小白，问几个小问题，求大佬指教

背景描述：

1. 我现在家里有个淘汰的电脑做服务器有公网，动态 ip ，用了普联自己的的 tpddns ，然后手里刚好有之前买的阿里云域名 A ，这个域名解析到了 ddns 的域名上，最后再解析到我家里的宽带上，没有 80 和 443 端口
2. 我开放了群晖的网页，webdav 端口同步便笺小说啥的，开放了 rustdesk 的端口用来远程控制家里电脑，还有和朋友联机的 MC 端口

我的想法

1. 我本来打算把域名 A 用 cloudflare 解析到 tpddns 上，但是发现访问群晖的网页速度太慢而且经常失败，最后还是直接阿里云解析到 tpddns 上了，而且我直接 ping 我的域名是直接可以拿到我的动态 ip 的感觉域名解析啥的貌似对安全没啥用（个人感觉，不知道是不是真的没啥用）
2. 我现在打算弄个自己的博客，还没打算放到云服务器上，想自己先部署起来，但是如果这样就不是自己开着玩了，需要考虑安全啥的了
3. 证书啥的还没准备，现在想单独划一个虚拟机出来做 nginx 端口转发啥的，只准备开几个端口，尽量减少暴漏风险，但是我查了查资料发现游戏端口，webdav ，rustdesk 这些不是网页服务的端口貌似不能或者不推荐转发到同一个端口里，迷茫了

打算

1. 我准备开三个虚拟机，nginx 单独代理服务器，webdav 因为是群晖的服务就只能在一台机器上视作群晖服务器，rustdesk 和 mc 这种没办法代理的准备开到路由器的 DMZ 主机里（或者就只暴漏端口，但是不参与我个人数据，就拿来用而已），但是这样 nginx 得开一个，顺便把博客也放这一台上，群晖的 webdav 还得开一个，代理的最后只有群晖的网页和博客，感觉折腾完好像完全没必要

大佬们有什么建议么？