07 Migrationsplan ohne Downtime¶
Phase 0: Analyse¶
Ziel: vollständige Dokumentation ohne Änderung.
Aufgaben: - UniFi klassische API exportieren: WLANs, Firewall, Portprofile, Switchports. - NetBox lesen und Realität abgleichen. - Proxmox Guest-Agent/IP-Daten ergänzen. - NPM Proxy Hosts exportieren. - AD/DNS/DHCP per PowerShell inventarisieren.
Abnahme: - Ist-Analyse vollständig. - Offene Punkte bewertet. - Migrationsfenster definiert.
Status 2026-05-24: - UniFi und Proxmox Discovery abgeschlossen. - NetBox wurde spaeter read-only abgeglichen. - NPM Proxy Hosts wurden spaeter read-only exportiert. - AD/DNS/DHCP wurde spaeter per PowerShell/WinRM read-only inventarisiert.
Status 2026-05-25:
- Phase 0 ist fuer die Migrationsplanung ausreichend abgeschlossen.
- Offene Detailpunkte bleiben Paperless-AI-Konfiguration, Medien-Mounts, n8n-Workflow-Inhalt ohne Secrets, AD Sites/Subnets und DNS-Reverse-Zonen.
- Diese offenen Punkte blockieren keine weiteren Tests in VLAN 220, aber produktive Servermigrationen bleiben bis zur jeweiligen Detailabnahme gesperrt.
Phase 1: Zielnetz parallel anlegen¶
Ziel: neue VLANs existieren parallel, ohne Produktivverkehr umzuziehen.
Aufgaben:
- UniFi Backup/Export erstellen.
- Ziel-VLANs in UniFi anlegen.
- Firewall Default-Deny vorbereiten, aber nicht produktive Ports umstellen.
- NetBox Zielobjekte im Status planned anlegen.
Abnahme: - Ziel-VLANs routen intern nach Plan. - Keine Änderung an produktiven Ports/WLANs.
Status 2026-05-24:
- Phase 1 wurde fuer nicht kollidierende VLANs gestartet.
- Angelegt wurden VLANs 30, 50, 60, 110, 120, 130, 140, 150, 160, 170, 180, 190, 220, 230-239 und 250.
- Nicht angelegt wurden VLANs 10, 20, 40 und 100, weil diese IDs bereits im Bestand genutzt werden.
- Bestehende WLANs, Switchports, Portprofile und Firewall-Regeln wurden nicht geaendert.
Status 2026-05-25:
- Nach Freigabe wurden zusaetzlich VLANs 10, 20 und 40 angelegt.
- Das zuvor angelegte VLAN 190 wurde wieder entfernt, weil Remote Access direkt ueber UniFi VPN abgebildet wird.
- VLAN 100 ist weiterhin nicht angelegt, weil Starlink im Controller noch als unmanaged Netz auf VLAN 100 existiert.
- Es wurden weiterhin keine bestehenden WLANs, Switchports, Portprofile oder Firewall-Regeln geaendert.
Status 2026-05-25, Nachtrag:
- Starlink wurde auf VLAN 301 verschoben.
- LS_Clients_LAN VLAN 100 wurde angelegt.
- Alle geplanten Ziel-Gateways antworten auf ICMP.
Phase 2: Test-VLANs¶
Ziel: Lab-Test validieren.
Aufgaben: - Test-LXC/VM in VLAN 220 migrieren. - DHCP, DNS, Internet, Routing, Firewall testen. - mDNS-Test zwischen Testclient und Testdiensten.
Abnahme: - Testclient funktioniert. - Rollback wurde getestet oder trocken validiert.
Status 2026-05-24:
- LS_Lab_Test VLAN 220 wurde angelegt.
- Gateway 10.222.220.1 war lokal und vom Proxmox Host erreichbar.
- Weitere Gateways sind nicht durchgaengig erreichbar; Phase 2 ist daher gestartet, aber nicht abgenommen.
- Es wurde noch kein produktiver Guest in VLAN 220 migriert.
Status 2026-05-25:
- 10.222.10.1, 10.222.20.1 und 10.222.40.1 sind angelegt, antworteten bei der ersten Nachpruefung aber noch nicht auf ICMP.
- 10.222.220.1 bleibt lokal und vom Proxmox Host erreichbar.
- Naechster Phase-2-Schritt bleibt ein dedizierter Testport oder eine dedizierte Test-SSID fuer VLAN 220.
Status 2026-05-25, Nachtrag:
- VLAN 220 wurde praktisch getestet und funktioniert.
- Phase 2 ist technisch fuer das Lab-Testnetz abgenommen; offen bleibt die Dienst-/Firewall-Abhaengigkeitsmatrix vor produktiven Migrationen.
Umsetzung 2026-05-25: - Das konkrete Umsetzungs-Runbook ist die verbindliche operative Checkliste fuer Phase 1 bis Phase 3. - Produktive Migrationen starten nicht, solange NetBox-/DNS-/NPM-/Proxmox-Schreibsets nicht exportiert, geprueft und fuer das jeweilige Wartungsfenster freigegeben sind.
Phase 3: Unkritische Dienste¶
Ziel: Monitoring-Nebenkomponenten und Testdienste migrieren.
Aufgaben: - Grafana/Prometheus/Zabbix nach VLAN 60 planen und einzeln migrieren. - Lab-/Test-VMs nach VLAN 220. - Monitoring-Ziele nachziehen.
Abnahme: - Monitoring bleibt verfügbar. - Keine Core-Dienste betroffen.
Readiness 2026-05-25:
| Kandidat | Alt-IP | Testport | Status | Empfehlung |
|---|---|---|---|---|
| Wazuh | 10.222.60.10 |
443/1514/1515/55000 | erledigt | migriert 2026-05-25, NPM und UDM Local DNS getestet |
| Zabbix | 10.222.60.11 |
80/10051 | erledigt | migriert 2026-05-25, UDM DNS getestet, API-Export 3 Hosts/3 aktiv |
| Grafana | 10.222.60.12 |
3000 | erledigt | migriert 2026-05-25, NPM getestet |
| Prometheus | 10.222.60.13 |
9090 | erledigt | migriert 2026-05-25, Targets gruen |
| Prometheus PVE Exporter | 10.222.60.14 |
9221 | erledigt | migriert 2026-05-25, Metrics gruen |
| Proxmox Datacenter Manager | 10.222.20.20 |
8443 | erledigt | migriert 2026-05-25 nach VLAN 20, Dienste aktiv |
| MySpeed | 10.0.0.8 |
80 | gestoppt | CT 112 ist stopped, onboot: 0; nicht gestartet oder migriert |
| Proxmox Backup Server | 10.0.0.33 |
8007 | gestoppt | CT 111 ist stopped, onboot: 0; nicht gestartet oder migriert |
Empfohlene Phase-3-Reihenfolge:
1. dedizierten Test-LXC in VLAN 220 verwenden oder neu erstellen, keine produktive Abhaengigkeit.
2. Grafana, Prometheus und PVE-Exporter als erste Monitoring-Gruppe planen.
3. Zabbix ist migriert; SMTP-DNS-first ist erledigt, dedizierter Zabbix-API-Token fuer Host-/Agentenexport bleibt offen.
4. Wazuh ist migriert; Dashboard/NPM technisch getestet, Agent-/Syslog-Fachpruefung offen.
5. PDM ist nach Proxmox-/Abhaengigkeitscheck migriert; PBS/MySpeed bleiben bewusst gestoppt und ausserhalb der aktiven Phase-3-Migration.
Vor jedem einzelnen Guest bleiben Snapshot/Backup, Proxmox-Config-Export, Ziel-IP-Reservierung, DNS-TTL-Reduktion, Wartungsfenster und Rollback Pflicht.
Phase-3-Startreihenfolge nach verfeinertem Plan:
| Schritt | Dienst | Ziel-IP | Vorher zwingend |
|---|---|---|---|
| 1 | Grafana | 10.222.60.12 |
erledigt; zentraler DNS/NetBox/SMTP-DNS-first nachpflegen |
| 2 | Prometheus | 10.222.60.13 |
Scrape-Targets auf DNS/Ziel-IP planen |
| 3 | PVE Exporter | 10.222.60.14 |
Proxmox Ziel pve.ad.lanstyle.de oder 10.222.20.10 vorbereiten |
| 4 | Zabbix | 10.222.60.11 |
erledigt; Agent-/Server-Kommunikation fachlich nachziehen |
| 5 | Wazuh | 10.222.60.10 |
erledigt; UDM Local DNS und fachliche Syslog-/Loginpruefung offen |
| 6 | Proxmox Datacenter Manager | 10.222.20.20 |
erledigt; UDM Local DNS und NetBox aktiv |
Read-only-Refresh 2026-05-25:
- Frische Proxmox-/NPM-Exports liegen lokal unter .backups/implementation_readonly_20260525_145250 und .backups/phase3_monitoring_readonly_20260525_212431 und werden nicht committed.
- CT-Zuordnung bestaetigt: Wazuh 110, Zabbix 115, Grafana 116, Prometheus 117, PVE Exporter 118, PDM 119; PBS 111 und MySpeed 112 sind gestoppt.
- Alle Phase-3-Zielports antworten im Alt-Netz: Grafana 3000, Prometheus 9090, PVE Exporter 9221, Zabbix 80/10051, Wazuh 443/1514/1515/55000.
- Prometheus enthaelt harte Scrape-Ziele auf 10.0.0.200:9130, 10.0.0.220 und 10.0.0.138:9221; diese muessen vor oder waehrend der Monitoring-Migration auf Ziel-FQDNs/Ziel-IPs geaendert werden.
- NPM-Backends fuer Monitoring: grafana.epxm.de -> 10.222.60.12:3000 und wazuh.lanstyle.de -> 10.222.60.10:443 sind erledigt.
- Grafana, Prometheus, PVE Exporter, Zabbix, Wazuh und PDM sind migriert; PBS/MySpeed bleiben wegen Dienststatus stopped separat zu pruefen.
UDM-Flow-Abgleich 2026-05-25 20:15:
- Frischer UDM-Conntrack-Snapshot liegt lokal unter .backups/udm_flow_snapshot_20260525_201503.
- Neue/aktive Flows betreffen SmartHome, AI-Hardware, Remote-/Projektsegmente und Lab-Test, nicht die Monitoring-CTs.
- Damit ist Phase-3-Monitoring weiterhin der richtige erste produktnahe Migrationsblock.
- Fuer die migrierten Monitoring-Dienste muessen NetBox und SMTP-DNS-first nachgezogen werden; Prometheus behaelt Legacy-Scrapes bis zur Migration von Docker-Lanstyle/unpoller und Proxmox.
Phase 4: Serverdienste¶
Ziel: Core-Services kontrolliert migrieren.
Reihenfolge: 1. NetBox 2. Gitea/Wiki/n8n 3. Vaultwarden 4. SMTP Relay 5. NPM/Reverse Proxy 6. Open WebUI/Ollama 7. AD/DNS/DHCP nur in separatem Wartungsfenster
Abnahme: - DNS-Auflösung korrekt. - Reverse Proxy Backends korrekt. - SMTP Relay sendet. - Vaultwarden, Gitea, NetBox erreichbar.
Phase 5: Clients, IoT, Drucker, Medien¶
Ziel: Endgeräte segmentweise migrieren.
Reihenfolge: 1. Drucker mit AirPrint-Test 2. Medien/AirPlay mit Apple TV/Sonos-Test 3. SmartHome mit HomeKit/Home Assistant/KNX-Test 4. Gebäudetechnik 5. IoT 6. Clients LAN/WLAN 7. Gäste-WLAN
Abnahme: - AirPrint funktioniert. - AirPlay funktioniert. - HomeKit/Home Assistant Automationen funktionieren. - Keine kritischen Geräte offline.
Phase 6: Aufräumen Legacy-Netz¶
Ziel: 10.0.0.0/20 kontrolliert abbauen.
Aufgaben: - Alt-IP-Nutzung in NetBox markieren. - DNS Alt-Einträge entfernen. - DHCP Alt-Scope deaktivieren. - Firewall Legacy-Regeln entfernen. - UniFi alte Netze erst nach Abnahme löschen.
Abnahme:
- Keine aktiven Abhängigkeiten auf 10.0.0.0/20.
- Rollback-Fenster abgeschlossen.