coturn常见问题解答：开发者与运维必看

【免费下载链接】coturn coturn TURN server project 项目地址: https://gitcode.com/GitHub_Trending/co/coturn

在实时音视频通信中，NAT（网络地址转换）穿越是开发者和运维人员面临的常见挑战。coturn作为一款开源的TURN（Traversal Using Relays around NAT）服务器，能够有效解决这一问题。本文将解答coturn在配置、部署、性能优化等方面的常见问题，帮助用户快速定位并解决问题。

一、基础概念与安装

1.1 什么是coturn？

coturn是一个开源的TURN和STUN服务器实现，TURN（Traversal Using Relays around NAT）是一种网络地址转换穿越技术，常用于WebRTC（网页实时通信）等实时音视频场景，帮助处于不同NAT环境下的设备建立连接。STUN（Session Traversal Utilities for NAT）则用于发现设备在NAT后的公网地址和端口。

coturn支持多种协议和认证机制，如UDP、TCP、TLS、DTLS，以及长期凭证机制、TURN REST API等，能够满足不同场景的需求。

1.2 如何安装coturn？

coturn的安装方式主要有两种：通过包管理器安装和源码编译安装。

通过包管理器安装（以Ubuntu为例）：

apt install coturn

安装完成后，可通过以下命令启动服务：

turnserver --log-file stdout

通过Docker安装：

docker run -d -p 3478:3478 -p 3478:3478/udp -p 5349:5349 -p 5349:5349/udp -p 49152-65535:49152-65535/udp coturn/coturn

更多Docker相关配置可参考Docker Readme。

源码编译安装：

首先克隆仓库：

git clone https://gitcode.com/GitHub_Trending/co/coturn
cd coturn

安装依赖：

# Ubuntu/Debian
apt install libevent-dev libssl-dev

编译安装：

./configure
make
make install

二、配置相关问题

2.1 coturn的配置文件在哪里？

coturn的默认配置文件路径通常为/etc/turnserver.conf或/usr/local/etc/turnserver.conf。用户也可以在启动时通过-c参数指定自定义配置文件路径。

项目中提供了配置文件示例，路径为examples/etc/turnserver.conf，用户可参考该示例进行配置。

2.2 如何配置coturn的监听端口？

coturn的默认监听端口如下：

• UDP和TCP：3478
• TLS和DTLS：5349

用户可在配置文件中通过以下参数修改监听端口：

# UDP和TCP监听端口
listening-port=3478
# TLS和DTLS监听端口
tls-listening-port=5349

如果需要配置备用端口，可使用以下参数：

# UDP和TCP备用监听端口（默认监听端口+1）
alt-listening-port=0
# TLS和DTLS备用监听端口（默认TLS监听端口+1）
alt-tls-listening-port=0

2.3 如何配置NAT穿透？

当coturn服务器部署在NAT环境后时，需要配置公网IP与内网IP的映射，以便客户端能够正确识别服务器的公网地址。可通过external-ip参数进行配置：

# 单个IP映射
external-ip=公网IP/内网IP
# 多个IP映射
external-ip=公网IP1/内网IP1
external-ip=公网IP2/内网IP2

例如，服务器内网IP为192.168.1.100，公网IP为203.0.113.10，则配置为：

external-ip=203.0.113.10/192.168.1.100

2.4 如何配置认证机制？

coturn支持多种认证机制，常用的有长期凭证机制（lt-cred-mech）和TURN REST API（use-auth-secret）。

长期凭证机制（lt-cred-mech）：

1. 在配置文件中启用长期凭证机制：

lt-cred-mech

2. 添加用户账号，可通过配置文件静态添加或使用数据库存储。

静态添加用户（不推荐用于生产环境）：

user=用户名:密码

密码可以是明文，也可以是通过turnadmin工具生成的密钥。例如，生成密钥：

turnadmin -k -u ninefingers -r north.gov -p youhavetoberealistic

输出结果为密钥，如0xbc807ee29df3c9ffa736523fb2c4e8ee，然后在配置文件中添加：

user=ninefingers:0xbc807ee29df3c9ffa736523fb2c4e8ee

使用数据库存储用户（推荐）：

coturn支持SQLite、MySQL、PostgreSQL、Redis、MongoDB等数据库存储用户信息。以SQLite为例，配置文件中指定数据库路径：

userdb=/var/db/turndb

数据库 schema 可参考turndb/schema.sql。

TURN REST API（use-auth-secret）：

TURN REST API是一种基于时间限制的长期凭证机制，适用于WebRTC等场景。

1. 在配置文件中启用TURN REST API：

use-auth-secret

2. 设置静态认证密钥：

static-auth-secret=your_secret_key

客户端通过密钥生成临时凭证，格式为用户名:时间戳，密码为base64(hmac(secret key, 用户名:时间戳))。

2.5 如何配置日志？

coturn的日志配置可通过以下参数实现：

# 指定日志文件路径
log-file=/var/tmp/turn.log
# 禁用标准输出日志
no-stdout-log
# 将日志输出到系统日志
syslog
# 设置日志时间戳格式
new-log-timestamp
new-log-timestamp-format "%FT%T%z"

通过配置日志，可方便地排查服务器运行过程中出现的问题。

三、部署与运维

3.1 如何将coturn配置为系统服务？

在支持systemd的系统中，可通过以下步骤将coturn配置为系统服务：

1. 创建服务文件/etc/systemd/system/coturn.service，内容参考examples/etc/coturn.service。

2. 启用并启动服务：

systemctl enable coturn
systemctl start coturn

3.2 如何检查coturn服务是否正常运行？

可通过以下命令检查coturn服务状态：

systemctl status coturn

或查看日志文件，确认是否有错误信息。

此外，可使用turnutils_stunclient工具测试STUN功能：

turnutils_stunclient stun.example.org

如果返回服务器的公网地址和端口，则说明服务正常运行。

3.3 coturn支持哪些数据库？

coturn支持多种数据库用于存储用户信息和认证密钥，包括：

• SQLite
• MySQL/MariaDB
• PostgreSQL
• Redis
• MongoDB

配置数据库连接的参数如下：

SQLite：

userdb=/path/to/turndb

MySQL：

mysql-userdb="host=数据库地址 dbname=数据库名 user=用户名 password=密码 port=端口"

PostgreSQL：

psql-userdb="host=数据库地址 dbname=数据库名 user=用户名 password=密码 connect_timeout=30"

Redis：

redis-userdb="ip=数据库地址 dbname=数据库编号 password=密码 port=端口"

MongoDB：

mongo-userdb="mongodb://[username:password@]host1[:port1][,host2[:port2]]/database"

详细配置可参考官方文档docs/MySQL.md、docs/PostgreSQL.md等。

四、性能优化

4.1 如何优化coturn的并发连接数？

coturn的并发连接数受服务器硬件、网络带宽和配置参数的影响。以下是一些优化建议：

1. 调整中继线程数：通过relay-threads参数设置中继线程数，默认根据CPU核心数自动调整。在虚拟环境中，可通过cpus参数手动指定CPU核心数。

# 设置中继线程数
relay-threads=4
# 手动指定CPU核心数
cpus=4

2. 调整端口范围：coturn默认使用49152-65535端口范围用于UDP中继，可根据实际需求调整端口数量，以支持更多并发连接。

min-port=49152
max-port=65535

3. 启用负载均衡：当单台服务器无法满足需求时，可部署多台coturn服务器，通过DNS SRV、ALTERNATE-SERVER机制或网络负载均衡器实现负载均衡。

4.2 如何限制coturn的带宽使用？

可通过以下参数限制单个会话或服务器的总带宽：

# 单个会话的最大带宽（字节/秒）
max-bps=1000000
# 服务器总带宽（字节/秒）
bps-capacity=10000000

4.3 如何启用Prometheus监控？

coturn支持Prometheus监控，可通过以下步骤启用：

1. 在配置文件中启用Prometheus：

prometheus
prometheus-port=9641  # 默认端口为9641

2. 重启coturn服务。

3. 在Prometheus配置文件中添加coturn的监控目标：

scrape_configs:
  - job_name: 'coturn'
    static_configs:
      - targets: ['coturn-server-ip:9641']

启用Prometheus监控后，可查看连接数、带宽使用等指标，便于进行性能分析和优化。详细信息可参考docs/Prometheus.md。

五、常见错误与解决方法

5.1 客户端无法连接到coturn服务器

可能原因：

• 服务器端口未开放或被防火墙拦截。
• NAT配置错误，客户端无法获取正确的公网地址。
• 认证信息错误。

解决方法：

• 检查服务器防火墙规则，确保3478、5349等端口允许UDP和TCP流量通过。
• 确认external-ip参数配置正确，可通过STUN测试工具验证。
• 检查认证机制配置，确保用户名、密码或密钥正确。

5.2 coturn日志中出现“Allocation quota exceeded”错误

原因：

用户或服务器的总分配配额达到上限，配额由user-quota和total-quota参数控制，默认值为0（无限制）。

解决方法：

• 增大配额限制或设置为0（无限制）：

user-quota=0
total-quota=0

• 如果使用数据库存储用户信息，可在数据库中为特定域设置配额。

5.3 客户端连接时出现“401 Unauthorized”错误

原因：

认证失败，可能是由于用户名或密码错误，或认证机制配置不当。

解决方法：

• 检查客户端使用的认证信息是否正确。
• 确认coturn的认证机制配置正确，如lt-cred-mech或use-auth-secret是否启用，用户信息是否正确添加。

六、总结

coturn作为一款功能强大的TURN/STUN服务器，在WebRTC等实时音视频场景中应用广泛。本文解答了coturn在配置、部署、性能优化等方面的常见问题，涵盖了从基础概念到高级配置的各个方面。

通过合理配置coturn的参数、选择合适的认证机制、优化性能并及时排查错误，能够确保coturn服务器稳定高效地运行，为实时音视频通信提供可靠的NAT穿越支持。

如需更多帮助，可参考coturn的官方文档README.md、docs/目录下的相关文档，或参与项目的GitHub讨论。

【免费下载链接】coturn coturn TURN server project 项目地址: https://gitcode.com/GitHub_Trending/co/coturn