Máy tính từ xa tự lưu trữ: Tại sao, Cách thức, và Những rào cản

"Máy tính từ xa tự lưu trữ" thường có hai nghĩa: lưu trữ cơ sở hạ tầng relay/gặp gỡ của riêng bạn cho một công cụ như RustDesk, hoặc lưu trữ một nền tảng truy cập từ xa dựa trên web hoàn chỉnh như Apache Guacamole hoặc MeshCentral. Cả hai đều là những phương pháp hợp lệ; chúng có những đánh đổi khác nhau. Bài viết này sẽ đề cập đến lý do bạn có thể tự lưu trữ, ba công cụ nghiêm túc trong lĩnh vực này, cái nhìn thực tế về overhead vận hành, và khi nào tự lưu trữ thực sự tốt hơn việc sử dụng dịch vụ quản lý.

Tóm lại: Tự lưu trữ nếu bạn có yêu cầu quyền riêng tư dữ liệu nghiêm ngặt (GDPR, ngành công nghiệp có quy định, triển khai chỉ nội bộ), nếu bạn muốn không có chi phí bản quyền liên tục khi mở rộng, hoặc nếu bạn thực sự thích vận hành cơ sở hạ tầng của riêng bạn. Bỏ qua tự lưu trữ nếu bạn là một nhóm nhỏ không có DevOps chuyên trách, nếu bạn cần các chứng chỉ sẵn sàng mua sắm, hoặc nếu bạn muốn trả $7.99/tháng để giải quyết vấn đề.

Tại sao tự lưu trữ?

Quyền riêng tư dữ liệu

Lý do số một mà các tổ chức tự lưu trữ. Nếu bạn phải tuân thủ GDPR, HIPAA, hoặc các quy định theo lĩnh vực (ngân hàng Đức, chính phủ Pháp, nhà thầu quốc phòng), việc định tuyến phiên làm việc máy tính từ xa qua một dịch vụ SaaS bên thứ ba — ngay cả khi có mã hóa mạnh — có thể không đáp ứng yêu cầu của kiểm toán viên. Tự lưu trữ trên cơ sở hạ tầng mà bạn sở hữu (hoặc thuê trong khu vực bạn kiểm soát) loại bỏ hoàn toàn sự phụ thuộc vào bên thứ ba. Mặc dù relay của chúng tôi chỉ nhìn thấy văn bản đã mã hóa, "relay không thấy gì bởi vì chúng tôi chạy relay" là một quan điểm tuân thủ mạnh mẽ hơn.

Triển khai chỉ nội bộ

Nếu lưu lượng máy tính từ xa của bạn không bao giờ được phép rời khỏi mạng của bạn — chẳng hạn như một hệ thống điều khiển công nghiệp được ngắt kết nối với internet, hoặc một LAN bệnh viện với bộ lọc rời rạc nghiêm ngặt — dịch vụ đám mây được quản lý là hình dạng sai cấu trúc. Bạn muốn một relay sống trên LAN của bạn, chỉ có thể truy cập bởi các thiết bị được ủy quyền của bạn.

Chi phí khi mở rộng

Đối với các triển khai rất lớn (hơn 1000 điểm cuối), mức giá theo ghế của dịch vụ quản lý sẽ cộng dồn lại. Một relay tự lưu trữ chạy trên một VPS $40/tháng có thể phục vụ hàng nghìn phiên đồng thời nếu băng thông của bạn cho phép. Điểm hòa vốn so với giá cả quản lý phụ thuộc vào công cụ, nhưng ở quy mô MSP và doanh nghiệp, tự lưu trữ thắng về chi phí thô.

Tùy chỉnh và kiểm soát

Tự lưu trữ cho phép bạn sửa đổi mã nguồn (dưới nghĩa vụ AGPL-3.0), tùy chỉnh thương hiệu mà không phải trả phí cho tầng trắng nhãn, và điều chỉnh hành vi relay theo cấu trúc mạng cụ thể của bạn.

Các đánh đổi bạn chấp nhận

Tự lưu trữ không phải là miễn phí. Chi phí đến từ overhead DevOps, không phải từ đô la mỗi tháng. Cụ thể:

• Cung cấp và bảo trì máy chủ: Bạn cần một máy chủ Linux với một IP công khai (để relay có thể truy cập), giám sát, quay vòng log, vá hệ điều hành, và có thể là cơ sở hạ tầng sao lưu. Lên kế hoạch cho 2-4 giờ/tháng bảo trì ở trạng thái ổn định, nhiều hơn trong các sự cố.
• Cấu hình NAT và tường lửa: Relay cần phải có thể truy cập từ internet trên các cổng cụ thể (21115-21119 cho cấu hình mặc định của RustDesk). Nếu bạn đang chạy trên một mạng NAT, bạn cần chuyển tiếp cổng từ biên đến máy chủ relay.
• Quản lý chứng chỉ: Nếu bạn muốn TLS trên giao diện quản lý (bạn nên), bạn cần Let's Encrypt certbot hoặc tương tự. Gia hạn mỗi 60-90 ngày, tự động qua cron.
• Kế hoạch dung lượng: Một relay đơn có thể xử lý rất nhiều lưu lượng, nhưng đến một lúc nào đó bạn cần một cái thứ hai, sau đó là cân bằng tải. Bạn giờ đây trở thành một đội ngũ hạ tầng.
• Không có hỗ trợ của nhà cung cấp: Khi có sự cố vào lúc 2 giờ sáng, không có đường dây hỗ trợ. Bạn tự gỡ lỗi hoặc chờ cộng đồng thức dậy.

Ba công cụ nghiêm túc

RustDesk (và các nhánh như GoDesk)

Cấu trúc kiến trúc đơn giản nhất trong ba công cụ. Hai nhị phân: hbbs (máy chủ gặp gỡ, ~30 MB RAM) và hbbr (relay, ~50 MB RAM). Cả hai đều là các nhị phân Rust tĩnh không có phụ thuộc bên ngoài. Cài đặt khoảng:

# Trên một VPS Linux với một IP công khai
wget https://github.com/rustdesk/rustdesk-server/releases/latest/download/rustdesk-server-linux-amd64.zip
unzip rustdesk-server-linux-amd64.zip

# Khởi động hbbs (gặp gỡ) và hbbr (relay) dưới dạng dịch vụ
sudo ./hbbs -r your.public.ip
sudo ./hbbr

# Mở cổng 21115/tcp, 21116/tcp+udp, 21117/tcp, 21118/tcp, 21119/tcp
sudo ufw allow 21115:21119/tcp
sudo ufw allow 21116/udp

# Hướng khách hàng đến máy chủ của bạn: trong cài đặt của khách hàng,
# ID Server = your.public.ip, Relay Server = your.public.ip,
# Public Key = (được in bởi hbbs khi khởi động lần đầu, hoặc kiểm tra id_ed25519.pub)

Yêu cầu tài nguyên rất nhỏ — một droplet DigitalOcean $5/tháng xử lý hàng chục phiên đồng thời. Máy chủ RustDesk Pro chính thức (trả phí) thêm bảng điều khiển quản trị web, nhật ký kiểm tra, LDAP/OIDC và các tính năng kiểu người môi giới cho các triển khai lớn hơn.

Apache Guacamole

Cấu trúc khác: Guacamole là một ứng dụng web HTML5 không cần khách hàng. Người dùng kết nối qua trình duyệt; backend của Guacamole (guacd) chuyển đổi RDP, VNC và SSH thành các luồng canvas/WebSocket HTML5. Không có khách hàng gốc nào cần cài đặt trên phía người dùng, điều này thực sự hữu ích cho quy trình hỗ trợ mà bạn không thể cài đặt phần mềm trên máy tính điều khiển.

Độ phức tạp vận hành cao hơn RustDesk: Guacamole chạy dưới dạng Java + Tomcat với một cơ sở dữ liệu (MySQL hoặc Postgres) để quản lý người dùng/kết nối, cùng với daemon guacd. Cài đặt Docker Compose sẽ làm mượt điều này nhưng bạn đang chạy 3-4 container thay vì 2 nhị phân.

Guacamole là sự lựa chọn đúng nếu bạn muốn truy cập dựa trên trình duyệt mà không cần phần mềm khách. Nó không phải là lựa chọn đúng nếu bạn muốn một công cụ xử lý NAT traversal giữa hai điểm cuối ngay sau khi cài đặt — Guacamole giả định rằng bạn có thể đã truy cập máy mục tiêu qua RDP/VNC/SSH từ máy chủ Guacamole.

MeshCentral

MeshCentral là một nền tảng quản lý từ xa dựa trên Node.js từ Ylian Saint-Hilaire (trước đây tại Intel). Nó hỗ trợ máy tính từ xa, truyền tệp, terminal, bảng điều khiển web và giao diện quản lý đội tàu. Về kiến trúc, nó là một ứng dụng Node duy nhất + cơ sở dữ liệu (NeDB theo mặc định, Postgres tùy chọn), có thể truy cập qua HTTPS.

MeshCentral là một công cụ quản lý đội tàu hơn là một relay máy tính từ xa thuần túy — hãy nghĩ về nó như RustDesk + một kho thiết bị + một giao diện quản trị web. Cài đặt rất đơn giản (một lệnh npm install + tệp cấu hình), và nó đã được triển khai tại một số tổ chức lớn bao gồm Intel.

Nơi MeshCentral chưa hoàn thiện: giao diện người dùng rất dày và không được trau chuốt đặc biệt, các khách hàng di động yếu hơn so với RustDesk, và codec/performance cho phát trực tuyến máy tính không được tối ưu như RustDesk hoặc AnyDesk. Nó tốt nhất khi bạn muốn một bảng điều khiển quản trị web thống nhất cho một đội tàu, kém lý tưởng hơn với vai trò là một công cụ máy tính từ xa đơn mục đích.

Relay RustDesk tự lưu trữ thực sự trông như thế nào

Bước từng bước trên một Hetzner CX11 ($4/tháng) VPS Ubuntu 24.04:

1. Cung cấp VPS với một IPv4 công khai. Đặt một mật khẩu root mạnh và kích hoạt xác thực SSH key.
2. Mở tường lửa:

   sudo ufw allow OpenSSH
   sudo ufw allow 21115:21119/tcp
   sudo ufw allow 21116/udp
   sudo ufw enable

3. Cài đặt nhị phân máy chủ RustDesk từ trang phát hành GitHub. Đặt chúng vào /opt/rustdesk-server/.
4. Tạo tệp đơn vị systemd cho hbbs và hbbr để chúng tự khởi động lại khi khởi động lại. Wiki RustDesk có các tệp tham khảo; chúng tôi duy trì một bản sao đã biết là tốt tại trung tâm trợ giúp của chúng tôi.
5. Lấy khóa công khai được in bởi hbbs khi khởi động lần đầu. Phân phối nó cho các khách hàng của bạn cùng với hostname của máy chủ.
6. Cấu hình khách hàng: trong cài đặt khách hàng GoDesk, đặt ID Server, Relay Server, và Public Key. Giờ đây, khách hàng sử dụng relay của bạn thay vì relay của chúng tôi.
7. Tùy chọn: Kết thúc TLS qua Caddy nếu bạn muốn phục vụ một bảng điều khiển quản trị web (RustDesk Pro) trên 443 với các chứng chỉ Let's Encrypt tự gia hạn.

Tổng thời gian trên một VPS mới: khoảng 30 phút lần đầu, 10 phút nếu bạn đã làm trước đó. Bảo trì liên tục: apt update && apt upgrade hàng tuần, theo dõi các ghi log relay, khởi động lại nếu có rò rỉ bộ nhớ (hiếm thấy). Để biết thông tin chi tiết về triển khai Linux, hãy xem trang trang nền tảng Linux của chúng tôi.

Vị trí của GoDesk về tự lưu trữ

Chúng tôi cho phép bạn tự lưu trữ relay ngay cả trên các tầng trả phí — nếu bạn muốn. Máy khách Pro được cấu hình để trò chuyện với relay quản lý của chúng tôi theo mặc định, nhưng bạn có thể chuyển nó thành relay của riêng bạn trong cài đặt bất cứ lúc nào. Không có "phụ kiện doanh nghiệp tại chỗ" nào. Điều này là có ý định: giấy phép AGPL-3.0 cho bạn quyền tự lưu trữ, và chúng tôi muốn duy trì điều đó.

Hầu hết người dùng không bận tâm. Relay được quản lý của chúng tôi chỉ hoạt động, có các PoP toàn cầu, và được bao gồm trong đăng ký cơ bản. Nếu câu chuyện quyền riêng tư dữ liệu của bạn yêu cầu "không có relay bên thứ ba nào trong đường đi", hãy tự lưu trữ. Nếu không, tiết kiệm thời gian DevOps và sử dụng relay được quản lý — đó là điều mà đăng ký mang lại cho bạn. Để biết đầy đủ kiến trúc bảo mật chạy dưới cả hai triển khai, hãy xem trang trang bảo mật của chúng tôi.

Khi nào tự lưu trữ là quyết định sai lầm

• Bạn là một nhóm nhỏ không có khả năng DevOps. Chi phí bảo trì là có thật. Nếu bạn không có ai đó mà mô tả công việc của họ bao gồm "vá các máy chủ Linux", tự lưu trữ là một khoản thuế tái diễn.
• Bạn cần mua sắm tài liệu từ nhà cung cấp. Các kiểm toán viên yêu cầu báo cáo SOC 2 sẽ không chấp nhận "chúng tôi chạy máy chủ của riêng mình" như một câu trả lời. Các dịch vụ quản lý với các chứng chỉ chính thức dễ dàng hơn ở đây.
• Bạn chỉ có 5-20 điểm cuối. Điểm hòa vốn giữa việc tự lưu trữ và gói quản lý $7.99/tháng là hàng trăm đô la/năm tiết kiệm thời gian DevOps. Ở 20 điểm cuối, dịch vụ quản lý rõ ràng là rẻ hơn.
• Bạn đang làm điều này để tiết kiệm chi phí cho một ghế ngồi duy nhất. Một VPS $5/tháng cộng với 2 giờ/tháng thời gian quản trị ở bất kỳ mức lương hợp lý nào đã tốn hơn một ghế ngồi của dịch vụ quản lý.

Kết luận

Máy tính từ xa tự lưu trữ là một lựa chọn thực tế, và đối với một số tổ chức, đó là lựa chọn đúng. RustDesk (và các nhánh như GoDesk) là câu chuyện tự lưu trữ nghiêm túc dễ nhất; Guacamole là sự lựa chọn đúng cho truy cập dựa trên trình duyệt; MeshCentral là công cụ quản lý đội tàu đa năng. Lựa chọn luôn là thời gian DevOps so với đô la. Nếu bạn có yêu cầu về quyền riêng tư dữ liệu, hãy tự lưu trữ. Nếu bạn có $7.99/tháng và muốn xây dựng sản phẩm hơn là vận hành, hãy sử dụng relay được quản lý. Xem giá cả hoặc tải xuống GoDesk và thử luồng quản lý trước — bạn luôn có thể chuyển sang tự lưu trữ sau bằng cách thay đổi một dòng cấu hình.

Câu hỏi thường gặp

Tôi có thể tự lưu trữ relay và vẫn sử dụng giao diện UI / tài khoản của GoDesk không?
Có. Hướng khách hàng đến relay của bạn trong cài đặt. Các tính năng tài khoản phụ thuộc vào mặt phẳng điều khiển GoDesk (thanh toán, quản lý đội) vẫn hoạt động; chỉ có lưu lượng phiên di chuyển đến relay của bạn.

Tôi cần phần cứng gì cho một relay RustDesk tự lưu trữ?
Một VPS nhỏ: 1 vCPU, 1 GB RAM, 1 TB/tháng băng thông xử lý hàng chục phiên đồng thời. Hetzner CX11, DigitalOcean cơ bản, hoặc AWS t4g.nano đều hoạt động. Băng thông thường là rào cản ở quy mô, không phải CPU.

Có hỗ trợ 2FA / SSO cho RustDesk tự lưu trữ không?
Máy chủ mã nguồn mở miễn phí (hbbs/hbbr) không hỗ trợ. Máy chủ RustDesk Pro (trả phí, giấy phép riêng) thêm bảng điều khiển web, OIDC, và nhật ký kiểm tra. Tầng Pro của GoDesk trên dịch vụ quản lý bao gồm 2FA ngay từ đầu.

Tôi có thể lưu trữ relay trên AWS Lightsail / Cloudflare / v.v. không?
Bất kỳ nhà cung cấp nào có IPv4 công khai và khả năng mở các cổng UDP/TCP tùy chỉnh đều hoạt động. Proxy chuẩn của Cloudflare kết thúc TCP tại cổng 443 mà thôi; bạn sẽ cần Cloudflare Spectrum (trả phí) hoặc một trình lắng nghe TCP dành riêng cho các cổng RustDesk.

Tự lưu trữ tương tác như thế nào với GDPR?
Nếu relay của bạn ở EU và dữ liệu của bạn không bao giờ rời khỏi nó, các quy tắc chuyển giao qua biên giới GDPR không áp dụng. Đây là lý do lớn nhất khiến các triển khai công cộng và chăm sóc sức khỏe của EU chọn tự lưu trữ.