Apache Traffic Server 中的四层路由技术解析

Apache Traffic Server 中的四层路由技术解析

什么是四层路由

Apache Traffic Server（ATS）作为一款高性能的代理和缓存服务器，提供了四层（传输层）路由功能。这种路由方式允许ATS在网络传输层（TCP/UDP）上转发数据，而不需要对应用层数据进行解析或修改。

四层路由的核心特点是：

• 工作在OSI模型的传输层（TCP/UDP）
• 仅检查初始连接数据以确定转发目标
• 后续数据直接双向转发，不进行内容处理
• 性能开销低，适合高吞吐量场景

四层路由工作原理

ATS实现四层路由的基本流程如下：

1. 客户端建立TCP连接到ATS
2. ATS读取初始数据包（如TLS Client Hello）
3. 根据配置规则确定目标服务器
4. ATS建立到目标服务器的连接
5. 初始数据转发到目标服务器
6. 后续数据在客户端和目标服务器间双向透传

这种工作模式类似于netcat工具的功能，但提供了更丰富的配置和管理能力。

SNI路由详解

SNI（Server Name Indication）路由是ATS中最常用的四层路由方式，它基于TLS握手阶段的SNI扩展字段进行路由决策。

SNI路由配置

SNI路由通过sni.yaml文件进行配置，主要配置项包括：

sni:
- tunnel_route: 目标服务器:端口
  fqdn: 匹配的SNI域名
  tunnel_prewarm: true  # 是否启用连接预热
  tunnel_alpn: [h2]     # 支持的ALPN协议

典型应用场景

1. 内部服务暴露：将边缘节点的TLS连接直接透传到内部服务，避免在边缘节点终止TLS
2. 客户端证书验证：由后端服务直接处理客户端证书验证，无需在边缘节点处理
3. 协议透传：支持WebSocket、gRPC等需要长连接的应用协议

配置示例

假设有以下内部服务需要暴露：

• service1.example.com → 192.168.1.10:443
• service2.example.com → 192.168.1.20:8443

对应配置为：

sni:
- tunnel_route: 192.168.1.10:443
  fqdn: service1.example.com
- tunnel_route: 192.168.1.20:8443
  fqdn: service2.example.com

同时需要在records.yaml中配置允许连接的端口：

proxy.config.http.connect_ports: "443 8443"

TLS连接预热技术

为了减少TLS握手带来的延迟，ATS提供了TLS连接预热功能。

预热机制特点

• 每个网络线程维护独立的连接池
• 按路由类型、SNI和ALPN分组管理连接
• 可配置最小/最大连接数
• 支持连接超时和空闲超时设置

预热配置示例

sni:
- fqdn: api.example.com
  partial_blind_route: backend.example.com:443
  tunnel_prewarm: true
  tunnel_prewarm_min: 5
  tunnel_prewarm_max: 50
  tunnel_prewarm_inactive_timeout: 120
  tunnel_alpn: [h2]

预热监控指标

ATS提供了丰富的监控指标，包括：

• 当前初始化连接数
• 当前活跃连接数
• 握手总次数
• 握手总时间
• 命中/未命中统计

性能优化建议

1. 合理设置连接池大小：根据实际流量模式调整最小/最大连接数
2. 配置适当的超时：避免连接长时间空闲占用资源
3. 监控连接命中率：优化预热参数提高性能
4. ALPN协议匹配：确保与后端服务支持的协议一致
5. 端口访问控制：严格限制可连接的后端端口

限制与注意事项

1. 仅支持TLS协议的SNI路由
2. 透传连接无法使用缓存功能
3. 可用的插件钩子有限（仅TS_HTTP_TXN_START_HOOK和TS_HTTP_TXN_CLOSE_HOOK）
4. 需要额外插件处理CONNECT请求的URL修改
5. 日志中URL scheme显示为"tunnel"

通过合理配置ATS的四层路由功能，可以构建高性能、安全的服务代理架构，特别适用于需要直接透传TLS连接的场景。