Skip to content
Projekte
Infrastruktur und SicherheitStatus: In Arbeit2026

The Vienna Fortress

Eine gehärtete Proxmox- und Docker-Betriebsplattform aufgebaut, die mehrschichtige Sicherheit, Echtzeit-Observability, Reverse Proxying und automatisiertes Container-Lifecycle-Management verbindet.

SicherheitInfrastrukturBetriebPlattform
The Vienna Fortress dashboard screenshot

Kurzüberblick

Rolle

Infrastruktur-Verantwortung: Architektur, Hardening, Zugriffsmodell, Monitoring, Recovery-Pfad und operative Evidenz.

Umfang

Ich habe den Stack auf Proxmox 9.1 und Debian 13 aufgebaut und darauf Dockerisierte Services fuer Reverse Proxying, DNS-Filterung, Security Detection, Monitoring, Statuspruefungen, Log-Einsicht, Update-Automatisierung, interne...

Rahmenbedingungen

Sicherheit ist geschichtet statt auf eine einzelne Komponente konzentriert: Pi-hole uebernimmt DNS-Filterung, CrowdSec liefert Erkennung und Community Threat Intelligence, persistente Host- und Docker-Regeln kontrollieren den...

Evidenz

Ein generisches privates Lab in eine gehärtete interne Plattform mit klareren Betriebsgrenzen überführt

Architektur

Systemdesign-Ablauf

Node

Admins und Nutzer greifen über Homepage und reverse-proxied Einstiegspunkte auf Services zu, während die Dashboard-Schicht Service- und Virtualisierungszustand an einer Stelle sichtbar macht.

Edge

Ein Proxmox-9.1-Host betreibt eine Debian-13-VM und Docker-Services wie Nginx Proxy Manager, Pi-hole, CrowdSec, Netdata, Uptime Kuma, Dozzle, Watchtower und Homepage.

Cloud

Die Kernplattform ist local-first; öffentliche Exponierung wird für ausgewählte Services über einen separaten VPS- und Tailscale-Ingress-Pfad ergänzt, ohne lokale Router-Ports zu öffnen.

Technische Diagramme

Die Architekturdiagramme dienen als Review-Artefakte, damit Systemgrenzen, Runtime-Flüsse und operative Entscheidungen schnell prüfbar sind.

1 Technische Diagramme

Private Infrastruktur- und Betriebsplattform

Die Vienna-Fortress-Architektur zeigt die Trennung zwischen oeffentlichem Admin-/User-Einstieg, Public-VPS-Edge, privatem Tailscale-Transport und der Proxmox-/Debian-Docker-Runtime, in der Web, Analytics, Security, Observability, Operations und Backups getrennt betrieben werden.

Diagramm öffnen
Private Infrastruktur- und Betriebsplattform diagram for The Vienna Fortress

Review-Fokus

  • Oeffentliche Exponierung liegt am VPS-Edge statt am Home-Router
  • Runtime-Traffic und operativer Traffic sind als getrennte Fluesse dargestellt
  • Die private Runtime gruppiert Services nach Verantwortung: Web, Analytics, Security, Observability, Operations und Backups

Technische Entscheidungen

  • Mehrschichtige Sicherheit mit Pi-hole-DNS-Filterung, persistenten Ingress-Regeln und CrowdSec Detection
  • Reverse-proxied Service-Zugriff über Nginx Proxy Manager
  • Private Runtime-Basis für statische Elkaza.at-Auslieferung und First-Party-Plausible-Analytics
  • Netdata, Uptime Kuma und Dozzle für Metriken, Uptime-Checks und Live-Container-Logs
  • Eine React-basierte Proxmox-API-Integration für Dashboard-Sichtbarkeit stabilisiert

Herausforderungen

  • Einzelne Tools zu deployen ist einfach; daraus eine sichere und betreibbare Plattform zu machen ist deutlich schwieriger. Die Umgebung brauchte mehrschichtigen Schutz, Live-Sicht auf den...
  • Sicherheit ist geschichtet statt auf eine einzelne Komponente konzentriert: Pi-hole uebernimmt DNS-Filterung, CrowdSec liefert Erkennung und Community Threat Intelligence, persistente...
  • Netdata, Uptime Kuma und Dozzle liefern Metriken, Health Checks und Log-Sichtbarkeit, während Watchtower den Container-Update-Lifecycle automatisiert und manuellen Drift über langlebige...

Lessons Learned

  • Ein generisches privates Lab in eine gehärtete interne Plattform mit klareren Betriebsgrenzen überführt
  • Echtzeit-Sicht auf Service-Zustand, Metriken und Logs geschaffen
  • Ein schichtübergreifendes Integrationsproblem zwischen Frontend-Code und der Proxmox-API gelöst
  • Den Wartungsaufwand durch automatisierte Container-Updates reduziert

Nächste Verbesserungen

  • Diagramme bei größeren Architekturänderungen aktualisieren.
  • Dokumentation weiter verdichten: README, Architekturentscheidungen und Screenshots synchron halten.

Tech-Stack

Debian 13Proxmox 9.1DockerNginx Proxy ManagerPi-holeCrowdSecNetdataUptime KumaDozzleWatchtowerHomepage

Verwandtes Projekt

Die angrenzende Fallstudie zeigt, wie dieses Projekt in die größere Portfolio-Story passt.

Gehärtetes Hybrid-Cloud-Privatnetzwerk

Phase 1 abgeschlossen: Aufbau eines Zero-Trust-Privatnetzwerks über On-Premises-, Cloud- und mobile Endpunkte mit SSH-Haertung, DNS-Privatsphaere und sicherem Remote-Transit.