在当今快节奏的数字环境中，对数据和基础设施的控制变得越来越重要，自主托管已成为一种变革性的解决方案。本指南深入探讨如何利用 穿山甲 和 Authentik 创建一个安全、可扩展且集中式的自托管环境。本书重点关注管理关键业务系统的专业人员、IT 团队和开发人员，全面的讲解将帮助您掌握基础架构的设置，从而实现完整的数据所有权和安全性。

无论您是从第三方提供商迁移还是设置优化环境来运行应用程序，本指南都涵盖了所有基本内容 - 从反向代理配置到统一身份管理。

为什么要自托管？数字所有权的三大支柱

视频强调了自托管的三个关键动机：

1. 完整的数据所有权
   通过在您自己的服务器或受信任的云解决方案上托管您的应用程序，您可以确保完全控制您的数据并减少对第三方服务的依赖。
2. 增强安全性
   自托管使您能够构建具有防火墙、加密隧道和高级监控工具等保护措施的强大基础设施，从而减少漏洞的暴露。
3. 统一用户访问
   使用以下工具 Authentik，您可以简化用户管理，同时确保安全、集中地访问应用程序，无论他们身在何处。

通过雇用 穿山甲 和 Authentik，您可以无缝地实现这些目标。Pangolin 充当强大的反向代理和安全隧道，而 Authentik 则提供身份管理系统，实现统一的访问控制。

sbb-itb-59e1987

Pangolin 和 Authentik 设置分步指南

1. 选择您的托管环境

您可以：

• 使用 本地硬件 （例如，重新利用的桌面或服务器）。
• 杠杆作用 基于云的基础设施. 视频精彩片段 赫茨纳 作为一家可靠、高性能且定价合理的云提供商。

本指南重点介绍如何在 Hetzner 的环境中部署该架构。一个强大的设置包括：

• 两台服务器：一个用于 Pangolin 反向代理，一个用于托管应用程序。
• 一个 私有子网 安全地隔离服务器通信。

2. 设置 Pangolin：您的反向代理和安全隧道

穿山甲是什么？
Pangolin 是 Cloudflare 等商业代理和隧道系统的开源替代方案。它允许将流量安全地路由到您的自托管应用程序，同时确保数据隐私。

安装过程：

1. 准备您的 DNS 记录:
   • 为您的应用程序注册一个专用域名。
   • 添加三条 DNS 记录：
     • 根域（@)，指向您的反向代理服务器的 IP。
     • 通配符子域名 (*)，允许应用程序使用动态子域。
     • Pangolin 仪表板的子域名（proxy.yourdomain.com).
2. 安装 Pangolin:
   • 使用提供的安装脚本将 Pangolin 部署为 Docker 容器。
   • 分配一个 通配符 SSL 证书 以实现安全连接。
3. 设置防火墙:
   • 将开放端口限制为 HTTP (80)、HTTPS (443) 和 SSH (22)。
   • 使用私有子网允许服务器之间的安全通信。
4. 启用 CrowdSec 实现网络安全:
   • 集成 CrowdSec，这是一种提供入侵检测和防御恶意活动的开源解决方案。
   • 添加特定于您的应用程序的集合或规则（例如，WordPress 保护）。

主要优点：

• 完全控制反向代理配置。
• 消除对 Cloudflare 等外部服务的依赖。
• 集成 CrowdSec 的高级安全性。

3. 部署 Authentik：统一身份提供者

什么是 Authentik？
Authentik 是一个开源身份提供商，可简化自托管应用程序的用户身份验证。它支持 OAuth2、SAML 和 LDAP，因此几乎可以与所有企业系统兼容。

安装过程：

1. 克隆 Docker 存储库:
   • 使用提供的 Git 存储库下载 Authentik 的预配置 Docker Compose 文件。
   • 自定义 Docker Compose 文件以匹配您的服务器的私有网络和端口。
2. 配置数据库和 SMTP 设置:
   • 将 PostgreSQL 设置为 Authentik 的后端数据库。
   • 进入 SMTP 凭证 用于电子邮件通知（例如，用户邀请、密码重置）。
3. 部署 Authentik:
   • 运行 Docker Compose 以在私有网络中启动 Authentik。
   • 访问初始设置页面以创建管理员帐户并配置系统。
4. 与 Pangolin 集成:
   • 在 Pangolin 仪表板中添加 Authentik 作为资源。
   • 使用其分配的子域将流量路由到 Authentik（例如， idp.yourdomain.com).

主要特点：

• 自托管应用程序的集中用户管理。
• 支持外部身份提供者（例如 Microsoft Entra、Google Workspace）。
• 为企业提供可扩展的许可，提供经济高效的解决方案。

4. 优化您的环境

持久连接：

• 配置 Systemd 服务 确保 Pangolin 的隧道在服务器重启后自动重新连接。

安全最佳实践：

• 禁用服务器上的根访问和基于密码的身份验证。
• 使用 SSH 密钥进行安全的服务器访问。
• 为 Authentik 管理员帐户添加双因素身份验证 (2FA) 和安全密钥。

备份策略：

• 启用服务器的自动备份。
• 将应用程序数据同步到其他卷或外部存储解决方案。

关键要点

• 穿山甲 为 Cloudflare 提供自托管替代方案，用于反向代理和安全隧道，确保数据所有权。
• Authentik 提供 集中身份管理，简化自托管应用程序的访问控制。
• 利用 私有子网 和 防火墙 最大限度地降低网络安全风险。
• CrowdSec 集成 确保全天候防御恶意流量。
• 使用 Hetzner 的云服务器 或其他可靠的基础设施提供商，以实现经济高效的性能和可扩展性。
• 定期备份和强大的安全实践（例如，SSH 密钥、2FA）对于维护安全的托管环境至关重要。

结论

使用 Pangolin 和 Authentik 等工具进行自托管，是迈向自主掌控数字资产的重要一步。按照上述步骤，您可以创建一个安全、可扩展且统一的基础架构来托管关键任务应用程序。本指南为迈向自托管的转型之旅奠定了基础，使您能够重新掌控数据，并最大限度地减少对外部提供商的依赖。

探索自托管为您的企业或个人项目带来的潜在机遇。凭借合适的架构和工具，数字主权的未来触手可及。

来源：“🔥🔥 权威自托管指南 (2025) 🔥🔥 | 安全、高效的未来自托管” – Webnestify，YouTube，2025 年 8 月 26 日 – https://www.youtube.com/watch?v=tTyq9xGy1pM

用途：嵌入以供参考。简短的引述可用于评论/评论。

相关博客文章

• VPS 托管的客户入职培训
• 托管入门终极指南
• 构建去中心化托管网络：关键步骤
• Web3 托管安全：保护企业数据