FRP项目中MySQL容器端口映射问题的分析与解决

问题背景

在使用FRP进行内网穿透时，用户尝试将MySQL容器服务暴露到公网，但遇到了连接被拒绝的问题。与此同时，另一个服务Portainer却能够正常穿透访问。这种部分服务穿透失败的情况值得深入分析。

技术分析

FRP工作原理

FRP通过建立客户端与服务端之间的隧道，将内网服务映射到公网。当配置正确时，外部请求会通过FRPS服务端转发到FRPC客户端，再由客户端转发到本地服务。

容器网络特性

在Docker环境中，每个容器都有自己的网络命名空间和IP地址。容器间的通信需要特别注意网络配置，特别是当FRPC客户端运行在宿主机上时，访问容器服务需要正确的网络路径。

问题根源

经过分析，发现问题的根本原因在于FRPC配置中使用了错误的本地端口指定方式：

1. 用户最初尝试使用容器IP（172.18.0.2）和容器内部端口（3308）进行配置
2. 实际上应该使用宿主机映射的端口，因为FRPC运行在宿主机环境
3. MySQL容器可能没有正确暴露端口到宿主机，或者暴露的端口与配置不符

解决方案

正确的配置方法应该是：

1. 确保MySQL容器通过-p参数将端口映射到宿主机
2. 在FRPC配置中使用宿主机的IP（通常是127.0.0.1）和映射后的端口
3. 验证容器端口确实在监听状态

修改后的配置示例如下：

[[proxies]]
name = "mysql8"
type = "tcp"
localIP = "127.0.0.1"  # 使用宿主机回环地址
localPort = 3306       # 使用宿主机的映射端口
remotePort = 3306      # 公网访问端口

经验总结

1. 区分容器内部网络和宿主机网络是关键
2. FRPC客户端通常运行在宿主机层面，应该配置宿主机可访问的地址和端口
3. 使用docker ps和netstat命令验证端口映射和监听状态
4. 复杂网络环境下，逐步验证各环节连通性很重要

通过理解容器网络原理和FRP的工作机制，可以避免类似的内网穿透配置问题，确保服务能够正确暴露到公网。