Homelab 2026 durumu: self-hosting hobisinin evrimi

• Küçük ölçekli donanım ile ücretsiz bulut tünellemesini birleştirerek medya·yapay zeka·fotoğraf·izleme gibi çeşitli servisleri kendi başına çalıştıran bir homelab kurulum örneğinin özeti
• OrangePI 5 ile başlayıp GMKTec NUC'a (32GB RAM, 1TB NVMe) yükseltilen ve Hetzner sanal makinesiyle birlikte işletilen hibrit yapı
• Tüm servisler Docker container'ları olarak çalışıyor; Ansible role tabanlı IaC ve SOPS şifrelemesiyle yeniden üretilebilirlik ve güvenlik sağlanıyor
• Cloudflare Tunnel üzerinden inbound port açmadan dış erişim sağlanıyor, Traefik + Authentik ile reverse proxy ve SSO kimlik doğrulaması yönetiliyor
• Aylık yaklaşık 7 euro işletim maliyetiyle vendor lock-in olmadan veri sahipliği korunuyor; mükemmellikten çok öğrenme ve keyif öne konuyor

Donanım yapılandırması

• Başlangıçta OrangePI 5 kullanılmış, ancak güç yönetimi ve USB bağlı depolama sorunları nedeniyle GMKTec NUC'a geçilmiş
  • AMD Ryzen 7 5700U CPU, 32GB RAM, 1TB NVMe M2 depolama ile geliyor
  • 2 adet M2 yuvası sayesinde hem RAM hem disk genişletilebiliyor
  • Yıllık işletim bazında çok daha kararlı çalışıyor
• 24/7 çalışması gereken servisler ayrı olarak Hetzner sanal makinesinde işletiliyor
• NAS henüz kurulmadı; önemli veriler Syncthing ile senkronize ediliyor
  • Ugreen NAS, Ubiquiti gibi seçenekler ilgi çekiyor olsa da şu anda asıl keyif alınan şey doğrudan kurcalama süreci

İşletim ilkeleri

• Infrastructure-as-Code: Mümkün olan tüm ayarlar script'ler veya yönetim platformlarıyla (Ansible vb.) otomatikleştiriliyor ve kod olarak saklanıyor
• Yeniden üretilebilirlik (Reproducibility): Arıza olduğunda veya makine değiştirildiğinde altyapı hızlıca yeniden dağıtılıp yeniden yapılandırılabilmeli; deneysel servisler kaldırıldığında da geride kalıntı bırakmamalı
• Kullanım kolaylığı: Bu bir hobi projesi olduğundan, standart ve alışıldık yaklaşımlar tercih ediliyor

İşletim sistemi

• Debian dağıtımı bare metal üzerine doğrudan kurulup kullanılıyor
• NixOS (yeniden üretilebilir build'ler) veya Talos (k8s cluster) gibi seçenekler değerlendirilmiş, ancak tek makinede k8s workload yönetiminin yükü ve zaman yetersizliği nedeniyle ertelenmiş
• ProxMox gibi hypervisor'ların da gereksiz olduğuna karar verilmiş ve kullanılmıyor

Ağ mimarisi

• Dışa açılma yöntemi olarak Cloudflare Tunnel seçilmiş
  • Sunucudan Cloudflare ağına yalnızca outbound bağlantı oluşturduğu için firewall üzerinde inbound port açmak gerekmiyor
  • Tünel kurulduktan sonra çift yönlü trafik tünel üzerinden akıyor
  • Domain Cloudflare DNS'e bağlandığında, subdomain bazında makinedeki belirli port ve protokollere (HTTP/HTTPS/TCP vb.) eşleme yapılabiliyor
  • Tamamen ücretsiz sunuluyor ve ngrok'tan daha iyi bir alternatif olarak değerlendiriliyor
• Sabit IP (White IP) yaklaşımının maliyet ve güvenlik riski taşıdığı, Tailscale Funnel gibi alternatifler de bulunduğu halde en pratik çözüm olarak Cloudflare Tunnel seçilmiş

• Traefik

  • Docker'ı native olarak tanıyan açık kaynak reverse proxy; bu da sunucu otomasyonu için avantaj sağlıyor
  • Container'lara uygun label'lar eklendiğinde routing'i otomatik algılıyor, ayrıca ayar dosyası düzenlemek gerekmiyor

• Authentik

  • IdP (Identity Provider) ve SSO platformu
  • Ayarlar blueprint (YAML dosyaları) biçiminde saklanabildiği için IaC ilkelerine uyulabiliyor
  • ForwardAuth middleware üzerinden hassas servislere erişimde giriş sayfasına yönlendirme yapılıyor

İşletim araçları

• Ansible

  • Agentless (yalnızca SSH gerekli) altyapı otomasyon aracı; YAML tabanlı yapılandırma ve zengin örnekler en büyük artıları
  • Her servis role düzeyinde tanımlanıyor: tasks, defaults, handlers, templates, files bileşenlerinden oluşuyor
    • tasks: çalıştırılacak işleri tanımlar
    • defaults: image tag'leri, portlar, container adları gibi varsayılanlar
    • handlers: yapılandırma değiştiğinde container yeniden başlatma
    • templates: Jinja2 tabanlı .env dosyaları ve config.yaml render etme
    • files: statik ayarlar, script'ler
  • Servis dağıtımının genel adımları:
    • Ortak kaynakların (network, volume) oluşturulması → PostgreSQL üzerinde schema ve kullanıcı oluşturulması → yapılandırma template'lerinin render edilmesi → Docker image'larının çekilmesi → container'ların çalıştırılması (environment variable ve logging ayarları dahil) → Authentik blueprint'lerine kimlik doğrulama ayarlarının provision edilmesi → gerekirse Cloudflare Tunnel ayarlarının yapılması
  • Dezavantajları arasında çok geniş dokümantasyon, tekrarlayan DSL yapısı ve boilerplate bulunuyor; yine de alışılmış olduğu için kullanılmaya devam ediliyor
  • GitOps entegrasyonu olmadan playbook'lar manuel çalıştırılıyor; şimdilik yeterli görülüyor

• SOPS (Secrets OPerationS)

  • YAML/JSON içindeki yalnızca değerleri şifreliyor, anahtar yapısını koruduğu için Git diff işlevsel kalıyor
  • age şifreleme backend'i kullanılıyor — "PGP olmadan şifrelemeyi basitleştiren" araç
  • Host bazında genel ayar dosyası (homelab.yaml) ile şifreli dosya (homelab.sops.yaml) ayrı tutuluyor
  • Workflow:
    • age-keygen ile anahtar üretme → sops komutuyla şifreli dosyayı düzenleme (editörde çözüldükten sonra kaydederken otomatik yeniden şifrelenir) → Ansible çalışırken otomatik çözülme
    • Ansible SOPS'u native olarak desteklediğinden ek modül veya flag gerekmiyor
  • Ansible Vault'a göre avantajı: tüm dosya yerine değer düzeyinde şifreleme sayesinde diff alınabilmesi
  • Sınırı: age private key'in ekip üyeleriyle güvenli paylaşılması gerekiyor; anahtar kaybolursa secret'lar geri getirilemiyor
    • Tek kişinin işlettiği bir homelab için uygun düzeyde karmaşıklık

Çalışan servisler

• Medya yönetimi: *arr stack

  • Prowlarr: indexer yöneticisi; arama sonuçlarını diğer *arr servislerine iletiyor
  • Radarr: film koleksiyonu yöneticisi — istenen filmi belirtince arama, indirme ve düzenlemeyi otomatik yapıyor
  • Lidarr: müzik için aynı işlevleri sağlıyor, Navidrome ile entegre çalışıyor
  • Bazarr: otomatik altyazı indirme
  • Tidarr: Tidal müziklerini yerelde saklamayı sağlayan servis
  • Transmission: tüm *arr servislerinin indirme isteklerini işleyen BitTorrent istemcisi (port 9091)
  • Tüm servisler Authentik kimlik doğrulamasının arkasında yer alıyor
  • Paylaşılan indirme dizini (/mnt/data/docker/transmission/downloads) ve PUID/PGID 1000 kullanılarak hardlink ile disk alanı tasarrufu sağlanıyor
  • Örnek akış: filme Radarr'da ekleme → Prowlarr ile arama → Transmission indirme yapar → Radarr medya kütüphanesine taşır → Jellyfin üzerinden izlenebilir

• Medya tüketimi

  • Jellyfin: açık kaynak medya sunucusu; Plex'in aksine cloud login gerektirmez. Kendi kimlik doğrulamasını kullanır ve Android TV uygulaması dahil çeşitli cihazları destekler
  • Navidrome: Subsonic API destekli müzik streaming sunucusu; mobil uygulamalarla (DSub2000 vb.) entegre olur. Lidarr, müzikleri kütüphane klasörüne yerleştirir
  • Calibre Web: e-kitap kütüphanesi yöneticisi ve okuyucusu
    • Dizüstündeki Calibre masaüstü uygulamasının yönettiği metadata veritabanı Syncthing ile sunucuya senkronize ediliyor
    • OPDS API üzerinden çeşitli okuyucularda kitaplara erişilebiliyor

• Yapay zeka ve sohbet

  • LibreChat: self-hosted yapay zeka sohbet arayüzü; birden çok LLM sağlayıcısına (OpenAI, Anthropic, yerel Ollama) bağlanabiliyor
    • RAG (Retrieval Augmented Generation) desteği var
    • MongoDB (sohbet geçmişi), PostgreSQL + pgvector (embedding), MeiliSearch (tam metin arama) gerektirdiği için görece ağır bir kurulum
    • Claude Code daha erişilebilir bulunduğundan kullanım sıklığı düşük ve kaldırılması düşünülüyor

• Fotoğraf ve dosyalar

  • Immich: self-hosted Google Photos alternatifi
    • Telefondan otomatik fotoğraf yedekleme, yüz tanıma, albüm düzenleme, EXIF metadata çıkarma
    • Kendi PostgreSQL'ini (pgvector dahil) ve machine learning container'ını (görüntü sınıflandırma) kullanıyor; şu anda binlerce fotoğraf saklanıyor
  • Syncthing: dizüstü, telefon ve sunucu arasında klasör senkronizasyonu. Bulut aracısı olmadan doğrudan P2P senkronizasyon
    • Obsidian Vault, belgeler vb. içerikler birden çok cihaz ve Android ile senkronize ediliyor
  • MinIO: S3 uyumlu object storage; S3 API gerektiren testler veya uygulamalar için kullanılıyor

• Okuma ve bilgi

  • Miniflux: minimal RSS feed okuyucu; yaklaşık 50 blog ve haber kaynağına abone
    • Klavye kısayollarını destekliyor ve algoritmik sıralama olmadan zaman sıralı feed sunuyor

• Altyapı ve kimlik doğrulama

  • Traefik: trafiği hostname tabanlı olarak Docker container'larına yönlendiren reverse proxy. Container başlarken uygun label'lar varsa otomatik algılıyor
  • Authentik: SSO ve ID provider. ForwardAuth middleware ile servisleri koruyor; blueprint'ler Git'te tutularak tüm kimlik doğrulama yapılandırması yönetiliyor
  • PostgreSQL: paylaşımlı veritabanı sunucusu; Authentik, Miniflux, Immich, LibreChat gibi servisler ayrı DB yerine tek bir instance'ı paylaşıyor, böylece kaynak tasarrufu ve daha kolay yedekleme sağlanıyor
  • Redis: paylaşımlı cache ve session storage; çoğunlukla Authentik gibi servislerde session yönetimi ve iş kuyrukları için kullanılıyor

• Özel yazılımlar

  • Highlight Exporter: KOReader, Readwise, Apple Books'tan kitap highlight'larını çıkarıp Obsidian uyumlu Markdown'a dönüştüren Go servisi
  • Telegram Assistant: çeşitli otomasyon işleri ve grup sohbetlerinde yapay zekaya erişim sağlayan Telegram botu. Yeni teknolojileri denemek için en sık yeniden yazılan proje
  • Chess-blunder trainer: chess.com veya lichess.com oyunlarını içeri aktararak Stockfish ile analiz eden, ardından hatalı hamleleri seçip alıştırma yaptıran web uygulaması; yakında açık kaynak olarak yayınlanması planlanıyor

İzleme

• Beszel

  • Kolay kurulum ve işletim, iyi varsayılanlar sunan hafif bir izleme çözümü
  • Grafana stack'inin iki makinede temel OS istatistiklerini görmek için fazla ağır ve karmaşık olduğuna karar verilmiş
  • Glances gibi benzer projelerin de gereğinden fazla tuning istediği düşünülüyor
  • Beszel, ihtiyaç duyulan özelliklerin %120'sini kapsarken kurulumu kolay tutuyor

• Statsping

  • Belirli kaynaklar için ayrıntılı izleme sağlayan minimal servis ping aracı
  • Tanımlı endpoint'lere ping atarak gecikme ve erişilebilirliği raporlar, servis arızalarında farklı yollarla bildirim gönderir
  • Homelab arızasında da ayakta kalması için bulut makinesinde barındırılıyor, ayrıca bakım yükü oluşturmuyor

Şu anda eksik kalanlar

• Yedekleme

  • Yedeklemenin önemi bilinse de şu anda hiç uygulanmamış durumda
  • Film, müzik ve fotoğraf verisinden çok servislerin veritabanı yedeklerine ihtiyaç var; ancak uygun çözümün (restic vb.) ve donanım yapısının ne olacağı henüz belirlenmemiş

• RAID yapılandırması

  • Medya verileri ve sistem şu anda tek bir M2 NVMe sürücüde birlikte bulunuyor
  • NAS sunucusu veya ayrı bir yedekleme makinesi için fiziksel alan yetersiz

• Buluttan bağımsızlık

  • Kaynak erişilebilirliği Cloudflare Tunnel altyapısına ciddi biçimde bağımlı
  • Cloudflare kesintisinde altyapıya erişim de duruyor; gelecekte alternatiflere yatırım planlanıyor

• Tam IaC ve otomasyon

  • CI pipeline veya otomatik provisioning olmadan Ansible playbook'ları manuel çalıştırılıyor
  • Şu aşamada GitOps'a geçmenin büyük bir fayda sağlayacağı düşünülmüyor

Maliyet verimliliği ve sonuç

• Hetzner sanal makinesi için aylık yaklaşık 7 euro harcanıyor; ev sunucusunun elektrik tüketiminin ise oldukça düşük olduğu tahmin ediliyor
• Yeni servis eklemek veya ayar değiştirmek yaklaşık 20~30 dakika sürüyor; işin önemli kısmı Claude Code'a devrediliyor ve dağıtımdan önce sadece kısa bir gözden geçirme yapılıyor
• Tüm projeye harcanan toplam sürenin yıllara yayılmış şekilde yaklaşık 100~150 saat olduğu tahmin ediliyor
• En az düzeyde vendor lock-in olmadan veri sahipliği korunuyor; ani hizmet şartı değişiklikleri, algoritmik feed'ler veya satın alma/birleşmeler nedeniyle veri kaybı riski bulunmuyor
• Amaç mükemmel bir sistem kurmak değil, altyapıyı anlamak ve keyif almak; dağıtılan her servis, yazılan her Ansible role, şifrelenen her secret başlı başına bir öğrenme değeri taşıyor
• Homelab'e başlamak için küçük başlamak ve aşırı düşünmemek önemli