Tầm trạng Homelab 2026: Hành trình tự chủ và kiến tạo hệ thống cá nhân

Tôi là kiểu người luôn thầm (và không hề thầm lặng lắm) mơ ước sở hữu một hầm trú ạn riêng. Một nơi có tấm pin năng lượng mặt trời, máy phát điện, khả năng sống ngoài lưới điện, mạng lưới mesh và ăng-ten Starlink. Có một sức hấp dẫn lạ kỳ trong ý tưởng độc lập và sẵn sàng đó, dù nó có vẻ như là một ảo tưởng nam giới khó thành hiện thực.

Vì chưa có hầm trú ạn, tôi đành chuyển hướng niềm đam mê đó sang một thứ khác gắn liền với công nghệ: xây dựng một Homelab (phòng thí nghiệm tại nhà). Hãy để tôi chia sẻ về những món đồ chơi kỹ thuật số của mình.

Phần cứng: Từ OrangePi đến GMKTec NUC

Phiên bản Homelab ban đầu của tôi nằm trên OrangePI 5, một lựa chọn thay thế Raspberry Pi 5 đến từ Trung Quốc với CPU mạnh hơn một chút và giá thấp hơn. Tuy nhiên, do gặp vấn đề về quản lý điện năng và ổ lưu trữ USB, tôi quyết định "chơi lớn" hơn và mua một thiết bị GMKTec NUC (không tài trợ) mạnh mẽ hơn.

GMKTec NUC

Chiếc NUC này sở hữu 32GB RAM, ổ NVMe M2 1TB với khả năng mở rộng cả RAM và ổ cứng nhờ hai khe M2 onboard. Nó có CPU mạnh hơn và vận hành ổn định suốt cả năm.

Bên cạnh đó, tôi thuê một máy chủ ảo tại Hetzner để chạy các dịch vụ cần độ ổn định và thời gian hoạt động 24/7 (vì homelab tại nhà đôi khi khá不稳定 khi tôi liên tục thử nghiệm cái mới).

Hiện tại, tôi chưa có hệ thống NAS chuyên dụng, không có đĩa cứng raid, chỉ dùng ổ lưu trữ gắn trong cơ bản. Đúng là đây không phải là thiết lập tốt nhất về độ tin cậy dữ liệu, nhưng những dữ liệu quan trọng nhất của tôi đều được đồng bộ hóa qua Syncthing.

Tổng quan hệ thống

Các dịch vụ của tôi được container hóa bằng Docker và chạy trên Debian:

• Internet & Mạng: Cloudflare Tunnel (outbound-only), Traefik (Reverse Proxy).
• Xác thực: Authentik (SSO).
• Cơ sở dữ liệu: PostgreSQL, Redis.
• Media: Radarr, Lidarr, Jellyfin, Transmission.
• Nội dung & AI: LibreChat, Miniflux, Calibre.
• Lưu trữ: Immich, Syncthing, MinIO.
• Vận hành: Beszel, Statsping.

Các nguyên tắc cốt lõi

Tôi không muốn dành quá nhiều thời gian để sửa chữa, vì vậy tôi tuân theo một vài nguyên tắc khi lựa chọn công cụ:

1. Infrastructure-as-Code (IaC): Cấu hình càng nhiều càng tốt phải được thực hiện tự động qua script (Ansible) và lưu trữ dạng mã nguồn.
2. Khả năng tái tạo: Nếu hệ thống gặp sự cố, tôi muốn có thể triển khai và cấu hình lại nhanh chóng.
3. Dễ sử dụng: Các dự án cá nhân nên vận hành trơn tru với các cách tiếp cận quen thuộc.

Hệ điều hành và Kiến trúc mạng

Tôi chọn Debian làm hệ điều hành chính vì tính "cổ điển" nhưng đáng tin cậy. Tôi từng định dùng NixOS hoặc Talos cho Kubernetes nhưng cuối cùng chọn sự đơn giản cho một máy chủ đơn.

Về mạng, thay vì dùng IP trắng (tốn tiền và rủi ro bảo mật) hay Tailscale, tôi chọn giải pháp dễ dàng nhất: Cloudflare Tunnels. Nó miễn phí, an toàn và không yêu cầu mở bất kỳ cổng nào trên tường lửa.

Cloudflare Tunnel tạo kết nối outbound từ máy chủ của tôi đến mạng lưới của Cloudflare. Khi tunnel được thiết lập, lưu lượng sẽ chảy hai chiều qua nó. Để quản lý routing và xác thực, tôi sử dụng:

• Traefik: Reverse proxy mã nguồn mở, nhận diện Docker tự động.
• Authentik: Nền tảng IdP và SSO để bảo vệ các dịch vụ nhạy cảm.

Vận hành và Tự động hóa

Ansible & Docker

Ansible là công cụ tôi chọn để tự động hóa hạ tầng. Mỗi dịch vụ trên máy chủ được định nghĩa là một "role" (vai trò) với các task, biến mặc định, template và handler riêng.

Quy trình triển khai dịch vụ điển hình bao gồm: Tạo tài nguyên Docker (network, volumes), tạo schema trong PostgreSQL, render file cấu hình, pull image docker và chạy container.

Quản lý bí mật với SOPS

Quản lý mật khẩu và API keys luôn là bài toán khó. Tôi không muốn lưu chúng dưới dạng plain text trên GitHub. Ansible Vault quá cồng kềnh, nên tôi chọn SOPS (Secrets OPerationS).

SOPS mã hóa các giá trị trong YAML/JSON nhưng giữ cấu trúc file dễ đọc. Nó hỗ trợ age - một công cụ mã hóa hiện đại đơn giản.

File cấu hình của tôi trông như thế này:

postgres_password: ENC[AES256_GCM,data:xB7j...,tag:pL9...]
cloudflare_api_token: ENC[AES256_GCM,data:kM3n...,tag:qW8...]

Khi Ansible chạy, nó tự động giải mã các biến này. Điều này giúp Git diff vẫn hữu ích (chỉ hiển thị giá trị đã mã hóa thay vì toàn bộ file bị thay đổi).

Các dịch vụ đang chạy

Quản lý phương tiện truyền thông (*arr Stack)

Đây thường là điểm khởi đầu của nhiều người chơi homelab:

• Prowlarr: Quản lý indexer.
• Radarr & Lidarr: Quản lý phim và nhạc.
• Transmission: Client BitTorrent thực tế.
• Jellyfin: Máy chủ media mã nguồn mở (thay thế cho Plex).

Sơ đồ tự động hóa Media

Tất cả đều được bảo vệ bởi Authentik và chia sẻ thư mục tải xuống chung để tiết kiệm dung lượng đĩa nhờ hardlinks.

Tiêu thụ nội dung & Lưu trữ

• Jellyfin: Phục vụ phim, nhạc trên mọi thiết bị.
• Navidrome: Máy chủ nhạc streaming.
• Calibre Web: Quản lý sách điện tử.
• Immich: Thay thế self-host cho Google Photos, sao lưu ảnh tự động từ điện thoại với tính năng nhận diện khuôn mặt.
• Syncthing: Đồng bộ hóa thư mục P2P giữa laptop, điện thoại và máy chủ mà không qua trung gian đám mây.
• MinIO: Lưu trữ đối tượng tương thích S3.

AI và Trò chuyện

• LibreChat: Giao diện chat AI self-hosted, kết nối với nhiều nhà cung cấp LLM (OpenAI, Anthropic, Ollama local) và hỗ trợ RAG.

Phần mềm tùy chỉnh

Tôi có một vài dịch vụ riêng như "Highlight Exporter" để xuất tóm tắt sách từ KOReader/Apple Books sang Obsidian, và một "Telegram Assistant" bot để tự động hóa các tác vụ nhỏ.

Giám sát

Tôi muốn giám sát đơn giản, dễ thiết lập mà không quá chi tiết hay ồn ào.

Beszel

Sau khi thử qua Grafana (quá nặng) và Glances, tôi tìm thấy Beszel. Nó cực kỳ nhẹ, dễ cài đặt và có các mặc định hoàn hảo cho nhu cầu của tôi.

Giao diện giám sát Beszel

Statsping

Để giám sát độ sẵn có của các tài nguyên cụ thể, tôi dùng Statsping. Nó ping các endpoint đã định nghĩa và báo cáo độ trễ, cũng như cảnh báo nếu dịch vụ bị sập. Nó được đặt trên máy chủ đám mây Hetzner để tồn tại ngay cả khi homelab tại nhà mất mạng.

Những gì đang còn thiếu

• Sao lưu (Backups): Tôi đang phớt lờ khâu này. Tôi chưa tìm giải pháp ưng ý như Restic hay phần cứng phù hợp để sao lưu đáng tin cậy.
• RAID: Chạy một ổ NVMe duy nhất là công thức thảm họa với quản trị hệ thống dày dạn, nhưng hiện tại tôi chấp nhận rủi ro này do hạn chế không gian.
• Phụ thuộc vào Cloud: Tôi dựa nhiều vào Cloudflare Tunnels. Nếu Cloudflare sập, tôi mất quyền truy cập. Trong tương lai, tôi sẽ tìm các phương án thay thế.

Kết luận

Tôi chi khoảng 7 Euro mỗi tháng cho VPS Hetzner và một khoản nhỏ trên hóa đơn tiền điện. Việc thêm dịch vụ mới hoặc sửa cấu hình chỉ mất khoảng 20-30 phút, nhờ sự hỗ trợ của Claude Code.

Cuối cùng, không có hầm trú ạn nào cả, và đó chưa phải là sự độc lập hoàn toàn. Nhưng đối với tôi, đây là điểm cân bằng tuyệt vời giữa sự tự cung tự cấp và chủ nghĩa thực dụng. Hạ tầng hoạt động ổn định, quan trọng nhất là nó thuộc về tôi. Ít bị khóa nhà cung cấp, không thay đổi điều khoản sử dụng bất ngờ, và không có thuật toán quyết định tôi nên đọc gì.

Nếu bạn đang cân nhắc xây dựng homelab, hãy bắt đầu nhỏ, đừng suy nghĩ quá nhiều. Mục tiêu không phải là phần cứng ấn tượng nhất, mà là sở hữu dữ liệu của bạn, hiểu hạ tầng của bạn và tận hưởng quá trình mày mò.

Bây giờ, hãy trở lại với kế hoạch xây dựng hầm trú ạn...