Khi hệ thống mạng tại nhà của bạn trở nên phức tạp hơn, đặc biệt nếu bạn bắt đầu tự host các ứng dụng và dịch vụ, việc thiết lập một reverse proxy là điều bạn nên cân nhắc để bảo vệ các dịch vụ đó khỏi Internet. Về cơ bản, đây là một máy chủ khác nằm giữa thiết bị chứa ứng dụng tự host của bạn và Internet. Tuy nhiên, thay vì cung cấp quyền truy cập ra bên ngoài Internet, nó lại cung cấp quyền truy cập vào các ứng dụng đó từ bên ngoài.
Điều này mang lại một điểm truy cập duy nhất để cấu hình, ghi log và quản lý dễ dàng hơn, vì bạn có thể thay đổi các cài đặt trên một thiết bị mà không cần phải thay đổi chúng trên các ứng dụng tự host khác hoặc các thiết bị khác trong mạng của bạn. Reverse proxy là một bổ sung tuyệt vời cho bất kỳ thiết lập home lab nào. Mỗi phần mềm reverse proxy có cách hoạt động hơi khác nhau và đi kèm với các tính năng bổ sung mà bạn có thể thấy hữu ích cho mạng gia đình của mình. Dưới đây là danh sách những phần mềm reverse proxy yêu thích của chúng tôi, giúp việc quản lý ứng dụng tự host và mạng gia đình của bạn trở nên đơn giản hơn nhiều.
Quản lý các ứng dụng tự host như máy chủ Minecraft bằng reverse proxy
NGINX Proxy Manager (NPM)
Cách dễ nhất để phơi bày ứng dụng tự host trong khi vẫn giữ mạng gia đình an toàn
Nginx là một trong những reverse proxy được sử dụng phổ biến nhất, nhưng giao diện dòng lệnh của nó có thể gây khó khăn cho người dùng mới. Nginx Proxy Manager (NPM) ra đời nhằm khắc phục điều đó, bổ sung một bảng điều khiển thân thiện với người dùng để việc quản trị reverse proxy trở nên đơn giản hơn. Cùng với các tính năng tiêu chuẩn của Nginx để phơi bày các dịch vụ web trong mạng, NPM còn cung cấp chứng chỉ SSL miễn phí qua Let’s Encrypt, tích hợp với Docker, hỗ trợ nhiều người dùng và tài liệu hướng dẫn chi tiết phòng khi bạn gặp khó khăn. Nhờ sự đơn giản, đây là lựa chọn tốt cho việc sử dụng trong các home lab, mặc dù điều đó cũng có nghĩa là nó không dễ dàng mở rộng quy mô nếu hạ tầng mạng của bạn phát triển.
Logo Nginx Proxy Manager – Giải pháp reverse proxy dễ dùng
Envoy Proxy
Được Lyft xây dựng, reverse proxy này tuyệt vời cho microservices
Ban đầu được phát triển nội bộ bởi Lyft, Envoy Proxy được thiết kế để giúp việc sử dụng microservices dễ dàng hơn bằng cách xử lý các giao tiếp giữa các dịch vụ. Điều này rất quan trọng đối với thiết kế ứng dụng hiện đại, nhưng phần mềm cũng được thiết kế để xử lý tất cả các tác vụ thường liên quan đến một reverse proxy, vì vậy nó có thể được cấu hình để xử lý nhiều khối lượng công việc trên mạng gia đình của bạn. Bạn có thể sử dụng nó làm ingress proxy hoặc thậm chí là egress proxy và để nó xử lý tất cả lưu lượng cho mạng của bạn theo cả hai hướng. Envoy cũng có khả năng xử lý bảo mật cấp mạng, xác thực, cân bằng tải và khám phá dịch vụ, vì vậy nó sẵn sàng mở rộng khi mạng của bạn phát triển.
Biểu tượng Envoy Proxy – Gateway cho microservices
Apache
Hầu hết các máy chủ web có thể được thiết lập như một reverse proxy đơn giản
Đối với một thiết lập reverse proxy đơn giản, một máy chủ web Apache có thể được cấu hình để thực hiện công việc, che giấu các máy chủ backend hoặc ứng dụng tự host của bạn khỏi Internet. Điều đó có thể có nghĩa là bạn sẽ có hai hoặc nhiều máy chủ Apache trên mạng của mình, một máy xử lý định tuyến và các yêu cầu bên ngoài, và (các) máy khác phục vụ nội dung thông qua reverse proxy. Apache có thể làm điều này nhờ cấu trúc linh hoạt có thể mở rộng bằng plugin hoặc module, và module mod_proxy chính là thứ cho phép nó hoạt động như một reverse proxy.
Sơ đồ Apache server hoạt động như một reverse proxy cân bằng tải
Mặc dù Apache có thể không có một số tính năng nâng cao của các reverse proxy khác, nhưng nó có thể xử lý mã hóa SSL, cân bằng tải, bộ nhớ đệm (caching), nén phản hồi HTTP và các chức năng cơ bản khác mà bạn có thể muốn kích hoạt.
Logo Apache server – Biểu tượng Feather
HAProxy
Một trong những reverse proxy được sử dụng nhiều nhất trên thế giới và được tích hợp trong hầu hết các bản phân phối Linux phổ biến
HAProxy là một proxy có tính sẵn sàng cao (high-availability proxy) được sử dụng chủ yếu để cải thiện thời gian hoạt động (uptime) trong môi trường máy chủ. Nó được sử dụng rộng rãi trên nhiều dịch vụ Internet mà bạn sẽ nhận ra ngay lập tức, bao gồm GitHub, Twitter, Imgur và Instagram. Mặc dù bạn có thể không cần các tính năng cân bằng tải cho thiết lập mạng gia đình của mình, bạn không nhất thiết phải cấu hình chúng và HAProxy vẫn rất phù hợp khi được sử dụng như một reverse proxy đơn giản để giúp việc quản trị ứng dụng tự host của bạn trở nên dễ dàng.
Logo HAProxy – Công cụ cân bằng tải hiệu năng cao
Traefik
Proxy ứng dụng tiên tiến với khả năng tự động khám phá thành phần và định tuyến
Traefik được xây dựng khác với các máy chủ web như Nginx cũng có chức năng reverse proxy, bởi vì nó tập trung lớn vào các ứng dụng cloud native và được thiết kế như một proxy ngay từ đầu. Do đó, nó có hỗ trợ tích hợp cho microservices, Docker, Kubernetes, Rancher và Consul, cho phép bạn liên kết các dịch vụ được container hóa của mình lại với nhau trong một bảng điều khiển quản trị duy nhất. Nó cũng có giao diện thân thiện với người dùng, tích hợp sẵn SSL từ Let’s Encrypt và có khả năng tự động khám phá dịch vụ, giúp việc triển khai dễ dàng hơn. Bạn cũng nhận được các tích hợp với phần mềm đồ thị và giám sát như Grafana, DataDog và Prometheus, mang đến cho bạn một giải pháp proxy mạnh mẽ với cái nhìn sâu sắc về lưu lượng truy cập.
Giao diện bảng điều khiển Traefik reverse proxy trực quan
Logo Traefik proxy – Giải pháp cho ứng dụng đám mây
Ngrok
Mở các kênh bảo mật đến các dịch vụ localhost dễ dàng để thử nghiệm và phát triển
Mặc dù nhiều reverse proxy được dùng để phơi bày các dịch vụ sẵn sàng sản xuất ra Internet, Ngrok được thiết kế như một công cụ phát triển để kiểm tra các máy chủ web cục bộ. Nó tạo ra các kênh bảo mật (secure tunnels) đến các máy localhost, cho phép bạn dễ dàng kiểm tra các API hoặc tích hợp dịch vụ bên thứ ba trước khi đẩy code ra các máy chủ sản xuất. Ngrok được xây dựng với mục tiêu bảo mật, với mã hóa TLS/SSL, nhiều cách xác thực người dùng, kiểm soát truy cập và các tính năng ghi log, giám sát sâu. Hơn nữa, nó có thể theo dõi và phát lại các yêu cầu HTTP, giúp bạn kiểm tra xem các cuộc gọi API hoặc webhook có hoạt động đúng cách và truyền dữ liệu chính xác khi được gọi hay không. Do đó, Ngrok không phải là một giải pháp thay thế cho reverse proxy đứng trước các ứng dụng tự host của bạn, mà là một công cụ hữu ích cho môi trường thử nghiệm.
Bảng điều khiển Ngrok hiển thị các tunnel bảo mật
Logo Ngrok – Công cụ tạo tunnel cho localhost
Pipy
Reverse proxy và cân bằng tải hiệu suất cao với công cụ JavaScript tích hợp
Pipy là một bộ xử lý lưu lượng mạng mã nguồn mở khác được thiết kế nhẹ và có hiệu suất cao. Nó được viết bằng C++ nhưng sử dụng JavaScript (PipyJS) để tạo script cho các sự kiện và dịch vụ, do đó bạn sẽ cấu hình reverse proxy của mình trong một chương trình JavaScript. Chương trình Pipy chính chỉ có kích thước 6MB, vì vậy nó rất lý tưởng để sử dụng trên các máy chủ có bộ nhớ hạn chế. Nhưng nó cũng tương tự như Envoy, ở chỗ bạn có thể thiết lập một proxy Pipy như một sidecar trên mỗi tiến trình ứng dụng và để các proxy xử lý các giao tiếp giữa các ứng dụng. Ngoài ra, bạn có thể bật các quy tắc và chính sách khác nhau cho các dịch vụ upstream, bởi vì không phải mọi ứng dụng bên ngoài đều cần truy cập mọi microservice mà bạn đang chạy.
Giao diện bảng điều khiển Pipy server mẫu
Logo Pipy – Bộ xử lý lưu lượng mạng hiệu suất cao
YARP
Được Microsoft xây dựng bằng ASP.NET và .NET
YARP được phát triển nội bộ bởi Microsoft, khi một nhóm các đội nội bộ bắt đầu phát triển các proxy riêng trước khi hợp nhất chúng thành một. Nó được xây dựng trên .NET sử dụng ASP.NET (và .NET 6 trở lên) và được thiết kế để dễ dàng tùy chỉnh cho các kịch bản triển khai khác nhau. Tài liệu của YARP có các bước triển khai dễ hiểu và có một ví dụ đầy đủ về một máy chủ reverse proxy đơn giản để bạn bắt đầu nếu muốn đi sâu vào ngay lập tức.
Bảng điều khiển YARP proxy do Microsoft phát triển
Logo YARP – Reverse proxy xây dựng trên .NET
Sozu
Thiết kế và xây dựng bằng Rust với trọng tâm lớn vào sự ổn định
Sozu là một reverse proxy HTTP mã nguồn mở, nhanh và nhẹ, được viết bằng Rust để tận dụng khả năng an toàn bộ nhớ và xử lý đồng thời của ngôn ngữ lập trình này. Kết quả là reverse proxy này nhanh hơn hầu hết các đối thủ và có khả năng xử lý tải trọng cao với độ trễ tối thiểu. Sozu cũng được thiết kế để cho phép thay đổi cấu hình mà không cần ngắt kết nối, nhờ kiến trúc bất biến (immutable architecture) sao chép module hiện có, thực hiện thay đổi cấu hình trong bản sao, trước khi chuyển các kết nối sang và xóa module gốc. Điều này hoàn hảo cho các môi trường yêu cầu tính sẵn sàng cao, và không có lý do gì bạn không nên sử dụng nó tại nhà để tìm hiểu thêm các khái niệm mạng bổ sung mà nó cho phép.
Giao diện trang web Sozu proxy – Được viết bằng Rust
Logo Sozu proxy – Tập trung vào ổn định và hiệu suất cao
Đưa reverse proxy vào mạng gia đình giúp tự host dễ dàng và an toàn hơn
Dù bạn đang tự host một vài ứng dụng trên NAS hay chạy một cụm máy chủ sản xuất, việc định tuyến chúng thông qua reverse proxy mang lại nhiều lợi ích. Ngoài việc không phơi bày địa chỉ IP thiết bị của bạn ra Internet, bạn còn có thể đạt được khả năng cân bằng tải, mã hóa dữ liệu và khả năng truy cập các dịch vụ tại chỗ (on-premises) và đám mây từ cùng một URL. Phần mềm reverse proxy tốt nhất còn bao gồm bảo vệ khỏi các cuộc tấn công DDoS và các tính năng như khả năng thiết lập danh sách truy cập và xác thực đa yếu tố (MFA). Và tất nhiên, việc quản trị được đơn giản hóa bằng cách chỉ cần trỏ các dịch vụ đến reverse proxy của bạn thay vì phải quản lý từng dịch vụ riêng lẻ.
