核心特性

高性能隧道

三层架构

多协议支持

安全可靠

易于配置

跨平台兼容

NodePass架构

数据传输流程

• 用于信令的非加密TCP连接

• 隧道生命周期内的持久连接

• 基于URL的信令协议

• 协调连接隧道建立

• 可配置的TLS加密（3种模式）

• 按需为每个连接创建

• 高效的连接池系统

• 同时支持TCP和UDP协议

安全特性

安装指南

系统要求

• Go 1.24或更高版本(从源代码构建时需要)

• 服务器和客户端端点之间的网络连接

• 绑定1024以下端口可能需要管理员权限

安装方法

1. 访问 GitHub 上的发布页面

2. 下载适合您操作系统的二进制文件(Windows、macOS、Linux)

3. 如有必要，解压缩档案

4. 使二进制文件可执行(Linux/macOS)：

1. 将二进制文件移动到PATH中的位置：

• Linux/macOS：sudo mv nodepass /usr/local/bin/

• Windows：将位置添加到PATH环境变量

• 安装或更新NodePass

• 创建和配置多个nodepass服务

• 管理（启动/停止/重启/删除）nodepass服务

• 自动设置systemd服务

• 使用可自定义选项配置客户端和服务器模式

验证安装

NodePass API参考

概述

主控模式API

1. 创建和管理NodePass服务器和客户端实例

2. 监控连接状态和统计信息

3. 控制运行中的实例（启动、停止、重启）

4. 通过参数配置行为

基本URL

• <api_addr>是主控模式URL中指定的地址（例如0.0.0.0:9090）

• <prefix>是可选的API前缀（如果未指定，则使用随机生成的ID作为前缀）

启动主控模式

可用端点

API认证

• 使用带有认证的反向代理

• 通过网络策略限制访问

• 启用TLS加密（tls=1或tls=2）

前端集成指南

• 实例配置自动保存到磁盘

• 实例状态（运行/停止）得到保留

• 流量统计数据在重启之间保持

• 重启后无需手动重新注册

1. 创建：存储实例配置和URL

1. 状态监控：定期轮询状态

1. 控制操作：启动、停止、重启实例

流量统计

1. 启用调试模式：流量统计功能仅在启用调试模式时可用。

1. 基本流量指标：NodePass周期性地提供TCP和UDP流量在入站和出站方向上的累计值，前端应用需要存储和处理这些值以获得有意义的统计信息。

1. 数据持久化：由于API只提供累计值，前端必须实现适当的存储和计算逻辑。

实例ID持久化

1. 前端应用可以安全地使用实例ID作为唯一标识符

2. 实例配置、状态和统计数据在重启后自动恢复

3. 不再需要实现实例ID变化的处理逻辑

API端点文档

• 可用的端点

• 必需的参数

• 响应格式

• 请求和响应示例

• 架构定义

访问Swagger UI

最佳实践

可扩展管理

1. 批量操作：实现批量操作以管理多个实例

1. 连接池化：对API请求使用连接池

1. 缓存：缓存实例详情以减少API调用

监控和健康检查

1. API健康检查：验证主控API是否响应

1. 实例健康检查：监控单个实例健康状态

总结

1. 实例持久化 - 存储配置并处理重启

2. 实例ID持久化 - 使用实例ID作为唯一标识符

3. 适当的错误处理 - 从API错误中优雅恢

4. 流量统计 - 收集并可视化连接指标（需要启用调试模式）

配置选项

日志级别

• debug：详细调试信息 - 显示所有操作和连接

• info：一般操作信息(默认) - 显示启动、关闭和关键事件

• warn：警告条件 - 仅显示不影响核心功能的潜在问题

• error：错误条件 - 仅显示影响功能的问题

• fatal：致命条件 - 仅显示导致终止的严重错误

TLS加密模式

• 模式0：无TLS加密（明文TCP/UDP）

1. 最快性能，无开销

2. 数据通道无安全保护（仅在受信任网络中使用）

• 模式1：自签名证书（自动生成）

1. 设置简单的良好安全性

2. 证书自动生成且不验证

3. 防止被动窃听

• 模式2：自定义证书（需要crt和key参数）

1. 具有证书验证的最高安全性

2. 需要提供证书和密钥文件

3. 适用于生产环境

环境变量

连接池调优

• NP_MIN_POOL_CAPACITY：确保最小可用连接数

1. 太低：流量高峰期延迟增加，因为必须建立新连

2. 太高：维护空闲连接浪费资源

3. 推荐起点：平均并发连接的25-50%

• NP_MAX_POOL_CAPACITY：防止过度资源消耗，同时处理峰值负载

1. 太低：流量高峰期连接失败

2. 太高：潜在资源耗尽影响系统稳定性

3. 推荐起点：峰值并发连接的150-200%

• NP_MIN_POOL_INTERVAL：控制连接创建尝试之间的最小时间

1. 太低：可能以连接尝试压垮网络

2. 推荐范围：根据网络延迟，500ms-2s

• NP_MAX_POOL_INTERVAL：控制连接创建尝试之间的最大时间

1. 太高：流量高峰期可能导致池耗尽

2. 推荐范围：根据预期流量模式，3s-10s

• NP_SEMAPHORE_LIMIT：控制最大并发隧道操作数

1. 太低：流量高峰期拒绝连接

2. 太高：太多并发goroutine可能导致内存压力

3. 推荐范围：大多数应用1000-5000，高吞吐量场景更高

UDP设置

• NP_UDP_DATA_BUF_SIZE：UDP数据包缓冲区大小

1. 对于发送大UDP数据包的应用增加此值

2. 默认值(8192)适用于大多数情况

3. 考虑为媒体流或游戏服务器增加到16384或更高

• NP_UDP_READ_TIMEOUT：UDP读取操作超时

1. 对于高延迟网络或响应时间慢的应用增加此值

2. 对于需要快速故障转移的低延迟应用减少此值

• NP_UDP_DIAL_TIMEOUT：UDP拨号超时

1. 对于高延迟网络增加此值

2. 对于需要快速连接的应用减少此值

服务管理设置

• NP_REPORT_INTERVAL：控制健康状态报告频率

1. 较低值提供更频繁的更新但增加日志量

2. 较高值减少日志输出但提供较少的即时可见性

• NP_RELOAD_INTERVAL：控制检查TLS证书变更的频率

1. 较低值更快检测证书变更但增加文件系统操作

2. 较高值减少开销但延迟检测证书更新

• NP_SERVICE_COOLDOWN：尝试服务重启前的等待时间

1. 较低值更快尝试恢复但可能在持续性问题情况下导致抖动

2. 较高值提供更多稳定性但从瞬态问题中恢复较慢

• NP_SHUTDOWN_TIMEOUT：关闭期间等待连接关闭的最长时间

1. 较低值确保更快关闭但可能中断活动连接

2. 较高值允许连接有更多时间完成但延迟关闭

配置配置文件

使用示例

基本服务器设置与TLS选项

• 在所有接口的10101端口上监听隧道连接

• 将流量转发到localhost:8080

• 使用debug日志记录详细信息

• 不对数据通道使用加密（最快性能）

• 自动生成自签名证书

• 提供加密而无需证书管理

• 保护数据流量免受被动窃听

• 适用于内部或测试环境

• 使用您提供的TLS证书和私钥

• 提供具有证书验证的最高安全级别

• 适合生产环境和面向公众的服务

• 允许客户端验证服务器的身份

连接到NodePass服务器

• 连接到server.example.com:10101的NodePass服务器

• 将接收到的流量转发到localhost:8080

• 自动采用服务器的TLS安全策略

• 使用默认的info日志级别

• 连接建立问题

• 信号处理

• 数据传输详情

• 错误情况

通过防火墙访问数据库

• 创建到PostgreSQL数据库（端口5432）的加密隧道

• 允许安全访问数据库而不直接将其暴露于互联网

• 使用自签名证书加密所有数据库流量

• 使远程数据库在客户端上显示为本地服务

安全的微服务通信

• 在两个微服务之间创建安全通道

• 使用自定义证书进行服务身份验证

• 将日志限制为仅警告和错误

• 使服务A的API在服务B上显示为本地服务

物联网设备管理

• 使分布式物联网设备能够安全连接到中央服务器

• 使用自签名证书提供足够的安全性

• 允许嵌入式设备安全地暴露其本地Web界面

• 通过单一端点集中设备管理

多环境开发

• 创建对多个环境（生产、开发、测试）的安全访问

• 根据环境敏感性使用不同级别的日志记录

• 使开发人员能够访问环境而无需直接网络暴露

• 将远程服务映射到不同的本地端口，便于识别

容器部署

• 在服务之间创建容器化隧道

• 使用Docker网络连接容器

• 仅向主机公开必要端口

• 提供对内部Web服务的安全访问

主控API管理

• 为所有NodePass实例提供中央管理界面

• 允许动态创建和控制隧道

• 提供用于自动化和集成的RESTful API

• 包含内置的Swagger UI，位于http://localhost:9090/api/v1/docs

• 与现有API网关集成

• 用于安全或组织目的的自定义URL路径

• 在http://localhost:9090/admin/v1/docs访问Swagger UI

故障排除指南

连接问题

1. 网络连接问题
• 使用ping或telnet验证与服务器地址的基本连接
• 检查指定的端口是否可达：telnet server.example.com 10101
• 确保没有防火墙阻止隧道端口（通常为10101）

2. 服务器未运行
• 在Linux/macOS上使用ps aux | grep nodepass验证NodePass服务器是否运行
• 检查服务器日志中的任何启动错误
• 尝试重启服务器进程

3. 地址错误
• 仔细检查客户端命令中的隧道地址格式
• 确保使用了正确的主机名/IP和端口
• 如果使用DNS名称，验证它们是否解析为正确的IP地址

4. TLS配置不匹配
• 如果服务器需要TLS但客户端不支持，连接将失败
• 检查服务器日志中的TLS握手错误
• 如果使用TLS模式2，确保证书配置正确

1. 目标服务未运行
• 验证目标服务在服务器和客户端两侧是否运行
• 检查是否可以在本地直接连接到该服务

2. 端口冲突
• 确保目标端口没有被其他应用程序占用
• 使用netstat -tuln检查端口使用情况

3. 协议不匹配
• 验证您是否在隧道传输正确的协议（TCP与UDP）
• 某些应用程序需要特定的协议支持

4. 目标地址错误
• 仔细检查服务器和客户端命令中的目标地址
• 对于服务器端目标，确保它们可从服务器访问
• 对于客户端目标，确保它们可从客户端访问

1. 网络不稳定
• 检查您的网络中是否有数据包丢失或高延迟
• 考虑为生产部署使用更稳定的网络连接

2. 资源限制
• 监控客户端和服务器的CPU和内存使用情况
• 如果资源耗尽，调整池参数（参见性能部分）
• 在Linux/macOS上使用ulimit -n检查文件描述符限制

3. 超时配置
• 如果使用具有慢响应时间的UDP，调整UDP_READ_TIMEOUT
• 考虑在操作系统级别调整TCP keepalive设置以支持长寿命连接

4. 服务器过载
• 检查服务器日志中的连接过载迹象
• 调整MAX_POOL_CAPACITY和SEMAPHORE_LIMIT以处理负载
• 考虑用多个NodePass实例水平扩展

证书问题

1. 无效证书
• 验证证书有效性：openssl x509 -in cert.pem -text -noout
• 确保证书没有过期
• 检查证书是否针对正确的域名/IP颁发

2. 证书文件丢失或无法访问
• 确认证书和密钥的文件路径正确
• 验证文件权限允许NodePass进程读取它们
• 通过文本编辑器打开证书检查文件是否损坏

3. 证书信任问题
• 如果使用自定义CA，确保它们被正确信任
• 对于自签名证书，确认使用TLS模式1
• 对于验证证书，确保CA链完整

4. 密钥格式问题
• 确保私钥格式正确（通常为PEM）
• 检查私钥是否有密码保护（不直接支持）

1. 新证书未加载
• 重启NodePass强制加载新证书
• 检查RELOAD_INTERVAL是否设置正确以自动检测变更

2. 证书链不完整
• 确保证书文件中包含完整的证书链
• 验证链顺序：首先是您的证书，然后是中间证书

3. 密钥不匹配

• 验证新证书是否与私钥匹配：

• 如果输出不同，证书和密钥不匹配

性能优化

1. 池配置
• 增加MIN_POOL_CAPACITY以准备更多连接
• 减少MIN_POOL_INTERVAL以更快创建连接
• 如果连接队列堆积，调整SEMAPHORE_LIMIT

2. 网络路径
• 检查网络拥塞或高延迟链路
• 考虑将NodePass部署在更靠近客户端或服务器的位置
• 使用traceroute识别潜在瓶颈

3. TLS开销
• 如果需要极低延迟且安全性不太重要，考虑使用TLS模式0
• 为了平衡，使用带会话恢复的TLS模式1

4. 资源竞争
• 确保主机系统有足够的CPU和内存
• 检查是否有其他进程竞争资源
• 考虑为高流量部署使用专用主机

CPU使用率高

1. 池抖动
• 如果池不断创建和销毁连接，调整时间
• 增加MIN_POOL_INTERVAL以减少连接创建频率
• 为MIN_POOL_CAPACITY和MAX_POOL_CAPACITY找到良好平衡

2. 过度日志记录
• 在生产环境中将日志级别从debug降低到info或warn
• 检查日志是否写入缓慢设备

3. TLS开销
• TLS握手需要大量CPU；考虑会话缓存
• 如果证书验证不太重要，使用TLS模式1而不是模式2

4. 流量体积
• 高吞吐量可能导致CPU饱和
• 考虑跨多个NodePass实例分配流量
• 对于非常高的吞吐量，可能需要垂直扩展（更多CPU核心）

内存泄漏

1. 连接泄漏
• 确保SHUTDOWN_TIMEOUT足够长以正确关闭连接
• 检查自定义脚本或管理代码中的错误处理
• 使用系统工具如netstat监控连接数量

2. 池大小问题
• 如果MAX_POOL_CAPACITY非常大，内存使用会更高
• 监控实际池使用情况与配置容量
• 根据实际并发连接需求调整容量

3. 调试日志
• 在高流量场景中，大量调试日志可能消耗内存
• 在生产环境中使用适当的日志级别

UDP特定问题

1. 缓冲区大小限制
• 如果UDP数据包较大，增加UDP_DATA_BUF_SIZE
• 默认8192字节对某些应用程序可能太小

2. 超时问题
• 如果响应较慢，增加UDP_READ_TIMEOUT
• 对于响应时间变化的应用程序，找到最佳平衡点

3. 高数据包率
• UDP一次处理一个数据报；非常高的速率可能导致问题
• 考虑为高流量UDP应用增加池容量

4. 协议期望
• 一些UDP应用期望特定的数据包顺序或时序行为
• NodePass提供尽力转发，但无法保证超出网络提供的UDP属性

1. 连接映射
• 验证客户端配置是否符合服务器期望
• 检查防火墙是否超时UDP会话跟踪

2. 应用UDP超时
• 一些应用有内置UDP会话超时
• 可能需要调整应用特定的keepalive设置

主控API问题

1. 端点配置
• 验证主控命令中的API地址和端口
• 检查API服务器是否绑定到正确的网络接口

2. TLS配置
• 如果使用HTTPS（TLS模式1或2），确保客户端工具支持TLS
• 对于测试，使用curl -k跳过证书验证

3. 自定义前缀问题
• 如果使用自定义API前缀，确保所有请求中都包含它
• 检查API客户端和脚本中的URL格式

1. JSON格式问题
• 验证请求体是有效的JSON
• 检查API请求中的必填字段

2. URL解析问题
• 确保实例URL格式正确，必要时进行URL编码
• 验证URL参数使用正确格式

3. 实例状态冲突
• 无法删除运行中的实例，必须先停止
• 在执行操作前先用GET检查当前实例状态

4. 权限问题
• 确保NodePass主控具有创建进程的足够权限
• 检查任何引用的证书或密钥的文件系统权限