看起来你遇到的核心问题是：你保存并杀死的child.pid其实是宿主机上docker exec进程的ID，而不是容器内tcptunnel进程的PID——再加上tcptunnel用了--fork参数会创建后台子进程，导致你杀死父进程后，容器内的tcptunnel子进程依然会存活，甚至可能被Docker重新管理，出现"自动重启"的现象。

下面给你几个可行的解决方案，按推荐程度排序：

方案一：精准杀死容器内的tcptunnel进程 #

这是最可靠的方法，直接定位容器内的tcptunnel进程并终止它：

case 'end-remote-access':
  let result = await RemoteAccess.findOne({private_port:req.body.private_port,username:req.body.username});
  console.log("REMOTE_ACCESS",result);
  const { execSync } = require('child_process');
  
  try {
    // 1. 在容器内查找对应端口的tcptunnel进程PID
    const processInfo = execSync(
      `docker top ${result.docker_id} -eo pid,cmd | grep "tcptunnel.*--remote-port=${result.private_port}"`
    ).toString().trim();
    
    if (!processInfo) {
      throw new Error("容器内未找到目标tcptunnel进程");
    }
    
    const containerTcpTunnelPid = processInfo.split(/\s+/)[0];
    
    // 2. 在容器内杀死该进程
    execSync(`docker exec ${result.docker_id} kill ${containerTcpTunnelPid}`);
    
    // 3. 清理宿主机上的docker exec进程（如果还在运行）
    try {
      process.kill(result.pid);
    } catch (err) {
      if (err.code !== 'ESRCH') throw err; // 进程不存在则忽略
    }
    
    // 4. 删除数据库中的记录
    await RemoteAccess.deleteOne({_id: result._id});
    
    return res.json({success:true, message: "远程访问已成功终止"});
  } catch (err) {
    console.error("终止远程访问失败:", err);
    return res.json({success:false, message: `终止失败：${err.message}`});
  }

方案二：去掉tcptunnel的--fork参数 #

如果你不需要tcptunnel在容器内后台运行，可以去掉--fork参数，这样tcptunnel会和宿主机上的docker exec进程绑定，杀死child.pid就能同时终止两个进程：

修改启动代码：

const child = spawn("docker",[
  "exec", `${docker_id}`,
  "tcptunnel",
  `--local-port=${req.body.free_port}`,
  `--remote-port=${req.body.private_port}`,
  `--remote-host=${req.body.private_ip}`,
  "--stay-alive"
], {
  stdio: 'ignore', // 忽略标准输入输出，让进程在后台运行
  detached: true
});
child.unref(); // 让父进程退出时不等待该子进程

这种方法更简单，但缺点是如果tcptunnel意外崩溃，docker exec进程也会退出，你可以监听child.on('exit')事件来更新数据库状态：

child.on('exit', (code, signal) => {
  console.log(`远程访问进程已退出，代码：${code}，信号：${signal}`);
  RemoteAccess.updateOne(
    {pid: child.pid}, 
    {status: 'terminated', exitCode: code, exitSignal: signal}
  ).catch(err => console.error("更新进程状态失败:", err));
});

方案三：用docker exec的--init参数管理进程 #

在启动docker exec时添加--init参数，让容器内的init进程负责回收子进程。这样当你杀死宿主机上的docker exec进程时，容器内的init会自动终止tcptunnel的子进程：

const child = spawn("docker",[
  "exec", "--init", `${docker_id}`,
  "tcptunnel",
  `--local-port=${req.body.free_port}`,
  `--remote-port=${req.body.private_port}`,
  `--remote-host=${req.body.private_ip}`,
  "--stay-alive", "--fork"
]);

这个方法不需要修改终止逻辑，你原来的process.kill(result.pid)就能生效，但需要确保你的镜像支持init进程（大部分官方镜像都支持）。

额外小贴士 #

• 建议在数据库中添加status字段（比如active/terminated），用来标记远程访问的状态，避免重复启动或终止。
• 启动进程时可以捕获错误，比如Docker命令执行失败、端口被占用等，及时返回错误给前端。

内容的提问来源于stack exchange，提问作者Nikhil Adiga