El autor describe una arquitectura actualizada para desplegar servicios autoalojados sobre Proxmox, sustituyendo el veterano enfoque de Docker dentro de contenedores LXC no privilegiados, que en 2026 resulta cada vez más frágil por la adopción de cgroup v2, perfiles AppArmor más estrictos y mayores restricciones de User Namespaces. La propuesta combina máquinas virtuales ligeras creadas con linked clones de cloud-init sobre un pool ZFS, Docker rootless ejecutado en espacios de nombres de usuario no privilegiados y montaje de almacenamiento compartido mediante VirtIO-FS con la opción X-mount.idmap de systemd-mount, basada en los idmapped mounts del kernel Linux 5.12. Este esquema mantiene la eficiencia de recursos del LXC al tiempo que ofrece el aislamiento propio de una VM, algo clave para evitar que un ataque a la cadena de dependencias de un servicio (por ejemplo Immich) comprometa datos de otro (por ejemplo Nextcloud).
La guía cubre la configuración de tres pools ZFS —el pool de arranque rpool/bpool, un pool SSD en mirror para VMs y logs, y un pool HDD raidz2 de 6×8 TB para datos—, y distingue entre almacenamiento efímero, como las imágenes Docker en ~/.local/share/docker, y datos persistentes, para mantener las copias de seguridad contenidas. También detalla la creación de una imagen .qcow2 personalizada y de una plantilla IP-agnóstica mediante cloud-init en Proxmox, el despliegue de una VM de tooling y la convivencia, dentro de una misma VM, de múltiples servicios aislados en distintos namespaces de usuario, cada uno con sus propios mapeos UID/GID.