Zelfhosten van geheimenbeheer tools zoals Infisical geeft je meer controle over je gevoelige gegevens en sluit aan bij de beste praktijken in een zelfgehoste omgeving. Deze gids leidt je door het installeren van Infisical op een VPS met Docker, inclusief servervoorbereiding, Docker-configuratie en het beveiligen van je deployment.
Waarom Infisical zelfhosten?
Infisical is een open-source platform voor geheimenbeheer, ontworpen voor ontwikkelaars en homelab-gebruikers om veilig API-sleutels, tokens en andere gevoelige gegevens op te slaan. Het zelfhosten ervan elimineert afhankelijkheid van derden, verbetert de beveiliging en biedt volledige controle over je omgeving.
Vereisten
- Een VPS met een Linux-distributie (Ubuntu 22.04 LTS wordt aanbevolen)
- Een domein (optioneel maar aanbevolen voor SSL)
- Basis Linux command-line vaardigheden
- Root- of sudo-toegang op je VPS
- Docker en Docker Compose geรฏnstalleerd op de VPS
Een VPS-provider kiezen
Voor betaalbare en betrouwbare hosting, overweeg providers zoals:
| Provider | Prijs (per maand) | Affiliate Link |
|---|---|---|
| Contabo VPS | 5.99 EUR | Contabo VPS |
| Hetzner Cloud | 4.15 EUR | Hetzner Cloud |
| DigitalOcean | 6 USD | DigitalOcean |
| Vultr | 6 USD | Vultr |
| Linode | 5 USD | Linode |
Voor een volledige VPS-vergelijking, bekijk /en/best/.
Stap 1: Je VPS-omgeving instellen
Inloggen op je VPS
ssh gebruiker@je-vps-ipJe systeem bijwerken
sudo apt update && sudo apt upgrade -yDocker en Docker Compose installeren
sudo apt install -y docker.io docker-compose
sudo systemctl enable --now dockerVerifieer de installatie:
docker --version
docker-compose --versionStap 2: Docker Compose-bestand voorbereiden voor Infisical
Maak een directory voor Infisical.
mkdir ~/infisical && cd ~/infisicalMaak docker-compose.yml aan:
version: '3'
services:
infisical:
image: infisical/infasical:latest
container_name: infisical
ports:
- "3000:3000"
environment:
- NODE_ENV=production
- PORT=3000
volumes:
- infisical_data:/app/data
restart: unless-stopped
volumes:
infisical_data:Opmerking: Vervang de image door de nieuwste stabiele versie van de officiรซle registry indien nodig.
Stap 3: Infisical starten
Start de container:
docker-compose up -dControleer of het draait:
docker psJe zou de actieve Infisical-container moeten zien.
Stap 4: Domein en SSL configureren (optioneel)
Het gebruik van een domein en SSL-certificaat verbetert de beveiliging. Je kunt Certbot gebruiken met Nginx als reverse proxy.
Installeer Nginx
sudo apt install -y nginxConfigureer Nginx
Maak een configuratiebestand /etc/nginx/sites-available/infisical
server {
listen 80;
server_name jouw.domein.com;
location / {
proxy_pass http://localhost:3000;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
}
}Link en activeer de site:
sudo ln -s /etc/nginx/sites-available/infisical /etc/nginx/sites-enabled/
sudo nginx -t
sudo systemctl restart nginxHTTPS inschakelen met Certbot
sudo apt install -y certbot python3-certbot-nginx
sudo certbot --nginx -d jouw.domein.comVolg de prompts voor SSL-setup.
Stap 5: Infisical gebruiken
Toegang tot je deployment via https://jouw.domein.com. Je moet initieel een beheeraccount instellen.
Secrets toevoegen
Je kunt secrets toevoegen via de web UI of CLI, afhankelijk van jouw workflow.
Vergelijkingstabel: Zelfhosting van Infisical vs Alternatieven
| Kenmerk | Zelfhosting Infisical | Managed Secrets Managers |
|---|---|---|
| Controle | Volledige controle over data en omgeving | Beperkt, beheerd door derde partij |
| Kosten | VPS-kosten vanaf 4.15 EUR tot 6 USD/maand | Meestal abonnement, hogere kosten |
| Aanpasbaarheid | Zeer aanpasbaar met Docker en serverconfiguraties | Beperkte opties voor aanpassing |
| Beveiliging | Afhankelijk van setup, maar kan zeer secure zijn | Vaak compliant, minder gebruikerscontrole |
| Onderhoud | Gebruiker verantwoordelijk voor updates, backups, beveiliging | Provider verzorgt onderhoud |
Veelgestelde Vragen
Hoe houd ik Infisical up-to-date op mijn VPS?
Je kunt Infisical bijwerken door de nieuwste Docker-image te pullen en de container te herstarten. Gebruik:
docker-compose pull
docker-compose up -dAutomatiseer updates met een cron-job of CI/CD-pipeline indien gewenst.
Wat zijn de beste praktijken voor het beveiligen van mijn zelfgehoste Infisical?
Implementeer HTTPS via SSL-certificaten, beperk toegang met firewalls (iptables, ufw), wijzig standaard poorten indien nodig, en activeer two-factor authentication indien ondersteund. Reguliere backups van je datavolume zijn ook cruciaal.
Kan ik Infisical achter een reverse proxy draaien?
Ja, het inzetten achter Nginx of Traefik verbetert de beveiliging en maakt SSL-terminatie mogelijk. Correcte configuratie zorgt voor veilige en naadloze toegang. Routes kunnen worden aangepast voor meerdere services indien nodig.
Laatste opmerkingen
Het zelfhosten van Infisical op een VPS biedt een robuuste, private oplossing voor geheimenbeheer, geschikt voor ontwikkelaars en homelab-fanaten. Het opzetten met Docker is eenvoudig, en het beveiligen van je deployment volgt standaard best practices. Wees actief in updates en backups om veiligheid en stabiliteit te waarborgen.
Voor meer geweldige zelfgehoste tools en configuraties, bezoek /en/best/ en duik in de community op r/selfhosted en awesome-selfhosted. --- Eind ---