Micha/homelab-infra
1
0
Fork 0
Code Issues 1 Pull Requests 5 Actions Packages Projects Releases Wiki Activity
Files
513f41b852033d744f12ec35485664c553150635
homelab-infra/docs/AI_CONTEXT.md
T
Micha 42ed59a4d7 docs: commit pending status updates from 2026-06-06 sprint wrap-up 
Preserves uncommitted working-copy updates (Veeam recovery test done,
BitLocker decision, ACL rollout, freshness negative test) before the
documentation consolidation restructures these files.

Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
2026-06-11 07:00:25 +02:00

4.5 KiB
Raw Blame History

AI Context

Stand: 2026-06-06

Kurzer Kontext fuer KI-Agenten. Nicht als Ersatz fuer die echten Runbooks lesen.

Systembild

  • Host: Unraid Kallilabcore
  • Betriebsmodell: GitOps mit Gitea origin/master als Sollzustand
  • Deploy: Komodo zieht aus Gitea und startet Compose-Stacks
  • Ingress: Traefik; WAN-seitig bewusst nur 443/tcp
  • Secrets: nie im Repo, meist unter /mnt/user/appdata/secrets/
  • Backup: Borg plus host-seitige Dumps; Hetzner ist Offsite, H:/ ist lokale Nearline-Kopie

Vor jeder Aenderung lesen

  1. HOMELAB_ARCHITECTURE_MASTER_V2.md
  2. docs/WORKFLOW.md
  3. betroffene Compose-Datei
  4. bei Service-Fragen docs/SERVICE_CATALOG.md
  5. bei Restore/DR docs/DISASTER_RECOVERY.md und docs/RESTORE_MATRIX.md

Harte Regeln

  • Keine Secrets zitieren oder ins Repo schreiben.
  • Keine produktiven Host-Hotfixes ohne Repo-Abgleich.
  • Datenbanken nie ins frontend_net.
  • Direkte Host-Ports sind Ausnahme.
  • Traefik dynamic config und Authelia Host-Config sind manuelle Sync-Ausnahmen.
  • Bei Drift zuerst Git, Gitea, Komodo Workspace, Docker Runtime und Host getrennt pruefen.
  • Nach zwei fehlgeschlagenen Reparaturversuchen stoppen und docs/GITOPS_DRIFT_RUNBOOK.md nutzen.

Bekannte Ausnahmen

  • Traefik: Host-Ports 80/443, WAN-Freigabe nur 443
  • Gitea: SSH auf Host-Port 222, keine WAN-Freigabe
  • AdGuard: DNS 53 direkt; Admin nur auf Tailscale-IP 100.80.98.33:8082
  • Tailscale und Plex: Host-Netz
  • Scrutiny: privileged
  • Komodo/Periphery: Docker-Socket-Zugriff
  • InfluxDB 3 Core: 127.0.0.1:8181, Root-User-Ausnahme dokumentiert

Aktuelle Restpunkte

Authoritativ: docs/MASTER_TODO.md.

Kurzfassung:

  • Keine offenen Operator-Entscheidungen laut docs/MASTER_TODO.md.
  • Aktiv: Family-Onboarding, physischer Unraid-Flash-Stick-Boot-Test, Tailscale-Restore-Test und Authelia-OIDC-Rollout fuer Paperless/Immich/Nextcloud.
  • Bewusst geparkt: CrowdSec, Hermes, USV, zweites Off-site-Ziel, Borg append-only, Nextcloud-TOTP bis zur OIDC-/Familien-Login-Policy.

Letzte Bestaetigung:

  • Windows-Image baerchen: Veeam Agent Free Job baerchen-c-image auf \\kallilabcore\backups\windows-images\baerchen, erster Full-Backup-Lauf 2026-06-05 erfolgreich, GUI-Wert 53,8 GB, Dauer 0:11:31. Recovery-USB-/SMB-/ Restore-Point-Test ohne echten Restore wurde am 2026-06-06 erfolgreich abgeschlossen.
  • Veeam Storage Encryption bleibt bewusst deaktiviert (StorageEncryptionEnabled=False); neu bewerten bei Off-host-Auslagerung des Windows-Images.
  • BitLocker fuer baerchen ist bewusst deaktiviert; Recovery laeuft ueber Veeam-Image, kein BitLocker-Key-Management.
  • Tailscale-Inventar 2026-06-05 real gemessen: Kallilabcore 100.80.98.33, IPv6 fd7a:115c:a1e0::2c01:62b2, kein Exit Node, aber aktiver Subnet Router fuer 192.168.178.0/24. Restriktive tag-basierte ACL ist seit 2026-06-06 live; Default-Allow ist entfernt.
  • Unraid-Flash-Backup-Artefaktpruefung: ops/maintenance/check-unraid-flash-backup.sh prueft Artefakt, SHA256, Alter und Kern-Configs. Test 2026-06-05 gegen Host erfolgreich laut docs/MASTER_TODO.md.
  • Borg-Nachlauf 2026-06-01 erfolgreich: Archiv Taegliche-Sicherung-2026-06-01T04:30:26.913, Freshness Critical 0 / Warnings 0.
  • H:/ Nearline-Pull 2026-06-01 repariert: Borg-Dumps werden kuratiert kopiert, Gitea-Bundles aktuell.
  • Family-Status-Dashboard liegt als monitoring/grafana/dashboards/family-status.json im Repo.
  • Alt-Volumes nach PG18/VectorChord-Burn-in sind seit 2026-06-02 reversibel archiviert unter /mnt/user/appdata/_archive/pg18-immich-rollback-volumes-20260602; die alten Originalpfade sind nicht mehr aktiv gemountet.
  • Family-Onboarding ist auf drei Nutzungsziele fokussiert: Vaultwarden, Immich und Mealie; praktischer Ablauf in docs/FAMILY_ONBOARDING.md.
  • Externer Betreibercheck: ops/maintenance/check-external-operator.sh; FRITZ!Box 7590 meldet FRITZ!OS 154.08.25, DNS fuer Public Apps hat keine AAAA-Records, Host hat keine globale Provider-IPv6.
  • FRITZ!Box-UI 2026-06-01: Remote-HTTPS auf FRITZ!Box-UI aus, FTP/FTPS auf Speichermedien aus, WAN-Freigabe nur 443/tcp, keine aktive IPv6-Freigabe sichtbar, UPnP-Selbstfreigaben aus.
  • FRITZ!Box-Konfig-Backup 2026-06-01 extern/off-system in Vaultwarden abgelegt; Datei und Kennwort bleiben ausserhalb des Repos.
  • Hetzner-Account-Hygiene 2026-06-01 erledigt: 2FA aktiv, Recovery Key offline gedruckt, Zahlung ok; Storage Box SSH-only, Maintenance-Key in Vaultwarden. Append-only forced-command brach Key-Auth und wurde per Passwort-Recovery zurueckgesetzt; Operator-Entscheidung: fuer dieses Homelab bewusst nicht umsetzen.
Reference in New Issue View Git Blame Copy Permalink