如何设置 Telegram 机器人 Webhook 并优化性能

功能定位：为什么 Webhook 比长轮询更适合高并发

Telegram 官方允许两种更新投递方式：getUpdates 长轮询与 Webhook 推送。前者逻辑简单，却要求机器人侧维持持续连接，每 1–60 秒拉取一次，日活十万级订阅时容易触发 502/timeout。Webhook 则是 Telegram 服务器主动 POST 到开发者指定 HTTPS 端点，空载时几乎零延迟，理论上可达 30 000 次/分钟 的峰值吞吐（经验性观察，需结合本地 CPU 与网络）。

若你的频道每天推送 200 条以上、或需要实时交互游戏，Webhook 的响应优势立竿见影；反之，个人测试机器人日调用不足百次，getUpdates 足够且无需证书维护，迁移反而增加运维成本。

经验性观察：当单机器人 QPS 持续高于 100 时，getUpdates 的 CPU 空转与出口流量成本会首次超过 Webhook 的证书与域名年费；若业务需要「秒级」推送，Webhook 几乎是唯一可行路径。

版本差异：2025 年 Bot API 7.10 的隐藏变动

2025-07 发布的 Bot API 7.10 收紧了 TLS 最低版本：Telegram 前端不再接受 TLS 1.0/1.1。自签证书仍需 2048 bit RSA + SHA-256 且 SAN 字段必须包含域名。旧版 Let’s Encrypt 证书若未更新链，会被 Telegram 网关拒绝并返回「SSL error」。

此外，7.10 在响应头新增 X-Tg-Proxy-By，用于追踪 Anycast 边缘节点。调试时若发现该值频繁变动，说明请求被不同节点负载，可结合 retry_after 字段判断是否触发限流。

前置准备：域名、证书与最小权限

域名解析

Telegram 要求 Webhook 必须是可公网访问的域名，IP 白名单不受限制，但需固定解析。经验性结论：使用 Cloudflare Proxy 时，请关闭「Bot Fight Mode」，否则 POST 会被边缘防火墙拦截。

证书类型

• Let’s Encrypt 通配符证书（推荐，自动化续期）
• 自签证书：仅在内网 demo 使用，需把公钥手动上传至 Telegram

在 Android／iOS／桌面端，你无需手动安装证书，因为 Telegram 服务器端会完成校验；但本地调试仍需把 CA 导入操作系统，否则 curl 会报「self signed certificate」。示例：在 Ubuntu 上执行 sudo cp public.pem /usr/local/share/ca-certificates/ && sudo update-ca-certificates 即可让 curl 信任自签 CA。

核心操作：一条命令完成 setWebhook

以 7.10 版为例，使用 curl 直接调用：

curl -F "url=https://yourdomain.com/bot<token>/webhook" \
     -F "certificate=@/path/to/public.pem" \
     -F "max_connections=40" \
     -F "allowed_updates=[\"message\",\"callback_query\"]" \
     https://api.telegram.org/bot<token>/setWebhook

返回 {"ok":true,"result":true} 即成功。max_connections 控制 Telegram 并发 POST 数，官方上限 40，超量会返回 429。建议从 20 逐步上调，并结合下文「观测方法」验证延迟。

桌面端最短路径：生成自签证书

1. 打开终端（Windows 可用 WSL）
2. 执行 openssl req -newkey rsa:2048 -sha256 -nodes -keyout private.key -x509 -days 365 -out public.pem
3. Common Name 一定填写你的域名
4. 把 public.pem 用于 curl 参数 certificate

Android／iOS 端临时调试

移动端无法直接生成证书，但可用第三方 Bot 管理工具（如「BotFather 辅助机器人」）查看当前 Webhook 状态；修改仍建议在桌面完成，避免输入超长 token。

Nginx 层调优：减少 502 与重传

Telegram 服务器位于多个 Anycast 节点，一旦本地响应慢，会出现同一更新重复推送（retry_after 约 5 秒）。下面给出一份生产级片段：

server {
    listen 443 ssl http2;
    ssl_certificate /etc/letsencrypt/live/yourdomain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/yourdomain.com/privkey.pem;
    ssl_protocols TLSv1.3 TLSv1.2;
    location /bot {
        proxy_pass http://127.0.0.1:8080;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_read_timeout 15s;     # 必须小于 Telegram 的 60 s 窗口
        proxy_connect_timeout 5s;
        client_max_body_size 1M;    # Telegram POST 单包≤ 50 kB，1 M 足够
    }
}

经验性观察：开启 http2 可降低 5–8% 的 TLS 握手时延，但需确认后端框架支持多路复用，否则收益有限。

后端代码示例：Python + FastAPI 非阻塞入口

from fastapi import FastAPI, Request, Response
import uvicorn, asyncio, logging

app = FastAPI()
logging.basicConfig(level=logging.INFO)

@app.post("/bot<token>/webhook")
async def webhook(req: Request):
    data = await req.json()
    # 立即返回 200，避免重传
    asyncio.create_task(process_update(data))
    return Response(status_code=200)

async def process_update(data):
    # 耗时业务放后台
    await asyncio.sleep(0.1)
    logging.info("Handled %s", data.get("update_id"))

if __name__ == "__main__":
    uvicorn.run(app, host="127.0.0.1", port=8080, loop="uvloop")

务必「先回 200 再处理」；否则超时 60 s 会触发 Telegram 重发，导致幂等难题。对账时可使用 update_id 做唯一键。

故障排查清单：从返回码到日志

现象：setWebhook 返回 400 “Bad Request: certificate verify failed”

• 可能原因：证书链缺失／SAN 未填域名／系统时间错误。
• 验证：用 curl -v https://yourdomain.com 观察 Server cert 输出。
• 处置：重新签发 fullchain.pem；确认 openssl s_client -connect yourdomain.com:443 返回 Verify return code: 0。

现象：Telegram 重复推送同一条消息

• 可能原因：后端 200 响应时间 > 60 s 或返回非 200 状态码。
• 验证：在 Nginx access log 过滤 $status 非 200 的 POST。
• 处置：确认业务逻辑异步化；监控响应时间 P99。

现象：偶发 502 Bad Gateway

• 可能原因：后端重启、worker 耗尽、Docker healthcheck 误杀。
• 验证：在同一秒并发 40 条 POST 模拟 Telegram 峰值，用 ab -n 1000 -c 40。
• 处置：调高 worker_connections；启用 reuseport；使用容器时给足 --ulimit nofile。

观测与告警：如何量化「优化成功」

Webhook 性能的核心指标是「端到端延迟」与「重传率」。可在 Nginx 日志中添加 $request_time，并定时聚合：

log_format tg '$remote_addr [$time_local] "$request" '
              '$status $body_bytes_sent $request_time';

然后使用 Loki + Grafana 或阿里云 SLS 设置阈值：P99 > 1 s 且重传率 > 0.5% 即告警。经验性观察：单核 2.4 GHz 主机可稳吃 1 k QPS，CPU 占用约 60%，若再上涨建议水平扩容而非单机调优。

版本差异与迁移建议：从 getUpdates 到 Webhook

迁移步骤（可复现）：

1. 在测试 Bot 上执行 setWebhook，观察 24 h 重传率。
2. 灰度 5% 真实用户，对比原 getUpdates 延迟曲线。
3. 确认无 4xx/5xx 后，全量切换并设置 deleteWebhook 清理旧通道。
4. 保留旧脚本 7 天，紧急情况下 python bot.py polling 可在 30 秒内回退。

适用／不适用场景清单

• 适合：频道订阅 >1 万且日推送 >100 条；需要实时答题、抢红包等交互；已使用云函数／容器自动扩缩。
• 不适合：开发机无公网 IP；企业内网不允许 443 入口；机器人仅做季度报表，对延迟不敏感。
• 慎用：按入口流量计费且用户主要在欧美，峰值可能产生高额账单；证书续期流程无人值守。

最佳实践检查表（上线前对照）

未来趋势与官方预期

根据 Bot API 更新节奏，2026 年可能引入 Webhook 2.0（官方路线图中非正式名称），特性猜测包括：多地址容灾、GRPC 可选协议、以及边缘签名验证。当前版本仍保持向下兼容，因此现在做好的「先回 200 再异步处理」模型依旧适用。

如果你正规划 10 万级实时互动产品，建议一步到位采用 Webhook + 边缘计算框架（如 Cloudflare Workers），把延迟控制在 200 ms 以内；而低频报表机器人则大可继续用 getUpdates，等官方发布更轻量化方案再做评估。

收尾结论

Webhook 并不是“升级就一定更好”的银弹，它把轮询压力从 Telegram 转嫁到自己服务器，换来毫秒级响应与更高并发。衡量是否值得，只需回答三个数字：日调用量、可接受延迟、运维预算。若三者都高，现在就打开终端执行 setWebhook；只要有一个环节存在短板，继续用 getUpdates 并关注官方后续版本，同样稳妥。

案例研究

A 公司：万级频道的实时答题

背景：A 公司运营知识竞答频道，日均 8 万用户、峰值 3 k QPS。原 getUpdates 方案在 2 k QPS 时 P99 延迟飙至 45 s，频繁触发重传。

做法：使用 Webhook + Nginx + FastAPI，max_connections 设 40，后端异步落库并推送 Redis 队列；证书采用 Let’s Encrypt，TLS 1.3。

结果：P99 降至 320 ms，重传率 0.2%，CPU 占用下降 35%。

复盘：初期因未关闭 Cloudflare「Bot Fight Mode」导致 5% 请求被拦截，日志出现 403；关闭后曲线立即平滑。

B 团队：百人内部告警机器人

背景：B 团队仅 80 人，机器人一天接收 < 50 条告警。

做法：仍用 getUpdates，15 秒轮询一次。

结果：延迟 15 s 内可接受，无额外证书成本。

复盘：若强行上 Webhook，需申请域名、走公司安全评审，反而把简单问题复杂化。

监控与回滚 Runbook

异常信号

1. Grafana 告警：P99 > 1 s 且持续 5 分钟。
2. 日志出现重复 update_id 且间隔 < 5 s。
3. Nginx 5xx 占比 > 1%。

定位步骤

1. curl -v 测域名证书是否过期。
2. 查看 error.log 是否出现 upstream timed out。
3. 检查容器 restart_count 是否陡增。

回退指令

# 删除 webhook，恢复长轮询
curl -s https://api.telegram.org/bot<token>/deleteWebhook
# 本地拉起旧脚本
nohup python bot.py polling > polling.log 2>&1 &

演练清单

FAQ

Q：Webhook 能否使用 IP 而非域名？

A：官方强制要求域名，纯 IP setWebhook 将返回 400。

背景：TLS 证书无法对 IP 做 SAN 校验。

Q：Let’s Encrypt 三个月续期会影响在线业务吗？

A：不会，证书在旧证到期前 30 天即可续签，reload Nginx 毫秒级完成。

证据：reload 采用 nginx -s reload，零连接断开。

Q：Telegram 会压缩 POST body 吗？

A：经验性观察：官方未启用 gzip，单包 < 50 kB，无需解压逻辑。

验证：抓包显示 Content-Encoding 缺失。

Q：可以把 Webhook 地址放到 CDN 后面吗？

A：可以，但需关闭缓存与 Bot 防护，否则 POST 会被边缘拦截。

示例：Cloudflare 页面规则中设置 Cache Level = Bypass。

Q：同一个 Bot 支持多 Webhook 地址吗？

A：当前版本仅支持单地址；如需容灾，可在 DNS 层做多个 A 记录。

注意：Telegram 会随机挑 IP，若后端数据不同步会重复处理。

Q： setWebhook 返回 429 怎么办？

A：说明 max_connections 超 40，或近期频繁变更配置，等待 1 h 后重试。

官方文档未给出明确 Retry-After，经验值 3600 s 内自动解封。

Q：如何确认 Telegram 确实把我证书加入了信任列表？

A：setWebhook 成功后，再次调用 getWebhookInfo，如 last_error_date 为空即表示校验通过。

若出现「SSL error」时间戳，则证书仍有问题。

Q：后端返回 204 No Content 可以吗？

A：可以，Telegram 把 200–299 都视为成功，但 200 最直观。

经验：部分框架默认 204，记得在日志中打印状态码避免误判。

Q：重传时 update_id 会变化吗？

A：不会，update_id 全局递增，可用于幂等去重。

建议：在 Redis 中设置 SETNX update_id 1，过期 5 min。

Q：本地开发如何模拟 Telegram POST？

A：用 ngrok 暴露本地 8080，再写脚本按官方 JSON 格式 POST。

示例：见 GitHub 开源项目 telegram-webhook-mock。

术语表

Anycast

Telegram 使用的全球边缘 IP 广播技术，同一 IP 就近接入。

Bot API 7.10

2025-07 发布，强制 TLS 1.2+，新增 X-Tg-Proxy-By 头。

deleteWebhook

官方接口，用于关闭推送并可选放弃未处理更新。

fullchain.pem

Let’s Encrypt 生成的完整证书链，含叶子与中间证书。

getUpdates

长轮询接口，间隔 1–60 s，返回数组格式更新。

max_connections

setWebhook 参数，控制 Telegram 并发 POST 上限 40。

ngrok

内网穿透工具，用于本地开发阶段暴露 HTTPS 端点。

P99 延迟

统计学术语，99% 请求响应时间低于该值。

polling

指 getUpdates 长轮询模式，客户端主动拉取。

public.pem

自签证书公钥文件，需传给 setWebhook certificate 参数。

retry_after

重传间隔，经验值 5 s，官方未公开固定数字。

RSA 2048

自签证书最低密钥长度，低于此将被 Telegram 拒绝。

SAN

Subject Alternative Name，证书扩展字段，必须包含域名。

setWebhook

官方接口，注册 HTTPS 端点并订阅更新推送。

self signed

自签证书，仅调试或内网使用，需手动上传公钥。

update_id

每次更新的全局递增整数，用于幂等去重。

Webhook 2.0

官方路线图非正式名称，猜测将支持多地址与 GRPC。

风险与边界

• 不可用情形：企业内网禁用 443 入口；开发机无固定公网 IP；证书续期无人值守且无法自动化。
• 副作用：入口流量计费模式下，突发峰值可能带来高额账单；证书链配置错误会导致全量消息丢失。
• 替代方案：继续使用 getUpdates 长轮询，或在云函数层使用 Telegram 官方托管的 @BotFather → Bot API → Use Cloudflare Workers 模板，把 HTTPS 边缘托管给平台。