Tikrok 3.0
现代化内网穿透解决方案 - 精简架构,高性能,无限扩展
项目简介
Tikrok 是一个企业级高性能内网穿透平台,采用 入口分离 + 数据平面无限扩展 的云原生架构设计。
核心特性
| 特性 | 说明 |
|---|---|
| 🚀 无限扩展 | tikrokd-proxy 数据平面可水平无限扩展,支持 Kubernetes HPA 自动扩缩容 |
| 🏗️ 精简架构 | 仅四个核心组件,部署简单,运维成本低 |
| 📡 多协议支持 | HTTP/HTTPS/TCP/UDP 全协议支持,满足各种场景需求 |
| 🔀 SMUX 多路复用 | 单连接多隧道,减少资源消耗,提升连接效率 |
| ⚡ KCP 传输 | 基于 UDP 的高可靠传输层,降低延迟 30-50% |
| 🔐 企业级安全 | 多层次 Token 认证、会话密钥加密、访问控制、审计日志 |
企业级特性
| 特性 | 描述 |
|---|---|
| 👥 多租户架构 | 用户注册、登录、订阅计划、资源隔离,支持 SaaS 模式运营 |
| 🎫 Token 分层管理 | 集成令牌(ti_)、用户令牌(tu_)、API Key 三层认证,精细权限控制 |
| 📊 流量统计计费 | 实时流量监控、用量统计、配额管理,支持按量计费模式 |
| 🔄 高可用容灾 | 无状态设计、自动故障转移、节点健康检查、优雅关闭机制 |
| 📈 监控可观测 | Prometheus 指标、节点状态监控、隧道生命周期追踪 |
| 🛡️ 连接安全保障 | SMUX keepalive 检测、连接超时清理、幂等资源管理 |
🔒 安全优势:可控端口暴露
创始人说:设计 Tikrok 时,我反复思考一个问题——端口暴露风险是内网穿透的宿命吗?
费斯汀格法则告诉我:生活中 10%由事件组成,90%由你的反应决定。
端口暴露风险客观存在,这是那 10%。但**如何应对,决定了安全的 90%**:
- ❌ 消极应对:开放多端口 → 每个端口都是攻击入口 → 被动挨打
- ✅ 主动应对:单端口穿透架构 → 集中管控、最小暴露 → 掌控安全命运
我选择主动应对。单端口架构不仅锁死了攻击面,还意外收获了百万级连接承载能力——因为无状态设计让每个端口都能无限扩展。这就是"正确应对"的蝴蝶效应。
传统内网穿透方案需要在防火墙开放大量端口,带来严重安全隐患。Tikrok 采用单端口穿透架构:
| 对比项 | 传统方案 | Tikrok 方案 |
|---|---|---|
| 防火墙端口 | 每个隧道一个公网端口 (22, 8080, 3306...) | 仅开放 2 个端口 (8000/9000) |
| 端口暴露风险 | 高风险 - 多端口多攻击面 | 低风险 - 单入口集中管控 |
| 防火墙规则 | 复杂 - 需频繁更新规则 | 简单 - 固定规则,永不变更 |
| 端口扫描暴露 | 易被发现 - 多端口探测 | 隐藏性好 - 最小端口暴露 |
| 流量审计 | 分散难以审计 | 集中入口,统一审计 |
架构优势:
传统方案 (危险):
防火墙开放: 22, 8080, 3306, 5353, 6379... ← 多端口暴露
│ │ │ │ │
▼ ▼ ▼ ▼ ▼
SSH Web MySQL DNS Redis ← 每个服务直接暴露
Tikrok 方案 (安全):
防火墙开放: 仅 8000, 9000 ← 最小端口暴露
│ │
▼ ▼
OpenResty tikrokd-proxy ← 统一入口,集中管控
│ │
└─────────┤
▼
用户服务池 (SSH/Web/MySQL...) ← 服务隐藏在内网
 |
1
5wunian OP 目前经过几个月的迭代,迭代到第 3 版,目前市场上这块是最优的低成本解决方案。相对之前传统的内网穿透方案,速度更高效地抢占带宽。
|
|
2
5wunian OP 支持 SDK 集成,为企业内部的小程序服务赋能。
|
|
3
5wunian OP 支持企业平台集成管理接口
|
|
4
5wunian OP 有需要给我留言,目前内测中
|
 |
5
nomansky 13 小时 25 分钟前
个人除外,从没见过啥企业级场景需要内网穿透。做什么业务需要这个场景?
|
|
6
5wunian OP 1 Nas 场景,比如小企业级的私有数据
2 是小程序开发场景了 目前有 Fnos 依赖这个来收费,也希望 Fnos 能来谈合作,为用户提供多层次的二级三级域名服务,而不是多开端口 |
|
7
5wunian OP 企业也就小企业用的多,中小企业通常开公网带宽,一年 3W 多些。我这个方案便宜,几百或几 K 。
|
|
8
5wunian OP 目前是云计算时代,在 K8s 网络内测时提供公网服务,并且系统灵活。不像 frp ,需要提前配置。
|
 |
9
jackOff 13 小时 16 分钟前
你这个是比单体 nginx 反向代理服务多了自动请求分流服务器拓展的设计?我水平太低无法评价
|
|
10
5wunian OP 在很多大公司,申请公网域名不是很方便。但是使用这套系统,可以完整地与 OA 系统集成。
|
|
12
5wunian OP nginx 在定制软件中用的多,但在互联网标准化产品中,已经过时了。
|
|
13
jackOff 13 小时 10 分钟前
主要是现在小微企业能不能随便打洞是个问题,我总是担心会出现小企业打洞被运营商拉闸家宽,最终爆发用户和小企业的法律纠纷事件
|
|
14
5wunian OP 是的,所以这也就是为什么是企业级的方案原因。这块充分做了优化 单一的端口连接,极大的降低了法律问题。
|
|
15
5wunian OP 单一固定的 DNS 服务链接,提供公网服务。
|
|
16
5wunian OP 只限于内部产品使用,并发只有几万个连接,还是足够的。
|
|
17
5wunian OP 比如工厂公司的 ERP 系统,可以极大降低成本。
|
|
18
5wunian OP 从 3W ,降到 几千。一样可以异地办公,不需要使用 VPN 和公网带宽。
|
|
19
5wunian OP 特别是只有 30 多个人的小公司的 ERP 系统,我看到过有的为此专门搞了公网 IP 要 3W 左右。真是太费钱了。
|
Select Language