Supabase alternative tự host: kiểm soát dữ liệu, bảo mật, chi phí
Supabase nổi nhanh vì cho dev trải nghiệm “Firebase nhưng dùng Postgres”: auth, database, realtime, storage, edge functions, dashboard. Dự án nhỏ chạy nhanh. MVP ra nhanh. Team không mất nhiều công dựng backend.
Nhưng khi sản phẩm lớn hơn, câu hỏi đổi: dữ liệu nằm đâu? Ai truy cập? Chi phí tăng ra sao? Có bị khóa vào nhà cung cấp không? Lúc này, Supabase alternative tự host trở thành lựa chọn đáng cân nhắc.
Tự host không có nghĩa tự viết hết. Nghĩa là ghép các thành phần mã nguồn mở: PostgreSQL, PostgREST, Hasura, Keycloak, MinIO, Nhost, Appwrite, PocketBase, Directus, hoặc stack riêng. Mục tiêu: giữ tốc độ phát triển nhưng tăng kiểm soát.
Vì sao cần Supabase alternative tự host?
Kiểm soát dữ liệu tốt hơn
Với dịch vụ managed, dữ liệu nằm trên hạ tầng bên thứ ba. Dù nhà cung cấp uy tín, doanh nghiệp vẫn phải trả lời nhiều câu hỏi:
– Dữ liệu khách hàng nằm ở vùng nào?
– Có đáp ứng luật nội địa hóa dữ liệu không?
– Backup ai giữ?
– Log truy cập có đủ chi tiết không?
– Khi rời nền tảng, xuất dữ liệu dễ không?
Tự host giúp bạn quyết định nơi đặt dữ liệu: VPS, bare metal, private cloud, Kubernetes nội bộ, hoặc hạ tầng theo vùng cụ thể. Với ngành tài chính, y tế, giáo dục, govtech, kiểm soát vị trí và vòng đời dữ liệu là điểm sống còn.
Giảm rủi ro vendor lock-in
Supabase dùng công nghệ mở, nhất là PostgreSQL. Đây là lợi thế lớn. Nhưng phần vận hành, dashboard, auth flow, storage policy, edge runtime vẫn có mức phụ thuộc nhất định.
Nếu tự host bằng thành phần mở, bạn có thể thay từng mảnh:
– PostgreSQL giữ nguyên.
– Auth đổi từ Supabase Auth sang Keycloak, Zitadel, Authentik.
– Storage đổi sang MinIO hoặc S3-compatible.
– API đổi từ PostgREST sang Hasura, GraphQL, REST tự viết.
– Realtime đổi sang websockets riêng hoặc dịch vụ pub/sub.
Kiến trúc module giúp tránh bị mắc kẹt khi giá đổi, giới hạn tính năng đổi, hoặc sản phẩm đổi hướng.
Tối ưu chi phí khi tải tăng
Managed service rẻ lúc đầu. Nhưng chi phí có thể tăng nhanh theo:
– Database size.
– Egress bandwidth.
– Số request.
– Realtime connections.
– Storage.
– Auth MAU.
– Log retention.
– Compute cho function.
Tự host có chi phí cố định dễ dự đoán hơn. Một VPS mạnh hoặc cụm server riêng có thể xử lý nhiều workload với giá thấp hơn nếu team biết vận hành. Nhưng đổi lại, bạn trả bằng công sức DevOps, monitoring, backup, bảo mật.
Các lựa chọn Supabase alternative tự host đáng chú ý
Appwrite
Appwrite hợp team muốn backend-as-a-service đầy đủ. Nó có database, auth, storage, functions, realtime, dashboard. Cài qua Docker khá nhanh.
Ưu điểm:
– Trải nghiệm gần BaaS.
– Dễ dùng cho web, mobile.
– Auth nhiều provider.
– Tài liệu tốt.
– Tự host rõ ràng.
Nhược điểm:
– Database model không phải PostgreSQL truyền thống.
– Migration từ Supabase không luôn dễ.
– Nếu app phụ thuộc SQL mạnh, cần cân nhắc.
Phù hợp: app mobile, SaaS nhỏ-vừa, team muốn tự host nhưng không muốn ghép quá nhiều công cụ.
Nhost
Nhost gần Supabase hơn vì dùng PostgreSQL, Hasura, GraphQL. Stack gồm Postgres, Hasura, auth, storage, functions.
Ưu điểm:
– PostgreSQL trung tâm.
– GraphQL mạnh qua Hasura.
– Permission model chi tiết.
– Tự host được bằng Docker.
Nhược điểm:
– Nếu team không quen GraphQL/Hasura, cần học.
– Debug permission phức tạp hơn REST thường.
– Một số tiện ích managed vẫn tiện hơn tự host.
Phù hợp: sản phẩm cần GraphQL, dữ liệu quan hệ, permission theo role phức tạp.
Directus
Directus biến SQL database thành API và admin panel. Nó hỗ trợ PostgreSQL, MySQL, SQLite, MS SQL.
Ưu điểm:
– Admin UI mạnh.
– Data model bám sát SQL.
– REST và GraphQL có sẵn.
– Role permission dễ nhìn.
– Rất tốt cho CMS, internal tool, back office.
Nhược điểm:
– Không phải bản sao Supabase.
– Realtime, function, auth consumer app cần thiết kế thêm.
– Workload app realtime lớn cần kiểm tra kỹ.
Phù hợp: CMS, dashboard nội bộ, hệ thống quản trị dữ liệu, API trên database có sẵn.
PocketBase
PocketBase cực gọn: một binary có database SQLite, auth, file storage, realtime.
Ưu điểm:
– Cài nhanh.
– Chi phí thấp.
– Deploy dễ.
– Hợp MVP, tool nội bộ, app nhỏ.
– Backup đơn giản.
Nhược điểm:
– SQLite không hợp mọi workload lớn.
– Scale ngang khó hơn Postgres.
– Ecosystem nhỏ hơn.
Phù hợp: MVP, app cá nhân, sản phẩm nhỏ, edge deployment.
Stack tự ghép: PostgreSQL + PostgREST/Hasura + Keycloak + MinIO
Stack tự ghép cho kiểm soát cao nhất. Bạn chọn từng mảnh:
– PostgreSQL: database chính.
– PostgREST: tạo REST API từ schema.
– Hasura: tạo GraphQL realtime API.
– Keycloak/AuthentiK/Zitadel: identity và SSO.
– MinIO: object storage S3-compatible.
– Kong/Traefik/Nginx: gateway.
– Grafana + Prometheus + Loki: quan sát hệ thống.
– Restic/WAL-G/pgBackRest: backup.
Ưu điểm:
– Linh hoạt cao.
– Không phụ thuộc một vendor.
– Dễ đáp ứng yêu cầu doanh nghiệp.
– Tối ưu hiệu năng sâu.
Nhược điểm:
– Cần năng lực DevOps.
– Nhiều điểm lỗi.
– Cần chuẩn hóa deployment, secret, backup, monitoring.
– Thời gian ban đầu cao hơn.
Phù hợp: doanh nghiệp có đội kỹ thuật tốt, dữ liệu nhạy cảm, yêu cầu compliance, traffic lớn.
Kiểm soát dữ liệu: cần làm đúng từ đầu
Xác định dữ liệu nào nhạy cảm
Không phải dữ liệu nào cũng cần cùng mức bảo vệ. Nên phân loại:
– Public data.
– Internal data.
– Personal identifiable information.
– Payment data.
– Health/financial records.
– Secrets, tokens, API keys.
Phân loại giúp quyết định mã hóa, quyền truy cập, retention, audit log.
Thiết kế backup và khôi phục
Tự host mà không có backup thì nguy hiểm hơn managed. Cần có:
– Backup định kỳ.
– Point-in-time recovery cho PostgreSQL.
– Backup offsite.
– Kiểm tra restore định kỳ.
– Chính sách giữ bản backup.
– Mã hóa backup.
Quy tắc thực tế: backup chưa restore thử thì chưa phải backup.
Dữ liệu rời hệ thống dễ
Luôn chuẩn bị exit plan:
– Schema rõ.
– Migration versioned.
– Export format chuẩn như SQL, CSV, Parquet.
– Object storage dùng S3-compatible.
– Auth user export được.
– Không nhúng logic quan trọng vào công cụ khó rời.
Bảo mật khi tự host: quyền nhiều, trách nhiệm nhiều
Cập nhật và vá lỗi
Managed service lo phần lớn patch. Tự host thì bạn lo. Cần quy trình:
– Theo dõi CVE.
– Cập nhật image Docker.
– Quét container.
– Cố định version.
– Test staging trước production.
– Rollback plan.
Đừng chạy latest trong production nếu không có kiểm soát.
Quản lý secret
Secret không nên nằm trong git. Dùng:
– Docker secrets.
– Kubernetes Secrets kết hợp sealed-secrets hoặc external secrets.
– Vault.
– SOPS.
– Cloud KMS nếu dùng cloud.
Xoay vòng secret định kỳ. Tách quyền theo môi trường dev/staging/prod.
Network hardening
PostgreSQL không nên mở public internet. Dashboard admin không nên public trần. Cấu hình tối thiểu:
– Database trong private network.
– Admin panel sau VPN hoặc zero-trust access.
– TLS everywhere.
– Firewall chặt.
– Rate limit API.
– WAF nếu public traffic lớn.
– SSH key-only, tắt password login.
Row Level Security và permission
Nếu dùng PostgreSQL trực tiếp qua API như PostgREST/Supabase style, Row Level Security rất quan trọng. Sai policy là lộ dữ liệu.
Nên làm:
– Default deny.
– Role rõ: anonymous, authenticated, admin, service.
– Policy test bằng automated tests.
– Không dùng service role ở frontend.
– Audit query nhạy cảm.
Logging và audit
Log cần đủ để điều tra sự cố nhưng không lộ dữ liệu nhạy cảm.
Cần có:
– Access log.
– Auth log.
– Admin action log.
– Database slow query log.
– Error tracing.
– Retention rõ.
– Alert khi có hành vi lạ.
Chi phí tự host: rẻ hơn không?
Chi phí thấy được
– VPS/server.
– Storage.
– Bandwidth.
– Backup storage.
– Monitoring.
– Domain, TLS, email.
– CI/CD runner.
– Security tooling.
Ví dụ, app nhỏ có thể chạy trên VPS 10-40 USD/tháng. App vừa cần database riêng, storage riêng, monitoring riêng, có thể 100-500 USD/tháng. App lớn cần HA, replica, backup chuẩn, chi phí tăng đáng kể.
Chi phí ẩn
– Thời gian setup.
– Thời gian cập nhật.
– On-call khi lỗi.
– Khôi phục sự cố.
– Tối ưu database.
– Viết tài liệu vận hành.
– Đào tạo team.
Nếu team không có DevOps, managed Supabase có thể rẻ hơn nhiều vì tiết kiệm nhân lực.
Khi nào tự host tiết kiệm?
Tự host thường tiết kiệm khi:
– Traffic ổn định, dự đoán được.
– Workload lớn làm managed bill tăng nhanh.
– Team có kinh nghiệm vận hành.
– Cần chạy trên hạ tầng có sẵn.
– Cần compliance đặc thù.
– Muốn tránh phí egress/storage cao.
Không tiết kiệm khi:
– MVP chưa có user.
– Team nhỏ, thiếu vận hành.
– Yêu cầu uptime cao nhưng không có on-call.
– Chưa có backup/monitoring tốt.
Lộ trình tự host an toàn
Giai đoạn 1: bắt đầu đơn giản
Chọn một stack gọn: Appwrite, Nhost, Directus, hoặc PostgreSQL + API. Dùng Docker Compose. Setup staging và production tách biệt.
Giai đoạn 2: chuẩn hóa vận hành
Thêm:
– CI/CD.
– Backup tự động.
– Monitoring.
– Centralized logging.
– Alert.
– Secret management.
– IaC bằng Terraform/Ansible nếu cần.
Giai đoạn 3: tăng độ tin cậy
Khi có user thật:
– Database replica.
– PITR.
– Object storage replication.
– Health check.
– Load balancer.
– Disaster recovery runbook.
– Security review định kỳ.
Kết luận: tự host không phải để “ngầu”, mà để kiểm soát
Supabase vẫn là lựa chọn mạnh cho nhiều dự án. Nhưng nếu dữ liệu nhạy cảm, chi phí managed tăng nhanh, hoặc doanh nghiệp cần kiểm soát sâu, Supabase alternative tự host là hướng đáng đi.
Chọn Appwrite nếu muốn BaaS gọn. Chọn Nhost nếu thích PostgreSQL + GraphQL. Chọn Directus nếu cần admin và API trên SQL. Chọn PocketBase nếu app nhỏ cần tốc độ. Chọn stack tự ghép nếu cần kiểm soát tối đa.
Nguyên tắc cuối: đừng tự host nếu chưa sẵn sàng chịu trách nhiệm backup, bảo mật, monitoring, cập nhật. Tự host cho quyền kiểm soát. Quyền đó chỉ có giá trị khi vận hành đủ kỷ luật.