一、基本概念

內(nèi)網(wǎng)穿透：它是一種網(wǎng)絡(luò)技術(shù)或方法，旨在允許外部網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）訪問位于內(nèi)部網(wǎng)絡(luò)（內(nèi)網(wǎng)）中的設(shè)備或服務(wù)。由于內(nèi)部網(wǎng)絡(luò)通常處于NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）、防火墻或其他安全機(jī)制之后，直接從外部訪問內(nèi)網(wǎng)設(shè)備變得困難或不可能。內(nèi)網(wǎng)穿透技術(shù)通過各種方式繞過這些限制，實(shí)現(xiàn)外部與內(nèi)網(wǎng)之間的通信。
(內(nèi)網(wǎng)穿透的核心是解決外網(wǎng)設(shè)備訪問被 NAT 隱藏的內(nèi)網(wǎng)設(shè)備的問題。具體實(shí)現(xiàn)方式包括兩種：1、反向代理方式：適用于內(nèi)網(wǎng)設(shè)備無法訪問外網(wǎng)，且外網(wǎng)無法直接訪問內(nèi)網(wǎng)的場(chǎng)景。通過反向代理技術(shù)，內(nèi)網(wǎng)設(shè)備主動(dòng)與外網(wǎng)服務(wù)器建立連接，并通過這個(gè)連接實(shí)現(xiàn)外網(wǎng)訪問內(nèi)網(wǎng)；2、長(zhǎng)連接中繼方式：適用于內(nèi)網(wǎng)設(shè)備能夠訪問外網(wǎng)，但外網(wǎng)無法直接訪問內(nèi)網(wǎng)的場(chǎng)景。內(nèi)網(wǎng)設(shè)備主動(dòng)與外網(wǎng)的中繼服務(wù)器建立長(zhǎng)連接，通過該連接實(shí)現(xiàn)數(shù)據(jù)的雙向傳輸。)

基礎(chǔ)概念

內(nèi)網(wǎng)IP：指 局域網(wǎng)（LAN） 內(nèi)部設(shè)備所使用的 IP 地址，也叫 私有 IP 地址，它只在內(nèi)網(wǎng)范圍內(nèi)有效，不能直接通過互聯(lián)網(wǎng)訪問。按照 RFC 1918 標(biāo)準(zhǔn)，內(nèi)網(wǎng) IP 地址被定義在以下范圍10.0.0.0 - 10.255.255.255；172.16.0.0 - 172.31.255.255；192.168.0.0 - 192.168.255.255。當(dāng)設(shè)備屬于同一局域網(wǎng)且位于同一網(wǎng)絡(luò)段內(nèi)可以通過內(nèi)網(wǎng)ip互相通信
與交換機(jī)的關(guān)系：交換機(jī)是工作在 數(shù)據(jù)鏈路層（OSI 第二層） 的網(wǎng)絡(luò)設(shè)備，可以基于 VLAN 配置，將內(nèi)網(wǎng) IP 地址分配到不同的 VLAN 中，每個(gè) VLAN 可以視為一個(gè)獨(dú)立的內(nèi)網(wǎng)或內(nèi)網(wǎng)中的邏輯子網(wǎng)以實(shí)現(xiàn)邏輯上的網(wǎng)絡(luò)隔離，并且間接通過ARP 協(xié)議將目標(biāo) IP 地址解析出的 MAC 地址轉(zhuǎn)發(fā)數(shù)據(jù)。
與路由表的關(guān)系：路由表是工作在 網(wǎng)絡(luò)層（OSI 第三層） 的核心組件，用于決定數(shù)據(jù)包的轉(zhuǎn)發(fā)路徑，主要作用是基于 IP 地址決定數(shù)據(jù)包的目標(biāo)下一跳。如果內(nèi)網(wǎng) IP 地址屬于同一個(gè)子網(wǎng)（如 192.168.1.0/24），路由器會(huì)將數(shù)據(jù)包直接轉(zhuǎn)發(fā)到同一局域網(wǎng)中，不跨越子網(wǎng)或外網(wǎng)。當(dāng)內(nèi)網(wǎng) IP 地址屬于不同子網(wǎng)時(shí)，路由器會(huì)根據(jù)路由表查找對(duì)應(yīng)的下一跳，將數(shù)據(jù)包轉(zhuǎn)發(fā)到目標(biāo)子網(wǎng)。例如，從 192.168.1.0/24 子網(wǎng)到 192.168.2.0/24 子網(wǎng)，需要路由器提供路由規(guī)則
(內(nèi)網(wǎng)穿透的目標(biāo)是克服內(nèi)網(wǎng) IP 的局限性，使外網(wǎng)能夠訪問內(nèi)網(wǎng)中的資源，從而實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)的無縫連接。)

公網(wǎng)IP：指分配給設(shè)備并在公共互聯(lián)網(wǎng)上唯一標(biāo)識(shí)的 IP 地址，允許該設(shè)備直接與互聯(lián)網(wǎng)上的其他設(shè)備通信。一個(gè)公網(wǎng) IP 地址通常由互聯(lián)網(wǎng)服務(wù)提供商（ISP）分配給家庭、企業(yè)或數(shù)據(jù)中心網(wǎng)絡(luò)，可以分為動(dòng)態(tài)公網(wǎng) IP：會(huì)隨著時(shí)間或重啟路由器而變化，靜態(tài)公網(wǎng) IP：固定分配給用戶，始終不變。阿里固定公網(wǎng)ip是指初始分配的，停機(jī)重啟可能就會(huì)變，而彈性公網(wǎng)ip則是可以綁定不同實(shí)例，不釋放永遠(yuǎn)占有的固定公網(wǎng)ip
(內(nèi)網(wǎng)穿透是解決內(nèi)網(wǎng) IP 無法被外網(wǎng)直接訪問的技術(shù)手段，目的是模擬公網(wǎng) IP 的效果。擁有一個(gè)公網(wǎng) IP 通常可以避免使用內(nèi)網(wǎng)穿透，但如果公網(wǎng) IP 被共享（如 ISP 提供的 CGNAT 或路由器分配），內(nèi)網(wǎng)穿透仍然可能需要)

NAT：即Network Address Translation，中文翻譯為網(wǎng)絡(luò)地址轉(zhuǎn)換。它是一種網(wǎng)絡(luò)技術(shù)，用于將一個(gè)網(wǎng)絡(luò)中的 IP 地址映射到另一個(gè)網(wǎng)絡(luò)中的 IP 地址。NAT 最常見的用途是將私有 IP 地址（內(nèi)網(wǎng)地址）映射到公網(wǎng) IP 地址，從而實(shí)現(xiàn)內(nèi)網(wǎng)設(shè)備訪問互聯(lián)網(wǎng)。
(NAT 是一種用于地址映射的網(wǎng)絡(luò)技術(shù)，主要用來解決內(nèi)網(wǎng)和外網(wǎng)之間的通信問題，但其隱藏內(nèi)網(wǎng)地址的特性導(dǎo)致了外網(wǎng)無法主動(dòng)訪問內(nèi)網(wǎng)資源的限制。內(nèi)網(wǎng)穿透正是為了解決這一限制，通過各種技術(shù)手段（如中繼或直連），繞過 NAT 的阻礙，使外網(wǎng)能夠成功訪問內(nèi)網(wǎng)設(shè)備或服務(wù)。阿里ECS實(shí)例通過兩種NAT網(wǎng)關(guān)實(shí)現(xiàn)網(wǎng)絡(luò)通信，一種是SNAT配置控制內(nèi)網(wǎng)訪問公網(wǎng)，一種是DNAT配置控制公網(wǎng)訪問內(nèi)網(wǎng)，直接將EIP綁定到ECS實(shí)例上，相當(dāng)于直接暴露)

端口映射：將網(wǎng)絡(luò)設(shè)備（如路由器或防火墻）上的某個(gè)端口與內(nèi)網(wǎng)設(shè)備（主機(jī)）的一個(gè)端口進(jìn)行關(guān)聯(lián)。這種關(guān)聯(lián)允許外部訪問者通過特定的外部端口訪問內(nèi)網(wǎng)中的設(shè)備或服務(wù)。
(端口映射和內(nèi)網(wǎng)穿透的目標(biāo)一致：讓外網(wǎng)設(shè)備能夠訪問內(nèi)網(wǎng)設(shè)備或服務(wù)。端口映射通過手動(dòng)配置路由器，創(chuàng)建一種"靜態(tài)規(guī)則"，允許外部請(qǐng)求流量到達(dá)內(nèi)網(wǎng)設(shè)備,適用于固定公網(wǎng) IP 環(huán)境，而內(nèi)網(wǎng)穿透則通過第三方工具或服務(wù)，繞過路由器和 NAT 的限制，動(dòng)態(tài)建立連接，適用于無權(quán)管理路由器或沒有公網(wǎng) IP 的內(nèi)網(wǎng)環(huán)境以及動(dòng)態(tài) IP 或多級(jí) NAT 的復(fù)雜網(wǎng)絡(luò))

DDNS：即Dynamic Domain Name System 的縮寫，字面含義是 動(dòng)態(tài)域名系統(tǒng)，DNS是將域名解析為IP地址的系統(tǒng)，讓人類友好的域名（如 example.com）能夠與計(jì)算機(jī)使用的IP地址（如 192.168.1.1 或 2001:db8::1）對(duì)應(yīng)，DDNS 是 DNS 的擴(kuò)展版本，支持動(dòng)態(tài)更新。當(dāng)設(shè)備的公網(wǎng) IP 地址發(fā)生變化時(shí)，DDNS 服務(wù)可以自動(dòng)更新對(duì)應(yīng)域名的解析記錄，使用戶始終可以通過固定的域名訪問設(shè)備。
(DDNS 和內(nèi)網(wǎng)穿透都涉及 讓外網(wǎng)用戶訪問內(nèi)網(wǎng)設(shè)備或服務(wù)，但它們解決的是不同層面的問題.DDNS為動(dòng)態(tài)公網(wǎng) IP 提供穩(wěn)定的域名解析，讓設(shè)備可以通過固定域名訪問，即使 IP 經(jīng)常變化,而內(nèi)網(wǎng)穿透解決沒有公網(wǎng) IP 或無法配置路由器端口映射時(shí)，如何從外網(wǎng)直接訪問內(nèi)網(wǎng)設(shè)備或服務(wù)。二者可以結(jié)合使用,在內(nèi)網(wǎng)穿透中，將 DDNS 配置到內(nèi)網(wǎng)穿透提供的中繼服務(wù)器地址上，用戶只需記住易讀的域名（如 myservice.example.com），而不需要頻繁調(diào)整配置，提升用戶體驗(yàn)和服務(wù)訪問的穩(wěn)定性。)

VPN：即Virtual Private Network，中文翻譯為虛擬專用網(wǎng)絡(luò)，它通過加密隧道連接整個(gè)網(wǎng)絡(luò)，用戶可以訪問內(nèi)網(wǎng)的所有資源，就像直接連入內(nèi)網(wǎng)一樣，主要用于創(chuàng)建一個(gè)虛擬的專用網(wǎng)絡(luò)，如遠(yuǎn)程辦公時(shí)訪問企業(yè)內(nèi)部網(wǎng)絡(luò)資。
(VPN的核心是建立一個(gè)虛擬的加密網(wǎng)絡(luò)，模擬內(nèi)網(wǎng)環(huán)境；而內(nèi)網(wǎng)穿透的核心是突破網(wǎng)絡(luò)限制，讓外網(wǎng)訪問內(nèi)網(wǎng)設(shè)備。額外：和翻墻工具VPN的聯(lián)系，VPN本身是一種網(wǎng)絡(luò)技術(shù)，其核心功能是通過加密隧道在公共網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）上創(chuàng)建一個(gè)安全的虛擬專用網(wǎng)絡(luò)，讓用戶能夠安全地訪問特定的資源。而在翻墻工具中，VPN 技術(shù)經(jīng)常被用作突破網(wǎng)絡(luò)限制的一種實(shí)現(xiàn)手段，但是翻墻工具VPN，除了提供隱私保護(hù)，防止網(wǎng)絡(luò)監(jiān)控，主要用于流量轉(zhuǎn)發(fā)繞過網(wǎng)絡(luò)限制，訪問被限制的內(nèi)容（如被屏蔽的網(wǎng)站）)

反向代理：字面含義是指代理服務(wù)器代表后端服務(wù)器接收請(qǐng)求，并將響應(yīng)返回給客戶端。相對(duì)于正向代理（Forward Proxy），它代理的是服務(wù)器而不是客戶端。正向代理：客戶端通過代理訪問外部資源（如翻墻），代理隱藏了客戶端。而反向代理：客戶端直接請(qǐng)求代理服務(wù)器，代理再與后端服務(wù)器通信，代理隱藏了后端服務(wù)器。核心功能包括隱藏真實(shí)服務(wù)器、負(fù)載均衡、緩存和加速以及安全性等。
(反向代理和內(nèi)網(wǎng)穿透有相似之處，但服務(wù)目的和使用場(chǎng)景不同,兩者都需要一個(gè)中間服務(wù)器在客戶端與目標(biāo)服務(wù)之間進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā),但是反向代理隱藏了后端服務(wù)器的地址，使其不直接暴露，而內(nèi)網(wǎng)穿透通過中間服務(wù)器使外網(wǎng)能夠訪問內(nèi)網(wǎng)資源，突破 NAT 或防火墻限制?？梢哉f反向代理側(cè)重于優(yōu)化和保護(hù)后端服務(wù)，內(nèi)網(wǎng)穿透?jìng)?cè)重于讓被隱藏的資源（如內(nèi)網(wǎng)服務(wù)）對(duì)外可見)

隧道協(xié)議：從字面上可以理解為一種在其他通信協(xié)議中創(chuàng)建“隧道”傳輸數(shù)據(jù)的技術(shù)，它一種協(xié)議的數(shù)據(jù)包封裝在另一種協(xié)議的數(shù)據(jù)包中進(jìn)行傳輸。例如，將私有網(wǎng)絡(luò)的 IP 數(shù)據(jù)包封裝到公共網(wǎng)絡(luò)協(xié)議中（如 HTTP 或 UDP），可以讓不支持特定數(shù)據(jù)協(xié)議的網(wǎng)絡(luò)環(huán)境正常傳輸數(shù)據(jù)。隧道協(xié)議被廣泛用于穿越防火墻、繞過 NAT 或?qū)崿F(xiàn)安全連接
(內(nèi)網(wǎng)穿透和隧道協(xié)議關(guān)系密切，隧道協(xié)議通常是實(shí)現(xiàn)內(nèi)網(wǎng)穿透的技術(shù)手段之一。內(nèi)網(wǎng)穿透需要解決NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）和防火墻的阻隔，使得內(nèi)網(wǎng)中的服務(wù)可以被外部訪問。而隧道協(xié)議通過建立封裝和轉(zhuǎn)發(fā)機(jī)制，將內(nèi)網(wǎng)服務(wù)的數(shù)據(jù)流量通過中間網(wǎng)絡(luò)傳遞給外部，實(shí)現(xiàn)“穿透”效果。內(nèi)網(wǎng)穿透工具（如 frp、ngrok）本質(zhì)上就是使用了隧道協(xié)議，比如FRP 的原理和隧道協(xié)議密切相關(guān)，其實(shí)現(xiàn)過程中大量依賴隧道協(xié)議的思想，本質(zhì)上是通過建立長(zhǎng)連接（如 TCP 隧道）封裝內(nèi)網(wǎng)服務(wù)的數(shù)據(jù)流量，例如，FRP 可以通過 HTTP、WebSocket 等協(xié)議建立隧道，這種靈活性允許它在受限網(wǎng)絡(luò)中運(yùn)行。)

FRP:即Fast Reverse Proxy（快速反向代理）。它是一個(gè)高性能的反向代理應(yīng)用，專門設(shè)計(jì)用于解決 內(nèi)網(wǎng)穿透 問題。它的核心功能是將內(nèi)網(wǎng)服務(wù)暴露到外網(wǎng)，類似于反向代理服務(wù)器，將外部請(qǐng)求轉(zhuǎn)發(fā)到內(nèi)網(wǎng)。FRP 由兩個(gè)核心組件組成FRP 客戶端（frpc）：運(yùn)行在內(nèi)網(wǎng)設(shè)備上，主動(dòng)向公網(wǎng)服務(wù)器發(fā)起連接,FRP 服務(wù)器（frps）：運(yùn)行在具有公網(wǎng) IP 的服務(wù)器上，用于接收客戶端的連接和外部請(qǐng)求。它相較于配置路由或網(wǎng)關(guān)代理的穿透方式，更適合于無法直接取得公網(wǎng)IP或不能自行配置NAT的環(huán)境，也適合臨時(shí)/調(diào)試/頻繁變動(dòng)等情況。
(FRP 是實(shí)現(xiàn)內(nèi)網(wǎng)穿透的工具之一，主要通過 反向代理和中繼 技術(shù)，幫助外部設(shè)備訪問內(nèi)網(wǎng)中的服務(wù)。它實(shí)現(xiàn)內(nèi)網(wǎng)穿透的過程：通過FRP 客戶端（內(nèi)網(wǎng)設(shè)備）主動(dòng)與 FRP 服務(wù)器建立長(zhǎng)連接繞過了 NAT 和防火墻的限制，因?yàn)檫@是由內(nèi)網(wǎng)發(fā)起的連接，外部設(shè)備的請(qǐng)求發(fā)送到 FRP 服務(wù)器，服務(wù)器將請(qǐng)求通過長(zhǎng)連接轉(zhuǎn)發(fā)到內(nèi)網(wǎng)設(shè)備，內(nèi)網(wǎng)設(shè)備的響應(yīng)通過 FRP 服務(wù)器返回給外部設(shè)備。)

二、操作步驟

1、購買ECS

登錄阿里云官方并進(jìn)入云服務(wù)器ECS_云主機(jī)_服務(wù)器托管_計(jì)算-阿里云，根據(jù)自身需求的服務(wù)器配置（地域、操作系統(tǒng)、帶寬等）選擇適合的云服務(wù)器ECS產(chǎn)品。通常建議選用距離訪問較近的地域節(jié)點(diǎn)以獲得更快的網(wǎng)絡(luò)請(qǐng)求相應(yīng)速度。購買后，通過遠(yuǎn)程連接（SSH）登錄服務(wù)器，按照自身需求更新和配置服務(wù)器基礎(chǔ)環(huán)境（如安裝常用工具、更新系統(tǒng)等）。購買之后可在阿里云控制臺(tái)首頁阿里云登錄 - 歡迎登錄阿里云，安全穩(wěn)定的云計(jì)算服務(wù)平臺(tái)查看已經(jīng)購買的服務(wù)器實(shí)例及詳情。
(內(nèi)網(wǎng)穿透必須有一個(gè)可以被外部網(wǎng)絡(luò)訪問到的出口，阿里云服務(wù)器正好可以承擔(dān)了這個(gè)“中轉(zhuǎn)”的角色，它有獨(dú)立的公網(wǎng) IP，能夠讓外部訪問者通過該公網(wǎng) IP 進(jìn)行訪問，并且云服務(wù)器通常提供較為穩(wěn)定的帶寬和網(wǎng)絡(luò)環(huán)境，有助于確保穿透服務(wù)的連通性和穩(wěn)定性。)

2、下載FRP

在github上Releases · fatedier/frp · GitHub下載windows系統(tǒng)的zip包，其中包含了FRPS服務(wù)端及FRPC客戶端以及各自的默認(rèn)配置文件，具體配置及說明還可參考概覽 | frp

(FRP（Fast Reverse Proxy）是一款開源的反向代理工具，支持 TCP、UDP、HTTP、HTTPS 等多種協(xié)議映射，配置方式靈活，適合多種場(chǎng)景下的內(nèi)網(wǎng)服務(wù)暴露,可以將內(nèi)網(wǎng)服務(wù)映射到擁有公網(wǎng) IP 的機(jī)器上，從而實(shí)現(xiàn)跨網(wǎng)絡(luò)訪問。包含了不同的主機(jī)上應(yīng)當(dāng)部署的不同組件FRPS及FRPC)

3、部署FRPS服務(wù)端

在云服務(wù)器上部署 FRPS 服務(wù)端，將下載的FRP壓縮包解壓并移動(dòng)到合適位置，編輯編輯 frps.toml配置文件,然后在解壓目錄下命令啟動(dòng) FRPS，.\frps.exe -c .\frps.toml，frps.log中打印出frps started successfully則為啟動(dòng)成功。
啟動(dòng)成功后放開云服務(wù)器防火墻端口外，還需要設(shè)置服務(wù)器安全組規(guī)則開放 7000 端口，登錄阿里云控制臺(tái) -> 找到對(duì)應(yīng) ECS 實(shí)例 -> 網(wǎng)絡(luò)與安全 -> 安全組 -> 配置規(guī)則 -> 添加入方向規(guī)則，端口范圍填 7000，協(xié)議類型選擇 TCP/UDP（根據(jù)需求），授權(quán)對(duì)象可填 0.0.0.0/0 以允許任何 IP 訪問。
frps.toml配置如下：

# 鑒權(quán)配置
auth = {token = "ssim"}

# 服務(wù)端監(jiān)聽地址，用于接收 frpc 的連接，默認(rèn)監(jiān)聽 0.0.0.0
bindAddr = "0.0.0.0"
bindPort = 7000

# 通用配置
[log]
to = "./frps.log"
level = "info"
maxDays = 3

(FRPS（服務(wù)端）會(huì)在云服務(wù)器的 7000 端口上監(jiān)聽來自內(nèi)網(wǎng)服務(wù)器（FRPC 客戶端）的連接請(qǐng)求,就相當(dāng)于在云端和內(nèi)網(wǎng)之間建立了一條數(shù)據(jù)隧道，可以讓內(nèi)網(wǎng)的 FRPC 可以與外部網(wǎng)絡(luò)建立并保持通信通道)

4、部署FRPC客戶端

與在服務(wù)器上安裝類似，可以在本地或內(nèi)網(wǎng)服務(wù)器上下載對(duì)應(yīng)版本的 FRP 壓縮包并解壓，編輯frpc.toml 配置文件,然后在解壓目錄下命令啟動(dòng) FRPC，.\frpc.exe -c .\frpc.toml，frpc.log中打印出login to server success則為啟動(dòng)并登錄到 FRP 服務(wù)端成功。如果由其他配置，還會(huì)打印其他配置是否啟動(dòng)成功，比如代理、健康檢查等
啟動(dòng)內(nèi)網(wǎng)服務(wù)器內(nèi)想要外網(wǎng)訪問的服務(wù)，并將java程序服務(wù)端口配置于frpc.toml中
frpc.toml配置如下：

# 客戶端通用配置
serverAddr = "xxx.xxx.xxx.xxx"???# 云服務(wù)器的公網(wǎng)IP地址
serverPort = 7000
?
# 客戶端鑒權(quán)配置
auth = {token = "ssim"}

# 通用配置
[log]
to = "./frpc.log"
level = "info"
maxDays = 3

# 第一個(gè)服務(wù)代理
[[proxies]]
name = "service1"
type = "tcp" ?# 根據(jù)實(shí)際情況選擇代理類型，如 http、https、tcp 等
localIP = "127.0.0.1"
localPort = 19001 ?# 本地服務(wù)端口
remotePort = 19001 ?# 服務(wù)端暴露的端口
loadBalancer.group = "my_group" # 負(fù)載均衡分組名稱，用戶請(qǐng)求會(huì)以輪詢的方式發(fā)送給同一個(gè) group 中的代理
loadBalancer.groupKey = "my_key" # 負(fù)載均衡分組密鑰，用于對(duì)負(fù)載均衡分組進(jìn)行鑒權(quán)，groupKey 相同的代理才會(huì)被加入到同一個(gè)分組中
healthCheck.type = "tcp" # 健康檢查類型，可選值為 tcp 和 http，配置后啟用健康檢查功能，tcp 是連接成功則認(rèn)為服務(wù)健康，http 要求接口返回 2xx 的狀態(tài)碼則認(rèn)為服務(wù)健康
healthCheck.timeoutSeconds = 3 # 健康檢查超時(shí)時(shí)間(秒)
healthCheck.maxFailed = 3 # 健康檢查連續(xù)錯(cuò)誤次數(shù)，連續(xù)檢查錯(cuò)誤多少次認(rèn)為服務(wù)不健康
healthCheck.intervalSeconds = 10 # 健康檢查周期(秒)，每隔多長(zhǎng)時(shí)間進(jìn)行一次健康檢查

# 第二個(gè)服務(wù)代理，用于測(cè)試負(fù)載均衡
[[proxies]]
name = "service2"
type = "tcp"
localIP = "127.0.0.1"
localPort = 19002
remotePort = 19001 ?# 與第一個(gè)代理相同的遠(yuǎn)程端口
loadBalancer.group = "my_group" # 與第一個(gè)代理相同的負(fù)載均衡分組名稱
loadBalancer.groupKey = "my_key" # 與第一個(gè)代理相同的負(fù)載均衡分組密鑰
healthCheck.type = "tcp"
healthCheck.timeoutSeconds = 3
healthCheck.maxFailed = 3
healthCheck.intervalSeconds = 10

(成功啟動(dòng)服務(wù)及FRPC后，內(nèi)網(wǎng) FRPC會(huì)與云服務(wù)器上的 FRPS 服務(wù)端建立一個(gè)持續(xù)的、反向代理的隧道，最終在瀏覽器中訪問域名測(cè)試時(shí)，能否成功打開頁面或服務(wù)，都取決于 FRPC 是否和 FRPS 正常連接，并且內(nèi)網(wǎng)服務(wù)端口是否正確映射。)

5、申請(qǐng)域名

以在阿里云、騰訊云或其他域名注冊(cè)商購買喜歡的域名，比如阿里云萬網(wǎng)_域名注冊(cè)_域名交易_建站_備案_資質(zhì)_商標(biāo)_軟著-阿里云,注冊(cè)購買成功后，在網(wǎng)站備案_ICP備案_備案遷移_App備案_小程序備案_備案-阿里云按照步驟完成ICP備案。
備案通過后，在阿里云控制臺(tái)首頁可以查看到自己的域名，進(jìn)入并設(shè)置DNS解析，添加 一條A 記錄，將域名解析到你在阿里云購買的服務(wù)器的公網(wǎng) IP。

得到域名后，可購買正式證書或免費(fèi)領(lǐng)取個(gè)人測(cè)試證書并配置域名?https://yundun.console.aliyun.com/?spm=5176.100251.111252.41.78b84f15xGPik3&p=cas#/certExtend/buy/cn-hangzhou?currentPage=1&pageSize=10&keyword=&statusCode=??????，然后完成證書的申請(qǐng)簽發(fā)。在證書管理中可查看已有的證書，選擇后下載不同服務(wù)器類型對(duì)應(yīng)的證書文件，我這里下載的是Nginx的pem/key格式證書文件，將其解壓保存到云服務(wù)器上，后續(xù)對(duì)Nginx的配置文件nginx.conf進(jìn)行部署 SSL的配置修改
(通過申請(qǐng)及備案域名并添加SSL證書后，使用域名訪問內(nèi)網(wǎng)服務(wù)，更專業(yè)，也符合國(guó)內(nèi)政策要求)

6、配置云服務(wù)器Nginx

在云服務(wù)器上配置安裝Nginx,在nginx.conf中增加HTTP（80）或HTTPS（443）的默認(rèn)端口配置.在配置文件內(nèi)容的HTTP塊中，增加如下配置

http {
? ? server {
? ? ? ? listen 80;?? ?# 監(jiān)聽 HTTP 80端口
? ? ? ? server_name xxx.xxx; ? ? ? ? # 你的域名?
? ??
? ? ? ? location / {
? ? ? ? ? ? proxy_pass http://127.0.0.1:19001/; ? # 轉(zhuǎn)發(fā)到本機(jī) 19001 端口
? ? ? ? ? ? # 還可配置一些頭部、超時(shí)等，如:
? ? ? ? ? ? proxy_set_header Host $host;
? ? ? ? ? ? proxy_set_header X-Real-IP $remote_addr;
? ? ? ? }
? ? }
? ? server {
? ? ? ? listen 443 ssl http2; ? ? ? ? ? ? ? ?# 開啟SSL，監(jiān)聽443端口，并啟用HTTP/2（可選）
? ? ? ? server_name xxx.xxx;

? ? ? ? # 證書與私鑰路徑（注意windows路徑寫法）
? ? ? ? ssl_certificate ? ? ?C:/Users/Administrator/Desktop/mysoft/nginx-1.22.0/ssl/xxx.xxx.pem;
? ? ? ? ssl_certificate_key ?C:/Users/Administrator/Desktop/mysoft/nginx-1.22.0/ssl/xxx.xxx.key;

? ? ? ? # 如果有分開的中間證書，可使用 ssl_trusted_certificate 或合并進(jìn)server.crt
? ? ? ? # ssl_trusted_certificate C:/nginx/ssl/ca_bundle.crt;

? ? ? ? # 僅啟用更安全的TLS版本
? ? ? ? ssl_protocols TLSv1.2 TLSv1.3; ?

? ? ? ? # 推薦使用高強(qiáng)度加密套件，你也可根據(jù)自己需要調(diào)整
? ? ? ? ssl_ciphers HIGH:!aNULL:!MD5;
? ? ? ? ssl_prefer_server_ciphers on;

? ? ? ? # 代理到后端 19001 端口
? ? ? ? location / {
? ? ? ? ? ? proxy_pass http://127.0.0.1:19001/;
? ? ? ? ? ? proxy_set_header Host $host;
? ? ? ? ? ? proxy_set_header X-Real-IP $remote_addr;
? ? ? ? }
? ? }
# 默認(rèn)的 server
? ? server {
? ? ? ? listen 80 default_server;
? ? ? ? server_name _;

? ? ? ? return 403; ? # 或者 444
? ? }
}

(外部訪問者訪問 http://xxx.xxx 時(shí)，就會(huì)被 Nginx 攔截并轉(zhuǎn)發(fā)到你指定的后端服務(wù)端口，實(shí)現(xiàn)統(tǒng)一的域名訪問入口、反向代理和安全管理)

7、驗(yàn)證訪問

在瀏覽器中輸入 http://www.example.com（如果配置了 HTTPS，則使用 https://www.example.com）,如果能夠成功打開內(nèi)網(wǎng)服務(wù)器上的 Web 服務(wù)頁面，說明整個(gè) FRP 穿透流程已經(jīng)成功

總結(jié)

使用FRP進(jìn)行內(nèi)網(wǎng)穿透，本質(zhì)就是通過FRP中繼服務(wù)建立長(zhǎng)連接實(shí)現(xiàn)數(shù)據(jù)流量的內(nèi)外網(wǎng)傳輸，關(guān)鍵點(diǎn)在于正確配置FRP使得FRPS與FRPC可成功連通

三、額外補(bǔ)充

1、同一內(nèi)網(wǎng)的FRPC配置

假設(shè)處于內(nèi)網(wǎng)的服務(wù)器既不可被公網(wǎng)訪問，也不可訪問公網(wǎng)，但是與可被公網(wǎng)訪問的服務(wù)器處于同一內(nèi)網(wǎng)（可通過阿里云創(chuàng)建，基于已經(jīng)存在的可公網(wǎng)訪問的服務(wù)器的VPC，且不分配公網(wǎng)ip的ECS實(shí)例模擬），則可以在frpc.toml中配置被公網(wǎng)訪問的服務(wù)器的私網(wǎng)IP，即將serverAddr = "xxx.xxx.xxx.xxx"改為公網(wǎng)訪問服務(wù)器的私網(wǎng)IP地址

2、負(fù)載均衡

FRP默認(rèn)采用輪詢的策略對(duì)注冊(cè)的同一端口的不同服務(wù)進(jìn)行請(qǐng)求，可參照上面提到的frpc.toml中的配置進(jìn)行多[[proxies]]的配置，只需要將遠(yuǎn)程端口及負(fù)載均衡分組名稱和密匙保持一致即可。為了確保高可用性，您可以為每個(gè)代理配置健康檢查參數(shù)。當(dāng)某個(gè)代理的后端服務(wù)出現(xiàn)故障時(shí)，frp 會(huì)將其從負(fù)載均衡組中移除，避免將請(qǐng)求分配給不可用的服務(wù)，配置可參照上面提到的frpc.toml中healthCheck.相關(guān)的配置

3、通過 SSH 訪問內(nèi)網(wǎng)機(jī)器

在需要被訪問的內(nèi)網(wǎng)機(jī)器上部署 frpc，將localPort = 22，remotePort = 6000，然后使用以下命令通過 SSH 訪問內(nèi)網(wǎng)機(jī)器，假設(shè)用戶名為 test，ssh -o Port=6000 test@x.x.x.x。x.x.x.x為公網(wǎng)ip地址，frp 將請(qǐng)求發(fā)送到?x.x.x.x:6000?的流量轉(zhuǎn)發(fā)到內(nèi)網(wǎng)機(jī)器的 22 端口。注意：windows10家庭中文版不支持