Architecture générale

Schéma de flux

Internet
   │
   ├── Port 80/443 → LXC 101 (NGINX Proxy Manager)
   │                      │
   │         ┌────────────┼────────────┐
   │         ▼            ▼            ▼
   │    plex.2h15.fr  immich.2h15.fr  vault.2h15.fr ...
   │
   └── Port 51820/UDP → LXC 105 (WireGuard VPN)
                              │
                        10.0.0.0/24
                        (accès réseau local complet)

Proxmox VE

• Host : 192.168.1.215, port 8006
• Accès Proxmox : uniquement via VPN (192.168.1.215:8006 depuis 10.0.0.0/24)
• Tous les conteneurs sont des LXC Debian 12 sauf Home Assistant (VM KVM)

Réseau local

• Plage : 192.168.1.0/24
• Passerelle : 192.168.1.254
• IPs fixes assignées manuellement à chaque LXC/VM

Accès internet

• Reverse proxy centralisé : NPM (LXC 101) gère tous les sous-domaines publics
• Certificats SSL : Let's Encrypt via NPM (validation HTTP-01)
• Services sensibles (dashboard, uptime, docs) : accessibles uniquement depuis le réseau local ou via VPN

Stockage

/dev/sda  →  OS Proxmox + VMs/LXC
/dev/sdb  →  Données
  ├── sdb1  →  Données Immich (279 Go) — monté dans LXC 104 via mp0
  └── sdb2  →  Médias torrents/Plex (~partagé LXC 103 + LXC 109)
               Structure : /mnt/ext/
                 ├── Series/
                 ├── Films/
                 ├── Perso/
                 └── downloads/

Permissions sdb2

Le disque sdb2 est partagé entre LXC 103 (Plex, uid 101000) et LXC 109 (stack *arr, uid 101000). Les permissions sont calées sur uid 101000 du host (= uid 1000 dans les LXC).