← Zurück zur Übersicht
🛡️ Referenz · Netzwerk & Zugriff

Ein Eingang, ein Login — sonst nichts

Kein Wildwuchs offener Ports. Anfragen passieren genau einen HTTPS-Eingang, einen Reverse Proxy mit Wildcard-Zertifikat und ein zentrales SSO-Gate. Interne Dienste sind von außen schlicht nicht erreichbar.

Zugriff & Reverse Proxy
🌐Internetein HTTPS-Eingang
🔀Reverse ProxyWildcard-TLS
🔑SSO-GatePflicht-Login
ÖFFENTLICH · HINTER SSO
ImmichNextcloudWiki.jsForgejoPaperless
NUR INTERN · NICHT ERREICHBAR
PostgreSQL ×3RedisKroki
Ein Eingang, ein Login — interne Dienste bleiben unsichtbar.

🔀Reverse Proxy & TLS

Traefik terminiert TLS und routet jede Anfrage. Ein einziges Wildcard-Zertifikat deckt alle Subdomains ab und wird automatisch erneuert — keine Zertifikatspflege pro Dienst.

TraefikWildcard-TLSDNS-01

🔑Single Sign-On

Authentik sitzt als Identity Provider vor jedem Dienst. Ein Login per OIDC oder ForwardAuth genügt — ohne gültige Sitzung kommt niemand an eine App.

AuthentikOIDCForwardAuth

🧩Docker-Netze

Container hängen nur an den Netzen, die sie wirklich brauchen — Proxy-Netz, Datenbank-Netz, Stack-intern. Least Attachment statt „alles kann mit allem".

Docker-NetzeLeast AttachSegmentierung

🚪Nur intern

Datenbanken, Caches und der Diagramm-Renderer sind ausschließlich intern erreichbar und tauchen nie im öffentlichen Routing auf.

PostgreSQLRedisintern
Eingesetzter Stack
TraefikAuthentikLet's EncryptDocker Networks