Bạn đã bao giờ cảm thấy mệt mỏi khi phải ghi nhớ hàng loạt địa chỉ IP và cổng của các dịch vụ bạn tự host tại nhà chưa? Việc truy cập Jellyfin qua 192.168.1.100:8096 hay Nextcloud qua 192.168.1.101:443 có thể trở nên phức tạp và dễ nhầm lẫn khi số lượng dịch vụ tăng lên. Là một người đam mê homelab, tôi cũng từng gặp phải vấn đề này và đã tìm ra một giải pháp hiệu quả: kết hợp Pi-hole và Nginx Proxy Manager để gán tên miền cục bộ (local domain names) cho các dịch vụ của mình, giúp truy cập tiện lợi hơn mà không cần phơi bày chúng ra Internet.
Trong bài viết này, chúng ta sẽ cùng tìm hiểu cách thiết lập hệ thống này, biến những con số IP khô khan thành những địa chỉ thân thiện, dễ nhớ như jellyfin.local hay nextcloud.local, đồng thời đảm bảo an toàn cho mạng nội bộ của bạn.
Phân Giải Tên Miền: Khác Biệt Giữa Cục Bộ và Bên Ngoài
Khi bạn nhập một tên miền vào trình duyệt, ví dụ như https://thichcongnghe.net, trình duyệt của bạn sẽ cố gắng phân giải tên miền đó để biết nên kết nối đến máy chủ nào. Đây chính là quá trình phân giải DNS (Domain Name System).
Phân giải bên ngoài (External Resolution) xảy ra khi một trang web được truy cập từ bên ngoài mạng cục bộ của nó. Khi bạn truy cập ThichCongNghe.net, bạn đang kết nối đến một máy chủ ở trung tâm dữ liệu nào đó, nằm trên một mạng bên ngoài so với mạng nội bộ tại nhà bạn.
Ngược lại, nếu bạn tự host một dịch vụ tại nhà, ví dụ như Audiobookshelf, và truy cập nó qua địa chỉ IP nội bộ, thì đây là cách bạn truy cập một trang web cục bộ. Bạn cũng có thể thiết lập một dịch vụ để truy cập các trang web được host cục bộ này bằng một tên miền, mà không cần phải rời khỏi mạng nội bộ của mình.
Truy cập thư viện sách điện tử Calibre được tự host trên iPhone qua tên miền cục bộ
Nói tóm lại, các tên miền cục bộ chỉ có thể được phân giải trong mạng nội bộ của bạn, trong khi các tên miền bên ngoài có thể được truy cập bởi bất kỳ ai có kết nối internet.
Hiểu rõ sự khác biệt này là rất quan trọng khi tự host dịch vụ. Nếu bạn phơi bày một dịch vụ (như Audiobookshelf) ra internet bằng một tên miền bên ngoài, thì bất kỳ ai trên thế giới biết địa chỉ tên miền đó đều có thể truy cập dịch vụ của bạn. Tuy nhiên, bạn cũng có thể cấu hình để các yêu cầu tên miền này chỉ được phân giải khi bạn đang ở trong mạng gia đình, giúp tăng cường bảo mật. Đối với một số dịch vụ như trình quản lý máy ảo Proxmox hay các phiên bản Pi-hole, tôi không muốn chúng có thể truy cập được từ bên ngoài mạng cục bộ vì mục đích bảo mật.
Để giải quyết vấn đề này, tôi sử dụng Pi-hole kết hợp với Nginx Proxy Manager để cấp tên miền cho các dịch vụ cục bộ của mình, giúp tôi không cần phải cố gắng ghi nhớ các địa chỉ IP.
Không Cần Mua Tên Miền Công Cộng – Nhưng Nên Mua!
Bạn có thể nghĩ rằng bạn cần phải mua một tên miền để thực hiện điều này. Trên thực tế, bạn không cần thiết phải làm vậy. Mặc dù tôi vẫn khuyến nghị việc mua một tên miền, nhưng nó không hoàn toàn bắt buộc.
Các đuôi tên miền phổ biến như .com, .net, .fun, .cloud biểu tượng cho thế giới tên miền
Cách thức phân giải tên miền cục bộ hoạt động là bằng cách sử dụng một máy chủ DNS cục bộ (Pi-hole, trong trường hợp này), và máy chủ DNS đó sẽ phân giải các tên miền cụ thể thành một địa chỉ IP cục bộ. Trên lý thuyết, bạn thậm chí có thể xây dựng công cụ tìm kiếm của riêng mình và sau đó để máy chủ DNS cục bộ của bạn phân giải https://google.com thành công cụ tìm kiếm tùy chỉnh được host cục bộ đó. Mặc dù điều này là khả thi, nhưng không được khuyến khích, vì việc định tuyến lại các dịch vụ công cộng có thể làm gián đoạn phần lớn quá trình duyệt internet của bạn.
Bạn có thể làm tương tự bằng cách để máy chủ DNS cục bộ của bạn phân giải bất kỳ tên miền nào bạn muốn đến các dịch vụ của bạn. Tương tự như tình huống Google ở trên, điều đó không phải lúc nào cũng là một ý hay. Lấy ví dụ về The Verge. Cuối năm 2011, https://theverge.com trở thành The Verge như chúng ta biết ngày nay. Đầu năm 2011, https://theverge.com thực sự là The Verge Internet Services, một loại trang web rất khác.
Vì vậy, nếu bạn chọn một tên miền hiện chưa được đăng ký, hoặc có thể là một tên miền trỏ đến một dịch vụ mà bạn nghĩ bạn sẽ không bao giờ sử dụng, thì hoàn toàn có thể tên miền đó sẽ trở nên hữu ích trong tương lai—hoặc thậm chí cần thiết. Hãy tưởng tượng ai đó vào năm 2011 xây dựng toàn bộ homelab của họ bằng cách sử dụng https://theverge.com làm tên miền, chỉ để sau này muốn xem các bài viết của Verge. Họ sẽ phải di chuyển tất cả các dịch vụ của mình sang một tên miền mới, đây không phải là một việc nhỏ hay một nhiệm vụ dễ dàng.
Tốt nhất là bạn nên mua một tên miền cho việc phân giải tên miền cục bộ, ngay cả khi bạn không có kế hoạch truy cập các dịch vụ từ bên ngoài mạng của mình, mặc dù điều đó không bắt buộc. Việc sở hữu một tên miền riêng giúp bạn có toàn quyền kiểm soát và tránh được các xung đột tiềm ẩn trong tương lai.
Pi-hole: Trái Tim Của Hệ Thống DNS Cục Bộ
Để xử lý hiệu quả các yêu cầu DNS cục bộ, bạn sẽ cần một máy chủ DNS được host cục bộ. Cá nhân tôi sử dụng Pi-hole cho mục đích này, mặc dù bạn có thể sử dụng bất kỳ máy chủ DNS nào khác tùy thích.
Tôi sẽ không đi sâu vào chi tiết cách cài đặt Pi-hole ở đây, vì đã có rất nhiều tài liệu hướng dẫn tuyệt vời về vấn đề này. Tuy nhiên, một khi bạn đã thiết lập Pi-hole trên mạng của mình và đặt nó làm máy chủ DNS chính, bạn sẽ có thể điều hướng đến phần Settings > Local DNS Records và bắt đầu nhập các bản ghi DNS của mình.
Giao diện quản lý Pi-hole, công cụ chặn quảng cáo và máy chủ DNS cục bộ
Các bản ghi này có thể là tên miền gốc (ví dụ: testing.com) hoặc tên miền phụ (ví dụ: pi-hole.testing.com) tùy thuộc vào mục đích của bạn. Tôi thường sử dụng tên miền phụ để dễ dàng nhớ theo định dạng dichvu.tenmien.com.
Cài đặt các bản ghi DNS cục bộ trong Pi-hole để phân giải tên miền nội bộ
Điều quan trọng nhất bạn cần nhớ là phải trỏ địa chỉ IP của bản ghi DNS này đến địa chỉ IP của máy mà bạn đang chạy Nginx Proxy Manager. Đó là tất cả những gì cần làm với phía Pi-hole.
Nginx Proxy Manager: Định Tuyến Tên Miền Và Bảo Mật SSL
Sau khi bạn đã cài đặt Nginx Proxy Manager (NPM) và nó đang chạy trên hệ thống của bạn (sử dụng cổng 80 và 443), đã đến lúc thiết lập phần còn lại của tên miền cục bộ.
Nếu bạn không có ý định sử dụng HTTPS hoặc SSL, bước tiếp theo rất đơn giản. Bạn chỉ cần thêm tên miền bạn muốn sử dụng (tên miền bạn đã thêm vào Pi-hole) làm một proxy host.
Tuy nhiên, nếu bạn muốn sử dụng HTTPS hoặc SSL, sẽ có thêm một vài bước nữa để thực hiện. Để bắt đầu, bạn sẽ cần tạo một chứng chỉ SSL tự ký (self-signed SSL certificate) cho tên miền bạn định sử dụng. Trong bài viết này, chúng ta sẽ dùng testing123.me làm ví dụ.
Có ba lệnh cần chạy:
openssl genrsa -out testing123.me.key 2048
openssl req -new -key testing123.me.key -out testing123.me.csr -subj "/CN=.testing123.me"
openssl x509 -req -in testing123.me.csr -signkey testing123.me.key -out testing123.me.crt -days 825 -extensions v3_req -extfileBa lệnh này sẽ tạo ra ba tệp trên hệ thống của bạn: một tệp CRT (chứng chỉ), một tệp CSR (không được sử dụng cho mục đích của chúng ta ở đây), và một tệp KEY (khóa chứng chỉ). Các lệnh trên được thiết kế để sử dụng với tên miền testing123.me, vì vậy nếu bạn muốn sử dụng một tên miền khác, chỉ cần thay thế nó vào.
Ngoài ra, các lệnh này còn được thiết kế để tạo ra một chứng chỉ wildcard. Đây không phải là chứng chỉ cho bản thân tên miền mà là cho bất kỳ tên miền phụ nào của nó (vì nó được thiết lập là *.testing123.me).
Trong Nginx Proxy Manager, hãy điều hướng đến tab SSL Certificates và sau đó nhấp vào Add SSL Certificate, rồi chọn Custom. Đặt tên cho chứng chỉ, sau đó tải tệp KEY vào mục Certificate Key và tệp CRT vào mục Certificate.
Bây giờ, quay lại tab Proxy Hosts, bạn có thể chuyển đến khu vực SSL và chọn chứng chỉ wildcard của mình. Điều này sẽ cung cấp cho bạn một chứng chỉ tự ký cho các dịch vụ hỗ trợ SSL của bạn.
Vì đây là chứng chỉ tự ký, bạn vẫn sẽ nhận được cảnh báo chứng chỉ khi truy cập trang web, nhưng nó vẫn sẽ hoạt động cho các dịch vụ cần HTTPS để chức năng. Hơn nữa, bạn thậm chí có thể thêm chứng chỉ này vào CA cục bộ trên máy tính của mình để tránh cảnh báo, mặc dù đây là một bước nâng cao hơn và cách thực hiện sẽ khác nhau tùy theo hệ điều hành.
Khi đã thiết lập tất cả những điều đó, bạn đã sẵn sàng truy cập các tên miền cục bộ mà không cần rời khỏi mạng của mình! Cá nhân tôi đã thiết lập điều này cho cả hai phiên bản Pi-hole của mình (để tôi có thể truy cập chúng mà không cần IP) và phiên bản Proxmox của mình, vì tôi không muốn mở bất kỳ dịch vụ nào trong số đó ra thế giới bên ngoài.
Tuy nhiên, nếu bạn muốn tạo trang web riêng của mình và cho phép mọi người từ khắp nơi truy cập, điều đó thực sự khá dễ dàng! Bạn thậm chí có thể có một trang web hoạt động đầy đủ chỉ trong một cuối tuần bằng cách sử dụng Raspberry Pi và Nginx Proxy Manager.
Kết luận
Việc tự host dịch vụ tại nhà mang lại sự kiểm soát và linh hoạt tối đa, nhưng cũng đi kèm với thách thức về quản lý và truy cập. Bằng cách tận dụng sức mạnh của Pi-hole để xử lý DNS cục bộ và Nginx Proxy Manager để định tuyến các yêu cầu, bạn có thể biến những địa chỉ IP khó nhớ thành các tên miền thân thiện, dễ quản lý hơn rất nhiều. Giải pháp này không chỉ nâng cao trải nghiệm người dùng trong mạng nội bộ mà còn củng cố bảo mật cho các dịch vụ nhạy cảm của bạn, đảm bảo chúng không bị phơi bày ra Internet một cách không cần thiết.
Nếu bạn đang tìm cách tối ưu hóa homelab của mình, việc thiết lập tên miền cục bộ chắc chắn là một bước đi đáng giá. Hãy bắt tay vào thử nghiệm và khám phá những tiện ích mà giải pháp này mang lại.
Bạn đã từng thử gán tên miền cục bộ cho dịch vụ tự host của mình chưa? Bạn có kinh nghiệm hay mẹo nào muốn chia sẻ không? Hãy để lại ý kiến của bạn trong phần bình luận bên dưới và cùng thảo luận với cộng đồng Thích Công Nghệ!
Tài liệu tham khảo
- How to Host Your Own Website With Docker and Nginx Proxy Manager
- How I Replaced Audible With a Self-Hosted Alternative
- Tools Every Homelabber Should Try At Least Once
- Why Run 2 Pi-Hole Instances and How to Keep Them Synced
- Pi-hole Official Documentation
- Nginx Proxy Manager Official Website
- How to Create and Use Self-Signed SSL on Nginx
- How to Set Up a Website on a Raspberry Pi
