Enterprise-Self-Hosted-Infrastruktur und Privacy-First-Analytics
Kernfunktionen des Webbetriebs von SaaS-Abhaengigkeit und Third-Party-Trackern auf eine eigenkontrollierte Hybrid-Cloud-Plattform mit First-Party-Plausible-Analytics, self-hosted Elkaza.at-Delivery, Tailscale-Routing, automatisierten Deployments, Observability und geplanten lokalen Recovery-Punkten migriert.
Kurzüberblick
Rolle
Infrastruktur-Verantwortung: Architektur, Hardening, Zugriffsmodell, Monitoring, Recovery-Pfad und operative Evidenz.
Umfang
Ich habe eine Hybrid-Cloud-Architektur aus gehaertetem oeffentlichem VPS, privatem Proxmox-VE-Host mit Debian-13-VM und Docker-Compose-Service-Stacks aufgebaut. Der VPS dient als minimaler Ingress-Schutzschild mit strikter...
Rahmenbedingungen
Die Plattform reduziert öffentliche Exponierung, indem Ingress und private Runtime getrennt werden. Tailscale transportiert Traffic über ein verschlüsseltes Overlay, UFW begrenzt die VPS-Oberfläche, Nginx Proxy Manager...
Evidenz
Die Abhängigkeit von kostenpflichtigen SaaS-Abonnements und Third-Party-Analytics-Domains reduziert
Architektur
Besucherpfad
Besucher erreichen die Seite über kontrollierte HTTPS-Endpunkte und eine First-Party-Analytics-Subdomain, wodurch die Analytics-Auslieferung in einem eigentuergesteuerten Domain-Pfad bleibt statt über einen generischen Third-Party-Tracker-Host zu laufen.
Private Plattform
Ein privater Proxmox-VE-Host betreibt eine Debian-13-VM mit Docker-Compose-Services fuer Web-Stack, Plausible, PostgreSQL, ClickHouse, Nginx Proxy Manager, Observability und Management.
Öffentlicher Ingress
Ein kostengünstiger öffentlicher VPS stellt gehärteten Ingress bereit, verbirgt die private Wohnanschluss-IP und leitet Traffic über Tailscale weiter, statt eingehende Ports am lokalen Router zu benötigen.
Besucherpfad
Besucher erreichen die Seite über kontrollierte HTTPS-Endpunkte und eine First-Party-Analytics-Subdomain, wodurch die Analytics-Auslieferung in einem eigentuergesteuerten Domain-Pfad bleibt statt über einen generischen Third-Party-Tracker-Host zu laufen.
Private Plattform
Ein privater Proxmox-VE-Host betreibt eine Debian-13-VM mit Docker-Compose-Services fuer Web-Stack, Plausible, PostgreSQL, ClickHouse, Nginx Proxy Manager, Observability und Management.
Öffentlicher Ingress
Ein kostengünstiger öffentlicher VPS stellt gehärteten Ingress bereit, verbirgt die private Wohnanschluss-IP und leitet Traffic über Tailscale weiter, statt eingehende Ports am lokalen Router zu benötigen.
Technische Diagramme
Die Architekturdiagramme dienen als Review-Artefakte, damit Systemgrenzen, Runtime-Flüsse und operative Entscheidungen schnell prüfbar sind.
Systemkontext
Systemkontext der hybriden Portfolio- und Privacy-First-Analytics-Plattform: Die öffentliche Seite läuft auf Vercel, während First-Party-Analytics-Traffic über VPS/Tailscale zu einem privaten self-hosted Plausible-Stack geroutet wird.

Review-Fokus
- Die öffentliche Website-Auslieferung bleibt schlank auf Vercel, während Analytics privat betrieben wird
- Eine VPS-Ingress-Schicht vermeidet die Exponierung der privaten IP und lokaler Router-Ports
- CI/CD, Monitoring und Plattformmanagement sind vom Besuchertraffic getrennt
Container- / Deployment-Ansicht
Container- und Deployment-Ansicht der hybriden Portfolio-Plattform: Frontend-Deployment auf Vercel, öffentlicher VPS-Ingress, privates Tailscale-Routing und self-hosted Plausible/PostgreSQL-Container auf einer Proxmox/Debian-Runtime.

Review-Fokus
- GitHub Actions deployt das öffentliche Frontend, während die private Runtime den Analytics-State hält
- Tailscale verbindet öffentlichen VPS und private Proxmox/Debian-Runtime ohne direkte Inbound-Exponierung
- Docker Compose bündelt Plausible, PostgreSQL und Backups zu einer betreibbaren Service-Schicht
Datenfluss-Ansicht
Datenfluss-Ansicht der Privacy-First-Analytics-Plattform: Besucher laden das Vercel-gehostete Frontend, First-Party-Analytics-Events laufen über VPS/Tailscale zum privaten Plausible/PostgreSQL-Stack, während CI/CD, Monitoring und Backups vom Runtime-Traffic getrennt bleiben.

Review-Fokus
- User-Traffic, Analytics-Events, CI/CD, Monitoring und Backups sind als getrennte Flüsse modelliert
- First-Party-Analytics-Requests laufen über den kontrollierten Ingress-Pfad vor der privaten Verarbeitung
- Backup- und Observability-Schleifen zeigen Recovery-Fähigkeit statt nur Happy-Path-Hosting
Technische Entscheidungen
- Self-hosted Plausible Analytics mit PostgreSQL und ClickHouse, ausgeliefert über analytics.elkaza.at als First-Party-Analytics-Pfad
- Self-hosted Elkaza.at-Delivery über VPS-TCP-Ingress, Tailscale, Nginx Proxy Manager und einen privaten statischen Web-Container
- Gehärteter VPS-Ingress-Schutzschild mit strikter UFW-Policy, Unattended Upgrades und ohne direkte Exponierung der privaten Wohnanschluss-IP
- Tailscale-Reverse-Tunnel vom öffentlichen Ingress zur privaten Proxmox-Plattform ohne offene Ports am lokalen Router
- GitHub Actions CI/CD für automatisierte Next.js-Production-Deployments mit minimaler manueller Release-Arbeit
Herausforderungen
- SaaS-Abonnements und Third-Party-Analytics erzeugen laufende Kosten, externe Datenabhaengigkeit und brüchige Messbarkeit, wenn Browser-Erweiterungen oder Netzwerkfilter bekannte...
- Die Plattform reduziert öffentliche Exponierung, indem Ingress und private Runtime getrennt werden. Tailscale transportiert Traffic über ein verschlüsseltes Overlay, UFW begrenzt die...
- Proxmox erstellt woechentlich um 03:00 Uhr ein Snapshot-Backup der Debian-VM mit zstd-Kompression und lokaler Keep-last-three-Retention. Die Archivintegritaet wurde geprueft, die Kopien...
Lessons Learned
- Die Abhängigkeit von kostenpflichtigen SaaS-Abonnements und Third-Party-Analytics-Domains reduziert
- Besucher-Analytics unter eigener Kontrolle gehalten und gleichzeitig privacy-orientierte Messbarkeit bewahrt
- Die private Wohnanschluss-IP verborgen und offene eingehende Ports am lokalen Router vermieden
- Deployment, Monitoring, Updates und Backups in wiederholbare DevOps-Routinen überführt
Nächste Verbesserungen
- Diagramme bei größeren Architekturänderungen aktualisieren.
- Dokumentation weiter verdichten: README, Architekturentscheidungen und Screenshots synchron halten.
Tech-Stack
Artefakte
Verwandtes Projekt
Die angrenzende Fallstudie zeigt, wie dieses Projekt in die größere Portfolio-Story passt.
The Vienna Fortress
Eine gehärtete Proxmox- und Docker-Betriebsplattform aufgebaut, die mehrschichtige Sicherheit, Echtzeit-Observability, Reverse Proxying und automatisiertes Container-Lifecycle-Management verbindet.