Zum Inhalt

AI Suite Legacy Dependency Audit 10.0.0.0/20

Stand: 2026-05-27

Hinweis 2026-05-28: Dieses Dokument ist ein historischer Audit-Snapshot vor den nachfolgenden VLAN70-only-Cleanups. Open Terminal ist inzwischen unter 10.222.70.13:8001-8004 produktiv aktiv; 10.0.1.253 ist nur noch historischer Legacy-/Rollback-Kontext.

Kurzfazit

Die produktiven Public-Endpunkte der AI Suite laufen aktuell über VLAN70-Zielpfade. Das alte Netz 10.0.0.0/20 ist für die AI Suite aber noch nicht entkoppelt: Open WebUI, SearXNG, Open Terminal und Agent Runtime sind weiterhin dual-homed, und Agent Runtime bindet zentrale Dienste aktiv zusätzlich auf 10.0.1.243.

Damit ist Legacy aktuell ein echter Rollback- und Hidden-Dependency-Pfad. Ein Entfernen der alten Bindings ist technisch plausibel, aber noch nicht sofort freigabefähig. Zuerst müssen Healthchecks, RAG/Qdrant-Skripte, OpenWebUI-Fallbacks und Doku-/Runbook-Reste auf VLAN70 beziehungsweise öffentliche HTTPS-Endpunkte bereinigt werden.

Operator Summary

Status: remove_not_ready

Risk Level: medium

Bestätigt: - Public NPM Upstreams für ai, search, ollama, litellm und mcphub zeigen auf VLAN70. - Legacy-IP-Endpunkte sind weiterhin erreichbar. - Agent Runtime Docker Compose publiziert LiteLLM, MCPHub, Tools API, Remote MCP und Qdrant weiter auf 10.0.1.243. - Der Lanstyle Healthcheck nutzt für Agent Runtime noch Legacy-Ziele auf 10.0.1.243. - OpenWebUI nutzt VLAN70-Ziele, enthält aber noch den alten Ollama-Fallback 10.222.70.11:11434.

Interpretation: - Die alte Erreichbarkeit ist überwiegend Rollback-/Dual-Home-Zustand, nicht mehr primärer Public-Traffic. - Hidden Dependencies sind weiterhin möglich, weil Healthchecks, RAG-Skripte und lokale Admin-Profile Legacy-Ziele kennen.

Unsicher: - Ob einzelne manuelle Operator-Clients, ältere OpenCode Admin-Profile oder externe Automationen noch direkt auf Legacy-IP zugreifen. - Ob GB10/Ollama intern noch produktive Clients auf 10.0.0.249 statt 10.222.70.11 bedient.

Safest Next Action: 1. Keine Legacy-IP entfernen. 2. Zuerst Healthcheck- und RAG-Skript-Defaults auf VLAN70 oder HTTPS-FQDNs umstellen. 3. Danach mindestens 24 Stunden beobachten. 4. Erst dann Agent-Runtime-Legacy-Bindings als separaten Approval-Change planen.

Legacy vs VLAN70 Mapping

Komponente Legacy VLAN70 Public/NPM aktiv Status
Open WebUI 10.0.0.250:8080 10.222.70.10:8080 ai.lanstyle.de -> 10.222.70.10:8080 dual-homed
Ollama/GB10 10.222.70.11:11434, Hostnetz 10.0.14.43 10.222.70.11:11434 ollama.lanstyle.de -> 10.222.70.11:11434 dual-homed / Fallback sichtbar
SearXNG 10.0.1.240:8888 10.222.70.12:8888 search.lanstyle.de -> 10.222.70.12:8888 dual-homed
Open Terminal 10.0.1.253:8001-8004 10.222.70.13:8001-8004 intern via Open WebUI dual-homed
Agent Runtime 10.0.1.243 10.222.70.20 indirekt über litellm, mcphub, /opencode-access dual-homed
LiteLLM 10.0.1.243:4000 10.222.70.20:4000 litellm.lanstyle.de -> 10.222.70.20:4000 legacy bind aktiv
MCPHub 10.0.1.243:3000 10.222.70.20:3000 mcphub.lanstyle.de -> 10.222.70.20:3000 legacy bind aktiv
Remote MCP 10.0.1.243:3011 10.222.70.20:3011 mcphub.lanstyle.de/lanstyle-mcp -> 10.222.70.20:3011 legacy bind aktiv
Tools API 10.0.1.243:3010 10.222.70.20:3010 ai.lanstyle.de/opencode-access -> 10.222.70.20:3010 legacy bind aktiv
Qdrant/RAG 10.0.1.243:6333-6334 10.222.70.20:6333-6334 kein Public-NPM legacy bind aktiv

Bestätigte Legacy Bindings

Agent Runtime Docker Compose publiziert folgende Legacy-Bindings:

  • 10.0.1.243:6333-6334 für Qdrant
  • 10.0.1.243:4000 für LiteLLM
  • 10.0.1.243:3000 für MCPHub
  • 10.0.1.243:3010 für Tools API
  • 10.0.1.243:3011 für Remote MCP

Die LXCs 250, 255, 256 und 259 besitzen weiterhin je ein Legacy-Interface und ein VLAN70-Interface. Die Default-Route zeigt auf VLAN70.

Legacy Dependency Matrix

Quelle Legacy-Referenz Bewertung Cleanup-Klasse
Agent Runtime Docker Compose 10.0.1.243 Port-Bindings aktiv remove_after_verification
Healthcheck LiteLLM/Qdrant/MCPHub/Tools API über 10.0.1.243 aktiv genutzt cleanup_first
Qdrant Snapshot/Ingest Scripts http://10.0.1.243:6333 Defaults aktiv möglich cleanup_first
MCP Registry SearXNG http://10.0.1.240:8888 planned/internal legacy manual_review
OpenWebUI DB Ollama Fallback http://10.222.70.11:11434 echter Fallback manual_review
OpenCode Operator Config im Repo keine 10.x Upstreams gefunden sauber safe
Lokale OpenCode Admin Memory/Env Proxmox/NPM Legacy und Rollback-Hinweise Admin-/Rollback-Kontext keep_or_document
NPM Public Backends VLAN70 Upstreams sauber safe
MkDocs/Doku viele 10.0.x.x Referenzen gemischt historisch/rollback/stale documentation_cleanup

Rollback Dependency Matrix

Rollback-Pfad Noch vorhanden Abhängigkeit Risiko bei Entfernung
Open WebUI Alt-IP ja direkter Zugriff auf 10.0.0.250:8080 mittel
Ollama Alt-IP ja OpenWebUI Fallback, mögliche Alt-Clients mittel bis hoch
SearXNG Alt-IP ja Doku, MCP Registry, mögliche Alt-Clients mittel
Open Terminal Alt-IP ja direkte Legacy-Healthchecks möglich mittel
Agent Runtime Alt-IP ja Healthcheck, RAG-Skripte, Compose-Bindings hoch
Qdrant Alt-IP ja RAG Snapshot/Ingest Defaults hoch

Cleanup Readiness

Komponente Readiness Begründung
NPM Public Upstreams green bereits VLAN70-direkt
OpenCode Operator-Profil green keine direkten 10.x Upstreams im Repo-Profil
Agent Runtime Scripts yellow mehrere Defaults auf 10.0.1.243
Agent Runtime Bindings yellow aktiv dual veröffentlicht
OpenWebUI interne Konfig yellow VLAN70 aktiv, alter Ollama-Fallback vorhanden
Qdrant/RAG yellow Legacy-Defaults in Snapshot/Ingest
GB10/Ollama Legacy yellow Alt-IP erreichbar und Fallback sichtbar
Doku/Runbooks yellow viele historische und teils stale Legacy-Referenzen

Risikobewertung

Komponente cleanup_risk rollback_complexity blast_radius hidden_dependency_risk Empfehlung
Healthcheck Defaults niedrig niedrig niedrig niedrig zuerst bereinigen
RAG/Qdrant Script Defaults niedrig bis mittel niedrig mittel mittel vor Binding-Removal bereinigen
MCP Registry SearXNG mittel niedrig mittel mittel prüfen, dann VLAN70 setzen
OpenWebUI Ollama Fallback mittel mittel mittel mittel nicht blind entfernen
Agent Runtime Legacy Bindings mittel bis hoch mittel hoch hoch erst nach Beobachtung entfernen
LXC Legacy Interfaces hoch mittel bis hoch hoch hoch zuletzt entfernen
GB10/Ollama Legacy IP hoch hoch hoch hoch separater Review

Cleanup-Plan

Phase 0: Freeze und Nachweis

  • exact_target: Audit-Artefakte, Healthcheck-Reports, NPM Export, Proxmox Config Export
  • expected_change: kein Runtime-Change
  • rollback_possible: nicht erforderlich
  • verification_required: ja
  • backup_required: ja
  • approval_required: nein fuer read-only, ja fuer spätere Writes
  • downtime_risk: none

Phase 1: Nicht-invasive Legacy-Referenzen bereinigen

  • exact_target: Healthcheck-Defaults und Qdrant/RAG Script-Defaults
  • expected_change: Checks und Skripte nutzen VLAN70 oder HTTPS-FQDNs
  • rollback_possible: ja, per Datei-Backup
  • verification_required: Healthcheck, RAG Snapshot/Ingest Dry Run
  • backup_required: ja
  • approval_required: ja, weil Config-/Script-Write
  • downtime_risk: none

Phase 2: OpenWebUI Fallback prüfen

  • exact_target: OpenWebUI Ollama Fallback 10.222.70.11:11434
  • expected_change: Fallback entfernen oder als expliziten Rollback-only Eintrag dokumentieren
  • rollback_possible: ja, DB-Backup
  • verification_required: Login, Chat, Streaming, Ollama, LiteLLM, Tools
  • backup_required: ja
  • approval_required: ja
  • downtime_risk: niedrig bis mittel

Phase 3: Agent Runtime Legacy Bindings entfernen

  • exact_target: Compose-Bindings auf 10.0.1.243
  • expected_change: Dienste nur noch auf 10.222.70.20 und internen Docker-Netzen erreichbar
  • rollback_possible: ja, Compose-Backup und erneutes Apply
  • verification_required: LiteLLM, MCPHub, Remote MCP, Tools API, Qdrant, OpenCode, OpenWebUI
  • backup_required: ja
  • approval_required: ja
  • downtime_risk: mittel

Phase 4: Service-LXC Legacy Interfaces entfernen

  • exact_target: net0/Legacy-IP der AI-LXCs
  • expected_change: AI-LXCs nur noch VLAN70
  • rollback_possible: ja, Proxmox Config Export
  • verification_required: Service-Health, Public-NPM, interne Dependencies, Console Access
  • backup_required: ja
  • approval_required: ja
  • downtime_risk: mittel bis hoch

Phase 5: GB10/Ollama Legacy IP entfernen

  • exact_target: 10.0.0.249 und relevante Host-IP-/NetworkManager-Konfiguration
  • expected_change: Ollama nur noch VLAN70/FQDN
  • rollback_possible: ja, Host-Netzwerkbackup
  • verification_required: Ollama native API, LiteLLM, OpenWebUI, OpenCode, Streaming
  • backup_required: ja
  • approval_required: ja
  • downtime_risk: hoch

Safe Pilot Cleanup Candidate

Erster sinnvoller Pilot ist nicht das Entfernen einer Legacy-IP, sondern das Umstellen der read-only Healthcheck- und RAG/Qdrant-Defaults von 10.0.1.243 auf VLAN70 beziehungsweise interne FQDNs. Das reduziert Hidden Dependencies, ohne Service-Bindings oder Guest-Netze anzufassen.

Blocked Cleanup Candidates

  • Entfernen von 10.0.1.243 Bindings in Agent Runtime: blockiert bis Healthchecks/Skripte und OpenCode/OpenWebUI Tests Legacy-frei sind.
  • Entfernen von OpenWebUI Legacy-Interface: blockiert bis Fallbacks und direkte Zugriffe verifiziert sind.
  • Entfernen von GB10/Ollama Legacy-IP: blockiert bis OpenWebUI-Fallback, LiteLLM und mögliche Alt-Clients separat geprüft sind.
  • Entfernen des gesamten 10.0.0.0/20: nicht AI-spezifisch und wegen vieler Nicht-AI-Dienste ausgeschlossen.

Timeline Summary

  1. Read-only Audit abgeschlossen.
  2. Script-/Healthcheck-Defaults bereinigen.
  3. 24h Scheduled Workflows und Healthchecks beobachten.
  4. Agent Runtime Legacy Bindings als separaten Approval-Change planen.
  5. Danach einzelne Service-Legacy-Interfaces nach Komponente entfernen.
  6. GB10/Ollama Legacy separat und zuletzt behandeln.

Trust Summary

Confirmed: - Live-Erreichbarkeit Legacy und VLAN70 wurde read-only geprüft. - NPM Public Upstreams zeigen auf VLAN70. - Docker-Port-Bindings auf Agent Runtime zeigen aktive Legacy-Exposition. - Healthcheck und RAG-Skripte enthalten Legacy-Defaults. - Lock Consistency meldete zuletzt keine aktiven/stale/orphaned Locks.

Interpreted: - Legacy dient aktuell primär Rollback und Hidden-Dependency-Schutz. - Die Doku enthält gemischte historische, bewusst dokumentierte und stale Referenzen.

Uncertain: - Vollständige Client-/User-Zugriffshistorie auf Legacy-IP wurde nicht netzseitig per Flow-Logs ausgewertet. - GB10/Ollama Host-Konfiguration wurde in diesem Audit nicht verändert und nur über erreichbare Endpunkte/Doku bewertet.

Was nicht ausgeführt wurde

  • Keine Legacy-IP wurde entfernt.
  • Keine Docker-Compose-Datei wurde geändert.
  • Keine NPM-, DNS-, Firewall-, Proxmox- oder NetBox-Änderung wurde durchgeführt.
  • Kein Service wurde neu gestartet.
  • Kein Delete und kein Cleanup-Execute wurde durchgeführt.