1. Mục tiêu của cấu hình mạng trong hệ thống này
Reverse Proxy trong hệ thống không chỉ đơn thuần là một máy chủ chạy Nginx, mà còn là điểm trung chuyển mạng giữa hai thế giới:
Internet (qua modem/router),
Mạng backend nội bộ tốc độ cao.
Do đó, cấu hình mạng phải đáp ứng đồng thời các yêu cầu:
Rõ ràng, dễ hiểu, dễ vận hành.
Khai thác hiệu quả các cổng LAN 2.5G.
Không phức tạp hóa bằng bonding hoặc bridge khi chưa cần.
Phù hợp cho failover thủ công QMS ↔ AI.
Nguyên tắc xuyên suốt:
Mỗi cổng LAN có vai trò rõ ràng, không “dùng chung cho tiện”.
2. Phân vai các cổng LAN trên Reverse Proxy
Giả sử Reverse Proxy có 6 cổng LAN 2.5G, cách phân vai khuyến nghị như sau:
| Cổng LAN | Vai trò | Mạng |
|---|---|---|
| LAN1 | Kết nối modem/router | 192.168.1.0/24 |
| LAN2 | Kết nối QMS Server | 10.10.10.0/24 |
| LAN3 | Kết nối AI Server | 10.10.20.0/24 |
| LAN4–6 | Dự phòng / mở rộng | 10.10.x0.0/24 |
Cách làm này giúp:
Phân tách vật lý traffic Internet và traffic backend.
Tránh nghẽn cổ chai khi backend trao đổi nội bộ.
Dễ mở rộng thêm server sau này.
3. Xác định tên interface mạng trên Debian 12
Trên Debian 12, các interface thường có tên dạng:
enp1s0enp2s0enp3s0…
Kiểm tra:
Hiện Reverse Proxy của mình có 1 cổng COM và 6 cổng LAN
Có thể cổng COM tính là
enp1s0do đó các cổng LAN bắt đầu từenp2s0đếnenp7s0
enp1s0ứng với cổng LAN thứ 1 - gắn với Modem/Router ra bên ngoài internet nhé. Các cổng còn lại vào mạng nội bộ.
Ví dụ giả định:
enp2s0→ LAN1 (Internet)enp3s0→ LAN2 (QMS)enp4s0→ LAN3 (AI)
Các tên này phải xác nhận trên hệ thống thực tế trước khi cấu hình.
4. Cấu hình IP tĩnh cho Reverse Proxy
Debian 12 sử dụng systemd-networkd hoặc ifupdown.
Trong bài này sử dụng ifupdown (networking.service) để dễ kiểm soát.
4.1. Cấu hình interface kết nối Internet
Mở file:
Ví dụ cấu hình cho enp2s0:
Interface này:
Nhận NAT từ modem/router.
Là default route của hệ thống.
4.2. Cấu hình interface backend nội bộ
Ví dụ cho enp3s0 (QMS):
Ví dụ cho enp4s0 (AI):
Lưu ý quan trọng:
Mỗi NIC trên proxy là 1 broadcast domain riêng --> nên khác subnet nhé! .20 thay vì .10
Không cấu hình gateway cho các interface backend.
Gateway chỉ tồn tại duy nhất trên interface Internet.
5. Kích hoạt IP forwarding trên Reverse Proxy
Để Reverse Proxy có thể route traffic giữa hai mạng, cần bật IP forwarding.
5.1. Bật forwarding
Mở file:
Nội dung:
Áp dụng:
Kiểm tra:
6. Cấu hình backend sử dụng Reverse Proxy làm gateway
Trên QMS Server và AI Server:
IP:
QMS:
10.10.10.66AI:
10.10.10.88
Netmask:
255.255.255.0Gateway:
10.10.10.1
Điều này đảm bảo:
Backend truy cập Internet thông qua Reverse Proxy.
Reverse Proxy kiểm soát toàn bộ luồng traffic.
Cách cấu hình IP tĩnh trên server, tham khảo 4.1 bên trên nhé. Ví dụ ở đây:
7. Kiểm tra routing
Kết quả mong đợi:
Default route qua
192.168.1.1Chưa có Route nội bộ
10.10.10.0/24và10.10.20.0/24nhé. Sẽ có sau khu thực hiện các bước trong bài tiếp theo
8. Vì sao KHÔNG dùng bonding hoặc bridge?
Trong giai đoạn này:
Lưu lượng Internet < băng thông 2.5G.
Backend kết nối trực tiếp.
Mục tiêu là đơn giản – ổn định – dễ xử lý sự cố.
Bonding/bridge chỉ nên dùng khi:
Cần HA cho đường mạng vật lý.
Có switch và hạ tầng tương ứng.
Ở đây, việc mỗi cổng một vai trò là tối ưu nhất.
9. Chuẩn bị cho mở rộng trong tương lai
Thiết kế này cho phép:
Thêm backend mới bằng cách cắm thêm cổng LAN.
Không thay đổi cấu trúc mạng hiện tại.
Không ảnh hưởng website đang chạy.
Reverse Proxy luôn là trung tâm điều phối.
Kết luận
Cấu hình mạng đúng cho Reverse Proxy nhiều cổng LAN 2.5G giúp:
Phân tách rõ ràng Internet và backend.
Khai thác tối đa hiệu năng nội bộ.
Đơn giản hóa vận hành và failover.
Sau khi hoàn thành Bài 5, hệ thống đã sẵn sàng để:
Cấu hình IP tĩnh cho backend chi tiết hơn,
Và tiến tới cài đặt, cấu hình Nginx Reverse Proxy.
- Đăng nhập để gửi ý kiến
