Zum Inhalt springen

Projekt Phoenyx – Teil 1: Mein Weg zur perfekten 2-Server-Infrastruktur

Veröffentlicht von martin am 2. Dezember 2025
Kategorie: Homelab / Server / Tutorials | Lesezeit: ca. 8-10 Minuten

Einleitung: Warum wir uns das antun

Hand aufs Herz: Wir alle haben mal klein angefangen. Vielleicht mit einem Raspberry Pi, der irgendwo verstaubt, oder einem günstigen vServer, auf dem wir wild alles installiert haben, was das Internet so hergibt. Und wir kennen alle das Ergebnis: Irgendwann blickt man nicht mehr durch. War der Port 8080 jetzt für den Webserver oder für das Test-Projekt von letzter Woche? Und – noch viel wichtiger – was passiert eigentlich, wenn diese eine Maschine morgen den Geist aufgibt?

Genau an diesem Punkt stand ich auch. Ich wollte weg vom „Bastel-Chaos“ hin zu einer ernsthaften, stabilen Umgebung. Ich wollte meine eigene Cloud hosten, unabhängig von großen Anbietern sein, aber dabei ruhig schlafen können.

Willkommen beim Projekt Phoenyx.

In dieser neuen Blog-Serie nehme ich dich mit auf eine Reise. Wir bauen nicht einfach nur einen Server auf. Wir bauen eine Infrastruktur. Wir werden zwei Server so einrichten, dass sie als Team funktionieren: Einer steht an der Front, der andere hält im Hintergrund die Stellung. Das klingt nach Enterprise-IT? Vielleicht. Aber das Schöne ist: Wir machen das so, dass auch Einsteiger es verstehen und nachbauen können.

Die Strategie: Warum zwei Server besser sind als einer

Vielleicht fragst du dich gerade: „Warum der Aufwand? Ein großer Server würde doch reichen?“
Technisch gesehen: Ja. Aber sicherheitstechnisch und organisatorisch ist die „Alles auf einer Karte“-Methode riskant.

Mein Konzept für diese Anleitung basiert auf einer strikten Funktionstrennung. Wir teilen unsere Aufgaben in zwei Bereiche auf: Die „Produktion“ und die „Verwaltung“.

Stell dir das wie ein Restaurant vor.

  • Es gibt den Gastraum, wo das Leben tobt, wo Kunden bedient werden und es auch mal hektisch zugeht.
  • Und es gibt das Hinterzimmer (das Büro und den Safe), wo die Buchhaltung gemacht wird, die Baupläne liegen und die Einnahmen sicher verwahrt werden.

Niemand würde die Tresorkombination direkt auf die Speisekarte schreiben. Genau das setzen wir mit unseren zwei Servern um.

Unsere Kandidaten

Wir taufen unsere beiden Server Server01 und Server02. Beide werden auf der Basis von Ubuntu 24.04 LTS laufen – einem System, das für seine Stabilität bekannt ist und uns die nächsten Jahre begleiten wird.

Der „Arbeiter“: Server02 (Die Frontline)

Fangen wir mit dem Server an, der im Rampenlicht steht. Server02 ist unser Arbeitspferd. Dieser Server ist direkt mit dem Internet verbunden und stellt die Dienste bereit, die wir täglich nutzen. Er muss schnell sein, er muss erreichbar sein, und er muss so konfiguriert sein, dass er Anfragen effizient verarbeitet.

Hier ist, was wir auf diesem Server installieren werden – und warum:

1. Traefik (Der Türsteher)

Wenn Anfragen aus dem Internet kommen (jemand ruft deine Webseite auf), brauchen wir jemanden, der den Verkehr regelt. Traefik ist unser „Reverse Proxy“. Er ist modern, extrem schnell und liebt Docker. Das Beste an Traefik: Er kümmert sich automatisch um HTTPS-Zertifikate (das grüne Schloss im Browser). Wir müssen uns nie wieder manuell um ablaufende Zertifikate sorgen. Er leitet Anfragen wie cloud.meine-domain.de oder mail.meine-domain.de automatisch an den richtigen Container weiter.

2. Mailcow (Die Poststelle)

Einen eigenen Mailserver zu betreiben, gilt als die Königsdisziplin. Viele raten davon ab. Mit Mailcow wird es jedoch beherrschbar. Es ist eine komplette Suite, die alles mitbringt: Virenschutz, Webmail, Kalender und Kontakte. Warum selbst hosten? Weil deine E-Mails niemandem etwas angehen, außer dir. Auf Server02 wird Mailcow unser Kommunikationszentrum.

3. Vaultwarden (Der Safe)

Passwörter im Browser zu speichern ist bequem, aber riskant. Dienste wie LastPass in der Cloud zu nutzen, erfordert Vertrauen. Vaultwarden ist eine leichtgewichtige Version des bekannten „Bitwarden“-Servers. Damit hostest du deinen eigenen Passwort-Manager. Deine Passwörter verlassen niemals deine Kontrolle. Da dieser Dienst kritisch ist, läuft er auf der Frontline, wird aber (wie wir später sehen) massiv gesichert.

4. Deine Webseite & Webprojekte

Egal ob WordPress, ein statischer Blog oder eine kleine App: Hier ist ihr Zuhause. Dank Traefik können wir beliebig viele Webseiten parallel betreiben, ohne dass sie sich in die Quere kommen.

5. Monitoring-Agent

Damit wir wissen, wie es Server02 geht, bekommt er einen kleinen „Spion“. Dieser Agent überwacht CPU, RAM, und Festplattenplatz und meldet diese Daten live an unseren zweiten Server.

Der „Verwalter“: Server01 (Die Festung)

Kommen wir nun zum Herzstück meiner Sicherheitsstrategie. Server01 ist der Server, der im Hintergrund agiert. Er ist weniger „öffentlich“ als sein Bruder. Seine Aufgabe ist Schutz, Überwachung und Verwaltung. Wenn Server02 morgen gehackt wird oder abbrennt, ist Server01 unsere Lebensversicherung.

1. Monitoring Zentrale (Das Cockpit)

Hier laufen alle Daten zusammen. Wir installieren hier ein Dashboard (z.B. Grafana oder Checkmk), das uns bunte Grafiken und Warnmeldungen anzeigt. Ist Server 02 überlastet? Läuft die Backup-Festplatte voll? Server01 wird es uns sagen, bevor es zu spät ist.

2. Backup (Das Sicherheitsnetz)

Das ist der wichtigste Punkt der ganzen Serie. Ein Server ohne Backup ist ein Datenverlust, der nur darauf wartet, zu passieren.

Wir richten einen automatisierten Prozess ein, der alle Daten von Server02 (die Mails, die Passwörter, die Webseiten) regelmäßig auf Server01 zieht.

Sollte Server02 ausfallen, haben wir eine 1:1 Kopie der Daten auf Server01 bereitliegen. Wir trennen also die „Live-Daten“ physisch von den „Sicherungs-Daten“.

3. VPN (Der Geheimgang)

Ich möchte nicht jeden Verwaltungs-Port ins Internet hängen. Datenbanken oder das Monitoring-Dashboard haben im öffentlichen Netz nichts verloren. Deshalb richten wir auf Server01 einen VPN-Server ein (z.B. WireGuard). Wenn ich etwas administrieren will, verbinde ich mich per VPN. Für das Internet sind diese Türen unsichtbar.

4. Gitlab (Das Gehirn)

Hier lagere ich meinen Code und meine Konfigurationsdateien („Infrastructure as Code“). Wenn wir später Änderungen an unserer Server-Konfiguration vornehmen, speichern wir diese Änderungen in Gitlab. So können wir jeden Fehler rückgängig machen und wissen genau, was wir wann geändert haben.

Der Ausblick: So geht es weiter

Du siehst, wir haben Großes vor. Aber keine Sorge: Wir essen diesen Elefanten stückchenweise. Diese Serie ist explizit für Einsteiger geschrieben, die bereit sind, etwas zu lernen. Wir werden viel die Konsole (Terminal) nutzen, aber ich werde jeden Befehl erklären.

In den nächsten Wochen werden wir diese Architektur Stein für Stein aufbauen.

Was dich in Teil 2 erwartet:

Wir legen das Fundament. Wir werden beide Server installieren und identisch vorbereiten.
Das bedeutet:

  • Wir machen Ubuntu 24.04 startklar.
  • Wir ersetzen die Standard-Firewall UFW durch echte Profi-Regeln (iptables), weil Docker und UFW oft nicht gut zusammenspielen.
  • Wir richten ein internes VLAN ein, damit Server01 und Server02 über eine private Leitung riesige Datenmengen (Backups!) schaufeln können, ohne das Internet zu verstopfen.
  • Wir bauen eine saubere Verzeichnisstruktur unter /opt/containers, damit das Chaos gar nicht erst entsteht.

Ich freue mich darauf, dieses Projekt mit dir gemeinsam umzusetzen. Mach dir am besten schon mal zwei frische Server (oder virtuelle Maschinen) bereit – im nächsten Teil geht es ans Eingemachte!

Hast du Fragen zur Architektur oder Wünsche für spezielle Details? Schreib es mir gerne in die Kommentare. Bis zum nächsten Mal!

Published inHowToNerdStuffTutorial

Sei der Erste der einen Kommentar abgibt

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert