// Vergleich Proxmox Hosting-Architekturen

Hybrid (site.ip)  vs  Zero Trust (site.zt) — Beide über Cloudflare

Arch 1 — Hybrid / Legacy
Cloudflare proxied · DNS A Record · Portweiterleitung aktiv
👤 Besucher HTTP/HTTPS Anfrage
DNS-Abfrage
Aktiv 🌐 Cloudflare Edge A Record · Proxy AN · IP im Record sichtbar
Öffentliche ISP-IP
Port offen 📡 ISP Router Portweiterleitung 80/443 aktiv
🔀 CyberPanel Interner Reverse Proxy · Proxmox VM
Online 🌍 site.ip Website bereitgestellt
Port 80/443 OFFEN A Record → Öffentliche IP Manuelles DNS bei IP-Wechsel
Online. Cloudflare proxied, aber der Router ist über Portweiterleitung exponiert.
Arch 2 — Modern / Zero Trust
Cloudflare Tunnel · CNAME · Keine Portweiterleitung
👤 Besucher HTTP/HTTPS Anfrage
DNS-Abfrage
Aktiv 🌐 Cloudflare Edge CNAME → Tunnel · Keine öffentliche IP im DNS
CF Tunnel
Verbunden 🔒 cloudflared Outbound-Tunnel · Inside-Out Verbindung
passiert Router
ohne offene Ports
🔐 ISP Router Alle Ports GESCHLOSSEN · Totale Firewall
Online 📦 Proxmox Container Endziel · cloudflared läuft hier
Online 🌍 site.zt Website bereitgestellt
Keine Portweiterleitung IP zu 100% versteckt Auto-healing Tunnel
Online. Keine Ports offen. ISP-IP vollständig vor DNS verborgen.
// Vergleichstabelle
Merkmal Arch 1 — Hybrid Arch 2 — Zero Trust
Cloudflare ✓ Proxied (DNS A) ✓ Tunnel (CNAME)
DNS-Eintrag A → Öffentliche ISP-IP CNAME → *.cfargotunnel.com
Portweiterleitung 80/443 im Router offen Null — Router komplett zu
Sichtbarkeit ISP-IP Exponiert (in A-Record nötig) 100% versteckt — nicht im DNS
ISP-IP Wechsel Site offline → manuelles Update Auto-healing — kein Eingriff nötig
DDoS-Angriff Router direkt angreifbar (bei Bypass) An CF-Edge blockiert, Router unsichtbar
Verbindungstyp Outside-In (Ports zwingend) Inside-Out (cloudflared initiiert)
Interner Proxy CyberPanel Reverse Proxy cloudflared direkt im Container
Skalierbarkeit An statische ISP-IP gebunden Unabhängig von ISP / IP