Cloud oder Self-hosted - wann welche Strategie?
Infrastruktur
Von OnPrem bis Cloud
Die Infrastruktur ist das Fundament jedes digitalen Produkts. Von Cloud-Plattformen ueber Container-Orchestrierung bis hin zu Netzwerk-Sicherheit und Backup-Strategien – dieser Stack zeigt die Tools, die moderne, skalierbare und sichere Infrastruktur ermoegllichen.
Infrastruktur ist das Fundament, auf dem digitale Produkte laufen – sie entscheidet über Verfügbarkeit, Skalierbarkeit und Betriebskosten. Moderne Infrastructure-Strategien gehen weit über den klassischen Server hinaus und behandeln Infrastruktur als Software.
Herausforderungen
Wachsende Systemlandschaften, steigende Sicherheitsanforderungen und der Druck, schnell deployen zu können, machen Infrastruktur zum strategischen Thema. Manuelle Konfiguration, fehlende Reproduzierbarkeit und unklare Verantwortlichkeiten zwischen Entwicklung und Betrieb führen zu Ausfällen und gebremster Liefergeschwindigkeit.
Moderne Ansätze
Infrastructure as Code (IaC) mit Tools wie Terraform und Ansible macht Infrastruktur versionierbar, nachvollziehbar und automatisiert ausrollbar. Container-Orchestrierung mit Kubernetes sorgt für automatisches Selbstheilungsverhalten und horizontale Skalierung. Zero-Trust-Netzwerkarchitekturen, automatisches TLS und Vulnerability-Scanning erhöhen die Sicherheit ohne manuelle Eingriffe.
Geschäftswert
Robuste Infrastruktur reduziert ungeplante Ausfallzeiten, senkt langfristig die Betriebskosten und gibt Entwicklungsteams die Freiheit, schneller zu deployen – mit der Sicherheit, dass das System auch unter Last stabil bleibt.
Haeufige Fragen & Expertenwissen
Die Wahl zwischen Cloud und Self-hosted ist keine rein technische, sondern auch eine strategische und wirtschaftliche Entscheidung.
Cloud (AWS, Azure, GCP) punktet mit:
- Globalem Footprint und niedrigen Latenzen weltweit
- Managed Services (Datenbanken, Queues, ML-APIs) ohne Betriebsaufwand
- Pay-as-you-go – kein Kapitaleinsatz fuer Hardware
- Automatischen Compliance-Zertifikaten (SOC2, ISO 27001)
Self-hosted (Hetzner, Proxmox, eigene Hardware) bietet:
- Bis zu 80% guenstigere Betriebskosten bei mittleren bis grossen Workloads
- Vollstaendige Datenkontrolle und Datenschutz-Konformitaet
- Keine Vendor-Lock-in Risiken
- Vorhersehbare monatliche Kosten
Empfehlung: Startups beginnen oft mit Cloud fuer Agiliaet. Ab einem gewissen Scale lohnt sich eine hybride Strategie mit Self-hosted fuer stabile Workloads und Cloud fuer Burst-Kapazitaet.
Was ist ein Service Mesh und wann brauche ich es?
Ein Service Mesh ist eine dedizierte Infrastrukturschicht, die die Kommunikation zwischen Microservices steuert, ueberwacht und sichert – ohne Anpassungen am Anwendungscode.
Kernfunktionen eines Service Mesh:
- mTLS: Verschluesselte und authentifizierte Kommunikation zwischen allen Services (Zero Trust)
- Traffic Management: Canary Deployments, A/B-Tests, Circuit Breaking, Retry-Logik
- Observability: Automatische Metriken, Logs und Traces fuer jeden Service-Call ohne Code-Aenderung
- Access Control: Policy-basierte Kommunikationsregeln zwischen Services
Wann benoetigt? Service Meshes lohnen sich ab ca. 5-10 Services, wenn Zero-Trust-Sicherheit zwischen Services benoetigt wird oder fortgeschrittenes Traffic Management gefragt ist. Istio ist maechtig aber komplex, Linkerd leichtgewichtiger, Cilium eBPF-basiert mit geringstem Overhead.
Wie baue ich eine sichere Netzwerk-Architektur?
Netzwerk-Sicherheit folgt dem Prinzip Defense in Depth: mehrere unabhaengige Schutzschichten, sodass der Ausfall einer Schicht nicht zum vollstaendigen Kompromittieren fuehrt.
Schicht 1 - Perimeter: Firewall (pfSense, nftables) blockt unerwuenschten Traffic. Nur notwendige Ports oeffnen (80, 443, SSH nur per Key). DDoS-Schutz durch CDN (Cloudflare).
Schicht 2 - Netzwerksegmentierung: Entwicklungs-, Staging- und Produktionsumgebungen in separate VLANs/Netzwerke trennen. Datenbanken niemals direkt aus dem Internet erreichbar.
Schicht 3 - Zero Trust im Cluster: Service Mesh mit mTLS, Network Policies in Kubernetes (Cilium) erlauben nur explizit definierte Service-zu-Service-Kommunikation.
Schicht 4 - Zugriff: VPN (WireGuard, Tailscale, NetBird) fuer Admin-Zugriffe. Privilegierte Accounts nur per MFA. Least-Privilege-Prinzip fuer alle Service-Accounts.
Backup-Strategien: Die 3-2-1-Regel und ihre Umsetzung
Die 3-2-1-Regel ist der Goldstandard fuer Backup-Strategien: 3 Kopien der Daten, auf 2 verschiedenen Medientypen, davon 1 an einem externen Standort.
Praxisbeispiel fuer einen selbst gehosteten Server:
- Kopie 1: Lokale Daten auf dem Produktivserver
- Kopie 2: Lokales Backup auf einem NAS (BorgBackup mit Deduplizierung)
- Kopie 3: Offsite-Backup in Object Storage (BorgBackup zu Hetzner Storage Box oder Backblaze B2)
Kritische Punkte:
- Backups regelmaessig testen – ein nicht getestetes Backup ist kein Backup
- RPO (Recovery Point Objective): Wie viel Datenverlust ist tolerierbar? Bestimmt die Backup-Haeufigkeit
- RTO (Recovery Time Objective): Wie lange darf Wiederherstellung dauern? Bestimmt die Backup-Methode
- Verschluesselung aller Offsite-Backups (BorgBackup, Kopia nativ unterstuetzt)
Die wichtigsten Themen im Infrastruktur-Stack ...
Cloud
Kubernetes
Docker
Infrastructure
Hosting
Netzwerk
Security
Backup
Service Mesh
Container
Cloud-Native
IaC
Terraform
Proxmox
CDN
Reverse Proxy
Themenbereiche aus dem Infrastruktur-Stack
Cloud-Plattformen & Hosting (17)
Container & Kubernetes (17)
Web Server & Proxy (8)
Netzwerk & Sicherheit (23)
IaC & Entwicklungsumgebungen (12)
Betrieb & Services (10)
Cloud-Plattformen & Hosting
Hyperscaler, PaaS & Multi-Cloud
Von grossen Hyperscalern (AWS, Azure, GCP) über europäische Anbieter wie Hetzner bis hin zu selbstgehosteten PaaS-Plattformen wie Coolify, CapRover und Dokku. Je nach Anforderung an Kontrolle, Kosten und Compliance die passende Hosting-Strategie wählen.
Container & Kubernetes
Container-Orchestrierung & Registry
Docker als Container-Runtime, Kubernetes-Distributionen für Production-Workloads, Portainer und Swarmpit für visuelle Verwaltung, Harbor als private Container-Registry mit Vulnerability-Scanning. Die vollständige Container-Toolchain von der Image-Erstellung bis zum Cluster-Betrieb.
Web Server & Proxy
HTTP-Server, Reverse Proxies & Load Balancer
Web-Server wie Nginx, Caddy und FrankenPHP als HTTP-Einstiegspunkt, Reverse Proxies wie Traefik und HAProxy für TLS-Terminierung, Load Balancing und intelligentes Routing. Die erste Schicht, durch die jeder Request läuft.
Netzwerk & Sicherheit
Service Mesh, VPN, Firewall & TLS
Netzwerksicherheit von der Firewall bis zum Service Mesh: VPN-Lösungen für sichere Verbindungen, Service Meshes für Service-to-Service-mTLS, Vulnerability-Scanner wie Trivy und Falco für Laufzeit-Security, CloudFlare für DDoS-Schutz und CDN, Let's Encrypt für automatisches TLS.
IaC & Entwicklungsumgebungen
Infrastructure as Code & Cloud Dev
Terraform, OpenTofu und Ansible definieren Infrastruktur als versionierten Code. Cloud-basierte Entwicklungsumgebungen wie Gitpod, Coder und Daytona starten produktionsnahe Dev-Environments auf Knopfdruck. Temporal orchestriert langlebige Workflows und verteilte Prozesse.
Betrieb & Services
Backup, Homeserver & E-Mail
Self-hosted Services für den laufenden Betrieb: Backup-Tools mit 3-2-1-Strategie, Homeserver-Plattformen wie Proxmox und Coolify für On-Premises-Infrastruktur, Self-hosted E-Mail-Server mit iRedMail und MailCow für vollständige Kontrolle über ausgehende und eingehende Mails.
Genug vom Infrastruktur-Stack?
Diese Stacks könnten dich auch interessieren ...