Status Homelab 2026: Evolusi Hobi Self-Hosting

• Ringkasan contoh pembangunan homelab yang menggabungkan hardware kecil dan cloud tunneling gratis untuk menjalankan sendiri berbagai layanan seperti media, AI, foto, dan monitoring
• Dimulai dari OrangePI 5 lalu di-upgrade ke GMKTec NUC (RAM 32GB, NVMe 1TB), dengan struktur hybrid yang juga menjalankan mesin virtual Hetzner secara paralel
• Semua layanan berjalan dalam container Docker, dengan IaC berbasis role Ansible dan enkripsi SOPS untuk memastikan reproduktibilitas dan keamanan
• Melalui Cloudflare Tunnel, akses eksternal disediakan tanpa membuka port inbound, sementara Traefik + Authentik menangani reverse proxy dan autentikasi SSO
• Dengan biaya operasional sekitar 7 euro per bulan, kepemilikan data tetap terjaga tanpa vendor lock-in, dan pembelajaran serta kesenangan lebih diprioritaskan daripada kesempurnaan

Konfigurasi hardware

• Awalnya menggunakan OrangePI 5, tetapi beralih ke GMKTec NUC karena masalah manajemen daya dan storage yang terhubung lewat USB
  • Dilengkapi CPU AMD Ryzen 7 5700U, RAM 32GB, storage NVMe M2 1TB
  • Dengan 2 slot M2, RAM dan disk sama-sama bisa diperluas
  • Jauh lebih stabil untuk operasi tahunan
• Layanan yang perlu berjalan 24/7 dioperasikan terpisah pada mesin virtual Hetzner
• NAS masih belum dibangun, dan data penting disinkronkan dengan Syncthing
  • Tertarik pada Ugreen NAS, Ubiquiti, dan lain-lain, tetapi saat ini masih lebih menikmati proses mengutak-atik sendiri

Prinsip operasional

• Infrastructure-as-Code: sebanyak mungkin konfigurasi diotomatisasi dengan skrip atau platform manajemen (seperti Ansible) dan disimpan sebagai kode
• Reproducibility: saat terjadi gangguan atau mesin diganti, infrastruktur harus bisa di-deploy ulang dan dikonfigurasi ulang dengan cepat, serta tidak menyisakan jejak ketika layanan eksperimen dihapus
• Kemudahan penggunaan: karena ini proyek hobi, pendekatan yang standar dan familiar lebih disukai

Sistem operasi

• Menggunakan distribusi Debian yang diinstal langsung di bare metal
• Sempat mempertimbangkan NixOS (build yang reproducible) atau Talos (cluster k8s), tetapi ditunda karena beban pengelolaan workload k8s pada satu mesin dan keterbatasan waktu
• Hypervisor seperti ProxMox juga dianggap tidak perlu, sehingga tidak digunakan

Arsitektur jaringan

• Memilih Cloudflare Tunnel sebagai metode eksposur eksternal
  • Server membuat koneksi outbound saja ke jaringan Cloudflare, jadi tidak perlu membuka port inbound di firewall
  • Setelah tunnel dikonfigurasi, trafik dua arah mengalir melalui tunnel
  • Jika domain dihubungkan ke Cloudflare DNS, tiap subdomain bisa dipetakan ke port atau protokol tertentu (HTTP/HTTPS/TCP, dll.) di mesin
  • Disediakan sepenuhnya gratis, dan dinilai sebagai alternatif yang lebih baik daripada ngrok
• Metode IP statis (White IP) memiliki biaya dan risiko keamanan, dan walau ada alternatif seperti Tailscale Funnel, Cloudflare Tunnel dipilih sebagai solusi paling praktis

• Traefik

  • Reverse proxy open-source yang mengenali Docker secara native, sehingga menguntungkan untuk otomasi server
  • Jika container diberi label yang sesuai, routing terdeteksi otomatis sehingga tidak perlu mengubah file konfigurasi terpisah

• Authentik

  • Platform IdP (Identity Provider) dan SSO
  • Konfigurasi bisa disimpan dalam bentuk blueprint (file YAML) sehingga tetap sesuai prinsip IaC
  • Melalui middleware ForwardAuth, akses ke layanan sensitif diarahkan ke halaman login

Alat operasional

• Ansible

  • Alat otomasi infrastruktur agentless (hanya butuh SSH), dengan keunggulan konfigurasi berbasis YAML dan contoh yang melimpah
  • Tiap layanan didefinisikan per role: terdiri dari tasks, defaults, handlers, templates, files
    • tasks: mendefinisikan pekerjaan yang dijalankan
    • defaults: nilai bawaan seperti image tag, port, nama container
    • handlers: me-restart container saat konfigurasi berubah
    • templates: rendering file .env dan config.yaml berbasis Jinja2
    • files: konfigurasi statis, skrip
  • Tahapan umum deployment layanan:
    • membuat resource bersama (network, volume) → membuat schema dan user di PostgreSQL → me-render template konfigurasi → pull image Docker → menjalankan container (termasuk variabel lingkungan dan pengaturan logging) → provisioning konfigurasi autentikasi ke blueprint Authentik → jika perlu mengatur Cloudflare Tunnel
  • Kekurangannya adalah dokumentasi yang sangat besar, struktur DSL yang repetitif, dan boilerplate, tetapi tetap dipakai karena sudah terbiasa
  • Menjalankan playbook secara manual tanpa integrasi GitOps, dan untuk saat ini itu sudah cukup

• SOPS (Secrets OPerationS)

  • Hanya mengenkripsi nilai YAML/JSON dan mempertahankan struktur key, sehingga Git diff tetap berguna
  • Menggunakan backend enkripsi age — alat yang “membuat enkripsi jadi sederhana tanpa PGP”
  • Untuk tiap host, file konfigurasi umum (homelab.yaml) dan file terenkripsi (homelab.sops.yaml) dikelola terpisah
  • Workflow:
    • membuat key dengan age-keygen → mengedit file terenkripsi dengan perintah sops (didekripsi di editor lalu otomatis dienkripsi ulang saat disimpan) → dekripsi otomatis saat Ansible dijalankan
    • Karena Ansible mendukung SOPS secara native, tidak perlu modul atau flag tambahan
  • Dibandingkan Ansible Vault, keunggulannya adalah enkripsi per nilai, bukan seluruh file, sehingga diff tetap bisa dimanfaatkan
  • Batasannya: private key age harus dibagikan dengan aman ke anggota tim, dan jika key hilang maka secret tidak bisa dipulihkan
    • Untuk homelab yang dikelola sendiri, tingkat kompleksitas ini dianggap pas

Layanan yang berjalan

• Manajemen media: stack *arr

  • Prowlarr: pengelola indexer yang meneruskan hasil pencarian ke layanan *arr lain
  • Radarr: pengelola koleksi film — ketika film yang diinginkan ditentukan, pencarian, pengunduhan, dan penataan dilakukan otomatis
  • Lidarr: fungsi serupa untuk musik, terintegrasi dengan Navidrome
  • Bazarr: pengunduh subtitle otomatis
  • Tidarr: layanan untuk menyimpan audio Tidal secara lokal
  • Transmission: klien BitTorrent (port 9091) yang menangani semua permintaan unduhan dari layanan *arr
  • Semua layanan ditempatkan di belakang autentikasi Authentik
  • Menggunakan direktori unduhan bersama (/mnt/data/docker/transmission/downloads) dan PUID/PGID 1000 untuk menghemat ruang disk lewat hardlink
  • Contoh workflow: menambahkan film ke Radarr → mencari lewat Prowlarr → Transmission mengunduh → Radarr memindahkannya ke library media → bisa ditonton di Jellyfin

• Konsumsi media

  • Jellyfin: server media open-source yang, tidak seperti Plex, tidak memerlukan login cloud. Menggunakan autentikasi sendiri dan mendukung berbagai perangkat termasuk aplikasi Android TV
  • Navidrome: server streaming musik yang mendukung API Subsonic, terhubung dengan aplikasi mobile (DSub2000, dll.). Lidarr memasok musik ke folder library
  • Calibre Web: pengelola dan pembaca perpustakaan ebook
    • Database metadata yang dikelola di aplikasi desktop Calibre pada laptop disinkronkan ke server dengan Syncthing
    • Buku bisa diakses dari berbagai reader melalui API OPDS

• AI dan chat

  • LibreChat: antarmuka chat AI self-hosted yang dapat terhubung ke berbagai penyedia LLM (OpenAI, Anthropic, Ollama lokal)
    • Mendukung RAG (Retrieval Augmented Generation)
    • Memerlukan MongoDB (riwayat chat), PostgreSQL + pgvector (embedding), dan MeiliSearch (full-text search), sehingga konfigurasinya relatif berat
    • Karena Claude Code lebih mudah diakses, layanan ini jarang dipakai dan sedang dipertimbangkan untuk dihapus

• Foto dan file

  • Immich: layanan self-hosted pengganti Google Photos
    • Mendukung backup foto otomatis dari ponsel, pengenalan wajah, pengelolaan album, dan ekstraksi metadata EXIF
    • Menggunakan PostgreSQL sendiri (termasuk pgvector) dan container machine learning (klasifikasi gambar), dan saat ini menyimpan ribuan foto
  • Syncthing: sinkronisasi folder antara laptop, ponsel, dan server. Sinkronisasi langsung P2P tanpa perantara cloud
    • Menyinkronkan Obsidian Vault, dokumen, dan lainnya ke banyak perangkat serta Android
  • MinIO: object storage kompatibel S3, dipakai untuk pengujian atau aplikasi yang membutuhkan API S3

• Membaca dan informasi

  • Miniflux: pembaca feed RSS minimalis, berlangganan sekitar 50 blog dan sumber berita
    • Mendukung shortcut keyboard dan menyediakan feed kronologis tanpa pengurutan berbasis algoritma

• Infrastruktur dan autentikasi

  • Traefik: reverse proxy yang merutekan trafik ke container Docker berdasarkan hostname. Jika container memiliki label yang sesuai saat start, deteksi berjalan otomatis
  • Authentik: penyedia SSO dan ID. Melindungi layanan lewat middleware ForwardAuth, dan seluruh konfigurasi autentikasi dikelola dengan menyimpan blueprint di Git
  • PostgreSQL: server database bersama, dipakai oleh Authentik, Miniflux, Immich, LibreChat, dan lainnya dengan berbagi satu instance alih-alih database terpisah, untuk menghemat resource dan memudahkan backup
  • Redis: cache bersama dan penyimpanan sesi, terutama dipakai untuk manajemen sesi dan task queue seperti pada Authentik

• Software kustom

  • Highlight Exporter: layanan Go yang mengekstrak highlight buku dari KOReader, Readwise, dan Apple Books lalu mengubahnya menjadi Markdown kompatibel Obsidian
  • Telegram Assistant: bot Telegram yang menyediakan berbagai tugas otomasi dan akses AI di dalam group chat. Ini adalah proyek yang paling sering ditulis ulang untuk menguji teknologi baru
  • Chess-blunder trainer: web app yang memuat game dari chess.com atau lichess.com, menganalisisnya dengan Stockfish, lalu memilih langkah-langkah blunder untuk latihan, dan akan segera dirilis sebagai open source

Monitoring

• Beszel

  • Solusi monitoring ringan dengan pengaturan sederhana, operasional mudah, dan default yang baik
  • Stack Grafana dianggap terlalu berat dan kompleks hanya untuk melihat statistik OS dasar pada dua mesin
  • Proyek serupa seperti Glances juga dirasa membutuhkan terlalu banyak tuning
  • Beszel mencakup 120% dari kebutuhan sambil tetap mudah diinstal

• Statsping

  • Alat ping layanan minimalis untuk monitoring detail terhadap resource tertentu
  • Mengirim ping ke endpoint yang ditentukan untuk melaporkan latensi dan ketersediaan, serta memberi notifikasi dengan berbagai cara saat layanan bermasalah
  • Di-host pada mesin cloud agar tetap hidup bahkan saat homelab bermasalah, tanpa overhead maintenance terpisah

Kekurangan saat ini

• Backup

  • Menyadari pentingnya backup, tetapi saat ini belum diimplementasikan sama sekali
  • Dibanding kehilangan data film, musik, atau foto, yang lebih dibutuhkan adalah backup database untuk tiap layanan, tetapi solusi yang tepat (seperti restic) dan konfigurasi hardware-nya belum diputuskan

• Konfigurasi RAID

  • Data media dan sistem masih berada bersama dalam satu drive M2 NVMe
  • Ruang fisik untuk server NAS atau mesin backup terpisah masih terbatas

• Kemandirian dari cloud

  • Ketersediaan resource sangat bergantung pada infrastruktur Cloudflare Tunnel
  • Jika Cloudflare mengalami gangguan, akses ke infrastruktur juga ikut terhenti, dan ada rencana untuk berinvestasi pada alternatif di masa depan

• IaC dan otomasi penuh

  • Playbook Ansible dijalankan manual tanpa pipeline CI atau provisioning otomatis
  • Untuk sekarang, transisi ke GitOps belum dirasa akan memberi manfaat besar

Efisiensi biaya dan kesimpulan

• Menghabiskan sekitar 7 euro per bulan untuk mesin virtual Hetzner, sementara konsumsi listrik home server diperkirakan sangat rendah
• Menambahkan layanan baru atau mengubah konfigurasi memakan waktu sekitar 20–30 menit, dengan sebagian besar pekerjaan didelegasikan ke Claude Code dan hanya ditinjau singkat sebelum deployment
• Total waktu yang dihabiskan untuk seluruh proyek diperkirakan sekitar 100–150 jam selama beberapa tahun
• Data tetap dimiliki dengan minim vendor lock-in, tanpa risiko kehilangan data akibat perubahan mendadak pada syarat layanan, feed algoritmik, atau merger dan akuisisi
• Tujuannya bukan sistem yang sempurna, melainkan memahami infrastruktur dan menikmati prosesnya; tiap layanan yang di-deploy, role Ansible yang ditulis, dan secret yang dienkripsi punya nilai pembelajaran tersendiri
• Untuk memulai homelab, yang penting adalah mulai dari kecil dan tidak terlalu overthinking