Artykuł 49 z 67

Reverse proxy i HTTPS dla usług WWW obok OMV

Gdy obok OMV uruchamiasz aplikacje WWW, na przykład przez Compose, nie wystawiaj ich w przypadkowy sposób po gołych portach. Lepsza droga to reverse proxy, osobna nazwa hosta i HTTPS z poprawnym certyfikatem.

Usługi webowe uruchamiane obok OMV — Reverse proxy zwykle ma sens wtedy, gdy obok OMV pojawiają się już aplikacje webowe uruchomione lokalnie na serwerze.

Każdej publicznej aplikacji przypisz osobną nazwę hosta, a nie kolejne przypadkowe porty.
Przed wystawieniem czegokolwiek ustal, czy dana aplikacja naprawdę ma być dostępna publicznie.
Panel OMV nadal trzymaj osobno i najlepiej tylko za VPN.

Konfiguracja usług i ścieżek w Compose — Reverse proxy najczęściej stoi jako osobna usługa i kieruje ruch do właściwej aplikacji po wewnętrznych adresach i portach.

Skonfiguruj DNS tak, aby nazwa hosta wskazywała na twoją publiczną stronę wejścia.
Na reverse proxy włącz certyfikat HTTPS, najlepiej z automatycznym odnawianiem.
Wystawiaj publicznie tylko to, co naprawdę jest usługą webową dla świata.

Panel OMV jako przykład czego nie wystawiać publicznie — Reverse proxy jest świetne dla aplikacji WWW, ale samo istnienie tej warstwy nie oznacza, że panel administracyjny OMV od razu staje się dobrym kandydatem do publicznego wystawienia.

HTTPS to warstwa szyfrowania i zaufania, ale nie zastępuje zdrowego rozsądku. Jeśli aplikacja nie musi być publiczna, dalej lepiej zostawić ją za VPN.

Jeśli operator trzyma cię za CGNAT i klasyczne wystawienie usług WWW odpada, następnym krokiem może być tunel bez publicznego IP i bez otwierania portów.

Następny krok Poprzedni krok