Là một người dùng tương đối (thậm chí là rất) muộn màng của Tailscale và những khả năng kết nối mạng ảo mạnh mẽ mà nó mang lại, tôi đã trải qua một hành trình thú vị. Một phần lý do là tôi đã quen với các nhà cung cấp VPN truyền thống, và một phần khác là cho đến gần đây, tôi chưa thực sự có nhu cầu truy cập home lab từ xa – đơn giản vì tôi chưa có home lab để truy cập.
Vâng, thời thế đang thay đổi, và giờ đây, câu hỏi không còn là làm thế nào để cài đặt Tailscale, mà là “tôi đã bỏ sót bao nhiêu thiết bị chưa cài đặt?”. Mặc dù tôi có thể hiểu khá nhiều về mạng, DNS, domain và cách chúng kết nối với nhau để tạo thành internet, điều đó không có nghĩa là tôi thực sự thích thú với việc cấu hình chúng, chẳng hạn như những “điệu nhảy phức tạp” của việc thay đổi cài đặt ở nhiều nơi và đảm bảo mọi octet nằm đúng vị trí.
Đừng hiểu lầm, tôi yêu thích việc học hỏi và cảm giác mọi thứ hoạt động sau (đôi khi) hàng giờ bực bội, nhưng tôi cũng có những ưu tiên khác. Home lab của tôi sẽ không tự vận hành, và càng dành nhiều thời gian cho mạng, tôi càng ít thời gian để thực hiện các thử nghiệm thú vị. Đó chính là lúc Tailscale xuất hiện, và cụ thể hơn là Tailscale Funnel.
Tính năng nội tại này của MagicDNS của Tailscale cho phép tôi kiểm tra các dịch vụ tự host từ một URL công cộng mà không cần thiết lập các bản ghi domain hay bất kỳ cấu hình mạng nào khác mà tôi không muốn làm. Nhờ đó, tôi có thể tập trung vào dịch vụ và làm cho nó hoạt động. Tailscale Funnel thực sự tuyệt vời, và phần tốt nhất là chúng không mất nhiều thời gian để sử dụng.
1. Đơn Giản Đến Bất Ngờ: Kích Hoạt Chỉ Với Một Dòng Lệnh
Tôi đã thử vô số cách để truy cập các dịch vụ đang chạy trong home lab của mình từ bên ngoài mạng gia đình. Hầu hết đều là các giải pháp VPN khiến thiết bị của tôi hoạt động như thể nó đang ở nhà, hoặc reverse proxy để xử lý việc chuyển các gói dữ liệu qua thiết bị mạng của tôi, hoặc một sự kết hợp của cả hai. Một số phức tạp khi thiết lập, một số ít hơn, nhưng tất cả đều yêu cầu thêm các bước để bắt đầu hoạt động.
Tailscale Funnel thì không. Cài đặt Tailscale rất nhanh, và thiết lập Funnel để công khai một ứng dụng tự host đơn giản chỉ bằng một dòng lệnh duy nhất trong cửa sổ terminal.
tailscale funnel [port]Chỉ cần thế là đủ để cổng dịch vụ được kết nối với cổng bên ngoài, một bản ghi DNS liên quan và một URL tailnet để dễ dàng truy cập. Có thể mất vài phút để các bản ghi DNS lan truyền, nhưng đó là tốc độ tối đa mà các máy chủ định danh có thể đạt được. Không cần chỉnh sửa file YAML, không cần nhớ (hoặc gõ sai!) cú pháp hay ánh xạ cổng; chỉ một lệnh duy nhất mà còn có thể sử dụng các cổng khác nhau cho nội bộ và bên ngoài nếu bạn cần.
Raspberry Pi chạy Tailscale Funnel kết nối với máy tính, minh họa việc truy cập home lab từ xa chỉ với một lệnh đơn giản
2. Bảo Mật Vượt Trội Với Mã Hóa Đầu Cuối và Chứng Chỉ Tự Động
Kết nối với các ứng dụng tự host của tôi khá dễ dàng khi tôi ở nhà, ngoại trừ việc phải xử lý các chứng chỉ tự ký (self-signed certificates) cho việc sử dụng HTTPS. Tuy nhiên, những chứng chỉ tự ký đó có thể trở thành vấn đề khi cố gắng làm cho các ứng dụng này khả dụng bên ngoài ngôi nhà của tôi, chẳng hạn như thông qua một reverse proxy được bảo mật đúng cách. Không phải là không thể, nhưng nó đòi hỏi thêm vài bước để xác minh chứng chỉ đáng tin cậy, và cũng tốn kém một khoản chi phí.
Nhưng ngay khi một Tailscale Funnel được khởi tạo, Tailscale sẽ cung cấp cho bạn một subdomain DNS thực, điều này có nghĩa là bạn sẽ nhận được một chứng chỉ được cấp từ cấp độ tin cậy của Tailscale và do đó được trình duyệt web của bạn tự động tin cậy. Đó vẫn là một chứng chỉ Let’s Encrypt tự ký, nhưng bạn không phải tự mình mua domain, thiết lập VPS và trỏ domain registrar của mình đến đó để có được các chứng chỉ đáng tin cậy; nó chỉ đơn giản là hoạt động. Một lần nữa, tôi ghét phải đối phó với những rắc rối của DNS, và có một thứ làm tất cả cho tôi một cách liền mạch gần như là phép thuật.
Khi URL Funnel được sử dụng, nó thiết lập một proxy TCP giữa ứng dụng liên quan và thiết bị mà URL đó được nhấp vào. Toàn bộ quá trình được mã hóa hoàn toàn và không bao giờ giải mã lưu lượng truy cập giữa các thiết bị công cộng và thiết bị của bạn. Phần duy nhất của liên kết không được mã hóa là giữa máy chủ Tailscale trong nhà tôi và ứng dụng tôi đang truy cập, giống như khi tôi đang ở nhà.
Tủ mạng với hệ thống cáp và thiết bị kết nối, tượng trưng cho hạ tầng home lab được bảo mật chắc chắn
3. Nói Không Với Port Forwarding: An Toàn Tuyệt Đối Cho Mạng Nội Bộ
Tôi luôn cảnh giác về việc để các cổng mở ra internet, và bất kỳ ai trong thời đại này cũng nên như vậy. Việc thiết lập các quét IP tự động để xác định các cổng mở cho việc thăm dò trong tương lai là quá dễ dàng, và bảo mật chúng đúng cách là một thách thức đáng kể. Nếu bạn có thể port forward ngay từ đầu, các ISP thường hạn chế khả năng này, đặc biệt là trên các cổng cụ thể (cổng 25 cho SMTP rất phổ biến bị chặn). Đó là lý do tại sao tôi thường không bận tâm và sử dụng một cái gì đó như Pangolin sử dụng các phương pháp NAT traversal để tránh cần bất kỳ cổng mở hoặc cấu hình tường lửa nào.
Về mặt kỹ thuật, Tailscale Funnels có mở một cổng, nhưng chỉ đến tailnet của bạn, chứ không phải internet có thể quét công khai. Với một URL được bảo mật HTTPS để truy cập các ứng dụng của tôi, tôi không phải lo lắng về các cuộc tấn công tự động hoặc bất kỳ vấn đề nào khác mà việc có một cổng mở vĩnh viễn trên tường lửa của tôi có thể gây ra. Tôi thậm chí không phải lo lắng về việc thay đổi các bản ghi DNS. Thêm vào đó, tôi không phải thực hiện port forwarding, điều mà tôi rất vui mừng mỗi khi tôi thiết lập một Funnel.
Tủ mạng đóng cửa, thể hiện một hệ thống mạng home lab được bảo vệ an toàn khỏi các mối đe dọa từ internet công cộng
4. Khai Thác Sáng Tạo: Kết Hợp Với Reverse Proxy Mạnh Mẽ
Funnels mạnh mẽ như một reverse proxy đơn giản, cho phép một dịch vụ tự host dễ dàng được sử dụng từ một URL có thể chia sẻ. Bạn có thể sử dụng nhiều Funnel để truy cập mọi thứ trong home lab của mình, nhưng có một cách thanh lịch hơn mà tôi đã bỏ qua bấy lâu nay. Lệnh Funnel cũng hỗ trợ chuyển tiếp TCP, điều đó có nghĩa là bạn có thể thiết lập nó để chuyển tiếp đến Caddy, hoặc bất kỳ reverse proxy nào khác được host cục bộ.
Vẻ đẹp của điều này là phần reverse proxy thường khó bảo mật lại không bao giờ rời khỏi mạng cục bộ của bạn, do đó bề mặt tấn công được giảm đáng kể. Điểm truy cập duy nhất đến thông qua một URL Tailscale an toàn, vì vậy việc có một nhà cung cấp xác thực trên reverse proxy của bạn sẽ khóa bất kỳ ai bạn không muốn. Nó cũng có nghĩa là bạn có thể truy cập các ứng dụng, dịch vụ, thư mục và các tài nguyên khác có thể không nằm trên tailnet của bạn, mà không cần phải cài đặt Tailnet client trên mỗi thiết bị.
Bộ chuyển mạch Zyxel XGM1915 với nhiều cổng kết nối, minh họa khả năng định tuyến và quản lý đa dịch vụ trong home lab
5. Chia Sẻ Dễ Dàng: Mở Cửa Cho Người Không Dùng Tailscale
Cho đến nay, mọi tính năng tôi yêu thích về Tailscale Funnel đều mang lại lợi ích cá nhân. Nhưng vì Funnel rất tuyệt vời để chia sẻ các dịch vụ tự host của bạn với bạn bè và thành viên gia đình đáng tin cậy, có một tính năng nội tại mang lại lợi ích lớn nhất cho họ. Tất cả chúng ta có lẽ đều đã trải qua sự phản đối khi cố gắng chuyển sang các giải pháp tự host thay thế, vì đôi khi chúng có thể khó kết nối hơn so với các dịch vụ đăng ký mà chúng đang thay thế.
Không ai muốn gõ địa chỉ IP hoặc chi tiết kết nối SSH. Nó tốn nhiều công sức hơn so với việc sử dụng SSO để truy cập dịch vụ. Tuy nhiên, tất cả họ đều có thể, và sẽ, nhấp vào một liên kết, biến URL Tailscale Funnel đó thành một phần vô giá trong chiến lược của bạn. Không phải ai cũng muốn học cách mọi thứ hoạt động, nhưng nếu rào cản gia nhập được loại bỏ, họ sẽ vui vẻ lắng nghe lý do tại sao nó phù hợp hơn với nhu cầu của họ.
Giao diện người dùng web của Tailscale hiển thị danh sách các thiết bị và cấu hình Funnel, đơn giản hóa việc quản lý mạng ảo
Tôi đã nhìn thấy ánh sáng ở cuối “funnel”, và Tailscale sắp trở thành một trong những điều đầu tiên tôi cài đặt bất cứ khi nào tôi triển khai một dịch vụ home lab hoặc thử nghiệm mới. Tôi luôn nói hãy tập trung vào những gì bạn yêu thích trong home lab của mình, và trả tiền hoặc thuê ngoài những thứ bạn không thích. Và bạn biết điều tôi không thích là gì không? Thiết lập bản ghi DNS, port forwarding, reverse proxy và mọi thứ cần thiết khác để sử dụng các công cụ tự host bên ngoài mạng của tôi trong khi vẫn an toàn. Tailscale Funnel làm tất cả công việc khó khăn đó cho tôi, cho phép tôi tập trung vào việc thử các công cụ và dịch vụ mới, điều mà tôi thực sự yêu thích ở home lab.
Bạn đã sẵn sàng biến việc quản lý home lab trở nên đơn giản và an toàn hơn chưa? Hãy chia sẻ trải nghiệm của bạn với Tailscale Funnel trong phần bình luận!
