[Homelab] #14 Public Proxmox Virtual Environment ra ngoài thế giới

Lần trước mình đã không làm được vụ HTTPS Self Sign -> HTTPS Cloudflared rồi. Xong rồi cũng bỏ cuộc, để đó khi nào rảnh thì tính mà đến lúc rảnh thì chưa mà đã đến lúc cần. Thôi thì chắc phải dùng mấy cái dịch vụ Reverse Proxy thôi. Nào là SSL rồi đủ thứ trên đời, xong một hồi cái mình quyết định mua, mua xong nhìn mấy cái giá cái tỉnh ngủ, thoát khỏi giấc mơ.

Cỡ 200k cho một SSL mà chỉ có một tên miền mà thôi, loại support các tên miền con thì tốn cỡ gấp 10 lần nữa. Thế thì chịu chết. Đến cả tên miền mình cũng chi lắt nhắt, 80k/năm thì đâu ra dư tiền để mua thứ xa sỉ này. Mua tên miền dot com thôi đã 350k không dám chi, chỉ dám chi khi sẵn sàng với mail server các thứ.

Thế là tìm tới mấy cái cách khác. Biết đến ACME các kiểu, register các kiểu Let'sEncrypt các kiểu. Mà cách setup có vẻ khá là rắc rối. Ít nhất cũng phải thiết lập một cái DNS nội bộ cái nữa. Thứ này mình đang tạm né nó. Thế là tìm cách khác tiếp, đi đến được là Cloudflare Origin Server.

Thiết lập SSL với Cloudflare Origin Server

Tạo một cái Certificate các kiểu cũng đơn giản thôi.

Đầu tiên vào

cd /etc/pve/local/

Backup 2 file pve-ssl.key và pve-ssl.pem lại

Sau đó nano 2 key mới của cloudflare Origin Server vừa tạo vào

restart dịch vụ pveproxy nữa

systemctl restart pveproxy

Vậy là cơ bản đã có một SSL của Cloudflare 15 năm. Giờ thì cứ dùng tạm như vậy, nếu có bài toán scale thì có lẽ sẽ chuyển sang Let'sEncrypt rồi Reverse Proxy, mở Port và đủ thứ khác để tự chủ. Công nhận nhiều thứ thật

ChatGPT thì cứ bảo sửa file config của Cloudflare, nhưng mà lúc cài làm gì có cái config nào đâu nhỉ? Nên là thôi cứ để nó yapping

Cấu hình Cloudflared Tunnel

Tìm hiểu một hồi thì gặp post reddit sau đó là video này tầm phút thứ 28 nó có chỉ đến chỗ TLS ở ngay đoạn dưới config Tunnel, có đúng mấy đoạn mà nó chỉ ban nãy.

Giờ có 2 option điền Origin Server vào, hoặc tắt TLS Verify. Đương nhiên là tìm cách điền Origin Server vào rồi

Thành quả giờ đã vào được thông qua Domain rồi

Tuy nhiên với cái này, nó là một Domain rất nhạy cảm, nên là sẽ áp dụng thêm một lớp Verify mà ngày xưa đã làm. [Thêm một lớp xác thực của Cloudflare](Hướng dẫn thêm)

Giờ thì muốn vào thì khai báo Github và đương nhiên không phải Github nào cũng vào được.

What are you doing here?

Edit

Cỡ 1 ngày sau mình thấy có một bác hỏi vấn đề tương tự mình gặp.

Cách giải quyết thì có hai cách như bên dưới

Chà, lúc đấy cảm giác có ích thật.