Website được thiết kế tối ưu cho thành viên chính thức. Hãy Đăng nhập hoặc Đăng ký để truy cập đầy đủ nội dung và chức năng. Nội dung bạn cần không thấy trên website, có thể do bạn chưa đăng nhập. Nếu là thành viên của website, bạn cũng có thể yêu cầu trong nhóm Zalo "CNTT" các nội dung bạn quan tâm.

Bài 7. Lựa chọn Reverse Proxy: vì sao chọn Nginx trong hệ thống này

ICT

1. Lựa chọn Reverse Proxy là lựa chọn kiến trúc, không phải lựa chọn phần mềm

Trong các hệ thống web quy mô lớn, việc chọn Reverse Proxy không đơn thuần là chọn một phần mềm, mà là lựa chọn một cách vận hành trong nhiều năm.

Reverse Proxy sẽ:

  • Chạy liên tục 24/7,

  • Là điểm vào duy nhất của toàn bộ hệ thống web,

  • Ảnh hưởng trực tiếp đến hiệu năng, bảo mật và độ ổn định.

Vì vậy, tiêu chí lựa chọn không phải là:

  • Phần mềm “mới nhất”,

  • Phần mềm “nhiều tính năng nhất”,

mà là:

  • Ổn định trong thực tế,

  • Dễ kiểm soát cấu hình,

  • Phù hợp với năng lực vận hành nội bộ.

2. Các lựa chọn Reverse Proxy phổ biến hiện nay

Trên thực tế, ba nhóm giải pháp Reverse Proxy thường được cân nhắc:

  1. Nginx

  2. HAProxy

  3. Reverse Proxy động (Traefik, Envoy, …)

Mỗi giải pháp đều có điểm mạnh riêng, nhưng không phải giải pháp nào cũng phù hợp với hệ thống trong tài liệu này.

3. Vì sao không chọn HAProxy trong hệ thống này?

HAProxy rất mạnh trong các bài toán:

  • Load balancing phức tạp,

  • HA tự động,

  • Xử lý TCP/UDP ở mức thấp.

Tuy nhiên, trong bối cảnh hệ thống này:

  • Nhu cầu failover là thủ công, có kiểm soát, không cần tự động.

  • Trọng tâm là quản lý hàng trăm website, nhiều domain, nhiều HTTPS.

  • Đội ngũ vận hành cần:

    • Cấu hình dễ đọc,

    • Dễ chỉnh sửa khi có sự cố.

HAProxy:

  • Cấu hình thiên về network hơn là web.

  • Kém trực quan khi quản lý nhiều virtual host HTTP/HTTPS.

  • Không thuận tiện cho việc quản lý SSL theo domain.

Do đó, HAProxy không phải lựa chọn tối ưu trong trường hợp này.

4. Vì sao không chọn Traefik hoặc proxy “tự động”?

Các proxy hiện đại như Traefik, Envoy hoạt động rất tốt trong:

  • Kubernetes,

  • Docker dynamic environment,

  • Hạ tầng cloud-native.

Tuy nhiên, hệ thống trong tài liệu này có đặc thù:

  • Backend là máy chủ vật lý / VM cố định.

  • Không dùng Kubernetes.

  • Không yêu cầu auto-discovery.

  • Ưu tiên:

    • Cấu hình tĩnh,

    • Dễ audit,

    • Dễ chuyển giao cho đội CNTT nội bộ.

Việc dùng proxy “quá thông minh” trong môi trường:

  • Hạ tầng cố định,

  • Nhân sự vận hành thay đổi,

dễ dẫn đến:

  • Phụ thuộc công cụ,

  • Khó debug khi xảy ra sự cố,

  • Rủi ro khi người vận hành không nắm rõ cơ chế nội tại.

5. Vì sao chọn Nginx?

Nginx đáp ứng rất tốt các yêu cầu cốt lõi của hệ thống này.

5.1. Phù hợp mô hình nhiều website, nhiều web app

Nginx có thế mạnh:

  • Quản lý hàng trăm server_name.

  • Cấu hình theo từng domain, subdomain rõ ràng.

  • Dễ chuẩn hóa cấu trúc cấu hình cho quy mô lớn.

Đây là yếu tố quan trọng hàng đầu trong hệ thống nhiều website.

5.2. HTTPS và SSL termination mạnh mẽ

Nginx:

  • Hỗ trợ SSL/TLS rất ổn định.

  • Tích hợp tốt với Certbot.

  • Dễ triển khai HTTPS tập trung.

Việc quản lý SSL cho hàng trăm domain trở nên:

  • Có kiểm soát,

  • Ít rủi ro,

  • Dễ tự động hóa.

5.3. Hiệu năng cao, phù hợp phần cứng hiện có

Với:

  • CPU i3-1215U,

  • RAM 8 GB,

Nginx:

  • Dư sức xử lý hàng nghìn kết nối đồng thời.

  • Không tạo áp lực lớn lên tài nguyên hệ thống.

  • Phù hợp vai trò gateway.

Trong khi backend mới là nơi cần CPU và RAM lớn.

5.4. Cấu hình rõ ràng, dễ kiểm soát

Cấu hình Nginx:

  • Dạng file text,

  • Có cấu trúc phân cấp,

  • Dễ đọc lại sau nhiều năm.

Điều này cực kỳ quan trọng khi:

  • Hệ thống vận hành dài hạn.

  • Có nhiều người cùng quản trị.

  • Cần audit hoặc bàn giao.

5.5. Dễ tích hợp Cloudflare và các dịch vụ ngoài

Nginx:

  • Dễ xử lý header real IP.

  • Linh hoạt khi proxy đến backend:

    • IP private,

    • IP public,

    • VPN.

Điều này phù hợp với hệ thống:

  • Có backend nội bộ,

  • Có backend bên ngoài Internet.

6. Nginx phù hợp với triết lý vận hành của hệ thống

Triết lý vận hành xuyên suốt tài liệu này là:

  • Đơn giản nhưng không sơ sài.

  • Rõ ràng hơn “thông minh”.

  • Kiểm soát hơn tự động hóa mù quáng.

Nginx:

  • Không ép buộc kiến trúc.

  • Không che giấu logic phía sau.

  • Cho phép người vận hành hiểu và kiểm soát hoàn toàn hệ thống.

7. Khi nào KHÔNG nên dùng Nginx?

Để công bằng, Nginx không phải lựa chọn tối ưu nếu:

  • Hệ thống cần HA tự động phức tạp.

  • Load balancing động theo health-check nâng cao.

  • Hạ tầng cloud-native hoàn toàn.

Trong các trường hợp đó, HAProxy hoặc Envoy có thể phù hợp hơn.

Nhưng không phải bài toán của hệ thống này.

8. Kết luận

Nginx được lựa chọn vì:

  • Phù hợp quy mô nhiều website, nhiều web app.

  • Ổn định, hiệu năng cao, dễ vận hành.

  • Dễ kiểm soát trong môi trường sản xuất dài hạn.

Quan trọng hơn, Nginx phù hợp với:

  • Hạ tầng hiện tại,

  • Đội ngũ vận hành,

  • Và triết lý thiết kế của toàn bộ hệ thống Reverse Proxy.

Xây dựng website bệnh viện



Bài nổi bật



#1 Xây dựng hệ thống backup web và web app bệnh viện
ICT
#2 Xây dựng website bệnh viện
ICT
#3 Cài đặt Web Server
ICT
#4 Cài đặt Web Server dự phòng
ICT
#5 Ipad mini 7 lỗi khi nâng cấp lên iPadOS 26
ICT
#6 8. Thiết lập SSH an toàn (port, key, user, sudo)
ICT