Lanstyle AI Suite -- Uebersicht
Stand: 2026-05-30
Zielbild
Lokale, MCP-first Infrastruktur- und Automationsplattform. GB10/DGX Spark liefert LLM-Rechenleistung, Proxmox stellt isolierte Dienste bereit, Gitea und MkDocs bilden den nachvollziehbaren Wissensstand ab.
Architekturdiagramme: Architekturindex | Diagrammuebersicht | Lessons Learned VLAN70
Frontends
| Modul |
URL |
Zweck |
| OpenCode |
lokal via LiteLLM/MCPHub |
Infrastruktur, Code, Git, Agentenarbeit |
| Open WebUI |
https://ai.lanstyle.de |
Chat, Websuche, Knowledge, Toolserver, Open Terminal |
| MkDocs Wiki |
https://wiki.lanstyle.de |
Dokumentation aus Git |
| Gitea |
https://git.lanstyle.de |
Repository fuer Doku, Skripte, Runbooks |
Modelle und Inference
| Modul |
Host |
Funktion |
| Ollama |
GB10 10.222.70.11:11434 |
lokale Modellbereitstellung |
| LiteLLM |
LXC 259, https://litellm.lanstyle.de/v1 |
OpenAI-kompatibles Gateway, Virtual Keys, Modellrouting |
| Qdrant |
LXC 259, Port 6333 |
Vektorindex fuer Doku- und Inventar-RAG |
LiteLLM-Aliase
User sehen ausschliesslich Lanstyle AI (lanstyle/ai). Alle weiteren Aliase sind intern.
| Alias |
Backend-Modell |
Zweck |
Sichtbarkeit |
lanstyle/ai |
qwen3:235b-a22b (MoE, 22B aktiv) |
einziges User-facing Modell |
alle User |
lanstyle/fast |
qwen3:32b |
schnelle Checks, Voice-Antwortbeginn |
intern |
lanstyle/embed |
nomic-embed-text |
Embeddings |
intern |
VLAN-Topologie
Keine Doppelanbindung, keine Legacy-IPs auf aktiven Containern.
VLAN 70 -- AI Services (10.222.70.0/24)
| IP |
Dienst |
.10 |
Open WebUI |
.11 |
Ollama |
.12 |
SearXNG |
.13 |
Open Terminal |
.20 |
Agent Runtime (LXC 259) |
.30 |
Lanstyle AI Gateway |
VLAN 40 -- Infra Services (10.222.40.0/24)
| IP |
Dienst |
.25 |
SMTP Relay (LXC 109) |
.31 |
Gitea |
.32 |
MkDocs |
.33 |
Vaultwarden |
.34 |
NetBox |
.35 |
n8n |
VLAN 50 -- Reverse Proxy (10.222.50.0/24)
| IP |
Dienst |
.10 |
NPM (Nginx Proxy Manager) |
| Modul |
Host |
Funktion |
| MCPHub |
LXC 259, https://mcphub.lanstyle.de |
zentrale MCP-Registry fuer OpenCode |
| Lanstyle Infra MCP |
LXC 259 |
read-only NetBox, NPM, Proxmox, Gitea Discovery |
| Lanstyle Write-Plan MCP |
LXC 259 |
plan-only Aenderungsentwuerfe, kein Live-Write |
| Lanstyle Tools API |
LXC 259, 10.222.70.20:3010 |
OpenAPI-Fassade fuer Open WebUI |
| Open Terminal |
LXC 255, 10.222.70.13:8001-8004 |
isolierte Terminal-Container pro User |
Open WebUI nutzt OpenAPI-Toolserver. OpenCode nutzt MCPHub direkt.
Knowledge und Memory (Qdrant)
| Collection |
Inhalt |
Punkte |
lanstyle_docs |
MkDocs-Dokumentation |
289 |
lanstyle_inventory |
NetBox-, NPM-, Proxmox-Summaries |
743 |
lanstyle_obsidian_memory |
Lanstyle AI Gateway Knowledge Memory |
33 |
Ingestion ergaenzt customer_context, source_site, source_tenant, source_scope, source_type, source_system fuer Kunden- und Standortfilterung. Refresh taeglich via systemd auf LXC 259.
Multi-Tenant-Faehigkeiten
- Dokument-Isolation:
owner_id, shared_with, visibility pro Dokument
- Active Learning: System fragt User aktiv nach Bestaetigung bevor neue Fakten gespeichert werden
- Kunden-Auto-Discovery: automatische Kundenerkennung aus Qdrant-Tags
NetBox-Kontext ist scope-aware: VLAN-IDs werden immer mit Site/Tenant/Scope bewertet, nicht global interpretiert.
Automatisierung und Betrieb
| Modul |
URL/Host |
Funktion |
| n8n |
https://n8n.lanstyle.de |
Workflow-Orchestrierung |
| Healthcheck |
LXC 257 |
systemd-basiert, 24 Checks |
| SMTP Relay |
LXC 109, 10.222.40.25:25 |
interner Mailversand |
| Vaultwarden |
https://vault.lanstyle.de |
Secret Source of Truth |
| NetBox |
https://netbox.lanstyle.de |
fuehrendes IPAM/DCIM |
| SearXNG |
https://search.lanstyle.de |
interne Websuche fuer Open WebUI |
Sicherheitsmodell
- Keine Secrets in Git oder Wiki; Vaultwarden ist Secret Source of Truth.
- OpenCode: LiteLLM Virtual Key
lanstyle-opencode.
- Open WebUI: LiteLLM Virtual Key
lanstyle-openwebui.
- NetBox-Agentenzugriff: dedizierter read-only Token (
write_enabled=False).
- NPM: Access List
Max schuetzt externe Agent-Runtime-Dienste.
- Open Terminal: nicht direkt extern exponiert, Trennung ueber eigene Container/Volumes/Tokens.
- Schreibfaehige Infrastrukturaktionen bleiben plan-only bis Approval/Audit/Rollback aktiv.
Externe Endpunkte
| Domain |
Ziel |
Schutz |
ai.lanstyle.de |
Open WebUI 10.222.70.10:8080 |
Access List AI Open WebUI |
litellm.lanstyle.de |
LiteLLM 10.222.70.20:4000 |
Access List Max, API-Key |
mcphub.lanstyle.de |
MCPHub 10.222.70.20:3000 |
Access List Max, OAuth/MCP |
wiki.lanstyle.de |
MkDocs 10.222.40.32:80 |
Access List Max |
git.lanstyle.de |
Gitea 10.222.40.31:3000 |
Gitea Auth |
n8n.lanstyle.de |
n8n 10.222.40.35:5678 |
Access List Max, n8n Auth |
vault.lanstyle.de |
Vaultwarden 10.222.40.33:8000 |
Vaultwarden Auth |
netbox.lanstyle.de |
NetBox 10.222.40.34:80 |
NetBox Auth |
search.lanstyle.de |
SearXNG 10.222.70.12:8888 |
Access List Max |
Backups und Wartung
| Bereich |
Methode |
| MkDocs Wiki |
Webroot-Sicherung vor jedem Rollout |
| Open Terminal |
taegliches Volume-/Config-Backup, woechentliches Update mit Pre-Backup |
| Qdrant |
Snapshot-Skripte fuer alle Collections |
| Agent Runtime |
Compose-/Env-Backups vor Aenderungen |
| NPM |
DB-Backup vor Proxy-Aenderungen |
| VLAN 70 Pre-Migration |
LXC-Snapshots 250/255/256/259, NPM-Backup, GB10/Ollama-Backup, UniFi-Export |
Restbedarf
- Live-Write-MCPs erst nach Approval-ID-, Audit-Log- und Rollback-Mechanik aktivieren.
- Kundenkontext-Mapping mit realer Nutzung verfeinern.
- Lanstyle AI Gateway Voice-Pilot: Audio-E2E-Test mit Mikrofon/Lautsprecher auf separatem Geraet.
- Lanstyle AI Gateway Teams-Livebetrieb: Azure App Registration und Bot Secret erforderlich.