Homelab

Dieses Dokument beschreibt die Bereitstellung der statischen Webseite für zyria.de, deren Inhalt aus einem Git-Repository synchronisiert wird.

This document describes the Zammad Helpdesk deployment, an open-source, web-based helpdesk and customer support system.

This document describes the WireGuard VPN Server deployment, a modern, fast, and secure VPN protocol.

whoami ist ein minimaler Webserver, der HTTP-Request-Header, Hostname und IP-Adresse des Pods anzeigt. Er wird hauptsächlich für Debugging-Zwecke im Kontext von Ingress und Netzwerk-Routing verwendet.

This document describes the Uptime Kuma deployment, a self-hosted, open-source monitoring tool for tracking service uptime and performance.

Dieses Dokument beschreibt die Bereitstellung der UniFi Netzwerk-Anwendung, einer Software-Defined Networking (SDN)-Plattform zur Verwaltung von UniFi-Geräten.

Dieses Dokument beschreibt die Bereitstellung des Trivy Operators, eines Kubernetes-nativen Sicherheitstools, das Ihren Cluster kontinuierlich auf Sicherheitsprobleme scannt.

This document describes the Traefik Ingress Controller deployment, a modern load balancer and reverse proxy for Kubernetes.

This document describes the deployment of the Rancher System Upgrade Controller, a Kubernetes-native upgrade controller for nodes.

Dieser Dienst verbindet sich mit dem lokalen MQTT-Broker und mappt die spezifischen, geräteabhängigen MQTT-Topics des Zendure SolarFlow Systems auf generische, leichter verständliche Topics um.

Dieser Dienst verbindet sich mit dem lokalen MQTT-Broker und mappt die spezifischen, geräteabhängigen MQTT-Topics des Zendure SolarFlow Systems auf generische, leichter verständliche Topics um.

Dieser Dienst verbindet sich mit dem lokalen MQTT-Broker und mappt die spezifischen, geräteabhängigen MQTT-Topics des Zendure SolarFlow Systems auf generische, leichter verständliche Topics um.

Dieses Dokument beschreibt die Bereitstellung einer benutzerdefinierten SolarFlow Topic Mapper-Anwendung für ein spezifisches SolarFlow-Gerät (ACE1500).

Dieses Dokument beschreibt die Bereitstellung der statischen Webseite für SolarChart, die Solarprognosedaten bereitstellt.

This document describes the deployment of LTB Self-Service Password, a web application for users to manage their own passwords in an LDAP directory.

This document describes the Roundcube Webmail deployment, an open-source, browser-based IMAP email client.

Dieses Dokument beschreibt die Bereitstellung des Reloader, eines Kubernetes-Controllers, der Pod-Neustarts bei ConfigMap- oder Secret-Updates automatisiert.

This document describes the deployment of the static website for quaecki.de.

This document describes the Prometheus deployment, an open-source monitoring and alerting toolkit.

Dieses Dokument beschreibt die Bereitstellung des Plex Media Servers, einer beliebten Anwendung zum Organisieren und Streamen von Medien.

This document describes the Pi-hole deployment, a network-wide ad blocker and DNS sinkhole.

This document describes the Paperless-ngx deployment, a document management system that transforms physical documents into searchable digital archives.

Dieser Dienst stellt eine Weboberfläche bereit, die Daten von einem OpenDTU-Gerät empfängt, in einer Datenbank speichert und zur Visualisierung und Analyse anzeigt.

This document describes the deployment of the NFS Subdir External Provisioner, which enables dynamic provisioning of Persistent Volumes using an existing NFS server.

Nextcloud ist das Gehirn des Smart Homes. Es ermöglicht die Steuerung und Automatisierung einer Vielzahl von Geräten und Diensten und stellt eine zentrale Benutzeroberfläche bereit.

Dieser Dienst verwendet einen Nginx-Server, um eine statische mta-sts.txt-Datei unter dem .well-known-Pfad für verschiedene Domains zu veröffentlichen und so die E-Mail-Sicherheit zu erhöhen.

Mosquitto dient als zentraler Message Broker für das MQTT-Protokoll und ermöglicht die Kommunikation zwischen verschiedenen IoT-Geräten und -Diensten im Smart Home.

MetalLB ermöglicht die Verwendung von Kubernetes-Services vom Typ LoadBalancer in Clustern, die nicht bei einem Cloud-Anbieter laufen, indem es IP-Adressen aus einem konfigurierten Pool zuweist.

Synapse Admin bietet eine einfache grafische Oberfläche, um Benutzer und Räume auf einem Synapse Homeserver zu verwalten, ohne die Admin-API direkt verwenden zu müssen.

Diese Anwendung stellt einen Matrix-Homeserver (Synapse) und einen Web-Client (Element) bereit, um einen föderierten, Ende-zu-Ende-verschlüsselten Chat-Dienst zu betreiben.

Mastodon ist eine Open-Source-Alternative zu kommerziellen sozialen Netzwerken. Es ermöglicht Benutzern, eigene, unabhängige Server (Instanzen) zu betreiben, die über das ActivityPub-Protokoll miteinander kommunizieren können (Föderation).

Dieser Dienst stellt eine generische Wartungsseite bereit, die von Traefik als Fallback für nicht erreichbare Dienste oder bei Fehlern wie 404 (Not Found) angezeigt werden kann.

Dieser Mailstack integriert mehrere Komponenten wie Postfix, Dovecot, Rspamd und ClamAV, um einen robusten und sicheren E-Mail-Dienst mit Spam- und Virenfilterung bereitzustellen.

Longhorn bietet hochverfügbaren, persistenten Blockspeicher für stateful Anwendungen im Kubernetes-Cluster, indem es den lokalen Speicherplatz der Worker-Nodes nutzt und über das Netzwerk repliziert.

Dieses Dokument beschreibt die Bereitstellung des Kubernetes Deschedulers, eines Tools zur Optimierung der Pod-Platzierung in einem Cluster.

Keel überwacht Container-Image-Repositories und Helm-Charts auf neue Versionen und aktualisiert die entsprechenden Deployments im Cluster automatisch gemäß den definierten Policies.

Zentrale Verwaltung eines k3s Kubernetes Clusters und seiner Anwendungen durch GitOps mit ArgoCD, Helm und Kustomize.

Dieser Ordner enthält grundlegende Konfigurationen für den k3s Kubernetes-Cluster, einschließlich des Local Path Provisioners und einer virtuellen IP für den Kubernetes API-Server.

IT-Tools ist eine rein clientseitige Webanwendung, die eine Vielzahl von Werkzeugen wie Konverter, Formatierer, Generatoren und vieles mehr für den täglichen Gebrauch bereitstellt.

Dieser Dienst hostet die Webseite hx53.de. Der Inhalt der Seite wird aus einem Git-Repository geklont und von einem Nginx-Webserver ausgeliefert.

Home Assistant ist das Gehirn des Smart Homes. Es ermöglicht die Steuerung und Automatisierung einer Vielzahl von Geräten und Diensten und stellt eine zentrale Benutzeroberfläche bereit.

Dieses Dokument beschreibt die Bereitstellung von HedgeDoc, einem kollaborativen Markdown-Editor.

Dieses Dokument beschreibt die Bereitstellung von Headscale, einer quelloffenen, selbst gehosteten Implementierung des Tailscale Control Servers.

Dieses Dokument beschreibt die Bereitstellung von Forgejo Runner, einem Daemon zum Ausführen von CI/CD-Jobs für Forgejo-Instanzen.

Dieses Dokument beschreibt die Bereitstellung von Forgejo, einer quelloffenen, selbst gehosteten Git-Plattform.

Dieses Dokument beschreibt die Bereitstellung des SUSE Endpoint Copier Operators, der Kubernetes Services und deren Endpunkte synchronisiert.

Dieses Dokument beschreibt die Bereitstellung des DMARC Report Tools, das DMARC-Berichte verarbeitet und visualisiert.

CoreDNS dient als primärer DNS-Server für die Service Discovery innerhalb des Kubernetes-Clusters und löst sowohl interne als auch externe DNS-Anfragen auf.

CoreDNS dient als primärer DNS-Server für die Service Discovery innerhalb des Kubernetes-Clusters und löst sowohl interne als auch externe DNS-Anfragen auf.

CoreDNS dient als primärer DNS-Server für die Service Discovery innerhalb des Kubernetes-Clusters und löst sowohl interne als auch externe DNS-Anfragen auf.

Dieses Dokument beschreibt die Bereitstellung von Cert-Manager, einem nativen Kubernetes-Zertifikatsmanagement-Tool.

Dieses Dokument beschreibt die Bereitstellung von Authentik, einem quelloffenen Identitätsanbieter (IdP).

Dieses Dokument beschreibt die Bereitstellung von Argo CD, einem deklarativen GitOps-Continuous-Delivery-Tool für Kubernetes.

Dieses Dokument beschreibt die Bereitstellung von Ansible Semaphore, einer webbasierten Benutzeroberfläche zur Verwaltung und Ausführung von Ansible Playbooks.

Automatisierung der k3s Cluster-Bereitstellung und -Verwaltung mit Ansible.

Wie man Debian zuverlässig auf den Stand bringt. Danke an doku.lrz.de die dies bei jedem Release aufschreiben. Debian stellt auch eine Anleitung zur Verfügung. Proxmox hat für jedes Release einen Wiki Artikel. Auf für den Proxmox Backup Server. Vorbereitungen # 1apt update 2apt full-upgrade Paketquellen aktualisieren # Versionen # Versionsnummer Versionsname Replace 9 Stretch :%s/stretch/buster/ 10 buster :%s/buster/bullseye/ 11 bullseye :%s/bullseye/bookworm/ 12 bookworm :%s/bookworm/trixie/ Default sources.list # 1cat <<EOF > /etc/apt/sources.list 2deb http://deb.debian.org/debian trixie main contrib non-free non-free-firmware 3deb http://deb.debian.org/debian trixie-updates main contrib non-free non-free-firmware 4deb http://deb.debian.org/debian-security/ trixie-security main contrib non-free non-free-firmware 5EOF Alle Sources ändern # 1sed -i 's:bookworm:trixie:' /etc/apt/sources.list 2sed -i 's:bookworm:trixie:' /etc/apt/sources.list.d/*.list Apt Preferences prüfen # /etc/apt/preferences.d/*

Hier Sammle ich Snippets, welche mir das Tippen ersparen sollen und für Kubernetes öfter mal gebraucht werden.

All der Kram, der sonst nirgends hin gehört

Anleitung: Neuen Windows-Rechner in Active Directory (AD) aufnehmen # Diese Anleitung beschreibt den Prozess, wie man einen fabrikneuen Windows-Rechner (im “Out-of-Box Experience”-Modus, OOBE) einrichtet, die erzwungene Anmeldung mit einem Microsoft-Konto umgeht und den Rechner anschließend in eine lokale Active Directory-Domäne aufnimmt.

All der Kram, der sonst nirgends hin gehört

Für eine WireGuard-Verbindung mit systemd-networkd und systemd-resolved.

AutoLogon # Erstelle eine .reg Datei mit folgendem Inhalt und führe sie auf dem Zielrechner aus. 1Windows Registry Editor Version 5.00 2 3[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 4"AutoAdminLogon"="1" 5"DefaultUserName"="BENUTZERNAME" 6"DefaultDomainName"="DOMÄNE" 7"DefaultPassword"='*****'

Die eingesetzte Software partiell dokumentiert.

Windows Rechner mit Professional Version kaufen (Aufgeräumt wird über Ansible) Windows Rechner vollständig laden Beim ersten Anschalten lokalen Benutzer oder Domäne auswählen. Lokaler Benutzer ist der Hauptnutzer des Gerätes. Kennwort wird in der IT Datenbank gesichert Alle Datensammelei während des Setups verbieten Rechner in Domäne aufnehmen Ansible Setup Script starten (liegt im ansible-main Repo unter files)

Wir verwenden zur generellen Verwaltung von Servern Ansible. Für manche Dienste ist es jedoch notwendig oder praktikabler dies über vorhandene Portale zu realisieren. Core-Networks (DNS) # Unsere DNS Server werden bei Core-Networks gehostet. In deren Webinterface lassen sich alle relevanten Änderungen durchführen.

Alle Maschinen dienen der Virtualisierung von diversen Systemen. Wir brauche die Flexibilität Systeme schnell skalieren zu können und auch durch neue zu ersetzen.

Active Directory Schema Erweiterungen

Umgang mit Passwörtern

Alle Zugangsdaten sind entweder in der Persönlichen Keepass Datendank (für personalisierte Logindaten) oder in der IT Datenbank. Der Login auf die Server geschieht über SSH Schlüssel. Ein Login mit dem Passwort ist nicht vorgesehen. Für den externen Zugriff ist der Login über VPN oder einem Bastion Host bastion@vpn.zyria.de:3022 möglich. Generell sollte jedoch ein Login auf die Server nur zum Suchen von Fehlern stattfinden. Die Verwaltung erfolgt ausschliesslich über Ansible. Jede händisch durchgeführte Änderung muss im Nachhinein in Ansible eingepflegt und getestet werden.

Anbei ist der Ablauf beschrieben einen Hetzner Server in das System einzubinden.

Hier findet man eine Übersicht über die im Homelab verwendete Hardware.

Primärfunktion # Host für Podman Container. Installierte Software # cockpit podman k3s

Primärfunktion # Samba Active Directory Domain Controller und Fileserver Installierte Software # Samba-AD-DC

Servername Hostname Funktion System Notiz dev dev.zyria.de Docker Host Debian Stable IT interne Dienste addc addc.zyria.de Active Directory, Fileserver Debian Stable

Erster Schritt # Läuft das Gerät? Hast du das Gerät einmal neu gestartet? Abmelden und anmelden reicht nicht aus! Sind alle Kabel angeschlossen und richtig eingesteckt? Ist der Bildschirm angeschaltet? Was hast du getan, bevor das Gerät nicht mehr ging? Zweiter Schritt # Statusseite checken Dritter Schritt # Neustart des Rechners == (nach jeder Änderung!) == Vierter Schritt # Evtl. ausstehende Updates ausführen