Commit 504407
2026-06-09 00:30:15 claude: Auto-Update-System dokumentiert (Watchtower + unattended-upgrades + FileBrowser)| /dev/null .. auto-updates.md | |
| @@ 0,0 1,52 @@ | |
| + | # Auto-Updates |
| + | |
| + | Automatische Update-Suche + Installation über die Flotte, eingerichtet 2026-06-09. Strategie: **unkritische Docker-Dienste updaten sich selbst, kritische werden nur gemeldet, OS-Sicherheitspatches laufen automatisch.** Meldungen kommen per Telegram (Bot `@tradelscloud_bot`). |
| + | |
| + | ## 1. Watchtower (Docker-Container-Updates) |
| + | |
| + | Image: **`ghcr.io/nicholas-fedor/watchtower:latest`** (gepflegter Fork; das alte `containrrr/watchtower` ist archiviert + zu alt für moderne Docker-APIs → crasht). Läuft als Container `watchtower` pro Docker-CT, täglich **04:00**, mit Image-Cleanup + Telegram-Notify. |
| + | |
| + | ### Auto-Update (installiert Updates selbst) |
| + | | CT | Dienst | |
| + | |----|--------| |
| + | | 108 | wiki (otterwiki) | |
| + | | 110 | termix | |
| + | | 122 | karakeep | |
| + | | 123 | cs16 | |
| + | | 124 | homarr | |
| + | | 126 | tdarr | |
| + | | 127 | security-monitoring (grafana/loki/promtail) | |
| + | | 105 | **nur** jellyseerr + sabnzbd (qbit/gluetun-VPN-Kette bleibt unangetastet) | |
| + | |
| + | ### Monitor-only (meldet nur, kein Auto-Update) |
| + | | CT | Dienst | Warum manuell | |
| + | |----|--------|---------------| |
| + | | 104 | immich | Version-gepinnt, Foto-DB-Migration | |
| + | | 113 | authelia | Auth-Schicht — Bruch sperrt alles aus | |
| + | | 125 | norish | eigene App + DB | |
| + | | 128 | bot (freqtrade) | nie unbeaufsichtigt mitten im Handel | |
| + | |
| + | **Bedienung:** |
| + | - Status: `docker ps | grep watchtower` (im jeweiligen CT) |
| + | - Modus prüfen: `docker inspect watchtower --format '{{.Config.Env}}' | grep MONITOR` |
| + | - Sofort-Check erzwingen: `docker exec watchtower /watchtower --run-once` (oder Container neu starten) |
| + | - Auto→Monitor umstellen: Container neu deployen mit `-e WATCHTOWER_MONITOR_ONLY=true` |
| + | - Komplett deaktivieren: `docker rm -f watchtower` |
| + | |
| + | ## 2. OS-Sicherheitsupdates (unattended-upgrades) |
| + | |
| + | Auf **allen** LXCs installiert + aktiviert (`/etc/apt/apt.conf.d/20auto-upgrades` mit Periodic Update+Unattended-Upgrade = "1"). Installiert Debian/Ubuntu-Security-Patches automatisch. Deckt auch native Dienste auf Paketebene ab (nginx, PHP, Jellyfin-falls-apt, openssh, …). |
| + | - Status prüfen: `systemctl status unattended-upgrades` / `cat /etc/apt/apt.conf.d/20auto-upgrades` |
| + | - Deaktivieren: Werte in `20auto-upgrades` auf "0" setzen. |
| + | |
| + | ## 3. FileBrowser (CT 103) — eigener Updater |
| + | |
| + | FileBrowser ist ein Standalone-Binary (kein apt, kein Docker). Skript `/usr/local/bin/fb-autoupdate.sh` prüft **wöchentlich (Mo 04:30, `/etc/cron.d/fb-autoupdate`)** GitHub-Releases, tauscht das Binary (Backup als `filebrowser.bak-<version>`), startet den Dienst neu, rollt bei Fehler zurück, meldet per Telegram. |
| + | - Manuell auslösen: `pct exec 103 -- /usr/local/bin/fb-autoupdate.sh` |
| + | |
| + | ## NICHT automatisiert (bewusst, manuell/Notify) |
| + | - **Vaultwarden (121)** + **AzerothCore (119)**: aus Quellcode gebaut → brauchen Rebuild, kein Auto-Update. Nur OS-Patches. |
| + | - **Sonarr/Radarr/Prowlarr (105 nativ)**: haben eigenen eingebauten Updater (aktualisieren sich selbst). |
| + | - **Jellyfin (101)**: bewusst kein Auto-Major-Update (Plugin-Bruch-Gefahr); OS-Patches via unattended-upgrades. |
| + | |
| + | *Stand: 2026-06-09* |
| home.md .. | |
| @@ 71,6 71,7 @@ | |
| - [[operativer-einstieg]] | |
| - [[runbooks]] | |
| - [[host-automatismen]] | |
| + | - [[auto-updates]] |
| - [[storage-und-mounts]] | |
| - [[ct-102-pbs]] | |
| - [[ct-103-fileserver]] | |