1.
准备与前提
列出目标:降低海外用户到你业务的延迟。准备项:柬埔寨VPS或机柜(建议金边/Phnom Penh),SSH密钥,本地测试机(Linux/Mac/WSL),域名与DNS管理权限。
2.
选择供应商与规格
优先选择本地或邻近网络质量好的机房,CPU 2核、内存2–4GB、带宽按流量估算(建议每用户50–200kbps),确保提供公网固定IPv4与可配置防火墙。
3.
初始化服务器(系统与账号)
登录后执行:apt update && apt upgrade -y;添加管理员用户:adduser deploy && usermod -aG sudo deploy;配置SSH:编辑/etc/ssh/sshd_config,禁用PermitRootLogin,改默认端口(如2222),重启sshd。
4.
基本防火墙与安全
安装并配置ufw:apt install ufw -y;ufw default deny incoming;ufw allow 2222/tcp;ufw allow 80,443/tcp;ufw enable。安装fail2ban:apt install fail2ban -y,启用SSH保护。
5.
网络转发与内核优化(开启BBR)
编辑/etc/sysctl.conf,加入:net.ipv4.ip_forward=1、net.core.default_qdisc=fq、net.ipv4.tcp_congestion_control=bbr,并应用sysctl -p。加载模块:modprobe tcp_bbr,确认:sysctl net.ipv4.tcp_congestion_control。
6.
部署Nginx作为反向代理/缓存
安装:apt install nginx -y;在/etc/nginx/sites-available/建立配置,示例proxy_pass http://后端IP:端口;加入proxy_cache与gzip压缩,提高海外访问命中率。测试并重启:nginx -t && systemctl restart nginx。
7.
搭建WireGuard隧道用于稳定转发
安装:apt install wireguard -y。生成密钥:wg genkey | tee /etc/wireguard/privatekey | wg pubkey > /etc/wireguard/publickey。创建/etc/wireguard/wg0.conf,配置Interface(私钥、监听端口)、Peer(对端公钥、AllowedIPs)。启用IP转发并设置NAT:iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE;systemctl enable --now wg-quick@wg0。
8.
把中转与应用对接(两种场景)
场景A(用户通过中转访问海外资源):在用户端下发WireGuard配置,所有流量或指定IP段走柬埔寨节点。场景B(中转到国外源站):在柬埔寨机房用Nginx做反代到源站并保持长连接/HTTP2,减少握手延迟。
9.
监测与流量测试
安装mtr、ping、curl测试延迟;使用mtr -r -c 100 目标IP查看丢包与跳数;用wg show查看隧道状态;用ss -tn或netstat检查连接。建议部署简单Prometheus+Grafana或Netdata监控带宽/延迟指标。
10.
常见优化补充项
开启TCP keepalive与长连接,调整worker_connections、worker_rlimit_nofile(Nginx),启用缓存与gzip,合理配置TLS(使用现代套件与OCSP stapling),必要时使用GeoDNS引导就近访问柬埔寨中转节点。
11.
问:部署柬埔寨中转服务器能否保证所有海外用户低延迟?
答:不能保证“所有”,但对东南亚、南亚和部分中国周边国家效果最好。对欧美用户,中间多跳仍会带来延迟,需结合多节点或CDN。
12.
问:成本与带宽如何估算?
答:按并发连接与平均带宽估算:并发用户×每用户平均带宽(kbps)÷8得到KB/s,乘以小时/天计流量。选择有固定公网带宽计费或按流量计费时注意峰值。
13.
问:常见故障如何排查?
答:首先用mtr定位丢包跳点;确认WireGuard隧道和NAT是否生效(wg show、iptables -t nat -L);检查sysctl参数是否生效(sysctl -a | grep bbr);查看带宽是否被上限限速。
来源:一步步教你部署柬埔寨中转服务器保障海外用户低延迟访问