第二部分:关键技术领域的开源实践【内网穿透FRP】

FRP简介

FRP(Fast Reverse Proxy)作为一种高性能的内网穿透工具,支持 TCP、UDP、HTTP、HTTPS 等多种协议。可以将内网服务以安全、便捷的方式通过具有公网IP节点(云服务器)的中转暴露到公网。

为什么使用 FRP ?

以下是一些常见的企业级应用场景:

  1. 远程办公和远程桌面

    • 允许员工从外部网络远程接入企业内部的桌面系统进行工作,提高灵活性和效率,尤其是在远程工作成为常态的情况下。
    • 便于IT部门进行远程维护和故障排除,无需物理访问设备。
  2. 远程服务器管理

    • 使管理员能够通过公网访问位于企业内网的服务器,进行配置、更新和监控。
    • 支持对云服务器的管理,即使它们位于具有私有IP地址的VPC(Virtual Private Cloud)中。
  3. 企业服务的公网访问

    • 允许企业内部的Web服务、数据库、API接口等对外界开放,而无需企业拥有固定的公网IP。
    • 使得客户、合作伙伴或外部应用程序可以访问这些内部服务,促进业务合作和数据交换。
  4. 视频监控和安防

    • 实现对企业内部安装的视频监控系统的远程访问,便于实时监控和安全管理。
    • 对于分布式的公司,总部可以远程监控各个分部的安保情况。
  5. 物联网(IoT)设备管理

    • 允许远程管理和监控位于企业内部网络中的IoT设备,如智能传感器、自动化设备等。
  6. 开发测试环境的远程访问

    • 开发人员可以远程访问位于企业内网的开发测试服务器,进行代码调试和功能测试。
    • 支持跨地域的开发团队协作,提高开发效率。
  7. 企业资源规划(ERP)和CRM系统访问

    • 提供外部用户对内部ERP或CRM系统的安全访问,例如供应商或销售团队成员。
  8. 云服务扩展

    • 当企业使用混合云架构时,FRP可以帮助连接私有云和公有云资源,实现更灵活的资源调度和管理。
  9. 企业内部通信和协作工具

    • 使企业内部的通信平台如电话会议、视频会议系统可以被外部参与者访问。

通过使用FRP,企业能够在不改变现有网络结构的情况下,提升网络的可访问性和灵活性,同时保持较高的安全性标准。然而,实施FRP时也应考虑网络安全策略,确保只有授权用户可以访问特定的服务。

下面重点讲解FRP在企业中的实际应用,分别从服务端和客户端阐述:

FRP开源实践应用【企业案例】

在Linux系统上安装FRP的基本步骤:

步骤1:下载FRP

首先,你需要下载适合你操作系统版本的FRP二进制文件。假设你正在使用一个基于Linux的系统,你可以使用wgetcurl来下载。如果你的系统上还没有wget,需要先安装:

sudo apt-get update
sudo apt-get install wget

对于基于RPM的系统(如CentOS),可以使用:

sudo yum install wget

然后下载最新版本的FRP(以2024年为例,目前是v0.59.1,具体版本号可能不同):

wget https://github.com/fatedier/frp/releases/download/v0.X.Y/frp_0.X.Y_linux_amd64.tar.gz

v0.X.Y替换为实际的版本号。

步骤2:解压FRP

使用tar命令解压下载的文件:

tar -zxvf frp_0.59.0_linux_amd64.tar.gz

步骤3:移动文件

将解压后的文件移动到一个合适的目录,比如/opt/frp_0.59.0_linux_amd64

解压目录如下:

步骤4:创建配置文件

FRP使用.toml格式的配置文件。这些文件需要根据你的需求进行适当的配置。

服务端配置(编辑frps.toml文件)

服务端一般放置在有公网IP的服务器上,通常为云服务器(腾讯,华为、阿里云服务器)

bindPort = 7000
vhostHTTPPort = 8080
#vhostHTTPSPort = 443
auth.method = "token"
auth.token = "token123456_abcdefghijklmn=="
webServer.port = 7500
webServer.user = "admin"
webServer.password = "admin.com"
webServer.pprofEnable = false
客户端配置(编辑frpc.toml文件)

下面是tcp ,http的配置方法,特别要注意云服务器,例如阿里云要开放remotePort端口

内网服务器:通常企业的开发服务器或测试服务器

serverAddr = "81.71.44.34"
serverPort = 7000
auth.method = "token"
auth.token = "token123456_abcdefghijklmn=="
webServer.addr = "0.0.0.0"
webServer.port = 7500
webServer.user = "admin"
webServer.password = "admin.com"
webServer.pprofEnable = false

[[proxies]]
name = "ssh"
type = "tcp"
localIP = "127.0.0.1"
localPort = 22
remotePort = 2212

[[proxies]]
name = "mysql"
type = "tcp"
localIP = "127.0.0.1"
localPort = 3309
remotePort = 33090

[[proxies]]
name = "redis"
type = "tcp"
localIP = "127.0.0.1"
localPort = 6379
remotePort = 33012


[[proxies]]
name = "git"
type = "http"
localIP = "192.168.0.100"
localPort = 82
customDomains = ["git.***.com"]

[[proxies]]
name = "jenkins"
type = "http"
localIP = "192.168.0.100"
localPort = 8088
customDomains = ["jenkins.***.com"]
# tls
#transport.tls.certFile = "/etc/frp/ssl/client.crt"
#transport.tls.keyFile = "/etc/frp/ssl/client.key"
#transport.tls.trustedCaFile = "/etc/frp/ssl/ca.crt"

步骤5:启动服务

使用nohup或者screen等工具来后台运行FRP服务,或者你可以创建一个systemd服务单元文件来管理服务。例如,创建一个名为frps.service的文件在/etc/systemd/system目录下,并在其中定义服务,实现开机自启。

内容如下:

[Unit]
Description=Frp Server
After=syslog.target network.target
Wants=network.target

[Service]
Type=simple
ExecStart=/opt/frp_0.59.0_linux_amd64/frps -c /opt/frp_0.59.0_linux_amd64/frps.toml
ExecStop=/usr/bin/killall frps
RestartSec=1min
KillMode=control-group
Restart=always

[Install]
WantedBy=multi-user.target

步骤6:配置防火墙

如果你的服务器有防火墙,确保打开FRP所需的端口,通常是70007500

#内网服务器开放端口方法
firewall-cmd --add-port=3309/tcp --zone=public  --permanent
#远程云服务器开放端口
***例如阿里云要开放remotePort端口:安全组,开放端口即可***

如果使用安全证书https,最好安装一个nginx代理

新建一个/usr/local/openresty/nginx/conf/apps/frp.conf,内容如下:

 location / {
    client_max_body_size    1000m;
    proxy_pass http://127.0.0.1:8080;
    proxy_http_version 1.1;
    proxy_read_timeout 300;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    proxy_set_header Host $http_host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Real-PORT $remote_port;
}

购买云服务器厂商,申请免费3个月的数字证书,放置/usr/local/openresty/nginx/cert目录下

修改nginx.conf文件,加入如下内容

server {
        listen 443 ssl;
        server_name www.***.com;
        root html;
        index swagger-ui.html index.html index.htm;
        ssl_certificate      ../cert/www.***.com.pem;
        ssl_certificate_key  ../cert/www.***.com.key;
        ssl_session_timeout 5m;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_prefer_server_ciphers on;
        proxy_intercept_errors on;
        charset utf-8;
        #frp穿透到内网
        include apps/frp.conf;
    }

步骤7:测试连接

在浏览器地址栏输入:https://www.***.com 进行测试

确保一切设置无误后,从客户端尝试连接到服务端,检查是否可以通过公网访问到内网服务。

请注意,上述步骤是基于Linux系统的一般指导。具体版本的FRP可能需要不同的配置选项,因此请参考FRP的官方文档获取最准确的安装和配置指南。此外,安全是关键,确保只允许信任的来源访问你的内网服务。