NPM (Nginx Proxy Manager) hiện đang là ứng dụng Reverse Proxy mình sử dụng cho các dịch vụ mạng đang cài đặt trong nhà.

Các bước cài đặt Reverse Proxy thông thường khi dùng NPM sẽ như sau:

  1. Tạo Proxy Host mới
  2. Chọn tên miền trong mục Domain Names
  3. Trỏ về địa chỉ IP và Port của máy chủ đang cài đặt dịch vụ.
  4. Cài đặt chứng chỉ SSL.
  5. Xong! Reverse Proxy đã sẵn sàng phục vụ.

Ví dụ như dưới đây là cách tạo Reversey Proxy cho Portainer.

Trong thực tế, đa số các dịch vụ mạng mình sử dụng đều được cài đặt bằng Docker và đều nằm chung trên 1 máy chủ đang chạy Nginx Proxy Manager.

Để tối ưu bảo mật, mình sẽ tận dụng tính năng mạng riêng của Docker để tạo Reverse Proxy cho dịch vụ mà không cần phải mở port kết nối ra bên ngoài. Nhờ đó chặn được hết các kết nối trực tiếp vào dịch vụ thông qua địa chỉ http://<IP-Address>:<Port>. Chỉ có các kết nối bằng tên miền thông qua NPM mới được chuyển hướng đến dịch vụ.

Mình đã từng hướng dẫn phương pháp này trong hướng dẫn cấu hình NPM làm Reverse Proxy cho OpenLiteSpeed + MariaDB + Docker. Bài viết hôm nay sẽ tóm tắt gọn lại để có thể áp dụng cho mọi Docker container khác.

1. Tạo Docker network

Đầu tiên, mình sẽ tạo 1 mạng Docker ảo. Tất cả các dịch vụ mạng được kích hoạt bằng Docker trên cùng máy chủ sẽ được kết nối vào mạng ảo này.

Bằng các thiết lập mạng riêng, chúng ta không cần publish các cổng mạng của dịch vụ ra ngoài. Chỉ duy nhất cổng 80 và 443 của NPM được truy cập từ bên ngoài.

docker network create thuanbuidepchaiCode language: Nginx (nginx)

2. Cập nhật thông số

Mình sẽ ví dụ bằng cách tạo Reverse Proxy cho Paperless-ngx.

Truy cập vào thư mục cài đặt dịch vụ mạng cần được tạo Reverse Proxy và thay đổi file cấu hình docker-compose.yml.

  • Thêm dấu # vào trước các phần cấu hình port để vô hiệu hoá.
  • Thêm thông số mạng vào dưới cùng như sau
networks:
  default:
    external:
      name: thuanbuidepchaiCode language: YAML (yaml)

Sau khi thay đổi, file docker-compose.yml của mình sẽ như dưới đây

version: "2.1"
services:
  paperless-ngx:
    image: lscr.io/linuxserver/paperless-ngx:latest
    container_name: paperless-ngx
    environment:
      - PUID=1000
      - PGID=1000
      - TZ=Asia/Ho_Chi_Minh
      - PAPERLESS_URL=https://paperless.thuanbui.me
      #- REDIS_URL= #optional
    volumes:
      - ./config:/config
      - ./data:/data
    #ports:
    #  - 8000:8000
    restart: unless-stopped
networks:
  default:
    external:
      name: thuanbuidepchaiCode language: YAML (yaml)

Chú ý dòng 5: container_name (paperless-ngx). Chúng ta sẽ cần thông số này cho bước tạo Proxy Host.

3. Cập nhật cấu hình NPM

Truy cập vào thư mục cài NPM và chỉnh lại docker-compose.yml: thêm vào thông số network tương tự như ở trên

version: '3'
services:
  app:
    image: 'jc21/nginx-proxy-manager:latest'
    restart: unless-stopped
    ports:
      - '80:80'
      - '81:81'
      - '443:443'
    environment:
      DB_MYSQL_HOST: "db"
      DB_MYSQL_PORT: 3306
      DB_MYSQL_USER: "npm"
      DB_MYSQL_PASSWORD: "npm"
      DB_MYSQL_NAME: "npm"
    volumes:
      - ./data:/data
      - ./letsencrypt:/etc/letsencrypt
  db:
    image: 'jc21/mariadb-aria:latest'
    restart: unless-stopped
    environment:
      MYSQL_ROOT_PASSWORD: 'npm'
      MYSQL_DATABASE: 'npm'
      MYSQL_USER: 'npm'
      MYSQL_PASSWORD: 'npm'
    volumes:
      - ./data/mysql:/var/lib/mysql

networks:
  default:
    external:
      name: thuanbuidepchaiCode language: YAML (yaml)

Kích hoạt lại NPM

docker-compose up -d

Mở trình duyệt web, truy cập vào địa chỉ IP của máy chủ, nếu hiện ra trang web như sau nghĩa là bạn đang đi đúng hướng: NPM đang đóng vai trò làm Reverse Proxy cho máy chủ.

Kiểm tra lại network thuanbuidepchai bằng lệnh docker network inspect thuanbuidepchai, sẽ thấy Nginx Proxy Manager và Paperless-ngx đang cùng kết nối vào mạng này.

 "Containers": {
            "2fd5b65ce7302cf1fce6c68bb7fc78183a31885eab862fc861ce26bc21f94ffc": {
                "Name": "paperless-ngx",
                "EndpointID": "bd6bcfe5c4c426a304e7b16ac1d5fd8a56a004ad7171d28596caae689aefd9e8",
                "MacAddress": "02:42:ac:14:00:05",
                "IPv4Address": "172.20.0.5/16",
                "IPv6Address": ""
            },
            "750a3bbc428746ab647b32af96d5d207db5cb38c8faa312011fb56ae57c9300c": {
                "Name": "nginxproxymanager_app_1",
                "EndpointID": "8fda668e72e00a151a999a40b9cca1e7eb7b93e6ebe2b796715948f5c7cabb8b",
                "MacAddress": "02:42:ac:14:00:04",
                "IPv4Address": "172.20.0.4/16",
                "IPv6Address": ""
            },
            "cce31506dca30c10f2a26926b0e676cc44134a02cd5db5b3c7625708235aee03": {
                "Name": "nginxproxymanager_db_1",
                "EndpointID": "60a1ce468bb72b820da6b030c6dcb1c50ca488f1f381597ba3d9501f8da0143b",
                "MacAddress": "02:42:ac:14:00:03",
                "IPv4Address": "172.20.0.3/16",
                "IPv6Address": ""
            }
        },Code language: JavaScript (javascript)

4. Tạo Proxy Host

Mình sẽ cấu hình tên miền document.thuanbui.me để sử dụng cho Paperless-ngx.

Truy cập vào NPM, tạo Proxy Host mới với thông số như sau

  • Domain Names: nhập vào tên miền document.thuanbui.me
  • Scheme: chọn http
  • Forward Hostname / IP: nhập vào paperless-ngx là tên của container đang chạy Paperless-ngx.
  • Forward Port: 8000
Cấu hình Proxy Host cho Paperless-ngx

Do cả NPM và Paparless-ngx đang cùng nằm trong mạng Docker thuanbuidepchai nên có thể kết nối trực tiếp với nhau bằng Hostname và Port. Nhờ vậy chúng ta không cần phải nhập địa chỉ IP của máy chủ vào mục Forward Hostname / IP và cũng không cần phải mở truy cập port 8000 của Paperless-ngx ra bên ngoài.

Bấm tiếp vào tab SSL để tạo chứng chỉ bảo mật nếu cần thiết. Sau đó bấm Save để hoàn tất.

Vậy là xong. Nếu muốn tăng bảo mật, mình có thể chỉnh thêm tính năng Access List để hạn chế truy cập hoặc yêu cầu nhập tài khoản / mật khẩu mỗi khi truy cập vào tên miền.

Chúc bạn thực hiện thành công!

Lưu ý: Nếu bạn cần hỗ trợ kỹ thuật, vui lòng gửi câu hỏi trực tiếp ở phần Thảo luận bên dưới, mình sẽ trả lời sớm. Đừng vào hỏi trong fanpage Yêu Chạy Bộ, sẽ không có phản hồi đâu!

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *


19 Comments

  1. Mình đang cài npm lên Rasberypi ở nhà để dùng như bài hướng dẫn này nhưng đang bị một vấn đề là. Router của nhà mạng (trường hợp của mình là Viettel) không cho mở port 80 và 443. Nên khi truy cập domain đã tạo trong npm sẽ không được vì khi truy cập vào domain thì mặc định là domain đó đang chạy trên cổng 80 hoặc 443.
    Không biết bạn có cách nào để khắc phục vấn đề này không nhỉ?

    1. Bạn kiểm tra xem Public IP (check ở https://ifconfig.me) và WAN IP trong Router nhà mạng có giống nhau không?

      • Nếu khác nhau nghĩa là mạng nhà bạn đang bị dính CGNAT, phải liên hệ tổng đài Viettel, than phiền rằng bạn không kiểm tra được IP Camera ở nhà, nó sẽ cấu hình lại để mạng ở nhà có Public IP. Hoặc bạn có thể dùng Cloudlfare Tunnel để làm proxy.
      • Nếu giống nhau nghĩa là mạng ở nhà không bị dính CGNAT, bạn cần kiểm tra lại cấu hình trong router.
    1. Nếu bạn muốn kết nối các container trên nhiều host vào chung 1 network thì phải cấu hình overlay network. Cái này mình chưa nghiên cứu bao giờ, bạn có thể tham khảo ở đây: https://gdevillele.github.io/engine/userguide/networking/get-started-overlay/
      Cách đơn giản mình thường xài là cấu hình Reverse Proxy của NPM trỏ tới IP của host khác kèm theo port của docker container.

      1. Có cách nào để mình cấu hình 1 container chạy trên nhiều subnet được không nhỉ bạn? Mình thấy trong portainer cho phép chỉnh container vào nhiều mạng khác nhau. Nhưng không biết cấu hình bằng docker compose được không?

        1. Bạn có thể cấu hình trong file docker compose theo hướng dẫn này: https://docs.docker.com/compose/networking/
          Còn nếu muốn kết nối container đang chạy vào 1 subnet đang có sẵn thì dùng lệnh docker network connect network_name container_name. Để xem network_name thì dùng lệnh docker network ls. Để xem container_name thì dùng lệnh docker ps
          Bạn xem thêm tham khảo hướng dẫn ở dây: https://docs.docker.com/engine/reference/commandline/network_connect/

          1. Bạn cho mình hỏi khi mình tạo 1 mạng riêng cho NPM thì khi mình trỏ NPM về 1 container khác ở khác lớp mạng bằng IP và port của container ở lớp mạng khác thì thấy không chạy được. Lý do là sao vậy nhỉ?

  2. Bạn cho mình hỏi thêm mình có tạo wgeasy và một vài container khác trên cùng một vps và sử dụng nginx reverse proxy để truy cập thông qua tên miền. nhưng khi mình kết nối đến vps bằng wgeasy thì sẽ bị tình trạng là không truy cập được các container khác trên cùng vps qua tên miền được nữa. Có cách nào để khi kết nối bằng wireguard mà vẫn truy cập được thông qua tên miền không nhỉ?

    1. Mình thường xuyên truy cập vào wg-easy thiết lập tại nhà. Sau đó vẫn truy cập được các container khác được cài đặt ở nhà thông qua tên miền. Có lẽ bạn cấu hình sai gì đó thôi.

        1. Trên VPS của mình cũng chạy ngon lành nhé. Vì VPS nào mình cũng có 1 cái WireGuard chạy ở đó. Và luôn có nhiều ứng dụng khác chạy cùng. Đã thử kết nối vào wg-easy, sau đó truy cập các container trên cùng VPS đó, tất cả chạy bình thường.