摘要：作为极空间的老用户，极空间最近的更新力度确实挺猛，不仅在功能上有了显著的提升，还在用户体验和安全性方面下了不少功夫。比如说前不久安排了支持自动续约的 SSL 安全证书，就能让我们使用DDNS外网访问时省心不少。

作为极空间的老用户，极空间最近的更新力度确实挺猛，不仅在功能上有了显著的提升，还在用户体验和安全性方面下了不少功夫。比如说前不久安排了支持自动续约的 SSL 安全证书，就能让我们使用DDNS外网访问时省心不少。

不过省心是省心了，但还是有一定的安全隐患，毕竟我们外网访问时都是使用自己真实的端口，还是有被不法分子截取的危险。而这个时候，我们可能就需要反向代理了。

通过反向代理，我们可以更安全、更高效地将极空间内部的多种服务（比如极空间自己Web页面、Docker项目等）对外提供访问，同时隐藏内部服务的真实地址（包括真实端口），进一步提升安全性。

反向代理专业的解释我可能自己就讲不明白，但是我可以举一个容易理解的例子为大家说明下：

比如说按照我之前的教程已经搞定了极空间的DDNS 配置，且完成了证书的部署。此时我们NAS上面运行了三个不同的Docker服务：一个是我们的个人博客网站，一个是我们的家庭相册，还有一个是我们的日程安排。

假设我们设定的DDNS 域名为【abc.com】，没有反向代理时我们在外面访问这三个服务的方式分别为：

（后面的端口对应每个Docker服务端口）

也就是说，我们不仅需要记下每个服务对应端口，还需要在路由器上对每个端口都做一遍转发，非常麻烦。更重要的是，我们服务端口直接暴露在外网，其实是非常不安全的。

而我们在NAS上设置了反向代理后，所有的服务可以继续使用DDNS 域名，不过端口我们只记下反向代理服务的端口，路由器上也只做反向代理服务的端口转发。之后就可以通过反向代理的配置，将不同的子域名（可自定义命名）映射到不同的后端服务（也就是我们需要外网访问的服务）即可。

这里假设反向代理服务的端口我们设定的为“1234”，将前面三个不同的Docker服务做好反向代理之后，我们的访问方式为：

（blog，photo，schedule为我们自定义的子域名前缀）

也就是说，我们只需要记住这些子域名就可以方便地访问相应的网站，反向代理会在后台自动将请求转发到正确的后端服务。同时，反向代理可以隐藏真实的后端服务端口，对流量进行加密，所以安全自然就高 。

其实可以部署在NAS上的反向代理工具也不算少，比如说很多老玩家都熟知的Lucky，Nginx Proxy Manager。

不过要说纯粹且好用的反向代理工具，还是我今天将要给大家分享的这款免费开源的OpenResty Manager，个人觉得它应该是目前我见过可以部署在NAS上最好的反代神器了。

OpenResty Manager 是一款简单易用、功能强大、漂亮的OpenResty管理器(Nginx增强版)，OpenResty Edge 的开源替代品。它可以让您轻松地安全反向代理在家或互联网上运行的网站，包括访问控制、拒绝服务攻击防护、自动申请并续期免费的SSL证书，而无需对OpenResty或Let's Encrypt了解太多。

功能亮点

提供了美观、强大且易于使用的web管理UI

支持通过HTTP-01和DNS-01挑战申请免费SSL证书并自动续期

无需了解OpenResty，即可轻松为您的网站创建反向代理

提供了多种强大安全功能，如访问控制、拒绝服务攻击防护等

高级OpenResty配置可供超级用户使用

支持并继承OpenResty超越Nginx的所有强大功能

简单来说，OpenResty Manager一站式解决反向代理、SSL 证书管理、安全防护等问题。它有着简洁易用的可视化UI界面，平时专业运维大神才会的复杂配置，我们现在通过点点鼠标就能搞定。So easy~

需要提前说明的是，今天的教程是建立在我们已经在极空间上配置好DDNS，且已经做好证书自动续约。

这里也顺便买个小关子，极空间的证书续约对今天介绍的这款工具还有一个独家优势，具体是什么咱们稍后揭晓。

自从极空间上次更新上线Docker compose之后，极大简化了我们的Docker部署流程，所以咱们今后所有的Docker部署都可以采用compose的方式。打开极空间NAS的“Docker”应用，点击【Compose】 > 【新增项目】。

然后自定义项目名称，输入以下 Docker Compose 配置信息后点“创建”按钮：

以上代码需要根据我给出的中文注释自行修改，其它的可以默认不用管即可，网络不好的请自行换成第二个镜像。

（作者的原Compose 配置文件采用的是host网络模式，不过因为该工具默认会占用80/443/34567这三个端口，而咱们NAS中的80/443端口是用不了的，所以我就改成了bridge网络模式，然后将这三个端口做个映射就可以了。

还有就是我准备将volumes下面的acme/data//conf三个文件路径也做个对应的本地映射，但是如果这样项目就启动不了，不知道是什么原因~）

正常情况下部署好之后，项目的日志中会如上图中的显示。

如果说有报错需要在Compose 配置中的 volumes 下面加入以下两行(注意格式），然后“重新构建”，最后重启项目即可。

需要保证项目是正常运行且没有报错。

最后我们需要在路由器中，将Compose 配置中，80/443映射的端口做一个端口转发。比如说我给出的Compose 配置80/443映射的端口为1180/11443，所以就将1180/11443做个端口转发即可。

第一步，初始化设置

首先我们浏览器输入【极空间IP:34567】打开OpenResty Manager后台Web页面，输入默认的用户名和密码：admin/#Passw0rd。

进来之后可以看到它的首页还是很清爽的，可以一目了然的看到网站数量、实时QPS、访问情况、访问者的地理位置，以及资源占用等信息。

不过为了安全起见，进来后我们可以改成自己专属的用户名和密码，打开“用户管理--设置”。

然后根据自己的需求随意设置新的用户名和密码。

第二步，设置上游服务

这里的上游服务，其实可以简单理解为我们需要反向代理出去的服务，直接在上游服务页面点添加按钮即可。

我这里为大家演示将极空间自己的Web页面端反向代理出去：

其它默认即可，最后点“提交”。

第三步，上传安全证书

OK，这里揭晓我前面卖的关子。因为我们此时需要用到我们在极空间设置的自有证书，并将它导出即可。

（OpenResty Manager虽说也支持Let's Encrypt免费证书，但是需要80端口才可以。而80端口在NAS上又用不了，所以只能自己上传证书。当然我们也可以上传域名服务商提供的证书，问题是服务商提供的免费证书不支持泛域名，而极空间这里的自有证书就正好支持，所以这就是我前面为什么说它是极空间的优势~）

导出的证书是个压缩包，需要将其解压，得到.key和.crt两个文件。

然后回到OpenResty Manager这边，在网站证书页面点添加按钮。

开始新建证书。名称随意，点击“上传已有证书”。然后分别上传我们解压后的.key和.crt文件，最后点“提交”按钮即可。

完成后可以在网站证书页面看到我们上传的证书信息，它会自动解析到该证书对应的域名，也包括泛域名。

第四步，设置反向代理

在网站管理页面点添加按钮。

开始新建反向代理的站点：

其它默认即可，点”提交“按钮，这样我们就搞定了反向代理的设置。

验证一下，使用我们自己设置的反向代理域名，后面加上443映射的端口号（我演示的为11443），可以看到成功访问，且域名前面还挂上了SSL安全小锁。说明咱们的反向代理设置是没有问题的。

值得一提的是，OpenResty Manager还支持安全防护功能，比如说访问控制，CC防护等。有兴趣的小伙伴可以自行研究~

今天的这个反代项目还是非常不错的，配置起来也很简单，哪怕是新手，只要走过一遍完整的流程，后期操作就能非常熟练。

现在正值每年一次的618大促，极空间也在前几天正式上线Z4Pro+ ，在延续前代产品优秀基因的基础上，还进行了性能、功耗、散热等多方面的优化与提升。它不仅丰富了极空间自家的产品线，更为用户带来了更具竞争力的选择与更出色的使用体验。

价格方面，新Z4Pro+ 有首发优惠，并且还吃上了国补，再加上老用户购机还有额外折扣，Z4Pro+ 8G版仅需2149元就能到手，并且如果有红包或者会员，价格可能还会更低，所以还是很值得购买的。

当然，如果你并不在意此次 Z4Pro+带来的性能提升与更低的功耗，其实极空间之前的机型也是很能打，特别是现在临近618，各种折扣和满减，在叠加难得的国补优惠，可以说正是购买极空间NAS最好的时机。

温馨提示： 国补活动可能随时调整，属于限时福利了！有需要的小伙伴可要先下手为强，别错过机会了~

来源：数码小能手一点号