nginx proxy manager docker compose

Von Nina Wagner technology 9 Min. Lesezeit
nginx proxy manager docker compose

Wer heute eigene Dienste auf einem Server oder einem Raspberry Pi betreibt, stolpert zwangsläufig über das Problem der Erreichbarkeit. Man will nicht jedes Mal kryptische Portnummern hinter die IP-Adresse tippen, nur um auf die Cloud-Speicher oder das Smart Home zuzugreifen. Hier kommt Nginx Proxy Manager Docker Compose ins Spiel, um dieses Chaos mit einer grafischen Oberfläche und automatischer Zertifikatsverwaltung zu ordnen. Ich habe jahrelang mit manuellen Konfigurationsdateien in /etc/nginx/sites-available gekämpft und dabei mehr als einmal das gesamte System zerschossen. Die grafische Verwaltung macht Schluss mit der Angst vor Syntaxfehlern in der Konsole.

Warum die klassische Webserver-Verwaltung am Ende ist

Früher war alles komplizierter. Man musste Nginx installieren, mühsam mit Texteditoren wie Vim oder Nano in den Konfigurationsdateien herumwühlen und dann hoffen, dass der Dienst nach einem Neustart nicht den Dienst quittiert. Wenn man dann noch SSL-Verschlüsselung mit Let's Encrypt wollte, fing das Gebastel mit Certbot erst richtig an. Manuelle Cronjobs für die Erneuerung der Zertifikate waren die Regel, nicht die Ausnahme. Das hat genervt. Es hat Zeit gefressen.

Heute setzen wir auf Container. Docker hat die Art und Weise verändert, wie wir Software verteilen. Aber ein Container allein löst das Routing-Problem nicht. Du hast vielleicht zehn verschiedene Dienste auf deinem Server laufen. Einer auf Port 8080, einer auf 9000, der nächste auf 3000. Wer soll sich das merken? Ein Reverse Proxy ist die Antwort. Er nimmt alle Anfragen auf Port 80 und 443 entgegen und verteilt sie intern weiter. Die Kombination aus der grafischen Verwaltungsoberfläche und der Container-Orchestrierung ist dabei unschlagbar.

Die Suchintention hinter der Lösung

Leute suchen nach diesem Thema, weil sie eine einfache, aber professionelle Lösung für ihr Homelab oder kleine Unternehmensserver brauchen. Sie wollen Sicherheit durch SSL, ohne dafür Informatik studiert zu haben. Sie wollen eine Lösung, die stabil läuft und sich leicht sichern lässt. Das Schöne an Containern ist die Portabilität. Wenn du deinen Server wechselst, kopierst du einfach deinen Ordner und startest das System neu. Alles ist wieder da.

So setzt du Nginx Proxy Manager Docker Compose richtig auf

Die Basis für alles ist eine solide Konfigurationsdatei. Ich empfehle immer, ein dediziertes Verzeichnis für dieses Projekt anzulegen, zum Beispiel unter /opt/nginx-proxy-manager. Das sorgt für Ordnung und macht Backups zum Kinderspiel. In diesem Verzeichnis erstellst du eine Datei namens docker-compose.yml.

Hier ist ein echtes Praxisbeispiel für den Aufbau dieser Datei. Du brauchst ein Image für die Verwaltungsoberfläche und eine Datenbank. Theoretisch kann das Programm auch mit SQLite arbeiten, was in einer internen Datei gespeichert wird. Aber für die Performance und spätere Skalierbarkeit ist eine echte Datenbank wie MariaDB die bessere Wahl. Das sorgt dafür, dass die Benutzeroberfläche auch dann flüssig reagiert, wenn du später fünfzig oder hundert verschiedene Host-Einträge verwaltest.

Die Netzwerkstruktur verstehen

Ein häufiger Fehler ist das Netzwerk-Setup. Wenn du möchtest, dass der Proxy deine anderen Container findet, müssen sie im selben Docker-Netzwerk funken. Ich erstelle dafür meistens ein externes Netzwerk namens proxy-net. So kann jeder neue Dienst einfach diesem Netzwerk beitreten und ist sofort für den Proxy erreichbar, ohne dass du Ports nach außen öffnen musst. Das ist ein massiver Sicherheitsvorteil. Nur die Ports 80, 443 und der Admin-Port 81 müssen am Host offen sein. Alles andere bleibt hinter der Firewall des Docker-Netzwerks verborgen.

Sicherheitseinstellungen für den Admin-Bereich

Der Standard-Login ist jedem bekannt, der schon mal ein Tutorial gelesen hat. Sobald das System läuft, musst du das Passwort ändern. Das klingt banal, aber ich sehe immer wieder offene Instanzen im Netz, die noch mit den Standarddaten laufen. Das ist eine Einladung für jeden Hobby-Hacker. Verwende am besten eine Zwei-Faktor-Authentifizierung, falls du den Admin-Port über das Internet erreichbar machst. Aber eigentlich sollte Port 81 nur lokal oder über ein VPN wie WireGuard erreichbar sein.

Die Vorteile der grafischen Oberfläche gegenüber der Textwüste

Manche Puristen behaupten, dass man nur mit echten Konfigurationsdateien die volle Kontrolle hat. Das mag für riesige Rechenzentren stimmen, aber für uns normale Nutzer ist die visuelle Darstellung Gold wert. Du siehst auf einen Blick, welche Hosts aktiv sind, welche Zertifikate bald ablaufen und wo es Fehler gibt. Ein Klick und das SSL-Zertifikat wird generiert. Kein Gefummel mit DNS-Challenges oder Port-Freigaben auf der Kommandozeile.

Automatische Zertifikatsverwaltung mit Let's Encrypt

Das ist das absolute Killer-Feature. Wer einmal manuell versucht hat, eine Wildcard-Domain mit einer DNS-Challenge bei einem deutschen Provider wie Strato oder IONOS zu verifizieren, weiß, wie schmerzhaft das sein kann. Das hier besprochene Werkzeug unterstützt unzählige DNS-Provider über Plugins. Du gibst deinen API-Key ein und das Programm kümmert sich um den Rest. Es erstellt den TXT-Eintrag, wartet auf die DNS-Propagierung und holt sich das Zertifikat. Alles vollautomatisch.

Access Lists für den internen Schutz

Ein weiteres mächtiges Werkzeug sind die Access Lists. Damit kannst du Webseiten mit einem zusätzlichen Passwortschutz versehen (HTTP Basic Auth), bevor sie überhaupt geladen werden. Das ist ideal für Dienste, die selbst keine gute Benutzerverwaltung haben. Oder du beschränkst den Zugriff auf bestimmte IP-Adressen. So kannst du festlegen, dass dein Home-Assistant-Dashboard nur von deiner Haus-IP oder über das Firmen-VPN aufgerufen werden darf. Das reduziert die Angriffsfläche enorm.

Typische Probleme und wie man sie löst

Es läuft nicht immer alles glatt. Ein Klassiker ist die Fehlermeldung „502 Bad Gateway“. Das bedeutet meistens, dass der Proxy den Ziel-Container nicht erreichen kann. Oft liegt es daran, dass der Ziel-Container nicht im selben Netzwerk ist oder der interne Port falsch angegeben wurde. Ein weiterer Stolperstein sind die „Websockets“. Viele moderne Anwendungen wie Home Assistant oder Spotify-Clients brauchen Websockets, um Daten in Echtzeit zu schieben. In der Weboberfläche gibt es dafür einen einfachen Schalter. Wenn du vergisst, ihn umzulegen, wird die Seite zwar geladen, aber sie aktualisiert sich nicht oder zeigt Fehlermeldungen.

Die Sache mit den Dateiberechtigungen

Wenn du das System auf einem Linux-Server wie Ubuntu oder Debian installierst, achte auf die Benutzerrechte. Der Docker-Daemon läuft meist als Root, aber die gemounteten Volumes sollten die richtigen Berechtigungen haben. Wenn die Datenbank nicht starten kann, weil sie nicht in den Ordner schreiben darf, schau dir die Logs mit docker compose logs -f an. Das ist dein wichtigstes Werkzeug zur Fehlersuche. Die Logs lügen nicht. Sie sagen dir genau, wo es klemmt.

Backups sind keine Option sondern Pflicht

Ich habe es schon erlebt, dass eine SD-Karte im Raspberry Pi den Geist aufgegeben hat. Ohne Backup ist dann alles weg. Da wir Nginx Proxy Manager Docker Compose nutzen, ist die Sicherung glücklicherweise simpel. Du musst nur den Ordner sichern, in dem deine docker-compose.yml und die gemounteten Daten liegen. Ein einfaches tar-Archiv, das du auf einen Cloud-Speicher oder ein NAS schiebst, reicht völlig aus. Wenn du es professionell machen willst, nutzt du Tools wie Restic, die Backups verschlüsselt und inkrementell ablegen.

Echte Performance-Zahlen aus der Praxis

Viele fragen sich, ob so ein Proxy das System ausbremst. Die Antwort lautet: kaum spürbar. Nginx selbst ist extrem effizient. Auf einem handelsüblichen Mini-PC mit Intel N100 Prozessor verbraucht der gesamte Stack im Leerlauf weniger als 1% CPU-Leistung und etwa 150 MB RAM. Selbst bei mehreren tausend Anfragen pro Minute langweilt sich die Hardware. Es gibt also keinen Grund, aus Performance-Gründen auf diese komfortable Lösung zu verzichten. Sogar auf einem alten Raspberry Pi 3 läuft das System stabil, solange man nicht hunderte gleichzeitige Video-Streams darüber jagt.

Erweiterte Konfigurationen für Fortgeschrittene

Manchmal reicht die grafische Oberfläche nicht aus. Vielleicht brauchst du spezielle Header für die Sicherheit oder willst einen Cache vorschalten. Dafür gibt es das Feld „Advanced“. Dort kannst du rohen Nginx-Code einfügen. Das ist die perfekte Mischung: Einfachheit für 95% der Aufgaben und volle Flexibilität für die restlichen 5%. Hier kannst du zum Beispiel HSTS (HTTP Strict Transport Security) erzwingen, was deine Seite in den Augen von Browsern sicherer macht.

Custom Locations nutzen

Ein oft unterschätztes Feature sind die Custom Locations. Damit kannst du verschiedene Pfade einer Domain an unterschiedliche Container schicken. Zum Beispiel: meinedomain.de/api geht an den Backend-Container, während meinedomain.de/ das Frontend ausliefert. Das spart dir die Registrierung vieler Subdomains und hält deine Infrastruktur sauber.

Stream-Proxy für andere Protokolle

Dieses Tool kann nicht nur HTTP und HTTPS. Du kannst damit auch TCP- oder UDP-Streams weiterleiten. Das ist nützlich, wenn du zum Beispiel einen Minecraft-Server oder eine Datenbank über eine bestimmte Domain erreichbar machen willst, ohne die IP-Adresse preiszugeben. Es fungiert dann wie eine klassische Port-Weiterleitung, nur eben zentral verwaltet.

Strategische Überlegungen zur Infrastruktur

Wenn du dein Netzwerk planst, solltest du über eine dedizierte Domain nachdenken. Viele nutzen kostenlose Anbieter wie DuckDNS. Das ist für den Anfang okay, aber eine echte .de-Domain kostet heute weniger als fünf Euro im Jahr. Es wirkt professioneller und du hast die volle Kontrolle über deine DNS-Einträge. Anbieter wie Hetzner bieten exzellente Nameserver-Dienstleistungen an, die sich perfekt integrieren lassen.

Der Einsatz in kleinen Unternehmen

Ich habe diese Lösung auch schon in kleinen Agenturen implementiert. Dort gibt es oft interne Tools für die Zeiterfassung oder Projektplanung. Statt teure Hardware-Loadbalancer zu kaufen, reicht oft ein kleiner Linux-Server mit diesem Setup. Die Ersparnis ist gewaltig und die Wartung kann von jedem Mitarbeiter mit grundlegenden IT-Kenntnissen übernommen werden. Es muss nicht immer die Enterprise-Lösung für tausende Euro sein.

Nächste Schritte für dein Projekt

Jetzt ist es an der Zeit, aktiv zu werden. Du hast die Theorie verstanden und weißt, warum dieses System so mächtig ist. Hier ist dein Fahrplan für die Umsetzung:

👉 Siehe auch: iphone 15 pro max 256gb neu
  1. Server vorbereiten: Installiere Docker und das zugehörige Compose-Plugin auf deinem System. Achte darauf, dass dein Betriebssystem auf dem neuesten Stand ist.
  2. Verzeichnisstruktur anlegen: Erstelle einen festen Platz für deine Konfigurationen. Ordnung ist das halbe Leben, besonders bei Server-Diensten.
  3. Docker-Netzwerk erstellen: Nutze den Befehl docker network create proxy-net, um die Grundlage für die Kommunikation zwischen den Containern zu legen.
  4. Konfiguration schreiben: Erstelle deine Datei für den Betrieb und achte penibel auf die Einrückungen. YAML verzeiht keine Fehler bei den Leerzeichen.
  5. Dienst starten: Mit docker compose up -d bringst du das System zum Laufen. Prüfe mit docker ps, ob alle Container grün sind.
  6. Admin-Panel aufrufen: Geh im Browser auf die IP deines Servers mit Port 81. Logge dich ein und ändere sofort die Anmeldedaten.
  7. Ersten Proxy-Host anlegen: Verbinde eine Domain mit deinem Server und erstelle den ersten Eintrag. Aktiviere SSL und freue dich über das grüne Schloss in der Adressleiste.

Es gibt keinen Grund mehr, sich mit komplizierten Konfigurationen herumzuschlagen. Die Welt der Container bietet uns die Werkzeuge, um IT-Infrastruktur einfach und sicher zu gestalten. Fang heute damit an und räum dein digitales Zuhause auf. Es lohnt sich.

NW

Nina Wagner

Nina Wagner verbindet redaktionelle Sorgfalt mit erzählerischer Klarheit und macht relevante Themen greifbar.

Ähnliche Artikel

Warum die meisten Budgets bei Anthropic durch falsches Prompting und naive Skalierung verbrennen

Warum die meisten Budgets bei Anthropic durch falsches Prompting und naive Skalierung verbrennen
Wie Infineon im Verborgenen unsere Wirklichkeit zusammenhält

Wie Infineon im Verborgenen unsere Wirklichkeit zusammenhält
Das Flüstern der fernen Giganten oder was A39 uns verschweigt

Das Flüstern der fernen Giganten oder was A39 uns verschweigt
Das Flüstern der unsichtbaren Netze von Sap

Das Flüstern der unsichtbaren Netze von Sap