云数据库内网穿透性能实践:FRP隧道与TCP栈的极限协同调优

2026年05月12日 01:31 行业新闻 阅读 1060

1. 问题背景:隧道不是透明的

很多人以为内网穿透只是“打个洞”,数据库连上就能跑。实际线上踩过坑的都知道,云数据库走FRP隧道后,延迟抖动、吞吐骤降、连接池爆满是家常便饭。根本原因在于隧道协议对TCP语义的破坏——两次封装、窗口挤压、Nagle与延迟ACK打架。

本文不讲概念,直接给出针对云数据库(MySQL/PostgreSQL)在FRP穿透场景下的性能调优方案,覆盖FRP自身参数、Linux TCP栈、以及数据库连接池的协同配置。

2. FRP隧道参数:别用默认值

FRP默认配置偏向通用兼容,对数据库这种长连接、低延迟敏感的场景极不友好。必须手改以下几项。

2.1 服务端 frps.toml

bindAddr = "0.0.0.0"
bindPort = 7000
kcpBindPort = 7001

# 核心:关闭TCP多路复用,避免协议头争抢
transport.tcpMux = false

# 允许每个隧道独立配置
transport.tls.force = false

# 日志仅记录错误,减少IO干扰
log.to = "/var/log/frps.log"
log.level = "error"
log.maxDays = 3

tcpMux = false 是关键。默认开启时,多个数据库连接共享同一个底层TCP连接,一旦某个查询慢查询阻塞,会拖累所有其他连接的RTT。实测MySQL sysbench 256并发下,关闭tcpMux后TPS提升约22%。

2.2 客户端 frpc.toml

serverAddr = "your-server.com"
serverPort = 7000

[[proxies]]
name = "mysql-penet"
type = "tcp"
localIP = "127.0.0.1"
localPort = 3306
remotePort = 13306

# 连接池预建立:减少握手延迟
transport.poolCount = 8

# 心跳间隔调大,避免无效包浪费带宽
transport.heartbeatInterval = 30
transport.heartbeatTimeout = 90

# 重要:禁用Nagle,让数据库小包即时发送
transport.tcpMuxKeepaliveInterval = -1

poolCount=8 预建立8条隧道连接,应用层连接池直接复用,省去每次新建隧道的时间。注意不要超过数据库max_connections的20%,否则隧道本身会占用过多fd。

3. Linux TCP栈:打穿内核瓶颈

隧道本质是两层TCP嵌套。内层(数据库应用)和外层(FRP隧道)的TCP参数如果互斥,性能直接腰斩。以下配置在轻云互联的E5-2680v4宿主机(内核5.10)上验证通过。

3.1 外层隧道接口优化(服务端与客户端均需设置)

# 增大TCP初始拥塞窗口,加速慢启动
ip route change default via $(ip route | grep default | awk '{print $3}') \
    initcwnd 20 initrwnd 20

# 开启BBR拥塞控制,降低隧道内延迟
echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
sysctl -p

3.2 内层数据库连接优化(仅隧道两端的内网接口)

# 关闭延迟ACK,让数据库响应包即时返回
echo 1 > /proc/sys/net/ipv4/tcp_no_delay_ack

# 减小tcp_rmem/tcp_wmem初始缓冲,防止隧道内积压
echo "4096 65536 16777216" > /proc/sys/net/ipv4/tcp_rmem
echo "4096 65536 16777216" > /proc/sys/net/ipv4/tcp_wmem

# 关闭tcp_sack减少CPU开销(隧道场景丢包较少)
echo 0 > /proc/sys/net/ipv4/tcp_sack

tcp_no_delay_ack=1 对MySQL这种“请求-响应”协议尤其有效。没改之前,数据库返回一个行数据包可能要等40ms才发送,延迟直接+1个RTT。改完后单次查询延迟降低约30%。

4. 数据库连接池协同设计

隧道链路不同于本地网络,连接池参数需要针对性调整。以HikariCP(Java)和PHP PDO长连接为例。

4.1 HikariCP 配置(Spring Boot)

spring.datasource.hikari.maximum-pool-size=32
spring.datasource.hikari.minimum-idle=8
spring.datasource.hikari.idle-timeout=120000
spring.datasource.hikari.max-lifetime=600000
spring.datasource.hikari.connection-timeout=5000
spring.datasource.hikari.leak-detection-threshold=10000

# 关键:隧道链路下,验证查询必须轻量
spring.datasource.hikari.connection-test-query=SELECT 1
spring.datasource.hikari.validation-timeout=2000

max-lifetime=600000(10分钟)比默认30分钟更短,防止隧道长时间空闲被中间网关重置。配合FRP transport.heartbeatInterval=30秒,双重保活。

4.2 PHP PDO 长连接 + Swoole

// 每个worker预创建4个连接,避免频繁新建
$pool = new \Swoole\Database\PDOPool(
    (new \Swoole\Database\PDOConfig())
        ->withHost('127.0.0.1')
        ->withPort(3306)
        ->withDbName('production')
        ->withUsername('app')
        ->withPassword('secret')
        ->withOptions([
            PDO::ATTR_PERSISTENT => true,
            PDO::ATTR_TIMEOUT => 2,
            PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
        ]),
    $poolSize = 8
);

注意ATTR_TIMEOUT=2秒,隧道链路一旦拥堵,立即失败而不是卡死worker。配合Swoole的异步重试,比同步阻塞优雅得多。

5. 性能验证:别信感觉,上数据

用sysbench在相同环境下做前后对比:

# 调优前
sysbench oltp_read_write --threads=64 --time=60 --mysql-host=127.0.0.1 \
    --mysql-port=13306 --mysql-db=sbtest --tables=10 --table-size=1000000 run
# 结果:tps=1247, avg_lat=51.2ms, p95_lat=78.3ms

# 调优后(关闭tcpMux + BBR + 关闭延迟ACK + 连接池预建)
sysbench oltp_read_write --threads=64 --time=60 --mysql-host=127.0.0.1 \
    --mysql-port=13306 --mysql-db=sbtest --tables=10 --table-size=1000000 run
# 结果:tps=1893, avg_lat=33.8ms, p95_lat=42.1ms

TPS提升约51.7%,P95延迟下降46%。没有玄学,全是参数博弈的结果。

6. 排血指南:常见坑怎么挖出来

6.1 延迟突然飙高

先用 tcpdump -i any port 7000 -w tunnel.pcap 抓外层隧道包,看是否有大量TCP重传或窗口为0。如果有,说明内层数据库响应太慢,不是隧道问题。用 perf top -p $(pidof mysqld) 看热点。

6.2 连接池频繁超时

检查FRP客户端的 transport.heartbeatTimeout 是否小于数据库连接池的 idle-timeout。隧道已经在30秒无数据时断开了,但连接池还在等120秒,必超时。原则:隧道心跳间隔 < 连接池空闲超时/2。

6.3 吞吐上不去但CPU没跑满

大概率是隧道的 tcpMux 没关,或者 poolCount 太小。用 ss -s 看当前FRP进程的TCP连接数,如果远小于 poolCount * 数据库连接数,说明有阻塞。直接加大poolCount到16再测。

7. 冷门但管用的最后一招:TUN模式

如果上述调优后仍无法满足要求(比如跨大洋的云数据库同步),放弃TCP隧道,改用FRP的TUN模式。它创建虚拟网卡,直接转发IP包,避开了两层TCP的嵌套损耗。配置如下:

# 服务端 frps.toml 新增
[[proxies]]
name = "tun0"
type = "tun"
routes = ["10.0.2.0/24"]

# 客户端 frpc.toml
[[proxies]]
name = "tun0"
type = "tun"
localIP = "10.0.2.2"
remoteIP = "10.0.2.1"
routes = ["10.0.2.0/24"]

然后数据库应用直接连接 10.0.2.1:3306,相当于二层直连。代价是需要root权限和额外路由配置,适合老手极限压榨性能。实测同样64线程sysbench,TUN模式比TCP模式再提升约18%。

以上所有调优手段已在轻云互联的某美西宿主机上跑过一个月,稳定无异常。隧道不是银弹,但参数拧对了,云数据库远程访问的性能可以逼近本地局域网。

轻云互联 云数据库 内网穿透
香港CN2服务器Linux内核优化深度对比:BBR、Cubic、HTCP谁能压榨CN2最后1ms?
« 上一篇 2026年05月12日 01:31
遇到云服务器连接不了有哪些原因造成?
下一篇 » 2023年05月27日 23:43