避开这些坑：Syncthing局域网单向同步的完整配置流程与防火墙设置详解

避开这些坑：Syncthing局域网单向同步的完整配置流程与防火墙设置详解

在数据同步领域，Syncthing凭借其开源、去中心化的特性，成为许多技术团队和个人用户的首选工具。不同于传统的云存储方案，Syncthing直接在设备间建立点对点连接，既保障了数据隐私，又避免了第三方服务的限制。本文将深入探讨如何在局域网环境下实现Syncthing的单向同步配置，特别针对CentOS 7系统中常见的防火墙和服务自启问题提供解决方案。

1. 环境准备与基础配置

Syncthing的安装看似简单，但细节决定成败。我们以两台CentOS 7.8服务器为例，分别作为源服务器(172.16.42.53)和备份服务器(172.16.42.65)。在开始前，请确保：

• 系统已更新至最新补丁(yum update -y)
• 拥有root或sudo权限
• 网络连通性正常(可通过ping测试)

关键目录规划：

• 源服务器同步目录：/root/source/file
• 备份服务器接收目录：/root/backup/file
• 备份服务器历史版本目录：/root/history/version

提示：历史版本功能是防范误操作和勒索病毒的重要防线，建议单独规划存储空间

安装Syncthing 1.16.1版本：

mkdir -p ~/syncthing && cd ~/syncthing wget https://github.com/syncthing/syncthing/releases/download/v1.16.1/syncthing-linux-amd64-v1.16.1.tar.gz tar -zxvf syncthing-linux-amd64-v1.16.1.tar.gz cd syncthing-linux-amd64-v1.16.1

2. 防火墙精准配置指南

CentOS 7默认使用firewalld，正确配置端口是保证同步畅通的关键。Syncthing需要以下端口：

执行以下命令配置防火墙：

# 开放TCP端口 firewall-cmd --permanent --add-port=8384/tcp --add-port=22000/tcp --zone=public # 开放UDP发现端口 firewall-cmd --permanent --add-port=21027/udp --zone=public # 重载配置 firewall-cmd --reload

常见问题排查：

• 如果同步失败，使用firewall-cmd --list-all检查端口是否真正开放
• 企业环境可能需要额外配置SELinux规则
• 双机直连时，可关闭全局发现和中继功能减少资源占用

3. 服务化部署与权限管理

临时运行Syncthing无法满足生产需求，我们需要将其配置为系统服务。以下是关键步骤：

1. 首次运行生成默认配置：

   ./syncthing # 看到"Ready to synchronize"后Ctrl+C终止

2. 修改配置文件允许远程访问：

   vi ~/.config/syncthing/config.xml

   将127.0.0.1:8384改为0.0.0.0:8384或特定管理IP

3. 创建systemd服务单元文件：

   cat > /etc/systemd/system/syncthing@root.service <<EOF [Unit] Description=Syncthing - Open Source Continuous File Synchronization for %i Documentation=man:syncthing(1) [Service] User=%i ExecStart=/root/syncthing/syncthing-linux-amd64-v1.16.1/syncthing serve --no-browser --no-restart --logflags=0 Restart=on-failure SuccessExitStatus=3 4 RestartForceExitStatus=3 4 [Install] WantedBy=multi-user.target EOF

4. 启用服务：

   systemctl daemon-reload systemctl enable syncthing@root.service systemctl start syncthing@root.service

注意：服务文件中的ExecStart路径必须与实际安装位置完全一致，这是最常见的配置错误来源

4. Web界面高级配置实战

访问http://服务器IP:8384进入Web管理界面后，需完成以下关键配置：

安全加固：

• 设置强密码(身份验证→GUI认证)
• 限制访问IP(操作模式→高级→GUI监听地址)
• 启用TLS加密(操作模式→高级→GUI→Use HTTPS)

设备配对流程：

1. 在备份服务器上查看设备ID(操作→显示ID)
2. 在源服务器添加远程设备，输入备份服务器ID
3. 备份服务器会弹出确认对话框，选择"添加设备"

文件夹同步配置：

源服务器设置：

• 共享模式：仅发送
• 忽略权限：建议开启(避免权限问题)
• 扫描间隔：设置30秒(平衡实时性和资源消耗)

备份服务器设置：

• 共享模式：仅接收
• 版本控制：简易版本控制
  • 版本保留策略：按天数(如30天)或数量(如10个)
  • 版本清理间隔：建议每天
• 关闭实时监控(减少备份服务器负载)

性能优化参数：

# 在config.xml的<options>段添加 <maxConcurrentScans>20</maxConcurrentScans> <maxSendKbps>10240</maxSendKbps> <!-- 10MB/s限速 --> <maxRecvKbps>10240</maxRecvKbps>

5. 历史版本与灾难恢复

Syncthing的历史版本功能相当于"时间机器"，配置要点：

• 版本存储策略：

  • 简单版本控制：按数量保留
  • 阶段性版本控制：固定时间间隔保留
  • 外部命令版本控制：自定义脚本处理

• 恢复操作：

  1. 在备份服务器Web界面进入问题文件夹
  2. 点击"恢复旧版本"按钮
  3. 选择需要恢复的时间点版本
  4. 指定恢复到原位置或新路径

实际测试发现：

• 只有内容发生变化的文件会创建版本
• 空文件夹的删除/重命名不会记录版本
• 文件修改会保留完整历史版本
• 目录重命名会触发整个目录的版本快照

对于关键业务数据，建议结合以下策略：

• 设置更保守的版本保留策略(如保留90天)
• 定期将历史版本归档到冷存储
• 使用校验和验证备份完整性

6. 监控与故障排查

完善的监控体系能提前发现问题：

基础监控命令：

# 查看同步状态 journalctl -u syncthing@root.service -f # 检查连接状态 netstat -tulnp | grep syncthing # 查看资源占用 top -p $(pgrep syncthing)

性能指标关注点：

• 内存使用：正常情况应在100-300MB范围
• CPU占用：扫描期间可能短暂飙升
• 网络吞吐：应与配置的限速值匹配
• 同步延迟：局域网环境应小于10秒

常见问题处理清单：

1. 设备无法发现：

   • 确认21027/UDP端口开放
   • 检查本地发现功能是否启用
   • 尝试手动添加设备地址

2. 同步停滞：

   • 重启两端syncthing服务
   • 检查磁盘空间(inode和容量)
   • 查看日志中的冲突提示

3. 权限问题：

   • 确保运行用户对目录有读写权限
   • 检查SELinux上下文
   • 考虑启用"忽略权限"选项

对于企业级部署，建议：

• 配置Prometheus监控指标
• 设置日志轮转策略
• 定期测试恢复流程

7. 高级技巧与替代方案

当基础功能不能满足需求时，可考虑：

批量操作脚本：

#!/bin/bash # 批量添加设备 for device in $(cat device-list.txt); do syncthing cli config devices add --device-id=$device done

自动化部署方案：

• 使用Ansible角色统一配置多节点
• 通过API实现配置自动化
• 容器化部署简化环境管理

性能对比测试：

在相同硬件环境下，不同同步工具的表现：

特殊场景处理：

• 大文件同步：调整maxConcurrentWrites参数
• 海量小文件：增加maxConcurrentScans值
• 跨地域同步：启用中继服务器或自建中继节点

在项目中使用Syncthing三年多，最深刻的教训是：永远不要忽略历史版本功能。曾经一次误操作导致重要数据被覆盖，正是靠版本控制功能找回了完整数据。对于关键数据，建议采用"源服务器→备份服务器→离线存储"的三层保护策略。