Хранение личных архивов в бигтех-корпорациях постепенно превращается в риск. Блокировка аккаунта, внезапное изменение условий подписки или туманные правила приватности заставляют искать альтернативы. Для тех, кто ценит полный контроль над данными, существует связка из домашнего сервера Immich и защитного шлюза Cloudflare.
Immich: ИИ-фотолаборатория в собственной квартире
Вместо аренды места у гигантов индустрии лучше запустить сервер Immich. Это бесплатное программное обеспечение с открытым кодом полностью копирует интерфейс и функции Google Photos. Нейросети внутри системы распознают лица, группируют снимки по геолокации и находят объекты на кадрах.
Главное преимущество — обработка лиц происходит локально на домашнем железе. Ни одна фотография не улетает на сервера сторонних компаний для анализа. Это может быть любой сервер. Также владельцы систем Synology запускают Immich через штатный Container Manager (Docker), превращая сетевой накопитель в умный фотоальбом. Объем хранилища при этом ограничивается только размером установленных дисков. Обычно это работает в моделях серий Plus (+), Play или xs, которые построены на процессорах Intel или AMD.
Безопасный доступ без «дыр» в роутере
Главная проблема домашних серверов — организация входа из интернета. Открывать порты на роутере — значит выставлять оборудование под удары ботов и сканеров. Элегантное решение предлагает технология Cloudflare Tunnel.
Специальная утилита на сервере создает защищенный коридор до облака. Домашние фото становятся доступны по красивому адресу вроде photos.batrankov.ru. Роутер остается закрытым для внешнего мира, а трафик идет по шифрованному каналу. Для работы туннеля не нужен даже «белый» статический IP-адрес.
Если вы купили Synology ради простоты — используйте штатный Synology Photos. Это добротное решение, которое закроет потребности 90% пользователей. Но если вы хотите получить максимум от своего железа и доверяете современным ИИ-алгоритмам — ставьте Immich. А доступ в обоих случаях лучше закрывать через Cloudflare Tunnel, чтобы не светить свой NAS в открытый интернет
Cloudflare Access: цифровой замок на входе
Для максимальной безопасности стоит активировать Cloudflare Access. Эта функция добавляет еще один уровень авторизации перед попаданием в само приложение.
При попытке зайти в альбом система сначала потребует ввести одноразовый код, отправленный на почту или в Telegram. Хакер или случайный прохожий не увидит даже страницу входа в Immich, так как Cloudflare отсекает неавторизованные запросы еще на подлете. Это напоминает пропускной пункт на охраняемом объекте, где паспорт проверяют до того, как разрешить подойти к двери.
Юридический нюанс и приватность
Выбор технологий требует понимания архитектуры. Штаб-квартира Cloudflare находится в Сан-Франциско, и компания работает в американской юрисдикции. Поскольку трафик расшифровывается внутри облака для фильтрации атак и проверки правил доступа, провайдер технически имеет возможность видеть передаваемые файлы. В США есть так называемый CLOUD Act, по которому компания обязана предоставить данные, которые проходят через её узлы в расшифрованном виде, если к ней придут с ордером.
Для 99% семейных архивов это приемлемый компромисс между комфортом и профессиональной защитой от взлома. Но если данные требуют абсолютной секретности, стоит рассмотреть Tailscale или Headscale. Это решение использует сквозное шифрование, при котором ключи доступа хранятся исключительно на ваших устройствах, а посредники видят лишь нечитаемый шум. Там нет посредника, там чистый P2P и сквозное шифрование. Но за приватность придется платить: на каждом телефоне должен быть включен VPN-клиент.
