The Vienna Fortress
Eine gehärtete Proxmox- und Docker-Betriebsplattform aufgebaut, die mehrschichtige Sicherheit, Echtzeit-Observability, Reverse Proxying und automatisiertes Container-Lifecycle-Management verbindet.

Kurzüberblick
Rolle
Infrastruktur-Verantwortung: Architektur, Hardening, Zugriffsmodell, Monitoring, Recovery-Pfad und operative Evidenz.
Umfang
Ich habe den Stack auf Proxmox 9.1 und Debian 13 aufgebaut und darauf Dockerisierte Services fuer Reverse Proxying, DNS-Filterung, Security Detection, Monitoring, Statuspruefungen, Log-Einsicht, Update-Automatisierung, interne...
Rahmenbedingungen
Sicherheit ist geschichtet statt auf eine einzelne Komponente konzentriert: Pi-hole uebernimmt DNS-Filterung, CrowdSec liefert Erkennung und Community Threat Intelligence, persistente Host- und Docker-Regeln kontrollieren den...
Evidenz
Ein generisches privates Lab in eine gehärtete interne Plattform mit klareren Betriebsgrenzen überführt
Architektur
Node
Admins und Nutzer greifen über Homepage und reverse-proxied Einstiegspunkte auf Services zu, während die Dashboard-Schicht Service- und Virtualisierungszustand an einer Stelle sichtbar macht.
Edge
Ein Proxmox-9.1-Host betreibt eine Debian-13-VM und Docker-Services wie Nginx Proxy Manager, Pi-hole, CrowdSec, Netdata, Uptime Kuma, Dozzle, Watchtower und Homepage.
Cloud
Die Kernplattform ist local-first; öffentliche Exponierung wird für ausgewählte Services über einen separaten VPS- und Tailscale-Ingress-Pfad ergänzt, ohne lokale Router-Ports zu öffnen.
Node
Admins und Nutzer greifen über Homepage und reverse-proxied Einstiegspunkte auf Services zu, während die Dashboard-Schicht Service- und Virtualisierungszustand an einer Stelle sichtbar macht.
Edge
Ein Proxmox-9.1-Host betreibt eine Debian-13-VM und Docker-Services wie Nginx Proxy Manager, Pi-hole, CrowdSec, Netdata, Uptime Kuma, Dozzle, Watchtower und Homepage.
Cloud
Die Kernplattform ist local-first; öffentliche Exponierung wird für ausgewählte Services über einen separaten VPS- und Tailscale-Ingress-Pfad ergänzt, ohne lokale Router-Ports zu öffnen.
Technische Diagramme
Die Architekturdiagramme dienen als Review-Artefakte, damit Systemgrenzen, Runtime-Flüsse und operative Entscheidungen schnell prüfbar sind.
Private Infrastruktur- und Betriebsplattform
Die Vienna-Fortress-Architektur zeigt die Trennung zwischen oeffentlichem Admin-/User-Einstieg, Public-VPS-Edge, privatem Tailscale-Transport und der Proxmox-/Debian-Docker-Runtime, in der Web, Analytics, Security, Observability, Operations und Backups getrennt betrieben werden.
Review-Fokus
- Oeffentliche Exponierung liegt am VPS-Edge statt am Home-Router
- Runtime-Traffic und operativer Traffic sind als getrennte Fluesse dargestellt
- Die private Runtime gruppiert Services nach Verantwortung: Web, Analytics, Security, Observability, Operations und Backups
Technische Entscheidungen
- Mehrschichtige Sicherheit mit Pi-hole-DNS-Filterung, persistenten Ingress-Regeln und CrowdSec Detection
- Reverse-proxied Service-Zugriff über Nginx Proxy Manager
- Private Runtime-Basis für statische Elkaza.at-Auslieferung und First-Party-Plausible-Analytics
- Netdata, Uptime Kuma und Dozzle für Metriken, Uptime-Checks und Live-Container-Logs
- Eine React-basierte Proxmox-API-Integration für Dashboard-Sichtbarkeit stabilisiert
Herausforderungen
- Einzelne Tools zu deployen ist einfach; daraus eine sichere und betreibbare Plattform zu machen ist deutlich schwieriger. Die Umgebung brauchte mehrschichtigen Schutz, Live-Sicht auf den...
- Sicherheit ist geschichtet statt auf eine einzelne Komponente konzentriert: Pi-hole uebernimmt DNS-Filterung, CrowdSec liefert Erkennung und Community Threat Intelligence, persistente...
- Netdata, Uptime Kuma und Dozzle liefern Metriken, Health Checks und Log-Sichtbarkeit, während Watchtower den Container-Update-Lifecycle automatisiert und manuellen Drift über langlebige...
Lessons Learned
- Ein generisches privates Lab in eine gehärtete interne Plattform mit klareren Betriebsgrenzen überführt
- Echtzeit-Sicht auf Service-Zustand, Metriken und Logs geschaffen
- Ein schichtübergreifendes Integrationsproblem zwischen Frontend-Code und der Proxmox-API gelöst
- Den Wartungsaufwand durch automatisierte Container-Updates reduziert
Nächste Verbesserungen
- Diagramme bei größeren Architekturänderungen aktualisieren.
- Dokumentation weiter verdichten: README, Architekturentscheidungen und Screenshots synchron halten.
Tech-Stack
Verwandtes Projekt
Die angrenzende Fallstudie zeigt, wie dieses Projekt in die größere Portfolio-Story passt.
Gehärtetes Hybrid-Cloud-Privatnetzwerk
Phase 1 abgeschlossen: Aufbau eines Zero-Trust-Privatnetzwerks über On-Premises-, Cloud- und mobile Endpunkte mit SSH-Haertung, DNS-Privatsphaere und sicherem Remote-Transit.