Tôi là một người đến khá muộn (một số người có thể nói là rất muộn) với Tailscale và những khả năng mạng ảo mạnh mẽ mà nó mang lại. Một phần lý do là tôi đã sử dụng nhiều nhà cung cấp VPN truyền thống khác, và một phần nữa là cho đến gần đây, tôi chưa cần truy cập home lab của mình từ xa, đơn giản vì tôi chưa có home lab để truy cập.
Chà, thời thế đang thay đổi, và giờ đây câu hỏi không phải là làm thế nào để cài đặt Tailscale nữa, mà là “liệu tôi đã bỏ sót bao nhiêu thiết bị?”. Tôi có thể hiểu gần hết về mạng, DNS, domain và cách chúng kết hợp lại với nhau để tạo nên thứ gọi là internet. Nhưng điều đó không có nghĩa là tôi thực sự thích làm việc đó, chẳng hạn như thực hiện các thao tác phức tạp để thay đổi cài đặt ở nhiều nơi và đảm bảo từng octet nằm đúng vị trí.
Đừng hiểu lầm, tôi yêu việc học hỏi và cảm giác mọi thứ hoạt động sau nhiều giờ (đôi khi) thất vọng, nhưng tôi cũng có những ưu tiên khác. Home lab của tôi không tự chạy được, và càng dành nhiều thời gian cho mạng, tôi càng có ít thời gian để thực hiện các thí nghiệm thú vị. Đó là lúc Tailscale xuất hiện, và cụ thể hơn là Tailscale Funnel.
Đây là một phần nội tại của MagicDNS của Tailscale, cho phép tôi kiểm tra các dịch vụ self-hosted từ một URL công khai mà không cần phải cấu hình các bản ghi domain hay bất kỳ thứ gì liên quan đến mạng mà tôi không muốn làm. Nhờ đó, tôi có thể tập trung vào dịch vụ và làm cho nó hoạt động. Tailscale Funnel thật tuyệt vời, và điều tuyệt vời nhất là chúng không tốn nhiều thời gian để sử dụng.
Một máy tính hiển thị giao diện người dùng web của Tailscale và một Raspberry Pi
5 Lợi Ích Của Tailscale Funnel Khiến Tôi Say Mê
5. Chúng rất đơn giản
Chỉ với một dòng lệnh là tôi có thể truy cập
Tôi đã sử dụng rất nhiều cách khác nhau để truy cập các dịch vụ đang chạy trên home lab của mình từ bên ngoài mạng gia đình. Hầu hết là các giải pháp VPN khiến thiết bị của tôi hoạt động như thể nó đang ở nhà, các reverse proxy để xử lý việc chuyển gói dữ liệu qua thiết bị mạng của tôi, hoặc là sự kết hợp của cả hai. Một số thì phức tạp để thiết lập, một số ít hơn, nhưng tất cả đều liên quan đến các bước bổ sung để vận hành.
Tailscale Funnel thì không. Cài đặt Tailscale rất nhanh, và việc thiết lập một Funnel để lộ ứng dụng self-hosted đơn giản như chỉ một dòng lệnh trong cửa sổ terminal:
tailscale funnel [port]Đó là tất cả những gì cần thiết để kết nối cổng dịch vụ nội bộ với cổng bên ngoài, tạo một bản ghi DNS liên kết và một URL tailnet để dễ dàng truy cập. Có thể mất vài phút để bản ghi DNS lan truyền, nhưng tốc độ đó phụ thuộc vào các máy chủ tên. Không cần chỉnh sửa file YAML, không cần nhớ (hoặc gõ sai!) cú pháp hoặc ánh xạ cổng, chỉ cần một lệnh duy nhất có thể sử dụng các cổng khác nhau cho nội bộ và bên ngoài nếu bạn cần.
Laptop Windows 11 chạy Windows PowerShell và PowerShell trong các cửa sổ terminal riêng biệt
4. Chúng an toàn
Mã hóa đầu cuối (End-to-end encryption) là yếu tố then chốt
Kết nối đến các ứng dụng self-hosted của tôi rất dễ dàng khi tôi ở nhà, ngoại trừ việc phải đối phó với các chứng chỉ tự ký cho mục đích sử dụng HTTPS. Tuy nhiên, các chứng chỉ tự ký này có thể gây ra vấn đề khi cố gắng làm cho các ứng dụng đó có sẵn bên ngoài ngôi nhà của tôi, chẳng hạn như thông qua một reverse proxy được bảo mật đúng cách. Không phải là không thể, nhưng nó đòi hỏi thêm vài bước để xác minh chứng chỉ đáng tin cậy, và đôi khi còn tốn kém chi phí.
Nhưng ngay khi một Tailscale Funnel được khởi tạo, Tailscale sẽ cung cấp cho bạn một tên miền phụ DNS thực tế, nghĩa là bạn sẽ nhận được một chứng chỉ được cấp từ cấp độ tin cậy của Tailscale và do đó được trình duyệt web của bạn tự động tin cậy. Nó vẫn là chứng chỉ Let’s Encrypt tự ký, nhưng bạn không phải mua domain, thiết lập VPS và trỏ nhà đăng ký domain của mình đến đó để có chứng chỉ đáng tin cậy; nó chỉ đơn giản là hoạt động. Một lần nữa, tôi xin nhắc lại rằng tôi ghét phải xử lý những phiền phức của DNS, và việc có thứ gì đó làm tất cả cho tôi một cách liền mạch gần như là phép màu.
Khi URL Funnel được sử dụng, nó thiết lập một proxy TCP giữa ứng dụng liên kết và thiết bị mà URL đó được nhấp vào. Kết nối này được mã hóa hoàn toàn và không bao giờ giải mã lưu lượng truy cập giữa các thiết bị công cộng và thiết bị của bạn. Phần duy nhất của liên kết không được mã hóa là giữa máy chủ Tailscale trong nhà tôi và ứng dụng tôi đang truy cập, giống như khi tôi đang ở nhà vậy.
Tủ mạng với hệ thống dây cáp được sắp xếp gọn gàng nhìn từ gần
Mặt sau của Lenovo ThinkServer SR250 V2 hiển thị các cổng kết nối
3. Không cần chuyển tiếp cổng (Port Forwarding)
Càng ít cổng mở từ home lab của tôi càng tốt
Tôi luôn cảnh giác về việc để các cổng mở ra internet, và bất kỳ ai trong thời đại này cũng nên như vậy. Việc thiết lập các bản quét IP tự động để xác định các cổng mở cho việc thăm dò trong tương lai quá dễ dàng, và việc bảo mật chúng đúng cách là một thách thức đáng kể. Nếu bạn có thể chuyển tiếp cổng ngay từ đầu, các nhà cung cấp dịch vụ internet (ISP) thường hạn chế khả năng này, đặc biệt là trên các cổng cụ thể (cổng 25 cho SMTP rất phổ biến bị chặn). Đó là lý do tại sao tôi thường không bận tâm và sử dụng thứ gì đó như Pangolin sử dụng các phương pháp xuyên NAT để tránh cần bất kỳ cổng mở nào hoặc cấu hình tường lửa.
Tailscale Funnels về mặt kỹ thuật có mở một cổng, nhưng chỉ đến tailnet của bạn, chứ không phải internet công cộng có thể bị quét. Với URL được bảo mật bằng HTTPS để truy cập các ứng dụng của mình, tôi không phải lo lắng về các cuộc tấn công tự động hoặc bất kỳ vấn đề nào khác mà việc có một cổng mở vĩnh viễn trên tường lửa của tôi có thể gây ra. Tôi thậm chí không phải lo lắng về việc thay đổi bản ghi DNS. Hơn nữa, tôi không phải thực hiện chuyển tiếp cổng, điều mà tôi rất vui mỗi khi thiết lập một Funnel.
Tủ mạng với các hộp và thiết bị mạng bên trong
Bộ định tuyến GL.iNet Slate AX (GL-AX1800) với OpenWrt, được đặt trên bàn
2. Các trường hợp sử dụng sáng tạo
Điều gì sẽ xảy ra nếu bạn có thể biến một dịch vụ thành nhiều dịch vụ?
Funnels mạnh mẽ như một reverse proxy đơn giản, cho phép một dịch vụ self-hosted dễ dàng được sử dụng từ một URL có thể chia sẻ. Bạn có thể sử dụng nhiều Funnel để truy cập mọi thứ trong home lab của mình, nhưng có một cách thanh lịch hơn đã nằm ngay trước mắt tôi bấy lâu nay. Lệnh funnel cũng hỗ trợ chuyển tiếp TCP, và điều đó có nghĩa là bạn có thể thiết lập nó để chuyển tiếp đến Caddy hoặc bất kỳ reverse proxy nào khác được host cục bộ.
Điểm hay ở đây là phần thường gây khó chịu khi bảo mật của reverse proxy không bao giờ rời khỏi mạng nội bộ của bạn, do đó giảm đáng kể bề mặt tấn công. Cổng vào duy nhất đến thông qua URL Tailscale an toàn, vì vậy việc có nhà cung cấp xác thực trên reverse proxy của bạn sẽ chặn bất kỳ ai bạn không muốn. Nó cũng có nghĩa là bạn có thể truy cập các ứng dụng, dịch vụ, thư mục và các tài nguyên khác có thể không nằm trong tailnet của bạn mà không cần cài đặt client Tailscale trên mỗi thiết bị đó.
Switch quản lý Zyxel XGM1915
1. Dễ dàng truy cập cho người dùng không dùng Tailscale
Gia đình và bạn bè của bạn sẽ cảm ơn bạn
Cho đến nay, mọi tính năng tôi yêu thích ở Tailscale Funnel đều mang lại lợi ích cá nhân. Nhưng vì Funnel rất tuyệt vời để chia sẻ các dịch vụ self-hosted của bạn với bạn bè và gia đình đáng tin cậy, nên có một tính năng nội tại mang lại lợi ích lớn nhất cho họ. Chúng ta có lẽ đều đã từng gặp phải sự phản kháng khi cố gắng chuyển sang các giải pháp self-hosted thay thế, vì đôi khi chúng có thể khó kết nối hơn so với các dịch vụ đăng ký mà chúng đang thay thế.
Không ai muốn gõ địa chỉ IP hoặc chi tiết kết nối SSH. Nó tốn nhiều công sức hơn so với việc sử dụng SSO để truy cập dịch vụ. Tuy nhiên, họ có thể, và sẽ, nhấp vào một liên kết (ngay cả khi chúng ta cố gắng ngăn họ làm điều đó), điều này khiến URL Tailscale Funnel trở thành một phần vô giá trong chiến lược của bạn. Không phải ai cũng muốn học cách mọi thứ hoạt động, nhưng nếu rào cản gia nhập được loại bỏ, họ sẽ sẵn lòng lắng nghe lý do tại sao nó phù hợp hơn với nhu cầu của họ.
Giao diện người dùng web của Tailscale hiển thị danh sách các thiết bị và dịch vụ
Tôi đã nhìn thấy ánh sáng ở cuối “funnel”, và Tailscale sắp trở thành một trong những thứ đầu tiên tôi cài đặt bất cứ khi nào tôi đưa một dịch vụ hoặc thử nghiệm home lab mới vào hoạt động. Tôi luôn nói rằng hãy tập trung vào những gì bạn yêu thích trong home lab của mình, và trả tiền hoặc thuê ngoài những thứ bạn không thích. Và bạn biết tôi không thích gì không? Thiết lập bản ghi DNS, chuyển tiếp cổng, reverse proxy và mọi thứ cần thiết khác để sử dụng các công cụ self-hosted bên ngoài mạng của tôi trong khi vẫn giữ an toàn. Tailscale Funnel làm tất cả những công việc khó khăn đó cho tôi, cho phép tôi tập trung vào việc thử các công cụ và dịch vụ mới, đó mới thực sự là điều tôi yêu thích ở home labbing.
