Tôi đã thử nghiệm gần như mọi giải pháp reverse proxy mà bạn có thể kể tên, từ Nginx Proxy Manager đến Caddy, các tùy chọn dựa trên WireGuard, và cả những giải pháp “chữa cháy” nhanh gọn như Tailscale Funnel hay Cloudflare Tunnel. Mỗi giải pháp đều có ưu và nhược điểm riêng, một số đi kèm tính năng nâng cao tích hợp sẵn, số khác lại cần vô số plugin để xây dựng công cụ theo ý muốn. Tuy nhiên, dù đã sử dụng chúng trong một thời gian, kiến thức về cách chúng hoạt động dường như lại trôi tuột khỏi bộ não tôi ngay khi tôi ngừng cấu hình chúng.
Ý tôi là, tôi hiểu khái niệm chung, nhưng tôi không thể nhớ cách mỗi dịch vụ hoạt động một khi ngừng sử dụng. Rất nhiều bước cấu hình chỉ đơn thuần là “chuyển cổng 3000 đến cổng 3000 ở đó,” và điều này luôn khiến tôi cảm thấy như một dạng dịch chuyển tức thời. Sau đó, tôi bắt đầu sử dụng HAProxy, một công cụ được thiết kế như một bộ cân bằng tải nhưng cũng hoạt động xuất sắc như một giải pháp reverse proxy, và mọi thứ trở nên có lý hơn nhiều. Nó sử dụng một mô hình cấu hình cho phép bộ não tôi hình dung từng giai đoạn của quá trình đang diễn ra, như thể tôi có thể nhìn thấy các sợi cáp Ethernet vật lý giữa các máy chủ, và mọi thứ bỗng trở nên rõ ràng.
4. Tốc độ ấn tượng: Hiệu suất cao, cấu hình nhanh chóng
Được thiết kế để tối ưu hiệu suất, hiệu quả và độ trễ thấp
Vâng, tôi đoán bạn sẽ kỳ vọng một chương trình được nhiều doanh nghiệp lớn sử dụng làm bộ cân bằng tải giữa các máy chủ của họ phải nhanh, và có khả năng xử lý nhiều gói tin cùng lúc. Nhưng tôi không chỉ nói về thông lượng. Đối với tôi, HAProxy nhanh chóng trong việc cấu hình ban đầu, với một reverse proxy đầy đủ chức năng bao gồm SSL offloading, hai frontend (cho lưu lượng HTTP và HTTPS), và cấu hình backend có thể hoàn thành trong thời gian ngắn hơn so với một số gói phần mềm có giao diện đồ họa hướng dẫn mà tôi đã sử dụng gần đây.
Một phần lý do là vì đây là một công nghệ trưởng thành, đã tồn tại từ rất lâu, vì vậy có hàng tấn tài nguyên chuyên sâu để tôi tìm hiểu, và quan trọng hơn, rất nhiều bài đăng trên diễn đàn chi tiết các bước khắc phục sự cố cho bất kỳ vấn đề nào tôi có thể gặp phải. Đó không phải là điều tôi có thể tin tưởng ở bất kỳ reverse proxy mới hơn nào, và tôi thực sự đánh cao việc không phải lục tung các bình luận trên GitHub để tìm kiếm các bản sửa lỗi thực sự.
3. Plugin OPNsense: Sự tích hợp hoàn hảo vào hệ sinh thái có sẵn
Thành thật mà nói, đây là cách dễ nhất để tôi sử dụng các công cụ mạng
Giao diện cài đặt HAProxy trong OPNsense, minh họa các tùy chọn cấu hình plugin.
Không phải tôi lười biếng, mà là việc một công cụ xuất hiện trên nền tảng tôi đã sử dụng là một lợi thế lớn để thuyết phục tôi chọn nó thay vì công cụ khác. OPNsense có các plugin cho HAProxy, cùng với một vài reverse proxy khác, điều này đồng nghĩa với việc tôi có xu hướng sử dụng nó nhiều hơn. Không chỉ là sự dễ sử dụng và khả năng quay lại OPNsense nếu có gì đó sai với cấu hình nhờ các quy tắc khóa, mà còn có điều gì đó về việc chạy reverse proxy trên router và tường lửa của tôi khiến tôi hài lòng.
Tôi có thể có dịch vụ DNS động của mình, ứng dụng khách ACME để tự động gia hạn chứng chỉ Let’s Encrypt nhằm đảm bảo SSL luôn khả dụng. Tôi có thể sử dụng Unbound cho split DNS, để reverse proxy tôi thiết lập có thể truy cập được cả từ bên trong mạng của tôi và từ các thiết bị từ xa, với hệ thống mà tôi quen thuộc nhất. Không cần phải nhớ thêm chi tiết đăng nhập hay một địa chỉ IP khác của một container Docker đang chạy trên NAS của tôi, có thể đang chạy hoặc không, vì sự cố mất điện có thể xảy ra và NAS có thể không tự động khởi động lại khi có điện trở lại. Đây có thể không phải là cách làm tốt nhất, nhưng đó là cách hiệu quả nhất đối với tôi, và điều đó rất có ý nghĩa.
2. Kiến trúc trực quan: Cách HAProxy làm tôi “thông não” về mạng
Mô hình máy chủ vật lý, sau đó nhóm, rồi dịch vụ giúp tôi dễ hình dung hơn
Tôi đã sử dụng rất nhiều giải pháp reverse proxy, bao gồm Nginx Proxy Manager, Caddy, Traefik, Pangolin, Nginx, và những công cụ như Tailscale Funnel, có thể thay thế trong trường hợp khẩn cấp. Nhưng tôi nhận thấy rằng tôi hoặc phải dành rất nhiều thời gian để tìm hiểu lý do tại sao chúng hoạt động, hoặc toàn bộ quá trình được trừu tượng hóa bằng vô số cú nhấp chuột trên giao diện đồ họa, khiến tôi không có bất kỳ khoảnh khắc học hỏi thực sự nào. Một phần trong số đó chắc chắn là do cách tôi và cách bộ não của tôi hoạt động, nhưng tôi thích học bằng hình ảnh, như sơ đồ mạng và những thứ tương tự.
Các reverse proxy được thiết kế cho mục đích sử dụng container, như Caddy hay Traefik, giúp dễ dàng thiết lập các kiến trúc phức tạp. Nhưng sau đó, tôi lại tệ trong việc ghi tài liệu và bộ não tôi thậm chí còn tệ hơn trong việc ghi nhớ cách mọi thứ kết nối với nhau, và không có ngữ cảnh của các microservice mà tôi đang thiết lập, tôi thực sự gặp khó khăn. Có lẽ đó là lý do tại sao tôi thích máy ảo (VM) hơn container ngay từ đầu, bởi vì chúng vẫn mang lại cảm giác vật lý, ngay cả khi chúng không phải vậy.
HAProxy trình bày chuỗi reverse proxy theo cách mà bộ não tôi có thể xử lý. Một máy chủ thực (real server) cho mỗi dịch vụ hoàn toàn có ý nghĩa đối với tôi, hoặc một vài máy chủ thực nếu tôi cần thiết lập cân bằng tải. Sau đó, việc có một nhóm backend (backend pool) làm nơi nhóm các máy chủ thực, đóng vai trò là một lớp quản lý để gửi lưu lượng truy cập từ frontend, cũng rất hợp lý.
Tương tự là việc triển khai các tệp bản đồ (map files) dạng văn bản thuần túy khớp các tên miền đầy đủ đủ điều kiện (FQDN) đến các nhóm backend riêng lẻ. Việc chia ingress thành các quy tắc frontend riêng cũng giúp mọi thứ dễ dàng hơn nhiều đối với tôi. Tôi thích việc lắp ráp hệ thống như những khối xây dựng nhỏ. Đôi khi, các dịch vụ khác cố gắng thiết lập mọi thứ trong một tệp duy nhất, và bộ não tôi chống lại cách tiếp cận đó.
1. Nền tảng của sự ổn định: Độ tin cậy và tính sẵn sàng cao
Tính sẵn sàng cao, cân bằng tải, kiểm tra sức khỏe và duy trì phiên là tiêu chuẩn
Tủ rack chứa các thiết bị máy chủ trong phòng lab cá nhân, biểu tượng cho hệ thống mạng ổn định và đáng tin cậy.
Tôi chưa bao giờ là người theo trường phái lập trình “di chuyển nhanh, phá vỡ mọi thứ”, và triết lý đó cũng mở rộng sang mạng gia đình và home lab của tôi. Container rất tốt để thử nghiệm, nhưng tôi không thích chúng về lâu dài, vì tôi có xu hướng quên rằng chúng đang chạy và tắt mọi thứ. Tuy nhiên, tôi thích ảo hóa, và các VM lồng nhau không làm tôi nao núng, nhưng có điều gì đó về Docker và các container khác mà tôi vẫn chưa thể xác định được.
Điều đó khiến tôi ưa thích các dịch vụ hệ thống như HAProxy, bởi vì tôi biết rằng khi thiết bị đó bật, dịch vụ cũng sẽ bật. Tôi thích việc biết rằng tôi có thể khởi động một VM thứ hai, với các dịch vụ tương tự, và thêm nó vào backend của HAProxy để đạt được tính sẵn sàng cao (High Availability), và cho cân bằng tải (load balancing). Không phải tôi làm nhiều thứ gây ra đủ lưu lượng truy cập đến một dịch vụ để cần cân bằng tải, nhưng thật tốt khi biết nó có sẵn, cách nó hoạt động và cách thiết lập nó nếu tôi cần.
HAProxy vẫn là lựa chọn tuyệt vời cho nhiều tình huống mạng, bao gồm cả của tôi
Cận cảnh khay ổ đĩa của thiết bị lưu trữ NAS TerraMaster T6-423, minh họa khả năng tích hợp HAProxy vào các thiết bị mạng gia đình.
Sau khi sử dụng rất nhiều giải pháp reverse proxy, tôi nghĩ rằng mình sẽ gắn bó lâu dài với HAProxy. Mặc dù tôi đánh giá cao một số tính năng nâng cao của các giải pháp dựa trên WireGuard, nhưng chúng không cung cấp cho tôi nhiều cái nhìn sâu sắc về những gì đang diễn ra trong mạng home lab của tôi, và tôi trân trọng việc HAProxy trình bày mọi thứ một cách rõ ràng và logic. Hơn nữa, việc tìm hiểu về các công cụ được sử dụng trong môi trường doanh nghiệp là điều tốt, và tôi cảm thấy mình có thể học được các quy trình đằng sau reverse proxy tốt hơn khi tôi phải thực hiện công việc thủ công.
Hãy chia sẻ kinh nghiệm sử dụng các giải pháp reverse proxy của bạn trong phần bình luận bên dưới!
