frp + nginx 配置多人共用的http 內網穿透服務
frp
是一個用Go
語言開發的,可用於內網穿透
的高效能的反向代理應用,支援 tcp, udp 、 http 和 https。可將一個部署在本機的web服務對映到外網。
本文主要講如何基於frp
+nginx
配置http 內網穿透服務,承載多人
同時使用,從而支援微信公眾號,微信小程式的本地開發除錯
所需資源:
msh.com
本文涉及的環境
- centos7.2
- nginx 1.10.1
- frp 0.22.0
- go 1.11.4
- Windows 10
二 、 frp 原理
(請仔細閱讀原理,在不理解原理的情況下上手配置容易出錯,且很難定位原因。這都是本人所經歷的慘痛教訓)
以本人搭建的frp
內網穿透服務為例:第一步:
配置無誤的情況下,frp服務端和frp客戶端先後啟動,建立通訊隧道
,其中:
-
frp服務端監聽http
7071
埠(此埠可自定義),接收此埠下 所有外網使用者請求 -
frp客戶端代理本地想要暴露給外網的web服務埠,本文以
8585
,8686
埠為例
第二步:通過配置nginx
反向代理,將指向本臺公網伺服器的dev.msh.com
下的子域名,對映到伺服器的7071
埠,也就是frp監聽的那個埠。
外網使用者訪問dev.msh.com
下的子域名,例如 :
a.dev.msh.com b.dev.msh.com
等同於訪問msh.com:7071
,會觸發
frp服務端和客戶端的互動,從而http請求由frp服務端傳遞到frp客戶端
第三步:frp客戶端收到http請求後,基於自定義配置,則做如下處理:
-
監聽到http請求中的域名為
a.dev.msh.com
,則將請求轉發到我本地的8585
web服務埠 -
監聽到http請求中的域名為
b.dev.msh.com
,則將請求轉發到我本地的8686
web服務埠
第四步:本地的web服務收到http請求後,對請求做處理,並完成響應
第五步:frp客戶端將響應結果回傳給frp的服務端。服務端最終將響應回傳給外網使用者
第六步:最終的實測效果為:
-
訪問
a.dev.msh.com
,等同於訪問我本地的localhost:8585
-
訪問
b.dev.msh.com
,等同於訪問我本地的localhost:8686
三 、 準備工作
3.1 在域名解析後臺配置子域名
本文以msh.com
為例:
msh.com
下增加兩條A記錄:dev
,*.dev
,記錄值為部署frp服務端的公網伺服器的ip。
代表dev.msh.com
下的所有的子域名,會全部指向此臺公網伺服器。
3.2服務端配置go語言環境
翻牆下載&解壓安裝
frp 基於Go
語言進行開發和執行,所以在服務端配置Go
語言環境
可能是因為Go
語言是谷歌家開發的,所以連帶go的官網https://golang.org/
都被牆了(天殺的**),意味著無法通過wget
命令進行安裝。所以只有翻牆後,把下載好的軟體包上傳到伺服器上面
軟體包我已經上傳到百度雲上了,使用者可以在百度雲上面下載
go1.11.4.linux-amd64.tar.gz 百度雲下載地址
# 解壓 tar -zxvf go1.11.4.linux-amd64.tar.gz # 移動到自定義的軟體安裝目錄 mv go /software/ 複製程式碼
配置環境變數
# 用 vim開啟 /etc/profile vim /etc/profile # 在裡面加入環境變數 export GO_HOME=/software/go export PATH=$PATH:$GO_HOME/bin # 使環境變數生效 source /etc/profile # 檢視是否安裝成功 goversion 複製程式碼
四、服務端配置
4.1 frp服務端安裝配置
下載解壓
# 下載 wget https://github.com/fatedier/frp/releases/download/v0.22.0/frp_0.22.0_linux_amd64.tar.gz # 解壓 tar -zxvf frp_0.22.0_linux_amd64.tar.gz 複製程式碼
修改配置檔案
解壓後進入解壓目錄,找到frps.ini
檔案, 做如下配置 。配置說明請參見各項對應的註釋
[common] # frp監聽的埠,用作服務端和客戶端通訊 bind_port = 7000 # 服務端通過此埠接監聽和接收公網使用者的http請求 vhost_http_port = 7071 # frp提供了一個控制檯,可以通過這個埠訪問到控制檯。可檢視frp當前有多少代理連線以及對應的狀態 dashboard_port = 7500 # 服務端的subdomain_host需要和客戶端配置檔案中的subdomain、local_port配合使用, # 可通過{subdomain}.{subdomain_host} 的域名格式來訪問自己本地的 web 服務。 # 假如服務端的subdomain_host為dev.msh.com,客戶端某個配置組中的 # subdomain為a,local_port為8585, # 則: # 訪問 a.dev.msh.com ,等同於訪問本地的localhost:8585 subdomain_host = dev.msh.com 複製程式碼
啟動frp服務端
./frps -c frps.ini 複製程式碼
4.2 nginx反向代理配置
修改nginx.conf
檔案
# frp的接收http請求的反向代理 server { listen 80; server_name *.dev.msh.comdev.msh.com; location / { # 7071埠即為frp監聽的http埠 proxy_pass http://127.0.0.1:7071; proxy_set_header Host $host:80; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; proxy_connect_timeout 7d; proxy_send_timeout 7d; proxy_read_timeout 7d; } # 防止爬蟲抓取 if ($http_user_agent ~* "360Spider|JikeSpider|Spider|spider|bot|Bot|2345Explorer|curl|wget|webZIP|qihoobot|Baiduspider|Googlebot|Googlebot-Mobile|Googlebot-Image|Mediapartners-Google|Adsbot-Google|Feedfetcher-Google|Yahoo! Slurp|Yahoo! Slurp China|YoudaoBot|Sosospider|Sogou spider|Sogou web spider|MSNBot|ia_archiver|Tomato Bot|NSPlayer|bingbot") { return 403; } } 複製程式碼
讓nginx重新載入配置檔案
/usr/local/nginx/sbin/nginx-s reload 複製程式碼
4.3 開啟防火牆埠
# 開啟防火牆埠7000埠和7071埠即為上面配置的bind_port和vhost_http_port埠 firewall-cmd --zone=public --add-port=7000/tcp --permanent firewall-cmd --zone=public --add-port=7071/tcp --permanent # 開啟後重啟防火牆,使得剛剛的修改生效 firewall-cmd --reload 複製程式碼
五、 客戶端安裝配置
下載客戶端
去github上面下載最新版的 windows客戶端github.com/fatedier/fr…
,找到frp_0.23.1_windows_amd64.zip
,點選下載即可
(Mac使用者請下載Mac版本的客戶端)
解壓後,編輯 frpc.ini 檔案
[common] # 部署frp服務端的公網伺服器的ip server_addr = 132.232.64.79 # 和服務端的bind_port保持一致 server_port = 7000 # 代理服務一 ,[]內的代理服務名稱在全域性範圍內確保唯一,每個人的每個代理服務不能重名, # 否則會影響正常使用。 [http-a] type = http # local_port代表你想要暴露給外網的本地web服務埠 local_port = 8585 # subdomain 在全域性範圍內要確保唯一,每個代理服務的subdomain不能重名,否則會影響正常使用。 # 客戶端的subdomain需和服務端的subdomain_host配合使用 subdomain = a # 代理服務二,各項配置說明請參考配置組一 [http-b] type = http local_port = 8686 subdomain = b 複製程式碼
啟動 客戶端在frp解壓目錄下右鍵開啟powershell
或者cmd
,
./frpc.exe -c .\frpc.ini 複製程式碼
如果視窗提示**『start proxy success』**,則代表frp服務端和frp客戶端的通訊隧道
建立成功
測試訪問
在瀏覽器裡面訪問http://a.dev.msh.com
、測試本地的web服務是否已經暴露給外網
六、問題解疑
疑問: 為什麼要搭建自己的內網穿透服務,而不是購買類似花生殼這種收費的內網穿透服務?
解疑:花生殼收費過高,一個旗艦版的一年都需要868元,而且只有4個埠對映,意味著只有4名開發人員同時用都可能不夠。一箇中型的網際網路公司都有四五十人或者上百人,如果用花生殼的話,每年都需要三四萬花費,顯然不是個小數目。而對於一家網際網路公司,都是有自己的伺服器資源和域名資源的,既然如此,何不搭建一個自有的內網穿透服務?
疑問:微信小程式只支援https協議,而剛搭建的是http內網穿透,不適用怎麼辦?**解疑:**可以在微信Web開發者工具裡面找到專案設定,把『不校驗合法域名、業務域名、TLS版本以及HTTPS證書』項勾選即可。這樣就可以在生產環境下走https
協議,本地開發環境下走http
協議
關於生產環境下怎麼部署https
,請參考本人在掘金上的這篇文章全站HTTPS升級系列
另外關於本地開發環境下怎麼部署https,曾經嘗試過mkcert
、jdk的keystore
,然而最終沒有找打一個切實可行的方案
疑問:我搭建的內網穿透服務,怎麼限定只有內部成員可用,防止外人隨意『搭便車』?
解疑:可以基於token引數來完成身份驗證。服務端和客戶端的 common 配置中的 token 引數一致則身份驗證通過。