AI Suite Legacy Dependency Audit 10.0.0.0/20¶
Stand: 2026-05-27
Hinweis 2026-05-28: Dieses Dokument ist ein historischer Audit-Snapshot vor den nachfolgenden VLAN70-only-Cleanups. Open Terminal ist inzwischen unter 10.222.70.13:8001-8004 produktiv aktiv; 10.0.1.253 ist nur noch historischer Legacy-/Rollback-Kontext.
Kurzfazit¶
Die produktiven Public-Endpunkte der AI Suite laufen aktuell über VLAN70-Zielpfade. Das alte Netz 10.0.0.0/20 ist für die AI Suite aber noch nicht entkoppelt: Open WebUI, SearXNG, Open Terminal und Agent Runtime sind weiterhin dual-homed, und Agent Runtime bindet zentrale Dienste aktiv zusätzlich auf 10.0.1.243.
Damit ist Legacy aktuell ein echter Rollback- und Hidden-Dependency-Pfad. Ein Entfernen der alten Bindings ist technisch plausibel, aber noch nicht sofort freigabefähig. Zuerst müssen Healthchecks, RAG/Qdrant-Skripte, OpenWebUI-Fallbacks und Doku-/Runbook-Reste auf VLAN70 beziehungsweise öffentliche HTTPS-Endpunkte bereinigt werden.
Operator Summary¶
Status: remove_not_ready
Risk Level: medium
Bestätigt:
- Public NPM Upstreams für ai, search, ollama, litellm und mcphub zeigen auf VLAN70.
- Legacy-IP-Endpunkte sind weiterhin erreichbar.
- Agent Runtime Docker Compose publiziert LiteLLM, MCPHub, Tools API, Remote MCP und Qdrant weiter auf 10.0.1.243.
- Der Lanstyle Healthcheck nutzt für Agent Runtime noch Legacy-Ziele auf 10.0.1.243.
- OpenWebUI nutzt VLAN70-Ziele, enthält aber noch den alten Ollama-Fallback 10.222.70.11:11434.
Interpretation: - Die alte Erreichbarkeit ist überwiegend Rollback-/Dual-Home-Zustand, nicht mehr primärer Public-Traffic. - Hidden Dependencies sind weiterhin möglich, weil Healthchecks, RAG-Skripte und lokale Admin-Profile Legacy-Ziele kennen.
Unsicher:
- Ob einzelne manuelle Operator-Clients, ältere OpenCode Admin-Profile oder externe Automationen noch direkt auf Legacy-IP zugreifen.
- Ob GB10/Ollama intern noch produktive Clients auf 10.0.0.249 statt 10.222.70.11 bedient.
Safest Next Action: 1. Keine Legacy-IP entfernen. 2. Zuerst Healthcheck- und RAG-Skript-Defaults auf VLAN70 oder HTTPS-FQDNs umstellen. 3. Danach mindestens 24 Stunden beobachten. 4. Erst dann Agent-Runtime-Legacy-Bindings als separaten Approval-Change planen.
Legacy vs VLAN70 Mapping¶
| Komponente | Legacy | VLAN70 | Public/NPM aktiv | Status |
|---|---|---|---|---|
| Open WebUI | 10.0.0.250:8080 |
10.222.70.10:8080 |
ai.lanstyle.de -> 10.222.70.10:8080 |
dual-homed |
| Ollama/GB10 | 10.222.70.11:11434, Hostnetz 10.0.14.43 |
10.222.70.11:11434 |
ollama.lanstyle.de -> 10.222.70.11:11434 |
dual-homed / Fallback sichtbar |
| SearXNG | 10.0.1.240:8888 |
10.222.70.12:8888 |
search.lanstyle.de -> 10.222.70.12:8888 |
dual-homed |
| Open Terminal | 10.0.1.253:8001-8004 |
10.222.70.13:8001-8004 |
intern via Open WebUI | dual-homed |
| Agent Runtime | 10.0.1.243 |
10.222.70.20 |
indirekt über litellm, mcphub, /opencode-access |
dual-homed |
| LiteLLM | 10.0.1.243:4000 |
10.222.70.20:4000 |
litellm.lanstyle.de -> 10.222.70.20:4000 |
legacy bind aktiv |
| MCPHub | 10.0.1.243:3000 |
10.222.70.20:3000 |
mcphub.lanstyle.de -> 10.222.70.20:3000 |
legacy bind aktiv |
| Remote MCP | 10.0.1.243:3011 |
10.222.70.20:3011 |
mcphub.lanstyle.de/lanstyle-mcp -> 10.222.70.20:3011 |
legacy bind aktiv |
| Tools API | 10.0.1.243:3010 |
10.222.70.20:3010 |
ai.lanstyle.de/opencode-access -> 10.222.70.20:3010 |
legacy bind aktiv |
| Qdrant/RAG | 10.0.1.243:6333-6334 |
10.222.70.20:6333-6334 |
kein Public-NPM | legacy bind aktiv |
Bestätigte Legacy Bindings¶
Agent Runtime Docker Compose publiziert folgende Legacy-Bindings:
10.0.1.243:6333-6334für Qdrant10.0.1.243:4000für LiteLLM10.0.1.243:3000für MCPHub10.0.1.243:3010für Tools API10.0.1.243:3011für Remote MCP
Die LXCs 250, 255, 256 und 259 besitzen weiterhin je ein Legacy-Interface und ein VLAN70-Interface. Die Default-Route zeigt auf VLAN70.
Legacy Dependency Matrix¶
| Quelle | Legacy-Referenz | Bewertung | Cleanup-Klasse |
|---|---|---|---|
| Agent Runtime Docker Compose | 10.0.1.243 Port-Bindings |
aktiv | remove_after_verification |
| Healthcheck | LiteLLM/Qdrant/MCPHub/Tools API über 10.0.1.243 |
aktiv genutzt | cleanup_first |
| Qdrant Snapshot/Ingest Scripts | http://10.0.1.243:6333 Defaults |
aktiv möglich | cleanup_first |
| MCP Registry | SearXNG http://10.0.1.240:8888 |
planned/internal legacy | manual_review |
| OpenWebUI DB | Ollama Fallback http://10.222.70.11:11434 |
echter Fallback | manual_review |
| OpenCode Operator Config im Repo | keine 10.x Upstreams gefunden |
sauber | safe |
| Lokale OpenCode Admin Memory/Env | Proxmox/NPM Legacy und Rollback-Hinweise | Admin-/Rollback-Kontext | keep_or_document |
| NPM Public Backends | VLAN70 Upstreams | sauber | safe |
| MkDocs/Doku | viele 10.0.x.x Referenzen |
gemischt historisch/rollback/stale | documentation_cleanup |
Rollback Dependency Matrix¶
| Rollback-Pfad | Noch vorhanden | Abhängigkeit | Risiko bei Entfernung |
|---|---|---|---|
| Open WebUI Alt-IP | ja | direkter Zugriff auf 10.0.0.250:8080 |
mittel |
| Ollama Alt-IP | ja | OpenWebUI Fallback, mögliche Alt-Clients | mittel bis hoch |
| SearXNG Alt-IP | ja | Doku, MCP Registry, mögliche Alt-Clients | mittel |
| Open Terminal Alt-IP | ja | direkte Legacy-Healthchecks möglich | mittel |
| Agent Runtime Alt-IP | ja | Healthcheck, RAG-Skripte, Compose-Bindings | hoch |
| Qdrant Alt-IP | ja | RAG Snapshot/Ingest Defaults | hoch |
Cleanup Readiness¶
| Komponente | Readiness | Begründung |
|---|---|---|
| NPM Public Upstreams | green | bereits VLAN70-direkt |
| OpenCode Operator-Profil | green | keine direkten 10.x Upstreams im Repo-Profil |
| Agent Runtime Scripts | yellow | mehrere Defaults auf 10.0.1.243 |
| Agent Runtime Bindings | yellow | aktiv dual veröffentlicht |
| OpenWebUI interne Konfig | yellow | VLAN70 aktiv, alter Ollama-Fallback vorhanden |
| Qdrant/RAG | yellow | Legacy-Defaults in Snapshot/Ingest |
| GB10/Ollama Legacy | yellow | Alt-IP erreichbar und Fallback sichtbar |
| Doku/Runbooks | yellow | viele historische und teils stale Legacy-Referenzen |
Risikobewertung¶
| Komponente | cleanup_risk | rollback_complexity | blast_radius | hidden_dependency_risk | Empfehlung |
|---|---|---|---|---|---|
| Healthcheck Defaults | niedrig | niedrig | niedrig | niedrig | zuerst bereinigen |
| RAG/Qdrant Script Defaults | niedrig bis mittel | niedrig | mittel | mittel | vor Binding-Removal bereinigen |
| MCP Registry SearXNG | mittel | niedrig | mittel | mittel | prüfen, dann VLAN70 setzen |
| OpenWebUI Ollama Fallback | mittel | mittel | mittel | mittel | nicht blind entfernen |
| Agent Runtime Legacy Bindings | mittel bis hoch | mittel | hoch | hoch | erst nach Beobachtung entfernen |
| LXC Legacy Interfaces | hoch | mittel bis hoch | hoch | hoch | zuletzt entfernen |
| GB10/Ollama Legacy IP | hoch | hoch | hoch | hoch | separater Review |
Cleanup-Plan¶
Phase 0: Freeze und Nachweis¶
- exact_target: Audit-Artefakte, Healthcheck-Reports, NPM Export, Proxmox Config Export
- expected_change: kein Runtime-Change
- rollback_possible: nicht erforderlich
- verification_required: ja
- backup_required: ja
- approval_required: nein fuer read-only, ja fuer spätere Writes
- downtime_risk: none
Phase 1: Nicht-invasive Legacy-Referenzen bereinigen¶
- exact_target: Healthcheck-Defaults und Qdrant/RAG Script-Defaults
- expected_change: Checks und Skripte nutzen VLAN70 oder HTTPS-FQDNs
- rollback_possible: ja, per Datei-Backup
- verification_required: Healthcheck, RAG Snapshot/Ingest Dry Run
- backup_required: ja
- approval_required: ja, weil Config-/Script-Write
- downtime_risk: none
Phase 2: OpenWebUI Fallback prüfen¶
- exact_target: OpenWebUI Ollama Fallback
10.222.70.11:11434 - expected_change: Fallback entfernen oder als expliziten Rollback-only Eintrag dokumentieren
- rollback_possible: ja, DB-Backup
- verification_required: Login, Chat, Streaming, Ollama, LiteLLM, Tools
- backup_required: ja
- approval_required: ja
- downtime_risk: niedrig bis mittel
Phase 3: Agent Runtime Legacy Bindings entfernen¶
- exact_target: Compose-Bindings auf
10.0.1.243 - expected_change: Dienste nur noch auf
10.222.70.20und internen Docker-Netzen erreichbar - rollback_possible: ja, Compose-Backup und erneutes Apply
- verification_required: LiteLLM, MCPHub, Remote MCP, Tools API, Qdrant, OpenCode, OpenWebUI
- backup_required: ja
- approval_required: ja
- downtime_risk: mittel
Phase 4: Service-LXC Legacy Interfaces entfernen¶
- exact_target:
net0/Legacy-IP der AI-LXCs - expected_change: AI-LXCs nur noch VLAN70
- rollback_possible: ja, Proxmox Config Export
- verification_required: Service-Health, Public-NPM, interne Dependencies, Console Access
- backup_required: ja
- approval_required: ja
- downtime_risk: mittel bis hoch
Phase 5: GB10/Ollama Legacy IP entfernen¶
- exact_target:
10.0.0.249und relevante Host-IP-/NetworkManager-Konfiguration - expected_change: Ollama nur noch VLAN70/FQDN
- rollback_possible: ja, Host-Netzwerkbackup
- verification_required: Ollama native API, LiteLLM, OpenWebUI, OpenCode, Streaming
- backup_required: ja
- approval_required: ja
- downtime_risk: hoch
Safe Pilot Cleanup Candidate¶
Erster sinnvoller Pilot ist nicht das Entfernen einer Legacy-IP, sondern das Umstellen der read-only Healthcheck- und RAG/Qdrant-Defaults von 10.0.1.243 auf VLAN70 beziehungsweise interne FQDNs. Das reduziert Hidden Dependencies, ohne Service-Bindings oder Guest-Netze anzufassen.
Blocked Cleanup Candidates¶
- Entfernen von
10.0.1.243Bindings in Agent Runtime: blockiert bis Healthchecks/Skripte und OpenCode/OpenWebUI Tests Legacy-frei sind. - Entfernen von OpenWebUI Legacy-Interface: blockiert bis Fallbacks und direkte Zugriffe verifiziert sind.
- Entfernen von GB10/Ollama Legacy-IP: blockiert bis OpenWebUI-Fallback, LiteLLM und mögliche Alt-Clients separat geprüft sind.
- Entfernen des gesamten
10.0.0.0/20: nicht AI-spezifisch und wegen vieler Nicht-AI-Dienste ausgeschlossen.
Timeline Summary¶
- Read-only Audit abgeschlossen.
- Script-/Healthcheck-Defaults bereinigen.
- 24h Scheduled Workflows und Healthchecks beobachten.
- Agent Runtime Legacy Bindings als separaten Approval-Change planen.
- Danach einzelne Service-Legacy-Interfaces nach Komponente entfernen.
- GB10/Ollama Legacy separat und zuletzt behandeln.
Trust Summary¶
Confirmed: - Live-Erreichbarkeit Legacy und VLAN70 wurde read-only geprüft. - NPM Public Upstreams zeigen auf VLAN70. - Docker-Port-Bindings auf Agent Runtime zeigen aktive Legacy-Exposition. - Healthcheck und RAG-Skripte enthalten Legacy-Defaults. - Lock Consistency meldete zuletzt keine aktiven/stale/orphaned Locks.
Interpreted: - Legacy dient aktuell primär Rollback und Hidden-Dependency-Schutz. - Die Doku enthält gemischte historische, bewusst dokumentierte und stale Referenzen.
Uncertain: - Vollständige Client-/User-Zugriffshistorie auf Legacy-IP wurde nicht netzseitig per Flow-Logs ausgewertet. - GB10/Ollama Host-Konfiguration wurde in diesem Audit nicht verändert und nur über erreichbare Endpunkte/Doku bewertet.
Was nicht ausgeführt wurde¶
- Keine Legacy-IP wurde entfernt.
- Keine Docker-Compose-Datei wurde geändert.
- Keine NPM-, DNS-, Firewall-, Proxmox- oder NetBox-Änderung wurde durchgeführt.
- Kein Service wurde neu gestartet.
- Kein Delete und kein Cleanup-Execute wurde durchgeführt.