rainer

@jeff @lukasrotermund

Ok, geht dann docker so in die vage Richtung einer VM? Im Inneren stets das gleiche System und draußen ist egal?

Jein.
Beispiel:
Dockerhost:

❯ uname -a
Linux halde 6.1.0-30-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.124-1 (2025-01-12) x86_64 GNU/Linux
❯ cat /etc/*release
PRETTY_NAME="Debian GNU/Linux 12 (bookworm)"
NAME="Debian GNU/Linux"
VERSION_ID="12"
VERSION="12 (bookworm)"
VERSION_CODENAME=bookworm
ID=debian
HOME_URL="https://www.debian.org/"
SUPPORT_URL="https://www.debian.org/support"
BUG_REPORT_URL="https://bugs.debian.org/"

Wir gehen in den Container, hier ein pihole:

❯ docker exec -ti pihole bash
halde:/# uname -a
Linux halde 6.1.0-30-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.124-1 (2025-01-12) x86_64 GNU/Linux
halde:/# cat /etc/*release
3.19.7
NAME="Alpine Linux"
ID=alpine
VERSION_ID=3.19.7
PRETTY_NAME="Alpine Linux v3.19"
HOME_URL="https://alpinelinux.org/"
BUG_REPORT_URL="https://gitlab.alpinelinux.org/alpine/aports/-/issues"
halde:/#

Beachte, daß auch im Container (ein Alpine, kein Debian) sich ein Debian-Kernel meldet.
Weil es eben keine VM ist, sondern den Kernel des Hosts verwendet. Deshalb kann es auch kein lauffähiges Windows-Image geben, das auf Docker für Linux läuft.
Es ist sozusagen eine Vm auf Applikationsebene, nur die Applikation wird virtualisiert.
Mit Docker kann man spielen, da macht man nichts kaputt (außer dem Container vielleicht). Und da Docker seine Daten außerhalb des Containers speichert, kann man den Container nach Lust und Laune vergurken. Einfach das Image löschen und neu ziehen.

@jeff Ich antworte mal wild auf alles 😉
Das Konzept "Reverse proxy mit Diensten, die nur auf loopback lauschen" ist total sinnvoll und skaliert.
Neue Dienste mache ich nur so. Wenn man möchte, hat man einen Wildcard-Record im DNS (*.example.com) und auf dem Reverse proxy ein Wildcard-Zertifikat von LE (es gibt übrigens nicht nur LE als kostenlose CA mit ACME-Support) - und schon hat man seine neue Website in kürzester Zeit am Netz.
Docker-Container aktuell halten: containrrr.dev/watchtower/
Bei Containern sollte man aber unbedingt darauf achten, daß man Images verwendet, die auch gepflegt werden, also günstigstenfalls solche, die vom Softwareanbieter selbst kommen. Wie bei friendica zum Beispiel 😉
fail2ban: Wird m.E. überbewertet. Wer Du unsichere Dienste anbietet, sollte die reparieren - und das kann fail2ban nicht. Immerhin hält es die Logs kürzer 😉 Wäre nicht meine erste Prio.
Go: Das ist nun ziemlich egal, in welcher Sprache eine Software geschrieben ist, solange man nicht debuggen möchte. Go hat den Vorteil, daß es (immer?) nur ein Binary ist, das alle Abhängigkeiten reingelinkt hat und dann aber auch entsprechend groß ist.
Ansible/Python: Ansible IST Python! Und wers richtig ausreizen möchte, kann als Template-Sprache Jinja einsetzen, was einem Pythonista entgegenkommen sollte.
Ansible ist nichts, was man in zwei Stunden lernt. Aber die Doku ist gut, es gibt eine große Community.
Und man muß die Kosten-Nutzen-Relation sehen. Bei privaten 5 Kisten würde ich wohl kein Ansible einsetzen, es sei denn, ich wäre ein neugieriges Spielkind mit Spaß an Software.

@jeff

Wie managed man seine Server am sinnvollsten?

Solange es übersichtlich bleibt, spricht wenig gegen Handarbeit.
Für alles andere gibts #ansible.