Artykuł 49 z 208

Reverse proxy i HTTPS dla usług WWW obok OMV

Gdy obok OMV uruchamiasz aplikacje WWW, na przykład przez Compose, nie wystawiaj ich w przypadkowy sposób po gołych portach. lepsza droga to reverse proxy, osobna nazwa hosta i HTTPS z poprawnym certyfikatem.

Usługi webowe uruchamiane obok OMV — Reverse proxy zwykle ma sens wtedy, gdy obok OMV pojawiaja się już aplikacje webowe uruchomione lokalnie na serwerze.

Każdej publicznej aplikacji przypisz osobna nazwę hosta, a nie kolejne przypadkowe porty.
Przed wystawieniem czegokolwiek ustal, czy dana aplikacja naprawd ma być dostępna publicznie.
Panel OMV nadal trzymaj osobno i najlepiej tylko za VPN.

Konfiguracja usług i ścieżek w Compose — Reverse proxy najczęściej stoi jako osobna usługa i kieruje ruch do właściwej aplikacji po wewnetrznych adresach i portach.

Skonfiguruj DNS tak, aby nazwa hosta wskazywała na twoja publiczna strone wejścia.
Na reverse proxy włącz certyfikat HTTPS, najlepiej z automatycznym odnawianiem.
Wystawiaj publicznie tylko to, co naprawd jest usługa webowa dla świata.

Panel OMV jako przykład czego nie wystawiac publicznie — Reverse proxy jest świetne dla aplikacji WWW, ale samo istnienie tej warstwy nie oznaza, że panel administracyjny OMV od razu staje się dobrym kandydatem do publicznego wystawienia.

HTTPS to warstwa szyfrowania i zaufania, ale nie zastępuje zdrowego rozsadku. Jeśli aplikacja nie musi być publiczna, dalej lepiej zostawic ja za VPN.

Jeśli operator trzyma cie za CGNAT i klasyczne wystawienie usług WWW odpada, nastpnym krokiem może być tunel bez publicznego IP i bez otwierania portów.

Następny krok Poprzedni krok