Vol. 01 Issue Nº 26 Mai 2026 Wiesbaden, DE

homelab.
steffen·2026

Migration Diary one evening, one LXC,
zero data loss.

26 / 05 / 2026
Lead Story · Infrastructure

Von TurnKey zu Trixie — die Geschichte einer sauberen Migration.

An einem Dienstag­abend wurde der alte Docker-Host endgültig in Rente geschickt. 15 Proxy Hosts, alle Let's-Encrypt-Zertifikate, die komplette MariaDB — sauber per tar rüberkopiert auf einen frisch geklonten Debian-13-Container. Drei Stunden später lief alles unter .131, als wäre nie was gewesen.

18:30 Bestandsaufnahme
19:15 LXC geklont
20:10 NPM migriert
21:20 CrowdSec live
21:45 Fertig.
i.

Was läuft jetzt auf der .131

Container Inventory
Reverse Proxy · Hero Service

Nginx Proxy
Manager

jc21/nginx-proxy-manager · v2.14.0

Routet 15 Subdomains mit gültigen Let's-Encrypt-Zertifikaten. MariaDB-Aria im Hintergrund. Bind-Mounts unter /data/compose/4/{data, letsencrypt, mysql}.

:80 :81 admin :443 15 hosts
15
Compute
4·8
vCPU / GiB RAM
Quad-Core Container,
verdoppelter Speicher.
Storage
30gb
ZFS-POOL1 · subvol-133
Knapp 12% belegt.
Massig Luft nach oben.
Management · GUI

Dockge

louislam/dockge:latest · :5001

Schlanke Compose-GUI. Liest und schreibt direkt aus /opt/stacks/ — kein Vendor Lock-in.

neu dabei
Database · Internal

MariaDB Aria

jc21/mariadb-aria · v10.11.5

Backend für NPM. Hört nur intern auf Port 3306. Komplette DB aus dem alten LXC übernommen.

3306 intern
Security · Engine

CrowdSec

crowdsecurity/crowdsec · v1.7.8

Liest SSH- und NPM-Logs in Echtzeit, pullt Community-Blocklists. Bouncer am Host setzt iptables-Regeln.

8080 local 6060 metrics

Drei Schichten Schutz.

Defense in Depth · Layer cake architecture
i
Community Intel

CrowdSec pullt regelmäßig die Central-API. Bekannte Bot-Netze, Brute-Force-Quellen, CVE-Scanner — schon gebannt bevor sie deine Tür sehen.

→ CAPI Sync · 2h
ii
Live Log-Analyse

Parser für SSH (auth.log), Nginx-Proxy-Manager, und HTTP-CVE-Exploits. Erkennt Muster in Sekunden und entscheidet: ban oder pass.

→ 5 Collections aktiv
iii
iptables-Bouncer

Setzt die Bans am Host um — bevor Pakete überhaupt zum Docker-Stack durchkommen. Direkter Draht zur Firewall.

→ v0.0.34 · 14 MB RAM
ii.

Die Karte · alles auf einen Blick

Infrastructure Map 
┌─ scpve ───────────────────────────────────────────────
  Proxmox · Kernel 6.17.13-9-pve · ZFS-POOL1 · backup-lokal-sata

   LXC 133  131-Docker-NPM         .131  Debian 13   ← diese Maschine
     ├─ nginx-proxy-manager + mariadb
     ├─ dockge                              (Compose-GUI)
     ├─ crowdsec                            (Security-Engine)
     └─ iptables-bouncer                    (am Host, nicht in Docker)

   LXC 132  Webserver-nginx        .132  Ubuntu 24 · statische Docs
   VM  100  121-CoolDB-Catta       .121  Debian 13 · Datenbank
   LXC 124  hausi
   LXC 122  122-g50zeiten
   LXC 123  123-g50risc
   LXC 101  Netwatch

   LXC 131  Docker-Debian         .???  ALT · gestoppt · Fallback 1-2 Wochen
   LXC 121  test                   wegwerfen!
   LXC 120  debian13-template      (zum Klonen)
└─────────────────────────────────────────────────────

┌─ pveforum ·  .192 ──────────────────────────────────
  Proxmox VE 9.1.7 · 16 cores · 65 GB RAM · ~3 TB

   Netdata Agent v2.10.3           (war v1.45 → Major-Upgrade)
└─────────────────────────────────────────────────────
iii.

Was noch aufs Tablett kommt

Open Items
i
Test-LXC 121 löschen

War nur zur Template-Inspektion. Kann sofort weg.

jetzt
ii
Netdata Cloud reclaimen

Anbindung ging beim 1.45→2.10 Update verloren. Token aus app.netdata.cloud holen.

bald
iii
Alten LXC 131 entsorgen

Gestoppt, wartet noch 1–2 Wochen als Fallback. Snapshot "pre-migration" vorhanden.

später
iv
152 Updates auf pveforum

Vorher prüfen ob Proxmox-Kernel-Pakete dabei sind (=Reboot nötig).

bald
v
Netdata auch auf scpve

Hauptsystem hat kein Monitoring. Repo-Setup ist jetzt klar — schnelle Sache.

bald
vi
Backup-Job für LXC 133

Datacenter → Backup → Add. Ziel: backup-lokal-sata.

bald
vii
SSL-Certs aufräumen

Mehrere "Not Used" Zertifikate aus alter Zeit in NPM. Kosmetik.

später
viii
Drawio-Frage klären

Subdomain getsysdrawiorisling zeigt aktuell ins Leere. Lassen, neu, oder weg?

später