Tôi phải thừa nhận, tôi là một người khá muộn (thậm chí có thể nói là rất muộn) mới chuyển sang dùng Tailscale và say mê những tiện ích mạng ảo mạnh mẽ mà nó mang lại. Một phần lý do là vì trước đây tôi đã quen sử dụng các nhà cung cấp VPN truyền thống khác nhau, và cũng bởi vì, cho đến gần đây, tôi chưa thực sự có nhu cầu truy cập home lab của mình từ xa do chưa sở hữu một home lab thực thụ.
Chà, thời thế đã thay đổi, và giờ đây câu hỏi không còn là làm thế nào để cài đặt Tailscale, mà là “còn bao nhiêu thiết bị của tôi chưa được tích hợp?”. Đúng vậy, tôi có thể tương đối hiểu về mạng, DNS, tên miền và cách chúng kết hợp với nhau để tạo nên cái gọi là internet. Nhưng điều đó không có nghĩa là tôi thực sự thích thú với việc cấu hình chúng, chẳng hạn như cái điệu nhảy phức tạp của việc thay đổi cài đặt ở nhiều nơi và đảm bảo mọi octet đều nằm đúng vị trí của nó.
Đừng hiểu lầm ý tôi, tôi yêu thích quá trình học hỏi và cảm giác mọi thứ hoạt động trơn tru sau nhiều giờ (đôi khi là) thất vọng. Nhưng tôi cũng có những ưu tiên khác. Home lab của tôi không thể tự vận hành, và càng dành nhiều thời gian cho việc cấu hình mạng, tôi càng có ít thời gian hơn để thực hiện những thử nghiệm thú vị. Đó là lúc Tailscale xuất hiện, và cụ thể hơn là tính năng Tailscale Funnel.
Đây là một phần cốt lõi của MagicDNS của Tailscale, cho phép tôi kiểm thử các dịch vụ self-hosted thông qua một URL công khai mà không cần phải tự thiết lập các bản ghi tên miền hay bất kỳ cấu hình mạng nào khác mà tôi không muốn làm. Nhờ đó, tôi có thể tập trung hoàn toàn vào bản thân dịch vụ và đưa nó vào hoạt động. Tailscale Funnel thật sự tuyệt vời, và điều tuyệt vời nhất là chúng không tốn nhiều thời gian để sử dụng.
Hình ảnh minh họa Raspberry Pi chạy Tailscale kết nối với máy tính, biểu thị truy cập mạng nội bộ
5. Sự Đơn Giản Kinh Ngạc
Chỉ một dòng lệnh để có quyền truy cập
Tôi đã thử rất nhiều cách khác nhau để truy cập các dịch vụ đang chạy trên home lab của mình từ bên ngoài mạng gia đình. Hầu hết các giải pháp đó là VPN (làm cho thiết bị của tôi hoạt động như thể đang ở nhà), reverse proxy (xử lý việc truyền gói dữ liệu qua thiết bị mạng của tôi), hoặc là sự kết hợp của cả hai. Một số giải pháp phức tạp khi cài đặt, một số ít phức tạp hơn, nhưng tất cả đều yêu cầu các bước bổ sung để hoạt động.
Tailscale Funnel thì không như vậy. Việc cài đặt Tailscale rất nhanh chóng, và thiết lập Funnel để lộ một ứng dụng self-hosted ra ngoài chỉ đơn giản như một dòng lệnh duy nhất trong cửa sổ terminal.
tailscale funnel [cổng]Chỉ cần thế là đủ để kết nối cổng dịch vụ nội bộ với cổng bên ngoài, tạo một bản ghi DNS liên kết và cung cấp một URL tailnet để dễ dàng truy cập. Có thể mất vài phút để các bản ghi DNS được phân tán, nhưng đó là tốc độ nhanh nhất mà các máy chủ tên miền có thể đạt được. Không cần chỉnh sửa file YAML, không cần ghi nhớ (hoặc gõ sai!) cú pháp hay ánh xạ cổng. Chỉ cần một lệnh duy nhất, thậm chí có thể sử dụng các cổng khác nhau cho nội bộ và bên ngoài nếu bạn cần.
Màn hình máy tính chạy Windows PowerShell và PowerShell, minh họa việc sử dụng dòng lệnh
4. Bảo Mật Vượt Trội
Mã hóa đầu cuối là yếu tố then chốt
Kết nối đến các ứng dụng self-hosted của tôi khá dễ dàng khi tôi ở nhà, ngoại trừ việc phải đối phó với các chứng chỉ tự ký (self-signed certificates) cho việc sử dụng HTTPS. Tuy nhiên, những chứng chỉ tự ký này có thể gây rắc rối khi cố gắng cung cấp các ứng dụng đó ra bên ngoài ngôi nhà, chẳng hạn như thông qua một reverse proxy được bảo mật đúng cách. Điều này không phải là không thể, nhưng nó đòi hỏi thêm vài bước để xác minh chứng chỉ đáng tin cậy, và đôi khi cả chi phí tài chính.
Nhưng ngay khi Tailscale Funnel được khởi tạo, Tailscale sẽ cung cấp cho bạn một tên miền phụ DNS thực (real DNS subdomain). Điều này có nghĩa là bạn nhận được một chứng chỉ được cung cấp từ cấp độ tin cậy của Tailscale và do đó được trình duyệt web của bạn tự động tin cậy. Mặc dù vẫn là chứng chỉ từ Let’s Encrypt (được Tailscale quản lý), bạn không phải tự mua tên miền, thiết lập một máy chủ VPS, và trỏ bản ghi tên miền của bạn đến đó để có chứng chỉ đáng tin cậy; nó chỉ đơn giản là hoạt động. Xin nhắc lại, tôi rất ghét việc phải xử lý những rắc rối của DNS, và có một thứ tự động làm tất cả cho tôi một cách liền mạch gần như là phép màu.
Tủ mạng với dây cáp được bố trí gọn gàng, biểu thị cơ sở hạ tầng mạng
Khi URL Funnel được sử dụng, nó thiết lập một proxy TCP giữa ứng dụng liên quan và thiết bị mà URL đó được nhấp vào. Kết nối này được mã hóa hoàn toàn và không bao giờ giải mã lưu lượng giữa các thiết bị công cộng và thiết bị của bạn. Phần duy nhất của liên kết không được mã hóa là giữa máy chủ Tailscale trong nhà tôi và ứng dụng mà tôi đang truy cập, giống hệt như khi tôi truy cập từ mạng nội bộ.
Cận cảnh mặt sau máy chủ Lenovo ThinkServer SR250 V2 với các cổng kết nối, minh họa thiết bị cho home lab
3. Không Cần Mở Port Công Khai
Càng ít cổng mở ra internet từ home lab càng tốt
Tôi luôn cảnh giác về việc để các cổng mở ra internet, và bất kỳ ai trong thời đại này cũng nên như vậy. Việc thiết lập các bản quét IP tự động để xác định các cổng mở cho các cuộc tấn công trong tương lai là quá dễ dàng, và việc bảo mật chúng đúng cách là một thách thức đáng kể. Nếu bạn có thể mở port ngay từ đầu, các nhà cung cấp dịch vụ internet (ISP) thường giới hạn khả năng này, đặc biệt là trên các cổng cụ thể (cổng 25 cho SMTP rất phổ biến bị chặn). Đó là lý do tại sao tôi thường không bận tâm và sử dụng những giải pháp như Pangolin, dùng các phương pháp NAT traversal để tránh cần bất kỳ cổng mở hoặc cấu hình tường lửa nào.
Tailscale Funnel về mặt kỹ thuật có mở một cổng, nhưng chỉ tới tailnet của bạn, chứ không phải internet công cộng có thể bị quét. Với một URL được bảo mật bằng HTTPS để truy cập các ứng dụng của mình, tôi không phải lo lắng về các cuộc tấn công tự động hoặc bất kỳ vấn đề nào khác mà việc có một cổng mở vĩnh viễn trên tường lửa của tôi có thể gây ra. Tôi thậm chí không phải lo lắng về việc thay đổi các bản ghi DNS. Hơn nữa, tôi không phải thực hiện port forwarding, điều mà tôi luôn thấy vui mừng mỗi khi thiết lập một Funnel.
Tủ mạng đóng với các thiết bị bên trong, biểu thị hệ thống mạng gia đình hoặc doanh nghiệp nhỏ
Router GL-iNet Slate AX1800 chạy OpenWrt, thiết bị mạng phổ biến trong home lab
2. Ứng Dụng Linh Hoạt và Sáng Tạo
Điều gì sẽ xảy ra nếu bạn có thể biến một dịch vụ thành nhiều?
Funnel rất mạnh mẽ như một reverse proxy đơn giản, cho phép một dịch vụ self-hosted dễ dàng được sử dụng từ một URL có thể chia sẻ. Bạn có thể sử dụng nhiều Funnel để truy cập mọi thứ trong home lab của mình, nhưng có một cách tiếp cận tinh tế hơn mà tôi đã bỏ qua bấy lâu nay. Lệnh funnel cũng hỗ trợ chuyển tiếp TCP, và điều đó có nghĩa là bạn có thể thiết lập nó để chuyển tiếp đến Caddy, hoặc bất kỳ reverse proxy nào khác đang chạy cục bộ.
Ưu điểm lớn của cách này là phần thường khó bảo mật nhất của reverse proxy không bao giờ rời khỏi mạng nội bộ của bạn, do đó giảm đáng kể bề mặt tấn công. Điểm truy cập duy nhất đến thông qua một URL Tailscale được bảo mật, vì vậy việc thiết lập nhà cung cấp xác thực (authentication provider) trên reverse proxy của bạn sẽ chặn bất kỳ ai bạn không muốn truy cập. Nó cũng có nghĩa là bạn có thể truy cập các ứng dụng, dịch vụ, thư mục và các tài nguyên khác có thể không nằm trong tailnet của bạn, mà không cần cài đặt client Tailscale trên từng thiết bị đó.
Switch mạng Zyxel XGM1915, minh họa thành phần mạng trong home lab
Router mạng đặt cạnh ti vi và lư hương, biểu thị kết nối internet trong môi trường gia đình
1. Dễ Dàng Chia Sẻ cho Người Không Dùng Tailscale
Gia đình và bạn bè của bạn sẽ cảm ơn
Cho đến nay, mọi tính năng mà tôi yêu thích ở Tailscale Funnel đều mang lại lợi ích cá nhân. Nhưng vì Funnel rất tuyệt vời để chia sẻ các dịch vụ self-hosted của bạn với những người bạn và thành viên gia đình đáng tin cậy, nên có một tính năng cốt lõi mang lại lợi ích lớn nhất cho họ. Tất cả chúng ta có lẽ đều đã trải qua việc bị từ chối khi cố gắng chuyển sang các giải pháp self-hosted thay thế, vì đôi khi chúng có thể khó kết nối hơn so với các dịch vụ đăng ký trả phí mà chúng thay thế.
Không ai muốn phải gõ địa chỉ IP hoặc chi tiết kết nối SSH. Điều đó tốn nhiều công sức hơn là sử dụng đăng nhập một lần (SSO) để truy cập dịch vụ. Tuy nhiên, họ có thể, và sẽ, nhấp vào một liên kết (ngay cả khi chúng ta cố gắng ngăn họ làm vậy), làm cho URL Tailscale Funnel trở thành một phần vô giá trong chiến lược của bạn. Không phải ai cũng muốn tìm hiểu cách mọi thứ hoạt động, nhưng nếu rào cản kỹ thuật được loại bỏ, họ sẽ sẵn sàng lắng nghe lý do tại sao đây là lựa chọn phù hợp hơn cho nhu cầu của họ.
Giao diện web của Tailscale, hiển thị danh sách các thiết bị trong mạng Tailnet
Tôi có thể sẽ chuyển sang sử dụng Tailscale Funnel vĩnh viễn để thoát khỏi những cơn đau đầu về DNS và Proxy
Tôi đã thấy ánh sáng cuối đường hầm của Funnel, và Tailscale sắp trở thành một trong những thứ đầu tiên tôi cài đặt bất cứ khi nào tôi đưa một dịch vụ home lab hoặc một thử nghiệm mới vào hoạt động. Tôi luôn nói rằng hãy tập trung vào những gì bạn yêu thích trong home lab của mình, và trả tiền hoặc thuê ngoài những việc bạn không thích. Và bạn biết tôi không thích điều gì không? Thiết lập bản ghi DNS, mở cổng (port forward), reverse proxy, và tất cả những thứ cần thiết khác để sử dụng các công cụ self-hosted bên ngoài mạng của tôi mà vẫn giữ được bảo mật. Tailscale Funnel làm tất cả những công việc khó khăn đó giúp tôi, cho phép tôi tập trung vào việc thử nghiệm các công cụ và dịch vụ mới, đó mới là điều tôi thực sự yêu thích ở home lab.
