QuantumTunnel:内网穿透服务设计
背景
最近工作中有公网访问内网服务的需求,便了解了内网穿透相关的知识。发现原理和实现都不复杂,遂产生了设计一个内网穿透的想法。
名字想好了,就叫QuantumTunnel
,量子隧道,名字来源于量子纠缠现象。
两个处于量子纠缠的粒子,无论处于多么远的距离,当其中一个粒子状态改变时,另外一个粒子也会做出相应的改变。
QuantumTunnel也取意于此,希望把公网发出来的请求,完整的同步到内网,就像在内网发出的请求,打破网络的限制。
什么是内网穿透
什么是内网穿透?摘自百度百科
内网穿透,也即 NAT 穿透,进行 NAT 穿透是为了使具有某一个特定源 IP 地址和源端口号的数据包不被 NAT 设备屏蔽而正确路由到内网主机。
通俗易懂一点就是一个公网内的机器与不能被公网访问的机器进行数据交换。
这个不能被公网访问的机器有可能在某个机房,也有可能在家。
典型的应用场景
- 公网访问内网中的某个系统服务:出于安全等因素考虑,机房一般是不能被公网访问的;要想访问机房中的某个服务,就需要用到内网穿透;
- 开发者电脑接收公网回调:在开发微信业务时,一般会涉及到服务回调,而开发者电脑无法被公网访问,这时候也需要内网穿透进行桥接。
设计思路
- 首先,摆在面前的问题是如何让公网与内网通信。内网的机器不能被公网访问但是一般都能够访问公网(没有访问公网能力的场景不在讨论范围内)。可以利用这一点,让内网机器主动与公网的服务器建立双向通信连接,这样公网服务器就具备了往内网服务器发送数据的能力;
- 其次,要思考怎么才能让用户请求到达这个双向通信通道。此时就需要一个用户侧的服务器,专门处理来自用户的请求,并将其转发到双向通信通道;
- 上面两个步骤完成后,用户请求就来到了内网,此时需要一个客户端代替用户进行真正的请求,拿到返回结果。
归纳总结一下。为了实现内网穿透能力,内网穿透服务中应该有的几个角色:
用户服务器
:处理用户过来的请求,将用户请求转发给代理服务器;代理服务器
:接收用户服务器过来的请求数据并转发给往代理客户端;接收代理客户端的结果数据并返回给用户服务器;代理客户端
:接收代理服务器的请求数据并且进行真正的请求,拿到结果数据后返回给代理服务器。
架构图
按照上述思路,内网穿透的架构应该是这样的:
我们再次梳理一下参与到内网穿透服务的各个角色:
- 用户客户端:真实的请求发起方;
- 内网穿透-用户服务端:接收用户客户端发起的请求;并将请求转发给代理服务端;
- 内网穿透-代理服务端:与代理客户端保持一个连接通道用于传输数据;并且将请求通过该通道传输数据到proxy-client;
- 内网穿透-代理客户端:从通道中接收来自代理服务端的请求数据,并且发起真正的请求。拿到请求结果后再通过该通道写回到代理服务端;
- 目标服务器:目标服务器,即被代理的服务器。
时序图
顺着这个思路,我们来画一下时序图。
时序图分为两部分:
首先,代理服务器和代理客户端建立了一条
长连接
,用于数据的传输,这个很关键。
因为代理服务器(公网)无法直接访问代理客户端,必须由代理客户端主动向代理服务器发起连接请求,从而建立一条可以双向通信的连接通道,利用双向通信的能力实现代理服务器主动向代理客户端发送请求的能力然后是一次内网穿透请求的流程。
要注意的是对raw request(response)的处理:raw request -> proxy request ->; raw request,经历了从原始请求到代理请求再到原始请求的封装和解析过程。
为什么要有这个协议转换过程?要实现协议无侵入(如http、ws)的目标,只能在现有协议上扩展请求。如内网穿透http协议,可以把目标地址和目标端口放在header中进行扩展,内网穿透-用户服务器再把相关的参数给解析出来,从而知道目标地址和端口是什么。这样处理的好处也显而易见,在原来的框架、代码不变的情况下,增加几个参数就可以用上内网穿透服务。
大家可以了解一下这两个内网穿透的实现,natx和毒刺,我在设计实现过程中参考了他们的一些实现。
具体实现
结合上面的架构图、时序图,要想实现应用层协议无侵入,需要一个能直接在传输层进行流量代理的工具。在网络传输领域大火的netty便进入了我们的视线,支持TCP、UDP流量转发,拥有丰富的应用层协议插件,更重要的是发送数据非常方便,只需要往Channel里面写入数据就行。
对于具体实现,本文暂不讨论,计划放在QuantumTunnel系列博客中的第二篇展开。
下面看看实现的效果。
效果
假设南京本地宝的服务器在内网,我们现在要访问它的新闻咨询频道。原始链接为:http://nj.bendibao.com/news/
把目标服务器替换成南京本地宝服务器,重新画一下架构图和时序图:
- 架构图
- 时序图
- 访问结果
从返回的结果可以看到,通过本地的8090端口,访问到了南京本地宝的服务器,说明整个链路成功走通。
这里解释一下访问结果中的几个参数
proxyHost:被代理的服务器地址;proxyPort:被代理的服务器端口
好了,本篇就聊到这里。后面会推出一个系列博客聊一下基于Netty的实现方案,以及业务隔离、服务高可用的一个探索等好玩的东西。
开源地址
QuantumTunnel:内网穿透服务设计的更多相关文章
- frp + nginx 配置多人共用的http 内网穿透服务
来源:简书 https://www.jianshu.com/p/c9d7527d607b 一. 前言 frp 是一个用Go语言开发的,可用于内网穿透的高性能的反向代理应用,支持 tcp, udp ...
- 四、frp内网穿透服务端frps.ini各配置参数详解
[必须]标识头[common]是不可或缺的部分 [必须]服务器IPbind_addr = 0.0.0.00.0.0.0为服务器全局所有IP可用,假如你的服务器有多个IP则可以这样做,或者填写为指定其中 ...
- 手写内网穿透服务端客户端(NAT穿透)原理及实现
Hello,I'm Shendi. 这天心血来潮,决定做一个内网穿透的软件. 用过花生壳等软件的就知道内网穿透是个啥,干嘛用的了. 我们如果有服务器(比如tomcat),实际上我们在电脑上开启了服务器 ...
- natapp 内网穿透服务
参考文章:https://www.jianshu.com/p/91a321e584b8 参考文章:https://www.jianshu.com/p/c4cb8666c96a 一.什么是内网穿透 通过 ...
- Natapp内网穿透服务工具
在做微信开发的时候,调用微信接口成功之后,微信会回调我们事先配置好的一个接口.由于微信的服务是在外网的,所以这个回调接口也只能是外网,而且微信要求回调接口只能是通过ICP备案的域名,不能使用IP,所以 ...
- 免费内网穿透服务Localtunnel
Localtunnel 将为您分配一个唯一的可公开访问的 url,它将所有请求代理到您本地运行的网络服务器. 快速开始 全局安装 Localtunnel(需要 NodeJS)以使其在任何地方都可以访问 ...
- 【python + NATAPP】实现内网穿透的简易数据传输
1. 服务端 接收两张图像的地址,返回这两张图像的相似度 import os, shutil, requests import cv2 import numpy as np import imgs_s ...
- nodejs内网穿透
说明 本地服务注册,基于子域名->端口映射.公网测试请开启二级或三级域名泛解析 无心跳保活.无多线程并发处理 服务器端 请求ID基于全局变量,不支持PM2多进程开服务端.(多开请修改uid函数, ...
- 五、frp内网穿透客户端frpc.ini各配置参数详解
[必须]标识头[common]是不可或缺的部分 [必须]frps服务端IPserver_addr = 0.0.0.00.0.0.0为FRP服务端IP,客户端要填写为服务端已配置的对应的IP,或者是服务 ...
随机推荐
- 教你用ps如何将图片、文字做出模糊斑驳的作旧效果
1.对图片的图层执行滤镜-风格化-扩散,选变亮优先. 2.选择画笔工具,在画笔选项里选择喷溅59像素,画笔大小我用的是100px,大家可以根据自己的情况自定义大小,前景设置为黑色. 3.在图章图层上方 ...
- deepin(debian)中双网卡上内外网的设置方法(通过NetworkManager运行脚本)
国产良心操作系统deepin,界面好看,反应速度快,开箱即用,深度商店里有非常多好用的linux.windows软件,其windows软件通过crossover进行运行,还可以运行一些安卓的apk程序 ...
- english note(6.2 to 5.30)
notes 6.2 to 5.30 http://www.51voa.com/VOA_Special_English/suicide-rates-among-young-americans-on-t ...
- python3.7+flask+alipay 支付宝付款功能
文档参考github:https://github.com/fzlee/alipay/blob/master/docs/init.md 沙箱环境配置:https://opendocs.alipay.c ...
- CF280C-Game on Tree【数学期望】
正题 题目链接:https://www.luogu.com.cn/problem/CF280C 题目大意 \(n\)个点的一棵树,每次选择一个没有染色的点把它和它的子树染黑,求期望全部染黑的步数. 解 ...
- Python3入门系列之-----元组
元组 Python 的元组与列表类似,不同之处在于元组的元素不能修改 元组使用小括号,列表使用方括号 元组创建很简单,只需要在括号中添加元素,并使用逗号隔开即可 实例 tup1 = (1,2,3,4, ...
- Jmeter压测学习6---登录参数CSV
前言 我们在压测登录接口的时候,如果只用一个账号去设置并发压测,这样的结果很显然是不合理的,一个用户并发无法模拟真实的情况.如果要压测登录接口,肯定得准备几百,甚至上千的账号去登录,测试的结果才具有可 ...
- mysql从零开始之MySQL 创建数据库
MySQL 创建数据库 我们可以在登陆 MySQL 服务后,使用 create 命令创建数据库,语法如下: CREATE DATABASE 数据库名; 以下命令简单的演示了创建数据库的过程,数据名为 ...
- windos10环境下编译python3版pjsua库
环境:windows10_x64python3.9_x64pjsua-2.10vs2015 pjsua编译参考这里: https://www.cnblogs.com/MikeZhang/p/pjsip ...
- 深入思考软件工程,开启 DevOps 之旅
20 世纪 60 年代,软件开始脱离硬件,逐渐成为一个独立产业.至今,软件开发过程从瀑布模型.CMM/CMMI,到 20 年前敏捷的诞生,再到今天 DevOps 的火热,一代代软件人在思考和探索,如何 ...