Nihai Self-Hosting Ortamı Kurma Rehberi

Harika görünüyor!

Hacker News görüşleri

• Amaç, aile veya arkadaşların kolayca kullanabilmesi için kişi başına tek bir giriş hesabıyla SSO (tek oturum açma) üzerinden birden fazla hizmete erişmelerini sağlamak; en zor ama aynı zamanda en havalı kısım da bu. Açık kaynak ve Linux gerçekten paradoksal: her yerde kullanılıyorlar ve tüm protokolleri kapsıyorlar, ama gerçek istemci ortamını, yani insanları bir araya getirip grup yazılımına benzer unsurları doğrudan kurmak daha da karmaşık hale geliyor. Farklı sistemleri organik biçimde entegre etmek ve hatta dizin altyapısı kurmak başlı başına şaşırtıcı bir süreç. Bir gün FreeIPA ya da Windows uyumlu bir dizin hizmetini kendim işleteceğimi hiç düşünmezdim, ama son zamanlarda OpenID tabanlı dünyanın gerçekten yerleşmeye başladığını da hissediyorum.

  • Katıldığın için teşekkürler. Basit giriş ve erişilebilirlik bu projedeki en zor gereksinimdi ve bence insanların gerçekten kullanıp kullanmayacağını belirleyen asıl nokta da bu. Açık kaynak gerçekten her yerde, ama sıradan kullanıcı bir şeyi bizzat kullanmaya çalıştığı anda sorunlar başlıyor. Bu paradoksun nedeni, her projenin kendi başına yenilik yapmak istemesi bence. Tek bir yönde sürükleyen merkezi bir aktörün olmaması hem avantaj hem dezavantaj. Yine de son 5 yılda sadece self-hosting dünyasına bakınca bile kurulum ve kullanım açısından işlerin çok daha kolay hale geldiğini hissediyorum.

  • Bu paradoksa gerçekten katılıyorum. Daha dün, FOSS'un teknik olmayan kişiler için ne kadar erişilmez olduğuna dair doğrulama platformumda bir gönderi yazdım. Teknik kullanıcılarla teknik olmayan bireyleri buluşturan, sistem entegratörü benzeri bir platformun çözüm olup olamayacağını düşünmeye başladım.

  • Aslında o kadar da zor değil. Belirli bir hizmete takılıp kalmak yerine seçimde en önemli kriteri SSO desteği yaparsanız kurulum beklenmedik şekilde kolay oluyor. Ben de başta neredeyse hiç deneyimsizdim ama caddy ve authentik kullanarak self-host sistemimi kısa sürede kurdum. Alternatif olarak yunohost, SSO'yu da sizin yerinize ayarlayan çok kolay bir dağıtım.

  • Ben authentik ile Google, Discord ve GitHub SSO kimlik doğrulaması kullanıyorum. Herkes için fazlasıyla iyi çalışıyor.

• Herkesin kendine tam uyan sistemi bulmasının zaman alabileceğini biliyorum. Herkesin hedefleri, tercihleri ve ortamı farklı olduğu için kendi nihai kurulum sürecimi bir blog yazısında toparlayıp paylaşmak istiyorum. Hedeflerimi ve gereksinimleri, kullandığım teknolojileri, tasarımı ve sorun çözme sürecini ele alacağım. Benim yöntemim herkese uymayabilir ama başkalarına da bir referans olmasını umuyorum. Ben de çok sayıda içerik ve ücretsiz yazılım sayesinde geliştiğim için, yardım paylaşmaya devam etmek istiyorum.

  • Nix'i homelab'de kullanma deneyimin nasıldı merak ediyorum. Ben 7 yıldan uzun süredir 25U rack üzerinde küçük Kubernetes, Ceph ve Talos Linux çalıştıran epey hardcore bir kurulum işletiyorum ama gittikçe sadeleştirmek istiyorum; ne zaman düşünsem garip şekilde sonuç Nix ve ZFS oluyor. Bahsettiğin zorluklar bana çok tanıdık geliyor. Senin de merak ettiğin şeyler varsa sorabilirsin.

  • coolify kullanmayı hiç düşündün mü merak ettim. Ben bir yılı aşkın süredir coolify kullanıyorum ve GitHub'dan Heroku benzeri kolay otomatik deploy sunmasını gerçekten seviyorum https://coolify.io/

  • ZFS şifreleme özelliğini de kullanıyor musun diye merak ettim. Ben eskiden FreeIPA ve başka birkaç VM'i Debian+ZFS üzerinde çalıştırıyordum ama sadeleştirmek için yapıyı değiştirip VPS üzerinde sadece Seafile şifreleme kitaplığını çalıştırmaya, yedekleri de ZFS send/receive ile ev sunucusuna almaya başladım. O sunucu her gece açılıyor, güncellenip senkronize olduktan sonra tekrar uyku moduna geçiyor. Daha güvenli olması için Linux masaüstümü (Fedora) de ZFS ile tam şifrelemeye geçirmeyi düşünüyorum. Ana dataset zaten şifreli olduğu için harici disk veya bulut senkronizasyonu da epey kolaylaşıyor. Tüm fotoğraf arşivini VPS üzerindeki Seafile'a koymak maliyetli olduğu için bir yol arıyorum.

  • Kurulum izlenimlerin ve ayrıntılı açıklamaların faydalıydı. Senin gibi hemen benimsemem zor ama bir dashboard olarak flame kurup ailemle denemeye karar verdim.

  • Tanıştığımıza memnun oldum, yaptığın şey gerçekten ilgi çekici. Ben de NixOS tabanlı benzer bir proje üzerinde çalışıyorum. Hedefim, herkesin modeme takıp yalnızca web kurulum sihirbazını geçerek kullanabileceği, neredeyse sıfır ayarlı ve Apple hissiyatına benzer küçük bir kutu yapmak. Henüz erken aşamada ama evde zaten çalışıyor. Hibrit router (OPNSense/PFSense) ve uygulama sunucusu (Nextcloud, Synology, Yunohost vb.) rollerini tek seferde üstleniyor. Tüm ayarlar da tek bir Nix modülüyle yönetiliyor. Dinamik DNS, Let's Encrypt sertifikaları, uygulama bazında otomatik alt alan adı atama, reklam engelleme ve yerleşik headscale var. Şimdi SSO'yu da yapıyorum ve yazından biraz fikir almayı planlıyorum. Ayrıntılar için https://homefree.host

• Bazen ev ağımı görünce, ben ölürsem aileme ne kadar zarar vereceğini ya da dışarıdan birinin kurulumumu anlamasının ne kadar zor olacağını hayal ediyorum. “Homelab oyunu” aslında eski kuşak “amcaların” minyatür tren rayları kurma hobisine benzer bir ihtiyacı karşılıyor. Bunu kötü anlamda söylemiyorum; bazı insanların mutlak biçimde kontrol edebildikleri kendilerine ait minyatür bir dünya isteme içgüdüsü olduğunu düşünüyorum.

  • Ben de tamamen aynı şeyi düşündüğüm için böyle bir durum için doküman yazdım. Birinci bölüm para ve önemli belgelerin nerede olduğunu, ikinci bölüm ise evi nasıl “daha aptal” hale getireceklerini anlatıyor. Mesela akıllı anahtarları söküp geleneksel anahtarlara geri dönmek, Bitwarden gibi anahtar hizmetlerini buluta taşımak, alan adı/e-posta masraflarını sürdürmek, router'ı ISP'nin varsayılan cihazına geri döndürmek gibi şeyler. Eşim akıllı eve çok sıcak bakmıyordu ama istediği zaman yeniden “aptal ev”e döndürülebileceğini öğrenince rahatladı. Açıkçası bütün bunlar ortadan kalkarsa ne kadar rahatsız olur bilmiyorum ama bunun benim sorunum olmayacağı düşüncesi de teselli veriyor.

  • Aile fotoğraflarımızı home lab RAID1 üzerinde tutuyorum ve her gece kayınvalidemin evindeki bilgisayara bağlı harici diske rsync ile yedek alıyorum. Böylece hem yedek var hem de bir şey olursa aile kolayca erişebiliyor. Eşim IT ile ilgilenmediği için ona sadece “USB'yi tak, her şey orada” dedim.

  • Fiziksel disk hırsızlığı gibi işe yaramaz tehdit senaryolarını görmezden gelmenin sorun olmadığını düşünüyorum. Tüm fotoğrafları ve önemli belgeleri şifrelemeden saklamak ve yanına anlaşılır açıklamalar bırakmak pratik açıdan daha mantıklı. Asıl endişe verici kısım ev otomasyonu tarafı.

  • Homelab işleten birinin uzun süre ortada olmaması ya da başına bir şey gelmesi durumunu önceden düşünmek pratikte önemli. Ben bunu özellikle kolaylaştırmak için bir şey yapmadım ama daha fazla düşünmek gerektiğini hissediyorum. Esas nokta, önemli verileri ve onlara erişecek kimlik bilgilerini geride bırakmak. Nextcloud gibi hizmetler kullanarak verilerin aile cihazlarına otomatik senkronize olmasını sağlamak ve aile ya da arkadaşların sistemi bizzat kullanır hale gelmesini teşvik etmek iyi olur. Bizim evde de Home Assistant'ı eşimin de kullanabildiği, neredeyse temel bir ev aleti gibi bir şeye dönüştürmeye çalışıyorum. Bunun ayrı bir VM yerine fiziksel bir cihaz olarak var olması yönetimi kolaylaştırıyor. Elbette bunların hepsi biraz umut dolu varsayımlar; bu yüzden en azından yakın aile içinde ayrıntılı bir planı birlikte yapmak önemli.

  • Ben de bu konuyu epey düşündüm. NAS ve Docker servislerinin ben olmadan sorunsuz açılacağını varsaymıyorum. Offsite parola yedeğinin de profesyonel yardım olmadan kurtarılamayacağını düşünüyorum. Bu yüzden NTFS biçimli harici diskte cron ile her gün artımlı snapshot'ları yeni klasörlere kaydediyorum. Veri 50 GB'tan az olduğu için ucuza çoğaltılabiliyor. Bir şey olursa o diski takıp klasörleri kopyalamak yeterli. Ayrıca tek tek dizüstülerde de Seafile kitaplığının tam kopyası var. E-posta alan adının ücretini 10 yıllık peşin ödedim ve iCloud üzerinde barındırıyorum; aile fotoğrafı ekleri yüzünden kota dolup postaların geri dönmesi sorunu için migadu'yu düşünüyorum.

• Ben de bu alana çok ilgiliyim. Kendi işini yapmak / IT girişimi kurmak homelab isteğini daha da artırabiliyor, buna karşı uyarmak isterim. Bir noktadan sonra sadece basit container çalıştırmak yetmiyor; resmî başvurular yapıp yasal DBA ve ASN alıyor, hatta gerçek anlamda kendi IP bloğuna / IPv6'ya sahip olup kendi ISP'ne dönüşmeye başlıyorsun. Ingress meselesini çoğu kişi tailscale ile çözüyor ama bu gerçekten zor bir konu. STUN/TURN tabanlı bir yapıda tüm statik dosyaları sunucu tarafında cache'leyip, dinamik erişimi giriş duvarında e-posta magic link ile doğrulamak teorik olarak ne çok riskli ne de çok maliyetli gibi geliyor. Uzak geliştirme ortamı kurarken bu konulara daha da derin dalmak için ayrıca bir bahanen oluyor. İlgili bağlantılar: https://en.wikipedia.org/wiki/Traversal_Using_Relays_around_NAT, https://en.wikipedia.org/wiki/STUN

  • Ben ingress'i Fly.io ile kuruyorum. Uzak tarafta nginx cache var, ingress pod'una da Fly Wireguard peer container eklenmiş durumda. Bu yöntem ücretsiz değil ama evde doğrudan hiçbir port açmadan anycast ingress de sunduğu için maliyet açısından en makul seçenek oldu.

• Son zamanlarda Immich ile uğraşıyorum ama ev dışından sadece tailscale üzerinden mi kullanayım yoksa VPS üzerinde reverse proxy de mi kurayım diye her seferinde kararsız kalıyorum. En çok düşündüğüm şey, VPS üzerinde kimin saldırı denemesi yaptığını tespit etmeye yardımcı olacak kullanıcı dostu bir izleme / güvenlik çözümü bulmak.

  • Ben de aynı ikilemdeyim. Güvenlik/izleme çözümü konusunda bir şey bulursan paylaş lütfen.

• Benim kurulumum çok daha basit

  • tek bir makine
  • nginx proxy
  • aynı makinede birden fazla hizmet; bazıları iç kullanım için, bazıları dışarı açık ama hepsine web üzerinden erişiliyor
  • iç hizmetlerde uzun HTTP basic auth parolaları kullanıyorum (Firefox'un yerleşik parola yöneticisi)
  • dış hizmetler ya herkese açık ya da Google OAuth kullanıyor
  • her şeyi sıfırdan kendim kodladım; zaten homelab'in amacı da bu
  • ister görsel ister video olsun, tarayıcı zaten hepsini düzgün gösteriyor
  • zor olan kısım her zaman backend, frontend ise neredeyse 90'lar HTML'i gibi

  • HTTP parolayı düz metin olarak gönderir, bu yüzden en azından self-signed sertifika kullanmak daha güvenli olur.

  • Altyapıyı ya da servisleri de kod olarak doğrudan yazmak öğrenmek için gerçekten harika. Kendi ihtiyaçlarına tam uydurabilmek de çok güzel.

• Böyle bir homelab işletmek istiyorum ama zamanım yok. Hafta sonu kurabilirim ama bakımını ve güncellemelerini sürekli yapacak boşluk olmuyor. Bu yüzden işi bulut sağlayıcısına bırakıp kafamdan çıkarıyorum. Benim gibi sadece bulut kullananlar buna nasıl yaklaşıyor merak ediyorum.

  • Benim de eski kurulumumda bakım düzgün yapılmadığı için stres yaşamıştım. Bu yüzden NixOS ve ZFS'yi sevmeye başladım; ikisinde de rollback gerçekten çok kolay. Güncellersin, bir sorun olursa hemen önceki sürüme dönersin, debug işini de yalnızca vaktin olduğunda yaparsın. Öte yandan bulut seçeneğinden memnunsan onun da gayet iyi olduğunu düşünüyorum. Kendi kurulumunu yapmak kesinlikle zaman yiyor; herkesin maliyet/değer hesabı farklı.

  • Ben yaklaşık 12 self-hosted servis çalıştırıyorum ve yükseltmeler genelde ayda 1 dakikadan bile kısa sürüyor. Her servis için bir klasör var; içinde docker-compose stack'i ve veri klasörü bulunuyor. Güncelleme için docker compose pull çalıştırıp ardından up -d demek yeterli. Bazen yapı değişikliği gerektiren nadir yükseltmeler oluyor ama çoğu birkaç dakika içinde bitiyor. VM bile yok; tamamen Docker Compose ile yürüyen self-host kurulumunun en basit yaklaşım olduğunu düşünüyorum.

  • Bu iş sadece bir hafta sonuyla bitmiyor. Benim durumumda her şey Plex'i bir kez kurmakla başladı, bir yıl sonra ise Proxmox ve türlü ev otomasyonu bileşenlerinin eklendiği karmaşık bir yapıya dönüştü. Yarı şaka yarı ciddi konuşuyorum ama en minimal kurulum için Docker Compose ile başlamak yönetimi de yükseltmeleri de kolaylaştırıyor.

• SSO'yu gerçekten kurmak gerekli mi emin değilim. Aile/arkadaşlar wireguard istemcisini (iOS'ta bile çok basit) kullanabiliyorsa tek bir anahtarla ev ağına bağlanabilir ve ayrı bir SSO olmadan tüm iç hizmetleri kullanabilirler. Küçük ev ağlarında bunun avantajları dezavantajlarından çok daha fazla.

  • Kullandığımız Nextcloud, Mealie gibi hizmetlerde zaten kullanıcı bazlı hesaplar var. SSO sayesinde tüm hizmetlere aynı hesapla erişebiliyorlar ve benim de parola yönetmem gerekmiyor. Kurulum biraz daha karmaşıklaşıyor ama işletmesi aslında daha kolay hale geliyor; bu yüzden ailemin gerçekten kullanma ihtimali de artıyor.

  • Ben 20 uygulamayı self-host ediyorum ve her biri için kimlik doğrulamayı ayrı ayrı yönetmekten bıktım, bu yüzden SSO kuruyorum. Aileme de bazı uygulamaları açmak istediğimde kimlik doğrulamayı tek merkezden yönetebilmek en büyük öncelik. Yukarıda söylenen yaklaşıma katılmıyorum.

• flame'i özellikle neden kullandığını merak ediyorum. node, react, redux gibi onlarca hatta yüzlerce üçüncü taraf bağımlılığı “güvenlik krallığına” sokmuş oluyorsun, oysa başlangıç sayfası işini tek bir basit HTML sayfası ve birkaç bağlantıyla da görebilirsin.

  • flame'i daha önce kullandığım için aşinaydım ve sorunu hemen çözebildiğim için onu tercih ettim. Tasarımını da seviyorum. Tailscale ve Authelia arkasına koyduğum için özel bir güvenlik kaygım yok. İleride alternatiflere de bakmayı düşünüyorum.

• NixOS ile self-hosting denemek istiyorum ama henüz uygulamaya geçmedim. Benim ortamım birkaç VM ve her VM için tek bir docker compose dosyasıyla yönetiliyor; ansible playbook sadece compose dosyalarını kopyalıyor, Fedora Server da hep güncel sürümün bir gerisinde tutuluyor ve destek bitince yükseltiyorum, hepsi bu. Mac'te nix-darwin kullandığım için Nix yapılandırmasının avantajlarını anlıyorum ama mevcut ortamımı Nix'e taşımayı haklı çıkaracak kadar verim veya zaman kazancı henüz görmüyorum. Belki LLM'ler yapılandırma dosyalarını benim yerime yazdıracak kadar iyi olursa başka, ama şu an için girişmek için yeterli motivasyonum yok.

  • Ben de NixOS'u denedim ve bir hafta içinde hem ev ağımı hem de iki gerçek sunucumu tamamen migrate ettim. Aradan 3-4 ay geçti ve beklediğimden çok daha memnunum. Sunucu geçişi, workstation taşımaktan daha kolaydı. Son zamanlarda Jetson Orin Nano oyuncağımı bile NixOS ile kurup eğleniyorum. Eski günlerde Gentoo kullansaydım böyle bir şeye cesaret edemezdim. Gentoo'da en sinir bozucu şey, eski makinelerde akıl almaz derecede uzun derleme süreleriydi; örneğin GHC'yi 2019 model XPS üzerinde derlemek 6 saat sürebiliyordu.

  • Benim için NixOS'un en büyük farkı, bir şey bozulduğunda rollback'in aşırı kolay olmasıydı. ansible ya da compose tabanlı sistemlerde de yedekleme/kurtarma mümkün ama o sistemi bizzat kendin yazma yükü var. Yine de mevcut sisteminden memnunsan bunun iyi bir şey olduğunu düşünüyorum.

  • Zaten bir ölçüde IaC kullanıyorsan, NixOS'un getirdiği ek verimlilik çok büyük hissettirmeyebilir.