Skip to content
Projekte
Infrastruktur und Sicherheit2026

Enterprise-Self-Hosted-Infrastruktur und Privacy-First-Analytics

Kernfunktionen des Webbetriebs von SaaS-Abhaengigkeit und Third-Party-Trackern auf eine eigenkontrollierte Hybrid-Cloud-Plattform mit First-Party-Plausible-Analytics, Tailscale-Reverse-Tunneling, automatisierten Deployments, Observability und recovery-faehigen Backups migriert.

Self-HostedDatenschutzAnalyticsDevOpsHybrid-Cloud

Ueberblick

Diese Fallstudie dokumentiert den Wechsel von gemieteter Bequemlichkeit zu eigener Infrastruktur. Die Plattform haelt den oeffentlichen Ingress schlank in der Cloud, betreibt Applikations- und Analytics-Services auf privater Proxmox- und Debian-Infrastruktur und nutzt Automatisierung fuer Deployment, Monitoring und Recovery. Das Ergebnis ist nicht nur ein guenstigeres Hosting-Setup, sondern ein privacy-orientiertes Betriebsmodell, bei dem Datenpfade, Analytics, Logs und Backups unter direkter Kontrolle bleiben.

Problem

SaaS-Abonnements und Third-Party-Analytics erzeugen laufende Kosten, externe Datenabhaengigkeit und bruechige Messbarkeit, wenn Browser-Erweiterungen oder Netzwerkfilter bekannte Tracker-Domains blockieren. Gleichzeitig wuerde die direkte Exponierung eines privaten Servers aus einem Heimnetz die private IP-Adresse sichtbar machen und die oeffentliche Angriffsoberflaeche vergroessern.

Loesung

Ich habe eine Hybrid-Cloud-Architektur aus gehaertetem oeffentlichem VPS, privatem Proxmox-VE-Host auf Debian 12 und Docker-Compose-Service-Stacks aufgebaut. Der VPS dient als minimaler Ingress-Schutzschild mit strikter UFW-Policy und Unattended Upgrades und leitet Web-Traffic ueber einen privaten Tailscale-Tunnel an die lokale Plattform weiter. Plausible Analytics laeuft self-hosted mit PostgreSQL und ClickHouse; das Tracking-Skript wird ueber eine First-Party-Analytics-Subdomain ausgeliefert, damit Metriken nutzbar bleiben, ohne auf eine Third-Party-Tracker-Domain angewiesen zu sein. GitHub Actions automatisiert Next.js-Production-Deployments, waehrend ein taeglicher Bash-Backup-Job Datenbank- und Docker-Volume-Zustand mit Sieben-Tage-Retention sichert.

Architektur

Besucherpfad

Besucher erreichen die Seite ueber kontrollierte HTTPS-Endpunkte und eine First-Party-Analytics-Subdomain, wodurch die Analytics-Auslieferung in einem eigentuergesteuerten Domain-Pfad bleibt statt ueber einen generischen Third-Party-Tracker-Host zu laufen.

Private Plattform

Eine private Proxmox-VE- und Debian-12-Plattform betreibt Docker-Compose-Services fuer Web-Stack, Plausible, PostgreSQL, ClickHouse, Nginx Proxy Manager, Observability, Management und Backup-Automation.

Oeffentlicher Ingress

Ein kostenguenstiger oeffentlicher VPS stellt gehaerteten Ingress bereit, verbirgt die private Wohnanschluss-IP und leitet Traffic ueber Tailscale weiter, statt eingehende Ports am lokalen Router zu benoetigen.

Sicherheit

Die Plattform reduziert oeffentliche Exponierung, indem Ingress und private Runtime getrennt werden. Tailscale transportiert Traffic ueber ein verschluesseltes Overlay, UFW begrenzt die VPS-Oberflaeche, Nginx Proxy Manager zentralisiert HTTPS-Routing, CrowdSec und Pi-hole ergaenzen Schutzschichten, und das First-Party-Plausible-Setup vermeidet die Weitergabe von Besucher-Analytics an einen Third-Party-Tracking-Anbieter.

Zuverlaessigkeit

Ein Root-Cronjob startet taeglich um 03:00 Uhr ein Dump-and-Pack-Backup: PostgreSQL wird sauber gedumpt, ClickHouse vor der Volume-Extraktion pausiert, um Korruption zu vermeiden, Docker-Named-Volumes werden archiviert, der gesamte Applikationszustand wird komprimiert und alte Snapshots werden ueber eine Sieben-Tage-Retention bereinigt.

Wesentliche Merkmale

  • Self-hosted Plausible Analytics mit PostgreSQL und ClickHouse, ausgeliefert ueber analytics.elkaza.at als First-Party-Analytics-Pfad
  • Gehaerteter VPS-Ingress-Schutzschild mit strikter UFW-Policy, Unattended Upgrades und ohne direkte Exponierung der privaten Wohnanschluss-IP
  • Tailscale-Reverse-Tunnel vom oeffentlichen Ingress zur privaten Proxmox-Plattform ohne offene Ports am lokalen Router
  • GitHub Actions CI/CD fuer automatisierte Next.js-Production-Deployments mit minimaler manueller Release-Arbeit
  • Taegliche Bash-Dump-and-Pack-Backups fuer PostgreSQL, ClickHouse, Docker-Named-Volumes, Kompression und Sieben-Tage-Retention
  • Lokales .lan-Dashboard auf Homepage-Basis mit YAML-State-Mapping fuer Netdata, Portainer, Dozzle, CrowdSec, Pi-hole, Uptime Kuma und Watchtower

Ergebnisse und Wirkung

  • Die Abhaengigkeit von kostenpflichtigen SaaS-Abonnements und Third-Party-Analytics-Domains reduziert
  • Besucher-Analytics unter eigener Kontrolle gehalten und gleichzeitig privacy-orientierte Messbarkeit bewahrt
  • Die private Wohnanschluss-IP verborgen und offene eingehende Ports am lokalen Router vermieden
  • Deployment, Monitoring, Updates und Backups in wiederholbare DevOps-Routinen ueberfuehrt
  • Einen staerkeren Portfolio-Nachweis fuer eigenkontrollierte Infrastruktur, sichere Netzwerke und automatisierten Betrieb geschaffen

Tech-Stack

Proxmox VEDebian 12Docker ComposeTailscalePlausible AnalyticsPostgreSQLClickHouseNginx Proxy ManagerCrowdSecPi-holeUFWGitHub ActionsBashUptime KumaNetdataPortainerDozzleWatchtowerHomepage

Artefakte

Link oeffnen: Live Site

Verwandtes Projekt

Die angrenzende Fallstudie zeigt, wie dieses Projekt in die groessere Portfolio-Story passt.

The Vienna Fortress

Eine gehaertete Proxmox- und Docker-Betriebsplattform aufgebaut, die mehrschichtige Sicherheit, Echtzeit-Observability, Reverse Proxying und automatisiertes Container-Lifecycle-Management verbindet.