Ein Eingang, ein Login — sonst nichts
Kein Wildwuchs offener Ports. Anfragen passieren genau einen HTTPS-Eingang, einen Reverse Proxy mit Wildcard-Zertifikat und ein zentrales SSO-Gate. Interne Dienste sind von außen schlicht nicht erreichbar.
🔀Reverse Proxy & TLS
Traefik terminiert TLS und routet jede Anfrage. Ein einziges Wildcard-Zertifikat deckt alle Subdomains ab und wird automatisch erneuert — keine Zertifikatspflege pro Dienst.
🔑Single Sign-On
Authentik sitzt als Identity Provider vor jedem Dienst. Ein Login per OIDC oder ForwardAuth genügt — ohne gültige Sitzung kommt niemand an eine App.
🧩Docker-Netze
Container hängen nur an den Netzen, die sie wirklich brauchen — Proxy-Netz, Datenbank-Netz, Stack-intern. Least Attachment statt „alles kann mit allem".
🚪Nur intern
Datenbanken, Caches und der Diagramm-Renderer sind ausschließlich intern erreichbar und tauchen nie im öffentlichen Routing auf.