fix: Korrigiere Nginx PHP-FPM Upstream-Konfiguration für Staging

- Fix upstream configuration in staging-nginx container
- Verbessere sed-Befehle zur automatischen Korrektur der PHP-FPM Upstream-Definition
- Behebt 502 Bad Gateway Fehler durch korrekte Verbindung zu staging-app:9000

deployment/ansible/README.md

@@ -12,6 +12,7 @@ deployment/ansible/
 │   └── local.yml              # Local testing inventory
 ├── playbooks/
 │   ├── deploy-update.yml            # Deploy application updates
+│   ├── system-maintenance.yml       # Betriebssystem-Updates & Wartung
 │   ├── rollback.yml                 # Rollback deployments
 │   ├── setup-infrastructure.yml     # Provision core stacks
 │   ├── setup-production-secrets.yml # Deploy secrets
@@ -34,7 +35,7 @@ deployment/ansible/
 
 ## Roles
 
-Stack-spezifische Aufgaben liegen in `roles/` (z. B. `application`, `traefik`, `registry`). Playbooks wie `setup-infrastructure.yml` importieren diese Rollen direkt. Die Application-Rolle kann mit Variablen wie `application_sync_files=false` oder `application_compose_recreate="always"` konfiguriert werden (siehe `playbooks/deploy-update.yml` als Beispiel).
+Stack-spezifische Aufgaben liegen in `roles/` (z. B. `application`, `traefik`, `registry`). Playbooks wie `setup-infrastructure.yml` importieren diese Rollen direkt. Die Application-Rolle kann mit Variablen wie `application_sync_files=false` oder `application_compose_recreate="always"` konfiguriert werden (siehe `playbooks/deploy-update.yml` als Beispiel). Die neue `system`-Rolle hält Betriebssystem-Pakete aktuell und konfiguriert optionale Unattended-Upgrades bevor Docker-Stacks neu gestartet werden.
 
 ## Prerequisites
 
@@ -149,6 +150,17 @@ ansible-playbook -i inventory/production.yml playbooks/add-wireguard-client.yml
 
 Siehe [playbooks/README-WIREGUARD.md](playbooks/README-WIREGUARD.md) für detaillierte Anleitung.
 
+### System Maintenance ausführen
+
+Führt die `system`-Rolle aus, aktualisiert Paketquellen, führt OS-Upgrades durch und aktiviert optional Unattended-Upgrades.
+
+```bash
+ansible-playbook -i inventory/production.yml \
+  playbooks/system-maintenance.yml
+```
+
+Tipp: Mit `--check` lässt sich zunächst ein Dry-Run starten, um anstehende Updates zu prüfen.
+
 ## Ansible Vault Operations
 
 ### View Encrypted File
@@ -207,6 +219,14 @@ ansible production -m ping
 ansible-inventory --list -y
 ```
 
+### System Maintenance Dry Run
+
+```bash
+ansible-playbook -i inventory/production.yml \
+  playbooks/system-maintenance.yml \
+  --check
+```
+
 ## Security Best Practices
 
 1. **Never commit unencrypted secrets**
@@ -296,6 +316,7 @@ These playbooks are automatically executed by Gitea Actions workflows:
 
 - **`.gitea/workflows/production-deploy.yml`** - Calls `deploy-update.yml` on push to main
 - **`.gitea/workflows/update-production-secrets.yml`** - Calls `setup-production-secrets.yml` on manual trigger
+- **`.gitea/workflows/system-maintenance.yml`** - Führt `system-maintenance.yml` geplant oder manuell aus, um Pakete aktuell zu halten
 
 Vault password is stored as Gitea Actions secret: `ANSIBLE_VAULT_PASSWORD`
 
@@ -314,6 +335,13 @@ All zentralen Variablen werden in `group_vars/production.yml` gepflegt und könn
 | `app_domain` | Produktions-Domain | `michaelschiemer.de` |
 | `health_check_url` | Health-Check Endpoint | `https://michaelschiemer.de/health` |
 | `max_rollback_versions` | Anzahl vorgehaltener Backups | `5` |
+| `system_update_packages` | Aktiviert OS-Paketupdates via `system`-Rolle | `true` |
+| `system_apt_upgrade` | Wert für `apt upgrade` (z. B. `dist`) | `dist` |
+| `system_enable_unattended_upgrades` | Aktiviert `unattended-upgrades` | `true` |
+| `system_enable_unattended_reboot` | Steuert automatische Reboots nach Updates | `false` |
+| `system_unattended_reboot_time` | Reboot-Zeitfenster (wenn aktiviert) | `02:00` |
+| `system_enable_unattended_timer` | Aktiviert Systemd-Timer für apt | `true` |
+| `system_enable_docker_prune` | Führt nach Updates `docker system prune` aus | `false` |
 
 ## Backup Management