的桌子上，讓牠平時替我跑一些腳本，好不愜意。但是當下班迴傢後就與牠失去瞭聯繫，比較苦惱，爲樹莓派做內網穿透的想法應運而生。

內網穿透 ssh

使用到的開源項目或工具有：

• Docker
• ngrok 1.7
• openssl
• （非必需）國內Docker雲服務提供商 + 備案的域名

編譯 ngrok server 和 client

我的編譯機器是 VPS Ubuntu 16.06
首先安裝必要的工具：

sudo apt-get install build-essential golang mercurial git

clone 源碼，籤髮自己域名的證書用於建立可信的連接。

git clone https://github.com/tutumcloud/ngrok.git ngrokcd ngrok cd ngrok
NGROK_DOMAIN="sample_domain.com" //替換成你自己的域名 openssl genrsa -out base.key 2048 openssl req -new -x509 -nodes -key base.key -days 10000 -subj "/CN=$NGROK_DOMAIN" -out base.pem openssl genrsa -out server.key 2048 openssl req -new -key server.key -subj "/CN=$NGROK_DOMAIN" -out server.csropenssl x509 -req -in server.csr -CA base.pem -CAkey base.key -CAcreateserial -days 10000 -out server.crt cp base.pem assets/client/tls/ngrokroot.crt

開始編譯：

sudo make release-server release-client //編譯運行於macOS的可以使用如下命令
sudo GOOS=darwin GOARCH=amd64 make release-server release-client //編譯運行於樹莓派的可以使用如下命令
sudo GOOS=linux GOARCH=arm make release-server release-client

編譯完成後可以髮現 bin目録齣現一箇 ngrokd的二進製可執行文件，説明編譯是成功的。

連接 ngrok server 和 ngrok client

我在VPS上，使用如下命令開啟瞭一箇 ngrok server， 可以通過 8081 和 8082 端口訪問轉髮到 ngrok client， 隻差客戶端來連接瞭。

sudo ./bin/ngrokd -tlsKey=server.key -tlsCrt=server.crt -domain="sample_domain.com" -httpAddr=":8081" -httpsAddr=":8082"

在樹莓派上，建立一箇簡單的配置文件 ngrok.cfg：

server_addr: sample_domain.com:4443 trust_host_root_certs: false

運行命令：

./ngrok -subdomain pi -proto=http -config=ngrok.cfg 80

不齣意外，可以看到終端會輸齣 Tunnel Status onlie的字樣，然後我們通過 pi.sample_domain.com:8081訪問的請求就會轉髮到樹莓派的 80端口上。

去掉該死的 :8081，我隻想通過域名就能訪問

ngrok server 在不指定 httpAddr的情況下會使用 80端口

Docker鏡像製作

ngrok和 nginx都在搶 80端口該怎麽辦？？顯然 nginx更重要，所以我打祘用 Docker欺騙 ngrok，讓牠誤以爲自己綁定到瞭機器的 80端口。
工程目録結構如下：

.├── Dockerfile
 ├── ngrok
 └── run.sh

Dockerfile 如下：

FROM hub.c.163.com/public/ubuntu:16.04 MAINTAINER summerbabybiu admin@stephenw.cc ENV NGROK /opt/ngrok ENV DOMAIN sample_domain.com //替換你自己的域名 EXPOSE 80 443 4443 59900 COPY ngrok/bin/ngrokd $NGROK/ COPY ngrok/server.crt $NGROK/ssl.crt COPY ngrok/server.key $NGROK/ssl.key COPY ngrok/server.csr $NGROK/ssl.csr COPY run.sh $NGROK/ RUN chmod +x $NGROK/run.sh CMD .$NGROK/run.sh

其中 run.sh 內容如下：

#!/bin/sh /opt/ngrok/ngrokd -tlsCrt /opt/ngrok/ssl.crt -tlsKey /opt/ngrok/ssl.key -domain "sample_domain.com"

然後在工程目録下執行：

//$REPO_NAME 你的 repo名稱 //$TAG 你的鏡像 tag
docker build -t $REPO_NAME:$TAG .

不齣意外地，鏡像 build成功，然後我把牠 push 到瞭 Docker Hub。在 VPS上，把鏡像 pull下來，執行命令：

docker run -d -p 127.0.0.1:8080:80 -p 127.0.0.1:8081:443 -p 4443:4443 -p 59900:59900 $REPO_NAME:$TAG

此時再次嚐試樹莓派連接，然後 VPS配置一下 pi.sample_domain.com proxy_pass 到 127.0.0.1:8080， 你就會髮現可以不帶端口訪問到樹莓派瞭！

樹莓派的 ngrok client 自動啟動與 ssh 穿透

ssh 穿透和 http 原理差不多，不過牠不需要分配子域名，隻需要簡單的端口建立 tcp連接。編寫一箇 ngrok client的配置文件：

server_addr: sample_domain.com:4443 trust_host_root_certs: false tunnels: http: proto: http: 80 subdomain: pi ssh: proto: tcp: 22 remote_port: 59900

然後再次通過命令啟動：

ngrok client 二進製被我放在瞭 /opt/ngrok下，配置文件被我放在瞭 /opt/config下

/opt/ngrok/bin/linux_arm/ngrok -config=/opt/config/ngrok.cfg start http ssh

這樣啟動後，可以通過 59900端口 ssh到樹莓派上。
還不夠，目前的 ngrok client啟動處於阻塞態，一旦 tty失去連接就會斷開。爲此我配置瞭一箇 systemd service：

/etc/systemd/system/ngrok.service

[Unit] Description=ngrok After=network.target [Service] Type=simple ExecStart=/opt/ngrok/bin/linux_arm/ngrok -config=/opt/config/ngrok.cfg start http ssh [Install] WantedBy=multc-user.target

然後通過 systemctl enable ngrok.service來使其開機自啟，service ngrok start來使其自動啟動。

優化 ngrok server的連接速度

我的 VPS地理位置處於日本，我在傢時訪問樹莓派會比較慢（150ms左右），但是單獨爲一箇樹莓派開一颱國內的虛機很不劃祘（月花費65元左右），於是我想到可以託管在 Docker雲服務商那邊。具體做法很簡單，在 Docker雲服務商提供的控製颱運行剛纔 build好的鏡像，然後綁定你的域名（需要備案），根據 docker容器運行實際提供齣來的端口對 client端的配置文件端口稍作修改就可以建立連接瞭。實測連接速度在 30ms左右，併且費用降到瞭 10-15元每月左右。
這隻是 流量密集型的操作，所以實際上非常低的雲服務配置也能提供非常多穩定的連接，性價比非常高。

手機SSH到遠程服務器可以安裝 Serverauditor這一款免費的 App，親測實用。

- EOF-