클라우드 비용이 아깝고, NAS도 필요하고, 사이드 프로젝트 서버도 있으면 좋겠고. 마침 집에 안 쓰는 ThinkPad가 있었다.

그렇게 시작된 홈서버 구축기가 어느새 12편이 됐다.

최종 구성

• 기기: ThinkPad E15 Gen3 (Ryzen 5 5600U, RAM 16GB)
• OS: Ubuntu Server 24.04 LTS
• 네트워크: Tailscale VPN + OCI Nginx 리버스 프록시
• 도메인: yourdomain.com (Cloudflare)
• 스토리지: 256GB SSD (OS/Docker) + 1TB SSD (/mnt/data, NTFS)

운영 중인 서비스 전체 목록

12편 한눈에 보기

1편 — 왜 홈서버인가? + 전체 아키텍처

→ 보러가기

클라우드 대신 홈서버를 선택한 이유와 Tailscale + OCI + Cloudflare로 구성한 전체 아키텍처를 소개한다.

2편 — Ubuntu Server 설치 + Tailscale VPN

→ 보러가기

Ventoy로 Ubuntu Server 24.04를 설치하고, Tailscale VPN으로 홈서버와 OCI 인스턴스를 하나의 사설 네트워크로 묶었다.

3편 — 외장 SSD 마운트 + Filebrowser 원격 파일 관리

→ 보러가기

NTFS 외장 SSD를 마운트하고 ntfsfix로 읽기/쓰기 문제를 해결했다. Docker로 Filebrowser를 띄워서 브라우저에서 파일을 관리할 수 있게 됐다.

4편 — Immich로 구글 포토 대체하기

→ 보러가기

Docker Compose 설치 과정에서 구버전 docker, NTFS 권한 문제 등 4가지 트러블슈팅을 겪었다. DB는 반드시 ext4에 둬야 한다.

5편 — Vaultwarden으로 비밀번호 자체 호스팅

→ 보러가기

구글 비밀번호를 CSV로 내보내서 Vaultwarden으로 이전했다. Bitwarden 브라우저 확장과 연동하면 기존과 사용감이 동일하다.

6편 — Portainer CE로 Docker GUI 관리

→ 보러가기

컨테이너가 8개를 넘어가면서 CLI 관리가 한계에 달했다. Portainer CE로 웹 UI에서 컨테이너를 관리한다. 보안상 VPN 안에서만 접근한다.

7편 — Grafana + Prometheus로 홈서버 모니터링

→ 보러가기

Node Exporter를 홈서버 + OCI 두 곳에 설치하고, Prometheus가 Tailscale VPN을 통해 두 서버의 메트릭을 수집한다. ThinkPad 배터리 메트릭도 추가했다.

8편 — Fail2ban으로 SSH 브루트포스 차단

→ 보러가기

auth.log를 열어보니 수천 줄의 SSH 로그인 시도가 쌓여 있었다. Fail2ban으로 자동 차단하고, recidive jail로 반복 공격자는 7일 장기 차단한다.

9편 — certbot –expand로 SSL 서브도메인 추가

→ 보러가기

서비스가 늘어날 때마다 SSL 인증서에 서브도메인을 추가해야 한다. --expand 옵션과 셸 스크립트로 관리하면 -d 한 줄만 추가하면 된다.

10편 — PostgreSQL 자동 백업 (pg_dump + cron)

→ 보러가기

Immich DB가 날아가면 앨범, 태그, 얼굴 인식 데이터가 전부 사라진다. docker exec으로 pg_dumpall을 실행하고 cron으로 매일 새벽 3시에 자동 백업한다.

11편 — TLP + thinkfan + Swap 튜닝으로 운영 최적화

→ 보러가기

CPU 온도 85°C → 55°C, Swap 사용률 26% → 7%. TLP 터보 부스트 비활성화와 swappiness 튜닝으로 24시간 운영에 최적화했다.

12편 — 직접 만든 컨테이너 대시보드 (Spring Boot + React + SSE)

→ 보러가기

Portainer 대신 Spring Boot + React로 컨테이너 모니터링 대시보드를 직접 만들었다. SSE로 실시간 로그 스트리밍을 구현한 게 핵심이다.

돌아보며

파일 서버 하나 만들려고 시작했는데 어쩌다 보니 이렇게 됐다.

홈서버의 가장 큰 장점은 공부할 게 계속 생긴다는 거다. 서비스 하나 올리면 모니터링이 필요하고, 모니터링 하다 보면 튜닝하고 싶어지고, 외부에 열면 보안이 신경 쓰이고. 그 과정에서 Linux, Docker, Nginx, Spring Boot, React를 실제로 써보게 된다.

클라우드가 편하긴 하지만, 직접 서버를 굴리는 재미는 또 다르다.

홈서버를 며칠 돌려보니 두 가지가 눈에 띄었다.

1. Immich 썸네일 생성 같은 작업이 걸리면 CPU 온도가 85°C까지 치솟는다. 24시간 켜두는 서버라 장기적으로 하드웨어에 좋지 않다.
2. Grafana 대시보드를 보니 RAM 사용률이 38%인데 Swap을 26%나 사용하고 있었다. RAM이 절반도 안 찼는데 Swap을 쓰는 건 비정상이다.

두 문제를 각각 TLP + thinkfan, swappiness 튜닝으로 해결했다.

1부: TLP + thinkfan으로 온도 낮추기

TLP 설치

TLP는 Linux용 전력 관리 도구다. 설치만 해도 기본값으로 어느 정도 효과가 있고, ThinkPad에 맞게 튜닝하면 훨씬 효과적이다.

sudo apt install tlp tlp-rdw -y
sudo tlp start

설치 확인:

sudo tlp-stat -s

--- TLP 1.6.1 --------------------------------------------
+++ TLP Status
State          = enabled
Mode           = AC
Power source   = AC

TLP 튜닝

sudo vi /etc/tlp.conf

아래 항목을 찾아서 주석 해제 후 값을 수정한다.

CPU_SCALING_GOVERNOR_ON_AC=powersave
CPU_ENERGY_PERF_POLICY_ON_AC=balance_power
CPU_BOOST_ON_AC=0
PLATFORM_PROFILE_ON_AC=balanced

핵심은 CPU_BOOST_ON_AC=0이다. 터보 부스트를 끄는 것만으로도 온도가 10~20°C 내려간다. 홈서버 용도에서는 최대 성능이 필요한 순간이 거의 없기 때문에 체감 성능 저하도 없다.

sudo tlp start

thinkfan 설치

thinkfan은 온도 구간별로 팬 속도를 직접 제어하는 도구다. ThinkPad 기본 팬 제어보다 세밀하게 조절할 수 있다.

sudo apt install thinkfan -y

thinkpad_acpi 팬 제어 권한 활성화:

echo "options thinkpad_acpi fan_control=1" | sudo tee /etc/modprobe.d/thinkpad_acpi.conf
sudo modprobe -r thinkpad_acpi
sudo modprobe thinkpad_acpi fan_control=1

센서 경로 확인:

find /sys/devices -name "temp*_input" 2>/dev/null

ThinkPad CPU 온도 센서는 보통 아래 경로에 있다.

/sys/devices/platform/thinkpad_hwmon/hwmon/hwmon4/temp1_input

hwmon 뒤의 숫자는 환경마다 다를 수 있으니 직접 확인하자.

thinkfan 설정

sudo vi /etc/thinkfan.conf

sensors:
  - hwmon: /sys/devices/platform/thinkpad_hwmon/hwmon/hwmon4/temp1_input

fans:
  - tpacpi: /proc/acpi/ibm/fan

levels:
  - [0, 0, 55]
  - [1, 50, 60]
  - [2, 55, 65]
  - [3, 60, 70]
  - [4, 65, 75]
  - [5, 70, 80]
  - [7, 75, 255]

서비스 시작:

sudo systemctl enable thinkfan
sudo systemctl start thinkfan
sudo systemctl status thinkfan

온도 개선 결과

TLP 터보 부스트 비활성화만으로도 약 20~30°C 온도가 내려갔다. 24시간 상시 운영 환경에서는 성능보다 안정성이 중요하기 때문에 이 설정이 최적이다.

부팅 시 자동 적용 확인

sudo systemctl is-enabled tlp
sudo systemctl is-enabled thinkfan
# 둘 다 "enabled" 출력되면 정상

2부: swappiness 튜닝

문제 발견

Grafana 대시보드를 보다가 이상한 걸 발견했다.

RAM 사용률은 37.8%인데 Swap을 26%나 쓰고 있었다. Swap은 SSD를 메모리처럼 쓰는 거라 RAM보다 훨씬 느리다. 불필요하게 Swap을 쓰면 전체 성능이 저하된다.

swappiness란?

vm.swappiness는 커널이 얼마나 적극적으로 Swap을 사용할지 결정하는 값이다.

Ubuntu 기본값이 60인데, 홈서버처럼 RAM이 충분한 환경에서는 너무 높다.

튜닝 적용

즉시 적용:

sudo sysctl vm.swappiness=10

재부팅 후에도 유지:

echo "vm.swappiness=10" | sudo tee -a /etc/sysctl.conf

적용 확인:

cat /proc/sys/vm/swappiness
# 10

기존 Swap에 올라간 데이터를 RAM으로 옮겨서 효과를 바로 확인한다.

sudo swapoff -a && sudo swapon -a

튜닝 결과

기존 26%가량 사용하던 Swap이 7%대로 떨어진 것을 확인할 수 있다.

정리

온도 관리:

• TLP CPU_BOOST_ON_AC=0 하나로 온도 20~30°C 감소
• thinkfan으로 팬 커브를 직접 제어해서 불필요한 소음 줄임
• 홈서버는 성능보다 안정성이 중요하므로 터보 부스트 끄는 게 최선

Swap 튜닝:

• Ubuntu 기본값 swappiness=60은 데스크탑 기준, 서버는 10이 적합
• swapoff -a && swapon -a로 기존 Swap 데이터를 RAM으로 즉시 이동 가능
• 한 줄 설정으로 전반적인 시스템 응답성 개선

다음 편에서는 Portainer 대신 Spring Boot + React로 직접 만든 컨테이너 대시보드를 다룬다. SSE를 이용한 실시간 로그 스트리밍이 핵심이다.

OCI 서버는 공인 IP가 직접 노출돼 있어서 설치 직후부터 SSH 로그인 시도가 들어온다. auth.log를 열어봤다가 깜짝 놀랐다.

sudo grep "Failed password" /var/log/auth.log | tail -20

Invalid user admin, Invalid user guest, Invalid user root 같은 로그가 수분 간격으로 끊임없이 들어오고 있었다. 전 세계 봇들이 24시간 SSH 로그인을 시도하는 것이다. 방치하면 언젠가 뚫릴 수 있고, 서버 리소스도 낭비된다.

Fail2ban이란?

로그 파일을 모니터링하다가 일정 횟수 이상 로그인에 실패한 IP를 자동으로 방화벽에서 차단하는 도구다.

• 설치만 해도 SSH 기본 보호 즉시 적용
• iptables와 연동해서 IP 차단
• 일정 시간 후 자동으로 차단 해제
• SSH 외에도 Nginx, Apache 등 다양한 서비스 보호 가능

설치

sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
sudo systemctl status fail2ban

설치 직후부터 기본 SSH 보호가 바로 적용된다.

설정

Fail2ban 기본 설정은 /etc/fail2ban/jail.conf에 있지만 이 파일은 직접 수정하지 않는다. 업데이트 시 덮어씌워질 수 있기 때문이다. 대신 jail.local을 만들어서 오버라이드한다.

sudo vi /etc/fail2ban/jail.local

[DEFAULT]
# 차단에서 제외할 IP (내 Tailscale IP 등)
ignoreip = 127.0.0.1/8 ::1

# 차단 지속 시간: 기본 10분 → 1시간
bantime = 3600

# 몇 초 동안 실패 횟수를 카운트할지
findtime = 600

# 몇 번 실패하면 차단할지
maxretry = 5

[sshd]
enabled = true
port = ssh
logpath = %(sshd_log)s
backend = %(sshd_backend)s

설정 적용:

sudo systemctl restart fail2ban

⚠️ 설정 전에 반드시 자신의 IP를 ignoreip에 추가해둘 것. 실수로 자신의 IP가 차단되면 SSH 접속이 불가능해진다.

반복 공격자 장기 차단 (recidive)

같은 IP가 여러 번 차단됐다 풀리면 또 시도하는 경우가 있다. recidive jail을 활성화하면 반복 공격자를 장기간 차단할 수 있다.

jail.local에 추가:

[recidive]
enabled = true
logpath = /var/log/fail2ban.log
banaction = %(banaction_allports)s
bantime = 604800   ; 7일
findtime = 86400   ; 1일
maxretry = 3       ; 하루에 3번 차단되면 7일 차단

Nginx 보호

OCI에서 Nginx 리버스 프록시를 운영하고 있으니 HTTP 레벨 공격도 막을 수 있다.

[nginx-http-auth]
enabled = true
port = http,https
logpath = /var/log/nginx/error.log

[nginx-botsearch]
enabled = true
port = http,https
logpath = /var/log/nginx/access.log
maxretry = 2

차단 현황 확인

# 전체 jail 상태
sudo fail2ban-client status

# SSH jail 상세
sudo fail2ban-client status sshd

Status for the jail: sshd
|- Filter
|  |- Currently failed: 3
|  |- Total failed:     1284
|  `- File list:        /var/log/auth.log
`- Actions
   |- Currently banned: 12
   |- Total banned:     87
   `- Banned IP list:   185.156.73.233 139.19.117.130 ...

실시간 로그 확인:

sudo tail -f /var/log/fail2ban.log

2026-03-29 22:48:33 INFO [sshd] Ban 193.46.255.86
2026-03-29 22:52:33 INFO [sshd] Ban 185.156.73.233
2026-03-29 23:01:15 INFO [sshd] Ban 139.19.117.130

IP 수동 차단/해제

# 수동 차단
sudo fail2ban-client set sshd banip 1.2.3.4

# 차단 해제 (내 IP 실수로 차단됐을 때)
sudo fail2ban-client set sshd unbanip 1.2.3.4

차단 목록 확인

이후 시간이 조금 지나고 확인해보니, 정상적으로 잘 차단하고 있는 걸 확인할 수 있다.

설치 전후 비교

정리

클라우드 서버를 운영한다면 Fail2ban은 선택이 아니라 필수다. 설치 자체는 5분이면 되고, 기본 설정만으로도 대부분의 브루트포스 공격을 막을 수 있다. recidive jail까지 설정해두면 반복 공격자를 장기간 차단해서 더욱 안전하게 운영할 수 있다.

다음 편에서는 서비스가 늘어나면서 기존 SSL 인증서에 서브도메인을 추가하는 방법을 다룬다.

집에 1TB SSD가 남아있어서 홈서버 스토리지로 활용하기로 했다. 기존에 Windows에서 쓰던 드라이브라 NTFS 포맷이다.

디스크 확인

lsblk

어떤 디바이스명으로 잡혔는지 확인한다.

파티션 포맷 확인:

sudo blkid /dev/nvme1n1p2

NTFS로 확인됐으니 마운트를 진행한다.

마운트

sudo apt install ntfs-3g -y
sudo mkdir /mnt/data
sudo mount /dev/nvme1n1p2 /mnt/data

마운트 후 확인해보니 Could not mount read-write, trying read-only 메시지가 떴다. 읽기 전용으로 마운트된 것이다. Windows에서 쓰던 드라이브라 더티 플래그가 남아있어서 발생하는 문제다.

읽기/쓰기 가능하도록 재마운트

sudo umount /mnt/data
sudo ntfsfix /dev/nvme1n1p2
sudo mount /dev/nvme1n1p2 /mnt/data

ntfsfix로 더티 플래그를 제거하고 다시 마운트하면 읽기/쓰기가 모두 가능해진다.

심볼릭 링크 생성

홈 디렉토리에서 편하게 접근하기 위해 심볼릭 링크를 만들어둔다.

ln -s /mnt/data ~/data

Samba 설정

파일 탐색기에서 네트워크 드라이브처럼 접근하고 싶다면 Samba를 설치하면 된다.

sudo apt install samba -y

Samba 사용자 등록:

sudo smbpasswd -a your-username

설정 파일에 공유 디렉토리 추가:

sudo vi /etc/samba/smb.conf

파일 맨 아래에 아래 내용을 추가한다.

[data]
   path = /mnt/data
   browseable = yes
   read only = no
   valid users = your-username

Samba 서비스 재시작:

sudo systemctl restart smbd

이제 Windows 파일 탐색기 주소창에 \\100.109.108.36\data를 입력하면 마운트된 SSD에 접근할 수 있다.

다만 이건 파일 탐색기 전용이라 브라우저에서 접근하려면 Filebrowser를 써야 한다.

Docker + Filebrowser 설치

Docker 설치

# Docker 공식 레포 추가
sudo apt install ca-certificates curl gnupg -y
sudo install -m 0755 -d /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg
echo "deb [arch=amd64 signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu noble stable" | sudo tee /etc/apt/sources.list.d/docker.list
sudo apt update
sudo apt install docker-ce docker-ce-cli containerd.io docker-compose-plugin -y

root가 아닌 일반 계정으로 Docker를 사용하려면:

sudo usermod -aG docker $USER
# 재로그인 후 적용

Filebrowser 실행

docker run -d \
  --name filebrowser \
  --restart always \
  -v /mnt/data:/srv \
  -p 9090:80 \
  filebrowser/filebrowser

/mnt/data를 컨테이너 안의 /srv로 마운트해서 Filebrowser가 SSD 전체를 서빙하도록 했다.

초기 로그인

브라우저에서 http://100.109.108.36:9090 접속. 초기 계정은 admin / admin이라고 알려져 있는데 접속이 안 됐다.

docker logs filebrowser

로그를 확인해보니 랜덤으로 생성된 비밀번호가 출력돼 있었다. 그 비밀번호로 접속하면 된다.

OCI Nginx 리버스 프록시 + SSL

VPN 없이도 외부에서 브라우저로 접근하려면 OCI Nginx에 리버스 프록시를 설정해야 한다.

Cloudflare DNS 추가

Cloudflare에서 files.yourdomain.com 서브도메인을 OCI 공인 IP로 추가한다.

Nginx 설정

OCI 서버에서 /etc/nginx/sites-available/files.yourdomain.com 파일을 생성한다.

처음엔 HTTP만 설정했는데, files.yourdomain.com으로 접속하면 계속 메인 도메인으로 리다이렉트되는 문제가 있었다. SSL 인증서를 안 걸어줘서 생기는 문제였다.

최종 설정:

server {
    listen 80;
    server_name files.yourdomain.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name files.yourdomain.com;

    ssl_certificate     /ssl/live/yourdomain.com/fullchain.pem;
    ssl_certificate_key /ssl/live/yourdomain.com/privkey.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers on;

    location / {
        proxy_pass http://100.109.108.36:9090;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

심볼릭 링크 생성 후 적용:

sudo ln -s /etc/nginx/sites-available/files.yourdomain.com /etc/nginx/sites-enabled/
sudo nginx -t && sudo systemctl reload nginx

proxy_pass에 Tailscale VPN IP를 쓰는 게 핵심이다. OCI와 홈서버가 같은 Tailscale 네트워크 안에 있기 때문에 가능한 구성이다.

이제 VPN 없이 files.yourdomain.com으로 접속해서 홈서버의 파일을 관리할 수 있다.

정리

• NTFS 드라이브는 ntfsfix로 더티 플래그 제거 후 마운트해야 읽기/쓰기가 된다
• Samba는 파일 탐색기 접근용, Filebrowser는 브라우저 접근용
• OCI Nginx 리버스 프록시 + Tailscale VPN 조합으로 홈서버를 외부에 안전하게 노출할 수 있다

다음 편에서는 Immich를 설치해서 구글 포토를 대체하는 과정을 다룬다.

Windows를 그대로 쓸까, Linux native로 갈까 고민했다. Docker 운영이 메인이고 서버답게 쓰려면 Linux가 맞다. Ubuntu Server 24.04 LTS로 결정했다.

Ubuntu Server 설치

준비물

Ventoy — USB를 부팅 드라이브로 만들어주는 도구다. 일반적인 방식은 ISO를 USB에 굽는 방식인데, Ventoy는 USB 하나에 여러 ISO를 넣고 부팅 시 선택할 수 있어서 훨씬 편하다.

• Ventoy 다운로드: https://github.com/ventoy/Ventoy/releases
• Ubuntu Server 24.04 LTS ISO 다운로드: https://ubuntu.com/download/server

설치 순서

1. Ventoy2Disk.exe 실행

USB를 꽂고 Ventoy2Disk.exe를 실행한다. 사용할 USB를 선택하고 Install을 누른다.

⚠️ USB에 있는 데이터는 전부 지워지므로 먼저 백업할 것

2. ISO 파일 복사

Install 완료 후 다운로드한 Ubuntu ISO 파일을 USB에 그냥 복사하면 된다.

3. 서버에 USB 꽂고 부팅

Ubuntu를 설치할 노트북에 USB를 꽂고 전원을 켠다. F12를 연타해서 바이오스 부팅 메뉴 진입 후 Ventoy가 설치된 USB를 선택한다.

이후 Ubuntu Server 설치 과정은 안내에 따라 진행하면 된다. 특별히 복잡한 부분은 없다. 파티션은 기본값으로 잡고, SSH 서버 설치 옵션은 체크해두는 게 좋다.

Tailscale VPN 연결

홈서버는 공인 IP가 없어서 외부에서 직접 접근이 안 된다. Tailscale을 사용하면 홈서버와 OCI 인스턴스를 같은 사설 네트워크로 묶을 수 있다.

설치

Ubuntu 설치 후 터미널에서 아래 명령어를 실행한다.

curl -fsSL https://tailscale.com/install.sh | sh

설치 후 활성화:

sudo tailscale up

실행하면 아래처럼 인증 URL이 출력된다.

To authenticate, visit:
    https://login.tailscale.com/a/xxxxxxxxxxxxxxx

URL을 브라우저에서 열어서 Tailscale 계정으로 로그인하면 홈서버가 네트워크에 등록된다.

홈서버 IP 확인

tailscale ip -4

이 IP(예: 100.109.108.36)로 이제 어디서든 홈서버에 SSH 접속이 가능하다.

ssh username@100.109.108.36

OCI 서버에도 동일하게 설치

OCI 인스턴스에도 위 과정을 그대로 반복해서 Tailscale을 설치하면 두 서버가 같은 사설 네트워크로 묶인다.

설정 완료 후 Tailscale 관리 콘솔에서 홈서버와 OCI 서버가 모두 연결된 것을 확인할 수 있다. 이제 OCI에서 홈서버로, 홈서버에서 OCI로 자유롭게 통신이 가능하다.

여기까지의 구성

[내 PC / 스마트폰]
       │  Tailscale VPN
       ▼
[홈서버 ThinkPad] ─── Tailscale VPN ─── [OCI 인스턴스]
  100.109.108.36                           100.x.x.x

Tailscale이 연결된 것만으로도 이미 꽤 쓸만한 환경이 됐다. 이제 어디서든 홈서버에 SSH로 접속해서 작업할 수 있다.

다음 편에서는 외장 SSD를 마운트하고 Filebrowser로 브라우저에서 파일을 관리하는 환경을 구성한다.

개인 블로그를 운영하면서 OCI(Oracle Cloud) 무료 인스턴스 하나를 쭉 써왔다. 1 vCPU, 1GB RAM짜리라 Hugo 정적 블로그 서빙에는 충분했는데, 문제는 점점 하고 싶은 게 늘어난다는 것이다.

• 사진 파일이 쌓이면서 개인 NAS가 필요해졌다
• 사이드 프로젝트 돌릴 서버가 필요했다
• 비밀번호 관리도 외부 서비스 말고 직접 하고 싶었다

클라우드로 커버하면 되지 않냐 싶지만, 스토리지가 좀 붙으면 요금이 눈에 띄게 올라간다. 마침 집에 안 쓰는 노트북이 하나 있었고, 거기서부터 홈서버 구축기가 시작됐다.

하드웨어 선택: 데스크탑 대신 노트북

처음엔 집에 있는 데스크탑을 홈서버로 쓸까 생각했다. 그런데 데스크탑을 24시간 켜두면 전기세가 만만치 않다.

마침 Ryzen 5 5600U, RAM 16GB짜리 ThinkPad E15 Gen3가 있었다. 노트북이라 전력 소비가 훨씬 낮고, 배터리가 있어서 정전 시 UPS 역할도 된다. 성능도 홈서버 용도로는 충분하다.

유선 랜 포트를 따로 뚫기가 애매해서 일단 와이파이로 연결해서 운영 중이다.

전체 아키텍처

핵심은 세 가지다.

Tailscale VPN — 홈서버는 공인 IP가 없어서 외부에서 직접 접근이 안 된다. Tailscale로 홈서버와 OCI 인스턴스를 같은 사설 네트워크로 묶었다. 이렇게 하면 어디서든 VPN으로 홈서버에 접근할 수 있다.

OCI Nginx 리버스 프록시 — 기존에 Hugo 블로그를 서빙하던 OCI 인스턴스의 Nginx를 리버스 프록시로 활용한다. 외부에서 photo.yourdomain.com으로 접근하면 Nginx가 Tailscale VPN을 통해 홈서버의 Immich로 연결해주는 구조다.

Cloudflare DNS — 도메인 관리는 Cloudflare에서 한다. 서브도메인 추가할 때마다 Cloudflare에서 레코드 하나 추가하고 Nginx 설정 추가하면 끝이다.

운영 중인 서비스

현재 홈서버에서 돌아가는 서비스 목록이다.

Grafana, Portainer처럼 민감한 도구는 VPN 안에서만 접근하고 외부에는 열지 않았다. Docker 소켓에 직접 접근하는 툴을 외부에 노출하면 보안상 위험하기 때문이다.

시리즈 구성

이 구축기는 총 12편으로 구성된다.

1. 왜 홈서버인가? + 전체 아키텍처 ← 지금 여기
2. Ubuntu Server 설치 + Tailscale VPN
3. 외장 SSD 마운트 + Filebrowser 원격 파일 관리
4. Immich로 구글 포토 대체하기
5. Vaultwarden으로 비밀번호 자체 호스팅
6. Portainer CE로 Docker GUI 관리
7. Grafana + Prometheus로 홈서버 모니터링
8. Fail2ban으로 SSH 브루트포스 차단
9. certbot –expand로 SSL 서브도메인 추가
10. PostgreSQL 자동 백업 (pg_dump + cron)
11. TLP + thinkfan + Swap 튜닝으로 운영 최적화
12. 직접 만든 컨테이너 대시보드 (Spring Boot + React + SSE)

다음 편에서는 Ubuntu Server 설치부터 Tailscale VPN 연결까지 다룬다.