Skip to content
Projekte
Infrastruktur und SicherheitStatus: Umgesetzt2026

Enterprise-Self-Hosted-Infrastruktur und Privacy-First-Analytics

Kernfunktionen des Webbetriebs von SaaS-Abhaengigkeit und Third-Party-Trackern auf eine eigenkontrollierte Hybrid-Cloud-Plattform mit First-Party-Plausible-Analytics, self-hosted Elkaza.at-Delivery, Tailscale-Routing, automatisierten Deployments, Observability und geplanten lokalen Recovery-Punkten migriert.

Self-HostedDatenschutzAnalyticsDevOpsHybrid-Cloud

Kurzüberblick

Rolle

Infrastruktur-Verantwortung: Architektur, Hardening, Zugriffsmodell, Monitoring, Recovery-Pfad und operative Evidenz.

Umfang

Ich habe eine Hybrid-Cloud-Architektur aus gehaertetem oeffentlichem VPS, privatem Proxmox-VE-Host mit Debian-13-VM und Docker-Compose-Service-Stacks aufgebaut. Der VPS dient als minimaler Ingress-Schutzschild mit strikter...

Rahmenbedingungen

Die Plattform reduziert öffentliche Exponierung, indem Ingress und private Runtime getrennt werden. Tailscale transportiert Traffic über ein verschlüsseltes Overlay, UFW begrenzt die VPS-Oberfläche, Nginx Proxy Manager...

Evidenz

Die Abhängigkeit von kostenpflichtigen SaaS-Abonnements und Third-Party-Analytics-Domains reduziert

Architektur

Systemdesign-Ablauf

Besucherpfad

Besucher erreichen die Seite über kontrollierte HTTPS-Endpunkte und eine First-Party-Analytics-Subdomain, wodurch die Analytics-Auslieferung in einem eigentuergesteuerten Domain-Pfad bleibt statt über einen generischen Third-Party-Tracker-Host zu laufen.

Private Plattform

Ein privater Proxmox-VE-Host betreibt eine Debian-13-VM mit Docker-Compose-Services fuer Web-Stack, Plausible, PostgreSQL, ClickHouse, Nginx Proxy Manager, Observability und Management.

Öffentlicher Ingress

Ein kostengünstiger öffentlicher VPS stellt gehärteten Ingress bereit, verbirgt die private Wohnanschluss-IP und leitet Traffic über Tailscale weiter, statt eingehende Ports am lokalen Router zu benötigen.

Technische Diagramme

Die Architekturdiagramme dienen als Review-Artefakte, damit Systemgrenzen, Runtime-Flüsse und operative Entscheidungen schnell prüfbar sind.

3 Technische Diagramme

Systemkontext

Systemkontext der hybriden Portfolio- und Privacy-First-Analytics-Plattform: Die öffentliche Seite läuft auf Vercel, während First-Party-Analytics-Traffic über VPS/Tailscale zu einem privaten self-hosted Plausible-Stack geroutet wird.

Diagramm öffnen
Systemkontext diagram for Enterprise Self-Hosted Infrastructure & Privacy-First Analytics Setup

Review-Fokus

  • Die öffentliche Website-Auslieferung bleibt schlank auf Vercel, während Analytics privat betrieben wird
  • Eine VPS-Ingress-Schicht vermeidet die Exponierung der privaten IP und lokaler Router-Ports
  • CI/CD, Monitoring und Plattformmanagement sind vom Besuchertraffic getrennt

Container- / Deployment-Ansicht

Container- und Deployment-Ansicht der hybriden Portfolio-Plattform: Frontend-Deployment auf Vercel, öffentlicher VPS-Ingress, privates Tailscale-Routing und self-hosted Plausible/PostgreSQL-Container auf einer Proxmox/Debian-Runtime.

Diagramm öffnen
Container- / Deployment-Ansicht diagram for Enterprise Self-Hosted Infrastructure & Privacy-First Analytics Setup

Review-Fokus

  • GitHub Actions deployt das öffentliche Frontend, während die private Runtime den Analytics-State hält
  • Tailscale verbindet öffentlichen VPS und private Proxmox/Debian-Runtime ohne direkte Inbound-Exponierung
  • Docker Compose bündelt Plausible, PostgreSQL und Backups zu einer betreibbaren Service-Schicht

Datenfluss-Ansicht

Datenfluss-Ansicht der Privacy-First-Analytics-Plattform: Besucher laden das Vercel-gehostete Frontend, First-Party-Analytics-Events laufen über VPS/Tailscale zum privaten Plausible/PostgreSQL-Stack, während CI/CD, Monitoring und Backups vom Runtime-Traffic getrennt bleiben.

Diagramm öffnen
Datenfluss-Ansicht diagram for Enterprise Self-Hosted Infrastructure & Privacy-First Analytics Setup

Review-Fokus

  • User-Traffic, Analytics-Events, CI/CD, Monitoring und Backups sind als getrennte Flüsse modelliert
  • First-Party-Analytics-Requests laufen über den kontrollierten Ingress-Pfad vor der privaten Verarbeitung
  • Backup- und Observability-Schleifen zeigen Recovery-Fähigkeit statt nur Happy-Path-Hosting

Technische Entscheidungen

  • Self-hosted Plausible Analytics mit PostgreSQL und ClickHouse, ausgeliefert über analytics.elkaza.at als First-Party-Analytics-Pfad
  • Self-hosted Elkaza.at-Delivery über VPS-TCP-Ingress, Tailscale, Nginx Proxy Manager und einen privaten statischen Web-Container
  • Gehärteter VPS-Ingress-Schutzschild mit strikter UFW-Policy, Unattended Upgrades und ohne direkte Exponierung der privaten Wohnanschluss-IP
  • Tailscale-Reverse-Tunnel vom öffentlichen Ingress zur privaten Proxmox-Plattform ohne offene Ports am lokalen Router
  • GitHub Actions CI/CD für automatisierte Next.js-Production-Deployments mit minimaler manueller Release-Arbeit

Herausforderungen

  • SaaS-Abonnements und Third-Party-Analytics erzeugen laufende Kosten, externe Datenabhaengigkeit und brüchige Messbarkeit, wenn Browser-Erweiterungen oder Netzwerkfilter bekannte...
  • Die Plattform reduziert öffentliche Exponierung, indem Ingress und private Runtime getrennt werden. Tailscale transportiert Traffic über ein verschlüsseltes Overlay, UFW begrenzt die...
  • Proxmox erstellt woechentlich um 03:00 Uhr ein Snapshot-Backup der Debian-VM mit zstd-Kompression und lokaler Keep-last-three-Retention. Die Archivintegritaet wurde geprueft, die Kopien...

Lessons Learned

  • Die Abhängigkeit von kostenpflichtigen SaaS-Abonnements und Third-Party-Analytics-Domains reduziert
  • Besucher-Analytics unter eigener Kontrolle gehalten und gleichzeitig privacy-orientierte Messbarkeit bewahrt
  • Die private Wohnanschluss-IP verborgen und offene eingehende Ports am lokalen Router vermieden
  • Deployment, Monitoring, Updates und Backups in wiederholbare DevOps-Routinen überführt

Nächste Verbesserungen

  • Diagramme bei größeren Architekturänderungen aktualisieren.
  • Dokumentation weiter verdichten: README, Architekturentscheidungen und Screenshots synchron halten.

Tech-Stack

Proxmox VEDebian 13Docker ComposeTailscalePlausible AnalyticsPostgreSQLClickHouseNginx Proxy ManagerCrowdSecPi-holeUFWGitHub ActionsBashUptime KumaNetdataPortainerDozzleWatchtowerHomepage

Artefakte

Verwandtes Projekt

Die angrenzende Fallstudie zeigt, wie dieses Projekt in die größere Portfolio-Story passt.

The Vienna Fortress

Eine gehärtete Proxmox- und Docker-Betriebsplattform aufgebaut, die mehrschichtige Sicherheit, Echtzeit-Observability, Reverse Proxying und automatisiertes Container-Lifecycle-Management verbindet.