Auto-Updates
Automatische Update-Suche + Installation über die Flotte, eingerichtet 2026-06-09. Strategie: unkritische Docker-Dienste updaten sich selbst, kritische werden nur gemeldet, OS-Sicherheitspatches laufen automatisch. Meldungen kommen per Telegram (Bot @tradelscloud_bot).
1. Watchtower (Docker-Container-Updates)
Image: ghcr.io/nicholas-fedor/watchtower:latest (gepflegter Fork; das alte containrrr/watchtower ist archiviert + zu alt für moderne Docker-APIs → crasht). Läuft als Container watchtower pro Docker-CT, täglich 04:00, mit Image-Cleanup + Telegram-Notify.
Auto-Update (installiert Updates selbst)
| CT | Dienst |
|---|---|
| 108 | wiki (otterwiki) |
| 110 | termix |
| 122 | karakeep |
| 123 | cs16 |
| 124 | homarr |
| 126 | tdarr |
| 127 | security-monitoring (grafana/loki/promtail) |
| 105 | nur jellyseerr + sabnzbd (qbit/gluetun-VPN-Kette bleibt unangetastet) |
Monitor-only (meldet nur, kein Auto-Update)
| CT | Dienst | Warum manuell |
|---|---|---|
| 104 | immich | Version-gepinnt, Foto-DB-Migration |
| 113 | authelia | Auth-Schicht — Bruch sperrt alles aus |
| 125 | norish | eigene App + DB |
| 128 | bot (freqtrade) | nie unbeaufsichtigt mitten im Handel |
Bedienung:
- Status:
docker ps | grep watchtower(im jeweiligen CT) - Modus prüfen:
docker inspect watchtower --format '{{.Config.Env}}' | grep MONITOR - Sofort-Check erzwingen:
docker exec watchtower /watchtower --run-once(oder Container neu starten) - Auto→Monitor umstellen: Container neu deployen mit
-e WATCHTOWER_MONITOR_ONLY=true - Komplett deaktivieren:
docker rm -f watchtower
2. OS-Sicherheitsupdates (unattended-upgrades)
Auf allen LXCs installiert + aktiviert (/etc/apt/apt.conf.d/20auto-upgrades mit Periodic Update+Unattended-Upgrade = "1"). Installiert Debian/Ubuntu-Security-Patches automatisch. Deckt auch native Dienste auf Paketebene ab (nginx, PHP, Jellyfin-falls-apt, openssh, …).
- Status prüfen:
systemctl status unattended-upgrades/cat /etc/apt/apt.conf.d/20auto-upgrades - Deaktivieren: Werte in
20auto-upgradesauf "0" setzen.
3. FileBrowser (CT 103) — eigener Updater
FileBrowser ist ein Standalone-Binary (kein apt, kein Docker). Skript /usr/local/bin/fb-autoupdate.sh prüft wöchentlich (Mo 04:30, /etc/cron.d/fb-autoupdate) GitHub-Releases, tauscht das Binary (Backup als filebrowser.bak-<version>), startet den Dienst neu, rollt bei Fehler zurück, meldet per Telegram.
- Manuell auslösen:
pct exec 103 -- /usr/local/bin/fb-autoupdate.sh
NICHT automatisiert (bewusst, manuell/Notify)
- Vaultwarden (121) + AzerothCore (119): aus Quellcode gebaut → brauchen Rebuild, kein Auto-Update. Nur OS-Patches.
- Sonarr/Radarr/Prowlarr (105 nativ): haben eigenen eingebauten Updater (aktualisieren sich selbst).
- Jellyfin (101): bewusst kein Auto-Major-Update (Plugin-Bruch-Gefahr); OS-Patches via unattended-upgrades.
Stand: 2026-06-09
Wichtig: gepinnte Versions-Tags (Update 2026-06-09)
Watchtower aktualisiert nur innerhalb desselben Tags. Container auf festem Versions-Tag (z.B. :13.0.1, :release-2.3.1) werden NIE auto-aktualisiert (und nicht gemeldet). Bei "Dienst updatet nicht": docker inspect <container> --format '{{.Config.Image}}' prüfen.
- termix war auf
release-2.3.1gepinnt → auf:latestumgestellt (Compose-Backupdocker-compose.yml.bak-prelatest-*), aktualisiert sich jetzt automatisch. - Grafana-Stack (CT 127) grafana/loki/promtail von festen Versionen auf
:latestumgestellt → Auto-Update aktiv. - Bewusst gepinnt gelassen: meilisearch (
v1.41.0, Such-DB — Major-Update braucht Daten-Migration), karakeep-chrome (:124, unkritischer Helfer). Diese bei Bedarf manuell aktualisieren.
Umpinnen-Rezept: Tag in der Compose auf :latest ändern → docker compose up -d → verifizieren.