password
comment
type
status
date
slug
summary
tags
category
icon
一、 核心架构逻辑
在运营多账号 AI 转发站时,最核心的风险是“连坐封禁”:即一个账号违规导致出口 IP 被拉黑,从而波及该 IP 下的所有账号。
本方案通过 流量染色 技术,利用 Docker 网络网关 IP(如
172.18.0.1)作为桥梁,将宿主机的 3X-UI 端口映射给容器后端,结合 Xray 的负载均衡(Balancer)功能,实现业务逻辑与物理节点的解耦。- 精准隔离:每个账号绑定唯一的入站端口,实现出口 IP 级别的逻辑物理隔离。
- 动态轮询:单个端口请求在特定地区池内随机跳跃,规避单一 IP 的固定访问指纹。
- 零中断维护:更换落地节点只需修改 3X-UI 标签,无需重启后端 Docker 容器或修改业务配置。
二、 基础建设:出站节点 (Outbounds) 标准化
在配置分流规则前,出站节点的 标签 (Tag) 必须遵循特定的命名规范,以便被负载均衡器的“选择器”精准自动识别。
节点类型 | 示例标签 (Tag) | 作用 |
原生出口 A | REGION_A-ISP-01 | 供高权重/主账号固定引用 |
机房出口 B-1 | REGION_B-DC-01 | 自动进入地区 B 负载均衡池 |
机房出口 B-2 | REGION_B-DC-02 | 自动进入地区 B 负载均衡池 |
机房出口 C | REGION_C-DC-01 | 自动进入地区 C 负载均衡池 |
加速出口 | FAST-REGION-01 | 进入低延迟加速负载池 |
三、 3X-UI 落地:出口矩阵配置
1. 入站端口 (Inbounds) 创建
在宿主机 3X-UI 中创建多个 HTTP 入站。监听 IP 统一设为 Docker 网桥网关
172.18.0.1(或 0.0.0.0),端口建议按业务连续分配以方便管理:- 10001: 映射至地区 B 均衡池(普通账号组)
- 10002: 映射至地区 C 均衡池(备份账号组)
- 10003: 映射至地区 A 固定出口(权重号专用)
- 10005: 映射至低延迟加速池(专用 AI 业务)
2. 负载均衡池 (Balancer) 设置
在 3X-UI 面板的负载均衡页面创建池子,利用“选择器”实现自动化聚合:
- 池名称
bal-RegionB: 选择器填入REGION_B-。
- 池名称
bal-Fast: 选择器填入FAST-。
3. 路由规则 (Routing Rules) 排序
Xray 规则遵循从上往下匹配,顺序是分流成功的关键:
- 基础拦截:
geoip:private(阻止扫描内网)。
- 染色匹配:基于
Inbound Tags指向对应 Outbound(如 10001 ->bal-RegionB)。
- 策略兜底:如
geosite:openai等域名级规则,应置于端口规则下方。
四、 后端对接:账号级代理策略
在后端 AI 转发服务中,根据账号的风险等级和用途分配对应的网关地址。
账号类型 | 代理 URL (Proxy) | 落地策略 |
高权重账号 | http://172.18.0.1:10003 | 固定优质 IP,模拟真人日常环境 |
普通轮询账号 | http://172.18.0.1:10001 | 地区池内随机切换,规避频率限制 |
低延迟业务 | http://172.18.0.1:10005 | 走特定直连通道,追求极速响应 |
五、 运维监控与安全加固
1. 连通性快速验证
在宿主机终端执行以下命令,确认流量是否按端口预设流向指定地区:
2. 节点热更新流程
若后端面板测速显示某个地区端口 “失败/超时”,说明该地区落地 IP 触发了风控。此时只需在 3X-UI 更新出站节点,保持标签前缀一致,分流逻辑将即时更新。
3. 安全规则
为防止 3X-UI 暴露在公网,使用
iptables 限制仅允许来自 Docker 网络(如 172.18.0.0/16)的请求:结语:这套架构利用底层路由的解耦特性,将 AI 业务的风控能力最大化。通过精细化的 IP 染色与池化方案,可以极大降低多账号运营中的风险,为 AI 镜像站提供稳健的出口支撑。
- 作者:Cheng
- 链接:https://tangly1024.com/article/openai-proxy-routing-matrix-3xui-docker
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
