Ako si postaviť vlastný privátny cloud (NAS) za zlomok ceny: Kompletný sprievodca pre rok 2026

V tretej dekáde 21. storočia sa dáta stali najcennejšou komoditou, no paradoxne, väčšina používateľov nad nimi stráca kontrolu. Spoliehanie sa na služby ako Google Drive, iCloud, Dropbox či OneDrive sa stalo štandardom, ktorý však prináša skryté riziká a narastajúce náklady. Tento článok slúži ako technická analýza a implementačná príručka pre vybudovanie vlastného sieťového úložiska (NAS – Network Attached Storage), ktoré nielen nahrádza komerčné služby, ale v mnohých aspektoch ich prekonáva.

Motivácia pre prechod na vlastné riešenie (self-hosting) sa v roku 2025 opiera o tri piliere: ekonomickú návratnosť, ochranu súkromia a technologickú flexibilitu. Kým v minulosti bolo domáce úložisko doménou úzkej skupiny nadšencov, dnešný hardvér a softvér zjednodušili prístup k týmto technológiám. Jednodoskové počítače ako Raspberry Pi a energeticky efektívne procesory architektúry x86 (Intel Alder Lake-N) umožňujú prevádzkovať výkonné servery s minimálnou spotrebou energie.

Problém komerčných cloudov: Vendor Lock-in a monetizácia súkromia

Model „Software as a Service“ (SaaS) je navrhnutý tak, aby maximalizoval závislosť používateľa. Počiatočné ponuky bezplatného úložiska (napr. 15 GB) slúžia ako návnada. Akonáhle používateľ do ekosystému nahrá gigabajty rodinných fotografií a dokumentov, migrácia sa stáva technicky náročnou a časovo zdĺhavou. Poskytovatelia následne môžu jednostranne meniť podmienky. Príkladom je zrušenie neobmedzeného úložiska pre Google Photos v minulosti alebo neustále zvyšovanie cien predplatného.

Ešte závažnejším aspektom je súkromie. Hoci sú dáta počas prenosu šifrované, väčšina poskytovateľov vlastní kľúče na dešifrovanie obsahu na serveroch, čo im umožňuje analyzovať dáta pre trénovanie AI modelov alebo cielenú reklamu. Vlastný cloud postavený na open-source technológiách (Nextcloud, OwnCloud) garantuje, že k dátam má prístup výlučne vlastník.

Ekonomická analýza: ROI vlastného riešenia

Aby sme pochopili finančný zmysel projektu, musíme porovnať Total Cost of Ownership (TCO) počas obdobia 5 rokov. Ceny cloudových služieb majú tendenciu stagnovať na nominálnej hodnote, no pri rastúcich nárokoch na kapacitu (4K video, RAW fotografie) používatelia migrujú do vyšších, drahších pásiem.

Z analýzy vyplýva, že bod zlomu nastáva približne medzi 24. a 30. mesiacom prevádzky. Ak však uvažujeme o vyšších kapacitách (napr. 8 TB), návratnosť vlastného riešenia sa skracuje na menej ako 12 mesiacov, keďže cloudové plány nad 2 TB sú neproporcionálne drahé.

Environmentálny aspekt a spotreba

V kontexte cien energií na Slovensku (cca 0,19 €/kWh v roku 2025) je efektivita kľúčová. Starý desktopový počítač so spotrebou 100W v režime idle spotrebuje ročne 876 kWh, čo predstavuje náklad takmer 166 €. Naopak, moderné SBC (Single Board Computer) alebo Mini PC s procesormi ako Intel N100 majú spotrebu v pokoji pod 10W. Výskum ukazuje, že prechod zo starého PC na Raspberry Pi ušetrí ročne až 80 kg CO2 ekvivalentu, čo z vlastného cloudu robí nielen ekonomickú, ale aj ekologickú voľbu.

Hardvérová architektúra: Analýza a výber platformy

Výber správneho hardvéru je základným rozhodnutím, ktoré ovplyvní výkon, stabilitu a možnosti rozšírenia vášho privátneho cloudu. Trh sa vykryštalizoval do dvoch hlavných smerov pre domáce použitie: ARM architektúra reprezentovaná sériou Raspberry Pi a ultra-efektívna x86 architektúra reprezentovaná Mini PC a repasovanými kancelárskymi počítačmi (USFF – Ultra Small Form Factor).

Raspberry Pi: Evolúcia a limity ARM platformy

Raspberry Pi (RPi) je dlhodobo synonymom pre DIY projekty. Model Raspberry Pi 5 priniesol oproti predchodcovi (RPi 4) nárast výkonu, no zároveň otvoril diskusiu o efektivite a cene.

Výkonnostná a energetická analýza RPi 5 vs. RPi 4

Raspberry Pi 5 využíva novší 64-bitový štvorjadrový procesor Arm Cortex-A76 bežiaci na 2,4 GHz. Syntetické benchmarky ako Sysbench ukazujú 50% nárast výkonu v single-thread aj multi-thread operáciách oproti RPi 4. Ešte výraznejší rozdiel je v teste Stress-ng, kde RPi 5 dosahuje o 75-80% vyššie skóre.

Tento výkon však prichádza s cenou vyššej spotreby. Kým RPi 4 si vystačí s 5V/3A zdrojom, RPi 5 vyžaduje kvalitný 5V/5A USB-C zdroj pre plné využitie periférií. Pri záťaži (napr. indexovanie fotiek v Nextcloud alebo transkódovanie videa) spotreba RPi 5 stúpa, čo si vyžaduje aktívne chladenie. Pre aplikácie, kde je prioritou absolútne najnižšia spotreba a server bude 99% času v režime idle (IoT, jednoduchý súborový server), môže byť RPi 4 paradoxne lepšou, energeticky efektívnejšou voľbou.

Problém I/O a úložiska na Raspberry Pi

Najväčšou slabinou platformy RPi pre účely NAS je absencia natívnych SATA portov.

• USB Bottleneck: Väčšina používateľov pripája disky cez USB 3.0. Hoci priepustnosť 5 Gbps je pre HDD dostatočná, protokol USB (Bulk-Only Transport vs. UASP) zavádza latenciu a réžiu procesora.
• Stabilita USB: USB zbernica je náchylnejšia na resetovanie spojenia pri výkyvoch napätia alebo chybách protokolu. To robí použitie tradičných RAID polí (RAID 1/5/6 cez mdadm) na USB diskoch extrémne rizikovým. Výpadok jedného disku kvôli chybe USB radiča môže viesť k rozpadu poľa a strate dát.
• PCIe na RPi 5: Model 5 priniesol PCIe 2.0 x1 rozhranie. To umožňuje pripojenie NVMe SSD cez špeciálny HAT (Hardware Attached on Top), čím sa eliminuje USB bottleneck pre systémový disk alebo rýchlu cache. Pre masívne úložisko (HDD) však stále zostáva primárnym rozhraním USB.

Renesancia x86: Mini PC a Intel N100

V rokoch 2024 a 2025 došlo k masívnemu rozšíreniu lacných Mini PC osadených procesormi Intel Alder Lake-N (N95, N100, N305). Tieto zariadenia menia paradigmu domáceho hostingu.

Architektúra Intel N100

Procesor N100 ponúka 4 E-cores (efektívne jadrá) s TDP iba 6W. Hoci papierová spotreba je podobná RPi, reálny výkon v serverových aplikáciách je vyšší vďaka pokročilejšej architektúre x86 a lepšej správe pamäte.

• Intel QuickSync: Kľúčovou výhodou je integrovaná grafika s podporou QuickSync. Táto technológia umožňuje hardvérovú akceleráciu transkódovania videa (HEVC, VP9, AV1). Kým RPi 5 sa pri transkódovaní 4K videa v Jellyfine/Plexe trápi a vyťažuje CPU na 100%, N100 to zvláda s minimálnou záťažou CPU.
• Rozšíriteľnosť: Mini PC často ponúkajú štandardný M.2 slot pre NVMe SSD a niekedy aj SATA slot pre 2.5″ SSD. Pripojenie externých DAS (Direct Attached Storage) boxov cez USB-C alebo USB 3.2 Gen2 (10 Gbps) je tiež spoľahlivejšie vďaka robustnejším radičom na platforme Intel.

Cenové porovnanie: RPi 5 vs. Mini PC

Cenová výhoda Raspberry Pi sa stráca. Keď spočítame cenu dosky RPi 5 (8GB), zdroja, krabičky, chladiča, NVMe HATu a kvalitnej SD karty/SSD, dostávame sa na sumu okolo 130-150 €. Za podobnú alebo len mierne vyššiu cenu (150-200 €) je možné kúpiť kompletné Mini PC s 16GB RAM, 512GB SSD, zdrojom a skrinkou. Navyše, trh s repasovanými korporátnymi počítačmi (Dell Optiplex Micro, HP EliteDesk Mini, Lenovo Tiny) ponúka staršie modely (i5-6500T/7500T) za ceny pod 150 €, ktoré sú pre NAS účely stále vysoko výkonné, hoci s mierne vyššou spotrebou.

Odporúčanie pre hardvérovú stratégiu

Rozhodovací proces by mal vychádzať z vašich existujúcich zdrojov a cieľov:

1. Máte starý hardvér? Použite ho. Starý notebook s rozbitým displejom je ideálny server – má integrovanú UPS (batériu), klávesnicu a obrazovku pre debugovanie, a nízku spotrebu. Starý desktop je vhodný, ak neplatíte elektrinu vy, alebo ak potrebujete pripojiť veľa 3.5″ diskov priamo cez SATA.
2. Začínate od nuly a chcete minimalizmus? Ak je cieľom len synchronizácia súborov a blokovanie reklám (Pi-hole), Raspberry Pi 4 alebo 5 je vynikajúca voľba.
3. Chcete multimediálne centrum a transkódovanie? Jednoznačne zvoľte Mini PC s procesorom Intel (N100 alebo novší) kvôli QuickSync a podpore inštrukčnej sady x86_64, ktorá má širšiu kompatibilitu s Docker kontajnermi.

Stratégia úložiska: Súborové systémy a RAID alternatívy

Srdcom každého NAS je úložisko. Pre domáce použitie, kde často kombinujeme disky rôznych veľkostí a pripájame ich cez USB, sú tradičné enterprise riešenia ako Hardware RAID alebo ZFS často nevhodné alebo zbytočne nákladné.

Prečo sa vyhnúť tradičnému RAID na USB

RAID (Redundant Array of Independent Disks) bol navrhnutý pre servery s priamym prístupom k diskom cez SATA/SAS radiče. Protokol USB zavádza vrstvu, ktorá skrýva skutočný stav disku pred operačným systémom. Príkazy SMART nemusia prechádzať korektne a reset USB zbernice môže spôsobiť, že Linux „stratí“ disk a označí RAID pole ako poškodené. Obnova (rebuild) poľa cez USB je extrémne pomalá a zaťažuje všetky disky naraz, čo zvyšuje riziko zlyhania ďalšieho disku počas obnovy.

Moderné riešenie: MergerFS + SnapRAID

Pre domáce NAS postavené na Linuxe sa stala štandardom kombinácia MergerFS a SnapRAID. Toto riešenie ponúka flexibilitu JBOD (Just a Bunch of Disks) s ochranou parity podobnou RAID 5, ale bez jeho nevýhod.

MergerFS: Zjednotenie diskov

MergerFS je FUSE (Filesystem in Userspace) nástroj, ktorý umožňuje spojiť viacero adresárov (mount pointov) do jedného virtuálneho adresára.

• Princíp: Ak máte Disk A (2 TB) a Disk B (4 TB), MergerFS vytvorí virtuálny bod /mnt/storage s kapacitou 6 TB.
• Výhoda: Súbory sú fyzicky uložené na jednotlivých diskoch v štandardnom súborovom systéme (napr. EXT4 alebo XFS). Ak Disk A zlyhá, prídete len o dáta na Disk A. Dáta na Disk B sú plne čitateľné. V RAID 0 by ste prišli o všetko.
• Politika zápisu: MergerFS možno konfigurovať tak, aby zapisoval dáta na disk s najviac voľným miestom (mfs), alebo rovnomerne rozdeľoval dáta.

SnapRAID: Snapshot Parita

SnapRAID je zálohovací nástroj pre diskové polia. Na rozdiel od RAID, ktorý počíta paritu v reálnom čase (pri každom zápise), SnapRAID pracuje na princípe „snapshotu“. Paritu počíta a kontroluje na vyžiadanie (zvyčajne cez plánovaný nočný cron job).

• Výhoda: Disky nemusia bežať 24/7. Pri čítaní filmu sa točí len ten disk, na ktorom je súbor. To šetrí energiu a predlžuje životnosť diskov.
• Ochrana: Ak máte 3 dátové disky a 1 paritný disk (musí byť rovnako veľký alebo väčší ako najväčší dátový disk), môžete obnoviť dáta pri zlyhaní ktoréhokoľvek disku.
• Bit-rot ochrana: SnapRAID obsahuje kontrolné súčty (scrubbing), ktoré detegujú tichú korupciu dát (bit rot) a umožňujú opravu.

Implementačný návod: Konfigurácia MergerFS a SnapRAID

Nasledujúci postup predpokladá systém Linux (Ubuntu/Debian) s pripojenými diskami naformátovanými na XFS alebo EXT4.

Krok 1: Príprava diskov (fstab)

Najprv musíme disky trvalo pripojiť. Zistite UUID diskov príkazom blkid.

# Dátové disky
UUID="uuid-disk-1" /mnt/data1 xfs defaults 0 2
UUID="uuid-disk-2" /mnt/data2 xfs defaults 0 2

# Paritný disk (pre SnapRAID)
UUID="uuid-parity" /mnt/parity1 xfs defaults 0 2

Krok 2: Inštalácia a konfigurácia MergerFS

sudo apt install fuse mergerfs
Pridanie MergerFS do /etc/fstab:
# MergerFS Pool
# category.create=mfs zabezpečí zápis na disk s najviac
voľným miestom
/mnt/data* /mnt/pool fuse.mergerfs
allow_other,use_ino,cache.files=partial,dropcacheonclose=true,category.create=mfs,fsname=mergerfs
0 0

Po reštarte alebo príkaze mount -a budú všetky dáta dostupné v /mnt/pool.

Krok 3: Konfigurácia SnapRAID

Bash
sudo apt install snapraid
Vytvorte konfiguračný súbor /etc/snapraid.conf:
Útržok kódu
# Umiestnenie paritného súboru
parity /mnt/parity1/snapraid.parity
 
# Content súbory (index) - uložte viac kópií na rôzne disky
content /var/snapraid.content
content /mnt/data1/.snapraid.content
content /mnt/data2/.snapraid.content
 
# Definícia dátových diskov
data d1 /mnt/data1/
data d2 /mnt/data2/
 
# Exclude (nechceme zálohovať dočasné súbory)
exclude *.unrecoverable
exclude /tmp/
exclude /lost+found/

Krok 4: Automatizácia

Prvotná synchronizácia sa spustí príkazom snapraid sync. Pre automatickú ochranu je nutné vytvoriť skript, ktorý sa bude spúšťať v noci (napr. o 3:00) cez crontab. Skript by mal vykonať snapraid sync a následne snapraid scrub (kontrola integrity pre časť dát). Existujú hotové skripty (napr. snapraid-runner), ktoré posielajú notifikácie o výsledku na email alebo Discord.

Softvérová infraštruktúra: Operačný systém

Pre domáci cloud je inštalácia aplikácií (priamo do OS) považovaná za zastaranú a nebezpečnú. Moderný prístup využíva virtualizáciu na úrovni OS – kontajnery.

Výber Operačného Systému

Hoci existujú špecializované distribúcie, pre maximálnu flexibilitu a učenie odporúčame univerzálny serverový Linux.

• Ubuntu Server 24.04 LTS: Zlatý štandard. Obrovská komunita, 5-ročná podpora, natívna podpora pre všetky moderné nástroje. Ideálny pre začiatočníkov aj pokročilých.
• OpenMediaVault (OMV): Ak preferujete grafické rozhranie (Web GUI) pre správu diskov, používateľov a zdieľaní (SMB/NFS), OMV je skvelá voľba. Je postavený na Debiane a podporuje Docker cez plugin (OMV-Extras). OMV je vhodný mostík pre tých, ktorí prechádzajú zo Synology.
• CasaOS: Vizuálne atraktívna nadstavba nad Ubuntu/Debian, ktorá robí správu Docker kontajnerov extrémne jednoduchou („App Store“ zážitok). Je však limitujúca pre pokročilé sieťové nastavenia.

Odporúčanie: Nainštalujte čistý Ubuntu Server a naučte sa základy CLI (Command Line Interface). Poskytne vám to najlepšiu kontrolu a pochopenie systému.

Docker a Docker Compose: Základ ekosystému

Docker umožňuje zabaliť aplikáciu a všetky jej závislosti do izolovaného kontajnera. To rieši problém „works on my machine“ a konfliktov medzi knižnicami. Docker Compose je nástroj na definovanie a spúšťanie viac-kontajnerových aplikácií pomocou YAML súborov.

Inštalácia Dockeru na Ubuntu

Bash
# Odstránenie starých verzií
sudo apt-get remove docker docker-engine docker.io
containerd runc
 
# Pridanie oficiálneho repozitára
sudo apt-get update
sudo apt-get install ca-certificates curl gnupg
sudo install -m 0755 -d /etc/apt/keyrings
curl -fsSL https://download.docker.com/linux/ubuntu/gpg |
sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg
sudo chmod a+r /etc/apt/keyrings/docker.gpg
 
# Inštalácia
echo \
  "deb
[arch="$(dpkg --print-architecture)"
signed-by=/etc/apt/keyrings/docker.gpg]
https://download.docker.com/linux/ubuntu \
  "$(.
/etc/os-release && echo "$VERSION_CODENAME")"
stable" | \
  sudo tee
/etc/apt/sources.list.d/docker.list > /dev/null
sudo apt-get update
sudo apt-get install docker-ce docker-ce-cli containerd.io
docker-buildx-plugin docker-compose-plugin
 
# Pridanie používateľa do skupiny docker (aby sme nemuseli
písať sudo)
sudo usermod -aG docker $USER

Poznámka: Po pridaní do skupiny sa musíte odhlásiť a prihlásiť.

Aplikačná vrstva: Nextcloud – Vaša osobná dátová pevnosť

Nextcloud je v súčasnosti najkomplexnejšou open-source platformou pre kolaboráciu a zdieľanie súborov. Ponúka ekvivalent k službám Google Drive (Files), Google Photos (Photos), Google Contacts/Calendar a Google Meet (Talk). V porovnaní s OwnCloud (z ktorého vznikol forkom) ponúka Nextcloud všetky funkcie v open-source verzii, zatiaľ čo OwnCloud niektoré Enterprise funkcie spoplatňuje.

Nextcloud AIO (All-in-One): Revolúcia v nasadení

V minulosti bola manuálna inštalácia Nextcloudu (konfigurácia Apache, PHP-FPM, MariaDB, Redis) nočnou morou pre začiatočníkov. Projekt Nextcloud All-in-One (AIO) to zmenil. Ide o Docker kontajner, ktorý automaticky spravuje a aktualizuje všetky potrebné sub-kontajnery.

Obsahuje:

• Nextcloud (samotná aplikácia).
• High-performance backend pre súbory (HPB).
• Nextcloud Office (Collabora Online) pre úpravu dokumentov.
• Backup riešenie (BorgBackup).
• Imaginary (pre generovanie náhľadov HEIC/RAW fotiek).

Implementácia: docker-compose.yml pre Nextcloud AIO

Nižšie je uvedený optimalizovaný konfiguračný súbor pre nasadenie Nextcloud AIO. Tento súbor predpokladá, že budeme používať Cloudflare Tunnel alebo reverzné proxy, preto meníme porty, aby nekolidovali s inými službami.

Vytvorte priečinok pre projekt:

Bash
mkdir ~/nextcloud-aio
cd ~/nextcloud-aio
nano docker-compose.yml
Vložte nasledujúci obsah:
YAML
services:
  nextcloud-aio-mastercontainer:
    image: ghcr.io/nextcloud-releases/all-in-one:latest
    init: true
    restart: always
    container_name: nextcloud-aio-mastercontainer
    volumes:
      # Tento zväzok
je kritický pre funkčnosť AIO, nemeňte ho
      - nextcloud_aio_mastercontainer:/mnt/docker-aio-config
      # Prístup k
Docker socketu umožňuje AIO spravovať iné kontajnery
      - /var/run/docker.sock:/var/run/docker.sock:ro
    ports:
      # Port pre
úvodné nastavenie a dashboard AIO
      - 8080:8080
    environment:
      # DÔLEŽITÉ:
Keďže používame Cloudflare Tunnel/Proxy, musíme definovať port,
      # na ktorom bude
Apache kontajner počúvať (namiesto default 443)
      - APACHE_PORT=11000
      - APACHE_IP_BINDING=0.0.0.0
      # Voliteľné:
Zvýšenie limitov pre upload a čas vykonávania
      - NEXTCLOUD_UPLOAD_LIMIT=10G
      - NEXTCLOUD_MAX_TIME=3600
      - NEXTCLOUD_MEMORY_LIMIT=1024M
      # Časové pásmo
(Slovensko)
      - TZ=Europe/Bratislava
 
volumes:
  nextcloud_aio_mastercontainer:
    name: nextcloud_aio_mastercontainer
Spustenie:
Bash
docker compose up -d

Po spustení otvorte v prehliadači https://IP-VASHO-SERVERA:8080. Budete vyzvaní na zadanie hesla, ktoré nájdete v logoch kontajnera:

Bash
docker logs nextcloud-aio-mastercontainer | grep password

Konfigurácia úložiska v AIO

Po prihlásení do AIO dashboardu budete vyzvaní na zadanie domény (viď sekcia 6 o Cloudflare). Dôležitým krokom je nastavenie cesty k dátam. Ak ste nastavili MergerFS na /mnt/pool, v tomto kroku môžete zadať /mnt/pool/nextcloud_data ako cieľ pre ukladanie súborov. To zabezpečí, že vaše dáta budú na veľkom diskovom poli, nie na systémovom disku (SD karte/SSD).

Sieťová bezpečnosť a prístup z internetu

Najväčšou bariérou pre domáci self-hosting je absencia verejnej statickej IP adresy. Väčšina poskytovateľov internetu (ISP) používa CGNAT (Carrier-Grade NAT), čo znamená, že viacero domácností zdieľa jednu verejnú IP adresu. Tradičné presmerovanie portov (Port Forwarding) v tomto scenári nefunguje. Aj keby fungovalo, otváranie portov 80 a 443 do celého internetu vystavuje váš server neustálym útokom botov.

Cloudflare Tunnel: Profesionálne riešenie problému

Technológia Cloudflare Tunnel (súčasť platformy Zero Trust) je preferovaným spôsobom sprístupnenia lokálnych služieb.

• Princíp: Na vašom serveri beží malý démon (cloudflared), ktorý vytvorí šifrovaný tunel smerom von (outbound connection) do siete Cloudflare.
• Výhoda: Váš router má všetky porty zatvorené (Inbound Ports: Deny All). Akákoľvek požiadavka na vašu doménu (napr. cloud.mojadomena.sk) ide do Cloudflare, tam sa prefiltruje (DDoS ochrana, WAF) a cez tunel sa pošle na váš server.

Implementácia Cloudflare Tunnel v Docker

Tento kontajner pridajte do vášho docker-compose.yml alebo spustite samostatne.

Postup:

1. Kúpte si doménu (cca 10-15 €/rok) alebo získajte free doménu a nastavte jej DNS servery na Cloudflare (NS záznamy).
2. V Cloudflare Dashboarde choďte do Zero Trust > Networks > Tunnels.
3. Vytvorte nový tunel „HomeCloud“.
4. Zvoľte prostredie „Docker“. Zobrazí sa vám príkaz s tokenom. Skopírujte dlhý reťazec za –token.

Docker konfigurácia:

YAML
  cloudflared:
    image: cloudflare/cloudflared:latest
    container_name: cloudflared
    restart: unless-stopped
    command: tunnel run
    environment:
      - TUNNEL_TOKEN=eyJhIjoi...
(VLOŽTE VÁŠ TOKEN TU)

Prepojenie s Nextcloud:

V nastavení tunela na webe Cloudflare (Public Hostnames) pridajte:

• Public Hostname: cloud.vasadomena.sk
• Service: http://IP-VASHO-SERVERA:11000 (Port 11000 sme definovali v Nextcloud AIO konfigurácii).

Týmto krokom máte Nextcloud prístupný z celého sveta pod HTTPS, s platným certifikátom (spravuje Cloudflare) a bez dier v domácom firewalle.

Ochrana pred útokmi: Fail2Ban a WAF

Aj keď je port zatvorený, aplikácia je cez tunel verejná. Útočníci môžu skúšať hádať heslá (Brute Force).

Fail2Ban pre Docker

Fail2Ban je služba, ktorá sleduje logy a blokuje IP adresy. Pri Dockeri je to komplikovanejšie, pretože Fail2Ban beží na hostiteľovi, ale logy sú v kontajneri a sieťová prevádzka prechádza cez Docker sieťový most.

Krok 1: Príprava

Nextcloud AIO ukladá logy do Docker volume. Musíme ich sprístupniť hostiteľovi.

Nájdite cestu k logom (zvyčajne /var/lib/docker/volumes/nextcloud_aio_nextcloud_data/_data/data/nextcloud.log).

Krok 2: Filter (/etc/fail2ban/filter.d/nextcloud.conf)

Ini, TOML
 
# Regex pre zachytenie neúspešného prihlásenia v Nextcloud
25+
failregex = ^{"reqId":".*","remoteAddr":".*","app":"core","message":"Login
failed:.* \(Remote IP: ''\)","level":2.*
ignoreregex =

Krok 3: Jail (/etc/fail2ban/jail.local)

Pre Cloudflare je toto nastavenie špecifické. Pretože Cloudflare funguje ako proxy, Nextcloud vidí ako „Remote IP“ IP adresu Cloudflare, nie útočníka.

Riešenie: V Nextcloud config.php musíte nastaviť trusted_proxies na rozsahy Cloudflare IP a forwarded_for_headers. Potom bude Nextcloud logovať skutočnú IP.

Fail2Ban následne musí použiť akciu, ktorá komunikuje s Cloudflare API a zablokuje IP priamo na úrovni Cloudflare (Cloudflare API Action), nie len v lokálnom iptables.

Alternatíva (jednoduchšia): Použite funkciu Cloudflare WAF (Web Application Firewall). V Zero Trust dashboarde nastavte pravidlo „Rate Limiting“. Ak jedna IP urobí viac ako 5 neúspešných requestov na /login za minútu -> Blokovať. Toto je efektívnejšie a beží mimo váš server.

Výkon a optimalizácia (Tipy pre RPi a slabší HW)

Aby Nextcloud bežal plynulo aj na Raspberry Pi, je nutná optimalizácia.

Redis: Kľúč k rýchlosti

Nextcloud používa „file locking“. Ak používate databázu (MariaDB) na zamykanie súborov, systém bude pri synchronizácii tisícok malých súborov extrémne pomalý. Redis je in-memory úložisko, ktoré tieto operácie zrýchľuje o rády.

V Nextcloud AIO je Redis integrovaný a predkonfigurovaný. Ak inštalujete manuálne, uistite sa, že v config.php máte:

PHP
'memcache.local' => '\OC\Memcache\APCu',
'memcache.distributed' => '\OC\Memcache\Redis',
'memcache.locking' => '\OC\Memcache\Redis',
'redis' => [
     'host' => 'redis',
     'port' => 6379,
],

PHP a Databáza

Pre MySQL/MariaDB je kritický parameter innodb_buffer_pool_size. Na 4GB RPi mu vyhraďte aspoň 1GB, na 8GB modeli aj 2-3GB. Tým sa celá databázová štruktúra načíta do RAM a odozva rozhrania bude okamžitá.

Záver a budúcnosť domáceho cloudu

Vybudovanie vlastného privátneho cloudu je proces, ktorý si vyžaduje počiatočnú investíciu času a financií, no prináša dlhodobú hodnotu. Prekonanie bariéry vstupu (hardvér, konfigurácia Linuxu) odmeňuje používateľa systémom, ktorý je:

1. Bezpečný: Dáta neopúšťajú vašu kontrolu a prístup je chránený modernými Zero Trust princípmi.
2. Rýchly: V lokálnej sieti prenášate dáta rýchlosťou gigabitu (110 MB/s), čo je násobne viac ako bežný internetový upload.
3. Flexibilný: Systém rastie s vami. Potrebujete Home Assistant pre inteligentnú domácnosť? Pridajte kontajner. Chcete mediálne centrum Jellyfin? Pridajte kontajner.

Pre slovenského používateľa, ktorý čelí rastúcim cenám digitálnych služieb, je kombinácia repasovaného Mini PC (alebo RPi 5), Nextcloud AIO a Cloudflare Tunnel optimálnou cestou k digitálnej suverenite.