OPENBUREAU/proxmox

OPENBUREAU — Proxmox-Selbsthosting-Set

Skripte, um die Dienste eines Architekturbüros auf einem Proxmox-VE-Host aufzusetzen — jeder Dienst in seinem eigenen, unprivilegierten, Docker-tauglichen LXC. Alle Skripte werden auf dem Proxmox-Host als root ausgeführt.

Zwei Wege

1. Suite mit Dialog — fragt, was man will, und installiert einen LXC nach dem anderen:

bash <(curl -fsSL https://git.kgva.ch/karim/OPENBUREAU/raw/branch/main/proxmox/install.sh)

2. Einzelskripte (für Fortgeschrittene) — direkt, ohne Menü. Jedes ist in sich geschlossen:

# Website + CMS (eigenes Skript, erzeugt alle Supabase-Secrets)
bash <(curl -fsSL …/cms/proxmox/create-openbureau-lxc.sh)

# Nextcloud (Dateien/Kalender/Kontakte/Office — ersetzt 365 + Synology)
bash <(curl -fsSL …/proxmox/nextcloud-lxc.sh) [disk_gb] [ram_mb]

# Leerer Docker-LXC als Gerüst
bash <(curl -fsSL …/proxmox/empty-lxc.sh) [name] [disk_gb] [ram_mb]

# Beliebiger Dienst aus einem Git-Repo mit docker-compose (RAPPORT, DOSSIER …)
bash <(curl -fsSL …/proxmox/git-compose-lxc.sh) <repo-url> [name] [disk_gb] [ram_mb]

install.sh akzeptiert dieselben Dienste auch direkt als Argument (install.sh nextcloud, install.sh git <repo> …).

Gemeinsames Muster

Jedes Skript macht dasselbe: aktuelles Debian-12-Template sicherstellen, unprivilegierten LXC mit nesting=1,keyctl=1 anlegen (damit Docker darin läuft), Docker installieren, den Dienst als Container/Compose-Stack starten. Storage, Netz und SSH-Key lassen sich per Umgebungsvariable überschreiben:

Variable	Default
ROOTFS_STORAGE	local-lvm
TEMPLATE_STORAGE	local
BRIDGE	vmbr0
SSH_PUBKEY_FILE	~/.ssh/id_ed25519.pub

Domain & HTTPS hinter einem Reverse-Proxy

Für eine öffentliche Adresse (statt LAN-IP:Port) kennt cms/proxmox/create-openbureau-lxc.sh die Variable SITE_DOMAIN. Ist sie gesetzt, werden SITE_URL und API_EXTERNAL_URL auf https://<domain> gelegt (Same-Origin) — der Browser ruft /auth/* + /rest/* auf derselben Domain auf, der Reverse-Proxy routet sie ans Supabase-Gateway (:8000), alles andere an die Site (:8080). BIND_ADDR bleibt 0.0.0.0, damit der Proxy drankommt.

So wurde dev.openbureau.ch aufgesetzt (LXC auf einem ZFS-Host, statische IP):

ROOTFS_STORAGE=local-zfs HOSTNAME=openbureau-dev CTID=134 \
IP=192.168.1.134/24 GATEWAY=192.168.1.1 SITE_DOMAIN=dev.openbureau.ch \
bash <(curl -fsSL https://git.kgva.ch/karim/OPENBUREAU/raw/branch/main/cms/proxmox/create-openbureau-lxc.sh)

Den passenden Reverse-Proxy-Eintrag gibt das Skript am Ende selbst aus. Für Caddy (Pfad-Routing, ein Zertifikat):

dev.openbureau.ch {
	# Nur /auth/* muss public ans Supabase-Gateway (Browser-Login). Alle Daten
	# laufen über /api/* (Node spricht kong intern an). /rest, /storage,
	# /realtime bewusst NICHT exponieren — sonst gibt /rest/v1/ die ganze
	# DB-Schema-Beschreibung preis (PostgREST-OpenAPI).
	@auth path /auth/*
	reverse_proxy @auth 192.168.1.134:8000
	reverse_proxy 192.168.1.134:8080
}

Den Caddy-Block in die jeweilige Proxy-Config eintragen, validieren und neu laden (caddy reload). Caddy holt das Let's-Encrypt-Zertifikat beim ersten Aufruf selbst. Login-User danach über die Admin-API anlegen (Self-Signup ist aus):

pct enter <CTID>; cd /opt/openbureau/cms; source .env
curl -s -X POST "http://localhost:8000/auth/v1/admin/users" \
  -H "apikey: $SERVICE_ROLE_KEY" -H "Authorization: Bearer $SERVICE_ROLE_KEY" \
  -H "Content-Type: application/json" \
  -d '{"email":"du@example.ch","password":"…","email_confirm":true}'

Hintergrund

Warum und wie — die zwei Artikel in der Bibliothek: Server im eigenen Haus und Proxmox, Schritt für Schritt.