一俊卤、 前言

frp 是一個(gè)用Go語言開發(fā)的顶瞒，可用于內(nèi)網(wǎng)穿透的高性能的反向代理應(yīng)用，支持 tcp, udp 闰围、 http 和 https赃绊。可將一個(gè)部署在本機(jī)的web服務(wù)映射到外網(wǎng)羡榴。

本文主要講如何基于frp + nginx 配置http 內(nèi)網(wǎng)穿透服務(wù)碧查，承載多人同時(shí)使用，從而支持微信公眾號(hào)校仑，微信小程序的本地開發(fā)調(diào)試

所需資源：

• 一臺(tái)公網(wǎng)服務(wù)器或者VPS（本人用的 騰訊云的主機(jī)）
• 一個(gè)指向到此臺(tái)公網(wǎng)服務(wù)器的域名（本文以msh.com 為例）

本文涉及的環(huán)境

• centos7.2
• nginx 1.10.1
• frp 0.22.0
• Windows 10

二 忠售、 frp 原理

（請(qǐng)仔細(xì)閱讀原理，在不理解原理的情況下上手配置容易出錯(cuò)迄沫，且很難定位原因稻扬。這都是本人所經(jīng)歷的慘痛教訓(xùn)）

以本人搭建的frp內(nèi)網(wǎng)穿透服務(wù)為例：

第一步： 配置無誤的情況下，frp服務(wù)端和frp客戶端先后啟動(dòng)羊瘩，建立通信隧道泰佳，其中：

• frp服務(wù)端監(jiān)聽http 7071端口（此端口可自定義），接收此端口下所有外網(wǎng)用戶請(qǐng)求
• frp客戶端代理本地想要暴露給外網(wǎng)的web服務(wù)端口尘吗，本文以8585 , 8686 端口為例

第二步： 通過配置nginx反向代理逝她，將指向本臺(tái)公網(wǎng)服務(wù)器的dev.msh.com 下的子域名，映射到服務(wù)器的7071端口睬捶，也就是frp監(jiān)聽的那個(gè)端口黔宛。 外網(wǎng)用戶訪問dev.msh.com下的子域名，例如 ：

• a.dev.msh.com
• b.dev.msh.com

等同于訪問msh.com：7071侧戴，會(huì) 觸發(fā) frp服務(wù)端和客戶端的互動(dòng)宁昭，從而http請(qǐng)求由frp服務(wù)端傳遞到frp客戶端

第三步： frp客戶端收到http請(qǐng)求后跌宛，基于自定義配置，則做如下處理：

• 監(jiān)聽到http請(qǐng)求中的域名為 a.dev.msh.com积仗，則將請(qǐng)求轉(zhuǎn)發(fā)到我本地的8585web服務(wù)端口
• 監(jiān)聽到http請(qǐng)求中的域名為 b.dev.msh.com疆拘，則將請(qǐng)求轉(zhuǎn)發(fā)到我本地的8686web服務(wù)端口

第四步： 本地的web服務(wù)收到http請(qǐng)求后，對(duì)請(qǐng)求做處理寂曹，并完成響應(yīng)

第五步： frp客戶端將響應(yīng)結(jié)果回傳給frp的服務(wù)端哎迄。服務(wù)端最終將響應(yīng)回傳給外網(wǎng)用戶

第六步： 最終的實(shí)測(cè)效果為：

• 訪問 a.dev.msh.com，等同于訪問我本地的localhost:8585
• 訪問 b.dev.msh.com隆圆，等同于訪問我本地的localhost:8686

三 漱挚、 準(zhǔn)備工作

3.1 在域名解析后臺(tái)配置子域名

本文以msh.com 為例：

登錄域名的解析后臺(tái)，在msh.com下增加兩條A記錄： dev , *.dev,記錄值為部署frp服務(wù)端的公網(wǎng)服務(wù)器的ip渺氧。

代表dev.msh.com下的所有的子域名旨涝，會(huì)全部指向此臺(tái)公網(wǎng)服務(wù)器。

3.2 關(guān)于 go語言環(huán)境

因?yàn)楸疚牟捎玫氖?strong>綠色安裝侣背，所以不需要配置go語言環(huán)境白华。多謝 Tylerrrkd 指正

四、服務(wù)端配置

4.1 frp服務(wù)端安裝配置

下載解壓

# 下載
wget https://github.com/fatedier/frp/releases/download/v0.22.0/frp_0.22.0_linux_amd64.tar.gz
# 解壓
 tar -zxvf frp_0.22.0_linux_amd64.tar.gz 

修改配置文件
解壓后進(jìn)入解壓目錄贩耐，找到frps.ini文件, 做如下配置 弧腥。配置說明請(qǐng)參見各項(xiàng)對(duì)應(yīng)的注釋

[common]
# frp監(jiān)聽的端口，用作服務(wù)端和客戶端通信
bind_port = 7000

# 服務(wù)端通過此端口接監(jiān)聽和接收公網(wǎng)用戶的http請(qǐng)求
vhost_http_port = 7071

# frp提供了一個(gè)控制臺(tái)潮太，可以通過這個(gè)端口訪問到控制臺(tái)管搪。可查看frp當(dāng)前有多少代理連接以及對(duì)應(yīng)的狀態(tài)
dashboard_port = 7500

# 服務(wù)端的subdomain_host需要和客戶端配置文件中的subdomain铡买、local_port配合使用，
# 可通過{subdomain}.{subdomain_host} 的域名格式來訪問自己本地的 web 服務(wù)寻狂。
# 假如服務(wù)端的subdomain_host為dev.msh.com岁经，客戶端某個(gè)配置組中的
# subdomain為a,local_port為8585蛇券，
# 則：
# 訪問 a.dev.msh.com ，等同于訪問本地的localhost:8585

subdomain_host = dev.msh.com

啟動(dòng)frp服務(wù)端

nohup ./frpc -c ./frpc.ini &

4.2 nginx反向代理配置

(關(guān)于如何安裝nginx就不過多贅述条篷，詳細(xì)安裝教程請(qǐng)參考 Nginx Linux詳細(xì)安裝部署教程)

修改 nginx.conf 文件

    # frp的接收http請(qǐng)求的反向代理
    server {
        listen 80;
        server_name *.dev.msh.com  dev.msh.com;

        location / {
            # 7071端口即為frp監(jiān)聽的http端口
            proxy_pass http://127.0.0.1:7071; 
            proxy_set_header Host $host:80;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection "upgrade";

            proxy_connect_timeout 7d;
            proxy_send_timeout 7d;
            proxy_read_timeout 7d;

            }
        # 防止爬蟲抓取
        if ($http_user_agent ~* "360Spider|JikeSpider|Spider|spider|bot|Bot|2345Explorer|curl|wget|webZIP|qihoobot|Baiduspider|Googlebot|Googlebot-Mobile|Googlebot-Image|Mediapartners-Google|Adsbot-Google|Feedfetcher-Google|Yahoo! Slurp|Yahoo! Slurp China|YoudaoBot|Sosospider|Sogou spider|Sogou web spider|MSNBot|ia_archiver|Tomato Bot|NSPlayer|bingbot")
            {
                return 403;
            }
    }

讓nginx重新加載配置文件

/usr/local/nginx/sbin/nginx   -s reload

4.3 開啟防火墻端口

# 開啟防火墻端口   7000端口和7071端口即為上面配置的bind_port和vhost_http_port端口
firewall-cmd --zone=public --add-port=7000/tcp --permanent
firewall-cmd --zone=public --add-port=7071/tcp --permanent

# 開啟后重啟防火墻骗随，使得剛剛的修改生效
firewall-cmd --reload

五蛤织、 客戶端安裝配置

下載客戶端

去github上面下載最新版的 windows客戶端 github.com/fatedier/fr… ，找到 frp_0.23.1_windows_amd64.zip鸿染，點(diǎn)擊下載即可

（Mac用戶請(qǐng)下載Mac版本的客戶端）

解壓后指蚜，編輯 frpc.ini 文件

[common]
# 部署frp服務(wù)端的公網(wǎng)服務(wù)器的ip
server_addr = 132.232.64.79
# 和服務(wù)端的bind_port保持一致
server_port = 7000

# 代理服務(wù)一 ，[]內(nèi)的代理服務(wù)名稱在全局范圍內(nèi)確保唯一涨椒，每個(gè)人的每個(gè)代理服務(wù)不能重名摊鸡，
# 否則會(huì)影響正常使用。
 [http-a]
type = http
# local_port代表你想要暴露給外網(wǎng)的本地web服務(wù)端口
local_port = 8585
# subdomain 在全局范圍內(nèi)要確保唯一蚕冬，每個(gè)代理服務(wù)的subdomain不能重名免猾，否則會(huì)影響正常使用。
# 客戶端的subdomain需和服務(wù)端的subdomain_host配合使用
subdomain = a

# 代理服務(wù)二  囤热，各項(xiàng)配置說明請(qǐng)參考配置組一
[http-b]
type = http
local_port = 8686
subdomain = b

啟動(dòng) 客戶端

在frp解壓目錄下右鍵打開 powershell 或者cmd猎提，執(zhí)行如下命令

 ./frpc.exe -c .\frpc.ini

如果窗口提示 『start proxy success』 ，則代表frp服務(wù)端和frp客戶端的通信隧道建立成功

測(cè)試訪問

在瀏覽器里面訪問 http://a.dev.msh.com旁蔼、測(cè)試本地的web服務(wù)是否已經(jīng)暴露給外網(wǎng)

六忧侧、問題解疑

疑問： 為什么要搭建自己的內(nèi)網(wǎng)穿透服務(wù)，而不是購買類似花生殼這種收費(fèi)的內(nèi)網(wǎng)穿透服務(wù)牌芋？

解疑： 花生殼收費(fèi)過高蚓炬，一個(gè)旗艦版的一年都需要868元，而且只有4個(gè)端口映射躺屁，意味著只有4名開發(fā)人員同時(shí)用都可能不夠肯夏。一個(gè)中型的互聯(lián)網(wǎng)公司都有四五十人或者上百人，如果用花生殼的話犀暑，每年都需要三四萬花費(fèi)驯击，顯然不是個(gè)小數(shù)目。而對(duì)于一家互聯(lián)網(wǎng)公司耐亏，都是有自己的服務(wù)器資源和域名資源的徊都，既然如此，何不搭建一個(gè)自有的內(nèi)網(wǎng)穿透服務(wù)广辰？

疑問：微信小程序只支持https協(xié)議,而剛搭建的是http內(nèi)網(wǎng)穿透暇矫，不適用怎么辦？

解疑： 可以在微信Web開發(fā)者工具里面找到項(xiàng)目設(shè)置择吊，把 『不校驗(yàn)合法域名李根、業(yè)務(wù)域名、TLS版本以及HTTPS證書』 項(xiàng)勾選即可几睛。這樣就可以在生產(chǎn)環(huán)境下走https協(xié)議房轿，本地開發(fā)環(huán)境下走http協(xié)議

關(guān)于生產(chǎn)環(huán)境下怎么部署https，請(qǐng)參考本人在掘金上的這篇文章全站HTTPS升級(jí)系列

另外關(guān)于本地開發(fā)環(huán)境下怎么部署https，曾經(jīng)嘗試過mkcert囱持、jdk的keystore ,然而最終沒有找打一個(gè)切實(shí)可行的方案

疑問：我搭建的內(nèi)網(wǎng)穿透服務(wù)夯接，怎么限定只有內(nèi)部成員可用，防止外人隨意『搭便車』纷妆？

解疑： 可以基于token參數(shù)來完成身份驗(yàn)證钻蹬。服務(wù)端和客戶端的 common 配置中的 token 參數(shù)一致則身份驗(yàn)證通過。