Micha/homelab-infra
1
0
Fork 0
Code Issues 1 Pull Requests 1 Actions Packages Projects Releases Wiki Activity
Files
7b6c03b4334509cc59213f6f96cb2e08a92fe142
homelab-infra/docs/OFFSITE_BACKUP_OPTIONS.md
T
Micha 7d64248710 Decide against second offsite, keep paperless-gpt and BentoPDF 
Operator-Entscheidungen 2026-05-28:

- F-03 zweites Off-site: bewusst NICHT umgesetzt. 3-2-1 ist mit
  Live + lokalem Borg + Hetzner + H:/-Nearline erfuellt; ein
  zweites Off-site deckt nur den Fall "Hetzner-Account verloren"
  ab, Aufwand unverhaeltnismaessig fuer Familien-Homelab.
  Stattdessen drei Folge-TODOs zur Haertung der bestehenden
  Topologie. Hetzner-2FA bewusst ohne (Operator-Praeferenz,
  analog USV-Risiko-Akzeptanz), durch starkes Passwort +
  Backup-Zahlungsweg + Login-Mails ersetzt. Borg-Append-Only-
  Befund: Repo laeuft im Mode 'full', custom_flags leer; Setup
  waere server-seitig in Hetzner-authorized_keys (Folge-Sprint).
  Review-Trigger in OFFSITE_BACKUP_OPTIONS.md dokumentiert.

- paperless-gpt: behalten bis Paperless-NGX 3.0 (erwartete
  native KI-Features). Aktuell 0 Traefik-Zugriffe in 7 Tagen,
  Resource-Footprint 34 MB RAM.

- BentoPDF: behalten als situatives Tool. 0 Traefik-Zugriffe,
  4 MB RAM. Begruendungs-Anker im SERVICE_CATALOG.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-05-28 20:19:53 +02:00

8.2 KiB
Raw Blame History

Zweites Offsite-Backup-Ziel - Entscheidungsvorlage

Status: Operator-Entscheidung 2026-05-28: bewusst KEIN zweites Off-site. Doku bleibt als Begruendungs-Anker und fuer zukuenftige Reviews. Audit-Bezug: docs/AUDIT_2026-05-25.md Finding F-03 und docs/AUDIT_2026-05-25_TODO.md Sprint 7.

Beschluss 2026-05-28

Aktuelle Backup-Topologie:

Kopie Wo Medium Standort
1 Live-Daten Unraid (Cache + Disk1) NVMe + HDD Heim
2 Borg-Repo lokal /mnt/user/backups/borg/ HDD (Disk1) Heim
3 Borg-Repo Hetzner Storagebox Hetzner Off-site (DE)
4 H:/ Nearline-Pull am Windows-PC externe HDD Heim

3-2-1-Regel ist erfuellt: 4 Kopien, 3 Medien, 1 Off-site (Hetzner).

Ein zweites Off-site wuerde ausschliesslich das Szenario "Hetzner-Account verloren" zusaetzlich abdecken. Operator-Bewertung: Wahrscheinlichkeit niedrig (etablierter deutscher Anbieter mit Zahlungsweg), Aufwand und laufende Kosten unverhaeltnismaessig zur Risikoreduktion fuer ein privates Familien-Homelab.

Statt zweitem Off-site werden drei Hetzner-Account-Haertungen als Folge-TODOs gefuehrt:

  1. Hetzner-Account: starkes, einzigartiges Passwort in Vaultwarden + Backup-Zahlungsweg (zweite Karte/SEPA) + Login-Benachrichtigungen per E-Mail. Bewusst keine 2FA (Operator-Entscheidung 2026-05-28 analog zur USV-Risiko-Akzeptanz; 2FA-Aufwand ueberwiegt die fuer ein Familien-Homelab realistische Risiko-Reduktion).
  2. Borg --append-only-Mode pruefen (Repo appdata-critical laeuft aktuell im Mode full). Setup erfolgt server-seitig in Hetzner ~/.ssh/authorized_keys mit command="borg serve --append-only" fuer den Backup-Key. Schuetzt gegen client-seitige Ransomware, die das Repo loeschen wuerde.
  3. H:/ Pull als Windows Scheduled Task aktivieren (Anker docs/H_DRIVE_NEARLINE_PULL.md).

Diese drei Massnahmen zusammen schliessen den gleichen Risikoraum wie ein zweites Off-site, ohne neue Provider/Hardware/laufende Kosten.

Review-Trigger

Diese Entscheidung wird neu bewertet, wenn:

  • Hetzner-Account-Probleme tatsaechlich auftreten (Payment-Issue, Login-Sperre)
  • Hetzner als Anbieter strukturelle Probleme zeigt (Insolvenz-Geruechte, AGB-Aenderungen)
  • Im Homelab Daten mit deutlich hoeherem Wiederbeschaffungs-Aufwand dazukommen (z. B. Firefly-III-Finanz-Daten, Smart-Home-Langzeitdaten)
  • Operator-Praeferenzen sich aendern

Wenn dieser Trigger eintritt, sind die drei Optionen rsync.net / BorgBase EU2 / Cold-Wechselplatte weiter unten dokumentiert.

Zweck

Aktuell laeuft das Off-site-Backup bei genau einem Anbieter (Hetzner Storage Box). Diese Vorlage stellt drei realistische Optionen fuer ein zweites Off-site-Ziel gegenueber. Die Entscheidung trifft der Operator; dieses Dokument trifft sie nicht.

H:/ am Windows-PC bleibt kein Offsite-Ersatz (siehe docs/CAPACITY_AND_LIFECYCLE.md). H:/ ist Nearline-Kopie am gleichen Standort.

Anforderungen an das zweite Ziel

Anforderung Begruendung
anderer Anbieter als Hetzner Provider-Risiko (Account-Sperre, Insolvenz, Region-Outage) wird sonst nicht reduziert
anderer physischer Standort als Unraid-Host Brand-/Diebstahl-/Wasser-Schutz
Borg-kompatibel (SSH + Repo-Layout) bestehendes Borg-UI-Setup soll wiederverwendbar bleiben
bezahlbar im Privatrahmen grobe Zielgroesse: < 10 EUR / Monat fuer ~1 TB
stabil ueber Monate wenig Eingriff, keine taeglichen Quirks
keine Konto-Komplexitaet 2FA-Recovery muss sauber, ohne Telefon-Nummer-Hacks etc. moeglich sein

Drei Optionen

Option A - rsync.net Borg-Plan

  • Was: seit Jahren etablierter Anbieter mit dediziertem Borg-Plan (eingebaute borg-Binary, SSH-Account, Snapshot-Schutz).
  • Zielanbindung: borg init --encryption=repokey-blake2 user@hostname:repo.
  • Standort: Schweiz/USA (je nach Konto-Region).
  • Preis (Stand 2026, grob): ~10-15 USD pro Monat fuer 1 TB; Mindestbestelldauer keine.
  • Vorteile: Borg-First, ZFS-Snapshots als zusaetzlicher Schutz vor Repo-Loeschung, sehr lange Track-Record, keine SMB-/CIFS-Quirks.
  • Nachteile: USD-Preis, Standort ausserhalb EU je nach Konto, etwas teurer als reine Storage Boxes.
  • Konto-Risiko: unabhaengig von Hetzner-Konto.

Option B - BorgBase EU2 (zweite Region beim gleichen Borg-Spezialisten)

  • Was: BorgBase ist Borg-as-a-Service mit mehreren Regionen.
  • Zielanbindung: identisch zu bestehendem Borg-UI-Pfad.
  • Standort: zweite EU-Region als EU1.
  • Preis (Stand 2026, grob): ~10 EUR / Monat fuer ~1 TB.
  • Vorteile: identisches Borg-Modell, geringer Lernaufwand, einfache Web-UI.
  • Nachteile: Anbieter-Risiko nicht vollstaendig getrennt (gleicher Anbieter, andere Region). Bei Account-Sperre/Insolvenz waeren beide Ziele gleichzeitig betroffen.
  • Konto-Risiko: gleicher Anbieter, anderes Geo-Risiko.

Option C - Rotierende Cold-Wechselplatte ausser Haus

  • Was: zweite externe HDD (z. B. 2x WD Elements 4 TB), die im monatlichen Wechsel zwischen Heim-LAN und vertrauter dritter Person (Familie, Schliessfach, Buero) rotiert.
  • Zielanbindung: Borg-Repo lokal auf der eingesteckten Platte; Backup-Lauf nur wenn die Platte gerade vor Ort ist.
  • Standort: echtes Ausserhaus, dazwischen offline (Air-Gap).
  • Preis (einmalig): zwei Platten ~250 EUR, keine laufenden Kosten.
  • Vorteile: echtes Air-Gap, keine Provider-Abhaengigkeit, keine Bandbreitenfrage, keine Konto-Risiken.
  • Nachteile: manuelle Disziplin noetig, Recovery-Zeit haengt davon ab, dass die Platte gerade erreichbar ist. Nicht so taggenau wie Cloud-Borg.
  • Konto-Risiko: keines (keine Provider-Bindung).

Bewertung gegen die Anforderungen

Anforderung Hetzner (Ist) Option A rsync.net Option B BorgBase EU2 Option C Cold-Platte
Anderer Anbieter - ja nein (gleicher) ja (keiner)
Anderer Standort - ja ja ja
Borg-kompatibel ja ja ja ja
Preis < 10 EUR/Monat ja grenzwertig ja einmalig ~250 EUR
Stabilitaet hoch hoch hoch Operator-Disziplin abhaengig
2FA/Konto-Recovery OK OK OK n/a

Empfehlung (nicht Entscheidung)

Wenn der Operator die geringste Bedienung bei maximalem Provider-getrennten Schutz will: Option A rsync.net. Echte Anbieter-Trennung gegenueber Hetzner, Borg-First-Anbieter, ZFS-Snapshot-Schutz, keine zusaetzliche Hardware noetig.

Wenn Air-Gap und Null-Provider-Abhaengigkeit am wichtigsten sind und der Operator die monatliche Rotation tatsaechlich diszipliniert macht: Option C Cold-Platte.

Option B (BorgBase EU2) wird nicht empfohlen als zweites Ziel, weil das das Provider-Risiko nicht reduziert.

Was vor einer Buchung zu tun ist

  1. Operator-Entscheidung Option A vs. C dokumentieren (kein Provider-Kontakt vor Entscheidung).
  2. Falls Option A:
    • Konto bei rsync.net anlegen, Borg-Plan waehlen.
    • SSH-Key vom Borg-UI-Container exportieren bzw. dediziertes Key-Pair erzeugen.
    • borg init gegen das neue Repo durchfuehren (separate Passphrase oder gleiche - bewusst entscheiden).
    • Borg-UI um zweites Repository erweitern (separater Eintrag, kein Replace).
    • Schedule pruefen: erstes Vollbackup als One-Shot, danach inkrementell.
    • docs/SECRETS_MAP.md und docs/EXTERNAL_DEPENDENCIES.md um neuen Provider ergaenzen.
    • docs/RESTORE_MATRIX.md und docs/STORAGE_LAYOUT.md Backup-Ziel-Liste aktualisieren.
  3. Falls Option C:
    • zwei Platten beschaffen, Filesystem XFS oder ext4 (kein NTFS).
    • Rotations-Plan in docs/STORAGE_LAYOUT.md §8.1 ergaenzen.
    • Borg-Repo-Init pro Platte; Borg-UI um lokales Repo erweitern (nur aktiv wenn Platte eingesteckt).
    • Operator-Disziplin: monatliche Rotation als Kalender-Reminder.

Was bewusst NICHT in dieser Vorlage steht

  • Konkrete Hetzner-Konto-Daten, rsync.net-Accountnamen, IBANs, Telefonnummern. Diese Daten gehoeren nirgendwo in dieses Repo.
  • Borg-Passphrasen. Bleiben ausserhalb des Repos.
  • "Migrieren weg von Hetzner" als Option. Hetzner bleibt; das zweite Ziel ist Ergaenzung, nicht Ablosung.

Offene Punkte

Status Punkt Naechster Schritt
offen Entscheidung Option A vs. C Operator
offen Budget-Freigabe Operator
offen Provider-/Hardware-Beschaffung nach Entscheidung
offen Schedule-Anpassung in ops/borg-ui nach Provider-Bereitstellung
Reference in New Issue View Git Blame Copy Permalink