Trong hành trình tự host các ứng dụng mã nguồn mở dưới dạng container trên chiếc Raspberry Pi nhỏ gọn của mình, tôi đã thử nghiệm nhiều dịch vụ mà không lo làm hỏng hệ thống chính. Nhiều container trong số đó, chẳng hạn như các công cụ lập chỉ mục và tự động tải về, cần truy xuất dữ liệu từ Internet. Để bảo vệ địa chỉ IP khỏi bị lộ, tôi đã thử sử dụng VPN. Tuy nhiên, việc định tuyến toàn bộ lưu lượng truy cập qua VPN đã làm chậm đáng kể mọi thứ, ảnh hưởng đến cả các tác vụ cá nhân và công việc đòi hỏi kết nối trực tiếp.
Giải pháp cho vấn đề này là Gluetun – một VPN client mạnh mẽ dành riêng cho Docker containers. Kể từ khi tích hợp Gluetun vào hệ thống máy chủ gia đình, việc định tuyến lưu lượng truy cập cụ thể cho từng container trở nên dễ dàng hơn bao giờ hết, giúp bảo vệ quyền riêng tư và ngăn chặn rò rỉ IP thông qua một đường hầm VPN an toàn. Gluetun đã thực sự thay đổi cách tôi quản lý mạng, biến nó thành lựa chọn tối ưu để định tuyến mọi lưu lượng truy cập đi từ các Docker container, đặc biệt phù hợp cho các home lab tự host hoặc mục đích phát triển.
Tại sao Gluetun là lựa chọn hàng đầu cho định tuyến VPN Docker?
Việc sử dụng VPN để bảo vệ toàn bộ mạng gia đình không hoạt động suôn sẻ như tôi mong đợi. Nhiều ứng dụng cá nhân và công việc không thể hoạt động khi phần mềm hoặc dịch vụ phát hiện kết nối VPN. Cuối cùng, việc triển khai Gluetun để định tuyến VPN cho từng container cụ thể đã giải quyết vấn đề mà không cần thay đổi cài đặt mạng tổng thể.
Kiểm soát linh hoạt, bảo mật và quyền riêng tư cho từng container
Gluetun là một VPN client nhẹ nhàng cho Docker containers, cho phép tích hợp trực tiếp và đơn giản. Tất cả những gì tôi cần làm là cài đặt nó như một Docker container thông thường, không yêu cầu cấu hình thêm các quy tắc tường lửa hay thay đổi mạng cấp hệ điều hành. Điều này mang lại khả năng kiểm soát chi tiết, cô lập hoàn toàn lưu lượng của các container nhạy cảm và tăng cường quyền riêng tư.
Tích hợp dễ dàng và khả năng tương thích rộng rãi
Theo mặc định, Gluetun hỗ trợ một loạt các nhà cung cấp VPN hàng đầu như Private Internet Access, Surfshark, NordVPN, ExpressVPN, Mullvad và nhiều nhà cung cấp khác. Vì vậy, tôi chỉ cần cung cấp thông tin đăng nhập cho dịch vụ VPN đang sử dụng (ví dụ: Surfshark), và Gluetun sẽ tự động quản lý cài đặt để cấu hình tài khoản bằng các giao thức WireGuard hoặc OpenVPN. Khi hoạt động như một VPN client, Gluetun sử dụng cài đặt của nhà cung cấp VPN để tạo một đường hầm an toàn cho tất cả lưu lượng đi từ các container sử dụng mạng của nó, đồng thời sử dụng các máy chủ DNS an toàn hoặc mã hóa để ngăn chặn rò rỉ DNS từ đường hầm bảo mật này.
Tính năng Kill Switch mạnh mẽ, ngăn chặn rò rỉ IP
Một điểm cộng lớn của Gluetun là khả năng tự động chặn toàn bộ lưu lượng truy cập từ các container đã cấu hình nếu kết nối VPN bị gián đoạn, nhằm ngăn chặn rò rỉ IP. Gluetun sử dụng iptables để thực thi tính năng kill switch này, nghĩa là các container được kết nối sẽ không thể hoạt động trừ khi VPN được kích hoạt trở lại. Điều này vượt trội hơn nhiều so với việc sử dụng các VPN toàn hệ thống mà không có kill switch hoặc tường lửa, vốn có thể làm lộ địa chỉ IP thực của máy chủ khi VPN gặp sự cố.
Danh sách các ứng dụng Docker container phổ biến cho máy chủ gia đình, thể hiện tiềm năng self-hosting với Gluetun
Triển khai Gluetun để định tuyến lưu lượng container an toàn
Để triển khai ngăn xếp ứng dụng ARR hoạt động với Gluetun, tôi thường sử dụng các tệp Docker Compose trong Dockge. Theo mặc định, các container này sẽ sử dụng ngăn xếp mạng của Gluetun và không có quyền truy cập vào địa chỉ IP thực hoặc máy chủ của tôi. Đối với các ngăn xếp của mình, tôi đã sử dụng thông tin đăng nhập VPN của Surfshark. Sau khi đăng nhập vào tài khoản Surfshark VPN, tôi đã bật tùy chọn thiết lập thủ công, từ đó tạo ra một mã chữ và số cụ thể cho tên người dùng và mật khẩu để sử dụng trong cấu hình container của Gluetun.
Cấu hình Gluetun với Docker Compose
Tôi khuyến nghị sử dụng giao thức WireGuard thay vì OpenVPN để đạt được tốc độ tốt hơn, ổn định hơn và giảm tải CPU khi triển khai Gluetun trên một máy tính bảng đơn (SBC) như Raspberry Pi.
Dưới đây là đoạn mã cấu hình Gluetun trong một tệp Docker Compose điển hình:
services:
gluetun:
image: qmcgaw/gluetun
container_name: gluetun
cap_add:
- NET_ADMIN
environment:
- VPN_SERVICE_PROVIDER=surfshark
- OPENVPN_USER=username
- OPENVPN_PASSWORD=password
- FIREWALL=on
- TZ=Asia/Kolkata
volumes:
- ./gluetun:/gluetun
ports:
- 8080:8080 # qBittorrent web UI
- 8989:8989 # Sonarr
- 7878:7878 # Radarr
- 8686:8686 # Lidarr
- 6767:6767 # Bazarr
restart: unless-stoppedViệc thêm đoạn mã này vào đầu một ngăn xếp mới đảm bảo rằng Gluetun được cài đặt đầu tiên. Tiếp theo, tôi đã thêm chế độ mạng để các container còn lại sử dụng mạng của Gluetun. Tôi cũng đã bao gồm biến môi trường FIREWALL=on để chặn hoàn toàn quyền truy cập Internet khi kết nối VPN bị ngắt. Mặc dù tường lửa đã được bật theo mặc định, tôi vẫn thêm nó vào như một biện pháp phòng thủ khi sử dụng cùng một tệp compose trên các môi trường khác nhau.
Đảm bảo các container sử dụng mạng Gluetun
Đây là đoạn mã cấu hình cho một container sử dụng mạng của Gluetun:
sonarr:
image: lscr.io/linuxserver/sonarr
container_name: sonarr
network_mode: service:gluetun
depends_on:
- gluetun
environment:
- PUID=1000
- PGID=1000
- TZ=Asia/Kolkata
volumes:
- ./sonarr:/config
- ./downloads:/downloads
- ./media/tv:/tv
restart: unless-stoppedLưu ý rằng tôi đã chỉ định biến network_mode để sử dụng dịch vụ Gluetun. Sau khi triển khai toàn bộ ngăn xếp ứng dụng ARR, việc kiểm tra xem các container có thực sự sử dụng mạng của Gluetun cho lưu lượng đi của chúng hay không là cần thiết. Tôi đã chạy lệnh sau để kiểm tra:
docker exec radarr curl ifconfig.meLệnh này hiển thị địa chỉ IP được gán bởi nhà cung cấp dịch vụ VPN mà tôi đã sử dụng trong thiết lập của Gluetun, xác nhận rằng tất cả các container đều sử dụng đường hầm VPN do Gluetun thiết lập.
Những trường hợp Gluetun chưa hoàn hảo
Gluetun là một lựa chọn tuyệt vời để định tuyến lưu lượng đi, nhưng nó không hoạt động với tất cả các ứng dụng và dịch vụ dựa trên container yêu cầu phơi bày trực tiếp các cổng đến (incoming ports) ra mạng LAN.
Hạn chế với các ứng dụng yêu cầu cổng vào hoặc khám phá mạng cục bộ
Ví dụ, các ứng dụng torrent như qBittorrent, Transmission hoặc Deluge yêu cầu mở các cổng đến cụ thể cho TCP và UDP. Tương tự, các ứng dụng và dịch vụ yêu cầu khám phá mạng cục bộ thông qua multicast hoặc broadcast cũng gặp hạn chế. Home Assistant, chẳng hạn, cần khám phá các thiết bị trên mạng LAN để dễ dàng tích hợp. Pi-hole và Unbound cũng sẽ gây xung đột DNS với DNS và quy tắc tường lửa của Gluetun.
Vấn đề với HTTPS và port forwarding
Một hạn chế lớn khác mà tôi đã nhận ra là việc phơi bày các cổng HTTPS trực tiếp không hoạt động với Gluetun. Vì vậy, tôi phải chạy một container, chẳng hạn như Nginx Proxy Manager, mà không thông qua mạng của Gluetun. Ngoài ra, tôi không thể truy cập các ứng dụng bằng địa chỉ IP của VPN do Surfshark không hỗ trợ chuyển tiếp cổng (port forwarding). Tuy nhiên, việc thiết lập một reverse proxy không nằm sau VPN, ngay cả khi nó không chuyển tiếp cổng, đã khắc phục được vấn đề này vì nó giao tiếp bên ngoài Gluetun, qua mạng của Docker stack.
Thiết lập máy chủ gia đình (home lab) với tủ rack, minh họa môi trường triển khai Docker và Gluetun
Gluetun đã chứng tỏ là một giải pháp nhẹ nhàng nhưng mạnh mẽ, thay đổi cuộc chơi trong việc định tuyến lưu lượng truy cập từ các container. Giờ đây, tôi có thể tiếp tục sử dụng các container chọn lọc để vượt qua các hạn chế về vị trí địa lý và tránh bị cấm IP. Quan trọng nhất, nó không can thiệp vào các tệp hệ thống và có thể chạy mượt mà trên các máy tính bảng đơn (SBC) có hiệu suất thấp. Mặc dù vẫn yêu cầu tài khoản của nhà cung cấp dịch vụ VPN, Gluetun đã giải quyết xuất sắc nhu cầu tạo đường hầm VPN cho các Docker container cụ thể. Tôi khuyên bạn nên thiết lập Health Checks bằng webhook để Gluetun có thể thông báo cho bạn bất cứ khi nào kết nối VPN bị gián đoạn, đảm bảo hoạt động liên tục và an toàn.
