Proxy web con SSL
Garantizar la seguridad de tu conexión al servidor GPU es una consideración clave para todo desarrollador. Asegurar que tu trabajo sea accesible manteniendo la seguridad resulta fundamental mientras desarrollas el próximo gran avance en IA.
👮 Para una seguridad y escalabilidad óptimas, no exponga este punto de extremo directamente a usuarios públicos. Implemente un servidor web dedicado para gestionar las interacciones de los usuarios, el cual luego se comunicará con su servidor GPU. Esta arquitectura cumple con las mejores prácticas e estándares del sector.
Exposición simple y segura de un servicio interno a Internet
Esta plantilla ofrece un método ligero para que los clientes expongan un servicio interno (HTTP o WebSocket) al público en internet mediante el sistema de enrutador Trooper.AI. Crea automáticamente un punto final seguro con protocolo HTTPS y certificado SSL gratuito, mientras redirige el tráfico hacia cualquier puerto interno de la máquina del cliente.
El objetivo es la simplicidad: instalar un pequeño proxy, especificar dos puertos y obtener al instante una URL segura y accesible desde el exterior.
Todo el tráfico desde el Webproxy’s SSL Endpoint hacia el puerto público de tu máquina se enruta dentro de nuestra red interna, evitando por completo la conexión a internet. Esto representa una ventaja significativa en seguridad para Trooper.AI.
Características clave
1. Punto de entrada HTTPS público
Tu servicio interno queda disponible bajo un *.secure.trooper.ai subdominio, enrutado a través de la infraestructura de Trooper.AI con certificados SSL automáticos.
2. Soporte completo para WebSocket
La plantilla reenvía tanto el tráfico HTTP estándar como las conexiones WebSocket sin necesidad de configuración adicional.
3. Protección de contraseña opcional
Si se proporciona un nombre de usuario y una contraseña, el punto final queda protegido con Basic Auth. Dejar ambos valores vacíos desactiva la autenticación.
4. Configuración limpia y minimalista
La configuración genera un punto de extremo (endpoint) dedicado de proxy, escucha en el puerto elegido y reenvía todo al servicio interno.
¿Cómo funciona
Entradas
Solo debe configurar la plantilla antes de la instalación.
El puerto externo se asignará automáticamente y se mostrará junto al nombre de la plantilla, igual que con otras plantillas.
⚠️ ¡No utilice el puerto 443 y no proporcione un certificado autofirmado en su puerto!
Flujo interno
- Se instala Nginx (incluyendo soporte para htpasswd).
- Si la autenticación está habilitada, se crea un archivo de contraseña.
- La configuración del proxy se coloca en
/etc/nginx/sites-available/trooperai-webproxy-<external_port> - La configuración redirige todo el tráfico entrante a
http://127.0.0.1:<internal_port>. - Los encabezados de actualización de WebSocket se transmiten automáticamente.
- Se recarga Nginx y el punto de conexión queda activo.
Clases de tiempo de espera
| Tipo de tráfico | ¿Cómo se detecta | Tiempo de espera del proxy |
|---|---|---|
| Petición/respuesta HTTP estándar | Cualquier tráfico no coincidente con lo anterior | 60s (predeterminado) |
| Chat/Difusión (SSE / NDJSON) | La ruta contiene /api/chat, /chat/completions, /api/generate, /generate, /stream, /events, or Accept: text/event-stream / application/x-ndjson |
10 min (LARGO) |
| Descargas de archivos grandes | Range encabezado, ruta/extensión similar a archivo, Accept: application/octet-stream |
30 min (DESCARGA) |
| WebSockets | Actualización HTTP a WS/WSS | Sin tiempo de espera ocioso en el proxy |
El proxy también actualiza los tiempos de espera dinámicamente en la respuesta (por ejemplo, si tu servidor envía
206oContent-Disposition: attachment, aumenta al tiempo límite de DESCARGA, incluso si la solicitud inicialmente no fue clasificada como una descarga).
Certificado SSL gratuito incluido
Una vez activo, el enrutador de Trooper.AI detecta el puerto expuesto, emite un certificado SSL gratuito y publica tu punto de extremo seguro.
Resultado de ejemplo
Dado un dominio asignado por Trooper.AI como:
myapp123-husky-delta.secure.trooper.ai
y un puerto público disponible dentro del rango configurado por usted (por ejemplo, 12345, con un servicio interno escuchando en el puerto 8080,
el flujo de conexión será: 8080 -> 12345 -> https://myapp123-husky-delta.secure.trooper.ai.
Esto reenvía de forma segura el tráfico desde el punto final público HTTPS hacia tu servicio interno.
Solución de problemas
Hemos compilado respuestas a preguntas frecuentes sobre la función de webproxy. Para asistencia personalizada, comuníquese con nuestro equipo de soporte: Contactos de Soporte
¿Dónde encontrar mi dominio?
Asegúrese de que su servicio interno esté ejecutándose en el puerto deseado y luego instale o actualice la plantilla del webproxy. El dominio asignado y el estado de activación del SSL (indicados por un ícono de candado) se mostrarán entonces.
¿Mi servicio interno es HTTP o HTTPS?
Es una pregunta válida. Internamente, tu servicio opera como un servicio estándar HTTP en un puerto configurable, como el 8080. Este puerto permanece interno dentro de la instancia del servidor. El servicio de web proxy instalado mediante esta plantilla gestiona la cifrado SSL, proporcionando y administrando automáticamente el certificado SSL para acceder de forma segura desde fuera. En esencia, esta plantilla establece una conexión segura HTTPS entre tu puerto interno y el público en Internet.
Configuraciones existentes de Nginx
Esta plantilla instala y configura Nginx para enrutar el tráfico interno de tu servidor con GPU. Aunque no sobrescribirá las configuraciones existentes, gestionar directamente Nginx en tu servidor con GPU generalmente no se recomienda debido a la posible complejidad. Evalúa si la gestión directa de Nginx es necesaria para tu flujo de trabajo.
Manejo de solicitudes bloqueadas y protección contra ataques por fuerza bruta
Nuestro Proxy Seguro SSL integra mecanismos avanzados de detección de intentos brutos para proteger sus aplicaciones contra accesos no autorizados. Al analizar los patrones del tráfico entrante, el sistema identifica actividades sospechosas, como múltiples intentos fallidos de inicio de sesión, y mitiga riesgos de manera proactiva. Para garantizar una integración fluida con los protocolos de seguridad, su aplicación debe responder con códigos de estado HTTP adecuados (códigos de estado HTTP), en particular errores 5xx (fallos del lado del servidor) o 401 No Autorizado, permitiendo que el proxy distinga entre disfunciones legítimas y comportamientos maliciosos. Este enfoque estructurado mantiene una seguridad robusta al mismo tiempo que optimiza el rendimiento para usuarios autorizados.