Posts on Yanis Gramitzky - Infrastructure & Automation

Docker Compose Deep Dive: Every Option Explained

Thu, 19 Mar 2026 09:00:00 +0100

What Is Docker Compose?

Docker Compose is a tool for defining and running multi-container applications. Instead of typing long docker run commands with dozens of flags, you describe your entire stack — services, networks, volumes, secrets — in a single YAML file. One command (docker compose up) brings everything to life.

Compose is the standard way to run local development environments, CI pipelines, and even lightweight production workloads. Understanding its full vocabulary gives you precise control over how your containers behave.

SSH Hardening: Locking Down Your Remote Access

Thu, 19 Mar 2026 08:00:00 +0100

Why Harden SSH?

SSH (Secure Shell) is the backbone of remote server administration. It encrypts traffic and provides authenticated access — but out of the box, most SSH daemons ship with settings optimized for compatibility, not security.

A default SSH setup is vulnerable to:

Brute-force and credential stuffing attacks — automated bots hammer port 22 around the clock
Weak cipher suites — legacy algorithms like MD5 and arcfour can be exploited
Root login exposure — a compromised root session means total system takeover
Password-based auth — passwords can be guessed, leaked, or phished
Idle session hijacking — abandoned sessions left open are an open door

Hardening SSH is one of the highest-ROI security measures you can take. It reduces your attack surface dramatically with minimal operational overhead.

Inventory Management - Eine CRUD-App mit realem Anwendungsbezug

Mon, 12 Jan 2026 00:00:00 +0100

Das Problem

Wer Hardwaregeräte in einem Unternehmen verwaltet, kennt die Situation: Seriennummern in Excel-Tabellen, Status in separaten Tickets, Verantwortlichkeiten per E-Mail kommuniziert. Wenn dann jemand fragt “Wo ist Gerät XY gerade?”, beginnt die Suche.

Das Ziel war eine zentrale, einfache Web-Anwendung: Hardware erfassen, Status pflegen, Änderungen nachverfolgen. Kein Over-Engineering, kein Framework-Overhead – aber echte Anforderungen wie Active Directory-Authentifizierung, Audit-Logging und Bulk-Import aus Excel.

Das Ergebnis ist eine CRUD-Anwendung mit realem Anwendungsbezug: inventory-htmx-fastapi.

Kubernetes – Die ehrliche Perspektive

Sat, 11 Jan 2025 00:00:00 +0100

Kubernetes löst echte Probleme – aber nicht kostenlos

Der vorherige Post beschreibt wo Docker an seine Grenzen stößt: Rolling Updates, Skalierung, Health Management, Konfigurationsdrift. Kubernetes hat für jedes dieser Probleme eine durchdachte Antwort. Das ist keine Marketingaussage – es stimmt technisch.

Aber Kubernetes ist kein Zauberwort. Die Komplexität verschwindet nicht. Sie wird verschoben – von der Entwicklung auf die Infrastruktur. Und dieser Shift hat einen Preis.

Wie Kubernetes die Probleme technisch löst

Rolling Updates – deklarativ statt manuell

In Kubernetes beschreibt man nicht wie ein Update passiert, sondern was das Ergebnis sein soll:

Wo Docker an seine Grenzen stößt

Fri, 10 Jan 2025 00:00:00 +0100

Docker ist kein Orchestrator

Docker ist eines der nützlichsten Werkzeuge der modernen Softwareentwicklung. Container starten, isolieren, verwalten – das macht Docker hervorragend. Die anderen Posts in dieser Reihe zeigen wie viel sich damit aufbauen lässt: Mailserver, Monitoring, Reverse Proxy, VPN-Anbindung.

Aber Docker ist, beim besten Willen, kein Orchestrator.

Was bedeutet das? Ein Orchestrator kennt den gewünschten Zustand eines Systems und sorgt kontinuierlich dafür, dass die Realität mit diesem Zustand übereinstimmt. Docker startet Container. Was danach passiert – ob sie laufen, ob sie skalieren, ob sie auf den richtigen Hosts landen – liegt in der Hand des Administrators.

Grafana & Prometheus – Monitoring Stack für Docker und Proxmox

Thu, 09 Jan 2025 00:00:00 +0100

Wie spielen die Akteure zusammen?

Monitoring in diesem Stack basiert auf einem klaren Pull-Prinzip: Prometheus fragt aktiv bei den Datenquellen an – nicht umgekehrt. Jede Komponente hat eine klar definierte Rolle.

┌─────────────────────────────────────────────────────────────────┐
│ monitoring network │
│ │
│ ┌──────────────┐ scrape ┌─────────────────────────┐ │
│ │ Prometheus │◄────────────────│ cAdvisor :8080 │ │
│ │ :9090 │◄────────────────│ pve-exporter :9221 │ │
│ │ │◄────────────────│ traefik :8899 │ │
│ │ │◄────────────────│ prometheus :9090 │ │
│ └──────┬───────┘ └─────────────────────────┘ │
│ │ query (PromQL) │
│ ┌──────▼───────┐ ┌─────────────────────────┐ │
│ │ Grafana │ │ Redis │ │
│ │ :3000 │ │ (cAdvisor session) │ │
│ └──────────────┘ └─────────────────────────┘ │
│ │
└─────────────────────────────────────────────────────────────────┘
│ proxy network
┌────▼─────┐
│ Traefik │ → grafana.example.com (Authentik-geschützt)
└──────────┘
Außerhalb des monitoring network:
┌─────────────────────────────────┐
│ Proxmox VE 192.168.100.21 │
│ pve-exporter liest PVE API │
└─────────────────────────────────┘

Prometheus ist die Zentrale. Es scraped alle Datenquellen in regelmäßigen Intervallen, speichert die Zeitreihendaten in seiner eigenen TSDB und beantwortet PromQL-Abfragen von Grafana.

Docker Netzwerke – Verstehen und richtig einsetzen

Wed, 08 Jan 2025 00:00:00 +0100

Treiber-Übersicht

Treiber	Isolation	Container-DNS	LAN-sichtbar	Einsatz
`bridge`	✅	✅ (user-def)	❌	Standard, Multi-Container
`host`	❌	–	✅	Performance, Monitoring-Agents
`none`	✅✅	–	❌	Batch, sicherheitskritische Prozesse
`macvlan`	✅	❌	✅ eigene MAC	LAN-Integration, Pi-hole
`ipvlan`	✅	❌	✅ geteilte MAC	Managed Switches, RZ

Standard-Bridge: Container per Name nicht auflösbar. User-defined Bridge: DNS funktioniert.

Bridge

Bridge ist der Standard-Treiber. Jedes user-defined Bridge-Netzwerk ist ein isoliertes virtuelles Netzwerk auf dem Host – Container im selben Netzwerk können sich per Name finden, Container in anderen Netzwerken nicht.

Gluetun – Container sicher über VPN anbinden

Tue, 07 Jan 2025 00:00:00 +0100

Container im Rechenzentrum – sicher erreichbar

Eine Applikation läuft im Rechenzentrum. Sie enthält sensible Daten: Kundendaten, interne Systeme, Produktionsdatenbanken. Direkt über das öffentliche Internet erreichbar zu sein ist keine Option – zu groß das Angriffspotential, zu hoch die Compliance-Anforderungen.

Die klassische Lösung: ein VPN-Tunnel zwischen dem Rechenzentrum und dem eigenen Netzwerk. Jede Verbindung zu den Applikationen läuft verschlüsselt durch diesen Tunnel – von außen ist nichts sichtbar, kein Port offen, keine Angriffsfläche.

Beszel – Leichtgewichtiges Server-Monitoring für den Homelab

Mon, 06 Jan 2025 00:00:00 +0100

Server im Blick behalten – ohne Overhead

Grafana, Prometheus, Netdata alle leistungsfähig, alle aufwendig. Wer einfach wissen möchte ob ein Server noch läuft, wie viel RAM ein Container verbraucht und eine E-Mail bekommt wenn die Disk voll wird, braucht keinen Monitoring-Stack mit stundenlanger Konfiguration.

Beszel ist ein Open-Source-Monitoring-Tool, geschrieben in Go, mit einem schlanken PocketBase-Dashboard. Der Agent benötigt nur 6 MB RAM, der Hub etwa 23 MB – ein Bruchteil dessen, was Netdata oder ein Prometheus-Stack verbrauchen.

Traefik – Der Reverse Proxy für Docker

Sun, 05 Jan 2025 00:00:00 +0100

Das Problem mit vielen Diensten auf einem Server

Ein Server, viele Dienste. Immich auf Port 2283, Portainer auf 9443, Mailcow auf 8030, Stirling-PDF auf 8088. Jeder Dienst hat seinen eigenen Port – und der Nutzer muss sich alle merken, Zertifikate manuell verwalten und Ports in der Firewall freigeben.

Das skaliert nicht. Die Lösung ist ein Reverse Proxy – ein vorgelagerter Dienst, der eingehende Anfragen anhand der Domain auf den richtigen Container weiterleitet. Nur Port 80 und 443 müssen offen sein. Alle anderen Ports bleiben intern.

Portainer – Docker mit einer Weboberfläche verwalten

Sat, 04 Jan 2025 00:00:00 +0100

Docker auf der Kommandozeile – und eine Alternative

Wer Docker im Alltag betreibt, kennt die üblichen Befehle: docker ps, docker logs, docker compose up. Das funktioniert – ist aber nicht immer komfortabel, besonders wenn mehrere Container, Volumes und Netzwerke gleichzeitig im Blick behalten werden müssen.

Portainer ist eine Web-Oberfläche für Docker. Container starten, stoppen, Logs lesen, Images verwalten, Volumes inspizieren – alles im Browser, ohne Terminal.

💡 Niveau: Einsteigerfreundlich. Ein laufender Docker-Host wird vorausgesetzt.

Immich – Selbstgehostete Fotoverwaltung als Google Photos Alternative

Thu, 02 Jan 2025 00:00:00 +0100

Wem gehören die eigenen Fotos?

Google Photos, iCloud, Amazon Photos – sie alle bieten bequemen Speicher, smarte Suche und automatische Sortierung. Der Preis dafür ist nur selten in Euro. Meistens zahlt man mit Daten, mit Abhängigkeit, mit dem stillen Einverständnis, dass ein Konzern die eigenen Erinnerungen verwaltet.

Immich ist die Antwort darauf – eine selbstgehostete Foto- und Video-Bibliothek, die sich anfühlt wie Google Photos, aber auf dem eigenen Server läuft.

contentsample

Mon, 08 Jun 2020 08:06:25 +0600

This sample post tests the followings and is amazing:

Category, sub-category nesting in the sidebar.
Hero image and other images are in images folder inside this post directory.
Different media rendering like image, tweet, YouTube video, Vimeo video etc.

Image Sample

Tweet Sample

Owl bet you'll lose this staring contest 🦉 pic.twitter.com/eJh4f2zncC
— San Diego Zoo Wildlife Alliance (@sandiegozoo) October 26, 2021

YouTube Video Sample

Vimeo Video Sample

Stirling-PDF – Ein vollständiges PDF-Werkzeug, selbst gehostet

Mon, 01 Jan 0001 00:00:00 +0000

Das Problem mit PDF-Tools

Das Internet ist voll von PDF-Tools – und fast alle haben einen Haken. Zwei PDFs zusammenfügen? Kreditkarte hinterlegen. Eine Seite drehen? Nur mit Wasserzeichen. Text aus einem Scan extrahieren? Premium-Funktion.

Neben den Kosten gibt es ein weiteres Problem: Die Dokumente landen auf fremden Servern. Gehaltsabrechnungen, Verträge, Arztbriefe – einfach hochgeladen, weil es gerade praktisch war.

Stirling-PDF löst beides.

Was ist Stirling-PDF?

Stirling-PDF ist eine selbstgehostete Web-Anwendung mit über 50 PDF-Funktionen. Alles läuft lokal, in einem einzigen Docker-Container, ohne Cloud-Anbindung:

Mailcow – Ein vollständiger Mailserver auf eigenem Docker-Host

Mon, 01 Jan 0001 00:00:00 +0000

Warum ein eigener Mailserver?

E-Mail ist die älteste und verlässlichste digitale Kommunikationsform – und gleichzeitig die am stärksten zentralisierte. Google, Microsoft und ein Handvoll weiterer Anbieter verarbeiten den Großteil des globalen E-Mail-Verkehrs. Wer seine eigene Domain betreibt, gibt die Kontrolle über das Herzstück seiner digitalen Identität meist trotzdem ab.

Mailcow ändert das. Ein vollständiger Mailserver mit Webmail, Kalender, Kontakten, Spamfilter, Virenschutz und Zwei-Faktor-Authentifizierung – containerisiert, wartbar, erweiterbar.

⚠️ Niveau: Fortgeschritten. Grundkenntnisse in Docker, DNS und Linux werden vorausgesetzt. Ein Mailserver ist kein Lernprojekt für den Einstieg – Fehlkonfigurationen haben direkte Auswirkungen auf Zustellbarkeit und Sicherheit.

Sub-Category

Mon, 01 Jan 0001 00:00:00 +0000

পোস্ট সমূহ

Mon, 01 Jan 0001 00:00:00 +0000