aitrader/DEPLOY.md

# Deployment auf gemietetem Ubuntu-VPS

End-to-end Anleitung. Annahme: frischer Ubuntu 22.04/24.04 VPS, du hast root via SSH, Domain optional. Trading läuft gegen Kraken **Demo** (kein echtes Geld).

## 0. Was du brauchst

- SSH-Zugriff zum VPS als `root` oder Sudo-User
- Git-Remote (GitHub/GitLab/self-hosted) für lokal↔Server-Sync
- API-Keys: Kraken Demo (https://demo-futures.kraken.com), Gemini, Anthropic, optional CryptoPanic
- Discord-Webhook-URL
- Tailscale-Account (kostenlos, https://tailscale.com)

## 1. Lokales Repo zu Git-Remote pushen

Auf deinem Laptop:

```bash
cd ~/code/aitrader
git init
git add .
git commit -m "initial: aitrader bot + discord notifier"
# auf GitHub: neues *privates* Repo "aitrader" anlegen, dann:
git remote add origin git@github.com:DEIN_USER/aitrader.git
git branch -M main
git push -u origin main
```

> ⚠️ **Repo MUSS privat sein.** `.env` ist via `.gitignore` ausgeschlossen, aber Keys gehören niemals ins Repo.

## 2. VPS vorbereiten

SSH zum VPS und als root:

```bash
# UFW: nur SSH öffentlich
ufw default deny incoming
ufw default allow outgoing
ufw allow 22/tcp
ufw enable
ufw status
```

## 3. Tailscale installieren

```bash
curl -fsSL https://tailscale.com/install.sh | sh
tailscale up
```

`tailscale up` zeigt einen Login-Link → in Browser öffnen → mit Google/GitHub einloggen → Server taucht in deinem Tailnet auf. Schreib dir den **Tailscale-Hostnamen** auf (z.B. `aitrader-vps`), den nutzt du gleich fürs Dashboard.

```bash
tailscale ip -4   # zeigt 100.x.y.z — die private Tailnet-IP
tailscale status
```

Auch auf **deinem Laptop und Phone** Tailscale installieren und einloggen → alle drei Geräte sind im selben Mesh.

**Test:** Vom Laptop aus `ping aitrader-vps` (Magic-DNS aktiviert in Tailscale-Admin) oder `ping 100.x.y.z`.

## 4. Repo auf den VPS clonen

Als root oder Sudo-User auf dem VPS:

```bash
sudo mkdir -p /opt
cd /opt
sudo git clone https://github.com/DEIN_USER/aitrader.git aitrader
# oder mit SSH-Key:
# sudo git clone git@github.com:DEIN_USER/aitrader.git aitrader
sudo chown -R $USER:$USER /opt/aitrader
cd /opt/aitrader
```

Wenn du **SSH-Keys** für GitHub nutzen willst (für `git pull` ohne Passwort):
```bash
sudo -u aitrader bash -c 'ssh-keygen -t ed25519 -N "" -f ~/.ssh/id_ed25519'
sudo cat /home/aitrader/.ssh/id_ed25519.pub
# diesen Pub-Key in GitHub → Settings → Deploy Keys (read-only) fürs Repo eintragen
```

(Der `aitrader`-User wird im nächsten Schritt vom Install-Script erstellt — Reihenfolge: erst install.sh, dann SSH-Key generieren.)

## 5. Install-Script ausführen

```bash
cd /opt/aitrader
sudo bash deploy/install.sh
```

Das macht:
- erstellt System-User `aitrader`
- installiert Python 3.12, uv
- legt venv unter `/opt/aitrader/.venv` an, installiert dependencies
- kopiert systemd-Units nach `/etc/systemd/system/`

## 6. `.env` auf dem Server einrichten

```bash
sudo cp /opt/aitrader/.env.example /opt/aitrader/.env
sudo nano /opt/aitrader/.env
# Trage ein:
#   KRAKEN_DEMO_KEY=...
#   KRAKEN_DEMO_SECRET=...
#   GEMINI_API_KEY=...
#   ANTHROPIC_API_KEY=...
#   DISCORD_WEBHOOK_URL=...
#   CRYPTOPANIC_API_KEY=  (optional)
sudo chown aitrader:aitrader /opt/aitrader/.env
sudo chmod 600 /opt/aitrader/.env
```

## 7. Smoke-Tests vor dem Start

```bash
sudo -u aitrader /opt/aitrader/.venv/bin/python /opt/aitrader/scripts/smoke_kraken.py
sudo -u aitrader /opt/aitrader/.venv/bin/python /opt/aitrader/scripts/smoke_ai.py
sudo -u aitrader /opt/aitrader/.venv/bin/python /opt/aitrader/scripts/smoke_discord.py
```

Jeder Test sollte ohne Fehler laufen + der Discord-Webhook sollte 2 Embeds posten.

## 8. Bot + Dashboard als Services starten

```bash
sudo systemctl enable --now aitrader.service
sudo systemctl enable --now aitrader-dashboard.service
sudo systemctl status aitrader aitrader-dashboard
```

Logs live anschauen:
```bash
sudo journalctl -u aitrader -f
sudo journalctl -u aitrader-dashboard -f
```

## 9. Dashboard via Tailscale erreichen

Auf deinem Laptop (Tailscale läuft):
```
http://aitrader-vps:8501
```
oder
```
http://100.x.y.z:8501
```

Port 8501 ist **nicht** öffentlich — UFW blockt ihn, Streamlit lauscht auf `0.0.0.0`, aber der Tailscale-Tunnel ist der einzige Weg rein. Wenn du noch paranoider sein willst, in `aitrader-dashboard.service` `--server.address` auf die Tailscale-IP setzen.

## 10. Updates deployen (Workflow)

Lokal arbeiten, Änderung pushen, Server pullt + restartet:

```bash
# auf dem Laptop
cd ~/code/aitrader
# … Änderungen mit Claude Code …
git add . && git commit -m "fix: foo" && git push

# auf dem VPS
cd /opt/aitrader
sudo -u aitrader git pull
# bei Code-Änderungen reicht restart; bei neuen Dependencies erst:
# sudo -u aitrader /home/aitrader/.local/bin/uv pip install -e .
sudo systemctl restart aitrader aitrader-dashboard
sudo journalctl -u aitrader -f
```

**Tipp:** Falls du häufig deployst, leg dir lokal eine Funktion an:
```bash
# in ~/.bashrc
deploy-aitrader() {
  ssh DEIN_VPS 'cd /opt/aitrader && sudo -u aitrader git pull && sudo systemctl restart aitrader aitrader-dashboard && sudo journalctl -u aitrader -n 30'
}
```

## 11. Backup

Die SQLite-DB unter `/opt/aitrader/data/aitrader.db` enthält alle Trades + Decisions. Backup z.B. via cron:

```bash
sudo crontab -e
# Tägliches Backup nach /root/backups
0 3 * * * cp /opt/aitrader/data/aitrader.db /root/backups/aitrader-$(date +\%F).db
```

## Troubleshooting

| Problem | Check |
|---|---|
| `aitrader.service: status=1` | `journalctl -u aitrader -n 100` — meist fehlende ENV-Vars |
| Kraken-Symbol nicht gefunden | Kraken Futures nutzt `PI_XBTUSD`-Symbole. `python -c "import ccxt; x=ccxt.krakenfutures(); x.set_sandbox_mode(True); x.load_markets(); print(list(x.symbols)[:30])"` und `pairs:` in `config.yaml` anpassen |
| Dashboard nicht erreichbar | `sudo ss -tlnp \| grep 8501` (lauscht?), `tailscale ping aitrader-vps` (Mesh ok?) |
| Webhook tot | Discord rate-limit (429)? `journalctl -u aitrader \| grep discord` |
| Bot pausiert | `journalctl \| grep daily_loss_limit_hit` — Risk-Limit greift |

## Sicherheits-Checkliste

- [ ] Repo ist **privat** auf GitHub
- [ ] `.env` hat `chmod 600` und gehört `aitrader:aitrader`
- [ ] UFW: nur Port 22 öffentlich offen
- [ ] Tailscale `up`, Server im Tailnet
- [ ] SSH: Password-Auth aus, nur Key-Auth (`PasswordAuthentication no` in `/etc/ssh/sshd_config`)
- [ ] `exchange.sandbox: true` in `config.yaml` — **niemals** versehentlich auf `false`
- [ ] Discord-Webhook regelmäßig rotieren falls geleakt
initial: aitrader bot (Gemini+Groq ensemble, Kraken Demo, Discord notifier) 2026-05-07 12:06:34 +00:00			`# Deployment auf gemietetem Ubuntu-VPS`

			`End-to-end Anleitung. Annahme: frischer Ubuntu 22.04/24.04 VPS, du hast root via SSH, Domain optional. Trading läuft gegen Kraken Demo (kein echtes Geld).`

			`## 0. Was du brauchst`

			- SSH-Zugriff zum VPS als `root` oder Sudo-User
			`- Git-Remote (GitHub/GitLab/self-hosted) für lokal↔Server-Sync`
			`- API-Keys: Kraken Demo (https://demo-futures.kraken.com), Gemini, Anthropic, optional CryptoPanic`
			`- Discord-Webhook-URL`
			`- Tailscale-Account (kostenlos, https://tailscale.com)`

			`## 1. Lokales Repo zu Git-Remote pushen`

			`Auf deinem Laptop:`

			```bash
			`cd ~/code/aitrader`
			`git init`
			`git add .`
			`git commit -m "initial: aitrader bot + discord notifier"`
			`# auf GitHub: neues privates Repo "aitrader" anlegen, dann:`
			`git remote add origin git@github.com:DEIN_USER/aitrader.git`
			`git branch -M main`
			`git push -u origin main`
			```

			> ⚠️ Repo MUSS privat sein. `.env` ist via `.gitignore` ausgeschlossen, aber Keys gehören niemals ins Repo.

			`## 2. VPS vorbereiten`

			`SSH zum VPS und als root:`

			```bash
			`# UFW: nur SSH öffentlich`
			`ufw default deny incoming`
			`ufw default allow outgoing`
			`ufw allow 22/tcp`
			`ufw enable`
			`ufw status`
			```

			`## 3. Tailscale installieren`

			```bash
			`curl -fsSL https://tailscale.com/install.sh \| sh`
			`tailscale up`
			```

			`tailscale up` zeigt einen Login-Link → in Browser öffnen → mit Google/GitHub einloggen → Server taucht in deinem Tailnet auf. Schreib dir den Tailscale-Hostnamen auf (z.B. `aitrader-vps`), den nutzt du gleich fürs Dashboard.

			```bash
			`tailscale ip -4 # zeigt 100.x.y.z — die private Tailnet-IP`
			`tailscale status`
			```

			`Auch auf deinem Laptop und Phone Tailscale installieren und einloggen → alle drei Geräte sind im selben Mesh.`

			Test: Vom Laptop aus `ping aitrader-vps` (Magic-DNS aktiviert in Tailscale-Admin) oder `ping 100.x.y.z`.

			`## 4. Repo auf den VPS clonen`

			`Als root oder Sudo-User auf dem VPS:`

			```bash
			`sudo mkdir -p /opt`
			`cd /opt`
			`sudo git clone https://github.com/DEIN_USER/aitrader.git aitrader`
			`# oder mit SSH-Key:`
			`# sudo git clone git@github.com:DEIN_USER/aitrader.git aitrader`
			`sudo chown -R $USER:$USER /opt/aitrader`
			`cd /opt/aitrader`
			```

			Wenn du SSH-Keys für GitHub nutzen willst (für `git pull` ohne Passwort):
			```bash
			`sudo -u aitrader bash -c 'ssh-keygen -t ed25519 -N "" -f ~/.ssh/id_ed25519'`
			`sudo cat /home/aitrader/.ssh/id_ed25519.pub`
			`# diesen Pub-Key in GitHub → Settings → Deploy Keys (read-only) fürs Repo eintragen`
			```

			(Der `aitrader`-User wird im nächsten Schritt vom Install-Script erstellt — Reihenfolge: erst install.sh, dann SSH-Key generieren.)

			`## 5. Install-Script ausführen`

			```bash
			`cd /opt/aitrader`
			`sudo bash deploy/install.sh`
			```

			`Das macht:`
			- erstellt System-User `aitrader`
			`- installiert Python 3.12, uv`
			- legt venv unter `/opt/aitrader/.venv` an, installiert dependencies
			- kopiert systemd-Units nach `/etc/systemd/system/`

			## 6. `.env` auf dem Server einrichten

			```bash
			`sudo cp /opt/aitrader/.env.example /opt/aitrader/.env`
			`sudo nano /opt/aitrader/.env`
			`# Trage ein:`
			`# KRAKEN_DEMO_KEY=...`
			`# KRAKEN_DEMO_SECRET=...`
			`# GEMINI_API_KEY=...`
			`# ANTHROPIC_API_KEY=...`
			`# DISCORD_WEBHOOK_URL=...`
			`# CRYPTOPANIC_API_KEY= (optional)`
			`sudo chown aitrader:aitrader /opt/aitrader/.env`
			`sudo chmod 600 /opt/aitrader/.env`
			```

			`## 7. Smoke-Tests vor dem Start`

			```bash
			`sudo -u aitrader /opt/aitrader/.venv/bin/python /opt/aitrader/scripts/smoke_kraken.py`
			`sudo -u aitrader /opt/aitrader/.venv/bin/python /opt/aitrader/scripts/smoke_ai.py`
			`sudo -u aitrader /opt/aitrader/.venv/bin/python /opt/aitrader/scripts/smoke_discord.py`
			```

			`Jeder Test sollte ohne Fehler laufen + der Discord-Webhook sollte 2 Embeds posten.`

			`## 8. Bot + Dashboard als Services starten`

			```bash
			`sudo systemctl enable --now aitrader.service`
			`sudo systemctl enable --now aitrader-dashboard.service`
			`sudo systemctl status aitrader aitrader-dashboard`
			```

			`Logs live anschauen:`
			```bash
			`sudo journalctl -u aitrader -f`
			`sudo journalctl -u aitrader-dashboard -f`
			```

			`## 9. Dashboard via Tailscale erreichen`

			`Auf deinem Laptop (Tailscale läuft):`
			```
			`http://aitrader-vps:8501`
			```
			`oder`
			```
			`http://100.x.y.z:8501`
			```

			Port 8501 ist nicht öffentlich — UFW blockt ihn, Streamlit lauscht auf `0.0.0.0`, aber der Tailscale-Tunnel ist der einzige Weg rein. Wenn du noch paranoider sein willst, in `aitrader-dashboard.service` `--server.address` auf die Tailscale-IP setzen.

			`## 10. Updates deployen (Workflow)`

			`Lokal arbeiten, Änderung pushen, Server pullt + restartet:`

			```bash
			`# auf dem Laptop`
			`cd ~/code/aitrader`
			`# … Änderungen mit Claude Code …`
			`git add . && git commit -m "fix: foo" && git push`

			`# auf dem VPS`
			`cd /opt/aitrader`
			`sudo -u aitrader git pull`
			`# bei Code-Änderungen reicht restart; bei neuen Dependencies erst:`
			`# sudo -u aitrader /home/aitrader/.local/bin/uv pip install -e .`
			`sudo systemctl restart aitrader aitrader-dashboard`
			`sudo journalctl -u aitrader -f`
			```

			`Tipp: Falls du häufig deployst, leg dir lokal eine Funktion an:`
			```bash
			`# in ~/.bashrc`
			`deploy-aitrader() {`
			`ssh DEIN_VPS 'cd /opt/aitrader && sudo -u aitrader git pull && sudo systemctl restart aitrader aitrader-dashboard && sudo journalctl -u aitrader -n 30'`
			`}`
			```

			`## 11. Backup`

			Die SQLite-DB unter `/opt/aitrader/data/aitrader.db` enthält alle Trades + Decisions. Backup z.B. via cron:

			```bash
			`sudo crontab -e`
			`# Tägliches Backup nach /root/backups`
			`0 3 * * * cp /opt/aitrader/data/aitrader.db /root/backups/aitrader-$(date +\%F).db`
			```

			`## Troubleshooting`

			`\| Problem \| Check \|`
			`\|---\|---\|`
			\| `aitrader.service: status=1` \| `journalctl -u aitrader -n 100` — meist fehlende ENV-Vars \|
			\| Kraken-Symbol nicht gefunden \| Kraken Futures nutzt `PI_XBTUSD`-Symbole. `python -c "import ccxt; x=ccxt.krakenfutures(); x.set_sandbox_mode(True); x.load_markets(); print(list(x.symbols)[:30])"` und `pairs:` in `config.yaml` anpassen \|
			\| Dashboard nicht erreichbar \| `sudo ss -tlnp \\| grep 8501` (lauscht?), `tailscale ping aitrader-vps` (Mesh ok?) \|
			\| Webhook tot \| Discord rate-limit (429)? `journalctl -u aitrader \\| grep discord` \|
			\| Bot pausiert \| `journalctl \\| grep daily_loss_limit_hit` — Risk-Limit greift \|

			`## Sicherheits-Checkliste`

			`- [ ] Repo ist privat auf GitHub`
			- [ ] `.env` hat `chmod 600` und gehört `aitrader:aitrader`
			`- [ ] UFW: nur Port 22 öffentlich offen`
			- [ ] Tailscale `up`, Server im Tailnet
			- [ ] SSH: Password-Auth aus, nur Key-Auth (`PasswordAuthentication no` in `/etc/ssh/sshd_config`)
			- [ ] `exchange.sandbox: true` in `config.yaml` — niemals versehentlich auf `false`
			`- [ ] Discord-Webhook regelmäßig rotieren falls geleakt`