Nếu bạn đang đi sâu vào hành trình xây dựng Home Lab với nhiều ứng dụng tự host, chắc hẳn bạn đã nhận ra việc ghi nhớ tất cả các URL để truy cập từng trang quản lý dịch vụ nhanh chóng trở thành một cơn ác mộng. Hơn nữa, nếu có bất kỳ thay đổi nào trong cấu hình mạng gia đình, bạn sẽ phải vào và điều chỉnh mọi thứ theo cách thủ công. Thay vào đó, bạn có thể thiết lập một Reverse Proxy để điều hướng lưu lượng truy cập đến các ứng dụng tự host của mình, giúp tất cả chúng đều có thể truy cập được từ cùng một URL bên ngoài duy nhất, đồng thời tăng cường bảo mật hiệu quả.
Về cơ bản, Reverse Proxy là một máy chủ khác trong mạng gia đình của bạn, nằm giữa Internet rộng lớn và các ứng dụng tự host hoặc các máy chủ khác của bạn. Điều này tạo thêm một lớp bảo mật, vì các yêu cầu của máy khách đến chỉ biết về máy chủ mà Reverse Proxy được cài đặt. Nó cũng giúp việc quản trị dễ dàng hơn, bởi vì một khi bạn đã thiết lập các quy tắc mạng nội bộ của mình, nơi duy nhất bạn cần thay đổi chúng là trên máy chủ DNS tùy chỉnh của bạn.
Bạn có thể nghĩ rằng việc thiết lập Reverse Proxy khá phức tạp, nhưng các dịch vụ hiện đại đã làm hầu hết công việc cho bạn. Bài viết này sẽ thảo luận về một phương pháp sử dụng Synology NAS, đồng thời giải thích quy trình hoạt động một cách tổng quát hơn nếu bạn muốn sử dụng một máy chủ Reverse Proxy khác.
Tủ mạng gia đình với các thiết bị switch và dây cáp, minh họa cho một hệ thống home lab
Reverse Proxy là gì và tại sao bạn cần nó cho Home Lab?
Reverse Proxy (máy chủ proxy ngược) là một loại máy chủ proxy lấy các yêu cầu từ máy khách trên Internet, chuyển tiếp chúng đến một hoặc nhiều máy chủ khác trong mạng nội bộ, và sau đó trả lại phản hồi của máy chủ đó cho máy khách. Ngược lại với forward proxy (proxy chuyển tiếp) được sử dụng để bảo vệ quyền riêng tư của máy khách, Reverse Proxy được sử dụng để bảo vệ và cung cấp các dịch vụ của máy chủ.
Có nhiều lý do chính đáng để triển khai Reverse Proxy trong môi trường Home Lab của bạn:
- Tăng cường bảo mật: Đây là lợi ích quan trọng nhất. Thay vì phải mở nhiều cổng (port) trên router để truy cập từng ứng dụng tự host riêng lẻ, bạn chỉ cần mở một cổng duy nhất (thường là 443 cho HTTPS) cho Reverse Proxy. Điều này giảm thiểu bề mặt tấn công của mạng gia đình bạn, làm cho các ứng dụng nội bộ ít bị lộ ra ngoài hơn.
- Quản lý truy cập đơn giản: Thay vì ghi nhớ các địa chỉ IP nội bộ và số cổng khác nhau (ví dụ:
192.168.1.100:8080,192.168.1.101:8000), bạn có thể truy cập tất cả các ứng dụng thông qua các tên miền phụ (subdomain) dễ nhớ (ví dụ:homeassistant.yourdomain.com,vaultwarden.yourdomain.com). - Hỗ trợ SSL/TLS tập trung: Reverse Proxy có thể xử lý việc mã hóa SSL/TLS cho tất cả các ứng dụng phía sau nó. Điều này có nghĩa là bạn chỉ cần quản lý một chứng chỉ SSL duy nhất trên Reverse Proxy, thay vì phải cấu hình và cập nhật chứng chỉ cho từng ứng dụng riêng lẻ.
- Cân bằng tải (Load Balancing): Mặc dù ít phổ biến trong Home Lab, nhưng Reverse Proxy có thể phân phối các yêu cầu đến nhiều phiên bản của cùng một ứng dụng để cải thiện hiệu suất và độ tin cậy.
- Nén dữ liệu và caching: Một số Reverse Proxy có thể nén dữ liệu hoặc lưu trữ nội dung tĩnh để tăng tốc độ tải trang cho người dùng.
Những điều cần chuẩn bị trước khi thiết lập Reverse Proxy trên Synology NAS
Để thiết lập Reverse Proxy hoạt động trên Synology NAS cho các ứng dụng tự host của bạn, bạn sẽ cần chuẩn bị một vài thứ quan trọng. Mặc dù chúng ta sẽ sử dụng Synology NAS, nhưng quy trình này tương tự đối với hầu hết các máy chủ Reverse Proxy khác.
Bạn sẽ cần:
- Danh sách các dịch vụ bạn muốn đặt sau Reverse Proxy: Liệt kê tất cả các ứng dụng tự host cùng với địa chỉ IP nội bộ và số cổng của chúng.
- Một thiết bị Synology NAS: Đảm bảo NAS của bạn đang chạy phiên bản DSM (DiskStation Manager) mới nhất.
- Chứng chỉ SSL: Đây là yếu tố quan trọng cho mục đích bảo mật, cho phép mã hóa giao tiếp (HTTPS). Bạn có thể lấy chứng chỉ miễn phí từ Let’s Encrypt ngay trong DSM.
- Một tên miền (domain name): Ví dụ:
yourdomainname.com. Điều này cho phép bạn tạo các tên miền phụ (subdomain) cho mỗi ứng dụng web bạn muốn sử dụng với Reverse Proxy (ví dụ:app1.yourdomainname.com,app2.yourdomainname.com). - Cổng 443 (hoặc 80) được chuyển tiếp (Port Forwarding) từ router đến địa chỉ IP cục bộ của NAS của bạn: Điều này cho phép lưu lượng truy cập từ Internet đến Reverse Proxy trên NAS của bạn.
- Địa chỉ IP nội bộ và số cổng của từng ứng dụng tự host: Ví dụ:
192.168.1.10:8123cho Home Assistant.
Biểu tượng ứng dụng quản lý mật khẩu Bitwarden và thiết bị NAS Synology, gợi ý về việc tự host ứng dụng bảo mật
Hướng dẫn thiết lập Reverse Proxy trên Synology NAS từng bước
Hiện tại, dịch vụ tự host duy nhất tôi đang chạy trên Synology của mình là Home Assistant. Nó rất tuyệt vời, và tôi muốn có một cách để điều khiển nhà thông minh của mình từ một bảng điều khiển duy nhất. Thông thường, tôi kết nối với Home Assistant bằng cách sử dụng kết hợp địa chỉ IP cục bộ và số cổng của nó, nhưng điều đó gây khó chịu vì nhiều lý do. Thứ nhất, địa chỉ IP của Synology của tôi có thể thay đổi tùy thuộc vào cách tôi thiết lập Home Lab, và tôi ghét phải nhớ các chuỗi địa chỉ IP và số cổng. Tôi cũng không thích ý tưởng để lộ quá nhiều cổng ra Internet rộng lớn.
Vì vậy, hãy bắt đầu bằng cách thiết lập DDNS để chúng ta có một tên miền để trỏ đến và một chứng chỉ SSL wildcard để chúng ta có thể sử dụng các tên miền phụ. Chúng ta cần chứng chỉ SSL wildcard cho bảo mật, và cũng vì nó sẽ bao phủ bất kỳ tên miền phụ nào chúng ta sử dụng. Các ứng dụng web của chúng ta sẽ được thiết lập dưới dạng yourwebappname1.domainname.com, yourwebappname2.domainname.com, v.v.
Giao diện cài đặt Reverse Proxy trong Synology DSM 7, hiển thị các trường cấu hình cho một ứng dụng tự host
Bước 1: Cài đặt DDNS và chứng chỉ SSL Wildcard
- Đăng nhập vào Synology NAS của bạn.
- Mở Control Panel, đi tới External Access > DDNS, và chọn Add.
Màn hình danh sách cài đặt DDNS trên giao diện DSM 7 của Synology, hiển thị các dịch vụ DDNS đã cấu hình - Điền vào biểu mẫu như sau: Service Provider: Synology, Hostname: mydomainname (ví dụ:
xda.synology.me), và nhấp vào Test Connection.
Cửa sổ thêm cài đặt DDNS mới trong Synology DSM 7, với các tùy chọn dịch vụ và hostname - Nếu kết nối thất bại, hostname đó đã được sử dụng, và bạn sẽ phải thử một vài phiên bản khác cho đến khi tìm thấy một tên miền chưa bị chiếm dụng.
- Ngoài ra, trước khi tiếp tục, hãy chọn vào ô bên cạnh Get a certificate from Let’s Encrypt and set it as default (Lấy chứng chỉ từ Let’s Encrypt và đặt làm mặc định).
- Nhấp vào OK.
- Điều hướng đến Security > Certificate và chọn Add.
Menu quản lý chứng chỉ SSL trong Control Panel của Synology DSM, nơi người dùng thêm hoặc thay thế chứng chỉ - Chọn Replace an existing certificate (Thay thế chứng chỉ hiện có) và chọn chứng chỉ mà chúng ta vừa tạo trước khi nhấp vào Next.
- Chọn Get a certificate from Let’s Encrypt và chọn ô bên cạnh Set as default certificate (Đặt làm chứng chỉ mặc định).
- Chọn Next.
- Điền Hostname:
mydomainname.com, địa chỉ email của bạn:[email protected], và đừng quên đặt ký tự wildcard vào ô với*.mydomainname.synology.me.
Màn hình điền thông tin để tạo chứng chỉ SSL Wildcard từ Let's Encrypt trên Synology NAS, bao gồm hostname với dấu sao - Chứng chỉ SSL wildcard cho phép chúng ta sử dụng các tên miền phụ từ cùng một chứng chỉ mà không cần tạo các chứng chỉ mới. Điều này rất quan trọng, vì vậy hãy nhấp vào Next khi bạn hoàn tất để lưu chứng chỉ SSL.
Bước 2: Cấu hình Reverse Proxy cho ứng dụng của bạn
Bây giờ là lúc thiết lập Reverse Proxy cho ứng dụng tự host đầu tiên của chúng ta. Nếu bạn có nhiều hơn một ứng dụng, hãy lặp lại phần này của quy trình, thay đổi tên miền phụ mỗi lần sao cho nó đại diện cho ứng dụng web mà bạn muốn trỏ đến.
- Chúng ta vẫn đang làm việc trên Control Panel trên Synology.
- Đi tới Login Portal > Advanced.
- Nhấp vào Reverse Proxy.
- Nhấp vào Create.
- Đặt một Proxy name (Tên Proxy), thay đổi giao thức nguồn (source protocol) thành HTTPS, nhập hostname tên miền phụ của bạn (ví dụ:
hass.mydomainname.synology.me), đặt cổng nguồn (source port) thành 443, Enable HSTS (Kích hoạt HSTS), đặt hostname đích (destination hostname) thành localhost hoặc địa chỉ IP của ứng dụng web của bạn và cổng đích (destination port) thành cổng mà ứng dụng web của bạn cần.
Giao diện cấu hình Reverse Proxy trên Synology NAS, hiển thị các trường cho nguồn (Source) và đích (Destination) của yêu cầu - Chọn tab Custom Header.
- Nhấp vào Create.
- Chọn WebSocket.
- Nhấp vào Save.
- Nhấp vào Close.
- Đi tới Network > Connectivity và Enable HTTP/2, sau đó nhấp vào Apply.
- Sau đó đi tới Security > Advanced, bật HTTP Compression (Nén HTTP) và nhấp vào Apply.
- Sau đó đi tới Security > Certificate, nhấp vào Settings, và chọn chứng chỉ SSL của bạn từ menu thả xuống bên cạnh mục
hass.mydomainname.synology.me.
Cài đặt chứng chỉ SSL trong Synology DSM, cho phép gán chứng chỉ cụ thể cho từng dịch vụ hoặc tên miền phụ (subdomain)
Bây giờ, Reverse Proxy của bạn đã được thiết lập để truy cập phiên bản Home Assistant của bạn từ bên trong và bên ngoài mạng gia đình của bạn bằng cách sử dụng hass.mydomainname.synology.me.
Kết luận
Việc thiết lập Reverse Proxy giúp bạn dễ dàng truy cập các dịch vụ tự host như phiên bản Vaultwarden hay Home Assistant để điều khiển nhà thông minh của mình. Nó không chỉ đơn giản hóa việc quản lý các URL phức tạp mà còn làm cho mạng gia đình của bạn an toàn hơn đáng kể, vì bạn chỉ để lộ một cổng duy nhất ra Internet rộng lớn cho tất cả các ứng dụng tự host của mình.
Thiết bị lưu trữ mạng Synology DiskStation DS923+ màu đen, một mẫu NAS phổ biến cho các giải pháp tự host và home lab
Tuy nhiên, điều đó không có nghĩa là bạn có thể lơ là bảo mật. Bạn vẫn cần cẩn thận để đảm bảo rằng bạn đã liên kết chứng chỉ SSL của mình một cách chính xác và tuân thủ các thực hành bảo mật tốt nhất khác. Với Reverse Proxy, Home Lab của bạn sẽ được tối ưu hóa về khả năng truy cập và bảo mật, mang lại trải nghiệm tốt hơn cho người dùng. Hãy chia sẻ ý kiến của bạn về giải pháp này và khám phá thêm các thủ thuật khác để nâng cấp Home Lab của bạn trên congnghetonghop.com nhé!
