock overrides */
  .wrapper { max-width: 1640px; padding: 8px 12px 20px; }
  .header { padding: 10px 0 10px; margin-bottom: 8px; gap: 16px; }
  .logo-text { font-size: 18px; letter-spacing: 2px; }
  .logo-sub, .overall-status, .date-str, #last-updated { font-size: 10px; }
  .clock { font-size: 46px; }
  .section-header { margin-bottom: 5px; font-size: 9px; letter-spacing: 3px; }
  .widget-row { gap: 6px; margin-bottom: 6px; }
  .row-5 { grid-template-columns: repeat(5, minmax(0, 1fr)); }
  .card {
    max-height: 120px;
    min-height: 118px;
    height: 118px;
    padding: 8px 10px 8px;
    border-radius: 10px;
    background: linear-gradient(180deg, rgba(7, 17, 14, 0.84), rgba(5, 11, 9, 0.72));
    box-shadow: inset 0 1px 0 rgba(255,255,255,0.03), 0 10px 28px rgba(0,0,0,0.22), 0 0 18px rgba(0,220,140,0.05);
    overflow: hidden;
  }
  .card-title { margin-bottom: 6px; min-height: 26px; }
  .card-title-left { gap: 7px; }
  .card-title .dot { width: 6px; height: 6px; }
  .stats-grid {
    display: grid;
    grid-auto-flow: column;
    grid-auto-columns: minmax(0, 1fr);
    align-items: end;
    justify-content: stretch;
    gap: 10px;
    flex-wrap: nowrap;
  }
  .stat-block {
    min-width: 0;
    text-align: center;
    display: flex;
    flex-direction: column;
    align-items: center;
    justify-content: center;
    gap: 2px;
  }
  .stat-num {
    font-size: 22px;
    line-height: 0.95;
    color: var(--teal-bright);
    text-shadow: 0 0 12px var(--teal-glow);
  }
  .stat-num.dim { font-size: 18px; color: var(--text-bright); }
  .stat-label { font-size: 8px; margin-top: 2px; }
  #cpu-percent, #ram-percent, #net-rx, #uptime-days, #docker-running { font-size: 30px; }
  .service-icon {
    width: 28px;
    height: 28px;
    border-radius: 8px;
    position: relative;
    display: inline-flex;
    align-items: center;
    justify-content: center;
    color: var(--icon-color, var(--teal-bright));
    background:
      radial-gradient(circle at 30% 30%, rgba(255,255,255,0.16), transparent 45%),
      linear-gradient(180deg, rgba(16, 36, 29, 0.96), rgba(7, 14, 11, 0.92));
    border: 1px solid rgba(255,255,255,0.06);
    box-shadow:
      inset 0 0 0 1px rgba(255,255,255,0.02),
      0 0 16px rgba(0,220,140,0.08);
  }
  .service-icon::after {
    content: "";
    position: absolute;
    inset: 0;
    border-radius: inherit;
    box-shadow: inset 0 0 14px rgba(0,0,0,0.18);
    pointer-events: none;
  }
  .icon-glyph {
    width: 15px;
    height: 15px;
    display: block;
    position: relative;
    color: inherit;
    opacity: 0.96;
  }
  .icon-cpu { --icon-color: #82ffbf; }
  .icon-memory { --icon-color: #98ffbf; }
  .icon-network { --icon-color: #7dc8ff; }
  .icon-host { --icon-color: #95ffbf; }
  .icon-docker { --icon-color: #81ffc8; }
  .icon-storage { --icon-color: #7effb6; }
  .icon-matrix { --icon-color: #7fc9ff; }
  .icon-scrutiny { --icon-color: #7effb0; }
  .icon-ha { --icon-color: #8ea6ff; }
  .icon-kuma { --icon-color: #89ffaf; }
  .icon-immich { --icon-color: #ffd84f; }
  .icon-backrest { --icon-color: #74d7ff; }
  .icon-adguard { --icon-color: #66f0ba; }
  .icon-services { --icon-color: #8affbe; }
  .glyph-cpu {
    border: 1.6px solid currentColor;
    border-radius: 3px;
  }
  .glyph-cpu::before {
    content: "";
    position: absolute;
    inset: 3px;
    border: 1.4px solid currentColor;
    border-radius: 2px;
    opacity: 0.92;
  }
  .glyph-cpu::after {
    content: "";
    position: absolute;
    inset: -3px;
    background:
      linear-gradient(currentColor,currentColor) 2px 1px / 1px 3px no-repeat,
      linear-gradient(currentColor,currentColor) 7px 1px / 1px 3px no-repeat,
      linear-gradient(currentColor,currentColor) 12px 1px / 1px 3px no-repeat,
      linear-gradient(currentColor,currentColor) 2px calc(100% - 1px) / 1px 3px no-repeat,
      linear-gradient(currentColor,currentColor) 7px calc(100% - 1px) / 1px 3px no-repeat,
      linear-gradient(currentColor,currentColor) 12px calc(100% - 1px) / 1px 3px no-repeat,
      linear-gradient(currentColor,currentColor) 1px 2px / 3px 1px no-repeat,
      linear-gradient(currentColor,currentColor) 1px 7px / 3px 1px no-repeat,
      linear-gradient(currentColor,currentColor) calc(100% - 1px) 2px / 3px 1px no-repeat,
      linear-gradient(currentColor,currentColor) calc(100% - 1px) 7px / 3px 1px no-repeat;
    opacity: 0.78;
  }
  .glyph-memory {
    background:
      linear-gradient(currentColor,currentColor) 2px 9px / 2px 4px no-repeat,
      linear-gradient(currentColor,currentColor) 6px 6px / 2px 7px no-repeat,
      linear-gradient(currentColor,currentColor) 10px 3px / 2px 10px no-repeat;
  }
  .glyph-memory::before {
    content: "";
    position: absolute;
    inset: 1px;
    border: 1.4px solid rgba(152,255,191,0.34);
    border-radius: 3px;
  }
  .glyph-network {
    background:
      radial-gradient(circle at 2px 11px, currentColor 0 2px, transparent 2.4px),
      radial-gradient(circle at 13px 11px, currentColor 0 2px, transparent 2.4px),
      radial-gradient(circle at 7.5px 3px, currentColor 0 2px, transparent 2.4px),
      linear-gradient(currentColor,currentColor) 7px 4px / 1.4px 7px no-repeat,
      linear-gradient(32deg, transparent 44%, currentColor 45% 55%, transparent 56%) 2px 5px / 10px 7px no-repeat,
      linear-gradient(-32deg, transparent 44%, currentColor 45% 55%, transparent 56%) 4px 5px / 10px 7px no-repeat;
  }
  .glyph-host {
    border: 1.6px solid currentColor;
    border-radius: 3px;
  }
  .glyph-host::before {
    content: "";
    position: absolute;
    left: 3px;
    right: 3px;
    bottom: -2px;
    height: 1.6px;
    background: currentColor;
  }
  .glyph-host::after {
    content: "";
    position: absolute;
    left: 5px;
    right: 5px;
    bottom: -5px;
    height: 1.6px;
    background: currentColor;
    border-radius: 999px;
  }
  .glyph-docker {
    background:
      linear-gradient(currentColor,currentColor) 1px 3px / 4px 4px no-repeat,
      linear-gradient(currentColor,currentColor) 6px 3px / 4px 4px no-repeat,
      linear-gradient(currentColor,currentColor) 11px 3px / 4px 4px no-repeat,
      linear-gradient(currentColor,currentColor) 6px 8px / 4px 4px no-repeat,
      linear-gradient(currentColor,currentColor) 1px 12px / 14px 1.5px no-repeat;
    border-radius: 3px;
  }
  .glyph-storage {
    background:
      linear-gradient(currentColor,currentColor) 1px 5px / 13px 1.6px no-repeat,
      linear-gradient(currentColor,currentColor) 1px 8px / 13px 1.6px no-repeat,
      linear-gradient(currentColor,currentColor) 1px 11px / 13px 1.6px no-repeat;
  }
  .glyph-storage::before {
    content: "";
    position: absolute;
    inset: 1px 1px 2px;
    border: 1.4px solid rgba(126,255,182,0.36);
    border-radius: 4px;
  }
  .glyph-matrix {
    background:
      linear-gradient(currentColor,currentColor) 1px 1px / 5px 5px no-repeat,
      linear-gradient(currentColor,currentColor) 9px 1px / 5px 5px no-repeat,
      linear-gradient(currentColor,currentColor) 1px 9px / 5px 5px no-repeat,
      linear-gradient(currentColor,currentColor) 9px 9px / 5px 5px no-repeat;
    opacity: 0.95;
  }
  .glyph-scrutiny {
    border: 1.6px solid currentColor;
    border-radius: 50%;
  }
  .glyph-scrutiny::before {
    content: "";
    position: absolute;
    inset: 3px;
    border: 1.4px solid currentColor;
    border-radius: 50%;
  }
  .glyph-scrutiny::after {
    content: "";
    position: absolute;
    left: 7px;
    top: 1px;
    width: 1.4px;
    height: 13px;
    background: currentColor;
    box-shadow: -6px 6px 0 -5px currentColor, 6px 6px 0 -5px currentColor;
    opacity: 0.9;
  }
  .glyph-home {
    background:
      linear-gradient(-35deg, transparent 45%, currentColor 46% 56%, transparent 57%) 0 1px / 8px 7px no-repeat,
      linear-gradient(35deg, transparent 45%, currentColor 46% 56%, transparent 57%) 7px 1px / 8px 7px no-repeat,
      linear-gradient(currentColor,currentColor) 3px 7px / 9px 6px no-repeat;
  }
  .glyph-kuma {
    background:
      linear-gradient(currentColor,currentColor) 1px 8px / 3px 1.5px no-repeat,
      linear-gradient(55deg, transparent 43%, currentColor 44% 56%, transparent 57%) 3px 6px / 4px 5px no-repeat,
      linear-gradient(-55deg, transparent 43%, currentColor 44% 56%, transparent 57%) 6px 4px / 4px 7px no-repeat,
      linear-gradient(55deg, transparent 43%, currentColor 44% 56%, transparent 57%) 9px 6px / 4px 5px no-repeat,
      linear-gradient(currentColor,currentColor) 12px 8px / 3px 1.5px no-repeat;
  }
  .glyph-image {
    border: 1.5px solid currentColor;
    border-radius: 3px;
  }
  .glyph-image::before {
    content: "";
    position: absolute;
    left: 2px;
    right: 2px;
    bottom: 2px;
    height: 5px;
    background:
      linear-gradient(140deg, transparent 35%, currentColor 36% 48%, transparent 49%) 0 0 / 8px 5px no-repeat,
      linear-gradient(45deg, transparent 32%, currentColor 33% 45%, transparent 46%) 5px 0 / 8px 5px no-repeat;
  }
  .glyph-image::after {
    content: "";
    position: absolute;
    right: 2px;
    top: 2px;
    width: 3px;
    height: 3px;
    border-radius: 50%;
    background: currentColor;
  }
  .glyph-backrest {
    border: 1.5px solid currentColor;
    border-radius: 3px;
  }
  .glyph-backrest::before {
    content: "";
    position: absolute;
    left: 2px;
    right: 2px;
    top: 3px;
    height: 2px;
    background: currentColor;
    box-shadow: 0 4px 0 currentColor;
  }
  .glyph-backrest::after {
    content: "";
    position: absolute;
    left: 5px;
    right: 5px;
    bottom: -2px;
    height: 1.5px;
    background: currentColor;
  }
  .glyph-shield {
    background:
      linear-gradient(currentColor,currentColor) 7px 2px / 1.8px 9px no-repeat;
    clip-path: polygon(50% 0%, 88% 16%, 88% 50%, 50% 100%, 12% 50%, 12% 16%);
    background-color: transparent;
    border: 1.5px solid currentColor;
  }
  .glyph-services {
    background:
      radial-gradient(circle at 2px 7px, currentColor 0 2px, transparent 2.4px),
      radial-gradient(circle at 13px 2px, currentColor 0 2px, transparent 2.4px),
      radial-gradient(circle at 13px 12px, currentColor 0 2px, transparent 2.4px),
      linear-gradient(currentColor,currentColor) 4px 6px / 7px 1.4px no-repeat,
      linear-gradient(currentColor,currentColor) 10px 4px / 1.4px 6px no-repeat;
  }
  .service-name { font-size: 10px; letter-spacing: 1.4px; }
  .status-pill {
    width: 10px;
    height: 10px;
    min-width: 10px;
    border-radius: 999px;
    padding: 0;
    font-size: 0;
    border: none;
    display: inline-flex;
    align-items: center;
    justify-content: center;
    box-shadow: 0 0 12px rgba(0,0,0,0.18);
  }
  .pill-online { box-shadow: 0 0 10px rgba(0,220,140,0.32); }
  .pill-degraded { box-shadow: 0 0 10px rgba(255,204,68,0.28); }
  .pill-offline { box-shadow: 0 0 10px rgba(255,68,102,0.28); }
  .progress-wrap {
    display: flex;
    flex-direction: column;
    gap: 4px;
    margin-top: 6px;
  }
  .progress-meta {
    display: flex;
    justify-content: space-between;
    gap: 8px;
    font-family: var(--font-mono);
    font-size: 8px;
    color: var(--text-dim);
    text-transform: uppercase;
    letter-spacing: 0.8px;
  }
  .progress-bar { height: 4px; border-radius: 999px; background: rgba(0,220,140,0.08); }
  .mini-graph {
    display: flex;
    align-items: end;
    gap: 3px;
    height: 16px;
  }
  .mini-bar {
    flex: 1;
    min-width: 0;
    border-radius: 2px 2px 0 0;
    background: linear-gradient(180deg, rgba(127,255,199,0.9), rgba(0,220,140,0.22));
    box-shadow: 0 0 8px rgba(0,220,140,0.12);
  }
  .mini-bar.warn { background: linear-gradient(180deg, rgba(255,204,68,0.95), rgba(255,204,68,0.24)); }
  .mini-bar.danger { background: linear-gradient(180deg, rgba(255,68,102,0.95), rgba(255,68,102,0.24)); }
  .mini-bar.blue { background: linear-gradient(180deg, rgba(68,170,255,0.95), rgba(68,170,255,0.24)); }
  .services-grid {
    display: grid;
    grid-template-columns: repeat(3, minmax(0, 1fr));
    gap: 6px;
    margin-bottom: 6px;
  }
  .service-card { display: flex; flex-direction: column; justify-content: space-between; }
  .service-footer {
    display: flex;
    align-items: center;
    justify-content: space-between;
    gap: 8px;
    margin-top: 4px;
    font-family: var(--font-mono);
    font-size: 8px;
    color: var(--text-dim);
    text-transform: uppercase;
  }
  .micro-strip { display: flex; gap: 3px; min-height: 8px; align-items: center; }
  .micro-seg { width: 7px; height: 7px; border-radius: 999px; background: rgba(255,255,255,0.1); }
  .micro-seg.up { background: var(--teal); box-shadow: 0 0 8px rgba(0,220,140,0.22); }
  .micro-seg.down { background: var(--red); box-shadow: 0 0 8px rgba(255,68,102,0.22); }
  .micro-seg.warn { background: var(--yellow); box-shadow: 0 0 8px rgba(255,204,68,0.22); }
  #quick-access-grid {
    display: grid;
    grid-template-columns: repeat(6, minmax(0, 1fr));
    gap: 6px;
  }
  .quick-tile {
    min-height: 74px;
    padding: 8px 10px;
    border-radius: 10px;
    display: flex;
    align-items: center;
    justify-content: flex-start;
    gap: 9px;
    text-align: left;
  }
  .quick-tile-icon {
    width: 28px;
    height: 28px;
    display: inline-flex;
    align-items: center;
    justify-content: center;
    border-radius: 8px;
    font-size: 11px;
    font-family: var(--font-display);
    background: linear-gradient(135deg, var(--teal-bright), var(--teal));
    color: #04110d;
  }
  .quick-tile-copy {
    display: flex;
    flex-direction: column;
    gap: 2px;
    min-width: 0;
  }
  .quick-tile-label { font-size: 9px; color: var(--text-bright); }
  .quick-tile-meta {
    font-family: var(--font-mono);
    font-size: 7px;
    color: var(--text-dim);
    text-transform: uppercase;
    letter-spacing: 1px;
  }
  .quick-tile-icon-ha { background: linear-gradient(135deg, #6cb8ff, #9e8dff); }
  .quick-tile-icon-komodo { background: linear-gradient(135deg, #00e2b3, #68c7ff); }
  .quick-tile-icon-kuma { background: linear-gradient(135deg, #00d98a, #7fffc7); }
  .quick-tile-icon-beszel { background: linear-gradient(135deg, #53f1b4, #a9ffd8); }
  .quick-tile-icon-firefly { background: linear-gradient(135deg, #ffb54d, #ffd66f); }
  .quick-tile-icon-paperless { background: linear-gradient(135deg, #89ffdc, #46cfa0); }
  .quick-tile-icon-mealie { background: linear-gradient(135deg, #7ec2ff, #f6ff8c); }
  .quick-tile-icon-immich { background: linear-gradient(135deg, #ffd15c, #ff9d4d); }
  .quick-tile-icon-gitea { background: linear-gradient(135deg, #9cff87, #3cd675); }
  .quick-tile-icon-code { background: linear-gradient(135deg, #5cc4ff, #5f92ff); }
  .quick-tile-icon-files { background: linear-gradient(135deg, #6ec8ff, #9be1ff); }
  .quick-tile-icon-backrest { background: linear-gradient(135deg, #8bb4ff, #6fd8ff); }
  .quick-tile-icon-vault { background: linear-gradient(135deg, #ffe173, #ffaa5c); }
  .quick-tile-icon-adguard { background: linear-gradient(135deg, #57ffaa, #57d8ff); }
  .quick-tile-icon-traefik { background: linear-gradient(135deg, #8f9fff, #6cc4ff); }
  .quick-tile-icon-scrutiny { background: linear-gradient(135deg, #9cffcf, #61ffaa); }
  .storage-layout {
    display: grid;
    grid-template-columns: repeat(3, minmax(0, 1fr));
    gap: 6px;
    margin-bottom: 6px;
    align-items: stretch;
  }
  .storage-layout > div:first-child { display: contents; }
  #storage-grid { display: contents; }
  .scrutiny-row { padding: 1px 0; border-bottom: none; gap: 6px; font-size: 8px; }
  .scrutiny-offline { font-size: 8px; padding: 2px 0; }
  .scrutiny-strip,
  .storage-strip {
    display: flex;
    gap: 4px;
    flex-wrap: wrap;
    overflow: hidden;
    margin-top: 4px;
  }
  .scrutiny-chip,
  .storage-chip {
    font-family: var(--font-mono);
    font-size: 7px;
    color: var(--text-dim);
    padding: 2px 5px;
    border-radius: 999px;
    border: 1px solid rgba(0,220,140,0.12);
    background: rgba(255,255,255,0.02);
    white-space: nowrap;
  }
  .scrutiny-chip.ok { color: var(--teal-bright); border-color: rgba(0,220,140,0.22); }
  .scrutiny-chip.fail { color: var(--red); border-color: rgba(255,68,102,0.24); }
  .scrutiny-chip.unk { color: var(--text-dim); border-color: rgba(255,255,255,0.08); }
  .scrutiny-chip strong {
    color: currentColor;
    font-family: var(--font-display);
    font-size: 7px;
    letter-spacing: 0.6px;
    margin-right: 4px;
  }
  .storage-matrix-card .stats-grid { margin-bottom: 6px; }
  .storage-matrix-card .service-footer { margin-top: auto; }
  .system-card .card-title,
  .service-card .card-title,
  .storage-card .card-title { align-items: center; }
  @media (max-width: 1360px) {
    .services-grid { grid-template-columns: repeat(3, minmax(0, 1fr)); }
    #quick-access-grid { grid-template-columns: repeat(4, minmax(0, 1fr)); }
    .row-5 { grid-template-columns: repeat(3, minmax(0, 1fr)); }
  }
  @media (max-width: 960px) {
    .services-grid, #quick-access-grid, #storage-grid, .storage-layout, .row-5 { grid-template-columns: 1fr; }
    .card { max-height: none; }
    .stats-grid { grid-auto-flow: row; grid-template-columns: repeat(2, minmax(0, 1fr)); }
  }
 </style>
 </head>
 <body>
 <div class="scanline"></div>
 <div class="wrapper">
  <!-- HEADER -->
  <header class="header" id="header">
    <div class="header-logo">
      <div>
        <div class="logo-text">KALLILAB</div>
        <div class="logo-sub">Control Panel</div>
      </div>
    </div>
    <div class="header-center">
      <div class="overall-status">SYSTEM STATUS</div>
      <div class="status-indicator">
        <span class="status-dot-main" id="overall-dot"></span>
        <span id="overall-status-text">LOADING</span>
      </div>
    </div>
    <div class="header-right">
      <div class="clock" id="clock">--:--:--</div>
      <div class="date-str" id="date-str">---</div>
      <div id="last-updated">never updated</div>
    </div>
  </header>
  <!-- SYSTEM STATS ROW -->
  <div class="section-header"><span>&#x2B21;</span> SYSTEM</div>
  <div class="widget-row row-5" id="stats-row" style="margin-bottom:8px;">
    <div class="card service-card system-card">
      <div class="card-title">
        <div class="card-title-left"><span class="service-icon icon-cpu"><span class="icon-glyph glyph-cpu"></span></span><span class="service-name">CPU</span></div>
        <span class="status-pill pill-online">OK</span>
      </div>
      <div class="stats-grid">
        <div class="stat-block"><div class="stat-num" id="cpu-percent">&#x2014;</div><div class="stat-label">Usage %</div></div>
        <div class="stat-block"><div class="stat-num dim" id="cpu-cores">&#x2014;</div><div class="stat-label">Cores</div></div>
        <div class="stat-block"><div class="stat-num dim" id="cpu-load">&#x2014;</div><div class="stat-label">Load 5m</div></div>
      </div>
      <div class="progress-wrap">
        <div class="progress-meta"><span>Compute Load</span><span id="cpu-progress-label">0%</span></div>
        <div class="progress-bar"><div class="progress-fill" id="cpu-progress"></div></div>
        <div class="mini-graph" id="cpu-graph"></div>
      </div>
    </div>
    <div class="card service-card system-card">
      <div class="card-title">
        <div class="card-title-left"><span class="service-icon icon-memory"><span class="icon-glyph glyph-memory"></span></span><span class="service-name">MEMORY</span></div>
        <span class="status-pill pill-online">OK</span>
      </div>
      <div class="stats-grid">
        <div class="stat-block"><div class="stat-num" id="ram-percent">&#x2014;</div><div class="stat-label">Usage %</div></div>
        <div class="stat-block"><div class="stat-num dim" id="ram-used">&#x2014;</div><div class="stat-label">Used GB</div></div>
        <div class="stat-block"><div class="stat-num dim" id="ram-total">&#x2014;</div><div class="stat-label">Total GB</div></div>
      </div>
      <div class="progress-wrap">
        <div class="progress-meta"><span>Memory Pool</span><span id="ram-progress-label">0%</span></div>
        <div class="progress-bar"><div class="progress-fill" id="ram-progress"></div></div>
        <div class="mini-graph" id="ram-graph"></div>
      </div>
    </div>
    <div class="card service-card system-card">
      <div class="card-title">
        <div class="card-title-left"><span class="service-icon icon-network"><span class="icon-glyph glyph-network"></span></span><span class="service-name">NETWORK</span></div>
        <span class="status-pill pill-online">OK</span>
      </div>
      <div class="stats-grid">
        <div class="stat-block"><div class="stat-num" id="net-rx">&#x2014;</div><div class="stat-label">&#x2193; Mbps</div></div>
        <div class="stat-block"><div class="stat-num" id="net-tx">&#x2014;</div><div class="stat-label">&#x2191; Mbps</div></div>
      </div>
      <div class="progress-wrap">
        <div class="progress-meta"><span>Traffic Flow</span><span id="net-progress-label">0 Mbps</span></div>
        <div class="progress-bar"><div class="progress-fill" id="net-progress"></div></div>
        <div class="mini-graph" id="net-graph"></div>
      </div>
    </div>
    <div class="card service-card system-card">
      <div class="card-title">
        <div class="card-title-left"><span class="service-icon icon-host"><span class="icon-glyph glyph-host"></span></span><span class="service-name">HOST</span></div>
        <span class="status-pill pill-online">OK</span>
      </div>
      <div class="stats-grid">
        <div class="stat-block"><div class="stat-num" id="uptime-days">&#x2014;</div><div class="stat-label">Uptime d</div></div>
        <div class="stat-block"><div class="stat-num dim" id="host-platform">&#x2014;</div><div class="stat-label">OS</div></div>
      </div>
      <div class="progress-wrap">
        <div class="progress-meta"><span>Host Runtime</span><span id="host-progress-label">&#x2014;</span></div>
        <div class="progress-bar"><div class="progress-fill" id="host-progress"></div></div>
        <div class="mini-graph" id="host-graph"></div>
      </div>
    </div>
    <div class="card service-card system-card">
      <div class="card-title">
        <div class="card-title-left"><span class="service-icon icon-docker"><span class="icon-glyph glyph-docker"></span></span><span class="service-name">DOCKER</span></div>
        <span class="status-pill pill-online">OK</span>
      </div>
      <div class="stats-grid">
        <div class="stat-block"><div class="stat-num" id="docker-running">&#x2014;</div><div class="stat-label">Running</div></div>
        <div class="stat-block"><div class="stat-num dim" id="docker-stopped">&#x2014;</div><div class="stat-label">Stopped</div></div>
        <div class="stat-block"><div class="stat-num dim" id="docker-total">&#x2014;</div><div class="stat-label">Total</div></div>
      </div>
      <div class="progress-wrap">
        <div class="progress-meta"><span>Runtime Surface</span><span id="docker-progress-label">0%</span></div>
        <div class="progress-bar"><div class="progress-fill" id="docker-progress"></div></div>
        <div class="mini-graph" id="docker-graph"></div>
      </div>
    </div>
  </div>
  <!-- STORAGE + SCRUTINY ROW -->
  <div class="section-header"><span>&#x2B21;</span> STORAGE &amp; HEALTH</div>
  <div class="storage-layout">
    <div>
      <div class="widget-row row-3" id="storage-grid">
        <!-- Disk cards injected by renderer -->
      </div>
    </div>
    <div class="card service-card">
      <div class="card-title">
        <div class="card-title-left"><span class="service-icon icon-scrutiny"><span class="icon-glyph glyph-scrutiny"></span></span><span class="service-name">SCRUTINY</span></div>
        <span class="status-pill pill-offline" id="scrutiny-pill">OFFLINE</span>
      </div>
      <div class="stats-grid" style="margin-bottom:5px;">
        <div class="stat-block"><div class="stat-num" id="scrutiny-total">&#x2014;</div><div class="stat-label">Disks</div></div>
        <div class="stat-block"><div class="stat-num" id="scrutiny-passed">&#x2014;</div><div class="stat-label">Passed</div></div>
        <div class="stat-block"><div class="stat-num danger" id="scrutiny-failed">&#x2014;</div><div class="stat-label">Failed</div></div>
      </div>
      <div id="scrutiny-list"></div>
    </div>
  </div>
  <!-- SERVICE WIDGETS ROW 1 -->
  <div class="section-header"><span>&#x2B21;</span> SERVICES</div>
  <div class="services-grid">
    <div class="card service-card">
      <div class="card-title">
        <div class="card-title-left">
          <span class="service-icon icon-ha"><span class="icon-glyph glyph-home"></span></span>
          <span class="service-name">HOME ASSISTANT</span>
        </div>
        <span class="status-pill pill-offline" id="ha-pill">OFFLINE</span>
      </div>
      <div class="stats-grid">
        <div class="stat-block"><div class="stat-num" id="ha-lights">&#x2014;</div><div class="stat-label">Lights</div></div>
        <div class="stat-block"><div class="stat-num" id="ha-climate">&#x2014;</div><div class="stat-label">Climate</div></div>
        <div class="stat-block"><div class="stat-num" id="ha-doors">&#x2014;</div><div class="stat-label">Doors</div></div>
        <div class="stat-block"><div class="stat-num danger" id="ha-alerts">&#x2014;</div><div class="stat-label">Alerts</div></div>
      </div>
      <div class="service-footer"><span id="ha-version">Core automation hub</span><span></span></div>
    </div>
    <div class="card service-card">
      <div class="card-title">
        <div class="card-title-left">
          <span class="service-icon icon-kuma"><span class="icon-glyph glyph-kuma"></span></span>
          <span class="service-name">UPTIME KUMA</span>
        </div>
        <span class="status-pill pill-offline" id="uk-pill">OFFLINE</span>
      </div>
      <div class="stats-grid" style="margin-bottom:5px;">
        <div class="stat-block"><div class="stat-num" id="uk-up">&#x2014;</div><div class="stat-label">Up</div></div>
        <div class="stat-block"><div class="stat-num danger" id="uk-down">&#x2014;</div><div class="stat-label">Down</div></div>
        <div class="stat-block"><div class="stat-num warn" id="uk-paused">&#x2014;</div><div class="stat-label">Paused</div></div>
        <div class="stat-block"><div class="stat-num" id="uk-uptime">&#x2014;</div><div class="stat-label">24h %</div></div>
      </div>
      <div class="service-footer"><span id="uk-footer">No monitor data</span><div class="micro-strip" id="uk-bars"></div></div>
    </div>
    <div class="card service-card">
      <div class="card-title">
        <div class="card-title-left">
          <span class="service-icon icon-immich"><span class="icon-glyph glyph-image"></span></span>
          <span class="service-name">IMMICH</span>
        </div>
        <span class="status-pill pill-offline" id="immich-pill">OFFLINE</span>
      </div>
      <div class="stats-grid">
        <div class="stat-block"><div class="stat-num" id="immich-photos">&#x2014;</div><div class="stat-label">Photos</div></div>
        <div class="stat-block"><div class="stat-num" id="immich-videos">&#x2014;</div><div class="stat-label">Videos</div></div>
        <div class="stat-block"><div class="stat-num dim" id="immich-storage">&#x2014;</div><div class="stat-label">Storage</div></div>
      </div>
    </div>
    <div class="card service-card">
      <div class="card-title">
        <div class="card-title-left">
          <span class="service-icon icon-backrest"><span class="icon-glyph glyph-backrest"></span></span>
          <span class="service-name">BACKREST</span>
          <span class="status-dot dot-unk" id="backrest-status-dot" title="unknown"></span>
        </div>
        <span class="status-pill pill-offline" id="backrest-pill">OFFLINE</span>
      </div>
      <div class="stats-grid">
        <div class="stat-block"><div class="stat-num dim" id="backrest-last">&#x2014;</div><div class="stat-label">Last Backup</div></div>
        <div class="stat-block"><div class="stat-num" id="backrest-repos">&#x2014;</div><div class="stat-label">Repos</div></div>
        <div class="stat-block"><div class="stat-num danger" id="backrest-errors">&#x2014;</div><div class="stat-label">Errors</div></div>
      </div>
    </div>
    <div class="card service-card">
      <div class="card-title">
        <div class="card-title-left">
          <span class="service-icon icon-adguard"><span class="icon-glyph glyph-shield"></span></span>
          <span class="service-name">ADGUARD DNS</span>
        </div>
        <span class="status-pill pill-offline" id="adguard-pill">OFFLINE</span>
      </div>
      <div class="stats-grid" style="margin-bottom:5px;">
        <div class="stat-block"><div class="stat-num" id="adguard-total">&#x2014;</div><div class="stat-label">Queries</div></div>
        <div class="stat-block"><div class="stat-num" id="adguard-blocked">&#x2014;</div><div class="stat-label">Blocked</div></div>
        <div class="stat-block"><div class="stat-num dim" id="adguard-blocked-pct">&#x2014;</div><div class="stat-label">Block %</div></div>
        <div class="stat-block"><div class="stat-num dim" id="adguard-latency">&#x2014;</div><div class="stat-label">Latency</div></div>
      </div>
      <div class="adguard-bar-wrap"><div class="adguard-bar"><div class="adguard-bar-fill" id="adguard-bar-fill"></div></div></div>
    </div>
    <div class="card service-card">
      <div class="card-title">
        <div class="card-title-left">
          <span class="service-icon icon-services"><span class="icon-glyph glyph-services"></span></span>
          <span class="service-name">SERVICES OVERVIEW</span>
        </div>
        <span class="status-pill pill-offline" id="services-pill">&#x2014;</span>
      </div>
      <div class="stats-grid">
        <div class="stat-block"><div class="stat-num" id="svc-online">&#x2014;</div><div class="stat-label">Online</div></div>
        <div class="stat-block"><div class="stat-num warn" id="svc-degraded">&#x2014;</div><div class="stat-label">Degraded</div></div>
        <div class="stat-block"><div class="stat-num danger" id="svc-offline">&#x2014;</div><div class="stat-label">Offline</div></div>
        <div class="stat-block"><div class="stat-num dim" id="svc-total">&#x2014;</div><div class="stat-label">Total</div></div>
      </div>
    </div>
  </div>
  <!-- QUICK ACCESS -->
  <div class="section-header"><span>&#x2B21;</span> QUICK ACCESS</div>
  <div id="quick-access-grid"></div>
 </div><!-- /wrapper -->
 <script type="module" src="/assets/js/app.js"></script>
 <script>
  // Clock
  function updateClock() {
    const now = new Date();
    const pad = n => String(n).padStart(2, '0');
    document.getElementById('clock').textContent =
      `${pad(now.getHours())}:${pad(now.getMinutes())}:${pad(now.getSeconds())}`;
    document.getElementById('date-str').textContent =
      now.toLocaleDateString('de-DE', { weekday: 'short', day: '2-digit', month: '2-digit', year: 'numeric' });
  }
  updateClock();
  setInterval(updateClock, 1000);
 </script>
 </body>
 </html>
@@ -1,54 +0,0 @@
 services:
  dashboard:
    image: ${DASHBOARD_IMAGE}
    container_name: kallilab-dashboard
    restart: unless-stopped
    environment:
      APP_ENV: production
      APP_HOST: 0.0.0.0
      APP_PORT: 8000
      APP_LOG_LEVEL: INFO
      APP_TIMEZONE: Europe/Berlin
      APP_NAME: Homelab Dashboard API
      APP_VERSION: 0.1.0
      CORS_ALLOW_ORIGINS: '["https://dashboard.kaleschke.info"]'
      REQUEST_TIMEOUT_SECONDS: 5.0
      CACHE_TTL_OVERVIEW_SECONDS: 15
      CACHE_TTL_SYSTEM_SECONDS: 15
      CACHE_TTL_SERVICES_SECONDS: 15
      CACHE_TTL_STORAGE_SECONDS: 30
      BESZEL_BASE_URL: http://beszel:8090
      BESZEL_ADMIN_EMAIL: ${BESZEL_ADMIN_EMAIL}
      BESZEL_ADMIN_PASSWORD: ${BESZEL_ADMIN_PASSWORD}
      UPTIME_KUMA_BASE_URL: http://uptime-kuma:3001
      UPTIME_KUMA_API_KEY: ${UPTIME_KUMA_API_KEY}
      UPTIME_KUMA_USERNAME: ${UPTIME_KUMA_USERNAME}
      UPTIME_KUMA_PASSWORD: ${UPTIME_KUMA_PASSWORD}
      HOME_ASSISTANT_BASE_URL: ${HOME_ASSISTANT_BASE_URL}
      HOME_ASSISTANT_TOKEN: ${HOME_ASSISTANT_TOKEN}
      ADGUARD_BASE_URL: http://adguard:80
      ADGUARD_USERNAME: ${ADGUARD_USERNAME}
      ADGUARD_PASSWORD: ${ADGUARD_PASSWORD}
      SCRUTINY_BASE_URL: http://scrutiny:8080
      IMMICH_BASE_URL: http://immich_server:2283
      IMMICH_API_KEY: ${IMMICH_API_KEY}
      BACKREST_BASE_URL: http://backrest:9898
      BACKREST_USERNAME: ${BACKREST_USERNAME}
      BACKREST_PASSWORD: ${BACKREST_PASSWORD}
    networks:
      - frontend_net
    security_opt:
      - no-new-privileges:true
    labels:
      - traefik.enable=true
      - traefik.docker.network=frontend_net
      - traefik.http.routers.dashboard.rule=Host(`dashboard.kaleschke.info`)
      - traefik.http.routers.dashboard.entrypoints=websecure
      - traefik.http.routers.dashboard.tls=true
      - traefik.http.routers.dashboard.tls.certresolver=le
      - traefik.http.routers.dashboard.middlewares=authelia@file,secure-headers@file
      - traefik.http.services.dashboard.loadbalancer.server.port=8000
 networks:
  frontend_net:
    external: true
@@ -1,24 +0,0 @@
 version: "3.9"
 services:
  firefly-fints:
    image: benkl/firefly-iii-fints-importer:latest
    container_name: firefly-fints
    restart: unless-stopped
    env_file:
      - .env
    volumes:
      - /mnt/user/appdata/firefly-fints:/data
    networks:
      - frontend_net
    security_opt:
      - no-new-privileges:true
    ports:
      - "8091:8080"
    dns:
      - 1.1.1.1
      - 8.8.8.8
 networks:
  frontend_net:
    external: true
@@ -1,4 +0,0 @@
 MYSQL_RANDOM_ROOT_PASSWORD=yes
 MYSQL_DATABASE=firefly
 MYSQL_USER=firefly
 MYSQL_PASSWORD=firefly
@@ -1,16 +0,0 @@
 APP_KEY=base64:ZHr3GRFkH9jEJ6TtoD6pEEsLHEfRViqqxSV6G7Zsba8=
 APP_URL=https://firefly.kaleschke.info
 DB_HOST=firefly-db
 DB_PORT=3306
 DB_CONNECTION=mysql
 DB_DATABASE=firefly
 DB_USERNAME=firefly
 DB_PASSWORD=firefly
 TRUSTED_PROXIES=**
 APP_ENV=production
 APP_DEBUG=false
 LOG_CHANNEL=stack
 TZ=Europe/Berlin
@@ -1,8 +0,0 @@
 TZ=Europe/Berlin
 APP_ENV=production
 APP_DEBUG=false
 LOG_CHANNEL=stack
 TRUSTED_PROXIES=**
 FIREFLY_III_URL=http://firefly-app:8080
 VANITY_URL=https://firefly.kaleschke.info
@@ -1,67 +0,0 @@
 version: "3.9"
 services:
  firefly-db:
    image: mariadb:10.11
    container_name: firefly-db
    restart: unless-stopped
    env_file:
      - .db.env
    volumes:
      - /mnt/user/appdata/firefly/db:/var/lib/mysql
    networks:
      - backend_net
    security_opt:
      - no-new-privileges:true
  firefly-app:
    image: fireflyiii/core:latest
    container_name: firefly-app
    restart: unless-stopped
    depends_on:
      - firefly-db
    env_file:
      - .env
    volumes:
      - /mnt/user/appdata/firefly/upload:/var/www/html/storage/upload
    networks:
      - frontend_net
      - backend_net
    security_opt:
      - no-new-privileges:true
    labels:
      - "traefik.enable=true"
      - "traefik.docker.network=frontend_net"
      - "traefik.http.routers.firefly.rule=Host(`firefly.kaleschke.info`)"
      - "traefik.http.routers.firefly.entrypoints=websecure"
      - "traefik.http.routers.firefly.tls=true"
      - "traefik.http.routers.firefly.tls.certresolver=le"
      - "traefik.http.services.firefly.loadbalancer.server.port=8080"
  firefly-importer:
    image: fireflyiii/data-importer:latest
    container_name: firefly-importer
    restart: unless-stopped
    depends_on:
      - firefly-app
    env_file:
      - .env
      - .importer.env
    networks:
      - frontend_net
    security_opt:
      - no-new-privileges:true
    labels:
      - "traefik.enable=true"
      - "traefik.docker.network=frontend_net"
      - "traefik.http.routers.firefly-importer.rule=Host(`import.firefly.kaleschke.info`)"
      - "traefik.http.routers.firefly-importer.entrypoints=websecure"
      - "traefik.http.routers.firefly-importer.tls=true"
      - "traefik.http.routers.firefly-importer.tls.certresolver=le"
      - "traefik.http.services.firefly-importer.loadbalancer.server.port=8080"
 networks:
  frontend_net:
    external: true
  backend_net:
    external: true
@@ -1,42 +0,0 @@
 services:
  homepage:
    image: ghcr.io/gethomepage/homepage:latest
    container_name: homepage
    restart: unless-stopped
    environment:
      HOMEPAGE_ALLOWED_HOSTS: home.kaleschke.info
      HOMEPAGE_VAR_GITEA_TOKEN: ${HOMEPAGE_VAR_GITEA_TOKEN}
      HOMEPAGE_VAR_ADGUARD_USERNAME: ${HOMEPAGE_VAR_ADGUARD_USERNAME}
      HOMEPAGE_VAR_ADGUARD_PASSWORD: ${HOMEPAGE_VAR_ADGUARD_PASSWORD}
      HOMEPAGE_VAR_KOMODO_API_KEY: ${HOMEPAGE_VAR_KOMODO_API_KEY}
      HOMEPAGE_VAR_KOMODO_API_SECRET: ${HOMEPAGE_VAR_KOMODO_API_SECRET}
      HOMEPAGE_VAR_BACKREST_USERNAME: ${HOMEPAGE_VAR_BACKREST_USERNAME}
      HOMEPAGE_VAR_BACKREST_PASSWORD: ${HOMEPAGE_VAR_BACKREST_PASSWORD}
      HOMEPAGE_VAR_SPEEDTEST_API_KEY: ${HOMEPAGE_VAR_SPEEDTEST_API_KEY}
      HOMEPAGE_VAR_PAPERLESS_TOKEN: ${HOMEPAGE_VAR_PAPERLESS_TOKEN}
      HOMEPAGE_VAR_FILEBROWSER_USERNAME: ${HOMEPAGE_VAR_FILEBROWSER_USERNAME}
      HOMEPAGE_VAR_FILEBROWSER_PASSWORD: ${HOMEPAGE_VAR_FILEBROWSER_PASSWORD}
      HOMEPAGE_VAR_IMMICH_API_KEY: ${HOMEPAGE_VAR_IMMICH_API_KEY}
      HOMEPAGE_VAR_MEALIE_TOKEN: ${HOMEPAGE_VAR_MEALIE_TOKEN}
      HOMEPAGE_VAR_UPTIME_SLUG: ${HOMEPAGE_VAR_UPTIME_SLUG}
    volumes:
      - /mnt/user/appdata/homepage:/app/config
      - /mnt/user/appdata/homepage/images:/app/public/images
      - /var/run/docker.sock:/var/run/docker.sock:ro
    networks:
      - frontend_net
    labels:
      - traefik.enable=true
      - traefik.docker.network=frontend_net
      - traefik.http.routers.homepage.rule=Host(`home.kaleschke.info`)
      - traefik.http.routers.homepage.entrypoints=websecure
      - traefik.http.routers.homepage.tls=true
      - traefik.http.routers.homepage.tls.certresolver=le
      - traefik.http.routers.homepage.middlewares=authelia@file,secure-headers@file
      - traefik.http.services.homepage.loadbalancer.server.port=3000
    security_opt:
      - no-new-privileges:true
 networks:
  frontend_net:
    external: true
@@ -1,9 +1,7 @@
 version: "3.9"
 services:
  immich-server:
    container_name: immich_server
-    image: ghcr.io/immich-app/immich-server:release
+    image: ghcr.io/immich-app/immich-server:v2.7.5@sha256:c15bff75068effb03f4355997d03dc7e0fc58720c2b54ad6f7f10d1bc57efaa5
    restart: unless-stopped
    depends_on:
      - redis
@@ -14,10 +12,10 @@ services:
      DB_PASSWORD: ${IMMICH_DB_PASSWORD}
      DB_DATABASE_NAME: immich
      REDIS_HOSTNAME: redis
      TZ: Europe/Berlin
    volumes:
      - /mnt/user/photos/immich:/usr/src/app/upload
      - /mnt/user/photos/family_archive:/usr/src/app/external
      - /etc/localtime:/etc/localtime:ro
    networks:
      - immich_default
      - frontend_net
@@ -34,8 +32,19 @@ services:
  immich-machine-learning:
    container_name: immich_machine_learning
-    image: ghcr.io/immich-app/immich-machine-learning:release
+    image: ghcr.io/immich-app/immich-machine-learning:v2.7.5@sha256:a2501141440f10516d329fdfba2c68082e19eb9ba6016c061ac80d23beadf7f3
    restart: unless-stopped
    environment:
      # Workaround fuer gunicorn-25.1.0-Control-Socket-Bug: der Worker haengt
      # nach "Control socket listening at /usr/src/gunicorn.ctl" und erreicht
      # nie "Application startup complete" -> Container bleibt dauerhaft
      # unhealthy, ML (Gesichtserkennung/CLIP/Smart-Search) ist tot.
      # --no-control-socket deaktiviert das fehlerhafte Feature. immich-ml
      # startet gunicorn als Subprozess, der GUNICORN_CMD_ARGS aus der Env
      # liest und anhaengt. Bestaetigte Upstream-Regression seit Immich 2.6
      # (immich#27228, gunicorn#3510). Re-check: bei Immich-Update, das
      # gunicorn auf >25.1.0/<25.1.0 mit Fix bringt, wieder entfernen.
      GUNICORN_CMD_ARGS: "--no-control-socket"
    volumes:
      - model-cache:/cache
    networks:
@@ -45,7 +54,7 @@ services:
  redis:
    container_name: immich_redis
-    image: redis:7
+    image: redis:8.8.0-alpine@sha256:09160599abd229764c0fb44cb6be640294e1d360a54b19985ab4843dcf2d90f1
    restart: unless-stopped
    networks:
      - immich_default
@@ -54,14 +63,15 @@ services:
  database:
    container_name: immich_postgres
-    image: tensorchord/pgvecto-rs:pg14-v0.2.0
+    image: ghcr.io/immich-app/postgres:14-vectorchord0.4.3-pgvectors0.2.0@sha256:bcf63357191b76a916ae5eb93464d65c07511da41e3bf7a8416db519b40b1c23
    restart: unless-stopped
    environment:
      POSTGRES_PASSWORD_FILE: /run/secrets/postgres_password
      POSTGRES_USER: immich
      POSTGRES_DB: immich
    shm_size: 128mb
    volumes:
-      - /mnt/user/appdata/immich_postgres:/var/lib/postgresql/data
+      - /mnt/user/appdata/immich_postgres_vectorchord:/var/lib/postgresql/data
      - /mnt/user/appdata/secrets/immich_postgres_password.txt:/run/secrets/postgres_password:ro
    networks:
      - immich_default
@@ -77,4 +87,4 @@ networks:
    internal: true
    driver: bridge
  frontend_net:
-    external: true
+    external: true
@@ -1,7 +1,6 @@
 version: "3.9"
 services:
  mail-archiver:
-    image: s1t5/mailarchiver
+    image: s1t5/mailarchiver@sha256:4ea7ecc47ad1dd2c523b85c3967574b61e39def1b6fd26edf874e21733c4018c
    container_name: mail-archiver
    restart: unless-stopped
    environment:
@@ -25,9 +24,10 @@ services:
      - "traefik.http.routers.mail-archiver.entrypoints=websecure"
      - "traefik.http.routers.mail-archiver.tls=true"
      - "traefik.http.routers.mail-archiver.tls.certresolver=le"
      - "traefik.http.routers.mail-archiver.middlewares=authelia@file,secure-headers@file"
      - "traefik.http.services.mail-archiver.loadbalancer.server.port=5000"
 networks:
  backend_net:
    external: true
  frontend_net:
-    external: true
+    external: true
@@ -1,9 +1,15 @@
 services:
  mealie:
-    image: ghcr.io/mealie-recipes/mealie:v3.12.0
+    image: ghcr.io/mealie-recipes/mealie:v3.19.2@sha256:f68e959bf66f4f458893ea58facac71690fe6f2ac7a31466b5cecb41b4e99c02
    container_name: mealie
    restart: unless-stopped
    # OIDC: Authelia ueber Host-LAN-IP -> Traefik erreichbar (Container-DNS loest
    # auth.kaleschke.info sonst nicht; gleiches Muster wie Komodo. SNI bleibt der
    # Hostname, Let's-Encrypt-Cert validiert weiter.
    extra_hosts:
      - "auth.kaleschke.info:192.168.178.58"
    environment:
      TZ: Europe/Berlin
      ALLOW_SIGNUP: "false"
@@ -14,13 +20,22 @@ services:
      POSTGRES_SERVER: mealie-postgres
      POSTGRES_DB: mealie
      POSTGRES_USER: mealie
-      POSTGRES_PASSWORD_FILE: /run/secrets/postgres_password
+      POSTGRES_PASSWORD: ${MEALIE_POSTGRES_PASSWORD}
      BASE_URL: https://mealie.kaleschke.info
      # --- Authelia OIDC SSO (additiv, 2026-06-06; lokaler Login bleibt) ---
      OIDC_AUTH_ENABLED: "true"
      OIDC_PROVIDER_NAME: Authelia
      OIDC_CONFIGURATION_URL: https://auth.kaleschke.info/.well-known/openid-configuration
      OIDC_CLIENT_ID: mealie
      OIDC_CLIENT_SECRET: ${MEALIE_OIDC_CLIENT_SECRET}
      OIDC_SIGNUP_ENABLED: "true"
      OIDC_AUTO_REDIRECT: "false"
      OIDC_REMEMBER_ME: "true"
    volumes:
      - /mnt/user/appdata/mealie/data:/app/data
      - /mnt/user/appdata/secrets/mealie_postgres_password.txt:/run/secrets/postgres_password:ro
    networks:
      - frontend_net
@@ -39,7 +54,7 @@ services:
      - traefik.http.services.mealie.loadbalancer.server.port=9000
  mealie-postgres:
-    image: postgres:17
+    image: postgres:18.4@sha256:29ee7bb30d804447dc9a91fd0d74322ae1dc3a4072cc6346f70a5ed6e783b565
    container_name: mealie-postgres
    restart: unless-stopped
@@ -48,10 +63,10 @@ services:
      POSTGRES_USER: mealie
      POSTGRES_DB: mealie
      POSTGRES_PASSWORD_FILE: /run/secrets/postgres_password
-      PGDATA: /var/lib/postgresql/data
+      PGDATA: /var/lib/postgresql/18/docker
    volumes:
-      - /mnt/user/appdata/mealie/postgres:/var/lib/postgresql/data
+      - /mnt/user/appdata/mealie/postgres18:/var/lib/postgresql
      - /mnt/user/appdata/secrets/mealie_postgres_password.txt:/run/secrets/postgres_password:ro
    networks:
@@ -66,4 +81,4 @@ networks:
  mealie_internal:
    driver: bridge
-    internal: true
+    internal: true
@@ -0,0 +1,51 @@
 services:
  n8n:
    image: docker.n8n.io/n8nio/n8n:2.26.2@sha256:61ba01bc5e39304bbc928c9dbecd938c3a5cc1331b68affba6a34d0f654c43d9
    container_name: n8n
    restart: unless-stopped
    security_opt:
      - no-new-privileges:true
    dns:
      - 1.1.1.1
      - 8.8.8.8
    environment:
      TZ: Europe/Berlin
      GENERIC_TIMEZONE: Europe/Berlin
      N8N_HOST: n8n.kaleschke.info
      N8N_PORT: "5678"
      N8N_PROTOCOL: https
      N8N_EDITOR_BASE_URL: https://n8n.kaleschke.info/
      WEBHOOK_URL: https://n8n.kaleschke.info/
      N8N_PROXY_HOPS: "1"
      N8N_ENCRYPTION_KEY: ${N8N_ENCRYPTION_KEY}
      N8N_DIAGNOSTICS_ENABLED: "false"
      N8N_PERSONALIZATION_ENABLED: "false"
      N8N_HIRING_BANNER_ENABLED: "false"
      N8N_RUNNERS_ENABLED: "true"
      N8N_BLOCK_ENV_ACCESS_IN_NODE: "true"
    volumes:
      - /mnt/user/appdata/n8n/data:/home/node/.n8n
    networks:
      - frontend_net
    labels:
      - "traefik.enable=true"
      - "traefik.docker.network=frontend_net"
      - "traefik.http.routers.n8n.rule=Host(`n8n.kaleschke.info`)"
      - "traefik.http.routers.n8n.entrypoints=websecure"
      - "traefik.http.routers.n8n.tls=true"
      - "traefik.http.routers.n8n.tls.certresolver=le"
      - "traefik.http.routers.n8n.middlewares=secure-headers@file"
      - "traefik.http.services.n8n.loadbalancer.server.port=5678"
 networks:
  frontend_net:
    external: true
@@ -0,0 +1,284 @@
 {
  "name": "GMX -> OpenAI -> Gitea Issue (Super Productivity)",
  "nodes": [
    {
      "parameters": {
        "pollTimes": {
          "item": [
            {
              "mode": "everyMinute"
            }
          ]
        },
        "format": "simple",
        "options": {
          "customEmailConfig": "[\"UNSEEN\"]",
          "forceReconnect": 15
        },
        "postProcessAction": "read"
      },
      "id": "11111111-1111-1111-1111-111111111111",
      "name": "IMAP: GMX UNSEEN",
      "type": "n8n-nodes-base.emailReadImap",
      "typeVersion": 2,
      "position": [
        240,
        300
      ],
      "credentials": {
        "imap": {
          "id": "REPLACE_GMX_IMAP_CRED_ID",
          "name": "GMX IMAP"
        }
      }
    },
    {
      "parameters": {
        "assignments": {
          "assignments": [
            {
              "id": "a1",
              "name": "from",
              "value": "={{ $json.from }}",
              "type": "string"
            },
            {
              "id": "a2",
              "name": "subject",
              "value": "={{ $json.subject }}",
              "type": "string"
            },
            {
              "id": "a3",
              "name": "date",
              "value": "={{ $json.date }}",
              "type": "string"
            },
            {
              "id": "a4",
              "name": "messageId",
              "value": "={{ $json.messageId || $json['message-id'] || '' }}",
              "type": "string"
            },
            {
              "id": "a5",
              "name": "text",
              "value": "={{ ($json.text || $json.textPlain || '').toString().slice(0, 8000) }}",
              "type": "string"
            }
          ]
        },
        "options": {}
      },
      "id": "22222222-2222-2222-2222-222222222222",
      "name": "Extract mail fields",
      "type": "n8n-nodes-base.set",
      "typeVersion": 3.4,
      "position": [
        460,
        300
      ]
    },
    {
      "parameters": {
        "method": "POST",
        "url": "https://api.openai.com/v1/chat/completions",
        "authentication": "genericCredentialType",
        "genericAuthType": "httpHeaderAuth",
        "sendHeaders": true,
        "headerParameters": {
          "parameters": [
            {
              "name": "Content-Type",
              "value": "application/json"
            }
          ]
        },
        "sendBody": true,
        "specifyBody": "json",
        "jsonBody": "={\n  \"model\": \"gpt-4o-mini\",\n  \"temperature\": 0.2,\n  \"response_format\": {\n    \"type\": \"json_schema\",\n    \"json_schema\": {\n      \"name\": \"issue_extraction\",\n      \"strict\": true,\n      \"schema\": {\n        \"type\": \"object\",\n        \"additionalProperties\": false,\n        \"required\": [\"title\", \"body_md\", \"priority\", \"due_date\", \"category\"],\n        \"properties\": {\n          \"title\":    { \"type\": \"string\", \"maxLength\": 80 },\n          \"body_md\":  { \"type\": \"string\" },\n          \"priority\": { \"type\": \"string\", \"enum\": [\"niedrig\", \"normal\", \"hoch\"] },\n          \"due_date\": { \"type\": [\"string\", \"null\"], \"description\": \"ISO YYYY-MM-DD oder null\" },\n          \"category\": { \"type\": \"string\" }\n        }\n      }\n    }\n  },\n  \"messages\": [\n    {\n      \"role\": \"system\",\n      \"content\": \"Du extrahierst aus einer E-Mail eine Aufgabe fuer ein Issue-Tracking-System. Antworte ausschliesslich gemaess JSON-Schema. Sprache: Deutsch.\\n- title: imperativ, max. 80 Zeichen, ohne abschliessenden Punkt.\\n- body_md: 2 bis 6 Saetze. Was ist zu tun, warum, bis wann. Keine Begruessungen.\\n- priority: niedrig | normal | hoch.\\n- due_date: ISO YYYY-MM-DD wenn aus Mail ableitbar, sonst null.\\n- category: kurzes Schlagwort (rechnung, termin, technik, familie, sonstiges, ...).\"\n    },\n    {\n      \"role\": \"user\",\n      \"content\": {{ JSON.stringify('Absender: ' + $json.from + '\\nDatum: ' + $json.date + '\\nBetreff: ' + $json.subject + '\\n\\nMailtext:\\n' + $json.text) }}\n    }\n  ]\n}",
        "options": {
          "timeout": 60000
        }
      },
      "id": "33333333-3333-3333-3333-333333333333",
      "name": "OpenAI: extract issue",
      "type": "n8n-nodes-base.httpRequest",
      "typeVersion": 4.2,
      "position": [
        680,
        300
      ],
      "credentials": {
        "httpHeaderAuth": {
          "id": "REPLACE_OPENAI_HEADER_AUTH_CRED_ID",
          "name": "OpenAI Bearer"
        }
      }
    },
    {
      "parameters": {
        "assignments": {
          "assignments": [
            {
              "id": "b1",
              "name": "extracted",
              "value": "={{ JSON.parse($json.choices[0].message.content) }}",
              "type": "object"
            },
            {
              "id": "b2",
              "name": "mail",
              "value": "={{ $('Extract mail fields').item.json }}",
              "type": "object"
            }
          ]
        },
        "options": {}
      },
      "id": "44444444-4444-4444-4444-444444444444",
      "name": "Parse OpenAI JSON",
      "type": "n8n-nodes-base.set",
      "typeVersion": 3.4,
      "position": [
        900,
        300
      ]
    },
    {
      "parameters": {
        "assignments": {
          "assignments": [
            {
              "id": "c1",
              "name": "title",
              "value": "={{ ($json.extracted.priority === 'hoch' ? '[P1] ' : '') + $json.extracted.title }}",
              "type": "string"
            },
            {
              "id": "c2",
              "name": "body",
              "value": "={{ $json.extracted.body_md + '\\n\\n---\\n**Kategorie:** ' + $json.extracted.category + '\\n**Prioritaet:** ' + $json.extracted.priority + ($json.extracted.due_date ? '\\n**Faellig:** ' + $json.extracted.due_date : '') + '\\n**Quelle:** Mail von ' + $json.mail.from + ' (' + $json.mail.date + ')\\n**Betreff:** ' + $json.mail.subject + '\\n**Message-ID:** ' + $json.mail.messageId }}",
              "type": "string"
            }
          ]
        },
        "options": {}
      },
      "id": "55555555-5555-5555-5555-555555555555",
      "name": "Build issue payload",
      "type": "n8n-nodes-base.set",
      "typeVersion": 3.4,
      "position": [
        1120,
        300
      ]
    },
    {
      "parameters": {
        "method": "POST",
        "url": "https://git.kaleschke.info/api/v1/repos/Micha/mails/issues",
        "authentication": "genericCredentialType",
        "genericAuthType": "httpHeaderAuth",
        "sendHeaders": true,
        "headerParameters": {
          "parameters": [
            {
              "name": "Content-Type",
              "value": "application/json"
            },
            {
              "name": "Accept",
              "value": "application/json"
            }
          ]
        },
        "sendBody": true,
        "specifyBody": "json",
        "jsonBody": "={\n  \"title\": {{ JSON.stringify($json.title) }},\n  \"body\": {{ JSON.stringify($json.body) }},\n  \"assignees\": [\"Micha\"]\n}",
        "options": {
          "timeout": 30000
        }
      },
      "id": "66666666-6666-6666-6666-666666666666",
      "name": "Gitea: create issue",
      "type": "n8n-nodes-base.httpRequest",
      "typeVersion": 4.2,
      "position": [
        1340,
        300
      ],
      "credentials": {
        "httpHeaderAuth": {
          "id": "REPLACE_GITEA_HEADER_AUTH_CRED_ID",
          "name": "Gitea Token"
        }
      }
    }
  ],
  "connections": {
    "IMAP: GMX UNSEEN": {
      "main": [
        [
          {
            "node": "Extract mail fields",
            "type": "main",
            "index": 0
          }
        ]
      ]
    },
    "Extract mail fields": {
      "main": [
        [
          {
            "node": "OpenAI: extract issue",
            "type": "main",
            "index": 0
          }
        ]
      ]
    },
    "OpenAI: extract issue": {
      "main": [
        [
          {
            "node": "Parse OpenAI JSON",
            "type": "main",
            "index": 0
          }
        ]
      ]
    },
    "Parse OpenAI JSON": {
      "main": [
        [
          {
            "node": "Build issue payload",
            "type": "main",
            "index": 0
          }
        ]
      ]
    },
    "Build issue payload": {
      "main": [
        [
          {
            "node": "Gitea: create issue",
            "type": "main",
            "index": 0
          }
        ]
      ]
    }
  },
  "active": false,
  "settings": {
    "executionOrder": "v1"
  },
  "meta": {
    "instanceId": "homelab-n8n"
  },
  "tags": []
 }
@@ -0,0 +1,84 @@
 services:
  nextcloud:
    image: nextcloud:33.0.5-apache@sha256:56bdc45109067500fd0832fa64832b7c77a167d9394cbf5f0f4b59740b94194d
    container_name: nextcloud
    restart: unless-stopped
    depends_on:
      - nextcloud-postgres
      - nextcloud-redis
    environment:
      TZ: Europe/Berlin
      POSTGRES_HOST: nextcloud-postgres
      POSTGRES_DB: nextcloud
      POSTGRES_USER: nextcloud
      POSTGRES_PASSWORD_FILE: /run/secrets/postgres_password
      REDIS_HOST: nextcloud-redis
      NEXTCLOUD_ADMIN_USER_FILE: /run/secrets/admin_user
      NEXTCLOUD_ADMIN_PASSWORD_FILE: /run/secrets/admin_password
      NEXTCLOUD_DATA_DIR: /var/www/html/data
      NEXTCLOUD_TRUSTED_DOMAINS: cloud.kaleschke.info
      TRUSTED_PROXIES: 172.16.0.0/12
      OVERWRITEHOST: cloud.kaleschke.info
      OVERWRITEPROTOCOL: https
      OVERWRITECLIURL: https://cloud.kaleschke.info
    volumes:
      - /mnt/user/appdata/nextcloud/html:/var/www/html
      - /mnt/user/documents/nextcloud-data:/var/www/html/data
      - /mnt/user/appdata/secrets/nextcloud_postgres_password.txt:/run/secrets/postgres_password:ro
      - /mnt/user/appdata/secrets/nextcloud_admin_user.txt:/run/secrets/admin_user:ro
      - /mnt/user/appdata/secrets/nextcloud_admin_password.txt:/run/secrets/admin_password:ro
    networks:
      - frontend_net
      - nextcloud_internal
    security_opt:
      - no-new-privileges:true
    labels:
      - "traefik.enable=true"
      - "traefik.docker.network=frontend_net"
      - "traefik.http.routers.nextcloud.rule=Host(`cloud.kaleschke.info`)"
      - "traefik.http.routers.nextcloud.entrypoints=websecure"
      - "traefik.http.routers.nextcloud.tls=true"
      - "traefik.http.routers.nextcloud.tls.certresolver=le"
      - "traefik.http.routers.nextcloud.middlewares=nextcloud-redirectregex"
      - "traefik.http.middlewares.nextcloud-redirectregex.redirectregex.permanent=true"
      - "traefik.http.middlewares.nextcloud-redirectregex.redirectregex.regex=https://(.*)/.well-known/(?:card|cal)dav"
      - "traefik.http.middlewares.nextcloud-redirectregex.redirectregex.replacement=https://$${1}/remote.php/dav"
      - "traefik.http.services.nextcloud.loadbalancer.server.port=80"
  nextcloud-postgres:
    image: postgres:18.4@sha256:29ee7bb30d804447dc9a91fd0d74322ae1dc3a4072cc6346f70a5ed6e783b565
    container_name: nextcloud-postgres
    restart: unless-stopped
    environment:
      TZ: Europe/Berlin
      POSTGRES_DB: nextcloud
      POSTGRES_USER: nextcloud
      POSTGRES_PASSWORD_FILE: /run/secrets/postgres_password
      PGDATA: /var/lib/postgresql/18/docker
    volumes:
      - /mnt/user/appdata/nextcloud/postgres18:/var/lib/postgresql
      - /mnt/user/appdata/secrets/nextcloud_postgres_password.txt:/run/secrets/postgres_password:ro
    networks:
      - nextcloud_internal
    security_opt:
      - no-new-privileges:true
  nextcloud-redis:
    image: redis:8.8.0-alpine@sha256:09160599abd229764c0fb44cb6be640294e1d360a54b19985ab4843dcf2d90f1
    container_name: nextcloud-redis
    restart: unless-stopped
    command: redis-server --save 60 1 --loglevel warning
    volumes:
      - /mnt/user/appdata/nextcloud/redis:/data
    networks:
      - nextcloud_internal
    security_opt:
      - no-new-privileges:true
 networks:
  frontend_net:
    external: true
  nextcloud_internal:
    driver: bridge
    internal: true
@@ -1,6 +1,6 @@
 services:
  ntfy:
-    image: binwiederhier/ntfy:latest
+    image: binwiederhier/ntfy@sha256:f8a9b104313b87cc24ae4f775f39e6328205b57dff6ede3eaf098a91e5d79f59
    container_name: ntfy
    restart: unless-stopped
    dns:                       
@@ -1,8 +1,6 @@
 version: '3.8'
 services:
  paperless-gpt:
-    image: icereed/paperless-gpt:latest
+    image: icereed/paperless-gpt:v0.25.1@sha256:c0ce6186028911101a2cfe68353f14a9dbb2653596f3f1cff94de4b6db3114ff
    container_name: paperless-gpt
    restart: unless-stopped
    security_opt:
@@ -17,20 +15,25 @@ services:
      PAPERLESS_API_TOKEN: "${PAPERLESS_API_TOKEN}"
      MANUAL_TAG: "paperless-gpt"
      AUTO_TAG: "paperless-gpt-auto"
-      LLM_PROVIDER: "ollama"
+      LLM_PROVIDER: "openai"
-      LLM_MODEL: "cnshenyang/qwen3-nothink:14b"
+      LLM_MODEL: "gpt-5.4-mini"
-      OLLAMA_HOST: "http://192.168.178.103:11434"
+      OPENAI_API_KEY: "${OPENAI_API_KEY}"
      OPENAI_BASE_URL: "https://api.openai.com/v1"
      TOKEN_LIMIT: "12000"
      LLM_REQUESTS_PER_MINUTE: "30"
      LLM_LANGUAGE: "German"
      OCR_PROVIDER: "llm"
-      VISION_LLM_PROVIDER: "ollama"
+      VISION_LLM_PROVIDER: "openai"
-      VISION_LLM_MODEL: "cnshenyang/qwen3-nothink:14b"
+      VISION_LLM_MODEL: "gpt-5.4-mini"
      VISION_LLM_TEMPERATURE: "1.0"
      VISION_LLM_REQUESTS_PER_MINUTE: "20"
      OCR_PROCESS_MODE: "image"
      CREATE_NEW_TAGS: "true"
      AUTO_GENERATE_TITLE: "true"
      AUTO_GENERATE_TAGS: "true"
      AUTO_GENERATE_CORRESPONDENTS: "true"
      AUTO_GENERATE_DOCUMENT_TYPE: "true"
-      LOG_LEVEL: "debug"
+      LOG_LEVEL: "info"
    volumes:
      - /mnt/user/appdata/paperless-gpt/data:/app/data
      - /mnt/user/appdata/paperless-gpt/prompts:/app/prompts
@@ -48,4 +51,4 @@ services:
 networks:
  frontend_net:
-    external: true
+    external: true
@@ -1,9 +1,11 @@
 version: "3.9"
 services:
  paperless:
-    image: ghcr.io/paperless-ngx/paperless-ngx:2.20.10
+    image: ghcr.io/paperless-ngx/paperless-ngx:2.20.15@sha256:6c86cad803970ea782683a8e80e7403444c5bf3cf70de63b4d3c8e87500db92f
    container_name: paperless-ngx
    restart: unless-stopped
    # OIDC: Authelia ueber Host-LAN-IP -> Traefik erreichbar (Container-DNS sonst nicht)
    extra_hosts:
      - "auth.kaleschke.info:192.168.178.58"
    security_opt:
      - no-new-privileges:true
    environment:
@@ -17,6 +19,24 @@ services:
      - PAPERLESS_TIME_ZONE=Europe/Berlin
      - PAPERLESS_OCR_LANGUAGE=deu+eng
      - PAPERLESS_URL=https://paperless.kaleschke.info
      # --- Authelia OIDC SSO (additiv, 2026-06-06; lokaler Login bleibt) ---
      - PAPERLESS_APPS=allauth.socialaccount.providers.openid_connect
      - PAPERLESS_SOCIAL_AUTO_SIGNUP=true
      - 'PAPERLESS_SOCIALACCOUNT_PROVIDERS={"openid_connect":{"OAUTH_PKCE_ENABLED":true,"APPS":[{"provider_id":"authelia","name":"Authelia","client_id":"paperless","secret":"${PAPERLESS_OIDC_SECRET}","settings":{"server_url":"https://auth.kaleschke.info"}}]}}'
      # Barcode / ASN
      - PAPERLESS_CONSUMER_ENABLE_BARCODES=1
      - PAPERLESS_CONSUMER_ENABLE_ASN_BARCODE=1
      - PAPERLESS_CONSUMER_ASN_BARCODE_PREFIX=ASN
      # Erkennung robuster für kleine Labels
      - PAPERLESS_CONSUMER_BARCODE_DPI=600
      - PAPERLESS_CONSUMER_BARCODE_UPSCALE=1.5
      # Optional: alle Seiten prüfen
      - PAPERLESS_CONSUMER_BARCODE_MAX_PAGES=0
    volumes:
      - /mnt/user/documents/scans_inbox:/usr/src/paperless/consume
      - /mnt/user/appdata/paperless-ngx/data:/usr/src/paperless/data
@@ -33,7 +53,7 @@ services:
      - "traefik.http.routers.paperless.tls=true"
      - "traefik.http.routers.paperless.tls.certresolver=le"
      - "traefik.http.services.paperless.loadbalancer.server.port=8000"
-     
+
 networks:
  frontend_net:
    external: true
@@ -0,0 +1,25 @@
 services:
  super-productivity:
    image: johannesjo/super-productivity:v18.9.1@sha256:773760107344e739f4c29409f7842db66a1b167d50eb2c40248cb5b5b328652e
    container_name: super-productivity
    restart: unless-stopped
    security_opt:
      - no-new-privileges:true
    networks:
      - frontend_net
    labels:
      - "traefik.enable=true"
      - "traefik.docker.network=frontend_net"
      - "traefik.http.routers.super-productivity.rule=Host(`sp.kaleschke.info`)"
      - "traefik.http.routers.super-productivity.entrypoints=websecure"
      - "traefik.http.routers.super-productivity.tls=true"
      - "traefik.http.routers.super-productivity.tls.certresolver=le"
      - "traefik.http.routers.super-productivity.middlewares=authelia@file,secure-headers@file"
      - "traefik.http.services.super-productivity.loadbalancer.server.port=80"
 networks:
  frontend_net:
    external: true
@@ -1,6 +1,6 @@
 services:
  unbound:
-    image: shaanmajid/unbound:latest
+    image: shaanmajid/unbound:1.25.1@sha256:f140db02a005904802bf5840093e95e675321aa060a00426fdffc2a3ac2eeb6b
    container_name: unbound
    restart: unless-stopped
    volumes:
@@ -13,4 +13,4 @@ services:
 networks:
  dns_net:
-    external: true
+    external: true
@@ -0,0 +1,22 @@
 ### VOLUMES ###
 DriveLetter  Label            FS    Size_GB   Free_GB  Health
 C            (kein Label)     NTFS  166.9     59.5     Healthy
 D            Daten-Projekte   NTFS  167.7     148.6    Healthy
 E            Games            NTFS  930.6     714.9    Healthy
 G            M2 SSD           NTFS  930.9     877.5    Healthy
 H            Externe HDD      NTFS  7452.0    3801.3   Healthy
 (kein BW)    Recovery x5      NTFS  diverse   diverse  Healthy
 ### DISKS ###
 Disk 0  INTEL SSDSC2BW180A3L  SATA  167.68 GB  GPT  Healthy  Serial: CVCV3105053K180EGN
 Disk 1  INTEL SSDSC2BW180A3L  SATA  167.68 GB  GPT  Healthy  Serial: CVCV311302TH180EGN
 Disk 2  Samsung SSD 980 PRO 1TB  NVMe  931.51 GB  GPT  Healthy
 Disk 3  WDC WDS100T2B0C        NVMe  931.51 GB  GPT  Healthy
 Disk 4  asmedia ASM235         USB   7.28 TB    GPT  Healthy
 ### PARTITIONS ###
 Disk 0: [Reserved 16MB] [C: 166.87 GB Basic] [Recovery 809 MB]
 Disk 1: [Reserved 15.98 MB] [D: 167.66 GB Basic]
 Disk 2: [Reserved 15.98 MB] [E: 930.63 GB Basic] [Recovery 885 MB]   <- F: ist weg
 Disk 3: [System 100 MB] [Reserved 16 MB] [G: 930.89 GB Basic] [Recovery 524 MB]
 Disk 4: [Reserved 15.98 MB] [H: 7.28 TB Basic]
@@ -0,0 +1,52 @@
 ### D:\ TOP-LEVEL ###
 00_Inbox        Directory  2026-06-04
 10_Dokumente    Directory  2026-06-04
 11_Bilder       Directory  2026-06-04  [ReadOnly-Attribut gesetzt]
 12_Videos       Directory  2026-06-04
 13_Musik        Directory  2026-06-04
 14_Downloads    Directory  2026-06-04
 20_Projekte     Directory  2026-06-04
 30_Finanzen     Directory  2026-06-04
 90_Archiv       Directory  2026-06-04
 Micha           Directory  2026-06-05  [Altquelle, noch vorhanden]
 WSL             Directory  2026-06-04  [nicht in Soll-Doku]
 DumpStack.log   File
 ### D:\Micha INHALT ###
 Videos          Directory  2026-06-05  [1 Datei, 0 MB - fast leer]
 (alle anderen Unterordner weg)
 ### D:\00_Inbox INHALT ###
 Desktop         Directory  2026-06-05  [ReadOnly - das ist das Known-Folder-Ziel!]
 ### E:\ TOP-LEVEL ###
 BattleNet       Directory  2026-06-04  [SOLL]
 EA              Directory  2026-06-04  [SOLL]
 EpicGames       Directory  2026-06-04  [SOLL]
 Riot            Directory  2026-06-04  [SOLL]
 Steam           Directory  2026-06-05  [SOLL]
 Ubisoft         Directory  2026-06-04  [SOLL]
 _Standalone     FEHLT!                 [SOLL laut Doku]
 ### G:\ TOP-LEVEL ###
 Apps            Directory  2026-06-04  [nicht in Soll-Doku]
 Gitea_Clone     Directory  2026-04-15  [nicht in Soll-Doku - bewusst, homelab-infra]
 repos           Directory  2026-06-05  [SOLL]
 Tools           Directory  2026-06-05  [SOLL - Doku schreibt 'tools' lowercase, NTFS case-insensitive]
 Workspace       Directory  2026-06-04  [nicht in Soll-Doku]
 ### KNOWN FOLDER REDIRECTS (Ist) ###
 Desktop   -> D:\00_Inbox\Desktop      [ABWEICHUNG! Soll: D:\Micha\Desktop]
 Documents -> D:\10_Dokumente          [OK]
 Downloads -> D:\14_Downloads          [OK]
 Pictures  -> D:\11_Bilder             [OK]
 Music     -> D:\13_Musik              [OK]
 Videos    -> D:\12_Videos             [OK]
 ### DOPPELBESTAND D:\Micha\* vs D:\NN_* ###
 D:\Micha\Dokumente : NICHT VORHANDEN  |  D:\10_Dokumente  : 4011 Dateien, 595 MB
 D:\Micha\Bilder    : NICHT VORHANDEN  |  D:\11_Bilder     : 7789 Dateien, 12367 MB
 D:\Micha\Videos    : 1 Datei, 0 MB   |  D:\12_Videos     : 1 Datei, 0 MB
 D:\Micha\Musik     : NICHT VORHANDEN  |  D:\13_Musik      : 0 Dateien
 D:\Micha\Downloads : NICHT VORHANDEN  |  D:\14_Downloads  : 2186 Dateien, 2211 MB
 D:\Micha\Finanzen  : NICHT VORHANDEN  |  D:\30_Finanzen   : 126 Dateien, 123 MB
@@ -0,0 +1,63 @@
 ### OS BASELINE ###
 Caption:       Microsoft Windows 11 Pro
 Build:         26200
 Version:       10.0.26200
 Architecture:  64-Bit
 InstallDate:   2026-05-10 13:11:27
 LastBoot:      2026-06-05 07:57:08
 Uptime:        0.04 Tage (~1 Stunde zum Audit-Zeitpunkt)
 Manufacturer:  Micro-Star International Co., Ltd.
 Model:         MS-7D32
 RAM:           31.79 GB
 CPU:           Intel Core i5-14600KF, 14 Cores, 20 Threads, 3500 MHz
 ### AKTIVIERUNG ###
 Name:          Windows(R), Professional edition
 LicenseStatus: 1 (Aktiv)
 Channel:       OEM_DM
 ### AUSSTEHENDE UPDATES ###
 Windows Update pending: 0
 Reboot pending:         Nein
 ### DEFENDER ###
 AMProductVersion:   4.18.26040.7
 AMServiceEnabled:   True
 AntivirusEnabled:   True
 AntispywareEnabled: True
 RealTimeProtection: True
 TamperProtection:   True
 SignatureAge:       0 Tage (aktuell)
 Exclusions:        KEIN ADMIN -> nicht lesbar
 ASR Rules:         KEIN ADMIN -> nicht lesbar (Get-MpPreference liefert leer)
 ### FIREWALL ###
 Domain:  Enabled, DefaultInboundAction: NotConfigured, DefaultOutboundAction: NotConfigured
 Private: Enabled, DefaultInboundAction: NotConfigured, DefaultOutboundAction: NotConfigured
 Public:  Enabled, DefaultInboundAction: NotConfigured, DefaultOutboundAction: NotConfigured
 HINWEIS: NotConfigured = Windows-Default (eingehend blockieren, ausgehend erlauben)
 ### BITLOCKER ###
 KEIN ADMIN -> Get-BitLockerVolume verweigert (Access Denied). Status unbekannt.
 ### SECURE BOOT ###
 KEIN ADMIN -> Confirm-SecureBootUEFI verweigert. Status unbekannt.
 ### TPM ###
 KEIN ADMIN -> Get-Tpm liefert alle Felder leer. Status unbekannt.
 ### UAC ###
 EnableLUA:                  1 (aktiv)
 ConsentPromptBehaviorAdmin: 5 (Nachfrage mit UI, ohne Secure Desktop laut Wert, aber...)
 PromptOnSecureDesktop:      1 (Secure Desktop ist AN - Standard-Konfiguration korrekt)
 ### LOKALE ADMINS ###
 Gruppe Administratoren: Administrator, michi
 ### BCD ###
 KEIN ADMIN -> bcdedit /enum verweigert.
 Letzte bekannte Aussage (Doku boot-cleanup-plan): Keine partition=F: Referenz nach Cleanup + Neustarttest.
 ### WinRE ###
 KEIN ADMIN -> reagentc /info verweigert.
 Letzte bekannte Aussage (Doku): WinRE Disabled.
@@ -0,0 +1,58 @@
 ### NETZWERK-ADAPTER (UP) ###
 Ethernet     Intel I225-V  MAC: 04-7C-16-53-04-E4  1 Gbps
 Tailscale    Tunnel                                 100 Gbps (virtuell)
 vEthernet    WSL (Hyper-V) MAC: 00-15-5D-F3-5F-C9  10 Gbps (virtuell)
 ### IP-ADRESSEN ###
 Ethernet:   192.168.178.103/24
 Tailscale:  100.78.133.37/32
 WSL bridge: 172.26.80.1/20
 (WLAN, Bluetooth etc.: APIPA 169.254.x.x - nicht konfiguriert/inaktiv)
 ### DNS ###
 Ethernet DNS: 192.168.178.58  (= Kallilabcore AdGuard Home)
 WLAN DNS:     192.168.178.58
 ### TAILSCALE STATUS ###
 100.78.133.37  baerchen-1     (dieser Rechner)     online
 100.105.203.21 baerchen       (alter Rechner)       offline, last seen 20h ago
 100.73.83.55   iphone-14      iOS                  online
 100.112.0.90   kallilab-core  linux                online
 100.80.98.33   kallilabcore   linux                active; direct 192.168.178.58:49917
 ### LAUSCHENDE TCP-PORTS ###
 Port   Adresse          Prozess            Bemerkung
 135    0.0.0.0/::       svchost            RPC Endpoint Mapper
 139    192.168.178.103  System             NetBIOS
 445    ::               System             SMB
 3000   ::1/::           wslrelay / docker  Docker / WSL lokal
 5040   0.0.0.0          svchost            WS-Discovery (WDAS)
 5357   ::               System             WSD HTTP
 7680   ::               svchost            WUDO (Delivery Optimization)
 11434  127.0.0.1        ollama             Ollama API (lokal)
 22885  127.0.0.1        Battle.net         lokal
 26822  127.0.0.1        MSI.TerminalServer MSI Center
 27036  0.0.0.0          steam              Steam Remote Play (0.0.0.0 - offen!)
 27060  127.0.0.1        steam              Steam lokal
 32683  127.0.0.1        MSI.CentralServer  MSI Center
 33683  127.0.0.1        MSI.CentralServer  MSI Center
 38810  fd7a:...         tailscaled
 49553  100.78.133.37    tailscaled
 50123  127.0.0.1        iCUE               Corsair lokal
 51037  127.0.0.1        RazerAppEngine
 55316  127.0.0.1        RazerAppEngine
 59686  127.0.0.1        steam
 60999  127.0.0.1        Agent              Claude Code
 ### SSH ###
 ~\.ssh\config: LEER (keine Host-Eintraege)
 ~\.ssh\id_ed25519: vorhanden (411 Bytes, erstellt 2026-04-04)
 ~\.ssh\id_ed25519.pub: vorhanden (97 Bytes)
 ~\.ssh\known_hosts: vorhanden (4719 Bytes, zuletzt 2026-06-04)
 ~\.ssh\known_hosts.old + .pre-port222-Backup: vorhanden
 KEY PERMISSIONS id_ed25519:
  NT-AUTORITAET\SYSTEM      FullControl  Allow
  VORDEFINIERT\Administratoren FullControl  Allow
  baerchen\michi            FullControl  Allow
 BEFUND: Zu viele Berechtigungen - Admins-Gruppe hat FullControl auf Private Key.
@@ -0,0 +1,66 @@
 ### DEV TOOLCHAIN ###
 git:    2.54.0.windows.1
 python: 3.13.13
 node:   24.16.0 (LTS)
 go:     1.26.4 windows/amd64
 ### GIT CONFIG ###
 user.name:    michaelkaleschke-spec
 user.email:   michaelkaleschke@googlemail.com
 commit.gpgsign: nicht gesetzt (Commits nicht signiert)
 ### WSL ###
 Ubuntu       Stopped   Version 2
 docker-desktop  Running  Version 2
 ### DOCKER CONTEXTS ###
 default        npipe:////./pipe/docker_engine     (nicht aktiv)
 desktop-linux* npipe:////./pipe/dockerDesktopLinuxEngine  (aktiv)
 ### KUBECTL ###
 Keine Contexts konfiguriert.
 ### WINGET INVENTAR (158 Pakete, Auswahl) ###
 CPUID CPU-Z MSI 2.20.1
 CPUID HWMonitor 1.63
 CrystalDiskInfo 9.9.1
 Docker Desktop 4.76.0
 Git 2.54.0
 AusweisApp 2.5.1
 Node.js LTS 24.16.0
 Corsair iCUE5 5.46.67
 NVIDIA App 11.0.7.247 / Treiber 610.47
 WISO Steuer 2026 33.07.3410
 Go 1.26.4
 Microsoft Edge 148.0.3967.96
 Microsoft OneDrive 23.038 (Update verfuegbar: 26.078)
 RivaTuner Statistics Server 7.3.7
 Razer Synapse 4.0.683
 Steam 2.10.91.91
 Banking4 Home
 Battle.net / Hearthstone / Overwatch / World of Warcraft
 Microsoft 365 16.0.20026.20140
 ### AUTOSTART ###
 HKCU\Run:
  BraveSoftware Update -> BraveUpdateCore.exe
  Steam               -> E:\Steam\steam.exe -silent
  RazerAppEngine      -> Synapse autoStart
  Docker Desktop      -> Docker Desktop.exe
 HKLM\Run:
  SecurityHealth     -> SecurityHealthSystray.exe
  Corsair iCUE5      -> iCUE Launcher.exe --autorun
  RtkAudUService     -> Realtek Audio Service
 Startup-Ordner (User):   Ollama.lnk
 Startup-Ordner (Alle):   Tailscale.lnk
 ### GEPLANTE TASKS (nicht-Microsoft, aktiv) ###
 OneDrive Reporting Task
 OneDrive Startup Task
 OneDrive Per-Machine Standalone Update Task
 PostponeDeviceSetupToast
 BraveSoftwareUpdateTask (2x User-Varianten)
 NVIDIA App SelfUpdate
 SoftLanding\CreativeManagementTask  [UNBEKANNT - pruefen]
@@ -0,0 +1,45 @@
 ### HARDWARE ###
 CPU:  Intel Core i5-14600KF, 14 Cores / 20 Threads, 3500 MHz Base
 RAM:  31.79 GB
 MB:   MSI MS-7D32
 Energieplan: Ausbalanciert (381b4222) - aktiv
 Verfuegbare Plaene: Ausbalanciert, Ultimative Leistung, Hoechstleistung, Energiesparmodus
 ### PHYSICAL DISKS (SMART) ###
 INTEL SSDSC2BW180A3L  SSD  Healthy  OK   (Disk 0, C:)
 INTEL SSDSC2BW180A3L  SSD  Healthy  OK   (Disk 1, D:)
 Samsung SSD 980 PRO 1TB  SSD  Healthy  OK  (Disk 2, E:)
 WDC WDS100T2B0C       SSD  Healthy  OK   (Disk 3, G:)
 asmedia ASM235        Unspecified  Healthy  OK  (Disk 4, H:)
 Get-StorageReliabilityCounter: keine Ausgabe (Wear-Daten nicht via WMI verfuegbar - typisch fuer SATA SSDs und USB)
 ### GERAETE MIT STATUS "Unknown" (PnP) ###
 MyBookLiveDuo (SoftwareDevice)    - Netzwerkgeraet, nicht angebunden - erwartet
 HID-Tastatur (Keyboard)           - ghosted device - harmlos
 Dell S2722DGM (DP) (Monitor)      - Display-Enumeration Artefakt
 Generic Monitor x2                - Display-Enumeration Artefakt
 [LG] webOS TV OLED65G48LW x2      - Netzwerkgeraet, nicht lokal - erwartet
 Standard-Volumeschattenkopie x3   - VSS Snapshots - erwartet
 KEINE echten Fehlercodes (kein gelbes Ausrufezeichen).
 ### EVENT LOG FEHLER seit Installation (2026-05-10) ###
 ID 20   (70x): Defender KB4052623 Installation fehlgeschlagen (0x80240016)
               -> Timing-Problem bei Update-Kaskade, harmlos wenn aktuell
 ID 10010 (15x): DCOM Server-Timeout {3E11DF0F-...}
               -> bekanntes Windows-Hintergrundrauschen, harmlos
 ID 7000   (3x): Steam Client Service Start fehlgeschlagen
               -> Steam war beim Boot noch nicht bereit, harmlos
 ID 7023   (3x): Windows Modules Installer beendet mit Fehler
               -> Update-Installationsabbrueche, pruefbar nach Analyse der Zeitstempel
 ID 6008   (2x): Unerwartetes Herunterfahren am 2026-05-19 13:56:56
               -> Einmaliger Vorfall (BSOD oder Stromausfall) kurz nach Installation
 ID 7034   (2x): MSI Center Service unerwartet beendet
               -> bekannte Instabilitaet MSI Center, harmlos wenn kein Datenverlust
 ID 7043   (1x): Dienst konnte nicht gestoppt werden
 ID 1012   (3x): unbekannte ID - weitere Analyse noetig
 ID 36     (2x): unbekannte ID - weitere Analyse noetig
 ### CRASH DUMPS ###
 C:\Windows\Minidump: nicht vorhanden
 C:\Windows\MEMORY.DMP: nicht vorhanden
 Bewertung: kein BSOD-Dump vorhanden (ggf. Dump-Einstellung "automatisch neu starten" ohne Dump-Schreiben)
@@ -1,6 +1,6 @@
 services:
  gitea:
-    image: docker.gitea.com/gitea:1.25.4
+    image: docker.gitea.com/gitea:1.26.2@sha256:7d13848af12645600a5f9d93ee2560daa9c6fa6b5b859b7bff3a5e1c0b661031
    container_name: gitea
    restart: unless-stopped
    security_opt:
@@ -11,13 +11,27 @@ services:
      - GITEA__server__DOMAIN=git.kaleschke.info
      - GITEA__server__ROOT_URL=https://git.kaleschke.info/
      - GITEA__database__DB_TYPE=sqlite3
-      - GITEA__webhook__ALLOWED_HOST_LIST=*
+      - GITEA__service__DISABLE_REGISTRATION=true
      - GITEA__service__REGISTER_EMAIL_CONFIRM=true
      - GITEA__openid__ENABLE_OPENID_SIGNIN=false
      - GITEA__openid__ENABLE_OPENID_SIGNUP=false
      - GITEA__migrations__ALLOWED_DOMAINS=github.com
      - GITEA__webhook__ALLOWED_HOST_LIST=komodo-core,localhost,127.0.0.1,192.168.178.0/24
    volumes:
      - /mnt/user/services/gitea/data:/data
    dns:
      - 1.1.1.1
      - 8.8.8.8
    ports:
      - "222:22"
    networks:
      - frontend_net
    healthcheck:
      test: ["CMD-SHELL", "wget -q --spider http://localhost:3000/api/healthz || exit 1"]
      interval: 30s
      timeout: 5s
      retries: 5
      start_period: 60s
    labels:
      - "traefik.enable=true"
      - "traefik.docker.network=frontend_net"
@@ -0,0 +1,53 @@
 # AI Context
 Typ: Einstieg/Index · Stand: 2026-06-11 · Status: aktiv
 Kurzer Kontext fuer KI-Agenten. Nicht als Ersatz fuer die echten Runbooks lesen.
 Diese Datei enthaelt bewusst **keinen** Arbeitsstand mehr — Status nur in
 `docs/MASTER_TODO.md`, Entscheidungen nur in `docs/DECISIONS.md`.
 ## Systembild
 - Host: Unraid `Kallilabcore`
 - Betriebsmodell: GitOps mit Gitea `origin/master` als Sollzustand
 - Deploy: Komodo zieht aus Gitea und startet Compose-Stacks
 - Ingress: Traefik; WAN-seitig bewusst nur `443/tcp`
 - Secrets: nie im Repo, meist unter `/mnt/user/appdata/secrets/`
 - Backup: Borg plus host-seitige Dumps; Hetzner ist Offsite, H:/ ist lokale Nearline-Kopie
 ## Vor jeder Aenderung lesen
 1. `HOMELAB_ARCHITECTURE_MASTER_V2.md`
 2. `docs/WORKFLOW.md`
 3. betroffene Compose-Datei
 4. bei Service-Fragen `docs/SERVICE_CATALOG.md`
 5. bei Restore/DR `docs/DISASTER_RECOVERY.md` und `docs/RESTORE_MATRIX.md`
 6. bei "warum ist das so?"-Fragen `docs/DECISIONS.md`
 ## Harte Regeln
 - Keine Secrets zitieren oder ins Repo schreiben.
 - Keine produktiven Host-Hotfixes ohne Repo-Abgleich.
 - Datenbanken nie ins `frontend_net`.
 - Direkte Host-Ports sind Ausnahme.
 - Traefik dynamic config und Authelia Host-Config sind manuelle Sync-Ausnahmen.
 - Bei Drift zuerst Git, Gitea, Komodo Workspace, Docker Runtime und Host getrennt pruefen.
 - Nach zwei fehlgeschlagenen Reparaturversuchen stoppen und `docs/GITOPS_DRIFT_RUNBOOK.md` nutzen.
 - Doku-Regel: ein Fakt hat genau ein Zuhause; verlinken statt kopieren (`docs/REPO_MAP.md`).
 ## Bekannte Ausnahmen
 Autoritativ: `HOMELAB_ARCHITECTURE_MASTER_V2.md` §10. Kurzliste:
 - Traefik: Host-Ports 80/443, WAN-Freigabe nur 443
 - Gitea: SSH auf Host-Port 222, keine WAN-Freigabe
 - AdGuard: DNS 53 direkt; Admin nur auf Tailscale-IP `100.80.98.33:8082`
 - Tailscale: natives Unraid-Plugin (nicht repo-verwaltet); Plex: Host-Netz
 - Scrutiny: privileged; Komodo/Periphery: Docker-Socket
 - InfluxDB 3 Core: `127.0.0.1:8181`, Root-User-Ausnahme dokumentiert
 ## Arbeitsstand
 - Offene Punkte: `docs/MASTER_TODO.md` (einzige Statusliste)
 - Entscheidungen und Begruendungen: `docs/DECISIONS.md`
 - Belege/Reports: `/mnt/user/backups/restore-reports/` auf dem Host
@@ -0,0 +1,54 @@
 # Alert Rules
 Stand: 2026-06-05
 Diese Datei beschreibt die produktiven Alarmwege und wichtigsten Regeln. Die
 Konfiguration selbst liegt in `monitoring/prometheus/alerts.yml` und in den
 Skripten unter `services/posture-check/`.
 ## Alarmwege
 | Weg | Quelle | Ziel |
 |---|---|---|
 | Prometheus / Alertmanager | `monitoring/prometheus/alerts.yml` | ntfy `homelab-alerts` |
 | Posture Check | `services/posture-check/posture-check.sh` | ntfy `homelab-alerts` |
 | Cert / Token Check | `services/posture-check/cert-token-check.sh` | ntfy `homelab-alerts` |
 | Compose Runtime Drift | `services/posture-check/compose-runtime-drift.sh` | ntfy `homelab-alerts` |
 | Docker Critical Events | `services/posture-check/docker-critical-events.sh` | ntfy `homelab-alerts` |
 | Borg Pre-Hook | `ops/borg-ui/scripts/pre-borg.sh` | ntfy `homelab-alerts` |
 | Restore Jobs | `ops/restore-tests/run-restore-job-with-ntfy.sh` | Fehler `homelab-alerts`, Erfolg `homelab-info` |
 ## Prometheus-Regeln
 | Alarm | Ausloeser | Severity | Aktion |
 |---|---|---|---|
 | `HomelabExternalConnectivityDown` | mindestens 5 HTTP-Ziele down | warning | WAN/DNS/Provider pruefen, nicht jede Domain einzeln jagen |
 | `HomelabEndpointDown` | einzelnes HTTP-Ziel down | critical | Dienst, Traefik-Route und Backend pruefen |
 | `HomelabEndpointSlow` | Endpoint >5s | warning | Dienstlast oder Backend-Latenz pruefen |
 | `HomelabCertificateExpiresSoon` | Cert <21 Tage | warning | ACME/Traefik-Renewal beobachten |
 | `HomelabCertificateExpiresCritical` | Cert <=7 Tage | critical | Renewal sofort pruefen |
 | `HomelabDiskAlmostFull` | Filesystem >85% | warning | Platz schaffen oder Schwelle pruefen |
 | `HomelabDiskCritical` | Filesystem >95% | critical | Sofort Platz schaffen |
 | `HomelabHighMemoryUsage` | MemAvailable <10% | warning | Speicherfresser identifizieren |
 | `HomelabTraefik5xx` | >=5 5xx je Service in 5 Minuten | warning | betroffenes Backend pruefen |
 | `HomelabTextfileExporterStale` | Textfile-Exporter >2h alt | warning | Host-Cron pruefen |
 | `HomelabBorgMetricsMissing` | Borg-Metrik fehlt | critical | Textfile-Exporter oder Borg-UI pruefen |
 | `HomelabBorgBackupStale` | letztes Borg-Backup >30h | warning | Backup-Lauf nachholen/pruefen |
 | `HomelabBorgLastJobFailed` | letzter Borg-Job fehlgeschlagen | critical | Borg-UI-Job-Log pruefen |
 | `HomelabBorgLastJobCompletedWithWarnings` | letzter Borg-Job mit Warnungen | warning | Warnung im Borg-UI-Job lesen |
 | `HomelabCriticalContainerDown` | kritischer Container fehlt | critical | Komodo/Docker-Status pruefen |
 | `HomelabPrometheusTargetDown` | Scrape-Ziel down | critical | node-exporter/cadvisor/blackbox/traefik pruefen |
 Die Liste der ueberwachten Critical-Container steht in
 `services/posture-check/export-prometheus-textfile.sh`.
 ## Bekannte Luecken
 - Kein externer Dead-Man's-Switch fuer Prometheus/ntfy-Bridge. Optional spaeter
  ueber Uptime-Kuma Push-Monitor oder Healthchecks.io.
 - Kein Inode-Alarm. Bei Paperless/Immich spaeter sinnvoll, aber aktuell kein
  dokumentierter Vorfall.
 - Container-Memory-Limits werden erst nach realen Peak-Daten gesetzt; OOM/kill
  wird ueber `docker-critical-events.sh` gemeldet, sobald der Host-Watcher per
  Unraid User Script aktiviert ist. Start/Stop/Status/Smoke laufen ueber
  `services/posture-check/docker-critical-events-supervisor.sh`.
@@ -0,0 +1,186 @@
 # Authelia OIDC fuer Apps - Plan & Runbook
 Stand: 2026-06-06. Authelia-Version: **v4.39.20**.
 Ziel: App-uebergreifendes Single-Sign-On ueber Authelia als OpenID-Connect-Provider
 (`https://auth.kaleschke.info`). Statt pro App eigener Logins meldet man sich einmal
 bei Authelia an (inkl. 2FA) und wird per OIDC an die App durchgereicht.
 > **Status:** aktives Runbook. Grafana und Mealie sind seit 2026-06-06 live
 > und per Login-Smoke verifiziert. Der weitere Rollout bleibt additiv: lokale
 > App-Logins bleiben als Fallback aktiv.
 ---
 ## Grundregeln (wichtig)
 - **Secrets gehoeren nie ins Repo.** OIDC-Client-Secrets (Klartext und pbkdf2-Hash)
  liegen ausschliesslich in der Host-Config `/mnt/user/appdata/authelia/config/configuration.yml`
  (Hash) und im jeweiligen App-Stack (Klartext, via Komodo Stack-ENV / Secret-Datei),
  plus optional Vaultwarden. Dieses Dokument enthaelt nur Schema und Variablennamen.
 - **OIDC-Clients leben host-seitig**, wie der bestehende `beszel`-Client. Die Repo-Baseline
  `security/authelia/configuration.yml` haelt nur die nicht-geheime Struktur
  (`access_control` etc.); `services/authelia-diff.sh` vergleicht standardmaessig nur
  `access_control`, OIDC-Clients auf dem Host loesen also keinen Drift-Alarm aus.
 - **Issuer/Endpoints** (Authelia OIDC):
  - Issuer: `https://auth.kaleschke.info`
  - Authorization: `https://auth.kaleschke.info/api/oidc/authorization`
  - Token: `https://auth.kaleschke.info/api/oidc/token`
  - Userinfo: `https://auth.kaleschke.info/api/oidc/userinfo`
  - JWKS: `https://auth.kaleschke.info/jwks.json`
  - Discovery: `https://auth.kaleschke.info/.well-known/openid-configuration`
 - **PKCE an, wo moeglich** (`require_pkce: true`, `S256`), wie beim Beszel-Client.
 ---
 ## Client-Schema (Authelia v4.39, gespiegelt vom bestehenden `beszel`-Client)
 Pro App ein Block unter `identity_providers.oidc.clients` in der **Host-Config**:
 ```yaml
 identity_providers:
  oidc:
    clients:
      - client_id: '<app>'
        client_name: '<App-Name>'
        client_secret: '<pbkdf2-sha512-Hash - NUR auf dem Host>'
        public: false
        authorization_policy: 'two_factor'   # admin-Apps: two_factor; Familien-Apps: s.u.
        require_pkce: true
        pkce_challenge_method: 'S256'
        redirect_uris:
          - 'https://<app>.kaleschke.info/<oidc-callback-pfad>'
        scopes:
          - 'openid'
          - 'profile'
          - 'email'
          - 'groups'
        response_types:
          - 'code'
        grant_types:
          - 'authorization_code'
        token_endpoint_auth_method: 'client_secret_basic'
        userinfo_signed_response_alg: 'none'
 ```
 ### Client-Secret erzeugen (auf dem Host)
 ```bash
 docker exec authelia authelia crypto hash generate pbkdf2 \
  --variant sha512 --random --random.length 72 --random.charset rfc3986
 ```
 - Ausgabe: **Random Password** (Klartext) + **Digest** (pbkdf2-Hash).
 - **Hash** -> Host-Config `client_secret`.
 - **Klartext** -> App-Stack (Komodo Stack-ENV/Secret) + optional Vaultwarden.
 - Klartext **nicht** ins Repo, nicht in Logs.
 ---
 ## Reihenfolge / Rollout
 | Stufe | App | Domain | OIDC-Support | Policy | Risiko | Begruendung |
 |---|---|---|---|---|---|---|
 | **1 (Proof) ERLEDIGT 2026-06-06** | Grafana (monitoring) | `monitoring.kaleschke.info` | nativ (`generic_oauth`) | `two_factor` | niedrig | **Live + Login verifiziert.** Authelia-Client `grafana` (host), Secret als Datei `/mnt/user/appdata/secrets/grafana_oidc_client_secret` via `__FILE`, ForwardAuth-Middleware durch OIDC ersetzt, lokaler Admin bleibt Fallback |
 | 2 | Immich | `immich.kaleschke.info` | nativ (Admin-UI/Config-File) | s. u. (Familie) | mittel | **GEPARKT bis Onboarding (Entscheidung 2026-06-06):** nur `micha` hat Authelia-Account, Familien-SSO-Nutzen entsteht erst mit Familien-Accounts; Immich ist mobil-lastig (hoechste Stoeranfaelligkeit) und braucht UI/Config-File. Erst nach Onboarding gezielt. Runbook bereit. |
 | 3 | Nextcloud | `cloud.kaleschke.info` | App `user_oidc` (+occ) | s. u. | mittel | **GEPARKT bis Onboarding (Entscheidung 2026-06-06):** wie Immich; braucht `user_oidc`-App-Install + `occ`. Lokaler Login bleibt. Erst nach Onboarding. Runbook bereit. |
 | **4 ERLEDIGT 2026-06-06** | Mealie | `mealie.kaleschke.info` | nativ | `one_factor` | niedrig | **Live + Login verifiziert.** OIDC-Env additiv (lokaler Login bleibt), Secret als Stack-ENV `${MEALIE_OIDC_CLIENT_SECRET}`, `extra_hosts` noetig (s. Gotchas) |
 | 5 | Paperless-ngx | `paperless.kaleschke.info` | `django-allauth` (Umgebungsvariablen) | `two_factor` | mittel | dokumentenlastig, Operator-nah |
 **Nicht OIDC:** Vaultwarden hat kein Standard-Endnutzer-OIDC (SSO ist Enterprise/Bitwarden-Feature) -> bleibt eigener Login. ntfy bleibt wie gehabt.
 ### Policy Familien-Apps
 - Admin-Apps (Grafana, Paperless): `authorization_policy: two_factor`.
 - Familien-Apps (Immich, Nextcloud, Mealie): Start mit `one_factor` und lokalen
  App-Logins als Fallback. 2FA fuer Familie erst spaeter, sobald TOTP-Enrollment
  pro Person eingerichtet ist; sonst entsteht unnoetiges Lockout-Risiko.
 ---
 ## Stufe 1 konkret: Grafana (empfohlener Erststart)
 ### A) Authelia (Host) - Client anlegen
 1. Secret erzeugen (Befehl oben). Klartext + Hash notieren.
 2. In `/mnt/user/appdata/authelia/config/configuration.yml` unter
   `identity_providers.oidc.clients` neuen Block einfuegen:
   ```yaml
   - client_id: 'grafana'
     client_name: 'Grafana'
     client_secret: '<HASH>'
     public: false
     authorization_policy: 'two_factor'
     require_pkce: true
     pkce_challenge_method: 'S256'
     redirect_uris:
       - 'https://monitoring.kaleschke.info/login/generic_oauth'
     scopes: ['openid', 'profile', 'email', 'groups']
     response_types: ['code']
     grant_types: ['authorization_code']
     token_endpoint_auth_method: 'client_secret_basic'
     userinfo_signed_response_alg: 'none'
   ```
 3. `docker restart authelia`, Health + Log pruefen (`Startup complete`, keine Fehler).
 ### B) Grafana (Komodo Stack-ENV) - generic_oauth
 Im `monitoring`-Stack (Grafana) setzen (Klartext-Secret aus Schritt A):
 ```
 GF_AUTH_GENERIC_OAUTH_ENABLED=true
 GF_AUTH_GENERIC_OAUTH_NAME=Authelia
 GF_AUTH_GENERIC_OAUTH_CLIENT_ID=grafana
 GF_AUTH_GENERIC_OAUTH_CLIENT_SECRET=<KLARTEXT-SECRET>
 GF_AUTH_GENERIC_OAUTH_SCOPES=openid profile email groups
 GF_AUTH_GENERIC_OAUTH_AUTH_URL=https://auth.kaleschke.info/api/oidc/authorization
 GF_AUTH_GENERIC_OAUTH_TOKEN_URL=https://auth.kaleschke.info/api/oidc/token
 GF_AUTH_GENERIC_OAUTH_API_URL=https://auth.kaleschke.info/api/oidc/userinfo
 GF_AUTH_GENERIC_OAUTH_USE_PKCE=true
 GF_AUTH_GENERIC_OAUTH_ALLOW_SIGN_UP=true
 # optional Rollen-Mapping ueber groups:
 # GF_AUTH_GENERIC_OAUTH_ROLE_ATTRIBUTE_PATH=contains(groups[*], 'admins') && 'Admin' || 'Viewer'
 ```
 - `GF_AUTH_GENERIC_OAUTH_CLIENT_SECRET` als Stack-ENV-only (kein `_FILE`-Support) -> in
  `docs/SECRETS_MAP.md` als `grafana_oidc_client_secret` (Stack-ENV) nachziehen.
 ### C) Test + Rollback
 - Test: `monitoring.kaleschke.info` -> "Sign in with Authelia" -> Authelia-Login (2FA) -> zurueck in Grafana, eingeloggt.
 - **Fallback bleibt:** lokaler Grafana-Admin-Login (`/login`) ist weiter aktiv -> kein Lockout.
 - Rollback: `GF_AUTH_GENERIC_OAUTH_ENABLED=false` (Grafana redeploy) und/oder Client-Block in Authelia entfernen + `docker restart authelia`.
 ---
 ## Doku-Nachzug bei jedem neuen Client
 - `docs/SECRETS_MAP.md`: pro App `<app>_oidc_client_secret` (Stack-ENV) + Hinweis "Hash in Authelia-Host-Config".
 - `docs/SERVICE_CATALOG.md`: App-Zeile um "OIDC via Authelia" ergaenzen.
 - Dieses Dokument: Rollout-Tabelle abhaken.
 - `docs/MASTER_TODO.md`: Fortschritt im OIDC-Punkt nachziehen.
 ---
 ## Gotchas (aus dem realen Rollout 2026-06-06)
 - **`extra_hosts` ist Pflicht fuer App-Container, die selbst zu Authelia connecten**
  (OIDC-Discovery/Token sind Server-zu-Server): Der App-Container loest
  `auth.kaleschke.info` per Docker-DNS oft nicht auf -> `httpx.ConnectTimeout` /
  500 beim OAuth-Start. Fix wie Komodo:
  ```yaml
  extra_hosts:
    - "auth.kaleschke.info:192.168.178.58"
  ```
  Cert validiert weiter (SNI/Hostname bleibt gleich, nur die IP wird gemappt).
  Gilt fuer Mealie (bestaetigt) und sehr wahrscheinlich Paperless/Immich/Nextcloud.
 - **Additiv heisst additiv:** OIDC als zusaetzlichen Login aktivieren, lokalen
  Login NICHT abschalten, `AUTO_REDIRECT`/Force-OIDC aus -> kein Lockout.
 - **Account-Linking per E-Mail:** Apps verknuepfen den OIDC-User i. d. R. per
  E-Mail-Claim. Stimmt die Authelia-E-Mail mit dem App-Account, wird verknuepft;
  sonst legt die App (bei aktivem Signup) einen neuen User an.
 - **Secret-Mechanik je App verschieden:** Grafana `__FILE` (Docker-Secret),
  Mealie Stack-ENV `${...}`. Hash immer in der Authelia-Host-Config, Klartext nie ins Repo.
 ## Spaetere Feinschliffe vor breitem Rollout
 1. Gruppen/Rollen-Mapping: braucht es Authelia-Gruppen (z. B. `admins`, `family`) fuer
   App-Rollen (Grafana Admin/Viewer, Nextcloud-Gruppen)? Wenn ja, in der Authelia
   User-Datenbank Gruppen pflegen.
 2. Familien-2FA spaeter neu bewerten, nachdem echte Familien-Accounts in Authelia
   angelegt und TOTP pro Person verstanden ist.
@@ -0,0 +1,98 @@
 # Capacity and Lifecycle - KalliLab CORE
 Status: Initiale Capacity-Baseline 2026-05-26; H:/-Nearline-Pull seit 2026-05-28 produktiv; zweites Off-site/Cold-Storage bewusst nicht umgesetzt.
 ## Zweck
 Dieses Dokument haelt Wachstum, Schwellenwerte und Upgrade-Trigger fest. Es verhindert, dass Storage-, RAM- oder Backup-Entscheidungen erst dann getroffen werden, wenn der Host bereits unter Druck steht.
 ## Aktuelle Kapazitaet
 | Bereich | Groesse | Belegt | Frei | Schwellwert | Bewertung |
 |---|---:|---:|---:|---:|---|
 | Cache | 1.9T | 97G | 1.8T | 70 % Planung / 85 % Aktion | gruen, 6 % belegt |
 | Disk1 / Array | 5.5T | 1.8T | 3.7T | 80 % Planung / 90 % Aktion | gruen, 33 % belegt |
 | User Shares gesamt | 5.5T | 1.8T | 3.7T | 80 % Planung / 90 % Aktion | gruen, entspricht aktuell Disk1 |
 | Backups lokal | 5.5T geteilter Array-Space | 2.2G unter `/mnt/user/backups` | 3.7T Share-frei | Review bei Borg-/Dump-Wachstum | lokal nicht unabhaengig vom Array |
 | Hetzner Borg | extern / Storage Box | nicht repo-seitig gemessen | nicht repo-seitig gemessen | Borg-Stale-Alert + Account-Review | einziges echtes Off-site-Ziel |
 | Externe Cold-Platte | nicht vorhanden | - | - | Review nur bei Trigger | bewusst nicht beschafft; zweites Off-site erst bei Hetzner-Problemen, stark wachsendem Datenwert oder geaenderter Betreiber-Praeferenz |
 Pruefkommando:
 ```bash
 df -h /mnt/cache /mnt/disk1 /mnt/user
 du -sh /mnt/user/appdata/* | sort -hr | head -30
 du -sh /mnt/user/documents /mnt/user/photos /mnt/user/media /mnt/user/backups 2>/dev/null
 ```
 ## Wachstumsbereiche
 | Bereich | Erwartetes Wachstum | Risiko | Naechste Aktion |
 |---|---|---|---|
 | Medien | aktuell ca. 1.7T | groesster Speicherblock | Array-Erweiterung vor 80 % planen |
 | Immich Fotos/Videos | aktuell ca. 23G | hoechster privater Datentopf | Restore-Test priorisieren |
 | Paperless/Dokumente | aktuell ca. 199M im Documents-Share | wichtig, moderates Wachstum | Restore-Test existiert, Share-Wachstum beobachten |
 | Nextcloud | aktuell klein, kann durch Familiennutzung stark wachsen | Datenwachstum und Quotas koennen spaeter relevant werden | Quota/Backup bei Familien-Onboarding pruefen |
 | Monitoring/Loki | begrenzt durch Retention | Retention kann Disk fuellen | Retention und Volume-Groesse bei Reviews pruefen |
 | Borg Dumps | aktuell ca. 2.2G lokale Backups | Retention und Excludes pruefen | Borg-Stale + Groessenprofil |
 ## Upgrade-Trigger
 | Trigger | Massnahme |
 |---|---|
 | Cache dauerhaft >70 % | Zweite NVMe oder Appdata-Verteilung planen |
 | Cache >85 % | Sofortmassnahme, keine grossen Deployments |
 | Disk1 >80 % | Array-Erweiterung planen |
 | Disk1 >90 % | Keine neuen grossen Datenimporte, Erweiterung priorisieren |
 | RAM >90 % ueber 10 Minuten regelmaessig | RAM-Ausbau oder Service-Limits pruefen |
 | Borg-Laufzeit deutlich steigend | Scope, Netzwerk und Ziel pruefen |
 | SMART-Warnung | Ersatz planen, Restore-/Backup-Frische pruefen |
 | Keine USV-Abschaltung | Risiko ist per Operator-Entscheidung 2026-05-26 bewusst akzeptiert; bei Stromausfaellen/Datenkorruption neu bewerten |
 ## H:/ als zusaetzliches lokales Backup-Ziel
 `H:/` ist **keine echte Offsite-/Airgap-Kopie und kein Ersatz fuer Hetzner**. Es ist aber sinnvoll als zweite lokale Nearline-Kopie fuer kritische Restore-Quellen (Borg-Dumps, Repo-Bundles, Flash-Backup) und als Freeze-Sicherung vor strukturellen Eingriffen.
 | Nutzung | Umsetzung | Hinweis |
 |---|---|---|
 | Pull von `/mnt/user/backups/borg/dumps/latest` auf H:/ | Windows Scheduled Task per `robocopy` | keine CIFS-Hard-Mounts auf Unraid |
 | Pull der Gitea-Bundles aus `/mnt/user/backups/git-bundles/gitea` | identisch | Bundles sind klein und schnell synchronisiert |
 | Pull des Unraid-Flash-Artefakts `unraid-flash-config.tar.gz` | bewusst nicht im H:/ Scope | Restore-Quelle bleibt Hetzner-Borg; Flash-Config wie Secret behandeln |
 Der konkrete Pull-Pfad ist in `ops/h-drive-nearline/README.md` und `ops/h-drive-nearline/pull-critical-backups.ps1` produktiv. Der Windows Scheduled Task `KalliLab H Drive Nearline Pull` laeuft seit 2026-05-28 taeglich 05:30.
 | Abgrenzung | Bewertung | Begruendung |
 |---|---|---|
 | **Nicht** als Ersatz fuer Hetzner-Off-site | bewusst | 3-2-1 ist mit Hetzner als einzigem Off-site erfuellt; H:/ reduziert nur lokale Restore-Abhaengigkeit |
 | **Nicht** als zweites Borg-Repo am Unraid | bewusst | dauerhafte CIFS-Verbindung im Borg-Lauf verletzt Hard Rule aus `docs/STORAGE_LAYOUT.md` |
 ### Kapazitaets-Eintrag
 | Bereich | Groesse | Belegt | Schwellwert | Bewertung |
 |---|---:|---:|---:|---|
 | H:/ (Windows-Arbeitsplatz, `Externe HDD`) | 8.0T | 3.91T belegt / 4.10T frei | Review wenn > 70 % | NTFS, `Healthy`; Pull-Ziel fuer Borg-Dumps und Gitea-Bundles |
 ### Naechste Schritte
 - Task-Lauf quartalsweise gegen Reports unter `H:\kallilab-nearline-backups\_reports` pruefen.
 - Review-Intervall: quartalsweise. Bei jeder grossen Strukturaenderung Freeze-Pull manuell ausloesen.
 ## Restore-Zeitziele
 | Tier | Beispiel | Zielzeit | Status |
 |---|---|---:|---|
 | Tier 0 | Repo, Secrets, Traefik, DNS | 2-4 h | Zielwert, per DR-Sanity-Check bestaetigen |
 | Tier 1 | Gitea, Vaultwarden, Paperless, Immich | 4-8 h | Zielwert, einzelne Restore-Tests vorhanden |
 | Tier 2 | Nextcloud, Mealie, Monitoring | < 24 h | Zielwert, Restore-Pfade dokumentiert |
 | Tier 3 | Komfort-/Ops-Tools | Best effort / rebuildbar | Zielwert, keine harte SLA |
 ## Review-Log
 | Datum | Befund | Entscheidung |
 |---|---|---|
 | 2026-05-26 | Cache 6 %, Array/User-Shares 33 %, lokale Backups 2.2G; keine validierte USV-Abschaltung | Capacity gruen; USV wird aktuell nicht angeschafft, Power-Loss-Risiko bewusst akzeptiert; zweites Off-site/Cold-Storage bewusst nicht umgesetzt |
 | 2026-05-26 | H:/ als dauerhaft verbundenes Windows-Laufwerk evaluiert | als zweite lokale Nearline-Kopie und Freeze-Sicherung sinnvoll; nicht als Offsite-Ersatz und nicht als Borg-CIFS-Hard-Mount am Unraid |
 | 2026-05-26 | H:/ Kapazitaet erfasst: 8.0T NTFS, 3.91T belegt, 4.10T frei, `Healthy` | genug Reserve fuer Nearline-Pull der kritischen Restore-Artefakte |
 | 2026-05-27 | H:/ Pull-Workflow vorbereitet | SMB-Quelle `\\192.168.178.58\backups` erreichbar; PowerShell-Skript und Runbook erstellt |
 | 2026-05-28 | H:/ Pull-Workflow produktiv | Windows Scheduled Task `KalliLab H Drive Nearline Pull` taeglich 05:30 aktiv |
 | 2026-06-01 | H:/ Pull nach Redis-/Major-Cutover-Artefakten gehaertet | Borg-Dumps-Job kopiert nur kuratierte Pflichtdateien; manueller Kontrolllauf erzeugte Report `nearline-pull-2026-06-01-082553.md` |
@@ -0,0 +1,169 @@
 # Entscheidungs-Register (ADR-light)
 Typ: Entscheidung · Stand: 2026-06-11 · Status: aktiv
 Zentrales Register fuer Architektur- und Betriebsentscheidungen. Neueste oben.
 Jeder Eintrag: Entscheidung, Kontext, ggf. Alternativen und Review-Trigger.
 Lange Incident-Erzaehlungen gehoeren nicht hierher, sondern in den Commit bzw.
 Host-Report; hier steht das Destillat. Vorher lebten diese Eintraege verstreut
 in `HOMELAB_ARCHITECTURE_MASTER_V2.md` §13, `docs/MASTER_TODO.md` (Geparkt),
 `docs/HARDWARE_INVENTORY.md` und der Audit-Restliste.
 ---
 ## 2026-06-12 - Home Assistant als Container im GitOps-Stack
 **Entscheidung:** Home Assistant laeuft neu als `homeassistant` Container im
 Stack `smart-home/`, nicht als HAOS-VM und nicht als Supervised-Installation.
 Mosquitto laeuft als eigener Container im selben Stack; Zigbee2MQTT und ESPHome
 werden spaeter ebenfalls als eigenstaendige Container ergaenzt. HA haengt in
 `frontend_net` fuer Traefik und in `smarthome_net` fuer MQTT/Zigbee2MQTT/ESPHome.
 Das Fachrepo `smart-home-kalli` liefert versionierte HA-YAML-Dateien read-only;
 `.storage`, `secrets.yaml` und Integrations-State bleiben in
 `/mnt/user/appdata/homeassistant`.
 **Kontext:** Das fruehere HAOS-VM-Setup ging bei einem Crash ohne brauchbares
 Backup verloren. Das Homelab betreibt produktive Dienste inzwischen ueber
 Gitea, Komodo, Compose, Renovate und Borg. HA Container passt in dieses
 Betriebsmodell und vermeidet eine zweite Update-/Backup-Welt. Supervised ist
 kein Zielpfad mehr; HAOS bleibt die Alternative, falls Add-on-Komfort,
 Matter/Thread/HomeKit-Discovery oder Host-nahe HA-Funktionen wichtiger werden
 als GitOps-Konformitaet.
 **Review-Trigger:** Viele mDNS-/SSDP-abhaengige lokale Integrationen
 (HomeKit, Cast, Matter/Thread), Bedarf an HA-Add-ons als Betriebsstandard,
 oder wiederholte Probleme durch Bridge-Netzwerkbetrieb.
 ## 2026-06-12 - Ecowitt-Ingress bleibt bewusste Phase-2-Entscheidung
 **Entscheidung:** In Phase 1 wird kein Host-Port `8123` fuer Home Assistant
 veroeffentlicht. Ecowitt wird spaeter entweder ueber eine gezielte
 Traefik-HTTP-Ausnahme fuer den Webhook-Pfad angebunden oder, falls der globale
 HTTP-zu-HTTPS-EntryPoint-Redirect nicht sauber selektiv abloesbar ist, ueber
 einen dokumentierten LAN-only Host-Port `8123`.
 **Kontext:** Ecowitt kann nur HTTP und kein HTTPS. Traefik hat aktuell einen
 globalen `web` -> `websecure` Redirect auf EntryPoint-Ebene. Ein normaler
 HTTP-Router kann diese Regel voraussichtlich nicht umgehen, ohne Traefik selbst
 umzubauen. Deshalb wird die Entscheidung nicht vorgezogen.
 **Review-Trigger:** Start der Ecowitt-/InfluxDB-Phase oder Umbau der Traefik
 HTTP-Redirect-Architektur.
 ## 2026-06-11 — Host-DNS-Fallback aktiv (AdGuard-SPOF entschaerft)
 **Entscheidung:** Unraid-Host nutzt `eth0` DNS server 1 = `192.168.178.58` (AdGuard) und **DNS server 2 = `192.168.178.1`** (FRITZ!Box) als Failover.
 **Kontext:** AdGuard war einziger LAN-Resolver; ein Recreate hat 2026-06 einen Bulk-Deploy zerlegt, weil Docker-Pulls am eigenen DNS-Container scheiterten. Der Fallback bleibt nur passiv aktiv (Go-Resolver springt erst bei Socket-Fehler weiter), der Filter wirkt im Normalbetrieb unveraendert. `options rotate` ist nicht gesetzt. Umsetzung der Empfehlung 3a aus dem Optimierungs-Assessment vom 2026-06-10. Runbook: `docs/runbooks/komodo-bulk-deploy-dns.md`.
 **Review-Trigger:** Wenn AdGuard durch eine andere Filter-Loesung ersetzt wird oder ein zweiter Host-Resolver verfuegbar ist.
 ## 2026-06-11 — Hetzner Storage Box: automatische Snapshots aktiv
 **Entscheidung:** Automatische Snapshots auf der Hetzner Storage Box (BX11, `u565255.your-storagebox.de`) sind aktiv: taeglich um 05:30 UTC (nach dem Borg-Lauf 04:30 lokal), Retention 7 Tage, Snapshot-Verzeichnis sichtbar fuer Einzeldatei-Restore via `.zfs/snapshot/`.
 **Kontext:** Borg `append-only` ist bewusst nicht umgesetzt (siehe Eintrag 2026-06-01); damit war ein kompromittierter Host bisher in der Lage, auch das Off-site-Backup zu loeschen. Storage-Box-Snapshots sind host-seitig nicht loeschbar und im BX11-Tarif inklusive. Kosten: 0 EUR zusaetzlich. Umsetzung der Empfehlung 2 aus dem Optimierungs-Assessment vom 2026-06-10.
 **Review-Trigger:** Hetzner-Quota-Druck (aktuell 65 GB / 1 TB - viel Luft) oder Aenderung der Backup-Strategie.
 ## 2026-06-11 — Doku-Konsolidierung: ein Fakt, ein Zuhause
 **Entscheidung:** Die Dokumentation wird nach `docs/archive/2026/homelab-doku-optimierung-2026-06-11.md` konsolidiert: `MASTER_TODO.md` ist die einzige Statusliste, dieses Register die einzige Entscheidungssammlung, `docs/archive/` nimmt abgeschlossene Snapshots auf, Erledigtes verlaesst die Arbeitskopie. Keine Ordner-Restruktur des Bestands.
 **Kontext:** 74 Markdown-Dateien / ~9.400 Zeilen; einzelne Sachverhalte waren an 6–9 Stellen dokumentiert; vier parallele Statuslisten.
 **Review-Trigger:** Quartals-Gaertnern (siehe `docs/REPO_MAP.md` Doku-Regeln).
 ## 2026-06-06 — baerchen: BitLocker und Veeam Storage Encryption bewusst aus
 **Entscheidung:** BitLocker bleibt auf allen Laufwerken deaktiviert; Veeam Storage Encryption bleibt aus (`StorageEncryptionEnabled=False`).
 **Kontext:** Recovery laeuft ueber das Veeam-Image auf dem lokalen SMB-Share; kein Key-Management-Aufwand, Restrisiko physischer Diebstahl akzeptiert.
 **Review-Trigger:** Off-host-Auslagerung des Windows-Images oder geaendertes Risikoprofil. Runbook: `ops/windows-reinstall/docs/windows-image-backup-baseline.md`.
 ## 2026-06-06 — Tailscale: natives Unraid-Plugin kanonisch, restriktive ACL
 **Entscheidung:** Tailscale laeuft ausschliesslich als natives Unraid-Plugin (`tailscale.plg`, Subnet-Router, State im Flash-Backup); der redundante userspace-Docker-Stack `host-services/tailscale/` wurde entfernt. Tailnet-ACL ist tag-basiert restriktiv (`tag:server`/`tag:operator`, `tag:family` schlafend), Default-Allow entfernt.
 **Kontext:** Zwei parallele `tailscaled`-Instanzen; nur die Plugin-Instanz routet. Details: `docs/NETWORK_INVENTORY.md`.
 **Review-Trigger:** Erstes reales Familiengeraet (Familien-Dienste in ACL konkretisieren).
 ## 2026-06-06 — Authelia: 2FA-Catch-all aktiv, OIDC-Rollout gestaffelt
 **Entscheidung:** Catch-all `*.kaleschke.info` -> `two_factor` in Repo- und Host-Config. OIDC-SSO wird app-weise ausgerollt (live: Grafana, Mealie; deployed: Paperless). Immich- und Nextcloud-OIDC sowie Nextcloud-Operator-TOTP sind geparkt, bis Familien-Accounts existieren.
 **Kontext:** Nur der Operator hat aktuell einen Authelia-Account; Familien-SSO-Nutzen entsteht erst mit dem Onboarding. Runbook: `docs/AUTHELIA_OIDC_PLAN.md`.
 **Review-Trigger:** Family-Onboarding erreicht die App-Login-Ebene.
 ## 2026-06-05 — USV geparkt, Cold-Backup Hetzner-only, kein Strom-Monitoring
 **Entscheidung:** Keine USV-Anschaffung dieses Quartal (Power-Loss bewusst akzeptiert). Off-site bleibt allein Hetzner-Borg, keine zweite rotierende Cold-Kopie. Stromverbrauch wird nicht gemessen (kein Messgeraet, kein Beschaffungs-Todo).
 **Review-Trigger:** USV: Q3-Review ab 2026-07-01, Hardware-Upgrade oder realer Stromausfall mit Datenfolge. Cold-Backup: Hetzner-Probleme oder stark wachsender Datenwert. Strom: nur bei Anschaffung eines Messgeraets.
 ## 2026-06-03 — Fix Common Problems Plugin entfernt, keine Neuinstallation
 **Entscheidung:** FCP wurde deinstalliert und wird bewusst nicht wieder installiert.
 **Kontext:** Ein FCP-Scan hing 7 Tage in einem `grep -R`-Symlink-Loop ueber das gesamte Array (3 Cores 100 %, IOWAIT bis 55 %, Load 14.6 -> 1.08 nach Entfernung). Die abgedeckten Risiken uebernehmen Scrutiny, Monitoring-Stack, Posture-Check und Critical-Events-Watcher.
 **Review-Trigger:** keiner; Entscheidung ist final.
 ## 2026-06-01 — Borg append-only auf Hetzner nicht umgesetzt
 **Entscheidung:** Kein append-only/forced-command auf der Storage Box.
 **Kontext:** Der forced-command-Test brach die Key-Auth und musste per Passwort-Recovery zurueckgesetzt werden; Nutzen/Betriebsrisiko-Verhaeltnis unguenstig. Kompensation (Storage-Box-Snapshots) siehe `docs/homelab-optimierung.md` Empfehlung 2.
 **Review-Trigger:** Hetzner bietet robusteren Mechanismus, oder Ransomware-Risikoprofil aendert sich.
 ## 2026-05-28 — Plex: Reclaim, Traefik-Route ohne ForwardAuth, kein Remote Access
 **Entscheidung:** Plex-Server ist als Operator-Konto geclaimt; externer Zugriff laeuft ausschliesslich ueber Traefik/443 (`plex.kaleschke.info`, File-Provider-Ausnahme wegen Host-Netz), Plex Remote Access und WAN-Port 32400 bleiben aus, keine Authelia-ForwardAuth (native Plex-Auth).
 **Kontext:** Preferences waren nach dem Mai-Crash jungfraeulich; Claim-Token wurde nur als Shell-Inline-ENV genutzt, nie persistiert. Details: `docs/SERVICE_CATALOG.md`, `HOMELAB_ARCHITECTURE_MASTER_V2.md` §10.
 ## 2026-05-28 — Gitea-SSH (222) bleibt ohne WAN-Freigabe
 **Entscheidung:** Port 222 wird nicht in der FRITZ!Box freigegeben.
 **Kontext:** Tailscale ist der Operator-Pfad, der GitHub-Mirror deckt DR-Bootstrap ab, SSH-Brute-Force-Vektor extern vermeiden.
 ## 2026-05-28 — paperless-gpt und BentoPDF bleiben aktiv
 **Entscheidung:** Beide Container bleiben trotz geringer Nutzung. paperless-gpt-Abloese wird erst mit Paperless-NGX 3.0 (eigene KI-Features) neu bewertet; BentoPDF ist situatives Tool mit vernachlaessigbarem Footprint und ersetzt Stirling-PDF.
 **Review-Trigger:** Paperless-NGX-3.0-Release.
 ## 2026-05-26 — AdGuard-Admin nur auf Tailscale-IP, ohne Traefik/2FA
 **Entscheidung:** Admin-UI bleibt auf `100.80.98.33:8082` (Tailscale-only) gebunden; bewusst keine Traefik-/2FA-Umstellung. DNS-Port 53 bleibt direkte Host-Port-Ausnahme.
 **Review-Trigger:** Aenderung des Tailnet-Zugangsmodells.
 ## 2026-05-25 — Ein Dienst pro Funktion: Jellyfin, Homepage, Uptime-Kuma entfernt
 **Entscheidung:** Plex ist der einzige Medienserver, Glance das einzige Dashboard, Blackbox-Exporter + Prometheus-Alerts + Grafana ersetzen Uptime-Kuma.
 **Kontext:** Doppelte Dienste = doppelte Pflege/Attack-Surface. Removal-Checkliste: `docs/WORKFLOW.md`.
 ## 2026-05-17 — Monitoring-/Logging-Baseline
 **Entscheidung:** `monitoring/` ist der einzige Observability-Stack (Prometheus, Loki, Promtail, Grafana, Exporter, InfluxDB 3 Core). Loki intern ohne Route, Promtail mit read-only Docker-Socket, Loki-Daten sind Diagnosematerial mit Retention, keine Restore-Quelle. Alte Pfade `ops/loki`/`ops/grafana-influxdb` sind entfernt (Rollback nur via Git-Historie).
 ## 2026-05-05 — Stateful Digest-Pinning und Versionspolitik
 **Entscheidung:** Tier-1-/stateful Dienste laufen mit sprechendem Versions-Tag plus Digest (z. B. `postgres:17.x@sha256:...`); mutable Tags wurden 2026-04-17 auf laufende Digests eingefroren. Digest-Pinning ist Reproduzierbarkeit, kein Upgrade-Mechanismus; echte Upgrades sind eigene Aenderungsbloecke. Renovate (live seit 2026-05-29) liefert PRs, kein Auto-Merge.
 **Review-Trigger:** Mutable-Tag-Restbestand siehe `docs/homelab-optimierung.md` Empfehlung 1.
 ## 2026-05-04 — Authelia ohne Redis-Session-Backend
 **Entscheidung:** Authelia nutzt PostgreSQL fuer Storage, aber kein Redis-Session-Backend; nach Restart werden Sessions neu aufgebaut.
 **Kontext:** Haelt den Tier-1-Auth-Pfad einfach. `infra/redis` ist faktisch nur Paperless-Cache; Konsolidierung nach `apps/paperless/` bleibt denkbar, unpriorisiert.
 ## 2026-05-04 — Komodo-Self-Stack: Reconcile-Regel nach Drift
 **Entscheidung:** Der Komodo-Self-Stack laeuft aus `/mnt/user/services/stacks/komodo/compose.yaml` (Quelle: `ops/komodo/docker-compose.yml`). Bei Self-Stack-Drift kein pauschales `docker compose up -d`, wenn der Dry-run `komodo-mongo` recreaten wuerde; Core/Periphery gezielt mit `--no-deps` neu erstellen, Mongo unangetastet lassen.
 **Kontext:** Drift-Recovery 2026-05-04 (Repair-YAMLs aus `/tmp`); Sicherungen unter `/mnt/user/appdata/komodo/_drift_backup_2026-05-04/`.
 ## 2026-04-19 — Nextcloud als klassischer Stack, nicht AIO; native Auth
 **Entscheidung:** Nextcloud laeuft als App + eigene PostgreSQL + eigene Redis (kein AIO), ohne zentrale ForwardAuth (Browser-/Client-/WebDAV-Flows brauchen native Auth).
 ## 2026-04-12 — Borg-Scope enthaelt bewusst /local/secrets
 **Entscheidung:** Borg sichert ausgewaehltes Secret-Material (`/local/secrets`) als Teil der DR-Strategie; `borg-ui` hat dafuer breite, bewusste Mounts. Dumps statt Raw-DB-Pfade sind der primaere Restore-Weg.
 **Kontext:** `ops/borg-ui/BACKUP_SCOPE.md`.
 ## 2026-03-28/29 — GitOps-Fundament
 **Entscheidung:** Komodo ersetzt Portainer als alleiniger Stack-Manager (Docker-Socket-Ausnahme, native Auth ohne pauschale ForwardAuth wegen Webhooks/`/ws/periphery`). Traefik routet ausschliesslich ueber Docker-Labels; File-Provider nur fuer `middlewares.yml`, `tls.yml`, `dashboards.yml` (+ dokumentierte `plex.yml`-Ausnahme). AdGuard Home + Unbound ersetzen Pi-hole.
 **Kontext:** Konkurrierende `@file`-/`@docker`-Router hatten Fehlrouting verursacht; Regel: keine neuen Service-Routen im File-Provider.
 ## Aelteres / Sonderfaelle
 - **Paperless Stack-ENV-Ausnahme:** `PAPERLESS_DBPASS`/`PAPERLESS_REDIS` bleiben Komodo-Stack-ENV (kein `_FILE`-Support im Image); Konsequenzen fuer DR siehe `docs/DISASTER_RECOVERY.md` Phase 2.
 - **ddns-updater in `frontend_net`:** braucht Cloudflare-API; `backend_net` ist internal.
 - **mail-archiver Hybrid:** `frontend_net` (IMAP) + `backend_net` (DB), App-Auth zusaetzlich zu Authelia.
 - Vollstaendige technische Ausnahmen-Liste mit Begruendung: `HOMELAB_ARCHITECTURE_MASTER_V2.md` §10 (bleibt dort autoritativ).
@@ -0,0 +1,590 @@
 # Disaster Recovery - KalliLab CORE
 Dieses Dokument beschreibt den **kontrollierten Wiederanlauf nach einem Totalausfall des Unraid-Hosts**.
 Es ist bewusst **repo-genau** fuer dieses Homelab geschrieben und ersetzt keine Backup-Dokumentation im engeren Sinn.
 Verwandte Dokumente:
 - `docs/ROLLBACK.md` - Rueckweg bei Fehlern im laufenden GitOps-Betrieb
 - `docs/RESTORE_MATRIX.md` - Restore-Quellen und Verifikationsregeln pro Dienst
 - `ops/restore-tests/README.md` - Restore-Test-Betrieb und Werkzeuge
 - `docs/SERVICES_RECOVERY.md` - Recovery-kritische `/mnt/user/services`-Pfade, Gitea-Mirror und Komodo-Bootstrap
 - `docs/EXTERNAL_DEPENDENCIES.md` - externe Provider/Konten und Ausfall-Szenarien
 - `ops/borg-ui/BACKUP_SCOPE.md` - Zielbild des Borg-Scopes
 ---
 ## 1. Ziel und Geltungsbereich
 Dieses Runbook behandelt primaer den Fall:
 - Unraid-Host war ausgefallen oder musste neu aufgesetzt werden
 - Array / Shares sind wieder verfuegbar
 - Daten auf den Festplatten sind grundsaetzlich noch lesbar oder koennen aus Borg wiederhergestellt werden
 Es behandelt **nicht** im Detail:
 - den Rueckweg einzelner Fehl-Deployments im laufenden Betrieb
 - eine spontane Live-Reparatur an einem einzelnen Service
 - einen kompletten Datenverlust ohne verfuegbares Borg- oder Share-Material
 ---
 ## 2. Zwei verschiedene Ernstfaelle
 Diese beiden Szenarien muessen sauber getrennt werden:
 ### A. Host-/Systemausfall, aber Daten auf den Shares sind noch da
 Das ist der wahrscheinlichere und einfachere Fall.
 Dann muessen in vielen Bereichen **keine Daten aus Borg extrahiert** werden. Es reicht oft:
 1. Unraid sauber neu aufzusetzen
 2. Shares wieder einzubinden
 3. Repo / Secrets / Laufzeitpfade zu pruefen
 4. Stacks in der richtigen Reihenfolge wieder hochzufahren
 ### B. Daten muessen wirklich aus Borg wiederhergestellt werden
 Das ist der schwerere Fall.
 Dann muessen gezielt die in `docs/RESTORE_MATRIX.md` beschriebenen Pfade, Dumps und Secrets aus Borg oder anderen Restore-Quellen zurueckgeholt werden.
 **Merksatz:** Erst klaeren, ob wir nur den Host wiederbeleben oder echte Nutz-/App-Daten aus Backups zurueckholen muessen.
 ---
 ## 3. Voraussetzungen vor einem Ernstfall
 Diese Punkte sollten **vor** einem echten Ausfall geklaert sein:
 | Thema | Sollzustand |
 |---|---|
 | Repo-Zugang ausserhalb von Gitea | privater GitHub-Push-Mirror `michaelkaleschke-spec/homelab-infra` und lokaler aktueller Clone vorhanden; fuer Bare-Metal-DR zusaetzlich Read-Only-PAT/Deploy-Key offline im DR-Kit |
 | Operator-DR-Workstation | Gaming-PC mit aktuellem Repo-Clone, WSL2 + Borg-Client, SSH-Key fuer Hetzner Storage Box, Offline-Kopie Borg-Passphrase; Bestandteile siehe `docs/EXTERNAL_DEPENDENCIES.md` Abschnitt "DR-Workstation Bare-Metal-Kit" |
 | Unraid USB-/Flash-Backup | `unraid-flash-config.tar.gz` wird vor Borg unter `/mnt/user/backups/borg/dumps/latest` erzeugt und nach Hetzner/Borg gesichert; Unraid-Connect-Cloud-Backup optional zusaetzlich |
 | Borg-Ziel | nicht nur lokal auf demselben Ausfallpfad |
 | Borg-Passphrase | Host-Secret-Datei vorhanden und fuer Borg-Zugriff verifiziert; externe Offline-Hinterlegung vom Operator am 2026-05-26 bestaetigt |
 | Secrets-Dateien | ueber Borg bzw. Restore-Quellen abgedeckt |
 | Komodo Stack ENV-Werte | extern dokumentiert, z. B. Vaultwarden |
 | Services-Recovery | `docs/SERVICES_RECOVERY.md` gepflegt, insbesondere Gitea-Repo-Mirror und Komodo-Bootstrap |
 | Hardware-/Netzwerkdaten | `docs/HARDWARE_INVENTORY.md` und `docs/NETWORK_INVENTORY.md` mit echten Werten gefuellt |
 | Restore-Smoke-Tests | fuer mindestens 1-2 kritische Dienste nachgewiesen |
 **Wichtig:** Dieses Dokument ist nur so gut wie die Vorbereitung ausserhalb des Repos.
 ---
 ## 4. Phase 0 - Repo-Zugang sicherstellen
 Nach einem Totalausfall kann es sein, dass `gitea` selbst noch nicht laeuft.
 Deshalb gilt:
 1. Wenn moeglich, Repo ueber einen externen Mirror oder einen lokalen aktuellen Clone holen.
 2. Nur wenn `gitea` bereits wieder verfuegbar ist, direkt aus `git.kaleschke.info` klonen.
 Verfuegbare Wege:
 - externer Push-Mirror: `https://github.com/michaelkaleschke-spec/homelab-infra` (privat, Read-PAT/Deploy-Key noetig — siehe `docs/EXTERNAL_DEPENDENCIES.md` Abschnitt "DR-Workstation Bare-Metal-Kit")
 - lokaler Bare-Clone auf der Operator-DR-Workstation (Standardweg)
 - normaler lokaler Arbeits-Clone auf der Operator-DR-Workstation
 Operativer Pfad fuer den Repo auf den frisch installierten Unraid-Host:
 1. Operator-DR-Workstation holt den aktuellen Clone (lokaler Stand oder per `git clone` aus dem GitHub-Mirror mit dem offline gesicherten Read-PAT/Deploy-Key).
 2. Kopie via USB, SMB oder `rsync ueber SSH/Tailscale` nach `/mnt/user/services/homelab-infra/` auf dem Unraid-Host.
 3. Stand pruefen: `git -C /mnt/user/services/homelab-infra log --oneline -1` zeigt einen plausibel aktuellen Commit.
 Wenn **weder GitHub-Mirror noch lokaler Repo-Clone** verfuegbar sind, ist `services/gitea/data` selbst ein kritischer Restore-Pfad.
 ---
 ## 5. Phase 1 - Unraid und Shares wiederherstellen
 ### 5.1 Unraid-Grundzustand
 1. Unraid USB/Flash wiederherstellen oder neu aufsetzen
 2. Lizenz / Device-Zuordnung sauber herstellen
 3. Array wieder zuweisen und starten
 4. Grundlegende Shares pruefen
 Primaere lokale/off-site Restore-Quelle fuer die bestehende Flash-Konfiguration ist das Borg-Artefakt `unraid-flash-config.tar.gz` aus `/mnt/user/backups/borg/dumps/latest`. Dieses Archiv enthaelt `/boot/config` und muss wie Secret-Material behandelt werden.
 ### 5.2 Erwartete Shares / Pfade
 Mindestens diese Pfade muessen wieder verfuegbar sein:
 - `/mnt/user/appdata`
 - `/mnt/user/backups`
 - `/mnt/user/services`
 - `/mnt/user/documents`
 - `/mnt/user/photos`
 Je nach Dienst zusaetzlich:
 - `/mnt/user/finance`
 - `/mnt/remotes/...` fuer externe Backup-Ziele
 Wenn diese Pfade **nicht** sauber da sind, keine Stacks starten.
 ---
 ## 6. Phase 2 - Secrets und kritische Restore-Pfade pruefen
 Bevor produktive Dienste hochfahren, muessen die wichtigsten Secret- und Konfigurationspfade verifiziert werden.
 ### 6.1 Zentrale Secrets
 Erwartete Basis unter `/mnt/user/appdata/secrets/`:
 - `authelia_jwt_secret.txt`
 - `authelia_postgres_password.txt`
 - `authelia_session_secret.txt`
 - `authelia_smtp_password.txt`
 - `authelia_storage_encryption_key.txt`
 - `immich_postgres_password.txt`
 - `komodo_mongo_password.txt`
 - `mealie_postgres_password.txt`
 - `nextcloud_admin_password.txt`
 - `nextcloud_admin_user.txt`
 - `nextcloud_postgres_password.txt`
 - `postgres_password.txt`
 - `redis_password.txt`
 - `borg_repo_passphrase.txt`
 - `vaultwarden_admin_token.txt`
 - `homelab_smtp_password.txt`
 - `n8n_encryption_key.txt`
 - `monitoring_grafana_admin_password.txt`
 - `monitoring_grafana_influxdb_token.txt`
 - `influxdb3_admin_token.json`
 - `filebrowser_admin_password.txt`
 - `hermes_runner_id_ed25519`
 Weitere relevante Secret-Pfade:
 - `/mnt/user/appdata/traefik/secrets/cloudflare_dns_api_token`
 - `/mnt/user/appdata/code-server/secrets/password`
 ### 6.2 Stack-ENV-Werte ausserhalb von Datei-Secrets
 Diese Werte sind vor dem Start der betroffenen Dienste zu pruefen bzw. wieder in Komodo zu hinterlegen:
 - `PAPERLESS_DBPASS`
 - `PAPERLESS_REDIS`
 - `IMMICH_DB_PASSWORD`
 - `MAILARCHIVER_DB_CONNECTION`
 - `MAILARCHIVER_AUTH_PASSWORD`
 - `HERMES_DASHBOARD_HOST`
 - Hermes Host-`.env` fuer Provider-/API-/Home-Assistant-Tokens
 - `KOMODO_SECRET_KEY`
 - `KOMODO_WEBHOOK_SECRET`
 - `KOMODO_JWT_SECRET`
 - `KOMODO_MONGO_PASSWORD`
 - `KOMODO_PERIPHERY_PASSKEY`
 - `APP_KEY` und `ADMIN_PASSWORD` fuer `speedtest-tracker`
 Zusaetzlich rebuildbar (keine kritische Recovery-Quelle, koennen aus Provider-/App-UIs neu erzeugt werden):
 - `GLANCE_IMMICH_API_KEY`, `GLANCE_ADGUARD_USERNAME`, `GLANCE_ADGUARD_PASSWORD`, `GLANCE_SPEEDTEST_API_KEY` fuer `glance` Community-/Live-Widgets
 ### 6.2.1 Restore-Quellen fuer Stack-ENV-Werte
 Stack-ENV-Werte liegen **nicht im Repo** und **nicht als Datei-Secret** unter `/mnt/user/appdata/secrets/`. Sie sind nur an drei Stellen erreichbar; bei Recovery in dieser Reihenfolge pruefen:
 1. **Komodo-Mongo-Dump** `komodo-mongo.archive.gz` unter `/mnt/user/backups/borg/dumps/latest/`. Solange Komodo selbst noch nicht laeuft, ist der Mongo-Dump die kanonische Quelle. Restore in eine Test-Mongo-Instanz, anschliessend Werte aus der `stack`-Collection lesen. **Niemals** Werte in andere Dokumente kopieren.
 2. **Vaultwarden** Eintrag "Komodo Stack ENV / KalliLab CORE" (bzw. der entsprechende Eintrag pro Stack). Voraussetzung: Vaultwarden ist bereits restauriert (`docs/RESTORE_MATRIX.md`).
 3. **Externe Operator-Notiz** (versiegelter Umschlag, Bankschliessfach, oder analoge Sicherung neben der Borg-Passphrase). Nur als Notfall-Quelle, wenn weder Komodo-Mongo noch Vaultwarden verfuegbar sind.
 **Reihenfolge-Konsequenz fuer den Bootstrap-Pfad in Phase 4 (Stufe 4 weiter unten):**
 - Vor dem Start von `apps/paperless/`, `apps/immich/`, `apps/mail-archiver/` und `ops/speedtest/` muessen die jeweiligen Stack-ENV-Werte in Komodo wieder hinterlegt sein.
 - Wenn `komodo-mongo.archive.gz` frisch ist, koennen die Werte beim Komodo-Restart aus dem Dump zurueckgespielt werden, ohne dass jemand sie sieht.
 - Wenn Vaultwarden vor Komodo restauriert wird (was hier nicht der Standardweg ist), kann auch von dort gelesen werden.
 **Paperless ist die wichtigste bewusste Ausnahme:** `PAPERLESS_DBPASS` und `PAPERLESS_REDIS` sind seit der Hardening-Phase bewusst Stack-ENV (Paperless unterstuetzt `_FILE` fuer DB-Pass nicht). Ein Komodo-Mongo-Dump-Verlust ist daher fuer Paperless gleichbedeutend mit Re-Initialisierung der App-DB; in diesem Fall hilft nur ein Restore aus Vaultwarden oder externer Notiz.
 **Regel:** Konkrete Werte werden **nirgendwo** im Repo, in Logs, in Doku-Kommentaren oder in ntfy-Meldungen wiedergegeben. Auch dieses Dokument haelt nur Variablennamen, Quellen und Reihenfolge fest, keine Werte.
 ### 6.3 Rechte
 Nach einem Restore oder manuellem Rueckkopieren:
 - Secret-Dateien wieder auf sinnvolle restriktive Rechte setzen
 - keine produktiven Dienste starten, solange offensichtliche Secret-Dateien fehlen
 ---
 ## 7. Phase 3 - Was wirklich aus Borg kommen muss
 Nicht alles muss in jedem Fall aus Borg zurueckgespielt werden.
 ### 7.1 Typischer Host-Ausfall ohne Datenverlust
 In diesem Fall meist **kein kompletter Borg-Extract** notwendig.
 Stattdessen:
 1. Shares und Pfade pruefen
 2. Secrets pruefen
 3. Dumps unter `/mnt/user/backups/borg/dumps/latest` pruefen
 4. Stacks kontrolliert hochfahren
 ### 7.2 Wenn echte Daten aus Borg benoetigt werden
 Dann nur gezielt die in `docs/RESTORE_MATRIX.md` beschriebenen Pfade wiederherstellen.
 Besonders kritisch:
 - `/mnt/user/appdata/secrets`
 - `/mnt/user/appdata/traefik`
 - `/mnt/user/services/homelab-infra`
 - `/mnt/user/services/stacks`
 - `/mnt/user/services/posture-check`
 - Details zu `/mnt/user/services/` und Komodo/Gitea-Bootstrap stehen in `docs/SERVICES_RECOVERY.md`
 - `/mnt/user/services/gitea/data`
 - `/mnt/user/appdata/authelia/config`
 - `/mnt/user/appdata/komodo/core`
 - `/mnt/user/appdata/komodo/periphery`
 - `/mnt/user/backups/borg/dumps/latest`
 - `/mnt/user/backups/borg/dumps/latest/unraid-flash-config.tar.gz`
 - dienstspezifische App- und Nutzdatenpfade
 **Nicht blind alles extrahieren**, wenn nur einzelne Pfade oder Dienste betroffen sind.
 ### 7.3 Borg-Extract ohne `borg-ui`-Container
 Im Bare-Metal-Fall ist `borg-ui` selbst kalt. Der initiale Borg-Extract laeuft deshalb nicht ueber den Container, sondern wahlweise ueber:
 1. **Operator-DR-Workstation** (Standardweg) - WSL2 + `borgbackup` extrahieren gezielt nach `/mnt/user/backups/restore-lab/...` oder per `rsync`/SMB auf den Unraid-Host.
 2. **Native Docker-Variante auf Unraid** - `docker run --rm -e BORG_PASSPHRASE=... -v /mnt/user/backups/restore-lab:/restore -v ~/.ssh:/root/.ssh:ro borgbackup/borg:1.4 ...`.
 Erst nach Stufe 5 Phase 4 ist `borg-ui` produktiv und uebernimmt den weiteren Betrieb. Die Borg-Passphrase wird interaktiv aus der Offline-Sicherung eingegeben, nicht in Skripte/Tickets kopiert.
 ---
 ## 8. Phase 4 - Bootstrap-Reihenfolge der Stacks
 **Nie alle Stacks gleichzeitig starten.**
 ### Stufe 0 - Docker-Grundlage
 Vor dem ersten `docker compose up` muss sichergestellt sein:
 1. `docker info` antwortet ohne Fehler.
 2. Externe Docker-Netze existieren. Wenn nicht vorhanden:
   ```bash
   docker network create --driver bridge frontend_net
   docker network create --driver bridge --internal backend_net
   docker network create --driver bridge monitoring_net
   ```
 3. Pfad `/mnt/user/appdata/traefik/dynamic/` enthaelt `middlewares.yml`, `tls.yml`, `dashboards.yml` (Sonderregel siehe Sektion 10). Ohne diese Dateien startet Traefik ohne Middleware-Definitionen und alle Authelia-geschuetzten Routen brechen still.
 Erfolgskriterium: `docker network ls` zeigt `frontend_net`, `backend_net`, `monitoring_net`; Traefik-`dynamic/`-Dateien sind vorhanden und valide.
 ### Stufe 1 - Netz und Zugang
 1. `traefik/`
 2. `host-services/Adguard/`
 > **Tailscale-Hinweis:** Tailscale laeuft als **natives Unraid-Plugin**
 > (`tailscale.plg`, Interface `tailscale1`, State `/boot/config/plugins/tailscale/state`,
 > im Flash-Backup gesichert) und ist der Subnet-Router fuer `192.168.178.0/24`.
 > Es ist **kein** Compose-/Komodo-Stack mehr und kommt mit dem Host hoch — daher
 > nicht in dieser Bootstrap-Liste. Der frueher hier gelistete Docker-Stack
 > `host-services/tailscale/` (userspace-only, redundant) wurde am 2026-06-06
 > entfernt (siehe `docs/NETWORK_INVENTORY.md`).
 **LE-Rate-Limit-Vorsicht:** Wenn `/mnt/user/appdata/traefik/letsencrypt/acme.json` verloren oder unklar ist, zuerst gegen Let's Encrypt Staging ausstellen lassen (`--certificatesresolvers.le.acme.caserver=https://acme-staging-v02.api.letsencrypt.org/directory`). Erst nach gruenem Smoke wieder auf Production-CA. Hintergrund: 50 Zertifikate pro Domain pro Woche reicht bei einem hektischen Wiederanlauf nicht, wenn man die Sub-Domains mehrfach hochzieht.
 Ziel:
 - Web-Einstieg funktioniert
 - DNS/Resolver-Basis ist da
 - Remote-Zugang ist wieder verfuegbar
 ### Stufe 2 - Gemeinsame Backends und Identity
 4. `infra/postgresql17/` (PostgreSQL 18 runtime, historischer Stack-Name bleibt fuer Service-DNS stabil)
 5. `security/authelia/`
 6. `infra/redis/`
 7. `core/gitea/`
 Ziel:
 - gemeinsame DB verfuegbar
 - zentrale Auth laeuft; Authelia nutzt bewusst kein Redis-Session-Backend
 - Authelia SMTP-Notifier kann GMX erreichen
 - Redis verfuegbar als App-Cache fuer Paperless (`infra/redis` ist historisch als "shared" angelegt, wird faktisch nur von Paperless genutzt)
 - Git-Zugriff wiederhergestellt
 ### Stufe 3 - Deploy-System
 8. `ops/komodo/` - **Kaltstart-Anker, kein Auto-Deploy**
 Komodo wird in dieser Stufe bewusst **nicht** ueber Gitea-Webhook deployed. Der vollstaendige Bootstrap-Pfad ist in `docs/SERVICES_RECOVERY.md` Abschnitt "Komodo Bootstrap" als lineare Stufen A-F dokumentiert. Hier in der DR-Reihenfolge gilt der Einstiegspunkt:
 - Recovery-Anker ist `ops/komodo/docker-compose.yml` aus dem Repo (lokaler Clone, GitHub-Mirror oder `homelab-infra.bundle`-Restore).
 - Komodo-Stack-ENV-Werte (`KOMODO_*`) sind Stack-ENV-only und werden aus Vaultwarden oder externer Notiz wiederhergestellt (siehe `docs/SECRETS_MAP.md` Abschnitt "Stack-ENV-only Secrets - Restore-Wege").
 - Erst nach erfolgreicher Validierung der Komodo-Web-UI und Periphery-Verbindung werden in den naechsten Stufen die produktiven Stacks aufgenommen.
 Ziel:
 - Komodo Core und Mongo laufen
 - Periphery verbindet sich wieder
 - Stacks koennen wieder aus Git konsumiert werden
 **Wichtige Stolperfallen in Stufe 3:**
 - **KOMODO_*-Werte sind nicht aus dem eigenen Mongo-Dump rekonstruierbar.** Pflichtquelle im Bare-Metal: offline gesicherte Operator-Notiz (Status 2026-06-03: noch nicht angelegt, siehe `docs/EXTERNAL_DEPENDENCIES.md` und Audit-Restliste). Vaultwarden ist erst in Stufe 4 verfuegbar.
 - **Mongo-Datadir und `komodo_mongo_password.txt` muessen aus demselben Snapshot stammen.** Bei Mismatch akzeptiert Mongo den Login nicht und der Stack startet nicht. Auswege: entweder die zur Datadir passende Secret-Datei aus dem gleichen Borg-Stand restaurieren, oder Datadir leeren, neu initialisieren und Daten via `mongorestore --archive --gzip` aus `komodo-mongo.archive.gz` einspielen (Drill belegt 2026-06-03).
 - **`extra_hosts: git.kaleschke.info:192.168.178.58`** in `ops/komodo/docker-compose.yml` ist hardgecodet. Bei geaenderter Host-LAN-IP auf der Recovery-Hardware den Wert vor `compose up` anpassen, sonst kann Komodo-Core das interne Gitea nicht erreichen.
 - **Stack-ENV-Werte fuer Apps in Stufe 4** (Paperless/Immich/Mailarchiver/Speedtest) sind in Stufe 3 noch leer. Zwei Wege: (a) optionaler `mongorestore` aus `komodo-mongo.archive.gz` direkt nach Komodo-Start, dann sind alle Stack-ENVs zurueck; (b) Werte manuell in der Komodo-UI eintragen, sobald Vaultwarden in Stufe 4 verfuegbar ist (was Paperless/Immich/Mailarchiver hinter Vaultwarden zwingt, nicht parallel).
 ### Stufe 4 - Kritische Anwendungen
 9. `security/vaultwarden/`
 10. `apps/paperless/`
 11. `apps/immich/`
 12. `apps/mealie/`
 13. `apps/mail-archiver/`
 14. `apps/nextcloud/`
 ### Stufe 5 - Restliche Apps und Ops
 15. `apps/ntfy/`
 16. `apps/paperless-gpt/`
 17. `apps/bentopdf/`
 18. `ops/glance/`
 19. `ops/borg-ui/`
 20. `ops/filebrowser/`
 21. `ops/glances/`
 22. `ops/scrutiny/`
 23. `ops/speedtest/`
 24. `monitoring/`
 25. `ops/hermes-agent/`
 26. `infra/ddns-updater/`
 **Regel:** Nach jeder Stufe kurz pruefen, bevor die naechste beginnt.
 ---
 ## 9. Phase 5 - Verifikation nach dem Wiederanlauf
 ### 9.1 Fundament
 - `traefik.kaleschke.info` erreichbar
 - Authelia-Login funktioniert
 - AdGuard beantwortet DNS-Anfragen
 - Tailscale ist verbunden
 ### 9.2 GitOps
 - `git.kaleschke.info` erreichbar
 - Repo vorhanden
 - `komodo.kaleschke.info` erreichbar
 - Periphery verbunden
 ### 9.3 Kritische Apps
 - Vaultwarden startet und ist erreichbar
 - Paperless startet und sieht Dokumente
 - Immich startet und sieht Medien
 - Mealie startet
 - Mail-Archiver startet
 - Nextcloud startet und sieht Dateien
 - Pro App: `docker logs <container>` zeigt keine `password authentication failed`-, `FATAL: role does not exist`- oder `Connection refused`-Eintraege (verifiziert, dass Stack-ENV-Werte und DB-Rollen passen)
 ### 9.4 Backup-/Beobachtungsebene
 - Borg UI startet und kennt sein Repo noch
 - aktuelle Dump-Artefakte sind vorhanden
 - Glance / Monitoring / ntfy sind wieder da
 - Hermes Gateway und Dashboard starten; `hermes.kaleschke.info` leitet anonym zu Authelia weiter
 ---
 ## 10. Bekannte Sonderregeln
 ### Traefik `dynamic/`
 `traefik/dynamic/*` bleibt eine dokumentierte manuelle Ausnahme.
 Das bedeutet:
 - Git allein reicht hier nicht
 - die Dateien unter `/mnt/user/appdata/traefik/dynamic/` muessen real vorhanden sein
 - nach einem Restore oder Neuaufbau diesen Pfad explizit pruefen
 ### `paperless-ngx`
 `paperless-ngx` bleibt bewusst bei Stack Environment Variables fuer:
 - `PAPERLESS_DBPASS`
 - `PAPERLESS_REDIS`
 Nach einem Komodo-Neuaufbau muessen diese Werte vor dem Start des Stacks wieder gesetzt sein.
 ### `authelia`
 Authelia nutzt GMX SMTP fuer Identity-/2FA-Benachrichtigungen.
 Vor dem Start muessen vorhanden sein:
 - `/mnt/user/appdata/secrets/authelia_smtp_password.txt`
 - SMTP-Zugang fuer `michideheld@gmx.de`
 Beim Smoke-Test muss `authelia config validate` erfolgreich sein; der SMTP-Startup-Check darf den Start nicht blockieren.
 ### `nextcloud`
 `nextcloud` ist bewusst kein AIO-Stack, sondern ein klassischer App-/PostgreSQL-/Redis-Stack.
 Vor dem Start muessen vorhanden sein:
 - `/mnt/user/appdata/secrets/nextcloud_admin_user.txt`
 - `/mnt/user/appdata/secrets/nextcloud_admin_password.txt`
 - `/mnt/user/appdata/secrets/nextcloud_postgres_password.txt`
 Zusaetzlich muss der Nutzdatenpfad `/mnt/user/documents/nextcloud-data` erreichbar sein.
 Beim PostgreSQL-Restore beachten:
 - vor einem produktiven Dump `occ maintenance:mode --on` setzen
 - die produktive DB-Rolle kann von `POSTGRES_USER` abweichen; aktuell nutzt Nextcloud laut `config.php` die Rolle `oc_admin`
 - nach Restore und erfolgreichem `occ status` den Wartungsmodus mit `occ maintenance:mode --off` beenden
 ### Borg-Dumps
 Die Dump-Erzeugung ist host-seitig gedacht, nicht als Borg-UI-Inline-Hook.
 Relevant:
 - Dump-Ziel: `/mnt/user/backups/borg/dumps/latest`
 - Skript: `ops/borg-ui/scripts/pre-backup-dumps.sh`
 - Unraid-Flash-Artefakt: `unraid-flash-config.tar.gz` plus `.sha256` und Manifest im selben Zielpfad
 ### Redis 8 Restore / Rollback
 Redis-Instanzen laufen auf der 8.x-Schiene. Vor Major-Upgrades wird `redis-cli SAVE` ausgefuehrt und der jeweilige Datenpfad kopiert.
 Aktive Pfade und Besonderheiten:
 - Shared Redis: `/mnt/user/appdata/redis`, Passwort aus `redis_password.txt`, AOF aktiv.
 - Nextcloud Redis: `/mnt/user/appdata/nextcloud/redis`, ohne Redis-Passwort, Snapshot-Persistenz.
 - Immich Redis: cache/queue-only ohne bind-mounted Datenpfad; Restore-Wahrheit ist Immich Postgres + Foto-Dateien, nicht Redis.
 Rollback:
 1. Abhaengige App stoppen.
 2. Redis stoppen.
 3. Compose auf das vorherige Redis-7.4-Image zuruecksetzen.
 4. Bei Shared/Nextcloud den vor dem Cutover kopierten Datenpfad zurueckkopieren.
 5. Redis und App starten, `redis-cli INFO server` und App-Smoke pruefen.
 ### PostgreSQL 18 Major-Upgrade / Rollback
 Produktive PostgreSQL-18-Cluster verwenden das Docker-Image-Layout mit Host-Mount auf `/var/lib/postgresql` und `PGDATA=/var/lib/postgresql/18/docker`.
 Aktive Datenpfade:
 - Shared PostgreSQL: `/mnt/user/appdata/postgresql18`
 - Mealie PostgreSQL: `/mnt/user/appdata/mealie/postgres18`
 - Nextcloud PostgreSQL: `/mnt/user/appdata/nextcloud/postgres18`
 Rollback-Altstaende wurden nach Burn-in am 2026-06-02 reversibel archiviert:
 - Shared PostgreSQL 17: `/mnt/user/appdata/_archive/pg18-immich-rollback-volumes-20260602/postgresql17`
 - Mealie PostgreSQL 17: `/mnt/user/appdata/_archive/pg18-immich-rollback-volumes-20260602/mealie-postgres17`
 - Nextcloud PostgreSQL 17: `/mnt/user/appdata/_archive/pg18-immich-rollback-volumes-20260602/nextcloud-postgres17`
 Restore-Reihenfolge fuer den Shared-Cluster:
 1. Frischen PostgreSQL-18-Cluster starten.
 2. Globals aus `pg_dumpall --globals-only` einspielen.
 3. Den bekannten Bootstrap-Konflikt fuer `CREATE ROLE mailarchiver;` gezielt tolerieren bzw. herausfiltern, danach `ALTER ROLE mailarchiver ...` dennoch einspielen.
 4. Datenbanken anlegen und Custom-Format-Dumps mit `pg_restore` einspielen.
 5. Restore-Logs auf echte `ERROR`, `FATAL` und `PANIC` pruefen.
 Immich ist bewusst nicht Teil dieses PostgreSQL-18-Laufs: Die produktive DB bleibt auf PostgreSQL 14 und nutzt das Immich-Postgres-Image mit VectorChord/pgvector. VectorChord-Backups brauchen zum Restore ein Image mit VectorChord; der alte pgvecto.rs-Datenpfad ist als Rollback-Altstand unter `/mnt/user/appdata/_archive/pg18-immich-rollback-volumes-20260602/immich-postgres-pgvecto-rs` archiviert.
 ### Hermes Agent
 Hermes nutzt einen lokalen Build und hostseitige Runtime-Daten.
 Vor dem Start muessen vorhanden sein:
 - `/mnt/user/appdata/hermes-agent/data`
 - `/mnt/user/appdata/hermes-agent/ssh`
 - `/mnt/user/appdata/secrets/hermes_runner_id_ed25519`
 - die hostseitige Hermes `.env` mit Provider-/API-/Home-Assistant-Tokens
 Smoke-Test: `hermes-gateway` healthcheck ist gruen, `hermes.kaleschke.info` leitet fuer anonyme Requests zu Authelia weiter.
 ### Gitea
 `Micha/homelab-infra` wird als privater GitHub-Push-Mirror gespiegelt. Dieser Mirror ist der bevorzugte Repo-Bootstrap, falls Gitea selbst nach einem Ausfall noch nicht laeuft. Wenn weder GitHub-Mirror noch lokaler Clone verfuegbar sind, ist `services/gitea/data` selbst Teil des kritischen Wiederanlaufs.
 ### Windows-Workstation `baerchen`
 `baerchen` ist die Operator-Workstation und haelt den lokalen Clone unter
 `G:\Gitea_Clone\homelab-infra`. Fuer einen schnellen Windows-Bare-Metal-Restore
 existiert ein Veeam-Agent-Image-Workflow.
 Wichtige Pfade und Artefakte:
 - Runbook: `ops/windows-reinstall/docs/windows-image-backup-baseline.md`
 - Backup-Ziel: `\\kallilabcore\backups\windows-images\baerchen`
 - Host-Pfad: `/mnt/user/backups/windows-images/baerchen/`
 - Recovery-Medium: USB-Stick `VEEAMRE`, beschriftet
  `baerchen Veeam Recovery - 2026-06-05`
 - Veeam Job: `baerchen-c-image`
 - Veeam Storage Encryption: erster Full-Lauf 2026-06-05 laut Job-Log
  unverschluesselt (`StorageEncryptionEnabled=False`); falls spaeter aktiviert,
  Passwort in Vaultwarden Secure Note `Veeam baerchen backup encryption password`
  sichern
 Restore-Kurzpfad:
 1. Von `VEEAMRE` booten.
 2. SMB-Ziel `\\kallilabcore\backups\windows-images\baerchen` oeffnen.
 3. Mit bestehendem SMB-User `micha` authentifizieren.
 4. Restore Point auswaehlen.
 5. Falls der Restore Point verschluesselt ist: Veeam-Encryption-Passwort aus
   Vaultwarden eingeben.
 6. Bare-Metal-Restore nur auf die Windows-Systemdisk ausfuehren.
 BitLocker ist am 2026-06-05 bewusst noch nicht aktiv. Falls BitLocker spaeter
 aktiviert wird, muss der Recovery-Key vor dem naechsten Restore-Drill in
 Vaultwarden, unter `D:\30_Finanzen\BitLocker-RecoveryKey-baerchen-<DATUM>.txt`
 und physisch ausserhalb des Rechners abgelegt sein.
 ---
 ## 11. Laufende Vorbereitung
 Offene Punkte werden in `docs/MASTER_TODO.md` gefuehrt. Daueraufgaben:
 - Unraid-Flash-Artefakt regelmaessig pruefen (`ops/maintenance/check-unraid-flash-backup.sh`)
 - Offline-Kopien (Borg-Passphrase, KOMODO_*-Notiz, DR-Keys) bei Reviews nur auf Auffindbarkeit pruefen, nie Werte dokumentieren
 - `komodo-mongo`-Dump nach Major-Upgrades gezielt kontrollieren
 - Restore-Drills nach Kadenz aus `ops/restore-tests/schedule.md` rotieren
 ---
 ## 12. Kurzform fuer den Ernstfall
 Wenn es schnell gehen muss:
 1. Unraid und Shares sauber wiederherstellen
 2. Repo-Zugang sichern
 3. Secrets und Stack-ENV-Werte pruefen
 4. Stacks in der festgelegten Reihenfolge hochfahren
 5. Kritische Apps testen
 6. Nur bei echtem Datenbedarf gezielt aus Borg wiederherstellen
 Dieses Dokument soll **Ruhe in den Ablauf bringen**, nicht Hektik erzeugen.
@@ -0,0 +1,225 @@
 # DR-Workstation Setup-Runbook
 Stand: 2026-06-03
 Konkrete Schritte, um den Operator-Gaming-PC als DR-Workstation einzurichten. Der Endzustand ist in `docs/EXTERNAL_DEPENDENCIES.md` Abschnitt "DR-Workstation Bare-Metal-Kit" beschrieben; dieses Dokument ist der Weg dahin.
 Vorbedingung: Repo-Clone unter `G:\Gitea_Clone\homelab-infra`, Hetzner-DR-SSH-Key und GitHub-Deploy-Key liegen offline auf USB.
 Aufwand: einmalig ~30-60 Min interaktiv.
 ---
 ## Schritt 1 - WSL2 + Ubuntu installieren (~15 Min)
 PowerShell als **Administrator** oeffnen:
 ```powershell
 wsl --install -d Ubuntu
 ```
 - Bei "Virtualization nicht aktiviert"-Fehler: BIOS rein, Intel VT-x / AMD-V einschalten, neu starten, Befehl wiederholen.
 - Nach Install: Ubuntu startet automatisch und fragt nach Username + Passwort. Username egal (z. B. `dr`), Passwort merken (wird fuer `sudo` gebraucht).
 - Reboot kann noetig sein - PowerShell sagt es.
 Verifikation in Ubuntu (oeffnet sich automatisch):
 ```bash
 lsb_release -a
 uname -r
 ```
 Erwartet: `Ubuntu 24.04 LTS`, Kernel beginnt mit `5.x` oder `6.x` und enthaelt `microsoft-standard-WSL2`.
 ---
 ## Schritt 2 - Borg-Client installieren (~3 Min)
 In der Ubuntu-Shell:
 ```bash
 sudo apt update
 sudo apt install -y borgbackup openssh-client
 borg --version
 ```
 Erwartet: `borg 1.2.x` oder `1.4.x`. Beides reicht fuer das produktive Borg-Repo auf Hetzner.
 ---
 ## Schritt 3 - Hetzner-DR-SSH-Key in WSL ablegen (~5 Min)
 Wichtig: der Private-Key liegt offline auf USB. Fuer die Workstation-Routine wird er auf das WSL-Filesystem kopiert - **das ist die Arbeitskopie**, nicht die Offline-Sicherung. Wenn die WSL kaputtgeht, kommt der Key zurueck vom USB; das Offline-Original bleibt unangetastet.
 USB einstecken. In WSL kopieren (Pfad anpassen je nach Laufwerksbuchstabe):
 ```bash
 mkdir -p ~/.ssh
 cp /mnt/<USB-Buchstabe>/dr-hetzner-2026-06-03/dr-hetzner ~/.ssh/dr-hetzner
 chmod 600 ~/.ssh/dr-hetzner
 ```
 `<USB-Buchstabe>` ist meistens `e`, `f` oder `g` - Windows-Laufwerke werden in WSL unter `/mnt/<buchstabe>` gemountet.
 Smoke-Test:
 ```bash
 ssh -i ~/.ssh/dr-hetzner -o IdentitiesOnly=yes -p 23 \
    u565255@u565255.your-storagebox.de "ls"
 ```
 Erwartet: vier Verzeichnisse (`backup`, `backup2`, `hetzner_borg_appdata`, `hetzner_borg_appdata_critical`), exit 0, kein Passwort-Prompt.
 ---
 ## Schritt 4 - Borg-Passphrase eingeben und `borg list` testen (~5 Min)
 Borg verlangt die Passphrase beim ersten Repo-Zugriff. Die liegt offline gesichert (Operator-Bestaetigung 2026-05-26).
 Einmaliger Smoke gegen das wichtige Repo:
 ```bash
 export BORG_RSH="ssh -i ~/.ssh/dr-hetzner -o IdentitiesOnly=yes -p 23"
 borg list ssh://u565255@u565255.your-storagebox.de/./hetzner_borg_appdata_critical
 ```
 Borg fragt nach der Passphrase. Eingeben (sie wird nicht angezeigt, das ist normal).
 Erwartet: Liste mit Archiv-Namen, jeder im Stil `Taegliche-Sicherung-YYYY-MM-DDTHH:MM:SS.xxx`. Wenn ja: Borg-Schicht funktioniert.
 **Wert wird nirgendwo gespeichert.** `BORG_PASSPHRASE`-Env-Variable wird **nicht** dauerhaft gesetzt; Passphrase wird im Notfall immer interaktiv eingegeben.
 ---
 ## Schritt 5 - GitHub-Deploy-Key in WSL ablegen (~3 Min)
 Gleiches Muster wie Hetzner-Key:
 ```bash
 cp /mnt/<USB-Buchstabe>/dr-readonly-2026-06-03/dr-readonly ~/.ssh/dr-readonly
 chmod 600 ~/.ssh/dr-readonly
 ```
 Smoke-Test gegen den privaten GitHub-Mirror:
 ```bash
 GIT_SSH_COMMAND="ssh -i ~/.ssh/dr-readonly -o IdentitiesOnly=yes" \
    git ls-remote git@github.com:michaelkaleschke-spec/homelab-infra.git | head -3
 ```
 Erwartet: HEAD und mindestens ein `refs/heads/master`-Eintrag.
 ---
 ## Schritt 6 - Quartals-Smoke als Skript ablegen (~5 Min)
 Damit der "ich pruefe das vierteljaehrlich"-Schritt zur Routine wird, ein kleines Skript ins WSL-Home:
 Stand 2026-06-06: Das Skript liegt zusaetzlich versioniert unter
 `ops/maintenance/dr-workstation-smoke.sh` und wurde auf `baerchen` bereits nach
 `~/dr-smoke.sh` in die Ubuntu-WSL kopiert. Borg 1.2.8 ist installiert, die
 DR-Key-Arbeitskopien liegen unter `~/.ssh/dr-readonly` und
 `~/.ssh/dr-hetzner`, GitHub-Read-Smoke und Hetzner-SSH-Smoke sind erfolgreich.
 Der finale Borg-Smoke via `bash ~/dr-smoke.sh` wurde am 2026-06-06 ebenfalls
 erfolgreich gefahren (`DR-Smoke OK (2026-06-06 10:05:30)`). Die Borg-Passphrase
 wurde nur interaktiv eingegeben und nicht gespeichert.
 ```bash
 cat > ~/dr-smoke.sh <<'EOF'
 #!/bin/bash
 # DR-Workstation Quartals-Smoke
 # Pruefen: GitHub-Read, Hetzner-SSH, Borg-Repo-Erreichbarkeit
 # Passphrase wird interaktiv abgefragt - Skript speichert keinen Wert.
 set -e
 echo "=== GitHub Deploy-Key ==="
 GIT_SSH_COMMAND="ssh -i ~/.ssh/dr-readonly -o IdentitiesOnly=yes" \
    git ls-remote git@github.com:michaelkaleschke-spec/homelab-infra.git \
    | head -1
 echo
 echo "=== Hetzner SSH-Login ==="
 ssh -i ~/.ssh/dr-hetzner -o IdentitiesOnly=yes -p 23 \
    u565255@u565255.your-storagebox.de "ls" | head -5
 echo
 echo "=== Borg-Repo (Passphrase wird abgefragt) ==="
 export BORG_RSH="ssh -i ~/.ssh/dr-hetzner -o IdentitiesOnly=yes -p 23"
 borg info ssh://u565255@u565255.your-storagebox.de/./hetzner_borg_appdata_critical | head -10
 echo
 echo "DR-Smoke OK ($(date '+%F %T'))"
 EOF
 chmod +x ~/dr-smoke.sh
 ```
 Aufrufen mit:
 ```bash
 bash ~/dr-smoke.sh
 ```
 Termin im Kalender: einmal pro Quartal, ~5 Min Aufwand.
 ---
 ## Schritt 7 - Eintrag in EXTERNAL_DEPENDENCIES Review nachziehen
 Nach erfolgreicher Einrichtung im Repo dokumentieren. In `docs/EXTERNAL_DEPENDENCIES.md` unter "Review":
 ```
 | 2026-06-XX | DR-Workstation produktiv: WSL2 Ubuntu auf Gaming-PC, borgbackup installiert, Hetzner-DR-Key und GitHub-Deploy-Key in ~/.ssh, Quartals-Smoke-Skript ~/dr-smoke.sh. Bare-Metal-DR-Pillars sind damit alle vier produktionsreif. | Quartalsweise Smoke laufen lassen |
 ```
 Falls der Punkt noch als offen in `docs/MASTER_TODO.md` steht, dort in den Kurzlog uebernehmen.
 ---
 ## Troubleshooting
 ### `wsl --install` schlaegt fehl mit "WSL 2 requires an update"
 ```powershell
 wsl --update
 wsl --shutdown
 wsl --install -d Ubuntu
 ```
 ### Hetzner-SSH fragt nach Passwort statt Key-Login zu akzeptieren
 Permissions des Keys pruefen:
 ```bash
 ls -la ~/.ssh/dr-hetzner
 ```
 Muss `-rw-------` (also `600`) sein. Wenn anders:
 ```bash
 chmod 600 ~/.ssh/dr-hetzner
 ```
 Bei weiterhin Passwort-Prompt: Pubkey-Inhalt gegen das authorized_keys-Format der Storage Box pruefen (sollte `ssh-ed25519 AAAA...` ohne Leerzeilen sein).
 ### `borg list` haengt oder schlaegt mit "Connection refused" fehl
 Port 23 explizit pruefen:
 ```bash
 nc -vz u565255.your-storagebox.de 23
 ```
 Wenn das fehlschlaegt: Hetzner-Status-Page pruefen, sonst SSH-Verbindung an sich blockiert (Firewall, ISP).
 ### GitHub-Pull fragt nach Username/Passwort
 Stelle sicher dass die URL `git@github.com:...` ist (SSH), nicht `https://github.com/...`. Bei HTTPS wuerde GitHub Username/PAT verlangen, was wir bewusst nicht eingerichtet haben.
 ---
 ## Was nach diesem Runbook gilt
 Mit allen Schritten erledigt ist der vierte Bare-Metal-DR-Pillar zu (siehe `docs/EXTERNAL_DEPENDENCIES.md`). Der DR-Workstation-Status ist dann:
 - WSL2 Ubuntu installiert
 - borgbackup einsatzbereit
 - SSH-Keys (Hetzner, GitHub) in `~/.ssh/`
 - Quartals-Smoke-Skript laeuft
 Damit ist im Bare-Metal-Fall der Pfad "Unraid tot -> Gaming-PC nimmt die DR-Arbeit auf" tatsaechlich gangbar, nicht nur in Doku theoretisch.
@@ -0,0 +1,101 @@
 # External Dependencies - KalliLab CORE
 Status: Betreiber-Baseline 2026-06-01; Account-Recovery, Schluessel und Besitznachweise bleiben ausserhalb des Repos.
 ## Zweck
 Dieses Dokument beschreibt externe Anbieter und Konten, von denen Betrieb, Recovery oder Zugriff abhaengen. Ziel ist, im Ausfallfall nicht erst suchen zu muessen, welcher Provider welches Teilproblem verursacht.
 ## Abhaengigkeiten
 | Anbieter / System | Zweck | Kritikalitaet | Recovery-Auswirkung | Zugang / Besitz | Notfallplan |
 |---|---|---:|---|---|---|
 | Telekom DSL | Internet-Uplink | hoch | Public Apps, ACME, DDNS, Hetzner-Off-site und Tailscale-Initial-Verbindung fallen aus | Telekom-Kundenkonto | Kein WAN-Failover am Standort eingerichtet (FRITZ!Box-Ausfallschutz inaktiv); lokale LAN-Dienste laufen weiter; Hotspot-Behelf nur fuer Operator-Arbeit, nicht fuer Public Apps |
 | FRITZ!Box 7590 | Router, DHCP, Telefonie, WAN | hoch | LAN ohne DHCP/Routing; auch lokale Inter-Subnet-Kommunikation kann brechen | Operator-Login auf `192.168.178.1` | FRITZ!Box-Konfig-Backup vom 2026-06-01 liegt extern/off-system in Vaultwarden; Reset-Pin und Account-Pfad bereithalten; Remote-HTTPS/FTP/FTPS aus dem Internet sind aus |
 | Domain-Registrar | Besitz `kaleschke.info` | hoch | Ohne Domain brechen Public URLs/TLS-Erneuerung | Operator-Konto ausserhalb Repo, konkreten Registrar im Account pruefen | Registrar-Zugang, 2FA-Recovery und Zahlungsweg analog/off-system sichern |
 | Cloudflare DNS | Authoritative DNS, ACME DNS-Challenge, DDNS | hoch | Neue Zertifikate/DNS-Aenderungen blockiert | Cloudflare-Konto; API-Token liegt als Host-Secret | API-Token rotierbar halten, Account-Recovery und Zone-Besitz pruefen |
 | Hetzner Storage Box | Off-site Borg Backup | kritisch | Restore aus Off-site ggf. nicht moeglich | Hetzner-Konto / Storage-Box-Zugang ausserhalb Repo | Borg-Passphrase ist offline gesichert; Hetzner 2FA/Recovery/Zahlung sind bestaetigt; Storage Box ist SSH-only, Maintenance-Key liegt in Vaultwarden; Borg `append-only` wird per Operator-Entscheidung nicht umgesetzt |
 | GitHub Mirror | Externer Repo-Mirror `michaelkaleschke-spec/homelab-infra` (privat) | mittel/hoch | Gitea-Verlust abfederbar, aber Bare-Metal-Bootstrap braucht Read-Zugang (PAT oder SSH-Deploy-Key); ohne diesen ist der Mirror im DR nicht klonbar | GitHub-Konto; Push-PAT liegt in Gitea-Mirror-Settings; **Read-PAT/Deploy-Key fuer DR muss zusaetzlich offline im DR-Kit liegen** | Mirror-Status regelmaessig pruefen; lokalen Clone als zweite Kopie behalten; Read-PAT mit Scope `repo:read` separat erzeugen und im DR-Kit ablegen |
 | Tailscale | Remote-/Operator-Zugang | hoch | Remote-Zugriff erschwert, lokale Bedienung bleibt | Tailnet-Konto; Node `Kallilabcore`, IPv4 `100.80.98.33` | Break-glass per LAN und physischem Zugriff; Tailnet-Recovery-Codes sichern |
 | GMX SMTP | Authelia Notifier, Vaultwarden-Einladungen, Ops-Report-Mail | mittel | Mail-Notifier und Vaultwarden-Einladungen fallen aus; Login selbst nicht zwingend | GMX-Konto; SMTP-Secrets liegen hostseitig | ntfy/zweiter SMTP als Fallback pruefen |
 | OpenAI API | Paperless-GPT LLM und Vision-OCR | mittel | Automatische Dokument-Titel, Tags, Korrespondenten und LLM-OCR fallen aus; Paperless selbst laeuft weiter | OpenAI-Projekt/API-Key ausserhalb Repo | Key in Vaultwarden/Komodo sichern, bei Offenlegung rotieren; Kosten/Usage im OpenAI-Projekt beobachten |
 | Let's Encrypt | TLS-Zertifikate | hoch | Cert-Erneuerung faellt aus | automatisch via Traefik und Cloudflare DNS-Challenge | Cert-Expiry Alert einrichten; Cloudflare-Token und Traefik-Storage pruefen |
 | Container Registries | Image Pulls von Docker Hub, GHCR, LSCR, Gitea Registry u. a. | mittel | Redeploy/Update blockiert | ueberwiegend oeffentlich; keine produktiven Registry-Tokens im Repo | Gepinnte Digests und lokale Runtime helfen kurzfristig; Updates geplant und einzeln deployen |
 | Plex Konto | Plex native Auth, Claim und Client-Zugriff ueber `plex.kaleschke.info` | mittel | Plex-Web/App-Login und Clients koennen ausfallen; LAN-Medienpfade bleiben lokal | Plex-Konto ausserhalb Repo; `PLEX_CLAIM` nur fuer Setup | Plex Remote Access bleibt aus; externer Zugriff laeuft ueber Traefik/443. Konto-Recovery separat sichern |
 | Mobile Push | ntfy und ggf. mobile Plattform-Pushes | niedrig/mittel | Alerts erreichen Mobilgeraete ggf. nicht | App-/Device-seitig | Kritische Alerts zusaetzlich in Grafana/Glance sichtbar halten |
 | Operator-DR-Workstation | Bare-Metal-Recovery-Arbeitsplatz (Gaming-PC Windows, lokaler Repo-Clone `G:\Gitea_Clone\homelab-infra`) | kritisch | Ohne Workstation kein Borg-Extract, kein Hetzner-Zugriff, kein Repo-Bootstrap; der Unraid-Host ist im Bare-Metal-Fall gerade weg | Operator-PC, WSL2 + Borg-Client, SSH-Key fuer Hetzner Storage Box, Offline-Kopie der Borg-Passphrase | Setup als bewusste DR-Vorbedingung pflegen (siehe Abschnitt "DR-Workstation Bare-Metal-Kit") |
 ## Kritische Secrets ausserhalb des Repos
 Authoritativ ist `docs/SECRETS_MAP.md`. Diese Liste markiert nur externe Abhaengigkeiten.
 | Secret | Zweck | Recovery-Hinweis |
 |---|---|---|
 | Borg Passphrase | Entschluesselung Borg-Repos | Offline gesichert, Operator-Bestaetigung 2026-05-26 |
 | Cloudflare DNS API Token | ACME DNS-Challenge | Token-Rotation und Scope pruefen |
 | GitHub Mirror Token | Push-Mirror | In Gitea/GitHub verwaltet, nicht im Repo |
 | Tailscale Account Recovery | Tailnet-Zugang | Account-2FA/Recovery Codes sichern |
 | SMTP Passwort | Authelia Mail, Vaultwarden-Einladungen, Ops-Report-Mail | In Host-Secrets, Fallback pruefen |
 | Domain-Registrar Recovery | Domain-Besitz und Zahlung | Account, 2FA und Zahlungsweg ausserhalb des Homelabs sichern |
 | Hetzner Storage Box Zugang | Off-site Backup-Ziel | Account 2FA aktiv, Recovery Key offline gedruckt, Zahlungsweg ok; Maintenance-Key und Storage-Box-Passwort in Vaultwarden |
 | OpenAI API Key | Paperless-GPT GPT-Zugriff | Als Stack ENV / Vaultwarden-Eintrag sichern; bei Verdacht auf Leak rotieren |
 | KOMODO_* Stack-ENV-Notiz | Offline-Sicherung der 5 Komodo-Werte (`KOMODO_SECRET_KEY`, `KOMODO_WEBHOOK_SECRET`, `KOMODO_JWT_SECRET`, `KOMODO_MONGO_PASSWORD`, `KOMODO_PERIPHERY_PASSKEY`) | **Status 2026-06-03: offline gesichert (Operator-Bestaetigung)**. Quelle der Werte ist die host-seitige Self-Stack-`.env` (`/mnt/user/services/stacks/komodo/.env`) bzw. die Drift-Recovery-Kopie unter `/mnt/user/appdata/secrets/_komodo_stack_env_recovery_2026-05-04.env`. Nicht im Repo, nicht in ntfy, nicht in Logs |
 | GitHub-Mirror Read-Only Deploy-Key | DR-Read-Zugang zum privaten Mirror `michaelkaleschke-spec/homelab-infra` | **Status 2026-06-03: offline gesichert (Operator-Bestaetigung).** SSH-Deploy-Key `dr-readonly-2026-06-03` (ed25519, Passphrase-frei), Title in GitHub Repo Settings -> Deploy Keys: `DR Read-Only 2026-06-03`, Write-Access bewusst deaktiviert. Private Key liegt offline neben der KOMODO_*-Notiz. Smoke `git ls-remote` am 2026-06-03 erfolgreich. |
 ## DR-Workstation Bare-Metal-Kit
 Der Operator-Gaming-PC ist im Bare-Metal-Fall die einzige Stelle, von der aus Recovery starten kann. Folgende Bestandteile gehoeren zum minimalen DR-Kit auf diesem Rechner:
 | Bestandteil | Zweck | Pruefen |
 |---|---|---|
 | Repo-Clone `G:\Gitea_Clone\homelab-infra` (master, gefetcht) | Recovery-Anker fuer `ops/komodo/docker-compose.yml`, Restore-Skripte | `git -C G:\Gitea_Clone\homelab-infra log --oneline -1` plausibel aktuell |
 | Read-Zugang zum privaten GitHub-Mirror | Fallback, falls lokaler Clone defekt | SSH-Deploy-Key `dr-readonly-2026-06-03` (ed25519, Passphrase-frei) offline im DR-Kit, ein Test-Clone pro Quartal mit `GIT_SSH_COMMAND="ssh -i <pfad-zum-key> -o IdentitiesOnly=yes" git ls-remote git@github.com:michaelkaleschke-spec/homelab-infra.git` |
 | WSL2 mit Borg-Client (`apt install borgbackup`) | Borg-Extract von Hetzner Storage Box ohne laufenden Unraid-Host | `borg --version` antwortet; ein `borg list` gegen Hetzner-Repo laeuft |
 | SSH-Key fuer Hetzner Storage Box | Login auf `u565255.your-storagebox.de:23` | **Status 2026-06-03: ed25519-DR-Key `dr-hetzner-2026-06-03` offline gesichert.** Pubkey via `install-ssh-key` auf der Storage Box autorisiert, passwortloser Login erfolgreich, `ls` zeigt vier Borg-Repos (`backup`, `backup2`, `hetzner_borg_appdata`, `hetzner_borg_appdata_critical`). Private Key liegt offline neben KOMODO_*-Notiz und GitHub-Deploy-Key |
 | Offline-Kopie Borg-Passphrase | Entschluesselung des Borg-Repos | Operator-Bestaetigung 2026-05-26; bei Reviews nur Auffindbarkeit pruefen |
 | Offline-Kopie KOMODO_* Stack-ENV | Komodo-Bootstrap ohne Vaultwarden | **Status 2026-06-03: offline gesichert (Operator-Bestaetigung)** |
 | Vaultwarden Master-Passwort offline | Zugriff auf Vaultwarden-Export im DR | Operator-Wissen, ggf. analog gesichert |
 Operative Regel: Die DR-Workstation wird nicht als Test-/Spiel-PC betrachtet. WSL und das DR-Kit duerfen nicht unbemerkt unbrauchbar werden. Quartalsweise minimaler Trockenlauf: `borg list <hetzner-repo>` muss antworten und der Repo-Clone muss fetchbar bleiben.
 ## Ausfall-Szenarien
 ### Hetzner Storage Box nicht erreichbar
 - Lokales Borg-Repo und aktuelle Dumps pruefen.
 - Keine destruktiven Host-Aenderungen starten, solange Off-site unklar ist.
 - H:/ Nearline-Pull als schnelle lokale Zweitkopie fuer kritische Restore-Artefakte nutzen.
 - Zweites Off-site-Ziel nur neu bewerten bei Hetzner-Problemen, stark wachsendem Datenwert oder geaenderter Betreiber-Praeferenz.
 ### Cloudflare Account/DNS gestoert
 - Bestehende Zertifikate laufen bis Ablauf weiter.
 - Keine Domain-/ACME-Aenderungen moeglich.
 - Tailscale/LAN-Zugang als Break-glass nutzen.
 ### Tailscale gestoert
 - Lokalen LAN-Zugang nutzen.
 - Direkte Admin-Ports nur gemaess dokumentierten Ausnahmen verwenden.
 - AdGuard-Admin-Bind muss so geplant werden, dass ein lokaler Break-glass-Weg bekannt ist.
 - Seit 2026-05-26 ist AdGuard Admin nur ueber `100.80.98.33:8082` gebunden; bei Tailnet-Ausfall ist lokaler Host-/Compose-Zugriff der Break-glass-Weg.
 ### Telekom-DSL / FRITZ!Box gestoert
 - Lokale LAN-Apps (Plex, AdGuard-DNS, lokales Borg-Dump-Repository) bleiben verfuegbar, solange Host und Switch laufen.
 - Tailscale-Sessions, die bereits stehen, koennen ueber DERP/Relays kurzzeitig weiterlaufen; neue Verbindungen koennen ausfallen.
 - ACME-/DDNS-/Hetzner-Backup-Laeufe pausieren bis WAN zurueck ist.
 - FRITZ!OS ist am 2026-06-01 auf 8.25 (`154.08.25`) beobachtet; weitere Updates nur in einem geplanten Service-Fenster einspielen, weil Reboot WAN/Tailscale-Aufbau unterbricht.
 ### Domain verloren oder Registrar-Zugriff verloren
 - Gitea/GitHub Mirror und lokale IP/Tailscale-Pfade fuer Recovery nutzen.
 - Neue Domain waere separater Migrationsfall fuer Traefik, Authelia, App-URLs und Clients.
 ## Review
 | Datum | Ergebnis | Naechste Aktion |
 |---|---|---|
 | 2026-05-26 bis 2026-06-03 | Baseline und Haertung abgeschlossen: externe Abhaengigkeiten dokumentiert; FRITZ!Box-WAN auf 443/tcp bereinigt, Remote-Dienste aus, Konfig-Backup in Vaultwarden; Hetzner-Account-Hygiene (2FA, Recovery Key offline); KOMODO_*-Notiz und GitHub-Read-Deploy-Key offline gesichert. Detailhistorie in Git. | Keine Folgeaktion |
 | 2026-06-03 | Hetzner Storage Box DR-SSH-Key `dr-hetzner-2026-06-03` (ed25519, Passphrase-frei) erzeugt, via `install-ssh-key` auf Storage Box `u565255.your-storagebox.de:23` autorisiert, passwortloser Login erfolgreich (Borg-Repos sichtbar), Private-Key offline neben KOMODO_*-Notiz und GitHub-Deploy-Key abgelegt, Arbeitsplatz-Kopie geloescht. Bare-Metal-Borg-Restore von der DR-Workstation ist damit moeglich, sobald WSL2 + Borg-Client installiert sind. | Restliche P1-Operator-Aufgaben: WSL2 + Borg-Client auf DR-Workstation installieren, Nextcloud-Restore-Test |
 | 2026-06-06 | DR-Workstation produktiv: WSL2 Ubuntu 24.04 vorhanden, SSH/Git und Borg 1.2.8 in WSL vorhanden, DR-Key-Arbeitskopien unter `~/.ssh/dr-readonly` und `~/.ssh/dr-hetzner`, GitHub-Read-Smoke und Hetzner-SSH-Smoke erfolgreich, `ops/maintenance/dr-workstation-smoke.sh` nach `~/dr-smoke.sh` kopiert. Finaler Operator-Smoke erfolgreich: GitHub HEAD `3a263a4...`, Hetzner Storage Box Repos sichtbar, Borg-Repo `hetzner_borg_appdata_critical` gelesen, Repository ID `5dd9b949...`, encrypted `Yes (repokey)`, `DR-Smoke OK (2026-06-06 10:05:30)`. | Quartalsweise `bash ~/dr-smoke.sh`; Borg-Passphrase weiterhin nur interaktiv eingeben und nicht speichern |
@@ -0,0 +1,143 @@
 # External Operator Runbook
 Stand: 2026-06-01
 Dieses Runbook schliesst die Betreiber-Aufgaben, die nicht vollstaendig aus dem
 Repo automatisierbar sind: Hetzner-Account-Hygiene, Borg-Append-Only und
 FRITZ!Box-Servicefenster. Keine Secret-Werte ins Repo schreiben.
 ## 1. Vorher pruefen
 Auf dem Unraid-Host:
 ```bash
 bash /mnt/user/services/homelab-infra/ops/maintenance/check-external-operator.sh
 ```
 Erwarteter Stand vom 2026-06-01:
 - FRITZ!Box 7590 meldet FRITZ!OS `154.08.25`.
 - FRITZ!Box IPv6-Firewall meldet `FirewallEnabled=1`; `InboundPinholeAllowed=1` bedeutet, dass IPv6-Freigaben technisch moeglich sind und in der UI gegengeprueft werden muessen.
 - Public DNS fuer `*.kaleschke.info` liefert A-Records auf `217.249.115.154`, keine AAAA-Records.
 - Host hat keine globale Provider-IPv6-Adresse; sichtbar ist nur Tailscale-IPv6 `fd7a:115c:a1e0::2c01:62b2`.
 - WAN-Smoke gegen die Public-IP: `443/tcp` offen, `80/tcp` und `222/tcp` geschlossen.
 - FRITZ!Box-UI-Gegencheck vom 2026-06-01: Remote-HTTPS auf die FRITZ!Box ist aus, FTP/FTPS auf Speichermedien ist aus, nur `443/tcp -> 192.168.178.58` ist als WAN-Freigabe sichtbar, keine aktive IPv6-Freigabe sichtbar, UPnP-Selbstfreigaben aus.
 - FRITZ!Box-Konfig-Backup vom 2026-06-01 ist extern/off-system in Vaultwarden abgelegt; Datei und Kennwort nicht ins Repo schreiben.
 - Borg UI nutzt `borg 1.4.x`; Repository `appdata-critical` liegt auf Hetzner Storage Box `ssh://...your-storagebox.de:23/./hetzner_borg_appdata_critical`.
 - Hetzner-Account-Hygiene vom 2026-06-01: 2FA aktiv, Recovery Key offline gedruckt, Zahlung ok.
 - Storage Box vom 2026-06-01: SSH aktiv, SMB/WebDAV aus, separater Maintenance-Key in Vaultwarden, produktiver Borg-UI-Key und Maintenance-Key nach Passwort-Recovery getestet.
 - Restore-Freshness: `Critical 0`, `Warnings 0`.
 ## 2. Hetzner Account-Hygiene
 Im Hetzner-/Storage-Box-Konto pruefen und extern/off-system dokumentieren:
 | Punkt | Soll |
 |---|---|
 | Passwort | stark, eindeutig, im Passwortmanager |
 | 2FA | aktiv, Recovery Key offline auffindbar |
 | Kontakt-E-Mail | aktuell und ohne Homelab-Abhaengigkeit erreichbar |
 | Zahlungsweg | gueltig, Fallback bekannt |
 | Storage Box | Produkt, Benutzer und Rechnungsstatus sichtbar |
 | SSH/SFTP/WebDAV/SMB | nur benoetigte Protokolle aktiv |
 | Recovery | Kundennummer, Login-Pfad und Support-Pfad extern notiert |
 Im Repo nur das Datum der Bestaetigung dokumentieren, nie Zugangsdaten.
 ## 3. Borg Append-Only
 Status: **bewusst nicht umgesetzt**.
 Ziel der Haertung waere gewesen: Der produktive Backup-Client darf neue Archive
 schreiben, aber nicht normal prune/delete/compact als unbeschraenkter Client
 ausfuehren.
 Hetzner dokumentiert Borg-Zugriff auf Storage Boxen inklusive `--remote-path`
 fuer Borg-Versionen; fuer Borg 1.4 wird `--remote-path=borg-1.4` empfohlen.
 Hetzner bestaetigt auch, dass append-only moeglich ist. Borg selbst setzt
 append-only pro SSH-Key typischerweise ueber einen forced command in
 `authorized_keys` um.
 Getestetes Zielmodell, aber **nicht auf der produktiven Storage Box aktiv**:
 ```text
 command="borg-1.4 serve --append-only --restrict-to-repository /home/hetzner_borg_appdata_critical",restrict ssh-ed25519 <backup-public-key> borg-ui-append-only
 ssh-ed25519 <maintenance-public-key> borg-maintenance
 ```
 Hinweise:
 - Stand 2026-06-01: Ein forced-command-Versuch auf der produktiven
  Storage-Box-`authorized_keys` brach die Key-Authentifizierung. Recovery
  erfolgte per Storage-Box-Passwort und Upload einer bereinigten
  `authorized_keys` mit Borg-UI-Key und Maintenance-Key.
 - Operator-Entscheidung 2026-06-01: Append-only wird fuer dieses Homelab nicht
  umgesetzt. Der zusaetzliche Schutz steht hier nicht im Verhaeltnis zum
  Betriebsrisiko und zur Komplexitaet.
 - Pfad auf der Storage Box vor dem Eintragen pruefen. Bei Hetzner werden Pfade
  im Borg-Repo haeufig relativ als `./repo-name` verwendet; in
  `authorized_keys` muss der serverseitige Pfad zur Storage-Box-Home-Struktur
  passen.
 - Der produktive Borg-UI-Key bleibt bewusst uneingeschraenkt, damit die
  produktiven Backups laufen.
 - Ein separater Maintenance-Key bleibt fuer bewusste Retention/Prune/Compact
  noetig und liegt in Vaultwarden; lokale temporare Key-Dateien wurden geloescht.
 - Append-only verhindert nicht, dass ein kompromittierter Client Archive als
  geloescht markiert; es verhindert die unmittelbare physische Entfernung.
  Nach einem Vorfall keine unbeschraenkte Schreiboperation ausfuehren, bevor
  die Borg-Transaktionen bewertet wurden.
 Nach Aenderung:
 1. Einen regulaeren Borg-Lauf abwarten oder manuell starten.
 2. `check-external-operator.sh` ausfuehren.
 3. Nur das Ergebnis dokumentieren: Datum/Befund im Review-Log von `docs/EXTERNAL_DEPENDENCIES.md`.
 ## 4. FRITZ!Box-Servicefenster
 Vor dem Fenster:
 1. Familie informieren: Internet/Telefonie koennen kurz weg sein.
 2. Aktuellen Repo-Stand und Borg-Freshness pruefen.
 3. FRITZ!Box-Konfig exportieren: `System -> Sicherung -> Sichern`.
 4. Sicherungsdatei nicht ins Repo legen; im Passwortmanager/off-system ablegen.
 In der FRITZ!Box:
 | Bereich | Soll |
 |---|---|
 | `System -> Update` | FRITZ!OS aktuell; am 2026-06-01 per TR-064 `154.08.25` beobachtet |
 | `Internet -> Freigaben -> Portfreigaben` | nur `443/tcp -> 192.168.178.58:443` |
 | `Internet -> Freigaben -> FRITZ!Box-Dienste` | Remote-HTTPS auf FRITZ!Box-UI aus; FTP/FTPS auf Speichermedien aus |
 | IPv6-Portfreigaben | keine aktiven Freigaben; insbesondere kein `222/tcp`, kein Admin-Port |
 | Selbststaendige Portfreigaben/UPnP | fuer `Kallilabcore` aus; neue Geraete nur bewusst erlauben |
 | Gastnetz | bleibt aus, solange keine Gastnetz-Policy gepflegt wird |
 | Ausfallschutz | bewusst aus; nur neu bewerten, wenn ein Mobilfunk-Fallback gewuenscht ist |
 Nach dem Fenster:
 ```bash
 bash /mnt/user/services/homelab-infra/ops/maintenance/check-external-operator.sh
 ```
 Dann in `docs/NETWORK_INVENTORY.md` aktualisieren:
 - FRITZ!OS-Version
 - IPv6-Status
 - aktive Portfreigaben
 - FRITZ!Box-Dienste aus dem Internet
 - Datum der Konfig-Sicherung
 ## Quellen
 - Hetzner Docs: Storage Box Zugriff mit SSH/rsync/BorgBackup, inklusive
  Borg-Versionen, `--remote-path` und Append-Only-Hinweis:
  <https://docs.hetzner.com/storage/storage-box/access/access-ssh-rsync-borg/>
 - BorgBackup Docs: `borg serve --append-only` und forced commands in
  `authorized_keys`:
  <https://borgbackup.readthedocs.io/en/stable/deployment/pull-backup.html>
 - AVM FRITZ!Box Hilfe: IPv6-Portfreigaben werden separat verwaltet; eingehende
  Zugriffe sind standardmaessig nicht offen:
  <https://help.avm.de/fritzbox.php?hardware=145&language=en&oem=avme&set=009&topic=hilfe_internet_freigabe_ipv6>
 - AVM FRITZ!Box Hilfe: Sicherung der FRITZ!Box-Einstellungen:
  <https://help.avm.de/fritzbox.php?hardware=145&language=en&oem=avme&set=009&topic=hilfe_system_export>
--- a/Show More
+++ b/Show More
		`@@ -1 +0,0 @@`
			`"""Pydantic models for API and domain data."""`