Homelab on Chanyeol Dev

노트북 한 대로 홈서버 구축하기 - 12편 완전 정복 총정리

Sat, 04 Apr 2026 09:00:00 +0900

시작은 단순했다

클라우드 비용이 아깝고, NAS도 필요하고, 사이드 프로젝트 서버도 있으면 좋겠고. 마침 집에 안 쓰는 ThinkPad가 있었다.

그렇게 시작된 홈서버 구축기가 어느새 12편이 됐다.

최종 구성

기기: ThinkPad E15 Gen3 (Ryzen 5 5600U, RAM 16GB)
OS: Ubuntu Server 24.04 LTS
네트워크: Tailscale VPN + OCI Nginx 리버스 프록시
도메인: yourdomain.com (Cloudflare)
스토리지: 256GB SSD (OS/Docker) + 1TB SSD (/mnt/data, NTFS)

운영 중인 서비스 전체 목록

포트	서비스	접근 방식
2283	Immich (사진 관리)	도메인 (OCI 프록시)
9090	Filebrowser (파일 관리)	도메인 (OCI 프록시)
11000	Vaultwarden (비밀번호)	도메인 (OCI 프록시)
13000	Grafana (모니터링)	Tailscale VPN
19000	Portainer (Docker GUI)	Tailscale VPN
19090	Prometheus	Tailscale VPN
19100	Node Exporter	내부 수집용
23000	컨테이너 대시보드 (React)	Tailscale VPN
28080	컨테이너 대시보드 (Spring)	Tailscale VPN

12편 한눈에 보기

1편 — 왜 홈서버인가? + 전체 아키텍처

→ 보러가기

클라우드 대신 홈서버를 선택한 이유와 Tailscale + OCI + Cloudflare로 구성한 전체 아키텍처를 소개한다.

2편 — Ubuntu Server 설치 + Tailscale VPN

→ 보러가기

Ventoy로 Ubuntu Server 24.04를 설치하고, Tailscale VPN으로 홈서버와 OCI 인스턴스를 하나의 사설 네트워크로 묶었다.

3편 — 외장 SSD 마운트 + Filebrowser 원격 파일 관리

→ 보러가기

NTFS 외장 SSD를 마운트하고 ntfsfix로 읽기/쓰기 문제를 해결했다. Docker로 Filebrowser를 띄워서 브라우저에서 파일을 관리할 수 있게 됐다.

4편 — Immich로 구글 포토 대체하기

→ 보러가기

Docker Compose 설치 과정에서 구버전 docker, NTFS 권한 문제 등 4가지 트러블슈팅을 겪었다. DB는 반드시 ext4에 둬야 한다.

5편 — Vaultwarden으로 비밀번호 자체 호스팅

→ 보러가기

구글 비밀번호를 CSV로 내보내서 Vaultwarden으로 이전했다. Bitwarden 브라우저 확장과 연동하면 기존과 사용감이 동일하다.

6편 — Portainer CE로 Docker GUI 관리

→ 보러가기

컨테이너가 8개를 넘어가면서 CLI 관리가 한계에 달했다. Portainer CE로 웹 UI에서 컨테이너를 관리한다. 보안상 VPN 안에서만 접근한다.

7편 — Grafana + Prometheus로 홈서버 모니터링

→ 보러가기

Node Exporter를 홈서버 + OCI 두 곳에 설치하고, Prometheus가 Tailscale VPN을 통해 두 서버의 메트릭을 수집한다. ThinkPad 배터리 메트릭도 추가했다.

8편 — Fail2ban으로 SSH 브루트포스 차단

→ 보러가기

auth.log를 열어보니 수천 줄의 SSH 로그인 시도가 쌓여 있었다. Fail2ban으로 자동 차단하고, recidive jail로 반복 공격자는 7일 장기 차단한다.

9편 — certbot –expand로 SSL 서브도메인 추가

→ 보러가기

서비스가 늘어날 때마다 SSL 인증서에 서브도메인을 추가해야 한다. --expand 옵션과 셸 스크립트로 관리하면 -d 한 줄만 추가하면 된다.

10편 — PostgreSQL 자동 백업 (pg_dump + cron)

→ 보러가기

Immich DB가 날아가면 앨범, 태그, 얼굴 인식 데이터가 전부 사라진다. docker exec으로 pg_dumpall을 실행하고 cron으로 매일 새벽 3시에 자동 백업한다.

11편 — TLP + thinkfan + Swap 튜닝으로 운영 최적화

→ 보러가기

CPU 온도 85°C → 55°C, Swap 사용률 26% → 7%. TLP 터보 부스트 비활성화와 swappiness 튜닝으로 24시간 운영에 최적화했다.

12편 — 직접 만든 컨테이너 대시보드 (Spring Boot + React + SSE)

→ 보러가기

Portainer 대신 Spring Boot + React로 컨테이너 모니터링 대시보드를 직접 만들었다. SSE로 실시간 로그 스트리밍을 구현한 게 핵심이다.

돌아보며

파일 서버 하나 만들려고 시작했는데 어쩌다 보니 이렇게 됐다.

홈서버의 가장 큰 장점은 공부할 게 계속 생긴다는 거다. 서비스 하나 올리면 모니터링이 필요하고, 모니터링 하다 보면 튜닝하고 싶어지고, 외부에 열면 보안이 신경 쓰이고. 그 과정에서 Linux, Docker, Nginx, Spring Boot, React를 실제로 써보게 된다.

클라우드가 편하긴 하지만, 직접 서버를 굴리는 재미는 또 다르다.

노트북으로 홈서버 구축하기 - 직접 만든 컨테이너 대시보드 (Spring Boot + React + SSE) (12편)

Fri, 03 Apr 2026 00:00:00 +0000

왜 직접 만들었나

Portainer가 있는데 굳이 만든 이유는 단순하다. 그냥 만들어보고 싶었다.

Portainer는 기능이 너무 많다. 나는 컨테이너 목록 확인, 시작/중지/재시작, 로그 보기 딱 세 가지만 필요했다. 이 정도면 직접 만들 수 있겠다 싶어서 Spring Boot 백엔드 + React 프론트엔드로 구성했다.

완성 화면

컨테이너 목록을 카드 UI로 표시 (상태별 색상 배지)
Start / Stop / Restart 원클릭 제어
Logs 버튼으로 실시간 로그 스트리밍 (SSE)
5초 주기 자동 갱신

기술 스택

역할	기술
백엔드	Spring Boot 3.5, Java 17, Maven
Docker 연동	docker-java 3.3.6 (zerodep transport)
실시간 로그	SSE (Server-Sent Events) + WebFlux
프론트엔드	React 19, plain CSS
배포	Docker Compose + nginx

백엔드 (Spring Boot)

의존성 설정



    com.github.docker-java
    docker-java
    3.3.6


    com.github.docker-java
    docker-java-transport-zerodep
    3.3.6

transport 선택이 중요하다. httpclient5 트랜스포트는 Unix 소켓을 제대로 처리하지 못해서 아래 에러가 난다.

Connect to unix://localhost:2375 failed

zerodep 트랜스포트를 써야 /var/run/docker.sock 연결이 정상 동작한다.

DockerClient 빈 설정

@Configuration
public class DockerConfig {

    @Value("${docker.host:unix:///var/run/docker.sock}")
    private String dockerHost;

    @Bean
    public DockerClient dockerClient() {
        DockerClientConfig config = DefaultDockerClientConfig.createDefaultConfigBuilder()
                .withDockerHost(dockerHost)
                .build();

        DockerHttpClient httpClient = new ZerodepDockerHttpClient.Builder()
                .dockerHost(config.getDockerHost())
                .sslConfig(config.getSSLConfig())
                .build();

        return DockerClientImpl.getInstance(config, httpClient);
    }
}

application.properties:

docker.host=unix:///var/run/docker.sock

컨테이너 목록 조회

public List<ContainerSummaryDto> listContainers(boolean all) {
    return dockerClient.listContainersCmd()
            .withShowAll(all)
            .exec()
            .stream()
            .map(this::toDto)
            .toList();
}

실시간 로그 스트리밍 (SSE)

이 프로젝트의 핵심이다. docker-java의 콜백 기반 API를 WebFlux의 Flux로 브리징한다.

public Flux<String> streamLogs(String containerId, int tail) {
    return Flux.create(sink -> {
        dockerClient.logContainerCmd(containerId)
                .withStdOut(true)
                .withStdErr(true)
                .withFollowStream(true)
                .withTail(tail)
                .withTimestamps(true)
                .exec(new ResultCallback.Adapter<>() {
                    @Override
                    public void onNext(Frame frame) {
                        sink.next(new String(frame.getPayload()).stripTrailing());
                    }

                    @Override
                    public void onError(Throwable throwable) {
                        sink.error(throwable);
                    }

                    @Override
                    public void onComplete() {
                        sink.complete();
                    }
                });
    });
}

컨트롤러에서 SSE로 내보낸다.

@GetMapping(value = "/{id}/logs", produces = MediaType.TEXT_EVENT_STREAM_VALUE)
public Flux<ServerSentEvent<String>> streamLogs(@PathVariable String id,
                                                 @RequestParam(defaultValue = "100") int tail) {
    return containerService.streamLogs(id, tail)
            .map(line -> ServerSentEvent.<String>builder().data(line).build());
}

API 목록

Method	Endpoint	설명
GET	`/api/containers?all=true`	컨테이너 목록
GET	`/api/containers/{id}/logs?tail=100`	SSE 로그 스트리밍
POST	`/api/containers/{id}/start`	시작
POST	`/api/containers/{id}/stop`	정지
POST	`/api/containers/{id}/restart`	재시작

프론트엔드 (React)

프로젝트 구조

src/
  api.js               # API 호출 함수
  App.js               # 루트 컴포넌트 (목록 + 폴링)
  App.css              # 전체 스타일 (다크 테마)
  components/
    ContainerCard.js   # 카드 UI + 액션 버튼
    LogViewer.js       # SSE 실시간 로그 모달

5초 폴링

const POLL_INTERVAL = 5000;

export default function App() {
  const [containers, setContainers] = useState([]);
  const [logTarget, setLogTarget] = useState(null);

  const load = useCallback(async () => {
    const data = await fetchContainers();
    setContainers(data);
  }, []);

  useEffect(() => {
    load();
    const timer = setInterval(load, POLL_INTERVAL);
    return () => clearInterval(timer);
  }, [load]);
  // ...
}

setInterval을 useEffect cleanup에서 clearInterval로 정리해야 컴포넌트 언마운트 시 폴링이 멈춘다.

상태별 색상 배지

const STATE_META = {
  running: { label: 'Running', color: '#22c55e' },
  exited:  { label: 'Exited',  color: '#ef4444' },
  paused:  { label: 'Paused',  color: '#f59e0b' },
  created: { label: 'Created', color: '#6b7280' },
  dead:    { label: 'Dead',    color: '#991b1b' },
};

SSE 실시간 로그

브라우저 내장 EventSource API를 사용한다. WebSocket보다 단방향 스트리밍에 적합하고 서버 구현도 단순하다.

useEffect(() => {
  const es = new EventSource(getLogUrl(containerId));

  es.onopen = () => setConnected(true);

  es.onmessage = (e) => {
    setLines((prev) => {
      const next = [...prev, e.data];
      // 메모리 관리: 최대 2000줄 유지
      return next.length > 2000 ? next.slice(-2000) : next;
    });
  };

  es.onerror = () => {
    setConnected(false);
    setError('Connection lost.');
    es.close();
  };

  return () => es.close(); // 모달 닫으면 SSE 연결 종료
}, [containerId]);

cleanup에서 es.close()를 빠뜨리면 모달을 닫아도 서버와 연결이 계속 유지된다. 꼭 넣어야 한다.

배포

백엔드 Dockerfile (멀티스테이지 빌드)

FROM eclipse-temurin:17-jdk AS builder
WORKDIR /app
COPY .mvn/ .mvn/
COPY mvnw pom.xml ./
RUN ./mvnw dependency:go-offline -q
COPY src/ src/
RUN ./mvnw package -DskipTests -q

FROM eclipse-temurin:17-jre
WORKDIR /app
COPY --from=builder /app/target/*.jar app.jar
ENTRYPOINT ["java", "-jar", "app.jar"]

프론트엔드 Dockerfile (멀티스테이지 빌드)

FROM node:20-alpine AS build
WORKDIR /app
COPY package.json package-lock.json* ./
RUN npm ci --silent
COPY . .
RUN npm run build

FROM nginx:alpine
COPY --from=build /app/build /usr/share/nginx/html
COPY nginx.conf /etc/nginx/conf.d/default.conf
EXPOSE 80
CMD ["nginx", "-g", "daemon off;"]

nginx.conf — SSE 버퍼링 비활성화가 핵심

server {
    listen 80;
    root /usr/share/nginx/html;
    index index.html;

    location /api/ {
        proxy_pass http://100.109.108.36:28080;
        proxy_http_version 1.1;
        proxy_set_header Connection '';
        proxy_buffering off;       # SSE 필수 설정
        proxy_cache off;
        chunked_transfer_encoding on;
    }

    location / {
        try_files $uri $uri/ /index.html;  # SPA 라우팅
    }
}

proxy_buffering off가 없으면 nginx가 SSE 응답을 버퍼에 쌓았다가 한꺼번에 보내서 실시간성이 깨진다. 삽질 포인트다.

배포 플로우

서버에서 직접 빌드하면 node_modules 설치에 시간이 오래 걸린다. 로컬에서 이미지를 만들고 tar로 전송하는 방식을 선택했다.

# 로컬에서 이미지 빌드
docker build -t dashboard-front ./frontend
docker build -t dashboard-back ./backend

# tar로 저장
docker save dashboard-front | gzip > dashboard-front.tar.gz
docker save dashboard-back | gzip > dashboard-back.tar.gz

# 서버로 전송
scp dashboard-front.tar.gz dashboard-back.tar.gz user@홈서버IP:~/dashboard/

# 서버에서 로드 & 실행
ssh user@홈서버IP
cd ~/dashboard
docker load < dashboard-front.tar.gz
docker load < dashboard-back.tar.gz
docker compose up -d

docker-compose.yml

services:
  dashboard-back:
    image: dashboard-back
    container_name: dashboard-back
    ports:
      - "28080:8080"
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
    restart: unless-stopped

  dashboard-front:
    image: dashboard-front
    container_name: dashboard-front
    ports:
      - "23000:80"
    restart: unless-stopped

백엔드 컨테이너에도 /var/run/docker.sock을 마운트해서 호스트의 Docker 데몬에 접근한다.

구현하면서 신경 쓴 것들

SSE cleanup: useEffect return에서 es.close() 호출 필수. 안 하면 모달 닫아도 연결 유지
메모리 관리: 로그 줄 수를 2000줄로 제한해 장시간 열어둬도 브라우저가 버벅이지 않게 처리
nginx SSE 설정: proxy_buffering off 없으면 로그가 실시간으로 안 온다
zerodep transport: docker-java에서 Unix 소켓 연결 시 반드시 zerodep 사용

Stop 버튼을 누르면 실제로 컨테이너가 정지되는 걸 Portainer에서 교차 확인했다.

마무리

12편에 걸쳐 ThinkPad 노트북 한 대로 홈서버를 구축한 과정을 정리했다.

처음엔 파일 서버 하나 만들려고 시작했는데 어쩌다 보니 사진 관리, 비밀번호 관리, 모니터링, 보안, 자동 백업에 커스텀 대시보드까지 만들어버렸다. 홈서버는 공부할 게 계속 생긴다는 게 가장 큰 장점이자 단점이다.

시리즈 구성

이 구축기는 총 12편으로 구성된다.

노트북으로 홈서버 구축하기 - TLP + thinkfan + Swap 튜닝으로 운영 최적화 (11편)

Thu, 02 Apr 2026 00:00:00 +0000

두 가지 문제

홈서버를 며칠 돌려보니 두 가지가 눈에 띄었다.

Immich 썸네일 생성 같은 작업이 걸리면 CPU 온도가 85°C까지 치솟는다. 24시간 켜두는 서버라 장기적으로 하드웨어에 좋지 않다.
Grafana 대시보드를 보니 RAM 사용률이 38%인데 Swap을 26%나 사용하고 있었다. RAM이 절반도 안 찼는데 Swap을 쓰는 건 비정상이다.

두 문제를 각각 TLP + thinkfan, swappiness 튜닝으로 해결했다.

1부: TLP + thinkfan으로 온도 낮추기

TLP 설치

TLP는 Linux용 전력 관리 도구다. 설치만 해도 기본값으로 어느 정도 효과가 있고, ThinkPad에 맞게 튜닝하면 훨씬 효과적이다.

sudo apt install tlp tlp-rdw -y
sudo tlp start

설치 확인:

sudo tlp-stat -s

--- TLP 1.6.1 --------------------------------------------
+++ TLP Status
State          = enabled
Mode           = AC
Power source   = AC

TLP 튜닝

sudo vi /etc/tlp.conf

아래 항목을 찾아서 주석 해제 후 값을 수정한다.

CPU_SCALING_GOVERNOR_ON_AC=powersave
CPU_ENERGY_PERF_POLICY_ON_AC=balance_power
CPU_BOOST_ON_AC=0
PLATFORM_PROFILE_ON_AC=balanced

핵심은 CPU_BOOST_ON_AC=0이다. 터보 부스트를 끄는 것만으로도 온도가 10~20°C 내려간다. 홈서버 용도에서는 최대 성능이 필요한 순간이 거의 없기 때문에 체감 성능 저하도 없다.

sudo tlp start

thinkfan 설치

thinkfan은 온도 구간별로 팬 속도를 직접 제어하는 도구다. ThinkPad 기본 팬 제어보다 세밀하게 조절할 수 있다.

sudo apt install thinkfan -y

thinkpad_acpi 팬 제어 권한 활성화:

echo "options thinkpad_acpi fan_control=1" | sudo tee /etc/modprobe.d/thinkpad_acpi.conf
sudo modprobe -r thinkpad_acpi
sudo modprobe thinkpad_acpi fan_control=1

센서 경로 확인:

find /sys/devices -name "temp*_input" 2>/dev/null

ThinkPad CPU 온도 센서는 보통 아래 경로에 있다.

/sys/devices/platform/thinkpad_hwmon/hwmon/hwmon4/temp1_input

hwmon 뒤의 숫자는 환경마다 다를 수 있으니 직접 확인하자.

thinkfan 설정

sudo vi /etc/thinkfan.conf

sensors:
  - hwmon: /sys/devices/platform/thinkpad_hwmon/hwmon/hwmon4/temp1_input

fans:
  - tpacpi: /proc/acpi/ibm/fan

levels:
  - [0, 0, 55]
  - [1, 50, 60]
  - [2, 55, 65]
  - [3, 60, 70]
  - [4, 65, 75]
  - [5, 70, 80]
  - [7, 75, 255]

레벨	온도 구간	동작
0	~55°C	팬 정지
1	50~60°C	최저속
2	55~65°C	저속
3	60~70°C	중저속
4	65~75°C	중속
5	70~80°C	고속
7	75°C~	최대속

서비스 시작:

sudo systemctl enable thinkfan
sudo systemctl start thinkfan
sudo systemctl status thinkfan

온도 개선 결과

	적용 전	적용 후
CPU 온도 (풀로드)	85°C	55~66°C
팬 RPM	3600 RPM	1800 RPM
GPU 온도	79°C	48~59°C

TLP 터보 부스트 비활성화만으로도 약 20~30°C 온도가 내려갔다. 24시간 상시 운영 환경에서는 성능보다 안정성이 중요하기 때문에 이 설정이 최적이다.

부팅 시 자동 적용 확인

sudo systemctl is-enabled tlp
sudo systemctl is-enabled thinkfan
# 둘 다 "enabled" 출력되면 정상

2부: swappiness 튜닝

문제 발견

Grafana 대시보드를 보다가 이상한 걸 발견했다.

RAM 사용률은 37.8%인데 Swap을 26%나 쓰고 있었다. Swap은 SSD를 메모리처럼 쓰는 거라 RAM보다 훨씬 느리다. 불필요하게 Swap을 쓰면 전체 성능이 저하된다.

swappiness란?

vm.swappiness는 커널이 얼마나 적극적으로 Swap을 사용할지 결정하는 값이다.

값	설명	적합한 환경
0	Swap 거의 사용 안 함	RAM이 매우 넉넉한 서버
10	RAM 거의 다 찰 때만 Swap 사용	홈서버, 일반 서버
60	Ubuntu 기본값	데스크탑
100	적극적으로 Swap 사용	RAM이 매우 부족한 환경

Ubuntu 기본값이 60인데, 홈서버처럼 RAM이 충분한 환경에서는 너무 높다.

튜닝 적용

즉시 적용:

sudo sysctl vm.swappiness=10

재부팅 후에도 유지:

echo "vm.swappiness=10" | sudo tee -a /etc/sysctl.conf

적용 확인:

cat /proc/sys/vm/swappiness
# 10

기존 Swap에 올라간 데이터를 RAM으로 옮겨서 효과를 바로 확인한다.

sudo swapoff -a && sudo swapon -a

튜닝 결과

기존 26%가량 사용하던 Swap이 7%대로 떨어진 것을 확인할 수 있다.

정리

온도 관리:

TLP CPU_BOOST_ON_AC=0 하나로 온도 20~30°C 감소
thinkfan으로 팬 커브를 직접 제어해서 불필요한 소음 줄임
홈서버는 성능보다 안정성이 중요하므로 터보 부스트 끄는 게 최선

Swap 튜닝:

Ubuntu 기본값 swappiness=60은 데스크탑 기준, 서버는 10이 적합
swapoff -a && swapon -a로 기존 Swap 데이터를 RAM으로 즉시 이동 가능
한 줄 설정으로 전반적인 시스템 응답성 개선

다음 편에서는 Portainer 대신 Spring Boot + React로 직접 만든 컨테이너 대시보드를 다룬다. SSE를 이용한 실시간 로그 스트리밍이 핵심이다.

노트북으로 홈서버 구축하기 - PostgreSQL 자동 백업 (pg_dump + cron) (10편)

Wed, 01 Apr 2026 00:00:00 +0000

왜 백업이 필요한가

Immich에 사진을 올리기 시작하면서 DB가 날아가면 복구할 방법이 없다는 게 갑자기 걱정됐다. 사진 원본은 /mnt/data에 있으니 파일은 살아있더라도 Immich DB가 날아가면 앨범, 태그, 얼굴 인식 데이터가 전부 사라진다.

백업 전략은 단순하게 잡았다.

대상	방법	위치
Immich DB	pg_dumpall	`/backup/immich_db_YYYYMMDD.sql`
사진 원본	추후 rsync 추가 예정	외장하드 구매 후

OS SSD에 204GB 여유가 있어서 DB 덤프는 우선 거기에 보관한다.

백업 디렉토리 생성

sudo mkdir -p /backup
sudo chown your-username:your-username /backup

chown으로 소유권을 넘겨줘야 한다. 처음에 sudo mkdir만 하고 스크립트를 실행했더니 아래 에러가 났다.

cannot create /backup/immich_db_20260329.sql: Permission denied

백업 스크립트 작성

mkdir ~/backup_script
vi ~/backup_script/postgres_immich_backup.sh

#!/bin/bash

BACKUP_DIR="/backup"
DATE=$(date +%Y%m%d)

mkdir -p $BACKUP_DIR

# DB 덤프 백업
echo "pg_dump 시작..."
docker exec immich_postgres pg_dumpall -U postgres > $BACKUP_DIR/immich_db_$DATE.sql

# 7일치만 보관 (오래된 것 삭제)
find $BACKUP_DIR -name "immich_db_*.sql" -mtime +7 -delete

echo "백업 완료: $DATE"

docker exec으로 immich_postgres 컨테이너 안에서 pg_dumpall을 실행해서 결과를 파일로 저장한다. 컨테이너가 실행 중이면 별도 설치 없이 바로 쓸 수 있다.

find ... -mtime +7 -delete 로 7일이 지난 백업 파일은 자동으로 삭제한다. 무한정 쌓이면 디스크가 금방 찬다.

실행 권한 부여:

chmod +x ~/backup_script/postgres_immich_backup.sh

테스트 실행

sh ~/backup_script/postgres_immich_backup.sh

pg_dump 시작...
백업 완료: 20260329

백업 파일 확인:

ls -lh /backup/

cron 등록

매일 새벽 3시에 자동 실행되도록 cron에 등록한다.

crontab -e

아래 내용 추가:

0 3 * * * /home/your-username/backup_script/postgres_immich_backup.sh >> /backup/backup.log 2>&1

등록 확인:

crontab -l

로그는 /backup/backup.log에 쌓이니 문제가 생기면 여기서 확인하면 된다.

7일 보관 정책

find $BACKUP_DIR -name "immich_db_*.sql" -mtime +7 -delete

스크립트 안에 이 한 줄이 있어서 7일이 지난 백업 파일은 매일 자동으로 정리된다. 7일치 보관 시 필요한 용량은 DB 크기에 따라 다른데, Immich DB는 사진 수가 늘어도 원본 파일은 /mnt/data에 따로 있으니 DB 자체는 수백 MB 수준이다.

추후 개선 계획

외장하드를 구매하면 rsync로 사진 원본도 자동 백업할 예정이다.

# 라이브러리 rsync (외장하드 마운트 후 추가)
rsync -av --delete /mnt/data/immich/photos/ /mnt/backup/immich/photos/

정리

docker exec으로 컨테이너 안의 pg_dumpall을 실행하면 별도 PostgreSQL 설치 없이 백업 가능
/backup 디렉토리는 chown으로 소유권 설정 필수
find -mtime +7 -delete로 오래된 백업 자동 정리
cron 로그를 파일로 남겨두면 백업 실패 여부를 나중에 확인할 수 있다

다음 편에서는 TLP + thinkfan으로 CPU 온도를 85°C에서 55°C로 낮추고, swappiness 튜닝으로 불필요한 Swap 사용을 줄인 과정을 다룬다.

노트북으로 홈서버 구축하기 - certbot --expand로 SSL 서브도메인 추가하기 (9편)

Tue, 31 Mar 2026 00:00:00 +0000

문제 상황

처음 SSL 인증서를 발급할 때 메인 도메인만 포함해서 발급했다.

certbot certonly --nginx -d yourdomain.com

이후 서비스가 하나씩 늘어나면서 서브도메인이 추가됐는데, 브라우저에서 photo.yourdomain.com에 접속하면 아래 에러가 발생했다.

NET::ERR_CERT_COMMON_NAME_INVALID
연결이 비공개로 설정되어 있지 않습니다.

인증서에 photo.yourdomain.com이 포함돼 있지 않아서 생기는 문제였다.

해결: –expand 옵션

기존 인증서에 서브도메인을 추가할 때는 --expand 플래그를 써야 한다.

--expand 없이 서브도메인을 추가하려고 하면 아래 에러가 난다.

Missing command line flag or config entry for this setting:
You have an existing certificate that contains a portion of the domains you requested.
It contains these names: yourdomain.com
You requested these names for the new certificate: yourdomain.com, photo.yourdomain.com
Do you want to expand and replace this existing certificate with the new certificate?
(You can set this with the --expand flag)

certbot이 친절하게 --expand 쓰라고 안내해주긴 한다.

셸 스크립트로 관리

서브도메인이 추가될 때마다 명령어를 직접 치는 건 번거롭다. 스크립트로 관리하면 나중에 도메인 하나 추가할 때 -d 줄만 늘리면 된다.

#!/bin/bash
DOMAIN="yourdomain.com"
EMAIL="your@email.com"
SSL_DIR="/ssl"

certbot certonly --nginx \
  --non-interactive \
  --agree-tos \
  --expand \
  --email $EMAIL \
  -d $DOMAIN \
  -d photo.$DOMAIN \
  -d files.$DOMAIN \
  -d vault.$DOMAIN \
  --config-dir $SSL_DIR \
  --work-dir $SSL_DIR/work \
  --logs-dir $SSL_DIR/logs

if [ $? -ne 0 ]; then
    echo "인증서 발급 실패"
    exit 1
fi

echo "인증서 발급 성공"
nginx -t && systemctl restart nginx

옵션	설명
`--expand`	기존 인증서에 새 도메인 추가
`--non-interactive`	사용자 입력 없이 자동 실행
`--agree-tos`	서비스 약관 자동 동의
`-d`	인증서에 포함할 도메인 (여러 개 가능)

새 서브도메인이 생길 때마다 -d newservice.$DOMAIN \ 한 줄만 추가하고 스크립트를 실행하면 된다.

인증서 확인

발급 후 포함된 도메인 목록 확인:

certbot certificates --config-dir /ssl

인증서에 서브도메인이 모두 포함된 것을 확인할 수 있다. 브라우저에서 접속하면 자물쇠 아이콘을 클릭해서 인증서에 포함된 도메인 목록을 직접 확인할 수 있다.

자동 갱신 설정

Let’s Encrypt 인증서는 90일마다 갱신해야 한다. cron으로 자동화해뒀다.

crontab -e

0 3 1 */2 * certbot renew --config-dir /ssl --work-dir /ssl/work --logs-dir /ssl/logs && nginx -s reload

60일마다 새벽 3시에 갱신 시도한다. 갱신 후 Nginx를 리로드해서 새 인증서를 바로 적용한다.

정리

기존 인증서에 서브도메인 추가할 때는 반드시 --expand 플래그 사용
서브도메인 관리를 스크립트로 해두면 나중에 도메인 추가가 편하다
cron으로 자동 갱신 설정해두면 인증서 만료 걱정이 없다

다음 편에서는 Immich PostgreSQL DB를 매일 새벽 자동으로 백업하는 스크립트를 만든다.

노트북으로 홈서버 구축하기 - Fail2ban으로 SSH 브루트포스 공격 차단하기 (8편)

Mon, 30 Mar 2026 00:00:00 +0000

얼마나 많이 들어오나

OCI 서버는 공인 IP가 직접 노출돼 있어서 설치 직후부터 SSH 로그인 시도가 들어온다. auth.log를 열어봤다가 깜짝 놀랐다.

sudo grep "Failed password" /var/log/auth.log | tail -20

Invalid user admin, Invalid user guest, Invalid user root 같은 로그가 수분 간격으로 끊임없이 들어오고 있었다. 전 세계 봇들이 24시간 SSH 로그인을 시도하는 것이다. 방치하면 언젠가 뚫릴 수 있고, 서버 리소스도 낭비된다.

Fail2ban이란?

로그 파일을 모니터링하다가 일정 횟수 이상 로그인에 실패한 IP를 자동으로 방화벽에서 차단하는 도구다.

설치만 해도 SSH 기본 보호 즉시 적용
iptables와 연동해서 IP 차단
일정 시간 후 자동으로 차단 해제
SSH 외에도 Nginx, Apache 등 다양한 서비스 보호 가능

설치

sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
sudo systemctl status fail2ban

설치 직후부터 기본 SSH 보호가 바로 적용된다.

설정

Fail2ban 기본 설정은 /etc/fail2ban/jail.conf에 있지만 이 파일은 직접 수정하지 않는다. 업데이트 시 덮어씌워질 수 있기 때문이다. 대신 jail.local을 만들어서 오버라이드한다.

sudo vi /etc/fail2ban/jail.local

[DEFAULT]
# 차단에서 제외할 IP (내 Tailscale IP 등)
ignoreip = 127.0.0.1/8 ::1

# 차단 지속 시간: 기본 10분 → 1시간
bantime = 3600

# 몇 초 동안 실패 횟수를 카운트할지
findtime = 600

# 몇 번 실패하면 차단할지
maxretry = 5

[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

항목	기본값	변경값	설명
bantime	600초	3600초	차단 지속 시간
findtime	600초	600초	실패 횟수 카운트 기간
maxretry	5회	5회	차단 기준 실패 횟수

설정 적용:

sudo systemctl restart fail2ban

⚠️ 설정 전에 반드시 자신의 IP를 ignoreip에 추가해둘 것. 실수로 자신의 IP가 차단되면 SSH 접속이 불가능해진다.

반복 공격자 장기 차단 (recidive)

같은 IP가 여러 번 차단됐다 풀리면 또 시도하는 경우가 있다. recidive jail을 활성화하면 반복 공격자를 장기간 차단할 수 있다.

jail.local에 추가:

[recidive]
enabled = true
logpath = /var/log/fail2ban.log
banaction = %(banaction_allports)s
bantime = 604800   ; 7일
findtime = 86400   ; 1일
maxretry = 3       ; 하루에 3번 차단되면 7일 차단

Nginx 보호

OCI에서 Nginx 리버스 프록시를 운영하고 있으니 HTTP 레벨 공격도 막을 수 있다.

[nginx-http-auth]
enabled = true
port = http,https
logpath = /var/log/nginx/error.log

[nginx-botsearch]
enabled = true
port = http,https
logpath = /var/log/nginx/access.log
maxretry = 2

차단 현황 확인

# 전체 jail 상태
sudo fail2ban-client status

# SSH jail 상세
sudo fail2ban-client status sshd

Status for the jail: sshd
|- Filter
|  |- Currently failed: 3
|  |- Total failed:     1284
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 12
   |- Total banned:     87
   `- Banned IP list:   185.156.73.233 139.19.117.130 ...

실시간 로그 확인:

sudo tail -f /var/log/fail2ban.log

2026-03-29 22:48:33 INFO [sshd] Ban 193.46.255.86
2026-03-29 22:52:33 INFO [sshd] Ban 185.156.73.233
2026-03-29 23:01:15 INFO [sshd] Ban 139.19.117.130

IP 수동 차단/해제

# 수동 차단
sudo fail2ban-client set sshd banip 1.2.3.4

# 차단 해제 (내 IP 실수로 차단됐을 때)
sudo fail2ban-client set sshd unbanip 1.2.3.4

차단 목록 확인

이후 시간이 조금 지나고 확인해보니, 정상적으로 잘 차단하고 있는 걸 확인할 수 있다.

설치 전후 비교

	설치 전	설치 후
auth.log	Failed password 수천 줄	차단된 IP는 시도 자체가 안 됨
서버 부하	SSH 시도로 인한 불필요한 부하	최소화
보안	브루트포스 공격에 노출	자동 차단

정리

클라우드 서버를 운영한다면 Fail2ban은 선택이 아니라 필수다. 설치 자체는 5분이면 되고, 기본 설정만으로도 대부분의 브루트포스 공격을 막을 수 있다. recidive jail까지 설정해두면 반복 공격자를 장기간 차단해서 더욱 안전하게 운영할 수 있다.

다음 편에서는 서비스가 늘어나면서 기존 SSL 인증서에 서브도메인을 추가하는 방법을 다룬다.

노트북으로 홈서버 구축하기 - Grafana + Prometheus로 서버 모니터링하기 (7편)

Sun, 29 Mar 2026 00:00:00 +0000

구성 개요

모니터링 스택은 세 가지로 구성된다.

Prometheus — 메트릭 수집 및 저장
Grafana — 대시보드 시각화
Node Exporter — 서버 시스템 메트릭 노출 (CPU, RAM, 디스크, 네트워크 등)

Prometheus와 Grafana는 홈서버에서 Docker로 실행하고, Node Exporter는 홈서버와 OCI 서버 양쪽에 systemd로 설치했다. 두 서버가 Tailscale VPN으로 연결돼 있으니 Prometheus가 VPN을 통해 OCI 메트릭도 수집할 수 있다.

서비스	포트
Prometheus	19090
Grafana	13000
Node Exporter	19100

1. 디렉토리 생성

mkdir ~/monitoring && cd ~/monitoring

2. docker-compose.yml 작성

services:
  prometheus:
    image: prom/prometheus:latest
    container_name: prometheus
    restart: unless-stopped
    ports:
      - "19090:9090"
    volumes:
      - ./prometheus.yml:/etc/prometheus/prometheus.yml:ro
      - prometheus_data:/prometheus
    command:
      - '--config.file=/etc/prometheus/prometheus.yml'
      - '--storage.tsdb.path=/prometheus'
      - '--storage.tsdb.retention.time=30d'

  grafana:
    image: grafana/grafana:latest
    container_name: grafana
    restart: unless-stopped
    ports:
      - "13000:3000"
    volumes:
      - grafana_data:/var/lib/grafana
    environment:
      - GF_SECURITY_ADMIN_PASSWORD=your_password_here
      - GF_SERVER_ROOT_URL=http://100.109.108.36:13000

volumes:
  prometheus_data:
  grafana_data:

version: "3.8" 은 Docker Compose v2부터 obsolete라 생략했다. 넣어도 동작하지만 경고가 뜬다.

3. prometheus.yml 작성

global:
  scrape_interval: 15s
  evaluation_interval: 15s

scrape_configs:
  - job_name: 'thinkpad'
    static_configs:
      - targets: ['100.109.108.36:19100']
        labels:
          instance: 'thinkpad-homeserver'

  - job_name: 'oci'
    static_configs:
      - targets: [':19100']
        labels:
          instance: 'oci-server'

OCI 서버의 Tailscale IP는 OCI에서 아래 명령으로 확인한다.

tailscale ip -4

4. Node Exporter 설치 (홈서버 + OCI 공통)

두 서버 모두 동일하게 진행한다.

wget https://github.com/prometheus/node_exporter/releases/download/v1.8.2/node_exporter-1.8.2.linux-amd64.tar.gz
tar xf node_exporter-1.8.2.linux-amd64.tar.gz
sudo cp node_exporter-1.8.2.linux-amd64/node_exporter /usr/local/bin/
sudo chmod +x /usr/local/bin/node_exporter

systemd 서비스로 등록한다.

sudo tee /etc/systemd/system/node_exporter.service << 'EOF'
[Unit]
Description=Node Exporter
After=network.target

[Service]
Type=simple
User=nobody
ExecStart=/usr/local/bin/node_exporter --web.listen-address=":19100"
Restart=on-failure

[Install]
WantedBy=multi-user.target
EOF

sudo systemctl daemon-reload
sudo systemctl enable node_exporter
sudo systemctl start node_exporter

정상 동작 확인:

sudo systemctl status node_exporter
# active (running) 이 뜨면 성공

status=203/EXEC 에러가 나는 경우 바이너리 복사가 안 된 것이므로 설치 단계부터 다시 진행한다.

5. OCI 방화벽 설정

OCI 서버에서 Node Exporter 포트를 Tailscale 인터페이스에서만 허용한다. 외부에 열면 안 된다.

sudo ufw allow in on tailscale0 to any port 19100
sudo ufw deny 19100

6. 컨테이너 시작

cd ~/monitoring
docker compose up -d
docker compose ps

7. Grafana 초기 설정

브라우저에서 http://100.109.108.36:13000 접속.

초기 계정은 admin이고 비밀번호는 docker-compose.yml에 설정한 GF_SECURITY_ADMIN_PASSWORD 값이다.

볼륨이 이미 생성된 상태에서 환경변수를 바꿔도 적용이 안 된다. 볼륨을 삭제하고 재시작해야 한다.
docker compose down
docker volume rm monitoring_grafana_data
docker compose up -d

Prometheus 데이터소스 연결

Connections → Data sources → Add data source → Prometheus

URL에 http://prometheus:9090 입력 후 Save & test.

컨테이너 이름으로 통신하므로 IP 대신 서비스 이름 사용
포트는 컨테이너 내부 포트인 9090 (외부 포트 19090 아님)

Successfully queried the Prometheus API 가 뜨면 성공이다.

대시보드 Import

Dashboards → Import 에서 ID 1860 입력 후 Load.

Prometheus 데이터소스를 선택하고 Import하면 Node Exporter Full 대시보드가 추가된다. 상단 Job 드롭다운에서 thinkpad / oci를 전환하면 두 서버를 각각 모니터링할 수 있다.

8. 배터리 메트릭 수집 (ThinkPad 전용)

ThinkPad는 배터리가 있으니 powersupplyclass 컬렉터를 추가로 활성화했다.

sudo vi /etc/systemd/system/node_exporter.service

ExecStart 줄 수정:

ExecStart=/usr/local/bin/node_exporter --web.listen-address=":19100" --collector.powersupplyclass

sudo systemctl daemon-reload
sudo systemctl restart node_exporter

수집 확인:

curl http://localhost:19100/metrics | grep power_supply

수집되는 주요 메트릭:

메트릭	내용
`node_power_supply_capacity`	배터리 잔량 (%)
`node_power_supply_online`	어댑터 연결 여부 (1=연결, 0=미연결)
`node_power_supply_power_watt`	현재 소비 전력 (W)
`node_power_supply_cyclecount`	배터리 충방전 횟수

Grafana 배터리 패널 추가

Dashboards → Edit → Add → Visualization

Visualization: Gauge
쿼리: node_power_supply_capacity
Standard options → Unit: Percent (0-100)
Min: 0, Max: 100
Title: Battery

접근 방식

Grafana와 Prometheus는 Portainer와 마찬가지로 외부에 열지 않고 Tailscale VPN 안에서만 접근한다.

Grafana    → http://100.109.108.36:13000 (Tailscale VPN)
Prometheus → http://100.109.108.36:19090 (Tailscale VPN)

모니터링 툴을 외부에 노출하면 서버 내부 정보가 그대로 보이기 때문이다.

정리

Node Exporter를 두 서버에 설치하고 Prometheus가 Tailscale VPN으로 수집하는 구조
OCI의 Node Exporter 포트는 Tailscale 인터페이스에서만 허용할 것
Grafana 데이터소스 URL은 컨테이너 서비스 이름(prometheus:9090)으로 설정
ThinkPad는 --collector.powersupplyclass 옵션으로 배터리 메트릭도 수집 가능

다음 편에서는 OCI 서버 auth.log에 쌓인 SSH 브루트포스 공격을 Fail2ban으로 자동 차단하는 방법을 다룬다.

노트북으로 홈서버 구축하기 - Portainer CE로 Docker GUI 관리하기 (6편)

Sat, 28 Mar 2026 00:00:00 +0000

왜 Portainer인가

Filebrowser, Immich, Vaultwarden, Prometheus, Grafana… 서비스가 하나씩 늘어나다 보니 컨테이너가 어느새 8개가 넘었다. 매번 SSH 접속해서 docker ps, docker logs, docker compose restart 치는 게 점점 번거로워졌다.

Portainer CE는 Docker를 웹 UI로 관리할 수 있는 오픈소스 도구다. 컨테이너 시작/중지/재시작, 실시간 로그 확인, 볼륨/네트워크 관리까지 브라우저에서 다 된다. CE(Community Edition)는 무료다.

설치

1. 디렉토리 생성

mkdir -p ~/portainer && cd ~/portainer

2. docker-compose.yml 작성

services:
  portainer:
    image: portainer/portainer-ce:latest
    container_name: portainer
    restart: always
    ports:
      - "19000:9000"
      - "18000:8000"
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
      - portainer_data:/data

volumes:
  portainer_data:

핵심은 /var/run/docker.sock을 마운트하는 것이다. 이를 통해 Portainer가 호스트의 Docker 데몬에 직접 접근할 수 있다.

포트는 기존 서비스들과 충돌하지 않도록 10000번대로 설정했다.

포트	용도
19000	Portainer 웹 UI
18000	Edge Agent 터널 (원격 환경 연결용)

3. 실행

docker compose up -d

4. 초기 설정

브라우저에서 http://100.109.108.36:19000 접속 후 admin 계정을 생성한다.

⚠️ 컨테이너 실행 후 5분 이내에 초기 계정을 만들어야 한다. 시간이 지나면 보안상 접근이 차단되므로 docker compose restart portainer로 재시작해야 한다.

결과

설치 후 현재 홈서버에서 실행 중인 모든 컨테이너를 한눈에 볼 수 있다.

컨테이너	상태
filebrowser	healthy ✅
grafana	running ✅
immich_machine_learning	healthy ✅
immich_postgres	healthy ✅
immich_redis	healthy ✅
immich_server	healthy ✅
portainer	running ✅
prometheus	running ✅

컨테이너별로 로그 확인, 시작/중지, 환경변수, 마운트 볼륨 정보까지 GUI에서 바로 볼 수 있다.

접근 방식

Portainer는 Docker 소켓에 직접 접근하는 민감한 도구라 외부에 열지 않고 Tailscale VPN 안에서만 접근한다.

Portainer UI → http://100.109.108.36:19000 (Tailscale VPN으로만 접근)

Nginx 리버스 프록시로 외부에 노출하지 않는다. 누군가 Portainer에 접근하면 서버의 모든 컨테이너를 제어할 수 있기 때문이다.

정리

Docker Compose 파일 하나로 설치가 끝난다
/var/run/docker.sock 마운트가 핵심
컨테이너 실행 후 5분 안에 초기 계정 생성할 것
보안상 VPN 안에서만 접근하고 외부에는 절대 열지 말 것

다음 편에서는 Prometheus + Grafana + Node Exporter로 홈서버와 OCI 서버를 동시에 모니터링하는 환경을 구성한다.

노트북으로 홈서버 구축하기 - Vaultwarden으로 비밀번호 자체 호스팅하기 (5편)

Fri, 27 Mar 2026 00:00:00 +0000

Vaultwarden이란?

Bitwarden의 오픈소스 서버 구현체다. 공식 Bitwarden 앱, 브라우저 확장 프로그램과 100% 호환되면서, 내 서버에서 직접 운영할 수 있다.

구글 비밀번호 관리자를 쭉 써왔는데, 비밀번호를 외부 서비스에 맡기는 게 항상 마음에 걸렸다. 홈서버가 생겼으니 직접 호스팅하기로 했다.

설치

1. 디렉토리 생성

mkdir -p ~/vaultwarden && cd ~/vaultwarden

2. docker-compose.yml 작성

services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: always
    ports:
      - "11000:80"
    volumes:
      - vaultwarden_data:/data
    environment:
      - DOMAIN=https://vault.yourdomain.com
      - SIGNUPS_ALLOWED=true

volumes:
  vaultwarden_data:

DOMAIN에 실제 접근할 도메인을 설정해야 한다. Vaultwarden이 HTTPS 환경에서 동작한다고 인식해야 브라우저 확장 연동이 정상적으로 된다.

3. 실행

docker compose up -d

OCI Nginx 리버스 프록시 설정

sudo vi /etc/nginx/sites-available/vault.yourdomain.com

server {
    listen 80;
    server_name vault.yourdomain.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name vault.yourdomain.com;

    ssl_certificate     /ssl/live/yourdomain.com/fullchain.pem;
    ssl_certificate_key /ssl/live/yourdomain.com/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;

    location / {
        proxy_pass http://100.109.108.36:11000;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

sudo ln -s /etc/nginx/sites-available/vault.yourdomain.com /etc/nginx/sites-enabled/
sudo nginx -t && sudo systemctl reload nginx

초기 계정 생성

https://vault.yourdomain.com 접속 후 계정을 생성한다.

⚠️ 마스터 비밀번호는 절대 잊으면 안 된다. 서버 관리자도 복구가 불가능하고, 분실하면 저장된 비밀번호 전부 날아간다.

계정 생성 완료 후 신규 가입을 막는다. 혼자 쓰는 서버라 추가 가입이 필요 없다.

docker-compose.yml 수정:

environment:
  - SIGNUPS_ALLOWED=false

docker compose up -d

구글 비밀번호 가져오기

1. 구글 비밀번호 내보내기

passwords.google.com 접속 → 우측 상단 설정(⚙️) → 비밀번호 내보내기 → CSV 다운로드

2. Vaultwarden으로 가져오기

vault.yourdomain.com 로그인 → Tools → Import data

형식: Google Chrome (csv) 선택
다운로드한 CSV 파일 업로드
Import 클릭

⚠️ CSV 파일에 비밀번호가 평문으로 들어있다. 가져오기 완료 후 즉시 삭제할 것.

브라우저 확장 연동

크롬 웹스토어에서 Bitwarden 확장 프로그램을 설치한다.

확장 아이콘 클릭 → 로그인 화면 좌측 상단 지구본 아이콘 클릭 → Self-hosted 선택

Server URL에 https://vault.yourdomain.com 입력 후 Save.

이후 Vaultwarden 계정으로 로그인하면 기존 구글 자동완성과 동일하게 사이트마다 비밀번호를 자동완성해준다.

정리

Vaultwarden은 Bitwarden과 완전 호환이라 앱, 확장 프로그램 그대로 쓸 수 있다
DOMAIN 환경변수를 HTTPS 도메인으로 설정해야 브라우저 확장이 정상 동작한다
계정 생성 후 SIGNUPS_ALLOWED=false로 꼭 닫아두자
마스터 비밀번호 분실 시 복구 방법이 없으므로 안전하게 보관할 것

다음 편에서는 Portainer CE를 설치해서 Docker 컨테이너를 GUI로 관리하는 환경을 구성한다.

노트북으로 홈서버 구축하기 - Immich로 구글 포토 대체하기 (4편)

Thu, 26 Mar 2026 00:00:00 +0000

Immich란?

구글 포토와 거의 동일한 UX를 제공하는 자체 호스팅 사진 관리 서비스다. 얼굴 인식, 지도 뷰, 앨범, 공유 기능까지 있고 모바일 앱도 있어서 자동 백업이 된다. 구글 포토 유료 요금제를 쓰고 있었는데 이걸로 완전히 대체했다.

설치 과정

1. 디렉토리 생성

mkdir ~/immich && cd ~/immich

2. docker-compose.yml 및 .env 다운로드

Immich 공식에서 제공하는 파일을 그대로 받아서 쓴다.

wget -O docker-compose.yml https://github.com/immich-app/immich/releases/latest/download/docker-compose.yml
wget -O .env https://github.com/immich-app/immich/releases/latest/download/example.env

3. .env 파일 수정

vi .env

아래 두 경로를 수정한다.

UPLOAD_LOCATION=/mnt/data/immich/photos
DB_DATA_LOCATION=/home/your-username/immich-db

DB_DATA_LOCATION을 /mnt/data(NTFS) 아래로 잡으면 안 된다. 이유는 아래 트러블슈팅에서 설명한다.

4. 실행

docker compose up -d

트러블슈팅

설치 과정에서 꽤 여러 번 막혔다. 겪은 순서대로 정리한다.

1. `docker compose up -d` — unknown shorthand flag 오류

unknown shorthand flag: 'd' in -d

apt install docker.io로 설치한 패키지가 구버전이라 docker compose 플러그인을 지원하지 않아서 생기는 문제다.

해결: Docker 공식 레포에서 설치한다.

sudo apt install ca-certificates curl gnupg -y
sudo install -m 0755 -d /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg
echo "deb [arch=amd64 signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu noble stable" | sudo tee /etc/apt/sources.list.d/docker.list
sudo apt update
sudo apt install docker-compose-plugin -y

2. Compose 파일 버전 오류

ERROR: The Compose file './docker-compose.yml' is invalid because:
'name' does not match any of the regexes: '^x-'

apt install docker-compose로 설치한 구버전(1.29.x)은 최신 Compose 파일 형식을 지원하지 않는다.

해결: 구버전 제거 후 플러그인 버전으로 교체한다.

sudo apt remove docker-compose -y
sudo apt install docker-compose-plugin -y

3. `docker-compose-plugin` 패키지를 찾을 수 없음

E: Unable to locate package docker-compose-plugin

Ubuntu 기본 레포에는 docker-compose-plugin이 없다.

해결: 1번 해결 방법에서 Docker 공식 레포를 먼저 추가하면 된다.

4. immich_postgres 컨테이너가 계속 재시작됨

컨테이너 상태를 확인해보면 Restarting 상태로 계속 재시작만 반복한다.

docker logs immich_postgres

FATAL:  data directory "/var/lib/postgresql/data" has wrong ownership
HINT:  The server must be started by the user that owns the data directory.

원인: DB_DATA_LOCATION을 /mnt/data(NTFS) 경로로 설정했기 때문이다. NTFS는 Linux 파일 권한 시스템을 지원하지 않아서 PostgreSQL이 요구하는 소유권을 설정할 수 없다.

해결: DB 경로를 ext4 파일시스템(Ubuntu 기본 디스크)으로 바꾼다.

docker compose down
mkdir -p ~/immich-db
vi .env

.env 수정:

DB_DATA_LOCATION=/home/your-username/immich-db

docker compose up -d

사진 원본(UPLOAD_LOCATION)은 용량이 크니까 NTFS 드라이브에 둬도 되지만, DB는 반드시 ext4에 둬야 한다.

정상 실행 확인

docker compose ps

모든 컨테이너가 running 또는 healthy 상태면 성공이다.

브라우저에서 http://100.109.108.36:2283 접속 후 계정을 생성하면 된다.

OCI Nginx 리버스 프록시 연결

3편에서 Filebrowser에 했던 것과 동일하게 Nginx 설정을 추가한다.

server {
    listen 80;
    server_name photo.yourdomain.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name photo.yourdomain.com;

    ssl_certificate     /ssl/live/yourdomain.com/fullchain.pem;
    ssl_certificate_key /ssl/live/yourdomain.com/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;

    # Immich는 대용량 파일 업로드가 있으므로 크기 제한 해제
    client_max_body_size 0;

    location / {
        proxy_pass http://100.109.108.36:2283;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;

        # 웹소켓 지원 (Immich 실시간 업로드에 필요)
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }
}

Cloudflare에서 photo.yourdomain.com DNS 추가하고 Nginx 적용하면 외부에서 접근 가능하다.

정리

docker.io는 구버전이라 최신 Compose 파일을 못 읽는다. Docker 공식 레포에서 설치하자
PostgreSQL 데이터 디렉토리는 NTFS가 아닌 ext4에 둬야 한다
사진 원본은 NTFS 외장 드라이브, DB는 OS 디스크로 분리하면 된다
Immich Nginx 설정 시 client_max_body_size 0과 웹소켓 설정을 빠뜨리지 말 것

다음 편에서는 Vaultwarden으로 비밀번호를 자체 호스팅하는 과정을 다룬다.

노트북으로 홈서버 구축하기 - 외장 SSD 마운트 + Filebrowser 원격 파일 관리 (3편)

Wed, 25 Mar 2026 00:00:00 +0000

외장 SSD 마운트

집에 1TB SSD가 남아있어서 홈서버 스토리지로 활용하기로 했다. 기존에 Windows에서 쓰던 드라이브라 NTFS 포맷이다.

디스크 확인

lsblk

어떤 디바이스명으로 잡혔는지 확인한다.

파티션 포맷 확인:

sudo blkid /dev/nvme1n1p2

NTFS로 확인됐으니 마운트를 진행한다.

마운트

sudo apt install ntfs-3g -y
sudo mkdir /mnt/data
sudo mount /dev/nvme1n1p2 /mnt/data

마운트 후 확인해보니 Could not mount read-write, trying read-only 메시지가 떴다. 읽기 전용으로 마운트된 것이다. Windows에서 쓰던 드라이브라 더티 플래그가 남아있어서 발생하는 문제다.

읽기/쓰기 가능하도록 재마운트

sudo umount /mnt/data
sudo ntfsfix /dev/nvme1n1p2
sudo mount /dev/nvme1n1p2 /mnt/data

ntfsfix로 더티 플래그를 제거하고 다시 마운트하면 읽기/쓰기가 모두 가능해진다.

심볼릭 링크 생성

홈 디렉토리에서 편하게 접근하기 위해 심볼릭 링크를 만들어둔다.

ln -s /mnt/data ~/data

Samba 설정

파일 탐색기에서 네트워크 드라이브처럼 접근하고 싶다면 Samba를 설치하면 된다.

sudo apt install samba -y

Samba 사용자 등록:

sudo smbpasswd -a your-username

설정 파일에 공유 디렉토리 추가:

sudo vi /etc/samba/smb.conf

파일 맨 아래에 아래 내용을 추가한다.

[data]
   path = /mnt/data
   browseable = yes
   read only = no
   valid users = your-username

Samba 서비스 재시작:

sudo systemctl restart smbd

이제 Windows 파일 탐색기 주소창에 \\100.109.108.36\data를 입력하면 마운트된 SSD에 접근할 수 있다.

다만 이건 파일 탐색기 전용이라 브라우저에서 접근하려면 Filebrowser를 써야 한다.

Docker + Filebrowser 설치

Docker 설치

# Docker 공식 레포 추가
sudo apt install ca-certificates curl gnupg -y
sudo install -m 0755 -d /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg
echo "deb [arch=amd64 signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu noble stable" | sudo tee /etc/apt/sources.list.d/docker.list
sudo apt update
sudo apt install docker-ce docker-ce-cli containerd.io docker-compose-plugin -y

root가 아닌 일반 계정으로 Docker를 사용하려면:

sudo usermod -aG docker $USER
# 재로그인 후 적용

Filebrowser 실행

docker run -d \
  --name filebrowser \
  --restart always \
  -v /mnt/data:/srv \
  -p 9090:80 \
  filebrowser/filebrowser

/mnt/data를 컨테이너 안의 /srv로 마운트해서 Filebrowser가 SSD 전체를 서빙하도록 했다.

초기 로그인

브라우저에서 http://100.109.108.36:9090 접속. 초기 계정은 admin / admin이라고 알려져 있는데 접속이 안 됐다.

docker logs filebrowser

로그를 확인해보니 랜덤으로 생성된 비밀번호가 출력돼 있었다. 그 비밀번호로 접속하면 된다.

OCI Nginx 리버스 프록시 + SSL

VPN 없이도 외부에서 브라우저로 접근하려면 OCI Nginx에 리버스 프록시를 설정해야 한다.

Cloudflare DNS 추가

Cloudflare에서 files.yourdomain.com 서브도메인을 OCI 공인 IP로 추가한다.

Nginx 설정

OCI 서버에서 /etc/nginx/sites-available/files.yourdomain.com 파일을 생성한다.

처음엔 HTTP만 설정했는데, files.yourdomain.com으로 접속하면 계속 메인 도메인으로 리다이렉트되는 문제가 있었다. SSL 인증서를 안 걸어줘서 생기는 문제였다.

최종 설정:

server {
    listen 80;
    server_name files.yourdomain.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name files.yourdomain.com;

    ssl_certificate     /ssl/live/yourdomain.com/fullchain.pem;
    ssl_certificate_key /ssl/live/yourdomain.com/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;

    location / {
        proxy_pass http://100.109.108.36:9090;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

심볼릭 링크 생성 후 적용:

sudo ln -s /etc/nginx/sites-available/files.yourdomain.com /etc/nginx/sites-enabled/
sudo nginx -t && sudo systemctl reload nginx

proxy_pass에 Tailscale VPN IP를 쓰는 게 핵심이다. OCI와 홈서버가 같은 Tailscale 네트워크 안에 있기 때문에 가능한 구성이다.

이제 VPN 없이 files.yourdomain.com으로 접속해서 홈서버의 파일을 관리할 수 있다.

정리

NTFS 드라이브는 ntfsfix로 더티 플래그 제거 후 마운트해야 읽기/쓰기가 된다
Samba는 파일 탐색기 접근용, Filebrowser는 브라우저 접근용
OCI Nginx 리버스 프록시 + Tailscale VPN 조합으로 홈서버를 외부에 안전하게 노출할 수 있다

다음 편에서는 Immich를 설치해서 구글 포토를 대체하는 과정을 다룬다.

노트북으로 홈서버 구축하기 - Ubuntu Server 설치 + Tailscale VPN (2편)

Tue, 24 Mar 2026 16:00:00 +0900

OS 선택

Windows를 그대로 쓸까, Linux native로 갈까 고민했다. Docker 운영이 메인이고 서버답게 쓰려면 Linux가 맞다. Ubuntu Server 24.04 LTS로 결정했다.

Ubuntu Server 설치

준비물

Ventoy — USB를 부팅 드라이브로 만들어주는 도구다. 일반적인 방식은 ISO를 USB에 굽는 방식인데, Ventoy는 USB 하나에 여러 ISO를 넣고 부팅 시 선택할 수 있어서 훨씬 편하다.

Ventoy 다운로드: https://github.com/ventoy/Ventoy/releases
Ubuntu Server 24.04 LTS ISO 다운로드: https://ubuntu.com/download/server

설치 순서

1. Ventoy2Disk.exe 실행

USB를 꽂고 Ventoy2Disk.exe를 실행한다. 사용할 USB를 선택하고 Install을 누른다.

⚠️ USB에 있는 데이터는 전부 지워지므로 먼저 백업할 것

2. ISO 파일 복사

Install 완료 후 다운로드한 Ubuntu ISO 파일을 USB에 그냥 복사하면 된다.

3. 서버에 USB 꽂고 부팅

Ubuntu를 설치할 노트북에 USB를 꽂고 전원을 켠다. F12를 연타해서 바이오스 부팅 메뉴 진입 후 Ventoy가 설치된 USB를 선택한다.

이후 Ubuntu Server 설치 과정은 안내에 따라 진행하면 된다. 특별히 복잡한 부분은 없다. 파티션은 기본값으로 잡고, SSH 서버 설치 옵션은 체크해두는 게 좋다.

Tailscale VPN 연결

홈서버는 공인 IP가 없어서 외부에서 직접 접근이 안 된다. Tailscale을 사용하면 홈서버와 OCI 인스턴스를 같은 사설 네트워크로 묶을 수 있다.

설치

Ubuntu 설치 후 터미널에서 아래 명령어를 실행한다.

curl -fsSL https://tailscale.com/install.sh | sh

설치 후 활성화:

sudo tailscale up

실행하면 아래처럼 인증 URL이 출력된다.

To authenticate, visit:
    https://login.tailscale.com/a/xxxxxxxxxxxxxxx

URL을 브라우저에서 열어서 Tailscale 계정으로 로그인하면 홈서버가 네트워크에 등록된다.

홈서버 IP 확인

tailscale ip -4

이 IP(예: 100.109.108.36)로 이제 어디서든 홈서버에 SSH 접속이 가능하다.

ssh username@100.109.108.36

OCI 서버에도 동일하게 설치

OCI 인스턴스에도 위 과정을 그대로 반복해서 Tailscale을 설치하면 두 서버가 같은 사설 네트워크로 묶인다.

설정 완료 후 Tailscale 관리 콘솔에서 홈서버와 OCI 서버가 모두 연결된 것을 확인할 수 있다. 이제 OCI에서 홈서버로, 홈서버에서 OCI로 자유롭게 통신이 가능하다.

여기까지의 구성

[내 PC / 스마트폰]
       │  Tailscale VPN
       ▼
[홈서버 ThinkPad] ─── Tailscale VPN ─── [OCI 인스턴스]
  100.109.108.36                           100.x.x.x

Tailscale이 연결된 것만으로도 이미 꽤 쓸만한 환경이 됐다. 이제 어디서든 홈서버에 SSH로 접속해서 작업할 수 있다.

다음 편에서는 외장 SSD를 마운트하고 Filebrowser로 브라우저에서 파일을 관리하는 환경을 구성한다.

노트북으로 홈서버 구축하기 - 왜 홈서버인가? (1편)

Tue, 24 Mar 2026 09:00:00 +0900

왜 홈서버를 만들게 됐나

개인 블로그를 운영하면서 OCI(Oracle Cloud) 무료 인스턴스 하나를 쭉 써왔다. 1 vCPU, 1GB RAM짜리라 Hugo 정적 블로그 서빙에는 충분했는데, 문제는 점점 하고 싶은 게 늘어난다는 것이다.

사진 파일이 쌓이면서 개인 NAS가 필요해졌다
사이드 프로젝트 돌릴 서버가 필요했다
비밀번호 관리도 외부 서비스 말고 직접 하고 싶었다

클라우드로 커버하면 되지 않냐 싶지만, 스토리지가 좀 붙으면 요금이 눈에 띄게 올라간다. 마침 집에 안 쓰는 노트북이 하나 있었고, 거기서부터 홈서버 구축기가 시작됐다.

하드웨어 선택: 데스크탑 대신 노트북

처음엔 집에 있는 데스크탑을 홈서버로 쓸까 생각했다. 그런데 데스크탑을 24시간 켜두면 전기세가 만만치 않다.

마침 Ryzen 5 5600U, RAM 16GB짜리 ThinkPad E15 Gen3가 있었다. 노트북이라 전력 소비가 훨씬 낮고, 배터리가 있어서 정전 시 UPS 역할도 된다. 성능도 홈서버 용도로는 충분하다.

항목	사양
CPU	Ryzen 5 5600U
RAM	16GB
저장장치	256GB SSD (OS/Docker) + 1TB SSD (/mnt/data)
OS	Ubuntu Server 24.04 LTS

유선 랜 포트를 따로 뚫기가 애매해서 일단 와이파이로 연결해서 운영 중이다.

전체 아키텍처

핵심은 세 가지다.

Tailscale VPN — 홈서버는 공인 IP가 없어서 외부에서 직접 접근이 안 된다. Tailscale로 홈서버와 OCI 인스턴스를 같은 사설 네트워크로 묶었다. 이렇게 하면 어디서든 VPN으로 홈서버에 접근할 수 있다.

OCI Nginx 리버스 프록시 — 기존에 Hugo 블로그를 서빙하던 OCI 인스턴스의 Nginx를 리버스 프록시로 활용한다. 외부에서 photo.yourdomain.com으로 접근하면 Nginx가 Tailscale VPN을 통해 홈서버의 Immich로 연결해주는 구조다.

Cloudflare DNS — 도메인 관리는 Cloudflare에서 한다. 서브도메인 추가할 때마다 Cloudflare에서 레코드 하나 추가하고 Nginx 설정 추가하면 끝이다.

운영 중인 서비스

현재 홈서버에서 돌아가는 서비스 목록이다.

포트	서비스	접근 방식
2283	Immich (사진 관리)	도메인 (OCI 프록시)
9090	Filebrowser (파일 관리)	도메인 (OCI 프록시)
11000	Vaultwarden (비밀번호)	도메인 (OCI 프록시)
13000	Grafana (모니터링)	Tailscale VPN
19000	Portainer (Docker GUI)	Tailscale VPN
19090	Prometheus	Tailscale VPN
19100	Node Exporter	내부 수집용
23000	컨테이너 대시보드 (React)	Tailscale VPN
28080	컨테이너 대시보드 (Spring)	Tailscale VPN

Grafana, Portainer처럼 민감한 도구는 VPN 안에서만 접근하고 외부에는 열지 않았다. Docker 소켓에 직접 접근하는 툴을 외부에 노출하면 보안상 위험하기 때문이다.

시리즈 구성

이 구축기는 총 12편으로 구성된다.

다음 편에서는 Ubuntu Server 설치부터 Tailscale VPN 연결까지 다룬다.