Một giải pháp tunneling tự host mới có tên Pangolin đang thu hút sự chú ý từ các nhà phát triển và những người đam mê homelab như một lựa chọn thay thế cho các dịch vụ thương mại như Cloudflare Tunnels và Tailscale. Dự án này cung cấp cách thức để bảo mật việc truy cập các tài nguyên mạng riêng tư mà không cần mở các cổng tường lửa, kết hợp tunneling WireGuard với các tính năng kiểm soát truy cập toàn diện.
So sánh các tính năng chính
| Tính năng | Pangolin | Cloudflare Tunnels | Tailscale |
|---|---|---|---|
| Hosting | Tự host | Host trên cloud | Host trên cloud |
| Chi phí | ~$12/năm VPS | Miễn phí/Gói trả phí | Miễn phí/Gói trả phí |
| Xác thực | SSO + RBAC tích hợp | Cơ bản | Dựa trên thiết bị |
| Hỗ trợ giao thức | HTTP/HTTPS/TCP/UDP | HTTP/HTTPS | Tất cả giao thức |
| Trường hợp sử dụng mục tiêu | Phơi bày dịch vụ công khai | Phơi bày dịch vụ công khai | Mạng lưới thiết bị mesh |
 |
|---|
| Ảnh chụp màn hình kho lưu trữ GitHub của Pangolin , làm nổi bật quá trình phát triển đang diễn ra và sự tham gia của cộng đồng |
Sự quan tâm ngày càng tăng từ cộng đồng và việc áp dụng thực tế
Dự án này đã tạo ra tiếng vang đáng kể trong cộng đồng homelab trong những tháng gần đây. Người dùng đặc biệt bị thu hút bởi sự kết hợp giữa các tính năng bảo mật và tính dễ triển khai. Một thành viên cộng đồng đã ghi nhận kế hoạch sử dụng Pangolin trên VPS để quản lý reverse proxy, làm nổi bật sức hấp dẫn thực tế của giải pháp này cho các trường hợp sử dụng cá nhân và doanh nghiệp nhỏ.
Sự nhiệt tình này không chỉ dừng lại ở những người đam mê, mà người dùng sản xuất cũng thể hiện sự quan tâm. Một số đang cân nhắc chuyển đổi từ các giải pháp thương mại trả phí sang Pangolin cho nhu cầu hạ tầng AWS của họ, cho thấy khả năng sẵn sàng cho doanh nghiệp của dự án.
Kiến trúc kỹ thuật và trải nghiệm người dùng
Pangolin tạo sự khác biệt thông qua thiết kế modular, sử dụng Traefik cho HTTP proxying đồng thời thêm các lớp xác thực tùy chỉnh. Hệ thống bao gồm nhiều thành phần hoạt động cùng nhau: máy chủ chính, các plugin xác thực, quản lý WireGuard, và một client user-space có tên Newt không yêu cầu quyền truy cập đặc quyền.
Người dùng đánh giá cao giao diện dashboard sạch sẽ, hỗ trợ cả chế độ sáng và tối đồng thời thân thiện với di động. Dự án giải quyết các điểm yếu thường gặp trong các giải pháp hiện có, đặc biệt là xung quanh thiết kế giao diện người dùng và hiệu quả quy trình làm việc.
Các Thành Phần Kỹ Thuật
- Pangolin: Máy chủ chính và bảng điều khiển
- Traefik: Công cụ reverse proxy HTTP
- Badger: Plugin xác thực
- Gerbil: Máy chủ quản lý WireGuard
- Newt: Client WireGuard không gian người dùng (không yêu cầu quyền truy cập đặc quyền)
Định vị so với các giải pháp đã có
Khi so sánh với các công cụ hiện có, Pangolin chiếm một vị trí độc đáo giữa SSH tunneling đơn giản và các giải pháp mesh networking doanh nghiệp. Trong khi các công cụ như Tailscale xuất sắc trong kết nối thiết bị-với-thiết bị, Pangolin tập trung vào việc expose dịch vụ vĩnh viễn với xác thực mạnh mẽ cho các ứng dụng public-facing.
Điều này có vẻ thực sự thú vị để quản lý nhiều remote dev box hoặc một cái gì đó tương tự... Bạn có thể giải thích bằng thuật ngữ đơn giản điều này giải quyết được gì mà ví dụ như tailscale không làm được?
Các nhà phát triển định vị giải pháp của họ là lý tưởng cho các doanh nghiệp muốn expose các ứng dụng nội bộ như Immich hoặc Grafana cho các thành viên gia đình hoặc thành viên nhóm thông qua trình duyệt, thay vì các kết nối tạm thời điển hình của SSH tunnels.
Tính linh hoạt triển khai và cân nhắc chi phí
Dự án nhấn mạnh các tùy chọn triển khai giá cả phải chăng, với các nhà phát triển nổi bật các giải pháp VPS bắt đầu từ khoảng 12 đô la Mỹ mỗi năm. Cách tiếp cận hiệu quả về chi phí này làm cho nó có thể tiếp cận được cho các dự án cá nhân trong khi duy trì khả năng mở rộng cần thiết cho các ứng dụng doanh nghiệp.
Triển khai dựa trên Docker Compose đơn giản hóa quá trình thiết lập, và hệ thống hỗ trợ tích hợp với các nhà cung cấp danh tính hiện có thông qua các giao thức OAuth2 và OIDC. Thiết kế modular cũng cho phép mở rộng thông qua các plugin Traefik hiện có cho các tính năng bảo mật bổ sung như tích hợp CrowdSec.
Yêu cầu triển khai
- VPS tối thiểu: 1 vCPU, 1GB RAM, 20GB SSD
- Chi phí ước tính: $12 USD/năm (giá khuyến mãi)
- Phương thức cài đặt: Docker Compose
- SSL: Tự động hóa thông qua LetsEncrypt
- Tùy chọn xác thực: OAuth2/OIDC, TOTP, danh sách trắng email, liên kết chia sẻ tạm thời
Trạng thái phát triển và cấp phép
Hiện đang trong quá trình phát triển tích cực, Pangolin sử dụng mô hình cấp phép kép với AGPL-3 cho việc sử dụng mã nguồn mở và các tùy chọn cấp phép thương mại có sẵn. Dự án duy trì tính minh bạch về trạng thái phát triển của mình trong khi xây dựng lộ trình dựa trên phản hồi của cộng đồng và các mẫu sử dụng thực tế.
Sự kết hợp giữa khả năng tự host, kiểm soát truy cập toàn diện và triển khai hiệu quả về chi phí đang định vị Pangolin như một lựa chọn thay thế hấp dẫn cho các tổ chức tìm kiếm quyền kiểm soát lớn hơn đối với hạ tầng tunneling của họ mà không phải chịu chi phí liên tục của các giải pháp thương mại.
Tham khảo: fosrl/pangolin