3.9 KiB
Offsite-Backup-Entscheidung - KalliLab CORE
Status: Operator-Entscheidung 2026-05-28: bewusst KEIN zweites Off-site. Doku bleibt als Begruendungs-Anker und fuer zukuenftige Reviews.
Audit-Bezug: docs/archive/2026-05/AUDIT_2026-05-25.md Finding F-03 und docs/AUDIT_2026-05-25_TODO.md Sprint 7.
Beschluss 2026-05-28
Aktuelle Backup-Topologie:
| Kopie | Wo | Medium | Standort |
|---|---|---|---|
| 1 | Live-Daten Unraid (Cache + Disk1) | NVMe + HDD | Heim |
| 2 | Borg-Repo lokal /mnt/user/backups/borg/ |
HDD (Disk1) | Heim |
| 3 | Borg-Repo Hetzner Storagebox | Hetzner | Off-site (DE) |
| 4 | H:/ Nearline-Pull am Windows-PC | externe HDD | Heim |
3-2-1-Regel ist erfuellt: 4 Kopien, 3 Medien, 1 Off-site (Hetzner).
Ein zweites Off-site wuerde aktuell nur das Szenario "Hetzner-Account verloren" zusaetzlich abdecken. Operator-Bewertung: Wahrscheinlichkeit niedrig, Aufwand und laufende Kosten unverhaeltnismaessig zur Risikoreduktion fuer ein privates Familien-Homelab.
Statt zweitem Off-site werden Hetzner-Account- und Repo-Haertungen als Folge-TODOs gefuehrt:
- Hetzner-Account: starkes, einzigartiges Passwort in Vaultwarden + Backup-Zahlungsweg + Login-Benachrichtigungen per E-Mail. Bewusst keine 2FA (Operator-Entscheidung 2026-05-28 analog zur USV-Risiko-Akzeptanz).
- Borg
--append-only-Mode pruefen. Setup erfolgt server-seitig in Hetzner~/.ssh/authorized_keysmitcommand="borg serve --append-only"fuer den Backup-Key. - H:/ Pull ist seit 2026-05-28 als Windows Scheduled Task aktiv (Anker
docs/H_DRIVE_NEARLINE_PULL.md) und kein offener Punkt mehr.
Review-Trigger
Diese Entscheidung wird neu bewertet, wenn:
- Hetzner-Account-Probleme tatsaechlich auftreten (Payment-Issue, Login-Sperre)
- Hetzner als Anbieter strukturelle Probleme zeigt (Insolvenz-Geruechte, AGB-Aenderungen)
- im Homelab Daten mit deutlich hoeherem Wiederbeschaffungs-Aufwand dazukommen
- Operator-Praeferenzen sich aendern
Historische Entscheidungsgrundlage
Dieser Abschnitt bleibt als Begruendungs-Anker erhalten. Er ist keine aktuelle Beschaffungsliste. Die Entscheidung vom 2026-05-28 bleibt: kein zweites Off-site-Ziel, solange keiner der Review-Trigger eintritt.
H:/ am Windows-PC bleibt kein Offsite-Ersatz (siehe docs/CAPACITY_AND_LIFECYCLE.md). H:/ ist Nearline-Kopie am gleichen Standort.
Option A - rsync.net Borg-Plan
- anderer Anbieter als Hetzner
- Borg-kompatibel per SSH
- ZFS-Snapshot-Schutz als zusaetzlicher Schutz vor Repo-Loeschung
- grob teurer als Hetzner, aber gute Anbieter-Trennung
Option B - BorgBase EU2
- Borg-kompatibel und einfach
- andere Region, aber nicht vollstaendig getrenntes Anbieter-/Account-Risiko
- deshalb nicht als bevorzugtes zweites Ziel bewertet
Option C - Rotierende Cold-Wechselplatte ausser Haus
- echte Air-Gap-/Offline-Kopie
- keine Provider-Abhaengigkeit
- manuelle Disziplin noetig
- nicht so taggenau wie Cloud-Borg
Reaktivierungsplan bei Review-Trigger
- Review-Trigger konkret benennen und in
docs/MIGRATION_LOG.mddokumentieren. - Operator-Entscheidung Option A vs. C neu bestaetigen.
- Falls Option A: Provider anlegen, Borg-Repo initialisieren, Borg-UI als zweites Repo ergaenzen, Secrets-/External-/Restore-Doku nachziehen.
- Falls Option C: zwei Platten beschaffen, Borg-Repos initialisieren, Rotationsplan in
docs/STORAGE_LAYOUT.mdergaenzen.
Offene Punkte
| Status | Punkt | Naechster Schritt |
|---|---|---|
| offen | Hetzner-Account-Hygiene | Starkes einzigartiges Passwort, Backup-Zahlungsweg und Login-Benachrichtigung extern bestaetigen |
| offen | Borg --append-only fuer Hetzner pruefen |
Server-seitige Hetzner-SSH-Konfiguration vorbereiten und Rollback-Pfad dokumentieren |
| erledigt 2026-05-28 | H:/ Nearline-Pull aktivieren | Windows Scheduled Task KalliLab H Drive Nearline Pull laeuft taeglich 05:30 |
| bewusst nicht umgesetzt | zweites Off-site-Ziel | Erst bei Review-Trigger neu entscheiden |