Stawiasz swojego pierwszego VPS-a. Instalujesz Dockera. Uruchamiasz pierwszą aplikację np. prosty system do notatek, panel administracyjny albo własną aplikację w node.js. Kontener startuje, terminal pokazuje komunikat, że wszystko działa. Otwierasz przeglądarkę i wpisujesz ten dziwny, nic nie mówiący adres: 123.123.123.123:5230. Ogólnie to działa. Problem polega na tym, że to rozwiązanie działa dobrze tylko na samym początku. Dopóki aplikacja jest jedna, dopóki korzystamy z niej sami i dopóki traktujemy serwer bardziej jak środowisko testowe niż produkcyjne.

W praktyce jednak bardzo szybko okazuje się, że taki sposób udostępniania aplikacji ma kilka poważnych wad. Adresy z portami trudno zapamiętać, brakuje certyfikatu SSL, a dodanie kolejnej aplikacji oznacza kolejny numer portu do zapamiętania. I właśnie w tym momencie pojawia się pytanie, które prędzej czy później zadaje sobie większość osób pracujących z Dockerem: czy da się to zrobić lepiej?

Pierwsza aplikacja działa… ale pojawiają się pytania

Na początku wszystko wygląda bardzo prosto. Uruchamiamy aplikację w Dockerze i dostajemy informację, że działa ona na określonym porcie. W przeglądarce wpisujemy adres serwera wraz z tym portem i po chwili widzimy panel logowania. To działa, ale szybko pojawiają się pierwsze niedogodności. Adres IP serwera nie jest szczególnie wygodny do zapamiętania, a dodatkowy port w adresie przeglądarki sprawia, że całość wygląda dość technicznie. Jeszcze większym problemem jest brak szyfrowania. Połączenie odbywa się przez HTTP, więc nie ma certyfikatu SSL. W środowisku testowym nie jest to problemem, ale w przypadku aplikacji dostępnej publicznie takie rozwiązanie nie jest już dobrym pomysłem.

Wielu użytkowników ignoruje jednak te kwestie, ponieważ aplikacja działa i spełnia swoje zadanie. Dopiero kolejny etap pokazuje, że potrzebne jest bardziej uporządkowane podejście.

Moment, w którym zaczyna się chaos

Rzadko zdarza się, aby serwer VPS służył tylko do jednej aplikacji. Z czasem pojawiają się kolejne projekty i narzędzia. Może to być monitoring serwera, panel do zarządzania bazą danych, własna aplikacja w node.js, system do zarządzania projektami lub narzędzie do notatek.

Każdy z tych systemów działa na innym porcie. Na początku wydaje się to logiczne i naturalne, ale po pewnym czasie lista adresów zaczyna robić się coraz dłuższa.

Zamiast jednego adresu mamy kilka różnych portów, które trzeba pamiętać. Korzystanie z takich adresów jest niewygodne, a przekazanie ich innym osobom staje się jeszcze bardziej problematyczne. Trudno też mówić o profesjonalnym środowisku, gdy aplikacje dostępne są pod adresami z portami i bez szyfrowanego połączenia.

Właśnie w tym momencie wiele osób zaczyna szukać rozwiązania, które pozwoli uporządkować całą infrastrukturę.

Naturalny krok: Reverse Proxy

Rozwiązaniem, które od lat stosuje się w profesjonalnych środowiskach serwerowych, jest Reverse Proxy. To mechanizm, który pozwala uporządkować sposób dostępu do aplikacji działających na serwerze.

Najłatwiej wyobrazić sobie go jako recepcję w dużym biurowcu. Do budynku prowadzi jedno główne wejście, ale w środku znajduje się wiele różnych firm. Osoba wchodząca do środka nie musi wiedzieć, na którym piętrze znajduje się konkretne biuro. Wystarczy, że poda nazwę firmy, a recepcja skieruje ją we właściwe miejsce.

Reverse Proxy działa bardzo podobnie. Zamiast wpisywać adres IP i numer portu, użytkownik korzysta po prostu z domeny. System pośredniczący odbiera ruch z Internetu i kieruje go do odpowiedniej aplikacji działającej na serwerze. Dzięki temu użytkownik widzi tylko prosty adres, a cała techniczna konfiguracja pozostaje ukryta w tle.

Kiedy Reverse Proxy staje się konieczne?

Na początku wiele osób traktuje Reverse Proxy jako coś dodatkowego - narzędzie dla większych systemów lub bardziej zaawansowanych administratorów. W praktyce jednak moment, w którym zaczyna być potrzebne, pojawia się znacznie szybciej niż można się spodziewać.

Najczęściej dzieje się to wtedy, gdy na serwerze zaczyna działać więcej niż jedna aplikacja.

Każdy kontener Dockera działa na własnym porcie. Dopóki aplikacja jest jedna, nie stanowi to problemu. Wystarczy zapamiętać jeden numer portu i można z niej korzystać. Sytuacja zmienia się jednak bardzo szybko, gdy pojawiają się kolejne narzędzia. W praktyce Reverse Proxy staje się bardzo przydatne w kilku typowych sytuacjach.

Gdy na serwerze działa kilka aplikacji

Jeżeli na VPS uruchamiasz kilka kontenerów Dockera, bardzo szybko pojawia się problem z zarządzaniem portami. Każda aplikacja działa na innym porcie, a lista adresów zaczyna się wydłużać.

Reverse Proxy pozwala przypisać każdej aplikacji własną domenę lub subdomenę. Zamiast adresów z portami pojawiają się czytelne adresy takie jak:

panel.twojadomena.pl

api.twojadomena.pl

memos.twojadomena.pl

Dzięki temu korzystanie z aplikacji staje się znacznie wygodniejsze.

Gdy potrzebujesz HTTPS

Obecnie szyfrowane połączenie jest standardem. Przeglądarki ostrzegają użytkowników przed stronami bez certyfikatu SSL, a wiele aplikacji wymaga bezpiecznego połączenia do poprawnego działania.

Reverse Proxy pozwala zarządzać certyfikatami w jednym miejscu i automatycznie generować je za pomocą Let's Encrypt.

Gdy aplikacja ma być dostępna dla innych

Jeżeli z aplikacji zaczynają korzystać inni użytkownicy, adres IP z portem przestaje być dobrym rozwiązaniem. Domeny są łatwiejsze do zapamiętania, bardziej profesjonalne i lepiej integrują się z innymi usługami.

Reverse Proxy umożliwia udostępnienie aplikacji pod prostym adresem, który można bez problemu przekazać zespołowi lub klientowi.

Gdy chcesz uporządkować swoją infrastrukturę

Z czasem serwer VPS przestaje być tylko miejscem do testów. Pojawiają się kolejne aplikacje, środowiska developerskie, systemy monitoringu czy narzędzia administracyjne.

Reverse Proxy wprowadza porządek i sprawia, że zarządzanie całym środowiskiem staje się znacznie prostsze.

Jak wygląda architektura z Reverse Proxy

Jeśli dopiero zaczynasz pracę z Dockerem, taki model infrastruktury może wydawać się bardziej złożony. W praktyce jednak Reverse Proxy znacząco upraszcza zarządzanie aplikacjami i jest standardem w większości nowoczesnych środowisk serwerowych.

Aby lepiej zrozumieć działanie Reverse Proxy, warto spojrzeć na prosty schemat infrastruktury. W klasycznej konfiguracji bez proxy użytkownik łączy się bezpośrednio z portami aplikacji działających na serwerze.

Bez Reverse Proxy

Użytkownik
│
▼
IP serwera:3000 → aplikacja Node.js
IP serwera:5230 → Memos
IP serwera:8080 → panel administracyjny
IP serwera:9000 → monitoring

Każda aplikacja ma osobny port i jest dostępna bezpośrednio z internetu.

Z Reverse Proxy

Po wprowadzeniu Reverse Proxy cała komunikacja przechodzi przez jeden punkt wejścia.

Użytkownik
│
▼
Reverse Proxy (Nginx Proxy Manager)
│
├── memos.twojadomena.pl → Memos (port 5230)
├── panel.twojadomena.pl → panel admin (port 8080)
├── api.twojadomena.pl → aplikacja Node.js (port 3000)
└── monitoring.twojadomena.pl → monitoring (port 9000)

Użytkownik widzi jedynie domeny i bezpieczne połączenie HTTPS. Numery portów oraz szczegóły infrastruktury pozostają ukryte w tle.

To rozwiązanie daje dużą elastyczność. Nową aplikację można dodać w kilka chwil, przypisując jej kolejną subdomenę i wskazując odpowiedni port kontenera.

Dlaczego Reverse Proxy to standard w produkcji?

Wykorzystanie Reverse Proxy niesie ze sobą wiele korzyści. Przede wszystkim każda aplikacja może mieć własną domenę, co znacząco poprawia czytelność i wygodę korzystania z systemu.

Drugą ważną zaletą jest możliwość centralnego zarządzania certyfikatami SSL. Zamiast konfigurować szyfrowanie dla każdej aplikacji osobno, można zrobić to w jednym miejscu.

Reverse Proxy zwiększa także bezpieczeństwo. Kontenery Dockera nie muszą być wystawione bezpośrednio do internetu, ponieważ ruch trafia najpierw do serwera proxy, który przekazuje go dalej.

Właśnie dlatego takie rozwiązanie jest standardem w wielu firmach. Bez względu na to, czy mówimy o małych projektach, czy dużych systemach produkcyjnych, Reverse Proxy jest jednym z podstawowych elementów infrastruktury.

Najprostsze narzędzie: Nginx Proxy Manager

Konfigurację Reverse Proxy można wykonać ręcznie w Nginxie, edytując pliki konfiguracyjne i restartując serwer po każdej zmianie. Wymaga to jednak doświadczenia oraz dobrej znajomości konfiguracji serwera www. Znacznie prostszym rozwiązaniem jest użycie narzędzia Nginx Proxy Manager. To aplikacja z wygodnym interfejsem webowym, która pozwala zarządzać przekierowaniami w bardzo przejrzysty sposób.

Po instalacji otrzymujemy panel administracyjny, w którym możemy dodawać domeny, wskazywać porty aplikacji oraz generować certyfikaty SSL z Let's Encrypt. Całość działa w Dockerze, dzięki czemu instalacja jest szybka i nie wymaga skomplikowanej konfiguracji.

Przykład z życia: aplikacja Memos

Dobrym przykładem jest aplikacja Memos uruchomiona w kontenerze Dockera. Domyślnie jest ona dostępna pod adresem IP serwera oraz na konkretnym porcie. Po instalacji Nginx Proxy Manager wystarczy dodać nową domenę i wskazać port, na którym działa aplikacja. Następnie można włączyć automatyczny certyfikat SSL. Po kilku chwilach aplikacja staje się dostępna pod czytelnym adresem z HTTPS, bez konieczności wpisywania portu w przeglądarce. Dla użytkownika końcowego oznacza to znacznie wygodniejszy i bezpieczniejszy sposób korzystania z systemu.

Zobacz, jak zainstalować Nginx Proxy Manager w 3 minuty

Jeśli chcesz zobaczyć, jak krok po kroku zainstalować Nginx Proxy Manager, skonfigurować domenę i włączyć SSL dla aplikacji dockerowej, przygotowaliśmy materiał wideo pokazujący cały proces.

W filmie pokazujemy między innymi:

• jak zresetować hasło do VPS z poziomu Centrum Klienta
• jak zalogować się do VPS przez SSH
• jak uruchomić Nginx Proxy Manager w Dockerze
• jak dodać domenę i automatycznie wygenerować certyfikat SSL

Dzięki temu w kilkanaście minut możesz uporządkować wszystkie aplikacje działające na Twoim serwerze.