web/stephan.hadan.de
web/stephan.hadan.de
1
0
Fork 0
Code Issues 1 Pull requests Projects Releases Packages Wiki Activity Actions

removed bluesky
Some checks failed
ci / deploy (push) Failing after 1m1s
Details

Browse source
This commit is contained in:
Stephan Hadan 2025-10-23 09:11:12 +02:00
parent cdad928f9e
commit 9df43df168
6 changed files with 109 additions and 9 deletions
Download patch file Download diff file Expand all files Collapse all files

2
CHANGELOG
View file

@ -1 +1 @@
27.08.2025
23.10.2025

97
docs/blog/posts/250828-.md Normal file
View file

@ -0,0 +1,97 @@
# Nextcloud souverän betreiben: Selbst hosten oder mit RZ-Hostingpartner? Ein Leitfaden für IT-Strategen
Nextcloud ist für Organisationen, die Datensouveränität, DSGVO-Konformität und Unabhängigkeit von US-Hyperscalern anstreben, eine überzeugende Option. Doch welches Betriebsmodell ist strategisch das richtige: on-premises auf eigener Hardware, Colocation im Rechenzentrum oder ein Managed-Service bei einem Hostingpartner? Dieser Leitfaden liefert eine fundierte Entscheidungsgrundlage mit Sicherheit, Sizing, TCO und Migrationspfaden im Blick.
## Betriebsmodelle im Vergleich
### 1) Selbst-Hosting on-premises
- Vorteile: Maximale Kontrolle, volle Datensouveränität, flexible App-Wahl, keine Lizenzkosten für Nextcloud Server (AGPL).
- Herausforderungen: Verfügbarkeit (Strom/Internet), Sicherheitsverantwortung, Betrieb/Updates/Backups, ggf. eingeschränkte Upload-Bandbreite.
- Einsatz: Pilot/PoC, kleine Teams, Homeoffice-Szenarien mit moderatem Traffic.
### 2) Eigenbetrieb im RZ/Colocation
- Vorteile: Strom/USV, Klimatisierung, redundante Netzanbindung, feste IPs, bessere Latenzen.
- Herausforderungen: Vertrags- und Betriebsaufwand, weiterhin eigene Admin- und Sicherheitskompetenz erforderlich.
- Einsatz: KMU/Behörden mit IT-Team, die volle Kontrolle wünschen, aber RZ-Qualität nutzen möchten.
### 3) Managed Nextcloud bei Hostingpartnern
- Vorteile: SLA, Betrieb und Updates, Härten & Monitoring, Backup- und Restore-Konzepte, Add-ons (Talk, Collabora/ONLYOFFICE, TURN, WAF) aus einer Hand.
- Herausforderungen: Kosten (OPEX), App-Auswahl ggf. kuratiert, Abhängigkeit vom Anbieter; unbedingt Exit-Strategie prüfen.
- Einsatz: Teams/Unternehmen, die planbare Verfügbarkeit und Security-by-Design priorisieren.
## Sicherheit & Compliance richtig denken
- Datenstandort & Zertifizierungen: EU/DE-Hosting (DSGVO), ISO/IEC 27001 für ISMS, ggf. EN 50600 (RZ), BSI C5. Prüfen, ob pro Kunde isolierte Instanzen betrieben werden.
- Zutritts-/Zugriffsschutz: MFA, HSM/YubiKey-Unterstützung, rollenbasiertes Rechtemodell, Audit-Logs.
- Netzwerkexposition: TLS by default (Lets Encrypt/ACME), Härten der Webserver- und PHP-Configs, optional WAF/CDN. Für Nextcloud Talk NAT/Firewall beachten; ein eigener TURN-Server ist in der Praxis Pflicht.
- Backups: Versioniert, verschlüsselt, Offsite + immutable (z. B. S3 Object Lock). Regelmäßige Restore-Tests.
- Updates: Klare Patch- und Upgrade-Policy (Nextcloud, PHP, Datenbank, OS). Kompatibilität der Apps prüfen.
Hinweis: Carrier-Grade NAT (CGNAT) bei Mobilfunk/Kabel kann externen Zugriff auf eine heimische Nextcloud verhindern. Workarounds sind fester IPv4/IPv6, Reverse-Proxy/Tunnel (z. B. Cloudflare Tunnel) oder Hostingpartner.
## Leistung & Sizing: praxisnah dimensionieren
- Workloads definieren:
- Filesync/-share (Office-Dokumente, Bilder),
- Vorschaugenerierung (thumbnails),
- Office (Collabora/ONLYOFFICE),
- Talk (Audio/Video, Screensharing),
- KI/Extrafeatures (z. B. Volltextsuche, OCR).
- Hardware-Baselines (Richtwerte):
- Sehr klein (15 User, Filesync): ARM-SoCs (z. B. Odroid HC4, Raspberry Pi 5) möglich, SSD empfehlenswert.
- Klein/Medium-Team (1050 User, Filesync + Office + Vorschauen): x86_64 mit 48 vCPU, 1632 GB RAM, NVMe/SSD; Redis für Caching/Locking; Datenbank (MariaDB/PostgreSQL) getrennt.
- Talk: TURN-Server separat dimensionieren; bei vielen gleichzeitigen Sessions vCPU-/Netz-Reserven einplanen.
- Storage:
- Start: lokales SSD/NVMe, regelmäßige Snapshots.
- Wachstum: Objekt-Storage (S3/Swift) für Dateien, Block-Storage für DB/Transaktionen.
- Netzwerk: Upload bestimmt Download für Externe. Beispiel: 25 Mbit/s Upload => real ~3 MB/s; ein paralleler Video-Download kann die Leitung belegen.
## TCO: realistische Gesamtkosten kalkulieren
- CAPEX (Selbstbetrieb): Hardware (Server, SSDs, USV), ggf. Rack/Colo.
- OPEX:
- Strom: Beispiel 30 W Dauerlast ≈ 263 kWh/Jahr; bei 0,35 €/kWh ≈ 92 €/Jahr.
- Domain/DNS, Ersatzteile, Internet (Business-Tarif), Wartung.
- Arbeitszeit: Patching, Monitoring, Backup-Tests, Incident-Response.
- Managed-Modelle: Monatspreise beinhalten Betrieb/SLA/Support/Backups; Add-ons (Talk/Office/Antivirus/WAF/SSO) können separat bepreist sein.
- Lizenz: Nextcloud Server ist Open Source und kostenfrei; kommerzielle Subscriptions (Enterprise) bieten u. a. Support, Compliance-Assurance und Härtung für große Umgebungen.
## Migration & Betriebsstrategie
- PoC: Schnellstart als VM oder Testinstanz bei einem Partner; Kern-Apps und Integrationen prüfen.
- Domänenstrategie: Gewählte FQDN beibehalten (z. B. cloud.example.de), damit Freigabelinks gültig bleiben. SSL automatisieren (ACME).
- Backup/Restore-Prozesse:
- Files + DB + config.php konsistent sichern.
- Wiederherstellung üben (auch auf neuer Hardware/Version).
- Update-Kadenz: Minor-Updates zügig, Major-Releases mit Staging/Tests; App-Kompatibilität (PHP/DB) im Blick behalten.
- Monitoring & Observability: Metriken/Logs (z. B. Prometheus, ELK), Alerting, Kapazitätsplanung.
## Auswahlkriterien für RZ-Hostingpartner
- Architektur & Isolation: Eigene, isolierte Instanz je Kunde (keine reine Shared-Multi-Tenant-Datenbank). Option für dedizierte Ressourcen.
- Sicherheit & Compliance: ISO 27001, dokumentierte Sicherheitsorganisation, Penetrationstests, Härtenstandards, Patch-Policy, Incident-Response.
- Backups: Täglich + wöchentlich, Offsite/immutable, definierte Aufbewahrung, dokumentierte Restore-Zeiten.
- Nextcloud-Kompetenz:
- Office (Collabora/ONLYOFFICE) und Talk (inkl. STUN/TURN) als Erstbürger,
- SSO/LDAP/AD,
- WAF/CDN, Antivirus, Objekt-Storage,
- Upgrades/Migrationen als Service.
- Transparente SLAs: Verfügbarkeit, Reaktions-/Behebungszeiten, Wartungsfenster, Übernahme von Betriebsrisiken.
- Exit-Strategie: Vollständiger Export (Daten, DB, Konfiguration), Unterstützung beim Umzug, keine proprietären Lock-ins.
- Support & Kommunikation: Erreichbarkeit, kompetente Antworten, Runbooks/Handbuch, Kundenportal.
Tipp: Das offizielle Partnerverzeichnis von Nextcloud hilft bei der Vorauswahl. Achten Sie darauf, dass Ressourcenfresser wie Talk/Office sowie echte Backup-Optionen explizit als Leistungen ausgewiesen sind.
## Zwei praxisnahe Szenarien
- Kreativteam (13 Personen) mit großen Videodateien, unregelmäßige Freigaben:
- Wenn Upload stabil ist und keine CGNAT-Hürden bestehen: On-prem mit ARM-Storage (z. B. 2×SSD) + regelmäßiges Offsite-Backup.
- Bei CGNAT/Erreichbarkeitsbedarf: Managed-Instanz mit Objekt-Storage und Traffic-naher Region, TURN für Talk bei Bedarf.
- KMU (2050 User) mit Files, Office, Talk:
- Managed Nextcloud (48 vCPU, 1632 GB RAM), dedizierter TURN-Server, getestetes Office-Backend, 99,9% SLA, Backups mit Wiederanlaufplan.
- Integration in SSO/AD, Policies für Sharing & DLP, Monitoring/Reporting.
## Fazit
Für IT-Strategen ist die Wahl des Betriebsmodells eine Abwägung aus Kontrolle, Risiko, Kosten und Geschwindigkeit. Selbst-Hosting maximiert Souveränität, verlangt jedoch Betriebsexzellenz. Managed-Modelle beschleunigen Time-to-Value und reduzieren Betriebsrisiken, erfordern aber klare SLAs und eine saubere Exit-Strategie. Mit einem belastbaren Sizing, stringenten Sicherheits- und Backup-Prozessen sowie einer durchdachten Migrationsplanung lässt sich Nextcloud in jedem Modell souverän betreiben.
## Key Takeaways
- Architektur zuerst: Workloads, Sicherheits- und Compliance-Anforderungen bestimmen das optimale Betriebsmodell (on-prem, Colo, Managed).
- Betriebssicherheit zählt: TURN für Talk, Härtung, automatisiertes TLS, versionierte Offsite-Backups und geübte Restores sind Pflicht.
- TCO realistisch planen: Strom, Zeit, Add-ons und SLA in die Kalkulation einbeziehen; Exit-Strategie vertraglich fixieren.
<!-- OpenGraph Description -->
Selbst hosten oder RZPartner? Der Leitfaden für ITStrategen zeigt, wie Sie Nextcloud souverän, sicher und wirtschaftlich betreiben mit Sizing, TCO, Sicherheit, Backup und Migration.

6
docs/contact/index.md
View file

@ -92,6 +92,10 @@ Selbstverständlich kann eine Kontaktaufnahme auch durch Einladung via Microsoft
### Bluesky
!!! Hinweis
Ich verlasse Bluesky und konzentriere mich komplett auf meine Fediverse-Accounts. Ich habe einfach keine Lust auf "Greatest Hits" aus dem weißen Haus und anderen US-Regierungsstellen.
[Bluesky](https://bsky.app/) ist ein Microblogging-Dienst für soziale Medien. Ähnlich wie bei Twitter können die Nutzer kurze Textnachrichten, Bilder und Videos in kurzen Beiträgen teilen, die umgangssprachlich als „Skeets“ bezeichnet werden. Eigentümer ist Bluesky Social PBC, eine gemeinnützige Gesellschaft mit Sitz in den Vereinigten Staaten.
**Link zum Profil:** :fontawesome-brands-bluesky: [https://bsky.app/profile/stiebke.de](https://bsky.app/profile/stiebke.de)
@ -106,4 +110,4 @@ Selbstverständlich kann eine Kontaktaufnahme auch durch Einladung via Microsoft
[Lemmy](https://join-lemmy.org/) ist eine freie Open-Source-Software zum Betreiben selbstgehosteter sozialer Nachrichtenaggregatoren und Diskussionsforen. Diese als „Instanzen“ bezeichneten Server kommunizieren untereinander über das ActivityPub-Protokoll.
**Link zum Profil:** :simple-lemmy: [https://discuss.hadan.social/u/stiebke](https://discuss.hadan.social/u/stiebke)
**Link zum Profil:** :simple-lemmy: [https://discuss.hadan.social/u/stiebke](https://discuss.hadan.social/u/stiebke)

3
docs/index.md
View file

@ -262,10 +262,9 @@ Illustrations by [unDraw](https://undraw.co/).
# Bleiben wir in Kontakt
[:fontawesome-brands-mastodon: Folge @stiebke auf **Mastodon**](https://hadan.social/@stiebke)<br />
[:fontawesome-brands-bluesky: Folge @stiebke auf **Bluesky**](https://bsky.app/profile/stiebke.de)<br />
[:simple-codeberg: Mein Profil auf **Codeberg**](https://codeberg.org/stiebke25)<br />
[:simple-pixelfed: Mein Profil auf **Pixelfed**](https://pixel.hadan.social/users/stiebke)<br />
[:simple-lemmy: Mein Profil auf **Lemmy**](https://discuss.hadan.social/u/stiebke)<br />
Daneben stehen weitere Kontaktmöglichkeiten auf meiner [Kontakteseite](/contact/) zur Verfügung.
Daneben stehen weitere Kontaktmöglichkeiten auf meiner [Kontakteseite](/contact/) zur Verfügung.

4
mkdocs.yml
View file

@ -141,8 +141,8 @@ extra:
social:
- icon: fontawesome/brands/mastodon
link: https://hadan.social/@stiebke
- icon: fontawesome/brands/bluesky
link: https://bsky.app/profile/stiebke.de
#- icon: fontawesome/brands/bluesky
# link: https://bsky.app/profile/stiebke.de
- icon: simple/codeberg
link: https://codeberg.org/stiebke25
#- icon: fontawesome/brands/threads

6
requirements.txt
View file

@ -33,9 +33,9 @@ mkdocs-git-revision-date-localized-plugin~=1.4.7
#mkdocs-git-committers-plugin-2~=2.4.1
mkdocs-git-authors-plugin~=0.10.0
mkdocs-glightbox~=0.5.1
mkdocs-rss-plugin~=1.17.3
mkdocs-macros-plugin~=1.3.9
mkdocstrings~=0.30.0
mkdocs-rss-plugin~=1.17.4
mkdocs-macros-plugin~=1.4.0
mkdocstrings~=0.30.1
mkdocstrings-python
mkdocs-awesome-pages-plugin~=2.10.1
mkdocs-kroki-plugin~=0.9.0