Việc xây dựng một “home lab” (phòng thí nghiệm cá nhân tại nhà) là một quá trình thú vị nhưng cũng đầy thách thức. Càng thêm nhiều dịch vụ tự lưu trữ (self-hosted services), việc quản lý và đảm bảo an ninh cho chúng càng trở nên phức tạp. Tình trạng “đau đầu” này cuối cùng cũng sẽ xuất hiện, nhưng bạn có thể đơn giản hóa mọi thứ bằng cách sử dụng một reverse proxy (proxy ngược) để hiển thị các dịch vụ của mình bằng các URL dễ đọc, thay vì các tổ hợp IP và cổng. Có rất nhiều tùy chọn để lựa chọn, tùy thuộc vào nhu cầu về tính linh hoạt, dễ cài đặt và sử dụng, cũng như mức độ thành thạo của bạn với dòng lệnh. Tuy nhiên, Nginx Proxy Manager (NPM) đáp ứng gần như tất cả các tiêu chí cho hầu hết người dùng home lab. Nó có giao diện web trực quan (GUI), thiết lập nhanh chóng nhờ container Docker và tùy chọn cấu hình nâng cao nếu bạn cần trong tương lai.
5. Giao diện web trực quan, thân thiện với người dùng
Tạm biệt dòng lệnh, chào đón sự tiện lợi!
Nginx là một trong những reverse proxy được sử dụng phổ biến nhất, nhưng việc phải cấu hình mọi thứ bằng dòng lệnh (CLI) thực sự là một công việc tẻ nhạt. Điều này có thể phù hợp với các tập đoàn lớn sử dụng kịch bản cài đặt định sẵn mỗi lần, nhưng đối với người dùng home lab, việc có một giao diện web trực quan để quản lý mọi thứ sẽ dễ dàng hơn nhiều. Và đó chính xác là những gì NPM mang lại: một bảng điều khiển thân thiện với người dùng để quản lý tài khoản, các tuyến proxy, chứng chỉ SSL và nhiều hơn nữa.
Nếu bạn có nhiều dịch vụ chạy trong Docker, việc thiết lập NPM thậm chí còn dễ dàng hơn. Bạn có thể tạo một mạng Docker dùng chung cho các container, giúp việc định tuyến proxy đơn giản hơn vì bạn có thể sử dụng tên container làm hostname.
Logo Nginx Proxy Manager màu xanh lá cây và trắng
4. Quản lý chứng chỉ SSL tự động và dễ dàng
Tại sao không phải tất cả các ứng dụng đều làm điều này cho bạn?
Bạn chắc chắn muốn có SSL trên reverse proxy của mình vì nó mang lại kết nối HTTPS an toàn trong mạng nội bộ, giữ cho mọi thứ được bảo mật hơn một chút. NPM giúp việc này trở nên cực kỳ đơn giản, nhưng bạn sẽ cần một tên miền mà bạn sở hữu để thực hiện. Khi tạo các tuyến proxy mới, có một tab SSL cho phép bạn yêu cầu chứng chỉ mới từ Let’s Encrypt; tất cả những gì bạn cần làm là thêm địa chỉ email của mình. NPM cũng sẽ tự động gia hạn chứng chỉ, biến đây thành một tác vụ cực kỳ dễ dàng cho người dùng.
Giao diện dashboard của Nginx Proxy Manager hiển thị trang quản lý chứng chỉ Let's Encrypt
3. Quản lý proxy tập trung
Khả năng truy cập tất cả các dịch vụ tự lưu trữ từ một trung tâm duy nhất thật tuyệt vời
Một trong những điều gây khó chịu khi tự chạy các dịch vụ và ứng dụng của riêng bạn là phải truy cập từng dịch vụ riêng lẻ để quản lý. NPM giúp bạn dễ dàng thiết lập các tên miền phụ (subdomain) dễ đọc cho từng dịch vụ, ví dụ như plex.domain.com, thay vì tổ hợp địa chỉ IP và số cổng. Khả năng xử lý nhiều tên miền, tên miền phụ và dịch vụ từ cùng một nơi khiến NPM trở nên tiện lợi. Hơn nữa, nếu bạn đang tự lưu trữ máy chủ DNS của riêng mình, bạn có thể xử lý tất cả việc ánh xạ tên miền phụ tại đó, mà không cần các dịch vụ bên ngoài.
2. Bảo mật tích hợp sẵn
Bạn nhận được rất nhiều tính năng bảo mật tiện dụng mà không cần phải thêm vào
NPM cũng giúp việc bảo mật chính nó tương đối dễ dàng, với khả năng quản lý dựa trên người dùng cho phép bạn đặt cấp độ truy cập vào các cài đặt cấu hình của NPM, và cả danh sách truy cập (access lists) cho từng máy chủ riêng lẻ. Bằng cách đó, bạn có thể thiết lập reverse proxy một lần, thêm người dùng, sau đó cho phép họ tự quản lý các máy chủ và dịch vụ của riêng mình, mà không thể xem hoặc điều chỉnh của người dùng khác. Ngoài ra, bạn còn nhận được nhật ký kiểm toán (audited log) của tất cả các thay đổi, giúp mọi hành động có thể được truy ngược về người dùng đã thực hiện, phòng trường hợp có sự cố.
Bạn cũng nhận được danh sách chặn và từ chối IP (IP block and deny lists), xác thực HTTP. Đặc biệt, nếu bạn sử dụng phiên bản “fork” LePresidente, bạn sẽ có NPM tích hợp plugin bảo mật CrowdSec mà nhiều người dùng thường sử dụng trên các cài đặt OPNsense của mình. Vì đây là một thay thế trực tiếp cho container Docker NPM hiện tại, tất cả những gì bạn cần làm là chỉnh sửa tệp docker-compose.yaml của mình để sử dụng image: ‘Lepresidente/nginxproxymanager:latest’ thay vì mặc định. Khi đó, bạn sẽ có thêm hỗ trợ reCAPTCHA và biết rằng bất kỳ công cụ quét cổng nào trong mạng của bạn đều đang bị chặn không thể phơi bày các dịch vụ của bạn.
Cáp Ethernet được cắm vào thiết bị NAS
1. Triển khai cực kỳ dễ dàng
Docker là người bạn tốt nhất của bạn trong home lab
Trong khi nhiều reverse proxy khác mất một thời gian để đi vào hoạt động, với NPM, bạn chỉ cần một tệp Docker Compose nhanh chóng. Hãy đặt một vài dòng YAML vào một tệp .yml trong thư mục bạn muốn sử dụng cho dữ liệu và tệp cấu hình, mở cửa sổ dòng lệnh trong thư mục đó, sau đó chỉ cần một lệnh docker-compose up -d nhanh chóng để NPM hoạt động.
version: ‘3.8’
services:
app:
image: ‘jc21/nginx-proxy-manager:latest’
restart: unless-stopped
ports:
– ’80:80′ # Cổng HTTP công cộng
– ’81:81′ # Cổng Web quản trị
– ‘443:443’ # Cổng HTTPS công cộng
volumes:
– ./data:/data
– ./letsencrypt:/etc/letsencryptĐiều này không chỉ giúp bạn tiết kiệm thời gian ban đầu mà còn vì Docker độc lập với nền tảng, bạn có thể sử dụng cùng một tệp thiết lập ở bất cứ đâu nếu hệ điều hành máy chủ hoặc cấu hình hệ thống của bạn thay đổi. Tất cả những gì bạn cần sao lưu là tệp YAML cơ bản, cùng với các tệp dữ liệu và cấu hình được tạo khi bạn sử dụng NPM, và bạn có thể khôi phục hoặc di chuyển bất cứ lúc nào mà không lo lắng về việc mất chức năng.
Hơn nữa, bạn có thể tạo một mạng Docker nếu bạn có nhiều dịch vụ Docker khác trên cùng máy chủ với NPM, và khi đó bạn không cần phải công bố các cổng cho tất cả các giao diện máy chủ Docker. Thay vào đó, bạn sử dụng lệnh docker network create $network và sau đó thêm đoạn sau vào các tệp docker-compose cho mỗi dịch vụ:
networks:
default:
external: true
name: $networkĐiều này cho phép bạn thêm các máy chủ proxy trong NPM với tên dịch vụ, chẳng hạn như portainer, làm hostname và 9000 làm cổng. Cách này dễ dàng hơn nhiều so với việc phải điền địa chỉ IP, và hoạt động mà không làm “kẹt” các cổng trên phần còn lại của mạng.
Nginx Proxy Manager (NPM) đã đơn giản hóa đáng kể công việc quản lý reverse proxy cho các ứng dụng và máy chủ tự lưu trữ của bạn. Nginx đã được sử dụng trong nhiều thập kỷ bởi các tập đoàn lớn, nhưng việc sử dụng dòng lệnh (CLI) thường phức tạp và dễ mắc lỗi. Giao diện người dùng đồ họa (GUI) của Nginx Proxy Manager giúp việc sử dụng trở nên dễ dàng hơn rất nhiều. Nó còn tích hợp sâu với Docker, cung cấp khả năng quản lý chứng chỉ SSL dễ dàng với Let’s Encrypt, và hỗ trợ nhiều người dùng để bạn có thể kiểm soát quyền truy cập và nhật ký kiểm toán các thay đổi. Mặc dù không có giải pháp “một kích thước phù hợp cho tất cả” đối với người dùng reverse proxy, NPM mang đến cho những người đam mê home lab tất cả các công cụ cần thiết để thành công.
