Tutoriel Nextcloud All-in-One avec Docker en 2026 : installation complète et HTTPS automatique

Reprendre le contrôle de vos fichiers, de votre agenda et de vos contacts sans dépendre de Google Drive ou de Dropbox : c’est exactement ce que permet Nextcloud. Mais l’installation « manuelle » de Nextcloud a longtemps été un casse-tête, avec sa base de données, son cache Redis, son serveur PHP-FPM, son cron, son antivirus et son moteur de recherche à orchestrer un par un. En 2026, l’équipe Nextcloud recommande officiellement Nextcloud All-in-One (AIO) : une image Docker maître qui déploie et maintient automatiquement tous ces composants à votre place.

Dans ce tutoriel, on déploie Nextcloud AIO sur un VPS, on le place derrière un reverse proxy HTTPS propre, on active les sauvegardes intégrées et on durcit l’ensemble. À la fin, vous disposez d’un cloud personnel complet, chiffré en TLS, avec un sous-domaine dédié, prêt à synchroniser vos appareils.

Prérequis

• Un VPS sécurisé sous Ubuntu 24.04 LTS (ou Debian 12), avec au minimum 2 vCPU, 4 Go de RAM et 40 Go de disque (Nextcloud AIO tire plusieurs conteneurs). Un fournisseur comme Hetzner propose des instances CX22/CPX21 parfaitement dimensionnées pour cet usage. Si votre serveur n’est pas encore configuré, suivez d’abord notre guide pour installer et sécuriser un VPS Ubuntu.
• Docker et Docker Compose installés (commande d’installation à l’étape 1).
• Un nom de domaine dont vous contrôlez le DNS. On utilisera cloud.exemple.fr comme sous-domaine d’exemple.
• Les ports 80 et 443 ouverts sur le pare-feu UFW (validation Let’s Encrypt et trafic HTTPS), ainsi que le port 8080 temporairement pour l’interface d’administration AIO.
• Idéalement, un reverse proxy déjà en place. On montrera la configuration Caddy ; le principe est identique avec Traefik ou Nginx Proxy Manager.

Étape 1 : Installer Docker

Si Docker n’est pas présent, installez-le depuis le dépôt officiel (les versions des dépôts Ubuntu sont souvent en retard) :

sudo apt update
sudo apt install -y ca-certificates curl
sudo install -m 0755 -d /etc/apt/keyrings
sudo curl -fsSL https://download.docker.com/linux/ubuntu/gpg -o /etc/apt/keyrings/docker.asc
sudo chmod a+r /etc/apt/keyrings/docker.asc
echo "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/ubuntu $(. /etc/os-release && echo "$VERSION_CODENAME") stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
sudo apt update
sudo apt install -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

Vérifiez :

docker --version && docker compose version

Étape 2 : Pointer le DNS

Chez votre fournisseur DNS, créez un enregistrement A (et AAAA si IPv6) faisant pointer votre sous-domaine vers l’IP du VPS :

Type	Nom	Valeur
A	cloud.exemple.fr	203.0.113.10

Vérifiez la propagation :

dig +short cloud.exemple.fr

La commande doit renvoyer l’IP de votre VPS. Tant que ce n’est pas le cas, l’émission du certificat échouera.

Étape 3 : Comprendre l’architecture AIO

Nextcloud AIO fonctionne autour d’un conteneur maître (nextcloud-aio-mastercontainer). Vous ne configurez pas vous-même la base de données ou Redis : le maître pilote tous les conteneurs « enfants » (Nextcloud, PostgreSQL, Redis, Apache, le service de transcodage, l’antivirus ClamAV optionnel, Collabora Office, etc.) et gère leurs mises à jour. Vous interagissez avec lui via une interface web d’administration exposée sur le port 8080.

Deux modes de déploiement existent. Le plus robuste en production consiste à laisser AIO gérer son propre Apache interne en écoutant sur un port haut, puis à placer votre reverse proxy devant. C’est le mode que nous adoptons ici, car il permet de mutualiser Caddy avec vos autres services.

Étape 4 : Lancer le conteneur maître AIO

Créez un dossier de travail et le fichier de composition :

mkdir -p ~/nextcloud-aio && cd ~/nextcloud-aio
nano docker-compose.yml

services:
  nextcloud-aio-mastercontainer:
    image: nextcloud/all-in-one:latest
    container_name: nextcloud-aio-mastercontainer
    restart: always
    ports:
      - "8080:8080"
    environment:
      # Port interne sur lequel Apache d'AIO écoutera (derrière notre proxy)
      APACHE_PORT: 11000
      APACHE_IP_BINDING: 127.0.0.1
      # Domaine public servi par le reverse proxy
      NC_DOMAIN: cloud.exemple.fr
    volumes:
      - nextcloud_aio_mastercontainer:/mnt/docker-aio-config
      - /var/run/docker.sock:/var/run/docker.sock:ro

volumes:
  nextcloud_aio_mastercontainer:
    name: nextcloud_aio_mastercontainer

Quelques points cruciaux :

• APACHE_PORT: 11000 et APACHE_IP_BINDING: 127.0.0.1 indiquent à AIO d’exposer Nextcloud uniquement en local, sur le port 11000. C’est votre reverse proxy qui se chargera du TLS et de l’exposition publique.
• Le montage /var/run/docker.sock en lecture seule est indispensable : c’est ainsi que le conteneur maître orchestre les conteneurs enfants.
• Le volume nommé nextcloud_aio_mastercontainer stocke la configuration ; ne le supprimez jamais sans sauvegarde.

Lancez :

docker compose up -d

Étape 5 : Configurer le reverse proxy HTTPS (Caddy)

AIO sert désormais Nextcloud sur 127.0.0.1:11000. On place Caddy devant pour obtenir un certificat Let’s Encrypt automatique. Dans votre dossier Caddy, ajoutez ce bloc au Caddyfile :

cloud.exemple.fr {
    header {
        Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
        X-Content-Type-Options "nosniff"
        Referrer-Policy "strict-origin-when-cross-origin"
        -Server
    }
    reverse_proxy 127.0.0.1:11000
}

Si Caddy tourne en conteneur, assurez-vous qu’il atteint l’hôte. La méthode la plus simple : démarrez Caddy avec network_mode: host, ou utilisez host.docker.internal selon votre configuration. Pour un nouveau setup, suivez notre tutoriel dédié reverse proxy HTTPS automatique avec Caddy et Docker.

Rechargez Caddy sans coupure :

docker compose exec caddy caddy reload --config /etc/caddy/Caddyfile

Piège fréquent : ne placez jamais Nextcloud AIO derrière un proxy qui ré-encode lui-même le TLS sans transmettre les en-têtes X-Forwarded-*. Caddy le fait nativement ; avec Nginx, ajoutez explicitement proxy_set_header X-Forwarded-Proto https;.

Étape 6 : Finaliser via l’interface d’administration AIO

Ouvrez https://IP-du-VPS:8080 dans votre navigateur (acceptez l’avertissement de certificat auto-signé, c’est normal pour cette interface technique). AIO affiche un mot de passe maître de 16 mots : notez-le précieusement, il sert à reprendre la main sur l’instance.

Dans l’interface :

1. Saisissez le domaine cloud.exemple.fr et lancez la vérification : AIO contrôle que le domaine pointe bien vers le serveur et que le proxy répond.
2. Choisissez les conteneurs optionnels à activer : Collabora (suite bureautique en ligne), Talk (visioconférence), l’antivirus ClamAV, l’indexation full-text, l’IA locale. Activez seulement ce dont vous avez besoin pour préserver la RAM.
3. Cliquez sur Download and start containers. AIO télécharge et démarre l’ensemble de la pile. Comptez quelques minutes.

Une fois terminé, l’interface affiche les identifiants administrateur initiaux de Nextcloud. Rendez-vous sur https://cloud.exemple.fr : votre cloud est en ligne, en HTTPS, avec un cadenas valide.

Étape 7 : Durcir l’installation

• Fermez le port 8080 au public. L’interface AIO ne doit être accessible qu’en cas de maintenance. Restreignez-la avec UFW :

  sudo ufw deny 8080

  Vous y accéderez ponctuellement via un tunnel SSH : ssh -L 8080:localhost:8080 user@votre-vps, puis https://localhost:8080.

• Forcez le HSTS (déjà fait dans le Caddyfile ci-dessus) et vérifiez la note TLS sur SSL Labs : visez A+.

• Activez le chiffrement côté serveur dans Nextcloud uniquement si vous stockez des données sur un backend externe non fiable ; sinon, laissez-le désactivé pour ne pas alourdir les I/O.

• Configurez les en-têtes recommandés. Nextcloud signale les en-têtes manquants dans Administration → Vue d'ensemble ; AIO en gère la plupart, mais vérifiez ce panneau après installation.

• Maintenez à jour. AIO propose un bouton de mise à jour dans son interface ; planifiez une fenêtre hebdomadaire et lancez la mise à jour après avoir vérifié la sauvegarde.

Étape 8 : Sauvegarde intégrée

L’atout majeur d’AIO est sa sauvegarde native basée sur BorgBackup, gérée depuis l’interface d’administration. Dans le panneau Backup and restore :

1. Indiquez un répertoire de destination sur un volume distinct (idéalement un disque réseau ou un point de montage externe), par exemple /mnt/backup.
2. AIO arrête proprement les conteneurs, crée une archive Borg dédupliquée et chiffrée, puis redémarre tout.
3. Planifiez une sauvegarde quotidienne automatique et notez la clé de chiffrement Borg affichée : sans elle, la restauration est impossible.

Pour une stratégie réellement résiliente, copiez ces archives Borg vers un stockage objet hors site (Backblaze B2, Wasabi). Notre tutoriel sauvegarde automatique chiffrée avec restic et Backblaze détaille une approche offsite complémentaire applicable au dossier de backup d’AIO.

Dépannage

• « Domain does not point to this server ». Le DNS n’est pas propagé ou le port 443 est filtré. Vérifiez dig +short cloud.exemple.fr et sudo ufw status. Si vous êtes derrière Cloudflare en mode proxy (orange), désactivez-le temporairement pour la validation.
• Boucle de redirection HTTPS. Votre reverse proxy ne transmet pas X-Forwarded-Proto: https. Avec Caddy c’est automatique ; avec Nginx, ajoutez l’en-tête manuellement.
• Les conteneurs enfants ne démarrent pas. Souvent un manque de RAM. Désactivez les conteneurs optionnels (Collabora, ClamAV, Talk) dans l’interface AIO et relancez.
• Le maître ne pilote plus les enfants. Vérifiez que /var/run/docker.sock est bien monté et que Docker tourne. Consultez docker logs nextcloud-aio-mastercontainer.
• Mot de passe maître perdu. Il est stocké dans le volume nextcloud_aio_mastercontainer. Sans lui ni sauvegarde, vous devrez réinitialiser l’instance.

Vérification finale

# Tous les conteneurs AIO tournent
docker ps --filter "name=nextcloud-aio"

# Le HTTP redirige vers HTTPS
curl -sI http://cloud.exemple.fr | head -1

# Nextcloud répond en HTTPS
curl -sI https://cloud.exemple.fr | head -1

Connectez le client de bureau Nextcloud et l’application mobile à https://cloud.exemple.fr, puis configurez la synchronisation CalDAV/CardDAV pour vos agendas et contacts. Votre cloud personnel est opérationnel.

FAQ

Faut-il préférer Nextcloud AIO à l’image Docker classique ?

Pour la grande majorité des cas, oui. AIO automatise l’orchestration de la base de données, du cache, du cron, des sauvegardes et des mises à jour, là où l’image classique exige d’assembler chaque brique manuellement. L’image classique reste pertinente si vous voulez un contrôle fin sur chaque composant ou intégrer Nextcloud dans une stack Kubernetes existante.

De combien de RAM ai-je besoin ?

Comptez 4 Go de RAM pour une utilisation familiale confortable avec quelques conteneurs optionnels. Si vous activez Collabora Office, Talk et l’antivirus ClamAV simultanément, visez plutôt 6 à 8 Go. ClamAV à lui seul peut consommer 1 Go au démarrage.

Puis-je héberger Nextcloud AIO derrière un proxy existant comme Traefik ?

Oui. C’est précisément le mode recommandé ici : AIO expose Nextcloud sur 127.0.0.1:11000 et votre proxy gère le TLS. Avec Traefik, ajoutez les labels habituels pointant vers ce port. Pour comparer les reverse proxies, voyez Traefik vs Nginx Proxy Manager vs Caddy.

Les mises à jour cassent-elles l’installation ?

AIO est conçu pour des mises à jour sûres et séquentielles via son interface. Le risque principal vient des sauts de version majeure de Nextcloud, qu’AIO applique progressivement. Lancez toujours une sauvegarde Borg juste avant une mise à jour : en cas de problème, la restauration est immédiate.

Comment migrer un Nextcloud existant vers AIO ?

La migration n’est pas automatique car AIO impose sa propre structure de volumes. La méthode recommandée consiste à exporter vos données et votre base depuis l’ancienne instance, à déployer AIO à neuf, puis à réimporter les fichiers utilisateurs et à recréer les comptes. Pour de gros volumes, testez d’abord sur un serveur de staging.

Nextcloud AIO est-il adapté à un usage professionnel ?

Pour une petite équipe ou une PME, absolument : il offre versionnage de fichiers, partage granulaire, suite bureautique Collabora et visioconférence Talk. Pour des centaines d’utilisateurs simultanés, une architecture multi-serveurs avec base de données externe et stockage objet dédié devient préférable à un déploiement AIO mono-serveur.

Sur le même sujet

• Héberger Nextcloud sur un VPS
• Nextcloud vs Seafile vs ownCloud : quel cloud auto-hébergé en 2026
• Reverse proxy HTTPS automatique avec Caddy et Docker
• Sauvegarde automatique chiffrée avec restic et Backblaze
• Installer et sécuriser un VPS Ubuntu de A à Z

Avec Nextcloud AIO, vous obtenez un cloud personnel complet sans devoir maintenir une dizaine de conteneurs à la main. La sauvegarde Borg intégrée et les mises à jour pilotées en font une solution réellement « set and forget » pour la maison comme pour une petite équipe. Pour ne rater aucune mise à jour de sécurité Nextcloud ni aucun nouvel outil self-hosted, abonnez-vous à notre bot de veille Telegram.