ADR-008: Cloudflare DNS fuer alle Projekte¶
| Feld | Wert |
|---|---|
| Status | accepted |
| Datum | 2026-03-21 |
| Betrifft | alle |
Kontext¶
Das Homelab-Oekosystem verwaltet mehrere Domains (robinwerner.net,
novabrands.org) mit Subdomains fuer jeden Service. DNS-Records muessen
zuverlaessig verwaltet und bei Bedarf automatisiert erstellt werden koennen.
Zusaetzlich benoetigen die Let's Encrypt Wildcard-Zertifikate (via Traefik) eine DNS-01-Challenge, die programmatischen Zugriff auf die DNS-Zone voraussetzt.
Entscheidung¶
Cloudflare wird als DNS-Provider fuer alle Domains eingesetzt. Records
werden API-gesteuert verwaltet — entweder ueber Bootstrap-Skripte oder
ueber den cloudflare-ddns-Container fuer dynamische IPs.
Cloudflare-Proxy (orange Cloud) wird nicht aktiviert. Alle Records nutzen DNS-Only (grey Cloud), da die Services hinter Traefik mit eigenen TLS-Zertifikaten laufen.
Alternativen¶
| Option | Ergebnis |
|---|---|
| Self-hosted DNS (Pi-hole/Bind) | Pi-hole wird nur intern fuer lokale DNS-Aufloesung genutzt. Als autoritativer DNS-Server fuer oeffentliche Domains ungeeignet — keine Redundanz, kein Anycast, kein DDoS-Schutz. |
| AWS Route53 | Zuverlaessig, aber kostenpflichtig. API-Zugang ueber AWS-Credentials komplexer. Kein Vorteil gegenueber Cloudflare fuer diesen Anwendungsfall. |
| Manuell ueber Registrar | Kein API-Zugang, manuelle Pflege bei jeder Aenderung. Nicht kompatibel mit automatisierten Bootstrap-Skripten. |
Konsequenzen¶
Positiv:
- Kostenloser Tier deckt alle Anforderungen ab
- Umfangreiche API ermoeglicht Automatisierung in Bootstrap-Skripten
- DNS-01-Challenge fuer Let's Encrypt Wildcard-Zertifikate nativ unterstuetzt
- DDNS ueber
cloudflare-ddns-Container fuer dynamische Home-IP - Anycast-Netzwerk sorgt fuer schnelle DNS-Aufloesung weltweit
Negativ:
- Vendor-Lock-in fuer DNS — Migration erfordert Zone-Export und Nameserver-Wechsel
- API-Token muss sicher verwaltet werden (Env-Variable, nie im Repo)
- Abhaengigkeit von externem Dienst fuer grundlegende Infrastruktur