Kết nối hai máy chủ Caddy để chạy ứng dụng web nội bộ qua HTTPS

Hiện tại, mình đang chuyển một số ứng dụng web từ VPS bên ngoài về LXC trong homelab ở nhà để tiện việc quản lý. Các ứng dụng web trong mạng nội bộ của mình đều được reverse proxy thông qua một máy chủ Caddy để quản lý truy cập từ internet.

Tuy nhiên, khi thiết lập reverse proxy cho Invoice Ninja, mình gặp phải tình huống là cấu hình cài đặt đã bao gồm sẵn 1 docker container chạy Caddy để làm reverse proxy cho ứng dụng, kết nối thông qua tên miền https://invoice.thuanbui.me

Máy chủ Caddy này sau khi đượ chuyển về homelab, sẽ nằm ở phía sau máy chủ Caddy chính, khiến việc cấu hình Reverse Proxy trở nên rắc rối hơn.

1. Mô hình kết nối

Mô hình kết nối từ Internet đến Invoice Ninja sẽ như bên dưới

1
[Internet] → [Caddy Chính] → [Caddy Phụ] → [Invoice Ninja]

• Caddy Chính (Máy chủ chính / Router)

  • Chịu trách nhiệm nhận request từ internet.

  • Quản lý chứng chỉ SSL từ Let’s Encrypt.

  • Chuyển tiếp request đến Secondary Caddy trong mạng nội bộ.

• Caddy Phụ (LXC Container)

  • Chạy Invoice Ninja.

  • Không cần HTTPS vì HTTPS được xử lý bởi Primary Caddy.

Dưới đây là cách cấu hình kết nối Kết nối hai máy chủ Caddy để chạy ứng dụng web nội bộ qua HTTPS

2. Cấu hình Caddy chính

Chỉnh sửa lại Caddyfile trên máy chủ chính, bổ sung cấu hình cho tên miền dùng để truy cập Invoice Ninja

1
invoice.thuanbui.me {
2
    reverse_proxy 192.168.1.120:80 {
3
        header_up X-Forwarded-Proto https
4
    }
5
}

Giải thích:

• 192.168.1.120:80 là địa chỉ của LXC Container đang chạy Caddy phụ.

• header_up X-Forwarded-Proto https thông báo cho Caddy phụ biết request ban đầu là HTTPS, tránh lỗi Mixed Content.

Sau đó, khởi động lại Caddy:

1
docker compose restart

3. Cấu hình Caddy phụ

Cấu hình ban đầu của Caddyfile như sau

1
invoice.thuanbui.me
2
    root * /var/www/app/public
3
    php_fastcgi dockerfiles-app-1:9000
4
    encode zstd gzip
5
    file_server browse
6
}

Mình phải sửa dòng invoice.thuanbui.me thành http://invoice.thuanbui.me, để Caddy phụ không tạo SSL nữa (có tạo cũng bị lỗi không xác thực được).

1
http://invoice.purna.vn {
2
    root * /var/www/app/public
3
    php_fastcgi dockerfiles-app-1:9000
4
    encode zstd gzip
5
    file_server browse
6

7
    header {
8
        Content-Security-Policy upgrade-insecure-requests
9
    }
10
}

Giải thích:

• http:// Chạy trên giao thức HTTP vì HTTPS đã được xử lý bởi Caddy chính.

• Content-Security-Policy upgrade-insecure-requests giúp trình duyệt tự động chuyển HTTP → HTTPS.

Sau đó, khởi động lại

1
docker compose restart

5. Kiểm tra & Hoàn tất

Truy cập lại vào Invoice Ninja thông qua tên miền.

Nếu mọi thứ hoạt động đúng, bạn đã hoàn thành việc thiết lập hai Caddy instance hoạt động cùng nhau trong mạng nội bộ!

6. Lời kết

Trong bài viết này, mình đã hướng dẫn cách sử dụng hai máy chủ Caddy để quản lý ứng dụng web nội bộ với Reverse Proxy. Điều này giúp bạn dễ dàng:

• Quản lý hệ thống linh hoạt hơn, tách biệt frontend / backend.

• Sử dụng HTTPS trên mọi ứng dụng, ngay cả khi chúng chạy trong mạng nội bộ.

• Dễ dàng mở rộng, chỉ cần chỉnh sửa Caddy chính để thêm dịch vụ mới.

Nếu bạn có thắc mắc, hãy để lại bình luận bên dưới nhé!