基于容器化与微服务架构的无限路由器：云原生网络控制平台实践

1. 项目概述：一个“无限”路由器的诞生

最近在折腾家庭网络和边缘计算项目时，我遇到了一个经典难题：如何在资源受限的硬件上，实现一个功能强大、可扩展且易于管理的网络路由与策略中心？市面上的成品路由器固件，要么功能单一，要么过于臃肿，要么就是配置起来让人头大。就在我准备自己动手从零开始编译OpenWrt时，我在GitHub上发现了genoshide/infinity-router这个项目。这个名字就很有意思——“无限路由器”，它暗示的是一种不受限的、可无限扩展的网络控制能力。

简单来说，infinity-router是一个基于容器化技术构建的、模块化的软路由与网络服务框架。它没有选择传统的嵌入式Linux固件路线，而是拥抱了Docker和Kubernetes生态，将路由、防火墙、DNS、DHCP、负载均衡乃至各种网络应用（如透明代理、内网穿透、流量审计）都拆解成了独立的微服务容器。你可以把它看作是一个专为网络功能而生的“乐高积木”平台，核心提供了一个轻量级的编排引擎和网络数据平面，所有的功能都通过“即插即用”的容器镜像来提供。

这解决了我的几个核心痛点：首先，部署极其灵活。我不再需要为特定的硬件刷写特定的固件，只要这台机器能跑Docker，它就能成为infinity-router的宿主。无论是闲置的旧笔记本、树莓派，还是云服务器，都能一键化身功能路由器。其次，功能组合无限。需要去广告？拉取一个AdGuard Home的模块。需要异地组网？启用一个Tailscale或Zerotier的模块。所有服务独立运行，互不干扰，升级回滚也异常方便。最后，配置即代码。整个路由器的状态可以通过一份声明式的YAML配置文件来定义和管理，非常适合纳入版本控制系统，实现网络基础设施的DevOps实践。

对于网络爱好者、家庭Lab玩家、中小型企业需要定制网络方案的IT人员，或是任何厌倦了传统路由器黑盒操作、渴望更透明、更可控网络环境的朋友，infinity-router都提供了一个极具吸引力的新思路。它不是在已有的轮子上修补，而是用云原生的思维，重新“组装”了一辆网络功能的跑车。

2. 核心架构与设计哲学拆解

2.1 为什么是容器化与微服务？

传统路由器固件，无论是OpenWrt、pfSense还是OPNsense，本质上都是一个高度定制化的、单体式的操作系统。所有网络服务（dnsmasq、firewall、pppd等）都紧密耦合在同一个系统镜像中。这带来了稳定性和性能优化，但牺牲了灵活性和可维护性。添加一个新功能往往需要重新编译整个固件，或者寻找兼容性存疑的第三方插件。

infinity-router反其道而行之，其首要设计哲学就是“解耦”。它认为，路由器的每一个功能单元都应该是独立、可替换的。容器化技术（Docker）是实现这一目标的完美载体。每个容器拥有独立的文件系统、网络命名空间和进程空间，但又能通过Linux内核的网络能力（如网桥、veth pair、iptables/netfilter、TC）高效地交换数据包。

这种架构带来了几个显著优势：

1. 隔离性：一个模块（如DNS服务器）的崩溃或配置错误，不会影响其他模块（如防火墙或路由转发）的正常运行。这对于追求高可用的网络环境至关重要。
2. 可移植性：容器镜像包含了运行所需的所有依赖，确保了“一次构建，到处运行”。你为x86_64架构构建的模块，同样可以运行在ARM64的树莓派上，只要宿主机内核支持。
3. 敏捷交付与回滚：功能更新变成了简单的容器镜像拉取和重启。如果新版本有问题，可以瞬间回滚到上一个已知稳定的镜像版本，整个恢复过程以秒计。
4. 生态融合：可以直接利用Docker Hub上浩如烟海的成熟应用镜像，稍作网络配置即可将其集成到你的路由器中。例如，直接使用官方的nginx镜像作为负载均衡器，使用redis镜像作为缓存数据库。

2.2 核心组件：控制平面与数据平面

infinity-router的架构可以清晰地划分为控制平面和数据平面，这是借鉴了现代SDN（软件定义网络）的思想。

数据平面是负责实际转发网络数据包的高速通道。在infinity-router中，数据平面的核心是Linux内核本身。项目通过精心配置Linux的网络栈来承担这一角色：

• 网络命名空间（Network Namespace）：这是实现网络隔离和虚拟化的基石。infinity-router会创建多个独立的网络命名空间，例如ns_wan用于连接外网，ns_lan用于连接内网，ns_dmz用于隔离服务器。每个容器可以接入一个或多个特定的命名空间。
• 虚拟网络设备：使用veth pair（虚拟以太网对）连接不同的网络命名空间，使用bridge（网桥）在同一个命名空间内连接多个设备（模拟交换机）。
• 流量控制：利用tc（Traffic Control）工具在内核层面实现流量整形、优先级队列（QoS），保证关键业务（如视频会议）的带宽。
• 包过滤与转发：核心依赖于iptables/nftables（或为高性能准备的ebtables、bpfilter）来构建防火墙规则、NAT（网络地址转换）和策略路由。

控制平面则是负责管理、配置和监控数据平面的“大脑”。infinity-router的控制平面由一系列容器化的微服务构成：

• 编排引擎：一个轻量级的服务，负责解析用户的声明式配置（YAML），然后调用Docker API来创建、启动、停止和连接各个功能容器。它确保了系统的实际状态与期望状态一致。
• 配置管理服务：集中管理所有网络模块的配置。它可能提供一个Web UI或REST API，将用户的配置转换为每个容器内部的特定配置文件（如dnsmasq.conf、nginx.conf）。
• 状态监控与收集器：收集各个容器的日志、资源使用情况（CPU、内存、网络IO）以及网络栈的关键指标（如连接数、带宽使用、丢包率），并通过Prometheus等工具暴露出来，供Grafana可视化。
• 动态服务发现：集成如Consul或etcd，当新的服务容器（例如一个自建的Web服务器）启动时，自动更新内部DNS记录或负载均衡器的上游列表。

这种分离使得数据平面可以保持极简和高性能（因为就是原生Linux内核），而控制平面则可以变得非常复杂和智能，且可以独立升级演进。

2.3 模块化设计：功能即插件

这是infinity-router最吸引人的部分。项目定义了一套标准的模块接口规范。一个模块就是一个实现了特定网络功能的Docker容器。标准接口通常包括：

• 健康检查端点：容器必须提供一个HTTP或TCP端口，供编排引擎检查其是否运行正常。
• 配置注入方式：约定配置文件的挂载路径（如/etc/infinity-router/config/），控制平面会将配置写入该路径。
• 网络接入声明：在模块的元数据（如docker-compose.yml或自定义标签）中声明它需要接入哪个网络命名空间（如lan、wan）。
• 生命周期钩子：提供脚本入口点，用于在容器启动后、停止前执行特定的网络配置命令（如手动添加一条路由）。

基于这套规范，社区可以贡献各种各样的功能模块：

• 核心网络模块：dhcp-server（提供DHCP服务）、dns-forwarder（DNS转发与缓存）、firewall（防火墙规则管理）。
• 高级服务模块：openvpn-server/wireguard-server（VPN接入）、socks5-proxy（代理服务）、traffic-monitor（深度流量分析）。
• 集成应用模块：ad-blocker（基于DNS或HTTP的去广告）、parental-control（家长控制）、guest-wifi（访客网络隔离）。

你可以像在手机上安装App一样，通过编辑主配置文件，轻松启用或禁用这些模块。例如，下面是一个简化的配置片段，展示了如何声明启用一个去广告模块和一个VPN服务器模块：

modules: adguard-home: enable: true image: adguard/adguardhome:latest network_mode: host # 此模块需要主机网络模式以捕获所有DNS请求 volumes: - ./data/adguard/work:/opt/adguardhome/work - ./data/adguard/conf:/opt/adguardhome/conf wireguard: enable: true image: linuxserver/wireguard:latest cap_add: - NET_ADMIN - SYS_MODULE volumes: - ./data/wireguard/config:/config - /lib/modules:/lib/modules network_namespace: wan # 此模块接入WAN命名空间

3. 从零开始部署与实践指南

3.1 硬件与宿主环境准备

infinity-router对硬件的要求非常宽松，核心是宿主机的Linux内核版本和Docker环境。

硬件选择建议：

• 最低配置：任何能流畅运行Linux的x86或ARM设备均可。例如，树莓派4B（2GB内存）即可作为功能丰富的家庭主路由。
• 推荐配置：对于需要处理千兆带宽、运行多个服务的场景，建议使用低功耗x86工控机（如J4125、N5105平台），配备4GB以上内存，以及多个Intel i210/i225网卡。多网口对于物理隔离WAN/LAN非常方便。
• 网卡注意事项：务必选择Linux驱动支持良好的网卡。Intel和Realtek的主流型号通常没问题。避免使用某些需要额外编译驱动的小众网卡。

宿主操作系统安装：

1. 安装一个纯净的、轻量级的Linux发行版。Ubuntu Server LTS或Debian是最佳选择，因为它们拥有最广泛的社区支持和稳定的软件源。避免使用桌面版，以减少不必要的资源开销。
2. 系统安装时，建议采用最小化安装，只选择SSH server和基础工具。如果你的设备只有单个网口，也完全没问题，infinity-router可以通过VLAN或单臂路由方式工作。
3. 系统安装完成后，首先更新系统：sudo apt update && sudo apt upgrade -y。

Docker与Docker Compose安装： 这是infinity-router的运行时依赖，必须安装。

# 安装Docker官方GPG密钥和仓库 sudo apt-get install -y ca-certificates curl sudo install -m 0755 -d /etc/apt/keyrings sudo curl -fsSL https://download.docker.com/linux/debian/gpg -o /etc/apt/keyrings/docker.asc sudo chmod a+r /etc/apt/keyrings/docker.asc echo \ "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] https://download.docker.com/linux/debian \ $(. /etc/os-release && echo "$VERSION_CODENAME") stable" | \ sudo tee /etc/apt/sources.list.d/docker.list > /dev/null sudo apt-get update # 安装Docker引擎和Compose插件 sudo apt-get install -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin # 验证安装 sudo docker run hello-world docker compose version

注意：很多教程会安装独立的docker-compose（Python版本），但官方已推荐使用集成在Docker CLI中的docker compose插件（Go版本），命令是docker compose（有空格）。infinity-router的部署脚本通常会适配后者。

3.2 获取与初始化Infinity Router

genoshide/infinity-router项目本身主要提供的是编排逻辑、配置模板和模块定义。部署时，我们实际上是拉取一个包含了启动脚本和基础配置的“安装器”。

# 1. 克隆仓库（或下载发布包） git clone https://github.com/genoshide/infinity-router.git cd infinity-router # 2. 查看目录结构 ls -la # 通常会看到：docker-compose.yml（主编排文件）、config/（配置目录）、modules/（模块定义）、scripts/（工具脚本）、.env（环境变量模板） # 3. 复制环境变量模板并编辑 cp .env.example .env nano .env

在.env文件中，你需要配置最关键的几个变量：

• INFINITY_DATA_PATH=/path/to/your/data：设置所有持久化数据（配置、日志、数据库）的存储根目录。务必将其指向一个容量充足、非系统盘的路径。
• INFINITY_WAN_INTERFACE=eth0：指定连接互联网的物理网卡名称。使用ip link命令查看。
• INFINITY_LAN_INTERFACE=eth1：指定连接内部局域网的物理网卡名称。如果是单网口，这里可以留空或与WAN相同，后续通过VLAN配置。
• INFINITY_MANAGEMENT_IP=192.168.100.1：设置管理网络的IP地址，用于通过Web或SSH访问控制平面。

3.3 核心网络配置详解

这是部署中最关键也最容易出错的一步。infinity-router通过配置宿主机的网络来创建数据平面。

双网口（WAN/LAN分离）标准配置： 这是最直观的模式。假设eth0接光猫/上级路由，eth1接交换机或AP。

1. 禁用宿主机网络管理器：像NetworkManager、systemd-networkd这类工具会干扰我们的手动配置，最好先禁用。

   sudo systemctl stop NetworkManager sudo systemctl disable NetworkManager sudo systemctl stop systemd-networkd sudo systemctl disable systemd-networkd

2. 配置WAN口：WAN口通常只需要一个DHCP客户端获取IP，或者配置PPPoE。infinity-router可能会启动一个专门的dhcp-client或pppoe-client容器来处理这个接口。在宿主机上，我们只需确保eth0是up状态，并且没有配置IP。

   sudo ip link set eth0 up # 清空可能存在的IP地址 sudo ip addr flush dev eth0

3. 配置LAN口与网桥：LAN侧我们通常创建一个网桥br-lan，将物理接口eth1和后续容器需要的虚拟接口都加入这个网桥。

   # 创建网桥 sudo ip link add name br-lan type bridge sudo ip link set br-lan up # 将物理LAN口加入网桥 sudo ip link set eth1 master br-lan sudo ip link set eth1 up # 给网桥分配内网IP，这就是你路由器的LAN口IP sudo ip addr add 192.168.1.1/24 dev br-lan

4. 配置内核转发与NAT：启用IP转发，并设置MASQUERADE规则，让内网设备能通过WAN口上网。

   sudo sysctl -w net.ipv4.ip_forward=1 # 持久化设置 echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf # 设置iptables NAT规则（如果使用nftables，规则会不同） sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE # 保存iptables规则（根据发行版不同） sudo apt-get install -y iptables-persistent sudo netfilter-persistent save

单网口（单臂路由）配置： 如果你的设备只有一个网口（比如云服务器或某些迷你主机），你需要通过VLAN或利用现有网络。

• VLAN方案：需要一个支持VLAN的交换机。将单网口eth0配置为Trunk口，承载VLAN 10（WAN）和VLAN 20（LAN）的流量。然后在宿主机上创建对应的VLAN子接口。

  sudo apt install vlan sudo modprobe 8021q # 创建VLAN子接口 sudo ip link add link eth0 name eth0.10 type vlan id 10 # WAN sudo ip link add link eth0 name eth0.20 type vlan id 20 # LAN sudo ip link set eth0.10 up sudo ip link set eth0.20 up

  之后，将eth0.10当作WAN口，eth0.20加入br-lan网桥，后续步骤与双网口类似。
• 旁路由/网关方案：不改变现有网络拓扑，将infinity-router作为旁路网关。设备只有一个IP（如192.168.1.100），所有需要特殊服务的客户端将网关指向它。这种模式下，infinity-router的WAN和LAN在逻辑上是同一个接口，配置防火墙和路由规则时需要格外小心，避免环路。

3.4 启动与基础模块验证

完成上述网络配置后，就可以启动infinity-router的核心服务了。

# 在项目根目录下，使用docker compose启动 docker compose up -d # 查看所有容器状态 docker compose ps # 查看核心容器的日志，确保没有报错 docker compose logs core -f

启动成功后，你应该能看到多个容器在运行，至少包括一个core（编排引擎）、一个web-ui（管理界面）等。

首次访问与配置：

1. 打开浏览器，访问你设置的管理IP，例如https://192.168.100.1:8443（端口可能根据配置变化）。
2. 首次登录通常需要创建管理员账户。
3. 进入管理界面后，首先检查“网络概览”或“节点状态”，确认WAN口已成功获取到IP（如果是DHCP），LAN网桥状态正常。
4. 启用基础模块：在“模块仓库”或“服务”页面，找到并启用最核心的几个模块：
   • DHCP Server：为LAN内设备自动分配IP地址。配置地址池范围（如192.168.1.100-192.168.1.200）、租期、DNS服务器（可以指向路由器自身IP，或者公共DNS如223.5.5.5）。
   • DNS Forwarder：负责DNS解析。可以配置上游DNS服务器，并启用缓存加速本地解析。
   • Firewall：配置基本的防火墙策略。通常预设规则已经够用：允许LAN到WAN的转发，拒绝WAN到LAN的主动入站连接。

验证网络连通性：

1. 将一台电脑通过网线连接到br-lan所在的物理接口或交换机。
2. 将电脑设置为自动获取IP（DHCP）。
3. 电脑应该能获取到192.168.1.x网段的IP，网关和DNS均为192.168.1.1。
4. 尝试ping 192.168.1.1，应该能通。
5. 尝试ping 223.5.5.5（阿里DNS），如果通，说明路由和NAT配置成功，内网设备可以上网了。

4. 高级功能模块实战与集成

基础路由搞定后，就可以开始搭建你的“无限”网络服务中心了。infinity-router的威力在于其模块生态。

4.1 构建智能家庭DNS与广告过滤（AdGuard Home集成）

虽然可以自己写配置集成AdGuard Home，但更简单的方式是直接使用社区维护的infinity-adguard模块定义。

1. 添加模块仓库：在管理UI的“模块仓库”中，添加包含infinity-adguard的仓库URL。
2. 安装与配置：找到AdGuard Home模块，点击安装。安装过程中，需要配置：
   • 数据卷：指定AdGuard Home的工作目录和配置目录，用于持久化数据。
   • 网络模式：通常选择host模式或接入br-lan网桥，以确保它能监听所有设备的DNS请求（端口53）。
   • 上游DNS：在AdGuard Home的Web界面（通常运行在3000端口）中，设置更快速、纯净的上游DNS，如tls://dns.alidns.com或https://doh.pub/dns-query。
3. 重定向DNS流量：关键一步是让所有设备的DNS请求都发往AdGuard Home。有两种方式：
   • DHCP强制推送：在DHCP Server模块的配置中，将“DNS服务器”选项设置为AdGuard Home容器的IP（如果是host模式，就是宿主机IP）。
   • 防火墙重定向：在Firewall模块中添加一条iptables规则，将目标端口为53且不是发往AdGuard Home的UDP/TCP流量，重定向到AdGuard Home。

     # 示例iptables规则（需在防火墙模块的自定义规则中添加） iptables -t nat -A PREROUTING -i br-lan -p udp --dport 53 -j DNAT --to 192.168.1.1:53 iptables -t nat -A PREROUTING -i br-lan -p tcp --dport 53 -j DNAT --to 192.168.1.1:53

4. 效果验证：设备重启或续租DHCP后，打开一个带有广告的网页，同时查看AdGuard Home的查询日志和拦截统计，你应该能看到大量的域名解析请求和被拦截的广告、跟踪域名。

4.2 搭建全隧道异地组网（WireGuard模块）

WireGuard是现代、高效、配置简单的VPN协议，非常适合用于组建虚拟局域网。

1. 安装WireGuard模块：从模块仓库安装infinity-wireguard。
2. 生成密钥对：模块首次启动时，通常会在配置目录下自动生成服务端的公钥和私钥。记下服务端的公钥（public key）。
3. 配置服务端：在WireGuard模块的配置界面或配置文件中，定义VPN子网（如10.10.0.0/24），并添加客户端配置。

   # 服务端配置文件示例 (wg0.conf) [Interface] Address = 10.10.0.1/24 ListenPort = 51820 PrivateKey = <服务器私钥> # 客户端1 [Peer] PublicKey = <客户端1的公钥> AllowedIPs = 10.10.0.2/32 # 客户端2，并允许其访问整个LAN [Peer] PublicKey = <客户端2的公钥> AllowedIPs = 10.10.0.3/32, 192.168.1.0/24

4. 配置防火墙：在Firewall模块中，放行UDP 51820端口（WireGuard监听端口）。同时，需要添加规则允许从wg0接口（WireGuard虚拟接口）到br-lan的转发，并做相应的MASQUERADE，以便VPN客户端能访问内网和上网。

   iptables -A FORWARD -i wg0 -o br-lan -j ACCEPT iptables -A FORWARD -i br-lan -o wg0 -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t nat -A POSTROUTING -s 10.10.0.0/24 -o br-lan -j MASQUERADE

5. 客户端连接：在手机或电脑上安装WireGuard客户端，创建新的隧道，填入服务端的公钥、端点（你的公网IP:51820），以及自己的私钥和分配到的IP（如10.10.0.2）。连接后，即可像在本地一样访问家庭网络中的所有设备。

4.3 实现透明网络流量分析与审计（Ntopng集成）

想了解家里谁在看视频、谁在下载、哪个设备产生了异常流量？Ntopng是一个强大的网络流量探针和可视化工具。

1. 安装Ntopng模块：由于其需要直接捕获网络数据包，通常需要以特权模式运行，并挂载宿主机的网络命名空间。
2. 配置抓包接口：在模块配置中，指定需要监听的网络接口，通常是br-lan（所有内网流量）和eth0（所有外网流量）。
3. 访问与使用：启动后，通过https://<路由器IP>:3000访问Ntopng Web界面。你可以看到实时的流量仪表盘、主机排名、协议分布、历史流量图等。
4. 设置流量策略：基于Ntopng发现的流量模式，你可以返回到Firewall模块或QoS模块，对特定IP、特定协议（如P2P下载）进行限速或阻断。

重要心得：高级模块的集成，核心在于理解网络命名空间和流量路径。一个容器需要接入哪个命名空间（host, wan, lan, 或自定义的），决定了它能“看到”和“影响”哪些网络流量。在配置任何涉及流量转发或拦截的模块时，画一个简单的流量路径图会极大减少调试时间。

5. 运维、监控与故障排查实录

5.1 日常运维操作

• 模块更新：在管理UI的“模块管理”页面，通常有“检查更新”按钮。更新前，务必阅读该模块的更新日志，了解是否有破坏性变更。建议在低峰期进行更新，并做好重要模块（如DHCP、DNS）的回滚准备（即备份好其数据卷）。
• 配置备份：infinity-router的所有核心配置都保存在你指定的INFINITY_DATA_PATH目录下（以及.env文件）。定期备份这个目录是整个路由器配置备份的最可靠方式。可以使用rsync或borg等工具进行增量备份到远程存储。
• 日志管理：所有容器的日志默认由Docker管理。使用docker compose logs <service_name>查看实时日志。对于长期运维，建议将日志集中收集到ELK（Elasticsearch, Logstash, Kibana）或Grafana Loki堆栈中。可以启用一个loki和promtail模块，自动收集所有容器日志。
• 资源监控：除了Ntopng监控流量，还需要监控宿主机的CPU、内存、磁盘IO。可以部署infinity-prometheus和infinity-grafana模块。Prometheus负责抓取宿主机和各个容器的指标，Grafana则用于制作精美的监控仪表盘。

5.2 常见问题与排查技巧

即使设计再精良，在实际部署中也会遇到各种问题。下面是我踩过的一些坑和解决方法。

问题1：容器启动后，内网设备无法上网（能ping通路由器）。

• 排查思路：
  1. 检查核心服务：docker compose ps确认core、dhcp-server、dns-forwarder、firewall容器状态是否为Up。
  2. 检查DNS：在内网设备上执行nslookup www.baidu.com。如果解析失败，问题出在DNS。登录路由器管理界面，检查DNS Forwarder模块的日志，看其是否正常启动并连接到了上游DNS。尝试在设备上手动设置DNS为114.114.114.114，如果此时能上网，则确认是DNS问题。
  3. 检查路由与NAT：在路由器宿主机上，执行iptables -t nat -L POSTROUTING -v -n。查看是否有针对WAN口（如eth0）的MASQUERADE规则，以及该规则的包计数器是否在增加。如果没有规则或计数器不动，说明NAT未生效。检查Firewall模块的配置，确保NAT规则已启用。
  4. 检查内核转发：执行cat /proc/sys/net/ipv4/ip_forward，确认是否为1。
  5. 追踪数据包：在路由器上使用tcpdump抓包，是终极调试手段。

     # 在WAN口抓包，看是否有内网IP发出的包 sudo tcpdump -i eth0 -n # 在LAN口抓包，看内网设备发出的包是否到达路由器 sudo tcpdump -i br-lan -n host <内网设备IP>

     如果LAN口能看到请求包，但WAN口看不到对应的NAT后的包，问题一定出在路由或防火墙的FORWARD链上。

问题2：某个功能模块（如AdGuard Home）的Web界面无法访问。

• 排查思路：
  1. 检查容器状态与日志：docker compose logs adguard-home -f查看有无启动错误。
  2. 检查端口映射：docker compose port adguard-home 80（或3000）查看容器端口映射到宿主机的哪个端口。确认你访问的IP和端口是否正确。
  3. 检查容器网络：docker network inspect infinity-router_default查看自定义网络详情，确认该容器是否连接到了正确的网络，IP地址是什么。
  4. 检查宿主防火墙：宿主机自身的防火墙（如ufw或firewalld）可能阻塞了端口。确保宿主机防火墙已放行相关端口，或者考虑将容器网络模式设置为host以绕过Docker的网络隔离（但要注意端口冲突）。

问题3：网络性能不理想，高速下载时CPU占用高。

• 排查思路：
  1. 定位瓶颈点：使用htop或nmon观察是哪个进程CPU高。如果是iptables/nftables相关进程，说明防火墙规则可能过于复杂。如果是docker-proxy，说明可能使用了低效的端口映射模式。
  2. 优化数据平面：
     • 使用macvlan或ipvlan网络驱动：对于需要高性能的网络容器（如WireGuard），可以尝试使用macvlan网络模式，让容器直接使用物理网卡的MAC和IP，绕过Docker的虚拟网桥和NAT，性能接近原生。
     • 简化防火墙规则：合并相似的规则，减少规则链的遍历次数。对于大流量转发，考虑使用nftables代替iptables，或者使用ebtables处理桥接流量。
     • 关闭不用的模块：每个运行的容器都会消耗资源。停用暂时不需要的模块。
  3. 硬件考量：如果设备是ARM架构（如树莓派）或老旧x86 CPU，其加解密性能可能较弱。如果VPN速度是瓶颈，考虑换用性能更强的硬件，或者选择加密开销更小的协议（如WireGuard相比OpenVPN）。

问题4：配置混乱，想恢复初始状态。

• 解决方案：
  1. 停止所有服务：docker compose down。
  2. 备份现有配置：cp -r $INFINITY_DATA_PATH $INFINITY_DATA_PATH.backup.$(date +%Y%m%d)。
  3. 清理持久化数据：谨慎操作！删除$INFINITY_DATA_PATH下对应模块的数据目录（如adguard、wireguard），但保留config目录下的核心YAML配置文件。
  4. 重新启动：docker compose up -d。模块会使用镜像内的默认配置重新初始化。
  5. 重建配置：通过Web UI重新配置被清理的模块。

5.3 性能调优与安全加固建议

性能调优：

• 选择高性能网络驱动：对于数据平面核心容器，评估使用host网络模式或macvlan。
• 调整内核参数：针对网络性能，可以调整/etc/sysctl.conf中的参数，如增加TCP缓冲区大小、启用TCP快速打开等。

  net.core.rmem_max = 134217728 net.core.wmem_max = 134217728 net.ipv4.tcp_rmem = 4096 87380 134217728 net.ipv4.tcp_wmem = 4096 65536 134217728 net.ipv4.tcp_fastopen = 3

• 使用硬件加速：如果网卡支持，并作为主路由处理大量NAT流量，可以研究内核的Flow Offloading或网卡本身的硬件加速特性。

安全加固：

• 最小化暴露面：管理界面（Web UI）仅监听内网IP，或通过VPN访问。关闭宿主机上所有不必要的服务端口。
• 定期更新：定期更新宿主机系统、Docker引擎以及所有infinity-router的模块镜像，以修补安全漏洞。
• 模块权限控制：在docker-compose.yml中，为每个模块严格定义cap_add（添加的能力）和cap_drop（丢弃的能力），遵循最小权限原则。非特权容器应drop所有CAP_能力。
• 网络隔离：为不同的服务模块创建独立的Docker网络或网络命名空间，严格限制容器间的通信。例如，将数据库容器和Web应用容器放在一个内部网络，不让其直接暴露在LAN网络中。
• 审计与日志：确保所有安全相关模块（如防火墙、认证服务）的日志被完整记录，并设置日志轮转，避免磁盘被撑满。

部署和运维infinity-router的过程，就像在搭建和维护一个微缩版的云网络。它给了你无与伦比的灵活性和控制力，但同时也要求你具备更扎实的网络知识和排错能力。每一次问题的解决，都会让你对Linux网络栈、容器网络和现代网络架构有更深的理解。这不仅仅是搭建了一个路由器，更是构建了一个属于你自己的、可无限演进的网络实验平台。