架构优化 on My Life is Going Onhttps://liuhp.net/tags/%E6%9E%B6%E6%9E%84%E4%BC%98%E5%8C%96/Recent content in 架构优化 on My Life is Going OnHugozh-cnWed, 29 Apr 2026 23:33:59 +0000sucaddy v5.1 架构精简:用 SSH 反向隧道取代自建 Relayhttps://liuhp.net/post/2026-04-29-sucaddy-v5-1-%E6%9E%B6%E6%9E%84%E7%B2%BE%E7%AE%80-%E7%94%A8-ssh-%E5%8F%8D%E5%90%91%E9%9A%A7%E9%81%93%E5%8F%96%E4%BB%A3%E8%87%AA%E5%BB%BA-relay/Wed, 29 Apr 2026 23:33:59 +0000https://liuhp.net/post/2026-04-29-sucaddy-v5-1-%E6%9E%B6%E6%9E%84%E7%B2%BE%E7%AE%80-%E7%94%A8-ssh-%E5%8F%8D%E5%90%91%E9%9A%A7%E9%81%93%E5%8F%96%E4%BB%A3%E8%87%AA%E5%BB%BA-relay/<!-- more --> <h2 id="为什么动了-relay">为什么动了 Relay?</h2> <p>sucaddy 的 Relay 模块最初的设计思路很朴素:把边缘节点的流量通过中继节点转发,实现跨网段互通。代码里手写了一套 AES-256-GCM 加密,用 FIFO 队列管理连接,单连接模式跑通信。</p> <p>用着用着问题就出来了:</p> <ol> <li><strong>FIFO 死连接</strong>:旧连接不释放,把队列占满,新连接挤不进去</li> <li><strong>没有多路复用</strong>:一个连接只能传一个流,并发能力为零</li> <li><strong>断线重连有间隙</strong>:1 秒空窗期间请求直接丢,实测成功率只有 67%</li> </ol> <p>每次排查这些问题都让我怀疑人生——这些功能 SSH 原生不就自带吗?为什么我要自己写一遍,还写得这么烂?</p> <h2 id="方案对比自建-vs-成熟方案">方案对比:自建 vs 成熟方案</h2> <table> <thead> <tr> <th>维度</th> <th style="text-align: center">自建 Relay</th> <th style="text-align: center">SSH 反向隧道</th> </tr> </thead> <tbody> <tr> <td>加密</td> <td style="text-align: center">手写 60 行 AES-256-GCM</td> <td style="text-align: center">SSH 内置 AES-256-GCM</td> </tr> <tr> <td>多路复用</td> <td style="text-align: center">❌</td> <td style="text-align: center">✅ SSH channels</td> </tr> <tr> <td>成功率</td> <td style="text-align: center">67%</td> <td style="text-align: center">100%</td> </tr> <tr> <td>延迟</td> <td style="text-align: center">3.5-4.8s</td> <td style="text-align: center">2.3-2.6s</td> </tr> <tr> <td>代码量</td> <td style="text-align: center">~350 行</td> <td style="text-align: center">0 行</td> </tr> <tr> <td>保活</td> <td style="text-align: center">自己写心跳</td> <td style="text-align: center">autossh + systemd</td> </tr> </tbody> </table> <p>结论很明显:<strong>删掉它</strong>。</p> <h2 id="具体怎么干的">具体怎么干的</h2> <h3 id="ssh-反向隧道拓扑">SSH 反向隧道拓扑</h3> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#282a36;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-fallback" data-lang="fallback"><span style="display:flex;"><span>边缘节点 → 中心节点 :端口A → 边缘节点本地服务(直连回内网) </span></span><span style="display:flex;"><span>边缘节点 → 中心节点 :端口B → 边缘节点出墙链路 </span></span></code></pre></div><ul> <li>中心节点上用 systemd + autossh 保活,断线自动重连</li> <li>边缘节点用 cron keepalive 防止 NAT 超时</li> <li>一条命令搞定:<code>ssh -R [端口]:[目标地址]:[目标端口] user@host</code></li> </ul> <h3 id="naiveproxy-新增-tcpaddr-路由">NaiveProxy 新增 <code>tcp:ADDR</code> 路由</h3> <p>在 NaiveProxy 里加了一个新的路由类型:<code>route: tcp:ADDR</code>。用户认证成功后,直接转发到本地指定端口(比如 SSH 隧道的入口)。大约 25 行代码,替代了整个 relay 入口模块。</p>