Octelium - Alternatif open source untuk Teleport, Cloudflare, Tailscale, dan Ngrok

 (github.com/octelium)
14 poin oleh GN⁺ 2025-06-30 | 1 komentar | Bagikan ke WhatsApp
  • Octelium adalah platform self-hosted open source generasi berikutnya yang mendukung secara terpadu VPN akses jarak jauh, ZTNA, gateway API/AI, dan lainnya
  • Dengan self-hosting dan single-tenant, platform ini menyediakan akses aman berbasis identitas di lapisan aplikasi (layer 7) ke semua sumber daya internal maupun publik
  • Mencakup fitur untuk memenuhi kebutuhan keamanan modern seperti akses tanpa secret, kontrol berbasis kebijakan terperinci, manajemen terpusat, dan audit
  • Dibanding berbagai solusi komersial/open source yang ada seperti Kubernetes, OpenVPN, Tailscale, Cloudflare Access, dan lainnya, Octelium menawarkan keunggulan kompetitif sekaligus dapat menjadi pengganti
  • Mengadopsi model open source dan membangun basis bisnis melalui dukungan fitur komersial dan lisensi, dengan fokus pada penyediaan self-hosting berfitur penuh

Pentingnya dan gambaran umum proyek Octelium

  • Octelium adalah platform akses aman self-hosted Zero Trust terpadu open source generasi berikutnya yang dapat menggantikan solusi komersial seperti Teleport, Cloudflare, Tailscale, dan Ngrok.
  • Keunggulan besarnya dibanding solusi open source/komersial yang ada adalah seluruh fitur dapat di-host sendiri tanpa kompromi, sehingga bebas dari biaya tambahan dan ketergantungan vendor.

Apa itu Octelium

  • Octelium adalah platform manajemen akses terpadu yang menerapkan algoritme berbasis identitas dan layer 7
  • Ini merupakan alternatif untuk VPN akses jarak jauh (OpenVPN Access Server, Twingate, Tailscale, dan lainnya), sekaligus mendukung beragam peran seperti ZTNA, BeyondCorp (Google BeyondCorp, Cloudflare Access, Teleport, dan lainnya), ngrok (reverse proxy), gateway API/AI, infrastruktur PaaS mandiri, pengganti ingress Kubernetes, dan infrastruktur Homelab
  • Untuk akses pengguna (baik manusia maupun workload), organisasi, dan aplikasi, Octelium mendukung baik mode klien berbasis tunnel WireGuard/QUIC maupun akses browser tanpa klien ala BeyondCorp
  • Intinya adalah policy-as-code yang mendefinisikan kebijakan dalam kode, serta keamanan berbasis konteks dan identitas yang terperinci, ditambah autentikasi dan otorisasi tanpa secret

Kasus penggunaan utama

  • VPN akses jarak jauh modern: berbasis WireGuard/QUIC, dengan keamanan dinamis, sadar identitas, dan lapisan aplikasi
  • Penyusunan akses ZTNA/BeyondCorp terpadu
  • Tunnel/reverse proxy aman self-hosted (pengganti ngrok, Cloudflare Tunnel)
  • PaaS self-hosted (deployment dan scaling aplikasi container, hosting publik anonim)
  • Gateway API (pengganti Kong Gateway, Apigee)
  • Gateway AI (koneksi ke penyedia LLM, kontrol berbasis identitas)
  • Akses API SaaS terpadu tanpa secret
  • Menyediakan infrastruktur gateway MCP/A2A (standar model context dan antaragen)
  • Pengganti tingkat lanjut untuk ingress/load balancer Kubernetes
  • Homelab (pengelolaan jarak jauh yang aman dan terpadu untuk sumber daya pribadi, IoT, cloud, dan lainnya)

Fitur utama

Arsitektur terpadu modern

  • Kontrol sadar identitas pada level lapisan aplikasi untuk semua sumber daya (internal/di balik NAT, publik) dan semua pengguna (manusia/workload)
  • Menyediakan baik akses jarak jauh berbasis VPN maupun akses tanpa klien ala BeyondCorp
  • Berjalan di atas Kubernetes, dengan skalabilitas horizontal dan ketersediaan tinggi yang tertanam otomatis

Akses dinamis tanpa secret

  • Mendukung akses aman ke banyak aplikasi/DB seperti HTTP/gRPC API, web app, SSH, Kubernetes, PostgreSQL/MySQL tanpa perlu mengelola atau membagikan secret key
  • Bahkan mTLS pun dapat diakses tanpa perlu berbagi PKI/sertifikat

Kontrol akses sadar konteks, berbasis identitas, dan layer 7

  • Dilengkapi sistem kebijakan (ABAC) modular terpusat dan dapat dikomposisikan
  • Mendukung bahasa kebijakan seperti CEL dan OPA, sehingga kontrol terperinci dapat diterapkan pada setiap request

Routing/konfigurasi dinamis

  • Mendukung routing bersyarat dan konteks tingkat atas yang berbeda untuk sumber daya yang sama berdasarkan kebijakan, akun, dan kondisi

Autentikasi kuat berkelanjutan

  • Integrasi dengan IdP standar seperti OpenID Connect dan SAML2.0
  • Workload dapat melakukan autentikasi tanpa secret menggunakan token OIDC
  • Mendukung tingkat jaminan autentikasi NIST, MFA, dan perlindungan terhadap phishing (Passkey, Yubikey, dan lainnya)

Visibilitas mendalam dan audit di lapisan aplikasi

  • Integrasi OpenTelemetry, dengan logging real-time untuk semua request dan pengiriman ke kolektor OTLP eksternal

SSH serverless dan deployment aplikasi container

  • Akses SSH ke container, IoT, dan host non-SSH sekalipun tanpa memerlukan hak root
  • Mendukung deployment, scaling, dan akses aman untuk aplikasi container mirip PaaS

Manajemen deklaratif terpusat dan dapat dikodekan

  • Dikelola secara deklaratif seperti Kubernetes, sehingga status cluster dapat direproduksi dengan satu perintah/kode
  • Operasional yang ramah DevOps/GitOps melalui CLI octeliumctl dan gRPC API

Tidak perlu perubahan jaringan dan mengatasi masalah klasik VPN

  • Sumber daya upstream tidak perlu mengetahui keberadaan Octelium, dan layanan dapat dijalankan dengan aman di balik NAT tanpa membuka port
  • Otomatisasi pengaturan seperti private IP dual-stack unik dan private DNS

Sepenuhnya open source, self-hosted, tanpa vendor lock-in

  • Seluruh source code dibuka, tanpa pembatasan fitur versi komersial maupun vendor lock-in
  • Mendukung konfigurasi yang dapat diskalakan dari mini cluster single-node hingga cloud skala besar

Lisensi dan dukungan

  • Source klien menggunakan Apache 2.0, cluster menggunakan AGPLv3
  • Tersedia lisensi komersial dan dukungan enterprise, sementara kontribusi eksternal saat ini dibatasi
  • Dukungan komunitas melalui dokumentasi resmi, Discord, Slack, email, Reddit, dan lainnya

Ringkasan poin utama dari FAQ

  • Saat ini berada pada tahap Public Beta, setelah pengembangan internal jangka panjang lalu dialihkan menjadi open source
  • Dipimpin oleh satu pengembang (George Badawi), beroperasi secara mandiri tanpa VC atau modal eksternal
  • Dapat berperan sebagai VPN, tetapi secara fundamental menargetkan ZTA berbasis proxy yang sadar identitas
  • Tidak ada pembatasan yang terasa "tidak seperti open source" atau paksaan komersial; tujuan desainnya adalah menyediakan self-hosting berfitur penuh
  • Model bisnis diturunkan dari dukungan teknis, lisensi komersial, dan fitur tambahan enterprise (misalnya integrasi SIEM, backend Vault, EDR)

Bacaan terkait

1 komentar

 
GN⁺ 2025-06-30
Opini Hacker News

  • Bagi yang kesulitan memahami apa yang dilakukan Octelium, saya menemukan penjelasan paling jelas dan membagikannya: tautan Cara kerja Octelium - dokumentasi resmi adalah yang paling mudah dipahami. Alih-alih membingungkan dengan mendaftar semua fitur yang mungkin dari Octelium, pendekatan yang dimulai dari konsep inti lalu menjelaskannya secara bertahap terasa menarik. Fitur utamanya adalah gateway mirip VPN yang memahami protokol tingkat lanjut dan dapat membuat keputusan keamanan granular berdasarkan isi, serta lapisan konfigurasi klaster yang dibangun di atas Kubernetes. Kombinasi keduanya membentuk semacam "cloud pribadi". Ia menyediakan banyak fitur seperti platform cloud besar, tetapi sulit menentukan harus mulai dari mana. Ini sistem yang keren dengan potensi pemakaian beragam, seperti homelab pribadi, perusahaan kecil yang ingin menekan biaya cloud, hingga PaaS kustom.

    • TailScale memang memuaskan, tetapi saya merasa perlu ada pesaing. Sepertinya IPO akan datang, dan ketika masuk ke tahap itu, jika tidak ada kompetitor, harga kemungkinan besar akan naik tajam.

    • Bisa diringkas sebagai programmable network tunnel fabric.

  • Menurut saya pribadi ada beberapa masalah, dan inilah alasan pengguna sulit untuk tidak bersikap skeptis. Tidak adanya riwayat pengembangan, first commit besar yang tidak jelas asalnya, minimnya informasi publik, tidak tampak seperti perusahaan yang benar-benar ada, pemasaran yang mengklaim bisa menyelesaikan semuanya, serta keamanan tanpa pembuktian, semuanya menurunkan kepercayaan. Dalam situasi seperti ini, diperlukan informasi tambahan apakah ini benar-benar teknologi buatan sendiri, atau dibangun di atas teknologi yang sudah ada dan cukup tepercaya. Jika ingin diluncurkan sebagai bisnis, keandalan harus dibangun. Sebaliknya, jika ini proyek pribadi, tampil seolah-olah bisnis justru bisa terlihat palsu/penipuan/tanda bahaya. Sulit bersikap positif terhadap gagasan bahwa satu pengembang tiba-tiba merilis produk yang bersaing dengan perusahaan besar. Penting untuk menekankan keamanan dengan jelas. Jika tujuan perangkat lunak ini sulit dijelaskan bahkan dalam satu kalimat, itu pertanda perjuangan berat di depan. Menambahkan lebih banyak daftar fitur bukan jawabannya. Malah memberi kesan "pokoknya pasang saja", sehingga orang kehilangan alasan untuk mencobanya. Saya menunjuk fakta bahwa ini kemungkinan akan menghambat keberhasilan proyek.

    • Ini umpan balik yang sangat bagus. Saya memahami validitas kritik tersebut karena Octelium memang sengaja dirancang untuk menjalankan berbagai fungsi sekaligus. Octelium adalah platform akses zero-trust terpadu/serbaguna yang bisa dipakai di banyak kasus antara manusia dan workload, maupun workload ke workload (dokumennya punya banyak contoh rinci). Karena itu, dari sudut pandang pengguna baru memang bisa membingungkan. First commit yang tiba-tiba muncul itu karena sebenarnya pengembangan sudah dilakukan sejak awal 2020, tetapi saat memutuskan membuka kode, saya memulai repositori publik yang bersih tanpa commit awal karena risiko kebocoran informasi pribadi. Selama lima tahun terakhir saya membuat hampir 9.000 commit manual, dan pada awalnya ini hanya VPN WireGuard untuk akses jarak jauh yang sederhana, lalu berubah total menjadi arsitektur, fitur, dan kompleksitas seperti sekarang.

    • Pengembang open source perlu diberi sedikit kelonggaran. Tidak ada yang tahu latar belakang atau motivasi OP, bisa saja ini dibuat untuk bersenang-senang. Tidak perlu dibenarkan. Ini open source dan perangkat lunak gratis. Soal kritik bahwa deskripsi produk tidak bisa dibuat dalam satu kalimat, sebenarnya bisa dijelaskan dengan cukup sederhana seperti tailscale, cloudflare access, atau ngrok. Jika Anda tidak membutuhkan produk-produk semacam itu, sejak awal Anda juga tidak membutuhkan produk ini.

  • Saya baru-baru ini melihat Octelium, dan tampaknya klaster Kubernetes wajib untuk instalasi. Jika benar, hambatan masuknya terlalu tinggi. Kami ingin menempelkan node ke overlay network, bukan menambahkan ketergantungan infrastruktur lain seperti k8s. Pilihan ini terasa aneh karena idealnya ketergantungan layanan internal harus minimal atau tidak ada. Jika SDN memang diperlukan di atas klaster, mungkin memang itu targetnya, tetapi saya penasaran apakah hanya itu. Saya berharap integrasi k8s bersifat opsional, bukan prasyarat wajib atau satu-satunya cara deployment. Jika ada materi tentang menggunakan Octelium tanpa k8s, tolong beri tahu.

    • Octelium adalah sistem terdistribusi yang dapat berjalan di satu atau lebih node. Saat ini memang harus berjalan di atas Kubernetes, tetapi secara internal tidak terlalu terikat kuat dengan k8s, sehingga cukup mudah dipindahkan ke orkestrator lain seperti Nomad. Alasan menggunakan k8s sebagai infrastruktur sendiri adalah untuk mengurangi pekerjaan manual administrator sistem saat mengelola arsitektur zero-trust, seperti deployment proxy, scaling, pembongkaran, dan sebagainya. Octelium menyediakan control plane dan data plane, jadi cukup octeliumctl apply dan semua layanan akan otomatis di-deploy, dikelola, di-scale, dan dihapus. Tidak perlu pekerjaan manual seperti membuka port firewall. Seperti Kubernetes mengelola container, Octelium dengan cara serupa mengorkestrasi layanan, proxy, dan lainnya secara otomatis. Tidak perlu manajemen rumit seperti jumlah node atau networking CRI. Klaster mencakup semua node dan bisa dikelola secara deklaratif/programatik. Saat mengoperasikan Octelium, pemahaman mendalam tentang Kubernetes sama sekali tidak diperlukan; selain tugas tertentu seperti scaling klaster k8s itu sendiri atau pengaturan sertifikat TLS, Anda cukup menangani Octelium saja. Untuk detail lebih lanjut, saya sarankan membaca dokumentasi resmi.

  • Saya langsung sangat tidak percaya saat melihat terlalu banyak buzzword. Bahkan setelah melihat halaman GitHub-nya pun saya masih tidak paham produk ini sebenarnya melakukan apa.

    • Agar bisa diperbaiki, saya akan berterima kasih jika Anda bisa memberi daftar buzzword mana yang bermasalah, supaya bisa saya refleksikan ke readme.

  • Secara keseluruhan sudah terlalu banyak produk serupa seperti Tinc, Hamachi, ZeroTier, Nebula, Tailscale, Netbird, dan lain-lain. Masing-masing punya kelebihan dan kekurangan, tetapi menurut saya perbedaan nyatanya sangat kecil. Fitur yang benar-benar saya inginkan secara pribadi adalah zero-trust 'lighthouse'. Zerotier dan Tailscale memberi layanan kewenangan untuk menambahkan node ke akun/jaringan saya. Yang saya inginkan adalah self-hosting penuh dan struktur di mana lighthouse bukan bagian dari jaringan, melainkan hanya memantau node. Saya perlu mencari informasi lebih lanjut soal ini.

    • Setelah membaca dokumentasinya, saya rasa banyak orang melewatkan nilai sebenarnya dari Octelium. Jika benar berjalan seperti yang dijelaskan dalam dokumen, ini bisa menjadi permata tersembunyi yang belum ditemukan. Yang diinginkan enterprise adalah keluar dari keamanan berbasis perimeter lama menuju konsep yang diperlihatkan Google überProxy/BeyondCorp (dan kemudian terdilusi oleh berbagai buzzword), yaitu pemisahan yang rapi antara sistem produksi, internal perusahaan, dan internet eksternal; UX yang setransparan mungkin bagi karyawan internal; pengelolaan wewenang yang jelas atas trafik yang melintasi batas-batas itu; serta autentikasi identitas yang kuat untuk semua klien. Di luar Google, ada banyak keterbatasan karena lingkungan protokol yang beragam. Proxy yang sadar protokol hanya mampu membuat keputusan dan logging coarse-grain, tetapi ketika sampai mendukung inferensi tipe, kontrol otorisasi bisa jauh lebih presisi pada level request (semua kondisi dari tiap request terekspos ke policy engine). Dokumentasinya memang panjang dan marketing-nya tidak mulus, tetapi masalah ini sendiri terlalu kompleks sehingga tak seorang pun benar-benar menyelesaikannya dengan sempurna. Teleport paling awal melangkah di sisi OSS dan komersialisasi, dan StrongDM juga melakukan eksperimen yang menarik. Saya juga berharap Hashicorp berinvestasi lebih banyak di area ini (pendapat pribadi).

    • Octelium memang bisa menggantikan produk-produk yang disebut di atas, tetapi arah dan cara pakainya lebih luas serta jelas berorientasi zero-trust. Ini lebih dari sekadar alat VPN/akses jarak jauh biasa. Saya sungguh berharap Anda membaca dokumentasinya untuk memahami niat, arsitektur, dan fiturnya. Belakangan ini semua produk mengiklankan diri sebagai "zero-trust", tetapi yang benar-benar ZTA seperti didefinisikan NIST (yakni proxy sadar L7, policy decision point, kontrol akses granular per request berbasis kode kebijakan, identitas terpusat, integrasi informasi dari alat SIEM/SSO/threat intelligence eksternal, dll.) hanya sedikit. Produk komersial yang benar-benar dapat dikategorikan sebagai ZTA "asli" antara lain Cloudflare Access, Teleport, Google BeyondCorp, StrongDM, dan Zscaler. Justru perusahaan-perusahaan itulah yang cenderung menyalahgunakan istilah ini sehingga konsep "zero-trust sejati" makin terdilusi.

    • Lihat cathedral mode milik sanctum. Itu bisa sepenuhnya self-hosted, dan node hanya berperan untuk discovery. Setelah tunnel terbentuk, node cathedral tidak lagi terlibat, kecuali untuk distribusi black key atau saat peer berada di belakang NAT. Ada juga reliquary. Saya menjalankannya sendiri. sanctum, reliquary

    • Daftar proyek terkait yang lebih banyak bisa dilihat di awesome-tunneling.

  • Saya paham penyisipan kata kunci "AI" itu untuk tujuan SEO. Kurang lebih seperti menambahkan "Reddit" ke judul artikel. Meski isinya bagus, cara seperti ini tidak memberi kesan yang baik. Diagram API gateway dan AI gateway juga hampir sama. blog tailscale: AI-normal

    • Ada banyak fungsi yang sama antara API gateway dan AI gateway. Sebaiknya lihat langsung contohnya di dokumentasi. Lihat contoh AI Gateway dan contoh API Gateway. Kami juga sedang mengerjakan perluasan proses modifikasi HTTP request/body, dan dukungan ext_proc dari envoy akan segera hadir; dukungan proxy-wasm juga direncanakan ditambahkan sesuai permintaan. Lihat juga penjelasan terkait HTTP.

  • Saya sedang aktif mencari alternatif open source untuk Tailscale. Namun README-nya terlalu panjang; akan lebih baik jika ringkasan proyek dan tautan dokumentasi ditampilkan lebih padat.

  • Keunggulan terbesar Tailscale adalah koneksi P2P yang mudah. Octelium tampaknya memakai struktur router terpusat, jadi saya penasaran apakah itu benar.

    • Octelium bukan VPN P2P melainkan arsitektur zero-trust. Tentu saja ia juga bisa berperan sebagai VPN akses jarak jauh berbasis WireGuard/QUIC, tetapi secara struktur lebih dekat ke Cloudflare Access atau Teleport. Kontrol akses berbasis L7, akses tanpa secret (berbagai key/token/API key disuntikkan tanpa perlu distribusi langsung), konfigurasi dan routing dinamis, visibilitas dan audit real-time berbasis OpenTelemetry, dan sebagainya pada dasarnya berbeda dari VPN P2P. Arsitektur ZTNA/BeyondCorp yang sesungguhnya (di luar service mesh) punya keterbatasan mendasar bila diimplementasikan sebagai VPN P2P. Untuk memastikan kontrol akses dan visibilitas per request, proxy yang sadar L7 mutlak diperlukan.

    • Sebagai catatan, Tailscale juga kadang melewatkan paket melalui router terpusat. Penjelasan connection types milik Tailscale

  • Saya tidak paham mengapa instalasi klaster k3s dibenamkan ke dalam aplikasi. Rasanya akan lebih jelas jika bisa ditambahkan dengan mudah ke infrastruktur yang sudah ada atau mengekspos layanan lewat CRD sederhana. Konsep open source Cloudflare Access/Teleport sendiri keren, tetapi karena sebagian besar akhirnya menjadi kustomisasi di atas k8s, saya mungkin akan lebih tertarik jika fokusnya pada fitur-fitur yang berpusat pada akses.

    • Klaster Octelium adalah sistem terdistribusi yang berjalan di atas k8s. Ia bisa dipasang di k8s/k3s single-node maupun k8s "production" multi-node. Octelium bukan sekadar wrapper k8s, melainkan membangun platformnya sendiri dengan k8s sebagai infrastruktur. Setiap node berperan sebagai gateway/host untuk Octelium Service, dan tiap Service di-deploy sebagai k8s service dengan proxy yang sadar identitas; tiap proxy adalah endpoint untuk tunnel WireGuard/QUIC, dan sesuai skala memiliki IP private dual-stack yang stabil. Strukturnya seperti mengelola identity-aware proxy layaknya container. Ini berbeda dari ZTA yang sudah ada (misalnya Teleport, Pomerium, dll.) di mana administrator harus meluncurkan/menghapus tiap proxy sendiri. Di Octelium, cukup buat atau hapus resource secara deklaratif lewat octeliumctl apply atau gRPC API, lalu Anda bisa melupakan sisanya. Dulu resource-nya pernah berupa CRD, tetapi karena terlalu banyak jenis resource seperti user, session, service, namespace (sebagian terpisah dari namespace k8s), policy, device, credential, dan lain-lain, serta volume datanya besar, backend etcd menjadi tidak stabil. Akhirnya backend Postgres terpisah diperkenalkan.

  • Sudah terlalu banyak proyek mirip yang lebih dulu dirilis.

  • Saya penasaran apakah ini alternatif untuk manajemen akses kelas perusahaan besar (botnet korporat). Jika saya perusahaan besar, saya akan menginginkan perangkat lunak perusahaan besar dan paket dukungan demi stabilitas; saya kurang yakin proyek open source dari satu pengembang bisa menyelesaikan masalah itu.

    • Octelium bukan sekadar untuk skala kecil atau enterprise, tetapi platform akses keamanan serbaguna yang bisa digunakan di berbagai lingkungan dan di semua level seperti dev/startup/enterprise. Misalnya seperti Kubernetes yang mendukung beragam setup mulai dari website satu container, API gateway untuk segelintir microservice, sampai service mesh skala besar dengan ratusan/ribuan node, Octelium juga punya cakupan pemanfaatan yang sangat luas.