Self-hosted Infrastruktur

Self-Hosted VPS Stack

Robuste, dockerisierte Umgebung auf einem VPS RHEL (AlmaLinux 9). Nextcloud, Syncthing, Glances-Monitoring, WireGuard und Cloudflare Tunnel. Gebaut mit Fokus auf Sicherheit und Wartbarkeit.

DockerLinuxApacheNextcloud

Kurz zur Architektur:

  • Proxmox und Docker: GPU-VM für Medien und Sync, NAS mit Samba, OpenWrt und AdGuard im LAN.
  • Was von außen erreichbar ist, läuft über Cloudflare auf dem AlmaLinux-VPS — nicht auf dem Heimrouter.
  • Fernzugriff per Tailscale; kein SSH vom offenen Internet.
  • Das Diagramm ist vereinfacht; unten die Zero-Trust-Einschätzung.

Zero-Trust und Kompromisse

Der Heimrouter beendet keinen Cloudflare Tunnel für das, was ich veröffentliche. Tunnel, Access-Richtlinien, cloudflared und das exponierte Glances laufen auf dem entfernten VPS. Homelab-Dienste laufen über Tailscale zwischen PCs, GPU-VM und VPS — Syncthing folgt diesem Pfad statt auf der öffentlichen WAN-IP beworben zu werden.

Alles Zustandsbehaftete läuft in Docker pro Stack — inklusive WireGuard auf der GPU-VM und dem VPS. Wiederherstellung bedeutet Volumes und Compose neu aufsetzen, nicht handverlesene Einzeldienste. Backups landen auf der NAS-VM und werden zum VPS kopiert. Ein Standortausfall löscht nicht alles.

Vor- und Nachteile (ehrlich)
VorteileNachteile
Kein SSH oder Admin-UI auf der öffentlichen Heim-IP — Tailscale-Identität ist das Tor.Ausfall von Tailscale oder Cloudflare stoppt Fernadministration und Ingress.
Veröffentlichtes HTTP(S) über Cloudflare auf dem VPS mit Access; Heim-WAN bleibt zu.Trust in zwei Control Planes statt öffentlicher Ports — bewusster Trade-off.
Docker-Stacks und Offsite-Backups machen Restore vorhersehbar und wiederholbar.Falsche Access-Regeln oder ACLs können aussperren — Korrektur nur von vertrauenswürdigem Gerät.
Getrennte VMs begrenzen den Blast-Radius im Fehlerfall.LAN-Ausfall unterbricht auch direkten LAN-Zugriff auf einige Dienste.