Nếu bạn đã và đang xây dựng một “home lab” với nhiều ứng dụng tự host (self-hosted apps), chắc hẳn bạn sẽ hiểu rõ cảm giác “ác mộng” khi phải nhớ hàng loạt URL khác nhau để truy cập vào trang quản lý của từng dịch vụ. Thêm vào đó, mỗi khi có bất kỳ thay đổi nào trong cấu hình mạng gia đình, bạn lại phải mất công cập nhật thủ công mọi thứ. Thay vì vậy, một giải pháp hiệu quả và chuyên nghiệp hơn là thiết lập một Reverse Proxy để định tuyến lưu lượng truy cập đến các ứng dụng tự host, giúp tất cả có thể được truy cập từ cùng một URL bên ngoài duy nhất.
Về cơ bản, Reverse Proxy là một máy chủ khác nằm trong mạng gia đình của bạn, đứng giữa internet và các ứng dụng tự host hoặc các máy chủ khác của bạn. Điều này không chỉ tạo thêm một lớp bảo mật, vì các yêu cầu từ phía máy khách (client requests) chỉ “biết” đến máy chủ mà Reverse Proxy đang chạy, mà còn giúp việc quản trị trở nên dễ dàng hơn. Một khi bạn đã thiết lập các quy tắc mạng nội bộ, điểm duy nhất bạn cần thay đổi chúng là trên máy chủ DNS tùy chỉnh của mình (nếu có).
Bạn có thể nghĩ rằng thiết lập Reverse Proxy là một công việc phức tạp, nhưng thực tế, các dịch vụ hiện đại đã đơn giản hóa hầu hết các bước. Trong bài viết này, chúng tôi sẽ hướng dẫn bạn một phương pháp cụ thể sử dụng thiết bị NAS của Synology, đồng thời giải thích quy trình hoạt động theo cách tổng quát hơn, giúp bạn có thể áp dụng tương tự nếu sử dụng một máy chủ Reverse Proxy khác.
Tủ mạng chứa các thiết bị chuyển mạch và máy chủ, minh họa cho hạ tầng home lab hoặc mạng gia đình
Reverse Proxy là gì và tại sao bạn cần nó cho Home Lab?
Reverse Proxy hoạt động như một “người gác cổng” thông minh cho các ứng dụng web và máy chủ của bạn. Thay vì cho phép các yêu cầu truy cập trực tiếp đến từng ứng dụng, mọi yêu cầu từ bên ngoài sẽ đi qua Reverse Proxy trước. Sau đó, Reverse Proxy sẽ chuyển tiếp yêu cầu đó đến ứng dụng phù hợp trong mạng nội bộ và trả về phản hồi từ ứng dụng đó cho người dùng.
Việc sử dụng Reverse Proxy mang lại nhiều lợi ích đáng kể, đặc biệt là trong môi trường home lab với nhiều dịch vụ tự host:
- Tăng cường bảo mật: Chỉ có Reverse Proxy được công khai ra internet, che giấu địa chỉ IP và cấu trúc mạng nội bộ của các ứng dụng phía sau. Điều này giúp giảm thiểu bề mặt tấn công và bảo vệ các dịch vụ nhạy cảm của bạn khỏi các mối đe dọa trực tiếp từ bên ngoài.
- Đơn giản hóa truy cập: Thay vì phải nhớ nhiều địa chỉ IP và cổng khác nhau cho từng ứng dụng (ví dụ:
192.168.1.100:8000,192.168.1.100:8001), bạn có thể truy cập tất cả các dịch vụ thông qua các tên miền phụ dễ nhớ của cùng một tên miền chính (ví dụ:app1.mydomain.com,app2.mydomain.com). - Quản lý chứng chỉ SSL tập trung: Bạn chỉ cần cài đặt và quản lý chứng chỉ SSL (ví dụ: Let’s Encrypt) trên Reverse Proxy. Sau đó, Reverse Proxy sẽ mã hóa lưu lượng truy cập giữa người dùng và chính nó, và có thể tùy chọn mã hóa tiếp tục đến các ứng dụng nội bộ. Điều này giúp đơn giản hóa việc triển khai HTTPS cho tất cả các dịch vụ.
- Cân bằng tải (Load Balancing): Đối với các hệ thống lớn hơn, Reverse Proxy có thể phân phối các yêu cầu đến nhiều máy chủ ứng dụng, giúp cải thiện hiệu suất và độ tin cậy.
- Nén dữ liệu và bộ nhớ đệm (Caching): Một số Reverse Proxy có khả năng nén phản hồi hoặc lưu trữ bộ nhớ đệm các nội dung tĩnh, giúp tăng tốc độ tải trang cho người dùng.
Những gì bạn cần chuẩn bị trước khi cài đặt Reverse Proxy Synology NAS
Để thiết lập Reverse Proxy trên Synology NAS cho các ứng dụng tự host, bạn không cần quá nhiều thứ. Điều quan trọng là bạn cần có một danh sách các dịch vụ sẽ đặt phía sau Reverse Proxy, và một thiết bị Synology NAS đang chạy phiên bản DSM mới nhất.
Ngoài ra, bạn sẽ cần:
- Chứng chỉ SSL: Để đảm bảo tính bảo mật (HTTPS) cho kết nối. Bạn có thể dễ dàng nhận được chứng chỉ miễn phí từ Let’s Encrypt ngay bên trong DSM.
- Một tên miền (ví dụ:
yourdomainname.com): Điều này cho phép bạn tạo các tên miền phụ (subdomains) cho mỗi ứng dụng web mà bạn muốn sử dụng với Reverse Proxy. - Port 443 được chuyển tiếp (Port Forwarding) từ router của bạn đến địa chỉ IP cục bộ của NAS: Đây là cổng chuẩn cho lưu lượng HTTPS.
- Địa chỉ IP cục bộ và số cổng (port number) cho mỗi ứng dụng tự host của bạn: Ví dụ, Home Assistant thường chạy trên cổng 8123.
Giao diện Bitwarden hoạt động trên Synology NAS, minh họa ứng dụng self-hosted phổ biến
Hướng dẫn thiết lập Reverse Proxy chi tiết trên Synology NAS
Hiện tại, dịch vụ tự host duy nhất đang chạy trên Synology của chúng tôi là Home Assistant – một hệ thống nhà thông minh tuyệt vời cho phép điều khiển mọi thiết bị từ một bảng điều khiển duy nhất. Thông thường, chúng ta kết nối với Home Assistant bằng cách sử dụng địa chỉ IP cục bộ và số cổng kết hợp của nó. Tuy nhiên, cách này gây nhiều bất tiện: địa chỉ IP của Synology có thể thay đổi tùy thuộc vào cách thiết lập home lab, và việc phải nhớ một chuỗi các địa chỉ IP và số cổng là điều không hề dễ chịu. Hơn nữa, việc phơi bày quá nhiều cổng ra internet cũng không phải là ý tưởng hay về mặt bảo mật.
Vì vậy, chúng ta hãy bắt đầu bằng việc thiết lập DDNS (Dynamic DNS) để có một tên miền để trỏ đến, và sau đó là chứng chỉ SSL wildcard để có thể sử dụng các tên miền phụ. Chứng chỉ SSL wildcard rất quan trọng vì nó sẽ bao phủ bất kỳ tên miền phụ nào chúng ta sử dụng. Các ứng dụng web của chúng ta sẽ được thiết lập dưới dạng yourwebappname1.domainname.com, yourwebappname2.domainname.com, v.v.
Giao diện Synology DSM 7 hiển thị cài đặt Reverse Proxy, chuẩn bị cấu hình các ứng dụng self-hosted
Cấu hình DDNS và Chứng chỉ SSL Wildcard
Đây là các bước để thiết lập DDNS và chứng chỉ SSL của bạn:
- Đăng nhập vào Synology NAS của bạn bằng tài khoản quản trị.
- Mở Control Panel (Bảng điều khiển), đi tới External Access (Truy cập bên ngoài) > DDNS, và chọn Add (Thêm).
Danh sách DDNS trong Synology DSM 7, hiển thị các tùy chọn cấu hình truy cập từ xa - Điền vào biểu mẫu như sau: Service Provider (Nhà cung cấp dịch vụ): Synology, Hostname (Tên máy chủ):
mydomainname(ví dụ:xda.synology.me), sau đó nhấp vào Test Connection (Kiểm tra kết nối).
Giao diện thêm DDNS mới trong Synology DSM 7, với các trường thông tin tên miền và nhà cung cấp dịch vụ - Nếu kiểm tra thất bại, tức là tên máy chủ đó đã được sử dụng và bạn sẽ phải thử một vài phiên bản khác cho đến khi tìm được tên chưa được dùng.
- Trước khi tiếp tục, hãy đánh dấu vào ô bên cạnh Get a certificate from Let’s Encrypt and set it as default (Nhận chứng chỉ từ Let’s Encrypt và đặt làm mặc định).
- Nhấp vào OK.
- Điều hướng đến Security (Bảo mật) > Certificate (Chứng chỉ) và chọn Add (Thêm).
- Chọn Replace an existing certificate (Thay thế chứng chỉ hiện có) và chọn chứng chỉ chúng ta vừa tạo trước đó, sau đó nhấp vào Next (Tiếp theo).
- Chọn Get a certificate from Let’s Encrypt (Nhận chứng chỉ từ Let’s Encrypt) và đánh dấu vào ô bên cạnh Set as default certificate (Đặt làm chứng chỉ mặc định).
- Chọn Next (Tiếp theo).
- Điền vào Hostname (Tên máy chủ):
mydomainname.com(hoặc tên DDNS bạn đã tạo), địa chỉ email của bạn:[email protected], và đừng quên thêm wildcard vào ô với*.mydomainname.synology.me(hoặc tên miền chính của bạn). Chứng chỉ SSL wildcard cho phép chúng ta sử dụng các tên miền phụ với cùng một chứng chỉ mà không cần tạo chứng chỉ mới. Điều này rất quan trọng, vì vậy hãy nhấp vào Next (Tiếp theo) khi hoàn tất để lưu chứng chỉ SSL.
Thiết lập Reverse Proxy cho ứng dụng của bạn
Bây giờ là lúc thiết lập Reverse Proxy cho ứng dụng tự host đầu tiên của bạn. Nếu bạn có nhiều ứng dụng, hãy lặp lại phần này của quy trình, thay đổi tên miền phụ mỗi lần để nó đại diện cho ứng dụng web bạn muốn trỏ đến.
- Chúng ta vẫn đang làm việc trong Control Panel (Bảng điều khiển) trên Synology.
- Đi tới Login Portal (Cổng đăng nhập) > Advanced (Nâng cao).
- Nhấp vào Reverse Proxy (Proxy ngược).
- Nhấp vào Create (Tạo).
- Đặt Proxy name (Tên proxy), thay đổi giao thức nguồn thành HTTPS, nhập tên máy chủ tên miền phụ của bạn (ví dụ:
hass.mydomainname.synology.me), đặt cổng nguồn thành 443, Enable HSTS (Kích hoạt HSTS), đặt tên máy chủ đích là localhost hoặc địa chỉ IP của ứng dụng web của bạn và cổng đích là cổng mà ứng dụng web của bạn cần.
Cửa sổ cài đặt Reverse Proxy trên Synology NAS, minh họa cách cấu hình nguồn và đích cho ứng dụng web - Chọn tab Custom Header (Tiêu đề tùy chỉnh).
- Nhấp vào Create (Tạo).
- Chọn WebSocket.
- Nhấp vào Save (Lưu).
- Nhấp vào Close (Đóng).
- Đi tới Network (Mạng) > Connectivity (Kết nối) và Enable HTTP/2 (Bật HTTP/2), sau đó nhấp vào Apply (Áp dụng).
- Sau đó đi tới Security (Bảo mật) > Advanced (Nâng cao), bật HTTP Compression (Nén HTTP) và nhấp vào Apply (Áp dụng).
- Tiếp theo, đi tới Security (Bảo mật) > Certificate (Chứng chỉ), nhấp vào Settings (Cài đặt), và chọn chứng chỉ SSL của bạn từ menu thả xuống bên cạnh mục
hass.mydomainname.synology.me.
Cài đặt chứng chỉ SSL trong Synology DSM, cho phép gán chứng chỉ cho Reverse Proxy Rule
Giờ đây, Reverse Proxy của bạn đã được thiết lập để truy cập phiên bản Home Assistant của bạn từ bên trong và bên ngoài mạng gia đình bằng cách sử dụng hass.mydomainname.synology.me.
Kết luận
Thiết lập một Reverse Proxy giúp việc truy cập vào các ứng dụng tự host như Vaultwarden (để quản lý mật khẩu an toàn) hoặc Home Assistant (để điều khiển nhà thông minh) trở nên dễ dàng hơn bao giờ hết. Không chỉ vậy, nó còn làm cho mạng gia đình của bạn an toàn hơn rất nhiều, vì bạn chỉ cần mở một cổng duy nhất ra internet cho tất cả các ứng dụng tự host của mình. Tuy nhiên, điều này không có nghĩa là bạn có thể lơ là với bảo mật. Bạn vẫn cần cẩn thận để đảm bảo rằng mình đã liên kết các chứng chỉ SSL một cách chính xác và duy trì các biện pháp bảo mật cần thiết.
Nếu bạn đang tìm cách tối ưu hóa việc quản lý các dịch vụ trong home lab và tăng cường an toàn cho mạng của mình, Reverse Proxy trên Synology NAS chính là một giải pháp không thể bỏ qua. Hãy bắt đầu triển khai ngay hôm nay để trải nghiệm sự tiện lợi và bảo mật mà nó mang lại. Đừng quên chia sẻ kinh nghiệm hoặc bất kỳ câu hỏi nào của bạn trong phần bình luận bên dưới nhé!
