Das Selbst-Hosting von Secrets-Management-Tools wie Infisical bietet eine größere Kontrolle über Ihre sensiblen Daten und entspricht bewährten Praktiken in einer self-hosted Umgebung. Diese Anleitung führt Sie durch die Installation von Infisical auf einem VPS mit Docker, inklusive Servervorbereitung, Docker-Setup und Sicherheitsmaßnahmen für Ihre Deployment.
Warum Infisical selbst hosten?
Infisical ist eine Open-Source-Plattform zur Geheimnisverwaltung, die für Entwickler und Homelab-Benutzer konzipiert ist, um API-Schlüssel, Tokens und andere sensible Daten sicher zu speichern. Es selbst zu hosten entfernt die Abhängigkeit von Drittanbieterdiensten, erhöht die Sicherheit und bietet volle Kontrolle über Ihre Umgebung.
Voraussetzungen
- Ein VPS mit einer Linux-Distribution (empfohlen wird Ubuntu 22.04 LTS)
- Eine Domain (optional, aber empfohlen für SSL)
- Grundlegende Linux-Kenntnisse bei der Kommandozeile
- Root- oder sudo-Zugriff auf Ihren VPS
- Docker und Docker Compose auf dem VPS installiert
Wahl eines VPS-Anbieters
Für kosteneffizientes und zuverlässiges Hosting sollten Sie Anbieter wie folgende in Betracht ziehen:
| Anbieter | Preis (pro Monat) | Affiliate-Link |
|---|---|---|
| Contabo VPS | 5,99 EUR | Contabo VPS |
| Hetzner Cloud | 4,15 EUR | Hetzner Cloud |
| DigitalOcean | 6 USD | DigitalOcean |
| Vultr | 6 USD | Vultr |
| Linode | 5 USD | Linode |
Für einen vollständigen Vergleich der VPS-Anbieter besuchen Sie /en/best/.
Schritt 1: Ihre VPS-Umgebung einrichten
Anmelden bei Ihrem VPS
ssh benutzer@your-vps-ipSystem aktualisieren
sudo apt update && sudo apt upgrade -yDocker und Docker Compose installieren
sudo apt install -y docker.io docker-compose
sudo systemctl enable --now dockerÜberprüfung der Installation:
docker --version
docker-compose --versionSchritt 2: Docker Compose Datei für Infisical vorbereiten
Erstellen Sie ein Verzeichnis für Infisical.
mkdir ~/infisical && cd ~/infisicalErstellen Sie die Datei docker-compose.yml:
version: '3'
services:
infisical:
image: infisical/infasical:latest
container_name: infisical
ports:
- "3000:3000"
environment:
- NODE_ENV=production
- PORT=3000
volumes:
- infisical_data:/app/data
restart: unless-stopped
volumes:
infisical_data:Hinweis: Ersetzen Sie das Image bei Bedarf durch die neueste stabile Version aus dem offiziellen Registry.
Schritt 3: Infisical starten
Führen Sie den Container aus:
docker-compose up -dÜberprüfen Sie, ob er läuft:
docker psSie sollten den aktiven Infisical-Container sehen.
Schritt 4: Domain und SSL konfigurieren (optional)
Die Verwendung einer Domain und eines SSL-Zertifikats erhöht die Sicherheit. Sie können Certbot mit Nginx als Reverse-Proxy verwenden.
Nginx installieren
sudo apt install -y nginxNginx konfigurieren
Erstellen Sie eine Konfigurationsdatei /etc/nginx/sites-available/infisical
server {
listen 80;
server_name your.domain.com;
location / {
proxy_pass http://localhost:3000;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}Verknüpfen und aktivieren Sie die Seite:
sudo ln -s /etc/nginx/sites-available/infisical /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl restart nginxHTTPS mit Certbot aktivieren
sudo apt install -y certbot python3-certbot-nginx
sudo certbot --nginx -d your.domain.comFolgen Sie den Anweisungen für die SSL-Einrichtung.
Schritt 5: Infisical verwenden
Greifen Sie über https://your.domain.com auf Ihre Deployment zu. Sie müssen zunächst ein Administrator-Konto einrichten.
Secrets hinzufügen
Sie können Secrets über die Web-Benutzeroberfläche oder CLI hinzufügen, je nach Workflow.
Vergleichstabelle: Selbsthosting von Infisical vs. Alternativen
| Funktion | Selbsthosting von Infisical | Managed Secrets Managers |
|---|---|---|
| Kontrolle | Volle Kontrolle über Daten und Umgebung | Eingeschränkt, durch Drittanbieter verwaltet |
| Kosten | VPS-Kosten ab 4,15 EUR bis 6 USD/Monat | Meist abonnementbasiert, teurer |
| Anpassbarkeit | Hoch anpassbar mit Docker und Serverkonfigurationen | Eingeschränkte Anpassungsmöglichkeiten |
| Sicherheit | Hängt von Nutzerkonfiguration ab, aber kann hoch gesichert sein | Üblicherweise konform, weniger Nutzerkontrolle |
| Wartung | Nutzer ist für Updates, Backups und Sicherheitsupdates verantwortlich | Anbieter übernimmt Wartung |
FAQs
Wie halte ich Infisical auf meinem VPS aktuell?
Sie können Infisical aktualisieren, indem Sie das neueste Docker-Image ziehen und den Container neu starten. Verwenden Sie dazu:
docker-compose pull
docker-compose up -dAutomatisieren Sie Updates mit einem Cron-Job oder eine CI/CD-Pipeline, falls gewünscht.
Was sind Best Practices, um mein self-hosted Infisical abzusichern?
Implementieren Sie HTTPS mit SSL-Zertifikaten, beschränken Sie den Zugriff mit Firewalls (iptables, ufw), ändern Sie bei Bedarf Standardports und aktivieren Sie Zwei-Faktor-Authentifizierung, falls unterstützt. Regelmäßige Backups Ihrer Datenvolumes sind ebenfalls essenziell.
Kann ich Infisical hinter einem Reverse-Proxy laufen lassen?
Ja, der Einsatz hinter Nginx oder Traefik verbessert die Sicherheit und ermöglicht SSL-Termination. Eine korrekte Konfiguration sorgt für sicheren und nahtlosen Zugriff. Routen können bei Bedarf für mehrere Dienste angepasst werden.
Abschließende Hinweise
Das Selbsthosting von Infisical auf einem VPS bietet eine robuste, private Lösung für Secrets-Management, geeignet für Entwickler und Homelab-Enthusiasten. Die Einrichtung ist mit Docker unkompliziert, und die Sicherheit Ihrer Deployment erfordert bewährte Maßnahmen. Bleiben Sie proaktiv bei Updates und Backups, um Sicherheit und Stabilität zu gewährleisten.
Für weitere großartige self-hosted Tools und Konfigurationen besuchen Sie /en/best/ und tauchen Sie in die Self-Hosting-Community auf r/selfhosted und awesome-selfhosted ein.