阿涛的小破站

Docker使用教程和镜像加速

Sun, 23 Mar 2025 00:00:00 GMT

Docker Hub 镜像加速

国内拉取镜像有时会遇到困难，对于学习或者开发者来说很难受，此时可以配置镜像加速。

安装Docker

官方安装脚本：

curl -fsSL https://get.docker.com | sh

国内一键安装脚本

bash <(curl -sSL https://emohe.cn/docker.sh)

<details> <summary> 手动离线安装Docker </summary>

下载 Docker:

官方文件下载地址——下载后上传到root目录

清华大学下载地址

tar xzvf docker-26.1.3.tgz     # 替换版本号
sudo mv docker/* /usr/local/bin/

创建 Docker 服务文件

sudo vim /etc/systemd/system/docker.service

添加以下内容

[Unit]
Description=Docker Application Container Engine
After=network-online.target firewalld.service
Wants=network-online.target

[Service]
Type=notify
ExecStart=/usr/local/bin/dockerd
ExecReload=/bin/kill -s HUP $MAINPID
Restart=always
RestartSec=2
StartLimitBurst=3
StartLimitInterval=60s
LimitNOFILE=infinity
LimitNPROC=infinity
LimitCORE=infinity
Delegate=yes
KillMode=process

[Install]
WantedBy=multi-user.target

启动并启用 Docker 服务

sudo chmod +x /usr/local/bin/dockerd
sudo systemctl daemon-reload
sudo systemctl start docker
sudo systemctl enable docker

查看版本

docker -v

</details>

<details> <summary> 手动离线安装Docker-compose </summary>

国内环境手动安装Docker-compose

点这里手动下载文件上传到服务器的/usr/local/bin目录

重命名为docker-compose

sudo cp docker-compose-linux-x86_64 /usr/local/bin/docker-compose

增加执行权限

chmod +x /usr/local/bin/docker-compose

验证安装

docker-compose --version

注意：由于是以二进制文件安装的docker-compose，所以运行命令有所变化，运行示例

docker-compose up -d

区别在于中间的-，官方安装脚本是以插件形式安装的docker-compose，所以中间不需要-

</details>

配置加速地址

Ubuntu 16.04+、Debian 8+、CentOS 7+

创建或修改 /etc/docker/daemon.json：

sudo mkdir -p /etc/docker

sudo tee /etc/docker/daemon.json <<EOF
{
    "registry-mirrors": [
        "https://docker.m.ixdev.cn",
        "https://docker.1ms.run"
    ]
}
EOF

sudo systemctl daemon-reload

sudo systemctl restart docker

提示：如果不方便重启Docker服务，也可以不用设置全局加速地址，拉取镜像时增加加速地址即可，示例：

docker pull docker.1panel.live/library/mysql:5.7

说明：library是一个特殊的命名空间，它代表的是官方镜像。如果是某个用户的镜像就把library替换为镜像的用户名。

Docker Desktop 配置

对于Windows系统的Docker Desktop用户，点击右上角设置，找到Docker Engine然后修改配置，修改后的示例：

{
  "builder": {
    "gc": {
      "defaultKeepStorage": "20GB",
      "enabled": true
    }
  },
  "experimental": false,
  "registry-mirrors": [
    "https://docker.1ms.run",
    "https://docker.1panel.live"
  ]
}

然后点击右下角的Apply & restart保存并重启即可。

检查加速是否生效

查看docker系统信息 docker info，如果从结果中看到了你配置的加速地址，说明配置成功。

Registry Mirrors:
 [...]
 https://docker.1ms.run
 https://docker.1panel.live

使用代理拉取镜像

注意：使用了加速源就别使用这个方法了
此方法支持login和push

创建配置文件

sudo mkdir -p /etc/systemd/system/docker.service.d

sudo vim /etc/systemd/system/docker.service.d/http-proxy.conf

在文件中添加代理

[Service]
Environment="HTTP_PROXY=http://127.0.0.1:1080"
Environment="HTTPS_PROXY=http://127.0.0.1:1080"

重启Docker

sudo systemctl daemon-reload
sudo systemctl restart docker

查看环境变量

sudo systemctl show --property=Environment docker

本地流量转发到服务器

使用SSH反向转发把本地的10808端口的流量转发给远程服务器1080端口

ssh -R 1080:127.0.0.1:10808 root@服务器地址 -N

-N 代表仅连接但不打开对话框

备用方法：打包镜像到本地

1：压缩保存镜像到本地

docker save 镜像名 > 镜像名.tar

2：手动上传到另一个服务器

3：另一个服务器解压镜像

docker load < 镜像名.tar

4：查看镜像

docker images

Docker Hub 镜像测速

拉取镜像时，可使用 time 统计所花费的总时间。测速前记得移除本地的镜像。

例如：time docker pull node:latest

修改最大并发数加快镜像下载速度

/etc/docker/daemon.json

{
  "registry-mirrors": [
    "https://docker.m.ixdev.cn",
    "https://docker.1ms.run"
  ],
  "max-concurrent-downloads": 10,
  "max-concurrent-uploads": 10,
  "max-download-attempts": 5,
  "default-ulimits": {
    "nofile": {
      "Hard": 64000,
      "Name": "nofile",
      "Soft": 64000
    }
  }
}

sudo systemctl daemon-reload
sudo systemctl restart docker

为Docker启用IPV6

创建或修改/etc/docker/daemon.json文件

增加如下配置：

{
  "ipv6": true,
  "fixed-cidr-v6": "2001:db8:1::/64"
}

然后配置一下流量路由

重启：sudo systemctl restart docker

卸载Docker

sudo systemctl stop docker
sudo apt-get purge docker-ce docker-ce-cli containerd.io
sudo rm -rf /etc/docker /var/lib/docker

Docker最新稳定加速源列表

企业级优质稳定加速源

提供者	镜像加速地址	说明	加速类型
CNIX	`https://docker.m.ixdev.cn`	无限制&多仓库支持	Docker Hub
1panel	`https://docker.1panel.live`	无限制	Docker Hub
轩辕镜像	`https://docker.xuanyuan.me`	无限制	Docker Hub
毫秒镜像	`https://docker.1ms.run`	有黑名单&可选国内cdn	Docker Hub
DaoCloud	`https://docker.m.daocloud.io`	白名单和限流	Docker Hub
华为云	`https://***.mirror.swr.myhuaweicloud.com`	需登录分配	Docker Hub
腾讯云	`https://mirror.ccs.tencentyun.com`	仅限腾讯云机器	Docker Hub
南京大学	`https://ghcr.nju.edu.cn`	ghcr加速	ghcr
南京大学	`https://k8s.nju.edu.cn`	k8s加速	k8s
CNIX	`https://ghcr.m.ixdev.cn`	无限制&多仓库支持	ghcr

Docker常用命令:

功能	命令	说明
编译镜像	`docker build -t 镜像名 .`	先`docker login`登录docker hub
推送镜像	`docker push 用户名/镜像名`	需先标记镜像 `docker tag 53321f173e 用户名/镜像名`
查看容器	`docker ps`	`-a`查看包括已停止的容器
容器资源占用	`docker stats`	查看所有容器资源占用
容器详细信息	`docker inspect`	挂载看`Mounts`网络看`Networks`
进入容器内部	`docker exec -it 容器名 sh`	结尾使用`/bash`也可以
创建容器网络	`docker network create my-network`	`my-network`为网络名称
容器加入网络	`docker network connect my-network 容器名`	替换容器名或ID
宿主机网络	`network_mode: host`	`docker-compose`使用
宿主机网络	`--network host`	`docker run`使用
查看网络	`docker network inspect my-network`	查看`my-network`网络中的容器
停止容器	`docker stop`	`docker stop 容器名或ID`
启动容器	`docker start`	`docker start 容器名或ID`
重启容器	`docker restart`	`docker restart 容器名或ID`
删除容器	`docker rm`	`docker rm 容器名或ID`
查看镜像	`docker images`	`docker images 镜像名或ID`
删除镜像	`docker rmi -f`	`docker rmi -f 镜像名或ID`
清除资源	`docker system prune`	清除所有未使用资源`容器网络镜像缓存`
删除所有镜像	`docker rmi -f $(docker images -aq)`	删除所有镜像
删除所有容器	`docker container prune -f`	删除所有已停止容器
停止所有容器	`docker stop $(docker ps -aq)`	停止所有容器
停止并删除	`docker compose down`	停止并删除编排容器
重新创建容器	`docker compose up -d --force-recreate`	强制删除并重启编排容器
复制文件	`docker cp wordpress:/app/data.yaml /home`	从容器复制到宿主机
复制文件	`docker cp /home/data.yaml wordpress:/app`	从宿主机复制到容器

给你的电脑增加一个自定义右键菜单

Thu, 05 Feb 2026 00:00:00 GMT

Windows右键菜单

有时候写一些简单的html网页，当必须使用HTTP服务加载的时候，都需要手动启动一下命令，感觉步骤很繁琐效率也很低，都是一些重复性动作。需要在当前目录下打开终端，然后执行python -m http.server 8080

所以我就想着直接右键菜单就能在当前目录自动执行这个命令就好了。

目前最简单的方式就是注册表实现右键菜单，所以我就直接写了个注册表注入脚本，并且在启动HTTP服务的时候自动打开浏览器，代码如下：

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Directory\Background\shell\HttpServer]
@="启动HTTP服务 (9090)"
"Icon"="imageres.dll,-5302"
"Position"="Top"

[HKEY_CLASSES_ROOT\Directory\Background\shell\HttpServer\command]
@="cmd.exe /s /k pushd \"%V\" && (start /b cmd /c \"timeout /t 1 /nobreak >nul && start http://127.0.0.1:9090\") && python -m http.server 9090"

将代码保存为.reg后缀的注册表导入脚本，例如install.reg，然后双击执行。需要注意的是要以UTF-16 LE编码保存此文件，不然中文会乱码。

右键菜单效果图：

代码解析

核心机制：向 HKEY_CLASSES_ROOT\Directory\Background\shell 写入键值。
作用域：Directory\Background 代表在文件夹空白处点击右键。如果是点在文件夹图标上，则需要写到 Directory\shell。
命令解析：
- pushd "%V": 将 CMD 工作目录切换到当前文件夹（%V 是变量）。
- start http://127.0.0.1:9090：调用默认浏览器打开此地址。
- python -m http.server 9090: Python自带的启动静态服务器快捷命令，我电脑基本必装Python。
优化体验：使用异步执行优化了一下使用体验。

进阶

此时你会发现这个右键菜单在windows 11系统里需要点击显示更多选项才能看到。

这是因为 Windows 11 重构了右键菜单，传统的注册表方式IContextMenu默认被放入二级菜单。

想要直接显示在一级菜单里，只有实现了IExplorerCommand接口并具有Package Identity (包身份)的应用，才有资格进入一级菜单。

那么想要进入一级菜单，需要做什么？

如果想要在一级菜单直接显示，单纯改注册表已经做不到了，必须升级技术栈，大致三个步骤：

语言首选 C++：写一个 DLL，实现 COM 接口IExplorerCommand。比改注册表要复杂得多，需要处理引用计数、接口查询等底层逻辑。
打包 (Sparse Package)：必须给程序一个身份证 (AppxManifest.xml)。
签名 (Identity)：必须要有数字签名才行。自己用的话，可以生成一个自签名证书并信任它。

当然我这种简单的小众需求还是使用注册表方式最合适，要是写一个DLL就有点小题大做了。

安装部署openclaw并对接QQ机器人教程

Sat, 31 Jan 2026 00:00:00 GMT

openclaw（原ClawdBot）最近实在太火了，我玩了一下感觉确实很强大，本文介绍一下国内环境的安装和对接QQ机器人。

准备工作

模型API
2H4G以上的硬件配置
linux/mac/windows都可以
QQ

大模型以deepseek为例，官方购买地址：https://platform.deepseek.com

部署环境以windows本地部署为例，其他系统步骤都一样，只是配置目录不一样，openclaw的默认配置路径都是在用户目录，三大系统都一样。

环境安装

首先安装nodejs环境，需要v22.22.0以上的版本，下载地址：https://nodejs.org/zh-cn/download

其次需要Git，下载地址：https://git-scm.com/install/windows

允许执行脚本

有时候安装环境后不会自动刷新变量，需要重启电脑，然后还需要管理员打开PowerShell执行如下命令，并选择A允许执行脚本

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser

国内环境配置

设置npm镜像

npm config set registry https://registry.npmmirror.com

设置Git全局加速（可忽略）

git config --global url."https://hub.cmoko.com/https://github.com/".insteadOf https://github.com/

移除Git全局加速的命令

git config --global --unset url."https://hub.cmoko.com/https://github.com/".insteadOf

开始部署

npm安装openclaw

npm install -g openclaw-cn@latest

初始化配置

openclaw-cn setup

打开配置文件

%USERPROFILE%\.openclaw

修改openclaw.json配置，贴入以下配置并修改对应的字段

{
  "gateway": {
    "mode": "local",
    "bind": "loopback",
    "port": 18789,
    "auth": {
      "mode": "token",
      "token": "设置一个token令牌"
    }
  },

  "agents": {
    "defaults": {
      "model": {
        "primary": "openai-compat/填写模型名称"
      },
      "elevatedDefault": "full",
      "compaction": {
        "mode": "safeguard"
      },
      "maxConcurrent": 4
    }
  },

  "models": {
    "mode": "merge",
    "providers": {
      "openai-compat": {
        "baseUrl": "https://api.example.com/v1",
        "apiKey": "填写你的模型API密钥",
        "api": "openai-completions",
        "models": [
          {
            "id": "填写模型名称",
            "name": "填写模型名称"
          }
        ]
      }
    }
  },

  "tools": {
    "exec": {
      "backgroundMs": 10000,
      "timeoutSec": 1800,
      "cleanupMs": 1800000,
      "notifyOnExit": true
    },
    "elevated": {
      "enabled": true,
      "allowFrom": {}
    },
    "allow": [
      "exec",
      "process",
      "read",
      "write",
      "edit",
      "web_search",
      "web_fetch",
      "cron"
    ]
  },

  "channels": {}
}

创建QQ机器人

浏览器访问 QQ机器人Openclaw专区，然后直接在专区内创建机器人即可。

安装机器人插件

openclaw-cn channels add

根据交互式提示选择QQ (社区版)，按提示输入AppID和AppSecret即可。
启动

openclaw-cn gateway start

其他命令

# 查看状态
openclaw-cn gateway status

# 重启
openclaw-cn gateway restart

# 查看日志
openclaw-cn logs

# 停止
openclaw-cn gateway stop

# 卸载
npm uninstall -g openclaw-cn

至此，全部部署完成，可以向你的QQ机器人对话了。

常见问题

Linux和mac系统部署都一样，只是配置文件的目录在用户目录下。

web访问需要带上token令牌：http://127.0.0.1:18789/?token=你的网关令牌。

有任何问题先查看日志：openclaw-cn logs，然后问AI。

中文文档

https://clawd.org.cn/reference/cli-cheatsheet.html

OpenWrt固件编译

Wed, 19 Nov 2025 00:00:00 GMT

介绍

OpenWrt 是一个基于 Linux 的路由器操作系统，专门为嵌入式设备（路由器、NAS、小型网关设备等）设计。

本篇教程基于immortalwrt，immortalwrt 是基于 openwrt 开发的优化版本，是专门针对中国大陆环境优化的版本。国内用户基本都使用这个版本。

项目地址：https://github.com/immortalwrt/immortalwrt

immortalwrt 在线构建

官方提供的网页在线构建叫ImageBuilder，不是编译源码，而是借助官方的服务器资源，使用预编译好的SDK，快速选择包然后生成固件。优点是构建很快，缺点是自定义程度不是很高，但是常用的配置都可以自定义，例如提前安装插件，配置网口信息和防火墙什么的。

官方在线编译地址：https://firmware-selector.immortalwrt.org

必备软件

curl luci-theme-argon luci-i18n-homeproxy-zh-cn luci-i18n-ttyd-zh-cn luci-i18n-diskman-zh-cn luci-i18n-filemanager-zh-cn luci-i18n-package-manager-zh-cn luci-i18n-firewall-zh-cn

当你安装一个插件包时，他会自动下载所需的软件和依赖，所以只需添加对应插件的汉化包即可。

ImmortalWrt软件包查询（注意替换实际的版本和设备架构）：

https://downloads.immortalwrt.org/releases/24.10.4/packages/x86_64/luci/index.json

初始化构建脚本

要修改的地方请去掉注释

#!/bin/sh
exec >/tmp/setup.log 2>&1

###########################################################
#                  自 定 义 配 置 区 域
###########################################################

### 系统后台密码（为空则不修改）
root_password="admin"

### LAN 的 IPv4 地址（也是后台地址，例如 192.168.2.1）
lan_ip_address="192.168.2.1"

### LAN 的子网掩码（例如 255.255.255.0）
# lan_netmask="255.255.255.0"

### LAN 的 IPv4 网关（可为空）
# lan_gateway="192.168.1.1"

### LAN 的 DNS（多个 DNS 可空格分隔，如 "8.8.8.8 1.1.1.1"）
# lan_dns="8.8.8.8 223.5.5.5"

### DHCP 是否开启（1=开启，0=关闭）
# lan_dhcp_enable="1"

### DHCP 起始地址
# lan_dhcp_start="100"

### DHCP 地址池数量
# lan_dhcp_limit="150"

### DHCP 租约时间
# lan_dhcp_leasetime="12h"

### WiFi 名称 SSID（为空则不修改）
# wlan_name="ImmortalWrt"

### WiFi 密码（≥ 8 位才生效）
# wlan_password="12345678"

### PPPoE 宽带账号（为空则跳过）
# pppoe_username=""

### PPPoE 宽带密码
# pppoe_password=""

###########################################################

# ------------ root 密码 ------------
if [ -n "$root_password" ]; then
  (echo "$root_password"; sleep 1; echo "$root_password") | passwd >/dev/null
fi

# ------------ LAN 基础配置 ------------
if [ -n "$lan_ip_address" ]; then
  uci set network.lan.ipaddr="$lan_ip_address"
fi

if [ -n "$lan_netmask" ]; then
  uci set network.lan.netmask="$lan_netmask"
fi

if [ -n "$lan_gateway" ]; then
  uci set network.lan.gateway="$lan_gateway"
fi

# DNS
if [ -n "$lan_dns" ]; then
  uci delete network.lan.dns 2>/dev/null
  for d in $lan_dns; do
    uci add_list network.lan.dns="$d"
  done
fi

uci commit network

# ------------ DHCP 设置 ------------
if [ -n "$lan_dhcp_enable" ]; then
  uci set dhcp.lan.ignore=$([ "$lan_dhcp_enable" = "1" ] && echo 0 || echo 1)
fi

[ -n "$lan_dhcp_start" ] && uci set dhcp.lan.start="$lan_dhcp_start"
[ -n "$lan_dhcp_limit" ] && uci set dhcp.lan.limit="$lan_dhcp_limit"
[ -n "$lan_dhcp_leasetime" ] && uci set dhcp.lan.leasetime="$lan_dhcp_leasetime"

uci commit dhcp

# ------------ WIFI 配置 ------------
if [ -n "$wlan_name" ] && [ -n "$wlan_password" ] && [ ${#wlan_password} -ge 8 ]; then
  uci set wireless.@wifi-device[0].disabled='0'
  uci set wireless.@wifi-iface[0].disabled='0'
  uci set wireless.@wifi-iface[0].encryption='psk2'
  uci set wireless.@wifi-iface[0].ssid="$wlan_name"
  uci set wireless.@wifi-iface[0].key="$wlan_password"
  uci commit wireless
fi

# ------------ PPPoE 宽带拨号 ------------
if [ -n "$pppoe_username" ] && [ -n "$pppoe_password" ]; then
  uci set network.wan.proto=pppoe
  uci set network.wan.username="$pppoe_username"
  uci set network.wan.password="$pppoe_password"
  uci commit network
fi

echo "All done!"

构建完成后下载对应的固件包刷入系统即可。

immortalwrt 基于源码编译

使用干净的Debian 12或者ubuntu 22.04系统，国外网络通畅，有50G以上的空闲存储空间。

1：安装依赖

sudo apt update -y
sudo apt full-upgrade -y
sudo apt install -y \
  ack antlr3 asciidoc autoconf automake autopoint binutils bison build-essential \
  bzip2 ccache clang cmake cpio curl device-tree-compiler ecj fastjar flex gawk gettext \
  gcc-multilib g++-multilib git gperf haveged help2man intltool libc6-dev-i386 libelf-dev \
  libglib2.0-dev libgmp-dev libltdl-dev libmpc-dev libmpfr-dev libncurses-dev libpython3-dev \
  libreadline-dev libssl-dev libtool libyaml-dev lld llvm lrzsz genisoimage \
  ninja-build p7zip-full patch pkgconf python3 python3-pip python3-ply python3-docutils \
  python3-pyelftools qemu-utils re2c rsync scons squashfs-tools subversion swig texinfo \
  uglifyjs unzip wget nano xmlto xxd zlib1g-dev upx zstd

2：下载对应tags的源码（以`v24.10.4`为例）

后续步骤建议切换为普通用户，不要用root用户编译。

git clone -b v24.10.4 --single-branch --filter=blob:none https://github.com/immortalwrt/immortalwrt

3：进入项目目录

cd immortalwrt

4：获取最新软件包清单

./scripts/feeds update -a

5：安装软件包符号链接

./scripts/feeds install -a

6：配置固件信息

make menuconfig

这一步很重要，前三个选项分别是目标系统 - 子架构 - 目标机型。根据你的实际设备来选。

然后第四个选项Target Images是修改固件配置的，其中Root filesystem partition size是根文件系统分区大小建议修改，根据你设备的存储空间来选择，这里的值就是最大存储空间。

其他配置都是可选的，其中luci选项中可以预安装一些插件包。

7：修改LAN口IP地址等等信息

可以在这里查看默认值：https://github.com/immortalwrt/immortalwrt/blob/master/package/base-files/files/bin/config_generate

nano package/base-files/files/bin/config_generate

8：编译固件

单线程编译

make -j1 V=s

或者多线程编译

make -j$(nproc --ignore=1)

编译出来的固件在bin目录下

9：重新编译说明

如果需要重新编译则执行make distclean清理一些残留和工具链等等，然后再从第四步重新开始。

VirtualBox虚拟机运行immortalwrt

1：选择x86/64型号，编译后，下载COMBINED (EXT4)格式的镜像，并解压到下载目录

2：在文件目录下打开 PowerShell

将镜像转换成VDI格式

& "C:\Program Files\Oracle\VirtualBox\VBoxManage.exe" convertfromraw `
    "immortalwrt-24.10.4-f726c678216d-x86-64-generic-ext4-combined.img" `
    "immortalwrt.vdi" `
    --format VDI

3：打开VirtualBox，新建虚拟机，OS选择Linux，然后选择Other Linux，然后指定虚拟硬盘，选择使用已有的虚拟硬盘文件，选择immortalwrt.vdi文件，然后点击完成，然后设置里找到网络，选择桥接网卡，勾选Virtual Cable Connected，注意你的openwrt系统的LAN口IP地址要和电脑在同一网段。网关和DNS也要和电脑的一致。

系统内修改网络配置的命令：

vi /etc/config/network

/etc/init.d/network restart

4：浏览器进入LAN口IP地址，密码是脚本中设置的密码。

X86主机设备将镜像写入到硬盘

先将镜像烧录到U盘，然后使用U盘启动进入到openwrt系统，然后使用DD命令写入镜像，就可以拔掉U盘运行openwrt系统了。

查看U盘和目标硬盘

lsblk -f

例如 U 盘是 /dev/sdb 硬盘是 /dev/sda

如果目标硬盘有被挂载则需要卸载，例如之前装了系统之类的

umount /dev/sda1
umount /dev/sda2
umount /dev/sda3

检查是否卸载成功

mount | grep sda

如果返回为空就代表卸载成功了

写入镜像（注意替换实际的U盘和硬盘）

dd if=/dev/sdb of=/dev/sda bs=4M conv=fsync

如果没报错，并且看到了两行数字就代表成功了

强制刷新缓存

sync

命令解释：

if=/dev/sdb ：输入源，U 盘设备

of=/dev/sda ：输出目标，硬盘/闪存设备

bs=4M ：每次写入 4M，提高速度

conv=fsync ：写完后刷新缓存，确保数据落盘

sync ：再次确保所有数据写入完成

家庭网络之旁路由配置总结

Fri, 14 Nov 2025 00:00:00 GMT

上次买的香橙派玩了一段时间就吃灰了，想着不能浪费，得把他用上，因为只有一个网口所以就用来做旁路由了，装了openwrt系统。

说一下我踩的坑：首先我看网上都是用旁路由做DHCP，主路由关闭DHCP，但是我这样做发现主路由没网，不知道什么情况。所以就用主路由做DHCP 给所有设备下发旁路的IP做网关，这样所有连接wifi的设备的网络都能经过旁路由了，而旁路由想要有网就得把网关指向路由器，所以路由器的地址得固定，并且旁路由在主路由的同一网段。网线则是旁路由的LAN口接主路由的LAN口，下面就是我已经跑通的配置，只需要配置主路由和旁路由就行了。

一、现有的网络环境示例

光猫拨号
光猫 IP：192.168.1.1
路由器 IP：192.168.2.1
所有设备通过路由器的WIFI网络上网

二、路由器配置

LAN口设置（也就是后台地址）

IP 地址：192.168.2.1（手动固定为此IP，防止变动）

DHCP服务器

开启 DHCP
地址池：192.168.2.2 – 192.168.2.254
网关：192.168.2.2
DNS：192.168.2.2

给所有连接wifi的设备下发旁路由的网关IP，方便设备的网络走旁路由。

三、旁路由配置（OpenWrt系统）

LAN口设置（也就是后台地址）

IP 地址：192.168.2.2（手动固定为此IP，防止变动）

DHCP设置

关闭 DHCP 服务

网关

设置为主路由器 IP：192.168.2.1

此配置适用于旁路由位于主路由的下级设备时，保证 IP 不冲突且网络稳定，且所有设备的网络能经过旁路由。

解决UFW无法管理Docker映射端口的问题

Sun, 21 Sep 2025 00:00:00 GMT

解决UFW防火墙无法管理Docker映射出来的端口的问题

首先最简单的解决方案就是启动容器时，映射端口监听本地即可，例如-p 127.0.0.1:8080:8080

支持管理正在运行中的容器的最佳解决方案

当然还有最佳的解决方案只需要修改一个 UFW 配置文件即可，Docker 的所有配置和选项都保持默认。

修改 UFW 的配置文件 /etc/ufw/after.rules，在最后添加上如下规则：

# BEGIN UFW AND DOCKER
*filter
:ufw-user-forward - [0:0]
:ufw-docker-logging-deny - [0:0]
:DOCKER-USER - [0:0]
-A DOCKER-USER -j ufw-user-forward

-A DOCKER-USER -j RETURN -s 10.0.0.0/8
-A DOCKER-USER -j RETURN -s 172.16.0.0/12
-A DOCKER-USER -j RETURN -s 192.168.0.0/16

-A DOCKER-USER -p udp -m udp --sport 53 --dport 1024:65535 -j RETURN

-A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 192.168.0.0/16
-A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 10.0.0.0/8
-A DOCKER-USER -j ufw-docker-logging-deny -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 172.16.0.0/12
-A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 192.168.0.0/16
-A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 10.0.0.0/8
-A DOCKER-USER -j ufw-docker-logging-deny -p udp -m udp --dport 0:32767 -d 172.16.0.0/12

-A DOCKER-USER -j RETURN

-A ufw-docker-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW DOCKER BLOCK] "
-A ufw-docker-logging-deny -j DROP

COMMIT
# END UFW AND DOCKER

然后重启 UFW，sudo systemctl restart ufw。现在外部就已经无法访问 Docker 发布出来的任何端口了，但是容器内部以及私有网络地址上可以正常互相访问，而且容器也可以正常访问外部的网络。可能由于某些未知原因，重启 UFW 之后规则也无法生效，请重启服务器。

如果希望允许外部网络访问 Docker 容器提供的服务，比如有一个容器的服务端口是 80。那就可以用以下命令来允许外部网络访问这个服务：

ufw route allow proto tcp from any to any port 80

这个命令会允许外部网络访问所有用 Docker 发布出来的并且内部服务端口为 80 的所有服务。

请注意，这个端口 80 是容器的端口，而非使用 -p 0.0.0.0:8080:80 选项发布在服务器上的 8080 端口。

如果有多个容器的服务端口为 80，但只希望外部网络访问某个特定的容器。比如该容器的私有地址为 172.17.0.2，就用类似下面的命令：

ufw route allow proto tcp from any to 172.17.0.2 port 80

如果一个容器的服务是 UDP 协议，假如是 DNS 服务，可以用下面的命令来允许外部网络访问所有发布出来的 DNS 服务：

ufw route allow proto udp from any to any port 53

同样的，如果只针对一个特定的容器，比如 IP 地址为 172.17.0.2：

ufw route allow proto udp from any to 172.17.0.2 port 53

解释

在新增的这段规则中，下面这段规则是为了让私有网络地址可以互相访问。通常情况下，私有网络是比公共网络更信任的。

-A DOCKER-USER -j RETURN -s 10.0.0.0/8
-A DOCKER-USER -j RETURN -s 172.16.0.0/12
-A DOCKER-USER -j RETURN -s 192.168.0.0/16

下面的规则是为了可以用 UFW 来管理外部网络是否允许访问 Docker 容器提供的服务，这样我们就可以在一个地方来管理防火墙的规则了。

-A DOCKER-USER -j ufw-user-forward

例如，我们要阻止一个 IP 地址为 172.17.0.9 的容器内的所有对外连接，也就是阻止该容器访问外部网络，使用下列命令

ufw route deny from 172.17.0.9 to any

下面的规则阻止了所有外部网络发起的连接请求，但是允许内部网络访问外部网络。对于 TCP 协议，是阻止了从外部网络主动建立 TCP 连接。对于 UDP，是阻止了所有小余端口 32767 的访问。为什么是这个端口的？由于 UDP 协议是无状态的，无法像 TCP 那样阻止发起建立连接请求的握手信号。在 GNU/Linux 上查看文件 /proc/sys/net/ipv4/ip_local_port_range 可以看到发出 TCP/UDP 数据后，本地源端口的范围，默认为 32768 60999。当从一个运行的容器对外访问一个 UDP 协议的服务时，本地端口将会从这个端口范围里面随机选择一个，服务器将会把数据返回到这个随机端口上。所以，我们可以假定所有容器内部的 UDP 协议的监听端口都小余 32768，不允许外部网络主动连接小余 32768 的 UDP 端口。

-A DOCKER-USER -j DROP -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 192.168.0.0/16
-A DOCKER-USER -j DROP -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 10.0.0.0/8
-A DOCKER-USER -j DROP -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -d 172.16.0.0/12
-A DOCKER-USER -j DROP -p udp -m udp --dport 0:32767 -d 192.168.0.0/16
-A DOCKER-USER -j DROP -p udp -m udp --dport 0:32767 -d 10.0.0.0/8
-A DOCKER-USER -j DROP -p udp -m udp --dport 0:32767 -d 172.16.0.0/12

-A DOCKER-USER -j RETURN

如果一个容器在接受数据的时候，端口号没有遵循操作系统的设定，也就是说最小端口号要小余 32768。比如运行了一个 Dnsmasq 的容器，Dnsmasq 用于接受数据的最小端口号默认是 1024。那可以用下面的命令来允许 Dnsmasq 这个容器使用一个更大的端口范围来接受数据。

ufw route allow proto udp from any port 53 to any port 1024:65535

因为 DNS 是一个非常常见的服务，所以已经有一条规则用于允许使用一个更大的端口范围来接受 DNS 数据包

香橙派开发板折腾日记

Sat, 06 Sep 2025 00:00:00 GMT

Orange Pi Zero3 香橙派开发板折腾日记

主包最近从拼夕夕入手了Orange Pi Zero3开发板，4G内存，价格是199人民币。

到货后就迫不及待的折腾了起来。

首先需要准备这些东西来安装系统

TF内存卡一个（16G以上）
TF读卡器一个
路由器用的网线一根
5V/2AUSB充电头
Type C口数据线
写盘软件balenaEtcher

注意不要和SD卡搞混了，SD卡是大的，TF卡是小的

写入系统

首先去香橙派官网，找到服务与下载，找到对应的型号，我这里是Orange Pi Zero3，然后点击进去找到官方镜像。

点击进入官方提供的百度网盘地址，下载你想要的镜像，我这里下载的是Debian 12系统，全称是Orangepizero3_1.0.4_debian_bookworm_server_linux6.1.31.7z其中bookworm代表是12的版本，serve代表是服务器版本，不带桌面的那种。

下载后用读卡器把TF卡插到电脑上，使用balenaEtcher将img格式的系统镜像烧录进去，完事后将TF卡插到香橙派开发板上。

然后使用5V/2A的USB充电头和Type C数据线给香橙派接入电源。接入电源后不要拔掉，他会自动引导并安装系统，等一会后就可以用网线将香橙派连上路由器。连上路由器是为了方便远程连接。因为没有接外设的线。

使用SSH远程连接系统

现在就可以进入路由器后台找到香橙派的局域网IP地址，使用此IP地址进行SSH连接。

Debian和Ubuntu系统的默认SSH用户名是orangepi 密码是orangepi

设置系统

通过SSH进入系统后，首先sudo -i切换为root权限，然后使用passwd命令设置一个root密码，请务必设置一个复杂的密码。

设置完密码后使用apt update更新一下源，然后安装一下常用的包apt install -y curl wget git zip tar lsof vim sudo

禁用默认用户登录

我宽带是有公网的，为了安全起见，防止SSH被爆破，建议禁用默认用户远程登录，以Debian或者Ubuntu系统为例

# 编辑SSH配置文件
nano /etc/ssh/sshd_config

# 文件末尾添加以下内容
DenyUsers orangepi

# 重启SSH服务
sudo systemctl restart ssh

连接WIFI

这个板子是支持wifi的，进入系统后，可以连上wifi，就不用插网线了。

使用nmcli dev wifi命令搜索附件的WIFI

然后使用如下命令连接WIFI

nmcli device wifi connect "Wi-Fi名称" password "Wi-Fi密码"

然后使用nmcli device status查看连接状态，如果输出的结果中有你连接的Wi-Fi名称，就代表连接成功。

然后就可以使用ip a来查看IP地址了，一般end0是有线网卡，wlan0是无线网卡，其他局域网地址可以通过这些IP来互联，或者SSH连接。当然也可以在路由器里查看分配的IP。

然后后就可以跑各种服务了

linux服务器免密ssh连接教程

Tue, 12 Aug 2025 00:00:00 GMT

1：电脑本地生成SSH密钥对

ssh-keygen -t ed25519

一路回车即可

本机是Win系统：

默认生成在C:\Users\用户名\.ssh\目录

本机是Linux系统：

默认生成在~/.ssh/目录

2：密钥对说明

id_ed25519是私钥，需要保存在本地，不能泄漏。

id_ed25519.pub是公钥，需要将里面的内容复制到要连接的目标主机~/.ssh/authorized_keys中，可以公开。

这样就可以免密连接目标主机了，其他的都可以不用管，不过为了安全，建议关闭密码认证。

私钥相当于钥匙，公钥相当于锁，将锁放在目标主机上，本机就可以使用钥匙开锁。

当然也可以将锁放在多个目标主机上，实现一把钥匙开多个锁。也就是一个私钥免密连接多个主机。

3：`~`目录说明

~代表当前用户的家目录

Linux系统：

普通用户：~等于/home/用户名/目录

root用户：~等于/root/目录

Windows系统：

当前用户：~等于C:\Users\用户名\目录

4：使用命令将公钥复制到目标主机

ssh-copy-id -i ~/.ssh/id_ed25519.pub root@192.168.2.1

如果你的目标主机ssh端口不是默认的22，则需要指定端口参数，例如2233端口：

ssh-copy-id -i ~/.ssh/id_ed25519.pub -p 2233 root@192.168.2.1

这条命令会自动把id_ed25519.pub的内容追加到目标主机的~/.ssh/authorized_keys中

多个主机可以使用脚本for循环批量执行

5：注意事项

目标主机上需要正确的权限设置，一般默认的权限就是正确的。无需改动。

chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

如果你是在目标主机上生成SSH密钥对的话，则把私钥下载到本地即可。

你绝对不知道的Docker高级实用技巧

Tue, 12 Aug 2025 00:00:00 GMT

Docker-compose 实现一键编译并运行远程项目

众所周知Docker-compose是可以直接在编排文件里实现自动构建并运行，无需额外docker buiild，示例配置如下：

services:
  app:
    build: .
    container_name: myapp
    ports:
      - "3000:3000"
    volumes:
      - ./app:/app
    restart: always

Docker会自动构建运行编排项目，并自动寻找Dockerfile文件并根据文件里构建步骤编译镜像，一般也都会将自己的项目文件COPY到镜像里构建自己的项目镜像。

此时有个小技巧，只需一个编排文件，无需项目文件也能实现同样的需求.

那就是利用Docker-compose自带的git clone拉取代码的特性，实现本地构建远程仓库的项目。

参考编排文件如下：

services:
  live:
    build: https://cnb.cool/wanfeng789/live.git
    container_name: live
    ports:
      - "1935:1935"
      - "80:80"
      - "443:443"
    restart: always

此配置可以直接构建远程仓库的代码，Docker会先临时将https://cnb.cool/wanfeng789/live.git远程仓库git clone到一个临时目录.

并根据仓库中的Dockerfile进行编译。然后会自动清理刚刚下载的代码。

这样就很方便编译远程仓库的项目并运行，同时不占用空间。很适合有洁癖的用户。

PS：cnb.cool/wanfeng789/live是我写的一个简约个人直播间项目

Docker bake介绍

Docker bake是Docker官方在BuildKit里提供的一个高级构建命令

主要作用是支持多目标、多平台的并行构建，并且可以用一个bake文件（通常是docker-bake.hcl或者docker-bake.json）定义复杂的构建任务

`Docker bake`命令

执行docker bake命令，会自动寻找当前目录的docker-bake.hcl文件来自动构建

配置文件解释

1：docker-bake.hcl构建多架构镜像，并且每个架构的镜像分开

# 定义一个构建组，组名叫 default
# 这个组包含两个目标：hello1 和 hello2
group "default" {
  targets = ["hello1", "hello2"]
}

# 定义第一个构建目标 hello1
target "hello1" {
  context = "."               # 构建上下文，当前目录（包含 Dockerfile）
  dockerfile = "Dockerfile"  # 指定 Dockerfile 文件路径
  tags = ["hello/alpine:amd64"]  
  platforms = ["linux/amd64"]  # 构建平台为 linux amd64 架构
}

# 定义第二个构建目标 hello2
target "hello2" {
  context = "."               # 构建上下文，当前目录（包含 Dockerfile）
  dockerfile = "Dockerfile"  # 指定 Dockerfile 文件路径
  tags = ["hello/alpine:arm64"]
  platforms = ["linux/arm64"]  # 构建平台为 linux arm64 架构
}

2：docker-bake.hcl构建完成后自动推送到仓库

需要事先docker login登录仓库

# 定义构建组 default，只包含一个多平台目标 hello
group "default" {
  targets = ["hello"]
}

# 定义多平台构建目标 hello
target "hello" {
  context = "."               # 构建上下文，当前目录（包含 Dockerfile）
  dockerfile = "Dockerfile"  # 指定 Dockerfile 文件路径

  # 镜像标签，自动推送到远程仓库，记得替换 hello 为你的用户名或仓库名
  tags = ["hello/alpine:latest"]

  # 同时构建 amd64 和 arm64 多个平台
  platforms = ["linux/amd64", "linux/arm64"]

  # 开启构建完成后自动推送镜像，需要事先docker login登录仓库
  push = true
}

3：docker-bake.hcl同时构建多个任务，并自动推送到仓库

需要事先docker login登录仓库

group "default" {
  targets = ["php", "nginx"]
}

target "php" {
  context = "."               # 构建上下文
  dockerfile = "Dockerfile.php"  # 第一个 Dockerfile
  tags = ["hello/alpine:latest"]
  platforms = ["linux/amd64", "linux/arm64"]
  push = true # 动推送到仓库
}

target "nginx" {
  context = "."                         # 构建上下文
  dockerfile = "Dockerfile.nginx"       # 第二个 Dockerfile 文件
  tags = ["hello/ubuntu:latest"]
  platforms = ["linux/amd64", "linux/arm64"]
  push = true # 动推送到仓库
}

指定某个任务文件构建

docker bake --file my-bake.hcl

利用Docker bake批量并发拉取镜像

众所周知docker是不支持同时批量并发拉取镜像的.

哪怕你把多个镜像放在docker-compose.yml编排文件里，他也是一个个拉取，不是批量并发拉取的。

此时可以借助Docker bake的特性来实现批量并发拉取多个镜像。

Dockerfile：

ARG BASE_IMAGE=scratch
FROM ${BASE_IMAGE}

docker-bake.hcl：

group "default" {
  targets = ["nginx", "alpine", "redis", "mysql", "caddy", "busybox", "python", "node", "golang", "httpd"]
}

target "nginx" {
  context = "."
  dockerfile = "Dockerfile"
  args = { BASE_IMAGE = "nginx:latest" }
  tags = ["nginx:latest"]
}

target "alpine" {
  context = "."
  dockerfile = "Dockerfile"
  args = { BASE_IMAGE = "alpine:latest" }
  tags = ["alpine:latest"]
}

target "redis" {
  context = "."
  dockerfile = "Dockerfile"
  args = { BASE_IMAGE = "redis:latest" }
  tags = ["redis:latest"]
}

target "mysql" {
  context = "."
  dockerfile = "Dockerfile"
  args = { BASE_IMAGE = "mysql:latest" }
  tags = ["mysql:latest"]
}

target "caddy" {
  context = "."
  dockerfile = "Dockerfile"
  args = { BASE_IMAGE = "caddy:latest" }
  tags = ["caddy:latest"]
}

target "busybox" {
  context = "."
  dockerfile = "Dockerfile"
  args = { BASE_IMAGE = "busybox:latest" }
  tags = ["busybox:latest"]
}

target "python" {
  context = "."
  dockerfile = "Dockerfile"
  args = { BASE_IMAGE = "python:3.11-slim" }
  tags = ["python:3.11-slim"]
}

target "node" {
  context = "."
  dockerfile = "Dockerfile"
  args = { BASE_IMAGE = "node:18-alpine" }
  tags = ["node:18-alpine"]
}

target "golang" {
  context = "."
  dockerfile = "Dockerfile"
  args = { BASE_IMAGE = "golang:1.21-alpine" }
  tags = ["golang:1.21-alpine"]
}

target "httpd" {
  context = "."
  dockerfile = "Dockerfile"
  args = { BASE_IMAGE = "httpd:latest" }
  tags = ["httpd:latest"]
}

执行拉取命令

docker buildx bake --load

写了一个简约直播间

Mon, 11 Aug 2025 00:00:00 GMT

简约优雅的个人直播间

闲着没事开发了一个网页直播间，基于 Tailwind CSS + shadcn/ui 风格。轻量，简约，自托管，使用rtmp协议推流。

代码地址：https://cnb.cool/wanfeng789/live

Docker一键运行

docker run -d \
  --name live \
  -p 1935:1935 \
  -p 80:80 \
  -p 443:443 \
  --restart always \
  docker.cnb.cool/wanfeng789/live

可选映射：-v ./Caddyfile:/etc/caddy/Caddyfile \

可以修改Caddyfile配置中第一行为你的域名，如果不修改则默认使用80端口

查看推流密钥

docker exec live wget -qO- 127.0.0.1:8090/control/get?room=movie

配置直播软件

使用 OBS 或FFmpeg等软件推流直播。

推流地址为 rtmp://example.com:1935/live/密钥

查看直播

浏览器地址输入你的地址查看您的直播。

预览

Windows使用Scoop包管理器

Mon, 30 Jun 2025 00:00:00 GMT

Windows系统使用Scoop包管理器教程

Scoop 包管理器优势

无需管理员权限：安装在用户目录，干净无系统污染。
绿色便携：软件以解压包形式安装，卸载即删目录。
多版本管理：支持同一软件多版本安装与切换。
Git + JSON驱动：包描述开源，灵活可扩展。
开发友好：一键自动安装，自动配置环境变量，多版本管理等等。
优秀的开发环境支持：一键安装Node.js、Python、Go等等多种开发工具。
软件众多：支持各种软件包，开发环境，以及常用的Gui软件。

步骤 1：启用 PowerShell 执行策略

在安装 Scoop 之前，您需要允许 PowerShell 执行脚本。

PowerShell 执行以下命令：

Set-ExecutionPolicy RemoteSigned -Scope CurrentUser

当提示时，输入 A 并按回车键确认。

步骤 2：安装 Scoop

先安装Git工具，Scoop依赖Git工具的支持，安装完成后就可以安装 Scoop 了

在当前 PowerShell 窗口中，执行以下命令：

irm get.scoop.sh | iex

这将下载并执行 Scoop 的安装脚本。

验证安装成功

scoop help

步骤 3：bucket

为了能够安装更多软件，您可以添加一些常用的 bucket。

Scoop 官方常用 Bucket 介绍

也就是Github仓库上的软件清单列表

main
地址：https://github.com/ScoopInstaller/Main
说明：官方主仓库，常用软件和基础工具，默认存在，无需配置。
extras
地址：https://github.com/ScoopInstaller/Extras
说明：较多 GUI 软件、实用工具
versions
地址：https://github.com/ScoopInstaller/Versions
说明：多版本软件（Node.js、Python、JDK 等）

更多包搜索：https://scoop.sh/

添加更多Bucket

先删除默认源，也就是Bucket

scoop bucket rm main

main代表源的名称，此源是默认就有的源。

scoop的源也叫bucket仓库，托管在Github，所以需要添加Github加速：

scoop bucket add main https://gh-proxy.com/https://github.com/ScoopInstaller/Main.git

scoop bucket add versions https://gh-proxy.com/https://github.com/ScoopInstaller/Versions.git

scoop bucket add extras https://gh-proxy.com/https://github.com/ScoopInstaller/Extras.git

查看所有bucket仓库

scoop bucket list

安装的软件存放目录

C:\Users\<你的用户名>\scoop\

常用命令示例

搜索软件： scoop search 软件名
安装软件： scoop install 软件名
更新软件： scoop update 软件名
更新所有软件： scoop update *
卸载软件： scoop uninstall 软件名
查看安装缓存： scoop cache
清理所有缓存： scoop cache rm *

安装多个版本（示例）

scoop install nodejs   # 最新稳定版
scoop install nodejs20 # 20.x 版本
scoop install nodejs18 # 18.x 版本

查看已安装版本

scoop list nodejs*

使用 scoop reset 切换版本

scoop reset nodejs18

这条命令会把 node 命令指向 nodejs18 版本。

验证当前版本

node -v

安装完成后记得清理下载的缓存

scoop cache rm *

腾讯云免费Pages配合Github-CICD自动部署教程

Sat, 28 Jun 2025 00:00:00 GMT

腾讯云免费Pages配合Github-CICD自动部署教程

地址：https://console.cloud.tencent.com/edgeone/pages

1：获取api token

创建一个token，名称随便填，有效期看情况选择，我选的永久。

2：Github-CICD配置，以我的配置为例

Github仓库文件路径.github/workflows/edgeone.yml

<details> <summary>查看配置代码</summary>

name: 腾讯pages推送

on:
  push:
    paths:
      - 'README.md'
  workflow_dispatch:

permissions:
  contents: read

concurrency:
  group: "build"
  cancel-in-progress: false

env:
  BUILD_PATH: "."

jobs:
  build:
    name: 构建并部署
    runs-on: ubuntu-latest
    steps:
      - name: 检出代码
        uses: actions/checkout@v4

      - name: 安装 Node.js
        uses: actions/setup-node@v4
        with:
          node-version: '22'

      - name: 安装 pnpm
        uses: pnpm/action-setup@v4
        with:
          version: 9
          standalone: true

      - name: 安装 edgeone CLI
        run: npm install -g edgeone

      - name: 检测包管理器
        id: detect-package-manager
        run: |
          if [ -f "${{ github.workspace }}/yarn.lock" ]; then
            echo "manager=yarn" >> $GITHUB_OUTPUT
            echo "command=install" >> $GITHUB_OUTPUT
            echo "runner=yarn" >> $GITHUB_OUTPUT
            echo "lockfile=yarn.lock" >> $GITHUB_OUTPUT
            exit 0
          elif [ -f "${{ github.workspace }}/package.json" ]; then
            echo "manager=pnpm" >> $GITHUB_OUTPUT
            echo "command=install" >> $GITHUB_OUTPUT
            echo "runner=pnpm" >> $GITHUB_OUTPUT
            echo "lockfile=pnpm-lock.yaml" >> $GITHUB_OUTPUT
            exit 0
          else
            echo "无法检测到包管理器"
            exit 1
          fi

      - name: 安装依赖
        run: pnpm install
        working-directory: ${{ env.BUILD_PATH }}

      - name: 安装 sharp 依赖
        run: pnpm add sharp
        working-directory: ${{ env.BUILD_PATH }}

      - name: 构建产物
        run: pnpm run build
        working-directory: ${{ env.BUILD_PATH }}

      - name: 上传构建产物
        uses: actions/upload-artifact@v4
        with:
          name: astro-build-artifact
          path: ${{ env.BUILD_PATH }}/dist
          retention-days: 1

      - name: 部署到 edgeone
        env:
          EDGEONE_API_TOKEN: ${{ secrets.EDGEONE_API_TOKEN }}
        run: |
          edgeone pages deploy ./dist -n project-name -t "$EDGEONE_API_TOKEN"

</details>

此流水线的配置环境是node 22和pnpm 9，可以根据自己情况修改，触发条件是有新的推送即可自动触发任务，README.md文件除外，同时也支持手动点击触发。

3：在仓库的设置里添加token变量，是仓库的设置，不是账号的设置。

4：构建

配置好了后就可以触发构建了，提交一次代码或者手动点击触发构建，等待构建完成后，就可以回到刚刚的腾讯云pages后台查看了。

5：配置自定义域名

点击这个项目，然后找到项目设置就可以添加自定义域名了，添加后然后将域名CNAME解析一下就完成了。

我的腾讯云Pages域名是：blog.emohe.cn

支付宝收款码前端动态渲染

Wed, 14 May 2025 00:00:00 GMT

import AlipayTip from '@/components/alipay/AlipayTip.astro'

支付宝收款码使用浏览器动态渲染

无需自己上传收款码图片，用户输入金额后前端自动生成对应金额的转账二维码，个人账户原生支持，只需到官网获取账户ID即可调用。

先看成果：

技术解析

原理是前端调用alipays://支付宝私有协议，是支付宝Alipay客户端使用的私有 URL 协议，也叫URL Scheme，用于通过网页、App 或其他外部应用调用支付宝客户端，执行特定动作，比如打开某个页面、发起支付、跳转小程序等。

示例：

alipays://platformapi/startapp?appId=20000123&actionType=scan&biz_data={"s":"money","u":"2088xxxxxx","a":"10","m":"打赏支持"}

然后使用qrcode将私有协议链接转换为二维码就行了。

参数解析：

appId=20000123：支付宝内置的"转账到个人账户"功能编号

actionType=scan：指定操作为扫码支付

biz_data：核心业务参数（JSON格式，需URL编码）：

s: "money"：固定值，表示转账业务

u: "2088xxxxxx"：收款方支付宝UID（用户唯一标识）

a: "10"：初始转账金额（单位：元）

m: "打赏支持"：转账备注（显示在支付宝账单）

前端性能优化技术汇总

Tue, 06 May 2025 00:00:00 GMT

🚀 前端性能优化技术合集与汇总（含示例）

1. 资源加载优化

异步加载（Asynchronous Loading）

描述：不阻塞页面渲染，后台加载资源，加载完成后执行。

应用场景：使用 async、defer 属性异步加载 JS 脚本。

示例：

<!-- async: 下载完成后立即执行，可能中断HTML解析，执行顺序不定 -->
<script async src="analytics.js"></script>

<!-- defer: HTML解析完成后，DOMContentLoaded事件前按顺序执行 -->
<script defer src="main-bundle.js"></script>

懒加载（Lazy Loading）

描述：仅在需要时加载资源（如图片、视频、组件等）。

应用场景：图片、视频、组件、评论等在进入视口时再加载。

示例：

<!-- 使用 loading="lazy" 属性（浏览器原生支持） -->
<img src="placeholder.jpg" data-src="real-image.jpg" loading="lazy" alt="Lazy loaded image">
<iframe src="placeholder.html" data-src="real-content.html" loading="lazy"></iframe>

<!-- 使用 Intersection Observer API 实现自定义懒加载 -->
<script>
  const images = document.querySelectorAll('img[data-src]');
  const observer = new IntersectionObserver((entries, observer) => {
    entries.forEach(entry => {
      if (entry.isIntersecting) {
        const img = entry.target;
        img.src = img.dataset.src;
        img.removeAttribute('data-src');
        observer.unobserve(img);
      }
    });
  });
  images.forEach(img => observer.observe(img));
</script>

预加载（Preload）

描述：页面加载时提前加载未来可能需要的资源。

应用场景：使用 <link rel="preload" href="..." as="..."> 提前加载重要资源（如字体、脚本）。

示例：

<!-- 预加载关键CSS文件 -->
<link rel="preload" href="critical.css" as="style">

<!-- 预加载将在稍后使用的JS文件 -->
<link rel="preload" href="late-loaded-script.js" as="script">

<!-- 预加载字体文件 -->
<link rel="preload" href="font.woff2" as="font" type="font/woff2" crossorigin>

空闲时间调度（Idle Time Scheduling）

描述：使用 requestIdleCallback 在浏览器空闲时执行低优先级任务，提升页面响应。

应用场景：适用于非关键任务的加载和执行，如发送分析数据、预渲染不可见内容。

示例：

requestIdleCallback((deadline) => {
  // 如果有剩余时间，或者任务必须执行
  if (deadline.timeRemaining() > 0 || deadline.didTimeout) {
    // 执行低优先级任务，例如发送统计数据
    sendAnalyticsData();
  }
});

2. 资源压缩与合并

图片压缩（Image Optimization）

描述：压缩图片文件，减少图片体积，使用高效格式（如 WebP、AVIF）。

应用场景：网站中所有使用的图片资源。

示例：

工具: 使用在线工具如 TinyPNG、Squoosh.app 或构建工具插件（如 imagemin-webpack-plugin）进行自动化压缩。

格式选择: 使用 <picture> 标签提供多种格式供浏览器选择。

<picture>
  <source srcset="image.avif" type="image/avif">
  <source srcset="image.webp" type="image/webp">
  <img src="image.jpg" alt="Optimized image">
</picture>

JS / CSS 压缩（Minification）

描述：去除代码中的空格、注释等，减少文件体积，提升加载速度。

应用场景：生产环境中的所有 JavaScript 和 CSS 文件。

示例：

构建工具: 使用 Webpack、Rollup、Parcel 等构建工具，并配置相应的插件（如 TerserWebpackPlugin 用于 JS，CssMinimizerWebpackPlugin 用于 CSS）在生产构建时自动压缩代码。

// webpack.config.js (示例)
const TerserPlugin = require('terser-webpack-plugin');
const CssMinimizerPlugin = require('css-minimizer-webpack-plugin');

module.exports = {
  // ...
  optimization: {
    minimize: true,
    minimizer: [
      new TerserPlugin(),
      new CssMinimizerPlugin(),
    ],
  },
  // ...
};

CSS 和 JS 合并（Concatenation）

描述：合并多个文件，减少 HTTP 请求次数（在 HTTP/1.1 环境下尤其重要，HTTP/2 中重要性降低但仍有益）。

应用场景：将多个小的 CSS 或 JS 文件合并成一个或少数几个较大的文件。

示例：

构建工具: Webpack、Rollup 等现代构建工具通常在打包过程中自动处理模块合并。确保配置合理，避免生成过大的单一文件，可以结合代码分割使用。

// main.js (示例入口文件)
import './moduleA.js';
import './moduleB.js';
import './styles.css';
import './more-styles.css';

// 构建工具会将这些导入合并到输出的 bundle 文件中

3. 代码优化

代码分割（Code Splitting）

描述：按需加载 JS 代码，减小首屏加载体积，常见于单页应用。

应用场景：使用动态 import() 和路由懒加载，按需加载模块。

示例：

// 使用动态 import() 按需加载模块
document.getElementById('loadButton').addEventListener('click', () => {
  import('./heavy-module.js')
    .then(module => {
      module.doSomething();
    })
    .catch(err => {
      console.error('Failed to load module:', err);
    });
});

// 路由懒加载 (以 React Router 为例)
import React, { Suspense, lazy } from 'react';
import { BrowserRouter as Router, Route, Switch } from 'react-router-dom';

const HomePage = lazy(() => import('./routes/HomePage'));
const AboutPage = lazy(() => import('./routes/AboutPage'));

const App = () => (
  <Router>
    <Suspense fallback={<div>Loading...</div>}>
      <Switch>
        <Route exact path="/" component={HomePage} />
        <Route path="/about" component={AboutPage} />
      </Switch>
    </Suspense>
  </Router>
);

Tree Shaking

描述：删除未使用的代码（dead code elimination），减小打包体积，优化代码执行效率。

应用场景：适用于 Webpack、Rollup 等支持 Tree Shaking 的工具，需要使用 ES6 模块语法（import/export）。

示例：

构建工具配置: 在 Webpack 中，将 mode 设置为 production 会自动启用 Tree Shaking。确保你的代码使用 ES6 模块，并且没有副作用（side effects）阻止 Tree Shaking。
```
// webpack.config.js
module.exports = {
  mode: 'production', // 启用包括 Tree Shaking 在内的多项优化
  // ...
};
```

标记副作用: 如果某个模块有副作用（例如，全局样式注入、polyfill），可以在 package.json 中标记。

// package.json
{
  "name": "my-library",
  "version": "1.0.0",
  "sideEffects": false // 默认无副作用，利于 Tree Shaking
  // 或者指定有副作用的文件
  // "sideEffects": ["./src/polyfill.js", "*.css"]
}

Font Subsetting

描述：只加载网页中使用的字符集，减少字体文件的体积。

应用场景：适用于自定义字体加载和优化，特别是中文字体等字符集庞大的字体。

示例：

工具: 使用 font-spider (国人开发，适合中文字体)、glyphhanger 或在线字体子集化工具，根据项目实际使用的文字生成精简后的字体文件。

# 使用 font-spider (示例)
# 1. 在 CSS 中正常引用字体
# @font-face {
#   font-family: 'MyFont';
#   src: url('../fonts/MyFont.ttf');
# }
# body {
#   font-family: 'MyFont';
# }
# 2. 运行命令扫描 HTML 文件并生成子集字体
font-spider ./index.html

4. 浏览器渲染优化

减少重排与重绘（Reflow & Repaint）

描述：避免频繁修改布局（如 width、height、top、left），减少重排（Reflow/Layout）。优化 DOM 操作，避免页面卡顿和性能瓶颈。

应用场景：涉及 DOM 元素尺寸、位置、内容变化的 JavaScript 操作。

示例：

// 不好的做法：每次循环都读取 offsetHeight，可能触发重排
for (let i = 0; i < elements.length; i++) {
  elements[i].style.width = elements[i].offsetHeight + 'px'; // 读取触发重排
}

// 改进：先读后写，分离读写操作
const heights = [];
for (let i = 0; i < elements.length; i++) {
  heights[i] = elements[i].offsetHeight; // 批量读取
}
for (let i = 0; i < elements.length; i++) {
  elements[i].style.width = heights[i] + 'px'; // 批量写入
}

// 使用 CSS transform 代替 top/left 实现位移动画，避免重排
// 不推荐
// element.style.left = x + 'px';
// element.style.top = y + 'px';

// 推荐
element.style.transform = `translate(${x}px, ${y}px)`;

合并 DOM 操作

描述：将多次 DOM 操作合并成一次，减少重排和重绘的频率。

应用场景：需要向 DOM 中插入多个元素时。

示例：

const list = document.getElementById('myList');
const items = ['Apple', 'Banana', 'Cherry'];

// 不好的做法：每次循环都操作 DOM
// items.forEach(itemText => {
//   const li = document.createElement('li');
//   li.textContent = itemText;
//   list.appendChild(li); // 每次 appendChild 都可能触发重排/重绘
// });

// 推荐：使用 DocumentFragment
const fragment = document.createDocumentFragment();
items.forEach(itemText => {
  const li = document.createElement('li');
  li.textContent = itemText;
  fragment.appendChild(li); // 操作 Fragment 不会触发重排/重绘
});
list.appendChild(fragment); // 最后一次性插入 DOM

硬件加速（Transform & Opacity）

描述：使用 transform 和 opacity 代替布局属性（如 top、left）进行动画，利用 GPU 加速，提高动画流畅度。

应用场景：实现位移、缩放、旋转、透明度等动画效果。

示例：

.animated-element {
  /* 不推荐：使用 top/left 可能导致重排，动画可能卡顿 */
  /* position: absolute; */
  /* left: 0; */
  /* transition: left 0.3s ease; */

  /* 推荐：使用 transform 利用 GPU 加速 */
  transform: translateX(0);
  transition: transform 0.3s ease, opacity 0.3s ease;
  opacity: 1;
}

.animated-element.move {
  /* transform: translateX(100px); */
  transform: translate3d(100px, 0, 0); /* 强制开启 GPU 加速 */
}

.animated-element.fade-out {
  opacity: 0;
}

will-change 提前通知浏览器

描述：使用 will-change 提前告知浏览器即将发生的样式变化，让浏览器可以提前进行优化准备，避免渲染瓶颈。

应用场景：用于即将发生复杂变化的元素，特别是动画元素。

示例：

.element-about-to-animate {
  /* 告知浏览器 transform 和 opacity 属性即将发生变化 */
  will-change: transform, opacity;
}

.element-about-to-animate:hover {
  transform: scale(1.1);
  opacity: 0.8;
}

/* 注意：不要滥用 will-change，仅在确实需要时添加，并在变化结束后移除 */
/* 可以通过 JavaScript 在动画开始前添加，结束后移除 */

5. 网络优化

HTTP/2 / HTTP/3 协议

描述：启用 HTTP/2 或 HTTP/3，利用其多路复用、头部压缩、服务器推送（HTTP/2）、基于 UDP 的 QUIC（HTTP/3）等特性，提高并行传输效率，减少请求延迟。

应用场景：Web 服务器配置。

示例：

服务器配置: 在 Nginx, Apache 或其他 Web 服务器上启用 HTTP/2 或 HTTP/3 支持（通常需要 HTTPS）。

# Nginx 配置启用 HTTP/2 (示例)
server {
    listen 443 ssl http2;
    # ... 其他 SSL 配置 ...
}
# Nginx 配置启用 HTTP/3 (需要较新版本和额外模块)
server {
    listen 443 quic reuseport;
    listen 443 ssl http2;
    # ... 其他 SSL 和 HTTP/3 配置 ...
    add_header Alt-Svc 'h3=":443"; ma=86400'; # 告知浏览器支持 HTTP/3
}

验证: 使用浏览器开发者工具的网络(Network)面板查看协议版本。

Content Delivery Network (CDN)

描述：使用 CDN 将静态资源（如图片、CSS、JS）缓存到全球各地的边缘节点，用户从最近的节点获取资源，减少网络延迟，提高加载速度。

应用场景：网站的静态资源分发。

示例：

服务商: 选择 CDN 服务商（如 Cloudflare, Akamai, AWS CloudFront, 阿里云 CDN, 腾讯云 CDN 等）。

配置: 将静态资源的 URL 指向 CDN 提供的域名。

<!-- 原始路径 -->
<!-- <script src="/assets/app.js"></script> -->
<!-- <img src="/images/logo.png"> -->

<!-- 使用 CDN 路径 -->
<script src="https://cdn.example.com/assets/app.js"></script>
<img src="https://cdn.example.com/images/logo.png">

缓存优化（Caching）

描述：使用 HTTP 缓存头（如 Cache-Control、ETag、Last-Modified）优化资源缓存，让浏览器可以复用已下载的资源，减少重复请求。

应用场景：所有可以通过 HTTP 请求的资源。

示例：

服务器配置: 配置 Web 服务器发送合适的缓存头。

# Nginx 配置示例
location ~* \.(?:css|js)$ {
    # 强缓存：缓存 1 年
    add_header Cache-Control "public, max-age=31536000, immutable";
    access_log off;
}

location ~* \.(?:jpg|jpeg|png|gif|ico|webp|avif)$ {
    # 强缓存：缓存 1 个月
    add_header Cache-Control "public, max-age=2592000";
    access_log off;
}

location = /index.html {
    # 协商缓存：每次验证
    add_header Cache-Control "no-cache";
}

ETag: 服务器为资源生成唯一标识，浏览器下次请求时通过 If-None-Match 发送此标识，服务器比对后若无变化则返回 304 Not Modified。
Last-Modified: 服务器告知资源最后修改时间，浏览器下次通过 If-Modified-Since 发送此时间，服务器比对后若无更新则返回 304。

DNS 预解析 / 预连接（DNS Prefetch / Preconnect）

描述：提前解析域名或建立到目标源（域名+端口）的 TCP 连接（甚至 TLS 握手），减少后续资源请求时的延迟。

应用场景：页面中引用了来自其他域名的资源（如 CDN、API、第三方脚本）。

示例：

<!-- DNS 预解析：提前解析域名 -->
<link rel="dns-prefetch" href="//fonts.googleapis.com">
<link rel="dns-prefetch" href="//api.example.com">

<!-- 预连接：提前完成 DNS 解析 + TCP 握手 + TLS 协商 -->
<link rel="preconnect" href="https://fonts.gstatic.com" crossorigin>
<link rel="preconnect" href="https://api.example.com">

6. 服务端优化

Server-Side Rendering (SSR) / Static Site Generation (SSG)

描述：使用 SSR（服务器端渲染）或 SSG（静态站点生成）在服务器端生成完整的 HTML 页面或预渲染的静态 HTML 文件，直接发送给浏览器，加快首屏显示速度，并有利于 SEO。

应用场景：内容型网站、需要良好 SEO 的应用、追求极致首屏性能的场景。

示例：

框架: 使用支持 SSR/SSG 的前端框架，如 Next.js (React), Nuxt.js (Vue), SvelteKit (Svelte), Gatsby (React, SSG), Astro 等。

// Next.js 页面示例 (SSR)
export async function getServerSideProps(context) {
  const res = await fetch(`https://api.example.com/data`);
  const data = await res.json();
  return { props: { data } }; // 数据将作为 props 传递给页面组件
}
function Page({ data }) {
  // 渲染页面...
}
export default Page;

// Next.js 页面示例 (SSG)
export async function getStaticProps() {
  const res = await fetch(`https://api.example.com/data`);
  const data = await res.json();
  return { props: { data } };
}
// ... Page 组件同上 ...

API 优化

描述：缩短 API 接口的响应时间，使用合适的数据格式（如 JSON），采用有效的缓存策略（如 Redis 缓存查询结果），减少 API 请求处理的延迟。

应用场景：所有前后端数据交互的接口。

示例：

后端: 优化数据库查询（添加索引、慢查询分析）、使用缓存层（Redis, Memcached）、优化业务逻辑、使用异步处理非核心任务。
数据格式: 确保 API 返回精简的 JSON 数据，避免冗余字段。
网络: 减少 API 服务器与客户端之间的网络延迟（如使用 CDN 加速 API）。

GraphQL 优化

描述：采用 GraphQL 代替传统 RESTful API，允许客户端精确指定需要获取的数据结构，避免了 REST 中常见的 over-fetching（获取过多数据）和 under-fetching（需要多次请求才能获取足够数据）的问题。

应用场景：复杂数据关联、移动端应用、需要灵活数据查询的场景。

示例：

# GraphQL 查询示例：只请求需要的字段
query GetUserProfile {
  user(id: "123") {
    id
    name
    email
    posts(last: 5) { # 只获取最近 5 篇文章
      title
      createdAt
    }
  }
}

# 相比之下，REST 可能需要多个请求或返回大量不需要的数据
# GET /users/123
# GET /users/123/posts?limit=5

7. 前端缓存与持久化

LocalStorage / SessionStorage

描述：使用 Web Storage API (LocalStorage, SessionStorage) 在浏览器端存储少量键值对数据。LocalStorage 数据持久存在，除非手动清除；SessionStorage 数据在会话结束后（通常是浏览器标签页关闭时）清除。

应用场景：存储用户偏好设置、少量非敏感数据、临时状态等，减少不必要的服务器请求。

示例：

// LocalStorage: 持久存储
localStorage.setItem('theme', 'dark');
const currentTheme = localStorage.getItem('theme');
localStorage.removeItem('theme');
localStorage.clear(); // 清除所有

// SessionStorage: 会话级存储
sessionStorage.setItem('sessionId', 'abc123xyz');
const sessionId = sessionStorage.getItem('sessionId');

注意: Web Storage 容量有限（通常 5-10MB），且是同步操作，可能阻塞主线程，不适合存储大量数据。

IndexedDB

描述：一个在浏览器中存储大量结构化数据（包括文件/Blob）的底层 API。它创建了一个事务型数据库，支持索引，可以进行高性能搜索。

应用场景：离线数据存储、大型数据集缓存、PWA（Progressive Web Apps）的数据存储。

示例：

// 打开（或创建）数据库
const request = indexedDB.open('myDatabase', 1);

request.onupgradeneeded = event => {
  const db = event.target.result;
  // 创建一个对象存储空间（类似表）
  const objectStore = db.createObjectStore('customers', { keyPath: 'id' });
  // 创建索引
  objectStore.createIndex('name', 'name', { unique: false });
};

request.onsuccess = event => {
  const db = event.target.result;
  // 使用事务进行数据操作
  const transaction = db.transaction(['customers'], 'readwrite');
  const objectStore = transaction.objectStore('customers');

  // 添加数据
  const addRequest = objectStore.add({ id: '1', name: 'Alice', email: 'alice@example.com' });
  addRequest.onsuccess = () => console.log('Data added');

  // 获取数据
  const getRequest = objectStore.get('1');
  getRequest.onsuccess = () => console.log('Retrieved data:', getRequest.result);
};

request.onerror = event => {
  console.error('Database error:', event.target.errorCode);
};

注意: IndexedDB API 较为复杂，通常建议使用封装库（如 Dexie.js, idb）。

缓存 API (Cache API)

描述：通常与 Service Worker 结合使用，提供一个用于存储和检索网络请求及其相应响应的系统。它允许你缓存资源，以便在离线时或为了提高性能而使用。

应用场景：PWA 的离线缓存、静态资源缓存、API 响应缓存。

示例：

// 在 Service Worker 中使用 Cache API
const CACHE_NAME = 'my-site-cache-v1';
const urlsToCache = [
  '/',
  '/styles/main.css',
  '/script/main.js'
];

self.addEventListener('install', event => {
  event.waitUntil(
    caches.open(CACHE_NAME)
      .then(cache => {
        console.log('Opened cache');
        return cache.addAll(urlsToCache); // 将资源添加到缓存
      })
  );
});

self.addEventListener('fetch', event => {
  event.respondWith(
    caches.match(event.request) // 尝试从缓存中查找匹配的请求
      .then(response => {
        // 如果缓存中有匹配的响应，则返回它
        if (response) {
          return response;
        }
        // 否则，从网络获取
        return fetch(event.request);
      })
  );
});

8. 响应式设计与适配

媒体查询（Media Queries）

描述：使用 CSS 媒体查询根据设备的特性（如视口宽度、高度、方向、分辨率等）应用不同的样式规则。

应用场景：实现响应式布局，为不同屏幕尺寸提供优化体验，加载适合的资源。

示例：

/* 默认样式 (移动优先) */
.container {
  width: 95%;
  margin: 0 auto;
}

/* 平板设备 */
@media (min-width: 768px) {
  .container {
    width: 90%;
  }
  .sidebar {
    display: block; /* 在平板上显示侧边栏 */
  }
}

/* 桌面设备 */
@media (min-width: 1024px) {
  .container {
    width: 80%;
    max-width: 1200px;
  }
}

/* 加载不同背景图 */
body {
  background-image: url('background-small.jpg');
}
@media (min-width: 768px) {
  body {
    background-image: url('background-large.jpg');
  }
}

图片适配（Responsive Images）

描述：使用 HTML 的 <picture> 元素或 <img> 元素的 srcset 和 sizes 属性，让浏览器根据设备特性（如屏幕尺寸、分辨率、网络状况）选择加载最合适的图片资源。

应用场景：为不同设备提供不同尺寸或格式的图片，节省带宽，提高加载速度。

示例：

<!-- 使用 srcset 和 sizes -->
<img srcset="image-320w.jpg 320w,
             image-480w.jpg 480w,
             image-800w.jpg 800w"
     sizes="(max-width: 320px) 280px,
            (max-width: 480px) 440px,
            800px"
     src="image-800w.jpg" alt="Responsive image">

<!-- 使用 <picture> 元素提供不同格式或裁剪 -->
<picture>
  <source media="(min-width: 650px)" srcset="image-large.webp" type="image/webp">
  <source media="(min-width: 465px)" srcset="image-medium.webp" type="image/webp">
  <source srcset="image-small.webp" type="image/webp">
  <!-- Fallback for browsers that don't support WebP or <picture> -->
  <source media="(min-width: 650px)" srcset="image-large.jpg">
  <source media="(min-width: 465px)" srcset="image-medium.jpg">
  <img src="image-small.jpg" alt="Art directed image">
</picture>

9. 智能化和延迟加载

智能加载（Smart Loading）

描述：根据用户的行为、网络状况（如使用 Network Information API）、设备性能或数据节省偏好，智能地决定加载哪些内容或何种质量的内容。

应用场景：在慢速网络下加载低质量图片或延迟加载非关键脚本，根据用户交互历史预测并预加载可能访问的页面。

示例：

// 检查网络状况决定加载资源质量 (概念示例)
if ('connection' in navigator) {
  const connection = navigator.connection;
  if (connection.saveData === true) {
    // 用户启用了数据节省模式，加载低质量资源
    loadLowQualityResources();
  } else if (connection.effectiveType === '4g') {
    // 网络良好，加载高质量资源
    loadHighQualityResources();
  } else {
    // 网络一般或未知，加载标准资源
    loadStandardResources();
  }
} else {
  // 不支持 Network Information API，加载标准资源
  loadStandardResources();
}

按需加载（On-demand Loading）

描述：只有在用户明确需要时（如点击按钮、滚动到特定区域）才加载更多内容或功能。

应用场景：无限滚动列表、点击“加载更多”按钮、加载大型库或组件。

示例：

// 点击按钮加载更多评论
const loadMoreButton = document.getElementById('loadMoreComments');
let currentPage = 1;

loadMoreButton.addEventListener('click', () => {
  currentPage++;
  fetch(`/api/comments?page=${currentPage}`)
    .then(response => response.json())
    .then(comments => {
      renderComments(comments);
      if (comments.length === 0) {
        loadMoreButton.style.display = 'none'; // 没有更多评论了
      }
    });
});

// 结合 Intersection Observer 实现无限滚动加载
const sentinel = document.getElementById('infinite-scroll-sentinel');
const observer = new IntersectionObserver(entries => {
  if (entries[0].isIntersecting) {
    loadMoreContent();
  }
});
observer.observe(sentinel);

10. 字体优化

字体懒加载

描述：仅在需要显示相应文本时才开始加载字体文件，或者使用 font-display CSS 属性控制字体加载过程中的文本显示行为，避免字体加载阻塞页面渲染或导致文本闪烁（FOIT/FOUT）。

应用场景：优化使用了自定义 Web 字体的页面加载体验。

示例：

@font-face {
  font-family: 'MyCustomFont';
  src: url('myfont.woff2') format('woff2');
  /* font-display 控制字体加载行为 */
  /* swap: 先显示后备字体，字体加载完后替换。可能导致 FOUT (Flash of Unstyled Text) */
  font-display: swap;

  /* block: 短暂阻塞（约3秒），期间不显示文本。若超时则显示后备字体，加载完后替换。*/
  /* font-display: block; */

  /* fallback: 极短阻塞（约100ms），期间不显示文本。若超时则显示后备字体，后续不再替换。*/
  /* font-display: fallback; */

  /* optional: 极短阻塞（约100ms），期间不显示文本。若超时则显示后备字体，字体仍在后台下载，但仅在下次导航时使用。*/
  /* font-display: optional; */
}

body {
  font-family: 'MyCustomFont', sans-serif; /* 指定后备字体 */
}

JS 懒加载: 可以使用 JavaScript 监听特定元素进入视口或其他条件，然后动态添加包含 @font-face 规则的 CSS 或直接加载字体。

合并字体文件

描述：如果页面使用了同一字体家族的多个字重（如 Regular, Bold, Italic），并且这些字重分别在不同的字体文件中，可以将它们合并成一个或少数几个文件（如果格式支持，如 WOFF2 可变字体），或者只加载必要的字重和字符集，以减少 HTTP 请求次数。

应用场景：使用了多个字体文件的网站。

示例：

策略: 评估是否所有字重都是必需的。如果可能，使用可变字体（Variable Fonts），一个文件包含所有变体。
工具: 使用字体编辑工具（如 FontForge）或专门的服务来合并字体文件或创建子集。
CSS: 确保 @font-face 规则正确指向合并后的文件或只引用需要的字重。

11. WebP 和 AVIF 格式

WebP / AVIF 图片格式

描述：使用现代图片格式 WebP 或 AVIF 替代传统的 JPG、PNG、GIF。它们通常能在相同视觉质量下提供更小的文件体积（WebP 比 JPG 小约 25-35%，AVIF 比 JPG 小约 50%），支持有损和无损压缩、透明度以及动画。

应用场景：网站上所有使用的图片。

示例：

<!-- 使用 <picture> 元素提供多种格式 -->
<picture>
  <!-- 优先尝试 AVIF -->
  <source srcset="image.avif" type="image/avif">
  <!-- 其次尝试 WebP -->
  <source srcset="image.webp" type="image/webp">
  <!-- 最后回退到 JPG -->
  <img src="image.jpg" alt="Modern image format example">
</picture>

<!-- 在 CSS 中使用 -->
<style>
.hero {
  /* 浏览器会自动选择它支持的第一个格式 */
  background-image: url('hero.avif'), url('hero.webp'), url('hero.jpg');
}
</style>

转换工具: 使用 Squoosh.app、cwebp/avifenc 命令行工具或构建插件（如 imagemin-webp）将现有图片转换为 WebP/AVIF。

12. JavaScript 性能优化

减少 JavaScript 阻塞

描述：避免长时间运行的 JavaScript 任务阻塞主线程，导致页面无响应。通过异步加载（async/defer）、延迟执行非关键脚本、将耗时任务移至 Web Worker 或使用 requestIdleCallback 来实现。

应用场景：优化页面加载和交互过程中的 JavaScript 执行。

示例：

async/defer: 见 1.1 异步加载示例。

延迟执行: 对于非首屏必需的 JS（如聊天插件、广告脚本），可以在页面主要内容加载完成后再加载和执行。

window.addEventListener('load', () => {
  const script = document.createElement('script');
  script.src = 'non-critical-script.js';
  document.body.appendChild(script);
});

Web Worker: 见 12.3 Web Worker 示例。
requestIdleCallback: 见 1.4 空闲时间调度示例。

优化垃圾回收（GC）

描述：编写更有效的代码以减少内存泄漏和不必要的内存分配，从而降低垃圾回收（GC）的频率和持续时间，避免 GC 暂停导致页面卡顿。

应用场景：长时间运行的应用、包含大量动态数据和事件监听器的页面。

示例：

避免全局变量: 全局变量不易被回收。

及时移除事件监听器: 在元素移除或组件卸载时，使用 removeEventListener 清除不再需要的监听器。

function handleClick() { /* ... */ }
element.addEventListener('click', handleClick);
// ... 当不再需要时 ...
element.removeEventListener('click', handleClick);

管理闭包: 注意闭包可能意外地持有不再需要的变量引用。

使用 WeakMap / WeakSet: 对于对象键或集合成员，如果希望它们在没有其他引用的情况下能被 GC 回收，可以使用 WeakMap 或 WeakSet。

const metadata = new WeakMap(); // 使用 WeakMap 存储对象元数据
let obj = {};
metadata.set(obj, { info: 'some data' });
// 当 obj 不再被引用时，WeakMap 中的条目也会被自动移除，不会阻止 obj 被回收
obj = null; // 假设这是 obj 的最后一个引用

Web Worker

描述：将计算密集型或长时间运行的 JavaScript 任务放到后台线程（Web Worker）中执行，避免阻塞主线程，保持 UI 的响应性。

应用场景：复杂计算、数据处理、图像处理、后台数据同步等。

示例：

// main.js (主线程)
const worker = new Worker('worker.js');

// 向 Worker 发送数据
worker.postMessage({ data: [1, 2, 3, 4, 5] });

// 接收来自 Worker 的消息
worker.onmessage = event => {
  console.log('Result from worker:', event.data.result);
};

// 处理错误
worker.onerror = error => {
  console.error('Worker error:', error);
};

// worker.js (后台线程)
self.onmessage = event => {
  console.log('Data received in worker:', event.data.data);
  // 执行耗时计算
  const result = event.data.data.reduce((sum, val) => sum + val * val, 0);

  // 将结果发送回主线程
  self.postMessage({ result: result });
};

13. Web API 性能优化

Intersection Observer API

描述：提供一种异步观察目标元素与其祖先元素或顶级文档视口交叉状态变化的方法。比传统的滚动事件监听更高效。

应用场景：图片/组件懒加载、无限滚动、广告可见性跟踪、触发动画等。

示例：

const targetElement = document.getElementById('observeMe');

const callback = (entries, observer) => {
  entries.forEach(entry => {
    if (entry.isIntersecting) {
      // 元素进入视口
      console.log('Element is visible!');
      targetElement.classList.add('visible');
      // 如果只需要触发一次，可以停止观察
      // observer.unobserve(targetElement);
    } else {
      // 元素离开视口
      console.log('Element is hidden!');
      targetElement.classList.remove('visible');
    }
  });
};

const options = {
  root: null, // 相对于视口
  rootMargin: '0px',
  threshold: 0.5 // 元素 50% 可见时触发回调
};

const observer = new IntersectionObserver(callback, options);
observer.observe(targetElement);

Performance API

描述：提供访问浏览器性能相关信息的接口，可以用来精确测量代码执行时间、资源加载时间、页面导航性能等。

应用场景：性能监控、代码性能分析、资源加载优化分析。

示例：

// 测量代码块执行时间
performance.mark('start-calculation');
// ... 执行一些耗时操作 ...
calculateFibonacci(40);
performance.mark('end-calculation');
performance.measure('calculation-duration', 'start-calculation', 'end-calculation');

// 获取所有测量结果
const measures = performance.getEntriesByType('measure');
measures.forEach(measure => {
  console.log(`${measure.name}: ${measure.duration}ms`);
});

// 获取资源加载性能数据
const resources = performance.getEntriesByType('resource');
resources.forEach(resource => {
  console.log(`Resource ${resource.name} loaded in ${resource.duration}ms`);
});

// 获取导航性能数据
const navigation = performance.getEntriesByType('navigation')[0];
console.log(`DOM content loaded in ${navigation.domContentLoadedEventEnd}ms`);
console.log(`Page loaded in ${navigation.loadEventEnd}ms`);

// 清除标记和测量
performance.clearMarks();
performance.clearMeasures();

Service Worker

描述：一个运行在浏览器后台的脚本，独立于网页，可以拦截和处理网络请求、推送通知、后台同步等。是构建 PWA 的核心技术之一。

应用场景：实现离线缓存、资源拦截与代理、推送通知、后台数据同步。

示例：

// main.js (注册 Service Worker)
if ('serviceWorker' in navigator) {
  window.addEventListener('load', () => {
    navigator.serviceWorker.register('/sw.js')
      .then(registration => {
        console.log('ServiceWorker registration successful with scope: ', registration.scope);
      })
      .catch(error => {
        console.log('ServiceWorker registration failed: ', error);
      });
  });
}

// sw.js (Service Worker 脚本 - 缓存优先策略示例)
const CACHE_NAME = 'my-app-cache-v1';

self.addEventListener('install', event => {
  // 安装时缓存核心资源
  event.waitUntil(
    caches.open(CACHE_NAME).then(cache => {
      return cache.addAll([
        '/',
        '/index.html',
        '/styles.css',
        '/app.js'
      ]);
    })
  );
});

self.addEventListener('fetch', event => {
  event.respondWith(
    caches.match(event.request)
      .then(response => {
        // 缓存命中，返回缓存的响应
        if (response) {
          return response;
        }
        // 缓存未命中，从网络获取
        return fetch(event.request).then(networkResponse => {
          // 可选：将新的响应添加到缓存
          // caches.open(CACHE_NAME).then(cache => cache.put(event.request, networkResponse.clone()));
          return networkResponse;
        });
      })
      .catch(() => {
        // 网络和缓存都失败时，可以返回一个备用的离线页面
        // return caches.match('/offline.html');
      })
  );
});

使用DOH和ECH防止DNS污染和劫持

Fri, 14 Mar 2025 00:00:00 GMT

前言

DoH（DNS over HTTPS）是一种安全协议，它通过 HTTPS（TLS 加密）传输 DNS 解析请求，防止 DNS 查询被窃听、篡改或屏蔽。

正常情况下，当你访问一个 HTTPS 网站时，需要先向 DNS 发送查询该域名 IP 地址的请求。由于传统 DNS 查询是明文传输的，ISP 或其他网络中间人可以看到你查询了哪个域名。虽然 HTTPS 内容是加密的，无法看到具体内容，但可以得知你在访问什么网站。

另外，访问 HTTPS 网站需要进行 TLS 握手，握手时会携带域名信息，也就是 SNI（Server Name Indication）。ISP 同样能看到这个信息。

此时，中间人可以劫持并篡改 DNS 查询返回的 IP 地址。

当我们使用加密 DNS 后，可以隐藏 DNS 查询的域名信息，但由于 TLS 握手仍会携带 SNI 信息，中间人依然能够监控。为了进一步保护隐私，网站可以配置 ECH（Encrypted Client Hello）来加密 SNI 信息。

目前 Cloudflare 已支持 ECH，使用其 CDN 服务的网站会默认开启此功能。ECH 会加密真实的 SNI 信息，只有支持 ECH 的服务器才能解密，从而实现对真实访问目标的隐藏。

ECH 配合 DoH 加密 DNS 可以提供更完整的隐私保护。

享受ECH加密的一些注意事项

服务端域名开启了ECH
服务端域名支持TLS 1.3
域名托管商支持HTTPS解析
客户端使用国际主流浏览器
客户端不要用代理
客户端使用加密DNS

`Windows 11` 配置加密 DNS

由于网络环境限制，国外的加密 DNS 服务可能无法直接访问。本文教大家配置阿里云的加密 DNS 服务。

系统设置方法：

打开 设置 > 网络和 Internet
找到当前网络连接的 属性
在 DNS 服务器分配 中选择 手动
首选 DNS 填入 223.5.5.5
DNS over HTTPS 选择 手动模板
模板地址填入 https://dns.alidns.com/dns-query

控制面板配置方法：

打开控制面板，选择 查看网络状态和任务
点击你的网卡连接
选择 属性
双击 Internet 协议版本 4 (TCP/IPv4)
点击 属性
首选 DNS 填入 223.5.5.5，备选 DNS 填入 8.8.8.8
点击 确定 保存设置

配置完成后，你的 DNS 查询将通过加密通道进行，提升上网安全性和隐私保护。

验证是否开启

访问域名 https://cdnjs.com/cdn-cgi/trace 查看sni参数，如果是图中这样，则代表开启成功。

或者也可以访问https://tls-ech.dev 如果如图所示则代表开启成功。

服务端域名配置ECH教程

由于Cloudflare CDN国内访问速度慢，所以我介绍一下不使用CDN的教程

我使用caddy较多，所以用caddy做演示，其他同理

caddy的 2.10.0正式版本已经加入了ECH的支持，需要使用2.10.0以上的版本。

要使用caddy自动配置ech则需要编译cloudflare dns插件，用于caddy自动添加DNS记录，官方编译的包默认不带此插件。

编译`caddy`并加入`cloudflare DNS`插件的支持

1：安装go环境

2：下载xcaddy

go install github.com/caddyserver/xcaddy/cmd/xcaddy@latest

3：编译带cloudflare dns插件的caddy

xcaddy build --with github.com/caddy-dns/cloudflare

此时你的当前目录会生成一个已经包含了cloudflare dns插件的caddy二进制文件

以`debug`模式测试运行

创建/etc/caddy/Caddyfile文件，并写入以下文件

{
    debug
    dns cloudflare xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    ech ech.example.com

    log {
        output stdout
        format console
        level DEBUG
    }
}

test.example.com {
    root * /tmp
    file_server browse
    encode zstd gzip
}

配置说明

dns cloudflare这个配置填CF的区域 DNS API 令牌

ech ech.example.com替换你的任意二级域名，并且解析到你的IP，用于发布ECH公钥，或者第三方提供的ECH配置服务域名也行。

test.example.com替换你的域名，并且解析到你的IP，不要开小黄云。

root * /tmp这个配置代表以网页浏览文件的形式，浏览你服务器的/tmp目录，这里只是测试为了方便起服务。

启动`caddy`

sudo ./caddy run --config /etc/caddy/Caddyfile --adapter caddyfile

不出意外的话就启动成功了，然后可以访问你的域名看下是否能成功访问

并且/root/.local/share/caddy目录会生成一个锁文件，如果需要重新部署则需要删除这个目录

CF里也会自动添加一个类型为HTTPS的解析记录

检查`ech`是否配置成功

dig test.example.com TYPE65

执行这个命令后，在输出的信息里可以看到有如下类似的信息就代表启用成功

ech=AEr+DEBUGAgACBDEMOnixVAfd/ASODJKADKSODAPSkZIwAMADQABAAIASDASDADHw9lY2guZXhhbXBsZS5jb20AAA==

生产环境

移动二进制文件

mv ~/caddy /usr/bin/caddy

创建系统服务配置

touch /etc/systemd/system/caddy.service

写入配置

[Unit]
Description=Caddy Web Server
Documentation=https://caddyserver.com/docs/
After=network.target network-online.target
Wants=network-online.target

[Service]
User=root
Group=root
ExecStart=/usr/bin/caddy run --environ --config /etc/caddy/Caddyfile
ExecReload=/usr/bin/caddy reload --config /etc/caddy/Caddyfile
TimeoutStopSec=5s
LimitNOFILE=1048576
LimitNPROC=512
PrivateTmp=true
ProtectSystem=full
AmbientCapabilities=CAP_NET_BIND_SERVICE
CapabilityBoundingSet=CAP_NET_BIND_SERVICE

[Install]
WantedBy=multi-user.target

管理命令

# 重新加载 systemd 配置
sudo systemctl daemon-reexec
sudo systemctl daemon-reload

# 启动 Caddy
sudo systemctl start caddy

# 设置开机启动
sudo systemctl enable caddy

# 查看运行状态
sudo systemctl status caddy

生产环境反代配置示例

{
	dns cloudflare xxxxxxxxxxxxxxxxxxxxx
	ech ech.example.com
}

test.example.com {
	reverse_proxy localhost:8080
}

重新部署记得删除：/root/.local/share/caddy锁文件，和CF里的HTTPS解析记录

tailscale异地组网教程

Tue, 11 Mar 2025 00:00:00 GMT

前言

Tailscale 是一种新型组网工具. 它能帮助我们把安装了Tailscale服务的机器，都放到同一个局域网内，实现内网互联。即公司或者家里的 PC 机器连到同一网络，包括云服务器等等都能放到同一个局域网。并且能够自动发现点对点直连，如果无法直连则会通过他的公共中继服务器来转发，他的公共网络我实测大概有30M带宽，并且永久免费。当然也可以自建中继服务器，本文有介绍。部署和使用过程都非常简单方便。

安卓，ios，windows，mac 直接官网下载即可

Docker部署

docker run -d \
  --name tailscale \
  --privileged \
  --network host \
  --restart always \
  -v $(pwd)/tailscale:/var/lib/tailscale \
  tailscale/tailscale:latest \
  tailscaled --state=/var/lib/tailscale/tailscaled.state

进入容器：

docker exec -it tailscale sh

生成登录链接：

tailscale up

（可选）使用密钥连接：

tailscale up --auth-key=<你的AuthKey>

查看中继网络

tailscale netcheck

查看是否点对点直连

tailscale status

如果看到relay "tok"则说明使用了公共中继连接，tok代表日本公共节点

指定密钥运行

docker-compose.yml

services:
  tailscale:
    image: tailscale/tailscale:latest
    container_name: tailscale
    privileged: true
    network_mode: host
    restart: always
    volumes:
      - ./tailscale:/var/lib/tailscale
    command:
      - tailscaled
      - --state=/var/lib/tailscale/tailscaled.state
      - --tun=tailscale0
      - --auth-key=你的AuthKey

宿主机部署

# 安装
sudo apt install tailscale -y

# 登录
sudo tailscale up

# 查看运行状态
sudo systemctl status tailscaled

# 开机自启
sudo systemctl enable tailscaled

# 停止运行
sudo systemctl stop tailscaled

# 重启
sudo systemctl restart tailscaled

# 查看日志
sudo journalctl -u tailscaled -f

自建`derper`中继服务器

自动申请证书

services:
  derper:
    image: fredliang/derper:latest
    container_name: derper
    restart: unless-stopped
    environment:
      - DERP_DOMAIN=derper.your-domain.com  # 替换为您的域名
      - DERP_CERT_MODE=letsencrypt
      - DERP_STUN=true
      - DERP_HTTP_PORT=80
      - DERP_ADDR=:443
      - DERP_VERIFY_CLIENTS=true  # 本地 tailscaled 实例验证客户端，只允许自己使用
    ports:
      - "80:80"
      - "443:443"
      - "3478:3478/udp"
    volumes:
      - ./certs:/app/certs # 证书持久化存储
      - /var/run/tailscale/tailscaled.sock:/var/run/tailscale/tailscaled.sock

手动配置证书

services:
  derper:
    image: fredliang/derper:latest
    container_name: derper
    restart: unless-stopped
    environment:
      - DERP_DOMAIN=derper.your-domain.com  # 替换为您的域名
      - DERP_CERT_MODE=manual
      - DERP_CERT_DIR=/app/certs
      - DERP_STUN=true
      - DERP_HTTP_PORT=80
      - DERP_ADDR=:443
      - DERP_VERIFY_CLIENTS=true  # 通过本地 tailscaled 实例验证客户端
    ports:
      - "80:80"
      - "443:443"
      - "3478:3478/udp"
    volumes:
      - ./certs:/app/certs # 手动挂载证书
      - /var/run/tailscale/tailscaled.sock:/var/run/tailscale/tailscaled.sock

修改Tailscale后台配置文件添加如下内容

        "derpMap": {
                "OmitDefaultRegions": true,
                // OmitDefaultRegions 忽略官方的中继节点
                "Regions": {
                        // 这里的 901 从 900 开始随便取数字
                        "901": {
                                // RegionID 和上面的相等
                                "RegionID": 901,
                                // RegionCode 名称
                                "RegionCode": "Vultr-SG",
                                "Nodes": [
                                        {
                                                // Name 保持 1不动
                                                "Name":     "1",
                                                // 这个也和 RegionID 一样
                                                "RegionID": 901,
                                                // 域名
                                                "HostName": "<你的域名>",
                                                // 端口号
                                                "DERPPort": 443,
                                        },
                                ],
                        },
                },
        },

Docker变量	必需	描述	值
DERP_DOMAIN	是	derper 服务器主机名	your-hostname.com
DERP_CERT_DIR	否	存储证书的目录 (如果地址端口是 :443)	/app/certs
DERP_CERT_MODE	否	获取证书的模式。可选项: manual, letsencrypt	letsencrypt
DERP_ADDR	否	服务器监听地址	:443
DERP_STUN	否	是否同时运行 STUN 服务器	true
DERP_HTTP_PORT	否	提供 HTTP 服务的端口。设置为 -1 禁用	80
DERP_VERIFY_CLIENTS	否	是否通过本地 tailscaled 实例验证此 DERP 服务器的客户端	false

服务器SSH防爆破最简单的两种方案

Thu, 27 Feb 2025 00:00:00 GMT

前言

互联网上有黑客无时无刻都在扫端口，我也看到过很多网友的惨痛经历，服务器的SSH密码被黑客爆破后进入服务器捣乱或者植入后门，所以网络安全要牢记心中。本篇文章为大家分享防止SSH被爆破的两种方案，并且最简单方便。

方案一：关闭密码登录改为使用私钥登录

简介：通过关闭SSH密码登录，改用公钥认证，只有拥有对应私钥的用户才能登录。服务器存储用户的公钥，客户端使用私钥进行身份验证，非对称加密确保安全性，彻底杜绝密码暴力破解。

1：生成ED25519类型的 SSH 密钥对

ssh-keygen -t ed25519

一路回车即可，生成的id_ed25519文件为私钥，使用这个私钥文件连接服务器，id_ed25519.pub文件为公钥。

2：然后进入存储SSH密钥的目录，并配置公钥

cd /root/.ssh
cat id_ed25519.pub >> authorized_keys

3：修改SSH配置文件

文件路径在/etc/ssh/sshd_config

sudo vim /etc/ssh/sshd_config

4：找到对应的配置然后修改，这里仅展示需要修改的地方

# 修改SSH服务端口
Port 2222

# 启用公钥认证
PubkeyAuthentication yes

# 指定存储公钥的文件位置(增加此项)
AuthorizedKeysFile .ssh/authorized_keys

# 禁止使用空密码登录
PermitEmptyPasswords no

# 禁止使用密码认证登录
PasswordAuthentication no

5：重启SSH服务

sudo systemctl restart ssh

方案二：端口敲门

:::note[注意] 请先看完教程再配置，配置后记得先测试一下，免得把自己关在门外了。 :::

简介：端口敲门通过关闭SSH端口，服务器监听预设的端口序列，当客户端按正确顺序敲门后，防火墙规则动态开放SSH端口，仅允许敲门成功的IP访问，阻止未授权访问。

1：安装iptables

大部分常见的Linux发行版已经默认安装了，无需额外安装，并且你安装了Docker后也是肯定安装了iptables。可以运行iptables --version查看版本。如果没有安装，可以执行这个命令安装：

sudo apt update && sudo apt install iptables -y

2：安装端口敲门程序knockd

sudo apt update && sudo apt install knockd -y

3：配置knockd

knockd的默认配置文件路径在/etc/knockd.conf

[options]
    UseSyslog
    logfile = /var/log/knockd.log

# 开启SSH访问 - 只允许敲门的IP访问
[openSSH]
    sequence    = 5003,5001
    seq_timeout = 15
    start_command = /sbin/iptables -C INPUT -s %IP% -p tcp --dport 22 -j ACCEPT || /sbin/iptables -I INPUT 1 -s %IP% -p tcp --dport 22 -j ACCEPT
    tcpflags    = syn
    cmd_timeout = 10

# 关闭所有SSH访问 - 阻止所有IP
[closeSSH]
    sequence    = 7001
    seq_timeout = 15
    start_command = /sbin/iptables -C INPUT -p tcp --dport 22 -j DROP || /sbin/iptables -I INPUT 1 -p tcp --dport 22 -j DROP && /sbin/iptables -D INPUT -s %IP% -p tcp --dport 22 -j ACCEPT 2>/dev/null
    tcpflags    = syn
    cmd_timeout = 10

4：启动knockd

sudo systemctl enable knockd
sudo systemctl start knockd

5：关门

网页访问7001端口关闭SSH服务，阻止所有IP访问SSH

6：敲门

按顺序网页访问5003和5001端口，需要15秒内完成动作，敲门后会自动放行敲门的IP允许连接SSH。

Liunx可以使用wget等命令敲门

（可选）关闭端口敲门

停止并禁用knockd

sudo systemctl stop knockd
sudo systemctl disable knockd

清除防火墙所有的自定义规则

sudo iptables -F

端口敲门不仅限于SSH端口，还能实现更多玩法。

自定义域名邮箱可任意收发邮件📩白嫖阿里云企业邮箱

Wed, 26 Feb 2025 00:00:00 GMT

前言

当我们自建网站和一些服务的时候，开启注册验证功能需要邮件发送验证码给用户，自己部署需要额外的成本不说还大概率进垃圾箱。最近我发现了阿里云可以白嫖企业邮箱5年，所以分享给大家。实测QQ和gmail邮箱等等都能正常发送。本篇文章教大家白嫖阿里云企业邮箱并配置SMTP服务。

阿里云白嫖链接

前提条件

1：拥有自己的域名，这步简单就不多说了，随便注册个便宜域名就行。

2：注册一个阿里云账号，这步有手就行。

3：访问阿里云入口链接登录后，选择你的阿里云域名，注意：选择域名后才能0元购买。

4：购买邮箱服务后搜索阿里邮箱，然后进入阿里邮箱

5：点击马上解析

6：点击设置解析，然后点击一键添加，这里记得先点击初始化密码设置一下邮箱密码。这个密码也是你的SMTP的密码。

7：解析好后需要等待10分钟，显示解析生效后，登录邮箱管理页面。

8：在邮箱管理页面左侧找到员工账号管理，点击姓名那里进入配置页面

9：开启SMTP服务，然后点击下面的保存

10：左侧找到账号安全策略，开启允许使用第三方客户端，然后下面保存。

11：SMTP配置信息。

信息	示例值
用户名	postmaster
SMTP	smtp.qiye.aliyun.com
端口	465 (SSL加密)
账号	`postmaster@example.com`
密码	你设置的初始化密码（忘了的话可以重置）

12：SMTP配置官方文档

海外域名注册平台推荐和Cloudflare托管域名

Tue, 25 Feb 2025 00:00:00 GMT

海外域名注册

前言

众所周知国内平台购买的域名都需要实名认证，我一直想找一个海外免实名的域名注册平台，使用了好几个发现都不如意，要么不支持支付宝付款，要么操作逻辑太复杂功能也不好找，要么不支持中文语言，找来找去我发现spaceship符合我的需求。

官网地址：https://www.spaceship.com/zh/domains

spaceship特点如下：

支持支付宝付款
网站支持中文语言
操作逻辑简单好找
免费的隐私保护
国际大平台

1：进入网站后点击右上角登录，然后点击下面的注册，使用邮箱注册，填写信息后注册完成就可以购买域名了。

注册和购买的步骤都很简单，按照文字提示操作就行了。过程我就省略了。

2：域名购买完成后，就可以更改域名设置了。点击右上角头像，点击管理您的产品和应用

3：进入管理页面点击域管理器

4：然后点击你刚刚买的域名，然后右边找到名称服务器和DNS

5：可以直接在这里添加DNS解析，但是我建议托管到Cloudflare。托管过去则需要更改自定义名称服务器，选择自定义名称服务器填入Cloudflare提供给你的名称服务器就行啦。

`Cloudflare`托管域名教程

官网注册地址：https://dash.cloudflare.com

1：进入官网在右上角把语言改成中文，然后使用邮箱注册后，登录进去，左边找到账户主页，然后选择添加域名

注册的步骤都很简单，按照文字提示操作就行了。过程我就省略了。

2：然后填入你的域名，点击继续

3：然后下面选中免费计划，点击继续

4：然后点击前往继续激活

5：然后上面教程中的域名注册平台里的最后一步里，将这里Cloudflare分配给你的名称服务器复制过去

6：然后点击继续就完成啦。完成这些操作后需要等待DNS广播完成，通常需要十几分钟到半个小时左右，部分情况也会更慢。稍后Cloudflare主页里的域名状态显示为活动就是成功了。

Docker部署DeepSeek-R1本地大模型

Sat, 08 Feb 2025 00:00:00 GMT

前言

使用docker部署OpenUI + Ollama + DeepSeek-R1:7B，通过浏览器访问OpenUI进行交互。部署完成后可以离线使用DeepSeek-R1大模型。

Ollama的DeepSeek-R1大模型官网：https://ollama.com/library/deepseek-r1:7b

1.5B：CPU最低4核，内存8GB+，若GPU加速可选4GB+显存，适合低资源设备部署等场景。
7B：CPU 8核以上，内存16GB+，硬盘8GB+，显卡推荐8GB+显存，可用于本地开发测试等场景。
8B：硬件需求与7B相近略高，适合需更高精度的轻量级任务。
14B：CPU 12核以上，内存32GB+，硬盘15GB+，显卡16GB+显存，可用于企业级复杂任务等场景。
32B：CPU 16核以上，内存64GB+，硬盘30GB+，显卡24GB+显存，适合高精度专业领域任务等场景。
70B：CPU 32核以上，内存128GB+，硬盘70GB+，显卡需多卡并行，适合科研机构等进行高复杂度生成任务等场景。

部署教程

open-webui镜像大小：8 GB

docker-compose.yml配置示例

services:
  open-webui:
    image: ghcr.io/open-webui/open-webui:ollama
    container_name: open-webui
    ports:
      - "3000:8080"
    volumes:
      - ./ollama:/root/.ollama
      - ./open-webui:/app/backend/data
    restart: always

国内网络环境可以使用南京大学 ghcr 镜像加速ghcr.nju.edu.cn

容器内安装DeepSeek-R1 7b模型：

docker exec -it open-webui sh

ollama run deepseek-r1:7b

部署完成后浏览器访问3000端口使用web面板进行对话，如果需要域名访问反代一下即可。

如果有GPU服务器可以使用如下命令

docker run -d -p 3000:8080 --gpus=all \
  -v ./ollama:/root/.ollama \
  -v ./open-webui:/app/backend/data \
  --name open-webui \
  --restart always \
  ghcr.io/open-webui/open-webui:ollama

电脑本地安装ollama

官方地址：https://ollama.com
下载对应的系统版本
安装完成后打开电脑终端
查看版本

ollama --version

下载并运行 deepseek-r1:7b 模型

ollama run deepseek-r1:7b

可以在终端对话使用
也可以部署open-webui访问并使用本地ollama

docker run -d -p 3000:8080 \
  --add-host=host.docker.internal:host-gateway \
  -e OLLAMA_API_URL=http://host.docker.internal:11434 \
  -v ./open-webui:/app/backend/data \
  --name open-webui \
  --restart always \
  ghcr.io/open-webui/open-webui:main

ollama api 调用示例 POST 请求

curl http://localhost:11434/api/generate -d '{
  "model": "deepseek-r1:7b",
  "prompt": "你是什么模型?"
}'

API 会返回生成的结果，通常是 JSON 格式

一生真的太短了

Wed, 29 Jan 2025 00:00:00 GMT

又是一年冬。

我回到了村子里，时间仿佛突然放慢了脚步。于城市里那种急促而机械的节奏而言，这里的冬天显得格外压抑——枯藤缠绕着老树，残破的落叶铺在地上，空气里弥漫着寒意与衰败的气息。

家人的脸庞也在不经意间苍老了许多。

家里没有城市里永不停歇的机车轰鸣，没有人流穿梭的嘈杂声响。破旧的村庄静静地躺在冬天里，安静得近乎冷漠，让人无处可逃。

时间过得真快。

此刻我执笔之时是 2025 年 1 月 29 日，农历新年的清晨。凌晨四点，被鞭炮声惊醒，我才意识到又过年了。便再也睡不着了，躺在床上，任由思绪在黑暗中不受控制的游走。

焦虑与恐慌悄然蔓延。

依稀记得这间屋子从我小时候起几乎没有任何变化。墙壁的斑驳、陈旧的摆设，它们像是一只无形的手，把我拉回过去。那些被尘封的记忆无情的侵入大脑——刚踏入社会的那几年，我曾对世界充满好奇，对未来充满希望。

一晃眼，十年过去了，时间真的快到无法想象。

回头再看，我仍然停留在原地。没有一丝丝改变，没有任何收获。依旧是一个人，依旧过着重复且忧伤的生活。时间没有把我推向诗和远方，反而一点点地把我压进更深的抑郁里。

昨天，家人随口提起隔壁村一位老人去世了。他们说，冬天一到，老人往往更容易扛不住，说走就走。

这句话在我心里反复回响。人一旦死去，就再也见不到了。永远。

从这一刻开始，死亡的恐惧毫无征兆地袭来。

我开始不停地想：死了之后，什么都没有了。连感受"黑"的能力都没有了。甚至连"世界"本身，也似乎是依附于"我"的存在而存在的——如果我消失了，这个世界于我而言，也将彻底消散。

想到这里，我的心跳骤然加快，呼吸变得困难。

生不带来，死不带去。一切仿佛都失去了意义。

人生终将落幕。若干年后，我会死去；那些记忆中曾经认识我的人，也终将死去；直到关于我的所有痕迹彻底消散，仿佛我从未存在过一样。此时此刻正在思考的这个"我"，也将不复存在。

我好不甘...

这一生如此凄凉，甚至连"平庸"都谈不上，这种无可回避的结局，让人感到彻骨的绝望。

地球终会毁灭，人类终将消亡，连宇宙本身也拥有尽头。当宇宙走向死亡——热寂降临，一切物质与能量都会归于沉寂，世界陷入无尽的黑暗、虚无与孤独。没有任何波动，什么都不剩。

那种荒凉，深入骨髓。

有时候，我会刻意的去感受"死亡"的边缘。在夜晚极度困倦的时候，我努力感受从意识模糊到彻底沉睡的那一瞬间，去尝试意识消散的感觉。可越接近，我就越害怕。我不知道明天和意外哪一个会先到来，害怕自己一旦睡着，就再也无法醒来。

我害怕再也无法感受这个世界的温度。害怕再也见不到朋友，见不到家人。

其实，我是那么渴望未来。我想知道地球会变成什么样，人类会走向何方，宇宙在死亡之后是否还会有另一种形态。

可那一切，都注定与我无关。无论如何都无法看见。这种无论如何都无法改变的结局，绝望透顶......

所谓的百年功名，千秋霸业，万古流芳，也终究不过一场梦。

Docker部署MC游戏开服

Sat, 18 Jan 2025 00:00:00 GMT

首先安装`Docker`和`Docker-compose`

国内环境可以使用我修改的开源脚本安装，和配置镜像加速

bash <(curl -sSL https://gitee.com/wanfeng789/shell/raw/master/docker.sh)

创建配置文件

docker-compose.yml配置示例

services:
  minecraft:
    image: itzg/minecraft-server
    environment:
      EULA: "true"
      TYPE: "FORGE"  # 可选使用 Forge 服务器
      VERSION: "1.20.1"  # 可选指定 Minecraft 版本
    ports:
      - "25565:25565"
    volumes:
      - ./data:/data
    stdin_open: true
    tty: true
    restart: always

然后一键启动

docker compose up -d

进入游戏后选择多人服务器，服务器地址填：公网IP:25565，如果你是用的nat服务器则需要将25565端口映射出来，然后服务器地址那里的端口替换成你映射出来的端口。

映射出来的配置文件在当前目录的data目录下

1. 基础配置

变量名	默认值	说明
`EULA`	`"false"`	必须设置为 `"true"` 以接受 Minecraft 的最终用户许可协议（EULA）。
`TYPE`	`"VANILLA"`	服务器类型，例如 `"FORGE"`、`"FABRIC"`、`"SPIGOT"` 等。
`VERSION`	`"LATEST"`	Minecraft 版本，例如 `"1.20.1"`。
`MEMORY`	`"1G"`	分配给服务器的内存大小，例如 `"2G"` 或 `"4G"`。
`JVM_OPTS`	`""`	自定义 JVM 参数，例如 `"-XX:+UseG1GC"`。
`JVM_XX_OPTS`	`""`	自定义 JVM 的 `-XX` 参数，例如 `"-XX:+UseStringDeduplication"`。

2. 服务器类型相关

变量名	默认值	说明
`FORGE_VERSION`	`""`	指定 Forge 版本，例如 `"47.3.0"`。
`FABRIC_VERSION`	`""`	指定 Fabric 版本，例如 `"0.14.22"`。
`SPIGOT_DOWNLOAD_URL`	`""`	自定义 Spigot 的下载 URL。

3. 网络和连接

变量名	默认值	说明
`SERVER_NAME`	`"Minecraft Server"`	服务器名称，显示在客户端服务器列表中。
`MOTD`	`"A Minecraft Server"`	服务器欢迎信息（MOTD）。
`ONLINE_MODE`	`"true"`	是否启用正版验证，设置为 `"false"` 允许非正版玩家连接。
`MAX_PLAYERS`	`"20"`	服务器最大玩家数量。
`VIEW_DISTANCE`	`"10"`	玩家视野距离（区块数）。
`ENABLE_RCON`	`"false"`	是否启用 RCON（远程控制）。
`RCON_PASSWORD`	`""`	RCON 密码。
`RCON_PORT`	`"25575"`	RCON 端口。

4. 世界和游戏设置

变量名	默认值	说明
`LEVEL`	`"world"`	世界名称。
`LEVEL_TYPE`	`"default"`	世界类型，例如 `"flat"`、`"largebiomes"`。
`GAMEMODE`	`"survival"`	默认游戏模式，例如 `"creative"`、`"adventure"`。
`DIFFICULTY`	`"easy"`	游戏难度，例如 `"normal"`、`"hard"`。
`ALLOW_FLIGHT`	`"false"`	是否允许飞行。
`ALLOW_NETHER`	`"true"`	是否允许下界传送门。
`SPAWN_ANIMALS`	`"true"`	是否生成动物。
`SPAWN_MONSTERS`	`"true"`	是否生成怪物。
`SPAWN_NPCS`	`"true"`	是否生成村民。
`GENERATE_STRUCTURES`	`"true"`	是否生成结构（如村庄、神庙）。

5. 插件和模组

变量名	默认值	说明
`MODS`	`""`	自动下载并安装模组的 URL 列表（以逗号分隔）。
`REMOVE_OLD_MODS`	`"false"`	是否在启动时删除旧的模组文件。
`REMOVE_OLD_MODS_INCLUDE`	`""`	指定要删除的模组文件（支持通配符）。
`REMOVE_OLD_MODS_EXCLUDE`	`""`	指定要保留的模组文件（支持通配符）。

6. 备份和日志

变量名	默认值	说明
`ENABLE_AUTOMATIC_BACKUPS`	`"false"`	是否启用自动备份。
`BACKUP_INTERVAL`	`"24h"`	自动备份的时间间隔。
`BACKUP_TARGET`	`"world"`	备份的目标文件夹。
`LOG_TIMESTAMP`	`"false"`	是否在日志中添加时间戳。

7. 其他配置

变量名	默认值	说明
`OPS`	`""`	管理员列表（以逗号分隔的玩家名称）。
`WHITELIST`	`""`	白名单列表（以逗号分隔的玩家名称）。
`BANNED_IPS`	`""`	封禁的 IP 列表（以逗号分隔）。
`BANNED_PLAYERS`	`""`	封禁的玩家列表（以逗号分隔）。
`ENABLE_COMMAND_BLOCK`	`"false"`	是否启用命令方块。
`MAX_TICK_TIME`	`"60000"`	服务器最大 tick 时间（毫秒）。
`MAX_WORLD_SIZE`	`"29999984"`	最大世界大小（区块数）。

给IP申请SSL证书并开启HTTPS访问

Fri, 17 Jan 2025 00:00:00 GMT

前言

IP证书是一种特殊的SSL证书，它直接绑定到服务器的公网IP地址上，当用户通过这个IP地址访问时，也能享受到如同访问经过域名验证的HTTPS网站一样的加密安全连接。这样一来，即便是没有注册域名或仅通过IP地址访问的服务，也能确保数据传输过程中的安全性，防止信息被窃取或篡改，同时也提供了对服务器身份的验证，增加了用户对服务提供者的信任度。

本教程以caddy作为演示，如何安装caddy请参考本博客的教程，使用nginx的话思路也一样。

1. 打开免费申请IP SSL证书的网站

https://zerossl.com/

1：打开后首页就直接输入你要申请的IP，点击Next Step进入下一步。

2：输入注册邮箱和密码（邮箱可以随便填，不会验证真实性）

3：免费版IP SSL证书有效期是3个月。需要在第二项里手动选择下。否则是默认的1年付费版。

2. 验证IP所有权

以下配置中的123.123.123.123为示例IP地址，请根据自己情况替换。

1：下载Auth验证文件

2：在网站目录里创建/.well-known/pki-validation/目录，以caddy为例

mkdir -p /var/www/.well-known/pki-validation

caddy配置示例

http://123.123.123.123 {
    root * /var/www
    encode zstd gzip
    file_server
}

3：将刚刚下载的验证文件上传到/var/www/.well-known/pki-validation/目录里

4：启动caddy，访问你的公网IP，如果能看到验证文件，则代表成功

3. 生成SSL证书

然后zerossl网站里点击验证，验证成功后下载zip证书压缩包，上传到服务器/etc/caddy目录，并使用unzip命令解压

4. 合并证书文件

在/etc/caddy目录下执行如下命令：

cd /etc/caddy

cat certificate.crt ca_bundle.crt > fullchain.crt

5. 启动站点

caddy配置示例

https://123.123.123.123 {
    root * /var/www
    encode zstd gzip
    file_server

    tls /etc/caddy/fullchain.crt /etc/caddy/private.key
}

/var/www为站点目录，123.123.123.123为示例IP地址，请根据自己情况替换。

使用nginx的话思路也一样。

Docker部署开源的Cloudreve网盘

Thu, 16 Jan 2025 00:00:00 GMT

介绍

Cloudreve是一款开源的网盘软件，支持多种存储策略。可以帮助您快速、便捷地搭建一套属于自己或团队共享的云同步网盘，从而实现跨平台跨设备文件同步、文件共享、离线下载、团队协作等功能。

Docker-compose快速部署

创建项目文件夹

mkdir -p cloudreve && cd cloudreve

创建配置文件

mkdir -vp cloudreve/{uploads,avatar} \
&& touch cloudreve/conf.ini \
&& touch cloudreve/cloudreve.db \
&& mkdir -p aria2/config \
&& mkdir -p data/aria2 \
&& chmod -R 777 data/aria2

docker-compose.yml配置

services:
  cloudreve:
    container_name: cloudreve
    image: cloudreve/cloudreve:latest
    restart: unless-stopped
    ports:
      - "5212:5212"      # 映射访问端口
    volumes:
      - temp_data:/data
      - ./cloudreve/uploads:/cloudreve/uploads
      - ./cloudreve/conf.ini:/cloudreve/conf.ini
      - ./cloudreve/cloudreve.db:/cloudreve/cloudreve.db
      - ./cloudreve/avatar:/cloudreve/avatar
    depends_on:
      - aria2
  aria2:
    container_name: aria2
    image: p3terx/aria2-pro
    restart: unless-stopped
    environment:
      - RPC_SECRET=aria_rpc_token-kmcxadiikjcxCCAA7890    # 随意设置个强密码
      - RPC_PORT=6800
    volumes:
      - ./aria2/config:/config
      - temp_data:/data
volumes:
  temp_data:
    driver: local
    driver_opts:
      type: none
      device: $PWD/data
      o: bind

启动命令

docker compose up -d

查看默认管理员信息

docker logs cloudreve

配置完成后可以反代5212端口并配置HTTPS加密公网访问，反代教程可以参考本博客的caddy教程。

Docker部署数据库管理面板和定时自动备份

Wed, 15 Jan 2025 00:00:00 GMT

部署`phpmyadmin`数据库管理面板

docker run --name phpmyadmin -d -p 7890:80 phpmyadmin:latest

环境变量参数：

-p 7890:80                 // 映射面板的端口。
-e PMA_HOST=172.17.0.1     // 指定连接到的数据库地址。
-e PMA_PORT=3306           // 指定 MySQL 数据库的端口号。
-e PMA_USER=root           // 指定登录数据库的用户名。
-e PMA_PASSWORD=123456     // 指定登录数据库的密码。
-e PMA_DATABASE=mysqldb    // 默认连接的数据库名称
--network my_network       // 指定容器网络

`docker-compose.yaml`部署

连接到指定数据库示例

services:
  phpmyadmin:
    image: phpmyadmin:latest
    container_name: phpmyadmin
    ports:
      - "7890:80"
    environment:
      - UPLOAD_LIMIT=512M             # 设置上传文件大小限制      
      # 数据库连接设置
      - PMA_HOST=mysql                    # MySQL 地址
      - PMA_PORT=3306                     # MySQL 端口号
      - PMA_DATABASE=mysql                # 默认连接的数据库名称
    
    networks:
      - home_default        # 连接到指定网络

networks:
  home_default:
    external: true

进入面板使用root用户名登录，密码就是数据库root密码

如果要使用宿主机网络则移除网络配置，修改为network_mode: host

查看容器网络的命令

docker inspect -f '{{.HostConfig.NetworkMode}}' 容器名称或ID

Docker部署数据库定时自动备份工具

支持mysql和mariadb数据库

services:
  backup-db:
    image: fradelg/mysql-cron-backup
    container_name: backup-db
    environment:
      - MYSQL_HOST=mysql            # 数据库地址
      - MYSQL_PORT=3306             # 数据库端口
      - MYSQL_USER=db_user          # 数据库用户名
      - MYSQL_PASS=db_password      # 数据库密码
      - MYSQL_DATABASE=db_name      # 数据库名称
      - MAX_BACKUPS=10             # 保留的备份数量，旧的备份将被清理
      - CRON_TIME=0 3 * * *        # 每天凌晨3点自动执行备份
    volumes:
      - ./backup:/backup          # 挂载本地目录用于保存备份
    restart: always

    networks:
      - home_default  # 连接到指定网络

networks:
  home_default:
    external: true

恢复备份的数据库

docker container exec backup-db /restore.sh ./backup/<your_sql_backup_gz_file>

恢复当前目录内的./backup/<your_sql_backup_gz_file>文件，需替换具体文件名称

如果恢复成功，会输出Restore succeeded 否则会输出Restore failed

添加变量- INIT_BACKUP=1则在容器启动时立即创建备份

如果要使用宿主机网络则移除网络配置，增加network_mode: host配置

再推荐一个轻量级数据库管理面板

支持更多数据库

docker run -d --name adminer --network mynetwork -p 8080:8080 adminer:latest

加入到指定网络的变量：--network mynetwork

host网络模式：--network host

查看容器网络的命令

docker inspect -f '{{.HostConfig.NetworkMode}}' 容器名称或ID

修改导入大小和上传大小，修改容器内的php.ini变量

max_input_vars = 1000           # POST数据和GET数据的最大值
upload_max_filesize = 128M      # PHP最大上传文件大小
post_max_size = 128M            # 服务器最大数据量和文件大小
memory_limit = 128M             # PHP内存占用限制

修改命令

docker exec -u 0 -it adminer /bin/sh

echo "max_input_vars = 5000" > /etc/php/7.4/cli/conf.d/custom-php.ini
echo "upload_max_filesize = 512M" >> /etc/php/7.4/cli/conf.d/custom-php.ini
echo "post_max_size = 512M" >> /etc/php/7.4/cli/conf.d/custom-php.ini
echo "memory_limit = 512M" >> /etc/php/7.4/cli/conf.d/custom-php.ini

重启

docker restart adminer

Docker部署Poste.io企业邮局

Tue, 14 Jan 2025 00:00:00 GMT

前言

很多企业都有自建邮局的需求，本篇介绍如何使用Docker部署开源的Poste.io邮局系统。

需要占用的端口

80 - HTTP（用于 web 界面和未加密的邮件服务）
443 - HTTPS（用于加密的 web 界面和邮件服务）
25 - SMTP（用于发送邮件）
587 - SMTP（用于加密的邮件发送）
993 - IMAP（用于加密的 IMAP 邮件接收）
995 - POP3（用于加密的 POP3 邮件接收）
110 - POP3（用于未加密的 POP3 邮件接收）
143 - IMAP（用于未加密的 IMAP 邮件接收）

1：检查25端口是否能通

apt update && apt install telnet -y

telnet smtp.gmail.com 25

如果显示下面的信息就代表是通的

Connected to smtp.gmail.com.
Escape character is '^]'.
220 smtp.gmail.com ESMTP d2e1a72fcca58-71dd9d6e713sm17347b3a.23 - gsmtp

2：域名解析（以cloudflare为例）

类型	名称	内容	代理状态	TTL
A	mail	服务器IP	仅 DNS	自动
CNAME	imap	mail.example.com	仅 DNS	自动
CNAME	pop	mail.example.com	仅 DNS	自动
CNAME	smtp	mail.example.com	仅 DNS	自动
MX	example.com	mail.example.com	仅 DNS	自动
TXT	example.com	v=spf1 mx ~all	仅 DNS	自动
TXT	s20241002362._domainkey	k=rsa; p=MIIBIjA.............xXX	仅 DNS	自动

最后一条TXT记录需要部署完成后进面板查看名称和内容。

替换example.com为你的域名

3：`docker-compose.yaml`启动

services:
  mailer:
    image: analogic/poste.io
    container_name: mailer
    restart: always
    hostname: mail.example.com  # 容器内主机名替换你的域名
    network_mode: host
    environment:
      - TZ=Asia/Shanghai  # 时区设置
      - DISABLE_CLAMAV=TRUE  # 禁用 ClamAV
      - DISABLE_RSPAMD=FALSE  # 启用 Rspamd
      - DISABLE_ROUNDCUBE=FALSE  # 启用 Roundcube
    volumes:
      - ./mailer:/data

4：进入面板

mail.example.com使用这个域名进入管理面板
第一行默认，第二行设置管理员邮箱，例如：admin@example.com，第三行输入管理员密码，smtp密码也是这个
左侧选择系统设置，然后上面找到TLS证书，然后申请证书。通用名默认，替代名称里把smtp这些域名也填入进去，然后申请，查看下面的日志，申请完成后保存即可。
然后左侧选择虚拟域名，然后点击域名，找到DKlM key，然后点击钥匙按钮激活，然后域名解析TXT类型的验证。
然后用管理员邮箱登录，测试发邮件即可。

poste.io批量创建邮箱脚本

#!/bin/bash

# Poste.io 容器ID或名称
CONTAINER_ID="mailer"

# 邮箱的@后缀，也就是根域名
DOMAIN="example.com"

# 所有邮箱账户的统一密码
PASSWORD="admin123456"

# 如果域名不存在，则创建域名
echo "创建域名 $DOMAIN (如果不存在)"
docker exec $CONTAINER_ID poste domain:create $DOMAIN

# 创建邮箱账户
for i in {100..200}
do
    EMAIL="$i@$DOMAIN"
    echo "正在创建邮箱: $EMAIL"
    docker exec $CONTAINER_ID poste email:create $EMAIL $PASSWORD
    
    # 检查上一个命令的退出状态
    if [ $? -eq 0 ]; then
        echo "成功创建邮箱 $EMAIL"
    else
        echo "创建邮箱 $EMAIL 失败"
    fi
    
    # 可选：添加小延迟以避免对服务器造成过大压力
    sleep 1
done

echo "邮箱创建过程完成。"

亚马逊云CDN配置教程

Mon, 13 Jan 2025 00:00:00 GMT

前言

众所周知，海外有一些免费的CDN，而且还是大厂，其中最强大的就是cloudflare，这个配置最简单，只需开启小黄云即可，但是cloudflare的很多IP国内访问速度不佳，所以本篇介绍一下亚马逊云CDN的配置方法，亚马逊云的IP相对CF的速度稍微好点，需要注意的是，亚马逊云CDN的免费额度是每个月1000G流量，并且只是下载的流量是免费，上传是收费的（不过一般的网站很少用到上传流量），注意别被反薅了，注册亚马逊云需要验证外币卡，注册方法网上有很多，就不介绍了。

配置

本教程是基于不改动源站的配置下使用亚马逊云CDN，默认源站已经开启TLS

1：源域直接填源站域名，协议选HTTPS，最小源选TLSv1，

2：行为里的压缩建议选NO，查看器协议策略选Redirect HTTP to HTTPS，缓存键和源请求要选旧版缓存设置，也就是第二个。

这里是我踩过的一个坑，必须选旧版缓存，不然访问站点会报错502

3：WAF防火墙选不启用，因为这个是付费的。

4：支持的 HTTP 版本建议全部选中，然后点击创建分配，等待部署完成，会给你分配一个域名，访问这个域名查看是否正常。

自定义域名

1：进入到常规的设置里的编辑，添加备用域名 > 也就是给用户访问的域名，然后申请证书，然后在申请证书的页面里直接点下一步，输入一个域名，验证方法就用默认的DNS 验证，然后点请求。

2：这里以cloudflare为例，在域名里添加一个CNAME，名称和值直接复制亚马逊云里的即可，等待一会亚马逊云里会显示验证成功，需要耐心等待。

3：证书验证完成后，记得回到上一个页面，选中刚刚颁发的域名，然后点保存，保存成功后等待部署完成。

4：部署完成后，在cloudflare里把刚刚的那个用于验证域名的CNAME修改一下，名称就填你刚刚申请证书的二级域名，目标填亚马逊云给你分配的域名即可。

5：如果无法访问可能是aws正在部署中，多等待一会即可。

wordpress资源加速

Sun, 12 Jan 2025 00:00:00 GMT

前言

前段时间，国内环境部署的wordpress执行任何有关插件、主题、核心的升级 / 安装时均会提示429 Too Many Requests导致操作失败。具体原因为 download.wordpress.org 遭受了大流量攻击从而面向国内的 CDN 服务停摆。

该问题已持续数月，在很大程度上阻碍了国内网站正常更新 WordPress 核心及相关周边产品，站点安全性得不到任何保障。直到数月之后才恢复。为了防止以后再出现这样的事件，所以有了本篇教程。

介绍

本篇教程是通过一个开源项目来实现wordpress加速，其功能如下：

[x] 优化 WordPress 相关服务在中国大陆的访问速度
[x] 优化 WordPress 后台加载速度
[x] 优化 WordPress 前台加载速度
[x] 移除后台无用请求与组件
[x] 替换 Gravatar 头像为 Cravatar
[x] 优化谷歌字体加载速度
[x] 优化谷歌前端库加载速度
[x] 优化 CDNJS 加载速度
[x] 优化 Jsdelivr 加载速度
[x] 集成 WPMirror 镜像更新源
[x] 集成 Windfonts 中文网页 Webfonts
[x] 集成 adminCDN 前端公共库
[x] 启用飞行模式可屏蔽外部 API 请求
[x] 启用节点监控可自动切换加速节点
[x] 启用品牌白标可自定义 OEM 插件品牌

开源地址：https://github.com/WenPai-org/wp-china-yes

安装

同其他 WordPress 插件一样，从 Release 页面下载最新版本的插件（不要直接下载源码！！！），在后台插件管理页面上传并启用即可。

当然，你也可以选择将插件手动上传到wp-content/plugins目录下，然后在后台启用。

该插件的加速源如下

资源	提供者	🇨🇳 加速源	🇭🇰 中继源	官方源
API 接口	文派	api.wenpai.net	api.wpmirror.com	api.wordpress.org
下载	文派	downloads.wenpai.net	downloads.wpmirror.com	downloads.wordpress.org
插件资源	文派	ps.wenpai.net	ps.wpmirror.com	ps.w.org
主题资源	文派	ts.wenpai.net	ts.wpmirror.com	ts.w.org
静态资源	文派	s.wenpai.net	s.wpmirror.com	s.w.org
头像	初认	cravatar.cn	cravatar.com	gravatar.wpmirror.com
谷歌字体	文风	googlefonts.admincdn.com	googlefonts.wpmirror.com	fonts.google.com
谷歌前端库	萌芽	googleajax.admincdn.com	googleajax.wpmirror.com	ajax.google.com
谷歌静态资源	萌芽	gstatic.admincdn.com	gstatic.wpmirror.com	fonts.gstatic.com
WP 静态资源	萌芽	wpstatic.admincdn.com	wpstatic.wpmirror.com	wordpress.org
CDNJS 加速	萌芽	cdnjs.admincdn.com	cdnjs.wpmirror.com	cdnjs.cloudflare.com
主题预览	文派	wpthemes.cn	wp-themes.wpmirror.com	wp-themes.com
项目主页	——	WenPai.org	WPMirror.com	WordPress.org
备案状态	——	已备案	未备案	未备案
维护周期	——	长期	长期	长期
镜像供应商		文派（广州）科技有限公司	汉中菲比斯网络技术有限公司	Automattic/Google/Cloudflare

Linux换源和CentOS切换备用源

Sat, 11 Jan 2025 00:00:00 GMT

前言

众所周知 CentOS 7系统已于2024年06月30日停止维护，并且再也没有新版本会维护了，所以我建议大佬们能迁移还是尽量迁移，推荐迁移到Ubuntu或者Debian系统，我自己比较喜欢Debian系统，因为轻量也稳定。新手小白我推荐使用Ubuntu系统，因为预装了很多工具和库。虽然CentOS系统全都停止维护了，但是还是可以使用的，只是yum源失效了，所以本文介绍换源的操作。

使用开源的换源脚本，支持多种Linux系统换源。

国内环境：

bash <(curl -sSL https://gitee.com/SuperManito/LinuxMirrors/raw/main/ChangeMirrors.sh)

海外环境切换官方源：

bash <(curl -sSL https://raw.githubusercontent.com/SuperManito/LinuxMirrors/main/ChangeMirrors.sh) --use-official-source true

此脚本会自动识别你的Linux版本，CentOS系统切换官方源时会自动使用备用源。推荐使用！

可选项：手动换源教程

这里只列出了我常用的系统，其他系统请网上搜索一下对应的源替换一下就行了，步骤都是一样的，然后换源是需要root权限的。

建议先备份sudo cp /etc/apt/sources.list /etc/apt/sources.list.bak

然后打开文件/etc/apt/sources.list替换源

国内清华大学debian 11源

deb https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye main contrib non-free
deb-src https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye main contrib non-free
deb https://mirrors.tuna.tsinghua.edu.cn/debian-security bullseye-security main contrib non-free
deb-src https://mirrors.tuna.tsinghua.edu.cn/debian-security bullseye-security main contrib non-free
deb https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye-updates main contrib non-free
deb-src https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye-updates main contrib non-free

国内清华大学ubuntu 20.04源

deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ focal main restricted universe multiverse
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ focal-updates main restricted universe multiverse
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ focal-backports main restricted universe multiverse
deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ focal-security main restricted universe multiverse

## Pre-released source, not recommended.
# deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ focal-proposed main restricted universe multiverse
# deb-src https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ focal-proposed main restricted universe multiverse

官方debian 11源

deb https://deb.debian.org/debian/ bullseye main contrib non-free
deb-src https://deb.debian.org/debian/ bullseye main contrib non-free
deb https://deb.debian.org/debian/ bullseye-updates main contrib non-free
deb-src https://deb.debian.org/debian/ bullseye-updates main contrib non-free
deb https://deb.debian.org/debian/ bullseye-backports main contrib non-free
deb-src https://deb.debian.org/debian/ bullseye-backports main contrib non-free
deb https://deb.debian.org/debian-security/ bullseye-security main contrib non-free
deb-src https://deb.debian.org/debian-security/ bullseye-security main contrib non-free

官方debian 12源

deb http://deb.debian.org/debian bookworm main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian bookworm main contrib non-free non-free-firmware
deb http://deb.debian.org/debian-security/ bookworm-security main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian-security/ bookworm-security main contrib non-free non-free-firmware
deb http://deb.debian.org/debian bookworm-updates main contrib non-free non-free-firmware
deb-src http://deb.debian.org/debian bookworm-updates main contrib non-free non-free-firmware

然后更新源就可以了

sudo apt update

`CentOS 7.9`切换官方备用vault源

创建和修改/etc/yum.repos.d/CentOS-Base.repo文件

[base]
name=CentOS-$releasever - Base
baseurl=http://vault.centos.org/7.9.2009/os/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7

[updates]
name=CentOS-$releasever - Updates
baseurl=http://vault.centos.org/7.9.2009/updates/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7

[extras]
name=CentOS-$releasever - Extras
baseurl=http://vault.centos.org/7.9.2009/extras/$basearch/
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-7

清理缓存并生成新的缓存

sudo yum clean all
sudo yum makecache

运行 yum repolist 命令，确保新源已生效

sudo yum repolist

`CentOS 7`切换阿里源

下载源到指定目录

curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo

清理缓存并生成新的缓存

sudo yum clean all
sudo yum makecache

运行 yum repolist 命令，确保新源已生效

sudo yum repolist

Docker部署哪吒监控

Fri, 10 Jan 2025 00:00:00 GMT

简介

哪吒监控是一款开源的轻量化的服务器监控和运维工具，提供实时性能监控与告警通知。

1：安装Docker参考我博客的教程

2：创建docker-compose.yml文件写入如下配置

services:
  dashboard:
    image: ghcr.io/nezhahq/nezha
    restart: always
    ports:
      - "127.0.0.1:8008:8008"
    volumes:
      - ./data:/dashboard/data

监听本地防止被扫端口

然后docker compose up -d启动

3：我选择使用caddy作为web服务，简单方便，安装命令如下

使用apt包一键安装caddy：

sudo apt install -yq debian-keyring debian-archive-keyring apt-transport-https curl && curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg && curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' | sudo tee /etc/apt/sources.list.d/caddy-stable.list && sudo apt update -q && sudo apt install -yq caddy

4：写入Caddyfile反代配置

example.com {
    reverse_proxy /proto.NezhaService/* h2c://127.0.0.1:8008
    
    reverse_proxy /* 127.0.0.1:8008
}

注意替换你的域名，caddy会自动配置证书，启动caddy后就部署完成了。

5：哪吒面板配置

后台路径/dashboard默认用户名密码admin admin，进入后台后首先修改用户名和密码，必须修改强密码，因为如果被爆破后你的小鸡将会被恶意者完全掌控。

然后到设置里配置面板后台Agent对接地址，示例：example.com:443，并选中使用 TLS 连接

如果你要套cf cdn，则域名设置里的网络需要开启grpc选项，并且SSL加密模式改成完全。

6：国内网络环境说明

哪吒官方镜像托管在github，国内网络拉取很慢，可以使用南京大学的镜像加速，docker-compose.yml示例

services:
  dashboard:
    image: ghcr.nju.edu.cn/nezhahq/nezha
    restart: always
    ports:
      - "127.0.0.1:8008:8008"
    volumes:
      - ./data:/dashboard/data

国内环境安装Docker也可以参考我博客的教程

国内小鸡安装Agent请替换哪吒官方的码云地址，将复制出来的Agent安装脚本替换如下地址即可，其他参数不变

https://gitee.com/naibahq/scripts/raw/main/agent/install.sh

卸载v1版本的Agent方法

v1版本的Agent多次安装不会覆盖，而是会出现多个重复监控的情况，所以我提供一下卸载干净的方法

# 停止并禁用
sudo systemctl stop nezha-agent.service
sudo systemctl disable nezha-agent.service

# 删除服务文件
rm -f /etc/systemd/system/nezha-a*.service
rm -f /lib/systemd/system/nezha-a*.service

# 删除相关文件夹
sudo rm -rf /opt/nezha

# 重新加载 systemd
sudo systemctl daemon-reload

# 验证服务是否有残留
systemctl list-units --type=service | grep nezha

windows重装系统教程

Thu, 09 Jan 2025 00:00:00 GMT

windows重装系统之U盘引导

微软官网系统镜像下载：https://www.microsoft.com/zh-cn/software-download/windows11

1：下载Windows 11 安装媒体并执行程序写入到U盘

2：开机重复按F2或者F12或者DELETE键进入BIOS界面

3：U盘引导，UEFI ——> 对应GPT磁盘分区格式

4：将U盘改为第一启动项，然后保存并重启

5：第一个分区默认是C盘，建议分区300G：填307200MB。剩下的全给第二个分区，记得给盘符命名。

6：进入系统后，右键打开显示设置——>个性化——>主题——>桌面图标设置——>勾选想要的桌面图标

重装系统前先关闭Bitlocker磁盘加密，现在的大部分电脑都是UEFI引导，和GPT磁盘分区格式。如果无法进入安装系统的界面，需要关闭安全启动Secure Boot选项。比较旧的电脑或者主板是Legacy BIOS引导，和MBR磁盘分区格式。Linux 系统默认的磁盘分区格式主要是ext4。

windows重装系统之本地重装

1：微软官网下载Windows 11 磁盘映像 (ISO)

2：解压下载的iso文件，点击5etup按提示重装即可

系统内给磁盘分区

打开磁盘管理并压缩C盘

Win + X 快捷键 → 选择“磁盘管理”
右键点击 (C:) 分区 → 选择“压缩卷”
输入要分出的空间大小（单位：MB）→ 点击“压缩”

创建新分区

右键新出现的 未分配 空间 → 选择“新建简单卷”
按照向导完成

安装界面绕过硬件检查

报错信息：这台电脑不符合安装此版本的 Windows 所需的最低系统要求。

1：在安装界面按下Shift+F10组合键调出管理员命令窗口

2：输入regedit按回车键调出注册表

3：依次展开HKEY_LOCAL_MACHINE \ SYSTEM \ Setup目录，右键点击Setup选择新建项，命名为LabConfig

4：选择LabConfig右键–新建–DWORD（32 位）值，需要创建5个，分别命名为：BypassCPUCheck、BypassRAMCheck、BypassSecureBootCheck、BypassStorageCheck、BypassTPMCheck

5：将这些十进制的值都改成1确定后即可绕过硬件检测，继续安装

安装界面绕过联网

1：打开命令窗口：Shift + F10

2：修改注册表跳过联网

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE /v BypassNRO /t REG_DWORD /d 1 /f

shutdown /r /t 0

执行完成后会自动重启，然后就可以直接创建本地账户，而无需使用联网账户。

或者直接通过命令创建本地账户来跳过联网

net user 你的用户名 /add

net localgroup Administrators 你的用户名 /add

cd OOBE

msoobe && shutdown -r

执行完成后会自动重启，然后就可以直接登录本地账户了

磁盘分区格式

如果磁盘分区格式不对，可以按Shift + F10，打开命令窗口，更改磁盘存储格式：

diskpart                     # 进入磁盘管理
list disk                    # 列出所有磁盘
select disk 0                # 选择要操作的磁盘，0 是磁盘编号
clean                        # 清除磁盘上的所有分区和数据
convert gpt                  # 将磁盘转换为 GPT 分区格式
exit                         # 退出

完成以上步骤后，硬盘已被格式化并转换为 UEFI 的 GPT 分区格式。然后刷新可以继续进行操作系统安装。

驱动器0，即表示第一块物理磁盘，该类型索引从0开始

分区1、2、3编号，即第一个分区……依次排列，分区从1开始索引编号。

备注：

1：win+R运行msinfo32查看BIOS引导模式，或者cmd命令运行bcdedit查看引导模式，如果是\WINDOWS\system32\winload.efi则是UEFI引导

2：重装系统时有的机器需要进入UEFI BIOS固件设置，关闭安全启动Secure Boot选项。

3：如果启动时有多个系统，可以win+R运行msconfig查看引导选项卡，删掉不需要的。

4：可靠性历史可以查看当前系统的错误日志，事件查看器也有更详细的日志

5：更多问题可以问AI：https://chat.deepseek.com

系统修复命令：

# 内存诊断
mdsched.exe

# 检查并修复磁盘文件系统错误和坏道
chkdsk /f /r C:

# 扫描并修复损坏的系统文件
sfc /scannow

# 修复 Windows 系统映像及更新组件问题
dism /online /cleanup-image /restorehealth

# 修复启动引导(MBR)(UEFI)和(BCD)启动配置
bootrec /fixmbr
bootrec /fixboot
bootrec /rebuildbcd

# 重置网络设置
netsh int ip reset
netsh winsock reset

# 扫描远程计算机上的磁盘错误
chkdsk /scan

# 重置计算机，恢复出厂设置
systemreset

# 配置系统启动选项和服务
msconfig

# 修复驱动器错误
powershell -Command "Repair-Volume -DriveLetter C"

# 仅验证系统文件的完整性，不修复
sfc /verifyonly

# 显示系统的详细配置信息
systeminfo

系统激活代码

PowerShell脚本命令：

irm https://get.activated.win | iex

执行命令可以看到激活选项。选择 [1] HWID 用于 Windows 激活。选择 [2] Ohook 用于 Office 激活。

旧命令：irm https://massgrave.dev/get | iex

开源地址

新机常用软件安装

chorme浏览器：https://www.google.com/chrome/
7z解压工具：https://www.7-zip.org/
驱动总裁：https://www.sysceo.com/dc
图吧工具箱：https://www.tbtool.cn/
致美化：https://zhutix.com/
蓝屏分析工具：https://learn.microsoft.com/zh-cn/windows-hardware/drivers/debugger/
Windows官方系统工具箱：https://learn.microsoft.com/zh-cn/windows/powertoys/
文件搜索：https://www.listary.net/
文件备份和同步：https://freefilesync.org/

国内BT下载

BT下载：https://www.qbittorrent.org
比特彗星：https://www.bitcomet.com/cn
Windows镜像：https://next.itellyou.cn/
Windows镜像：https://www.hellowindows.cn/

系统安装工具

微PE：https://www.wepe.com.cn/ PE系统
https://www.ventoy.net/ 支持多系统
https://rufus.ie/zh/ 支持嵌入式烧录
https://etcher.balena.io/ 跨平台嵌入式烧录工具

官方Windows启动盘文件结构

/
├── boot/              <- 启动文件
├── efi/               <- UEFI 启动文件（适用于 UEFI 模式）
├── sources/           <- 安装源文件
│   ├── install.wim    <- 安装镜像文件
│   ├── boot.wim       <- 启动映像
├── autorun.inf        <- 自动运行配置文件
└── setup.exe          <- 安装程序

可以在启动盘中创建driver文件夹，驱动压缩包放至driver目录下，并将其解压，然后安装系统界面可以加载驱动程序，最好是将驱动解压缩并按硬件类别放置在子文件夹中。这样就可以实现离线安装网卡驱动了。

数据库学习笔记

Wed, 08 Jan 2025 00:00:00 GMT

MySQL和MariaDB常用命令

数据库	操作	命令	描述
MySQL	更新软件包列表	`sudo apt update`	更新可用软件包列表
	安装 MySQL 服务器	`sudo apt install mysql-server`	安装 MySQL 服务器
	启动 MySQL 服务	`sudo systemctl start mysql`	启动 MySQL 服务
	检查 MySQL 服务状态	`sudo systemctl status mysql`	检查 MySQL 服务的运行状态
	运行安全安装脚本	`sudo mysql_secure_installation`	配置 MySQL 安全选项
	登录 MySQL	`sudo mysql -u root -p`	登录 MySQL，输入 root 用户密码
MariaDB	更新软件包列表	`sudo apt update`	更新可用软件包列表
	安装 MariaDB 服务器	`sudo apt install mariadb-server`	安装 MariaDB 服务器
	启动 MariaDB 服务	`sudo systemctl start mariadb`	启动 MariaDB 服务
	检查 MariaDB 服务状态	`sudo systemctl status mariadb`	检查 MariaDB 服务的运行状态
	运行安全安装脚本	`sudo mysql_secure_installation`	配置 MariaDB 安全选项
	登录 MariaDB	`sudo mysql -u root -p`	登录 MariaDB，输入 root 用户密码

功能分类	命令	描述
登录数据库	`mysql -u 用户名 -p`	登录 MySQL，使用指定的用户名，`-p` 会提示输入密码
显示数据库	`SHOW DATABASES;`	列出当前 MySQL 服务器中的所有数据库
使用数据库	`USE 数据库名;`	切换到指定数据库
创建数据库	`CREATE DATABASE 数据库名;`	创建一个新的数据库
删除数据库	`DROP DATABASE 数据库名;`	删除指定数据库
显示当前数据库	`SELECT DATABASE();`	显示当前正在使用的数据库
显示数据库表	`SHOW TABLES;`	列出当前数据库中的所有表
查看表结构	`DESCRIBE 表名;`	查看表的结构 (字段、类型、主键等)
创建表	`CREATE TABLE 表名 (字段1 数据类型, 字段2 数据类型, ...);`	创建一张表，指定列和数据类型
删除表	`DROP TABLE 表名;`	删除指定的表
插入数据	`INSERT INTO 表名 (字段1, 字段2, ...) VALUES (值1, 值2, ...);`	插入一条数据
查询数据	`SELECT 字段1, 字段2 FROM 表名 WHERE 条件;`	查询表中的数据，可以使用条件过滤
更新数据	`UPDATE 表名 SET 字段1=值1 WHERE 条件;`	更新指定的表数据
删除数据	`DELETE FROM 表名 WHERE 条件;`	删除符合条件的数据
显示创建表语句	`SHOW CREATE TABLE 表名;`	显示指定表的创建语句
清空表数据	`TRUNCATE TABLE 表名;`	清空表中的所有数据，但保留表结构
查看索引	`SHOW INDEX FROM 表名;`	查看表中所有的索引
创建索引	`CREATE INDEX 索引名 ON 表名 (字段);`	创建索引，提升查询速度
删除索引	`DROP INDEX 索引名 ON 表名;`	删除指定的索引
备份数据库	`mysqldump -u 用户名 -p 数据库名 > 备份文件.sql`	备份数据库，将数据库内容导出为 `.sql` 文件
恢复数据库	`mysql -u 用户名 -p 数据库名 < 备份文件.sql`	恢复数据库，将 `.sql` 文件导入指定数据库
创建用户	`CREATE USER '用户名'@'localhost' IDENTIFIED BY '密码';`	创建一个新的 MySQL 用户
删除用户	`DROP USER '用户名'@'localhost';`	删除 MySQL 用户
授权权限	`GRANT ALL PRIVILEGES ON 数据库名.* TO '用户名'@'localhost';`	授予用户对某个数据库的所有权限
显示用户权限	`SHOW GRANTS FOR '用户名'@'localhost';`	显示指定用户的权限
撤销权限	`REVOKE ALL PRIVILEGES ON 数据库名.* FROM '用户名'@'localhost';`	撤销指定用户对某个数据库的权限
刷新权限	`FLUSH PRIVILEGES;`	刷新 MySQL 权限表，使权限更改生效
查看服务器状态	`SHOW STATUS;`	查看 MySQL 服务器的状态和性能指标
查看数据库引擎	`SHOW ENGINES;`	显示 MySQL 支持的所有存储引擎
查看连接信息	`SHOW PROCESSLIST;`	显示当前 MySQL 的所有连接信息

大多数 SQL 语句都以分号 ; 结尾。
如果 MySQL 的权限系统发生变动（如添加或撤销用户权限），建议运行 FLUSH PRIVILEGES; 以刷新权限。

SQLite常用命令

功能分类	命令	描述
安装 SQLite	`sudo apt install sqlite3`	在 Linux（Ubuntu）中安装 SQLite
连接 SQLite	`sqlite3 数据库名.db`	连接到 SQLite 数据库（如果不存在则创建）
退出 SQLite	`.quit`	退出 SQLite 命令行工具
显示数据库表	`.tables`	显示当前数据库中的所有表
查看表结构	`.schema 表名`	显示指定表的创建语句
创建表	`CREATE TABLE 表名 (字段1 数据类型, 字段2 数据类型, ...);`	创建一张表，指定字段和数据类型
插入数据	`INSERT INTO 表名 (字段1, 字段2, ...) VALUES (值1, 值2, ...);`	插入一条数据
查询数据	`SELECT 字段1, 字段2 FROM 表名 WHERE 条件;`	查询表中的数据，可以使用条件过滤
更新数据	`UPDATE 表名 SET 字段1=值1 WHERE 条件;`	更新指定的表数据
删除数据	`DELETE FROM 表名 WHERE 条件;`	删除符合条件的数据
删除表	`DROP TABLE 表名;`	删除指定的表
查看索引	`PRAGMA index_list(表名);`	查看指定表的索引
创建索引	`CREATE INDEX 索引名 ON 表名 (字段);`	创建索引，提升查询速度
删除索引	`DROP INDEX 索引名;`	删除指定的索引
导出数据库	先`.output 文件名.sql` 再`.dump`	导出整个数据库，保存到指定的 SQL 文件
导入数据库	`.read 文件名.sql`	从 SQL 文件导入数据到当前数据库
打开数据库	`.open 数据库名.db`	打开或切换到另一个数据库

PostgreSQL常用命令

操作	命令	说明
安装 PostgreSQL	`sudo apt update` <br> `sudo apt install postgresql postgresql-contrib`	更新包管理器并安装 PostgreSQL 和相关插件
启动 PostgreSQL 服务	`sudo systemctl start postgresql`	启动 PostgreSQL 服务
重启 PostgreSQL 服务	`sudo systemctl restart postgresql`	重启 PostgreSQL 服务
停止 PostgreSQL 服务	`sudo systemctl stop postgresql`	停止 PostgreSQL 服务
检查 PostgreSQL 状态	`sudo systemctl status postgresql`	检查 PostgreSQL 服务的当前状态
设置 PostgreSQL 开机启动	`sudo systemctl enable postgresql`	设置 PostgreSQL 随系统启动自动运行
切换到 postgres 用户	`sudo -i -u postgres`	以 `postgres` 管理员用户登录
以指定用户登录	`psql -U 用户名 -d 数据库名`	以指定用户登录指定数据库
进入 PostgreSQL shell	`psql`	进入 PostgreSQL 的交互式命令行 shell
退出 PostgreSQL shell	`\q`	退出 PostgreSQL shell
查看数据库列表	`\l`	显示当前 PostgreSQL 实例中的所有数据库
创建数据库	`CREATE DATABASE 数据库名;`	创建一个新数据库
删除数据库	`DROP DATABASE 数据库名;`	删除指定的数据库
查看表格列表	`\dt`	显示当前数据库中的所有表格
创建表格	`CREATE TABLE 表格名 (列1 数据类型, 列2 数据类型, ...);`	在数据库中创建一个新表格，并定义其列和数据类型
插入数据	`INSERT INTO 表格名 (列1, 列2, ...) VALUES (值1, 值2, ...);`	向表格中插入一条数据记录
查询数据	`SELECT * FROM 表格名;`	从表格中查询所有数据
创建用户	`CREATE USER 用户名 WITH PASSWORD '密码';`	创建一个新用户，并为其设置密码
给用户授权	`GRANT ALL PRIVILEGES ON DATABASE 数据库名 TO 用户名;`	为指定的用户授权访问和操作指定数据库的所有权限
删除用户	`DROP USER 用户名;`	删除一个指定的用户
修改用户密码	`ALTER USER 用户名 WITH PASSWORD '新密码';`	修改指定用户的密码
备份数据库	`pg_dump 数据库名 > 备份文件名.sql`	将指定数据库备份到一个 `.sql` 文件中
还原数据库	`psql 数据库名 < 备份文件名.sql`	从备份的 `.sql` 文件还原数据库

alist网盘部署与美化

Tue, 07 Jan 2025 00:00:00 GMT

Docker部署alist网盘

docker-compose.yaml配置

services:
  alist:
    image: xhofe/alist:latest
    container_name: alist
    restart: always
    volumes:
      - ./alist:/opt/alist/data
    ports:
      - "54321:5244"
    environment:
      - PUID=0
      - PGID=0
      - UMASK=022

修改密码

docker exec -it alist ./alist admin set 你的密码

进入方式为：ip:54321

用户名为：admin

端口可自行修改

管理路径为/@manage

美化

替换自定义头部代码

<!-- 引入字符串替换功能的 JavaScript Polyfill -->
<script src="https://polyfill.alicdn.com/v3/polyfill.min.js?features=String.prototype.replaceAll"></script>

<style type="text/css">
    /* 图标和按钮样式设置 */
    .hope-icon {
        color: #393939 !important; /* 设置所有图标颜色为黑色 */
    }

    .hope-button {
        color: #fff !important; /* 设置按钮字体为白色 */
        background-color: #393939 !important; /* 设置按钮背景为黑色 */
    }

    /* 特定元素的背景颜色设置 */
    .hope-ui-dark .hope-c-ivMHWx-hZistB-cv.hope-c-PJLV.hope-c-PJLV-iikaotv-css {
        background-color: #202425 !important; /* 设置特定元素在暗色模式下的背景色 */
    }

    /* 一些文本和图标颜色设置 */
    .hope-c-PJLV-ijzCLcW-css,
    .hope-c-mHASU-kFfbLQ-colorScheme-info,
    .hope-ui-dark .hope-c-ivMHWx-hZistB-cv.hope-c-PJLV.hope-c-PJLV-iikaotv-css svg {
        color: #000000 !important; /* 设置文本和图标颜色为黑色 */
    }

    .hope-c-mHASU-kFfbLQ-colorScheme-info[data-focus] {
        border-color: #000000 !important; /* 设置具有焦点的元素边框颜色为黑色 */
        box-shadow: 0 0 0 2px #ffcdd4 !important; /* 设置具有焦点的元素阴影效果 */
    }

    .hope-ui-light .hope-c-mHASU-kFfbLQ-colorScheme-info svg {
        color: white !important; /* 设置浅色模式下的特定图标颜色为白色 */
    }

    .hope-ui-dark .hope-c-mHASU-kFfbLQ-colorScheme-info svg {
        color: #000000 !important; /* 设置暗色模式下的特定图标颜色为黑色 */
    }

    /*导航条*/ 
    /*白天模式*/
    .hope-ui-light .hope-c-PJLV-idaeksS-css {
        background-color: rgba(255, 255, 255, 0.5) !important;
        border-radius: var(--hope-radii-xl) !important;
    }

    /* 吸附到页面顶部 */
    /*顶部*/
    .hope-c-PJLV-icWrYmg-css {
        background: rgba(255, 255, 255, 0) !important;
    }

    /*导航条*/
    .hope-c-PJLV-icKsjdm-css::after {
        background: rgba(255, 255, 255, 0) !important;
    }

    /*白天模式*/
    .hope-ui-light .hope-c-PJLV-icKsjdm-css {
        background-color: rgba(255, 255, 255, 0.5) !important;
        border-radius: var(--hope-radii-xl) !important;
    }

    /* 工具栏图标的悬停效果设置 */
    .left-toolbar-box svg:hover,
    .center-toolbar svg:hover {
        color: white !important;
        background-color: #393939;
    }

    .hope-c-PJLV-icHSmvX-css {
        border-radius: 5px;
    }

    /* 标题栏样式设置 */
    .hope-ui-light .hope-breadcrumb__list {
        border-radius: 10px !important;
    }

    /* 搜索框样式设置 */
    .hope-c-PJLV-ihYBJPK-css {
        display: none !important; /* 隐藏搜索框 */
    }

    .hope-ui-light .hope-c-PJLV-ikEIIxw-css {
        background-color: rgba(255, 255, 255, .7); /* 设置浅色模式下搜索框的背景色和透明度 */
    }

    .hope-c-dhzjXW.hope-c-XNyZK.hope-c-PJLV.hope-c-PJLV-ijhzIfm-css:hover {
        color: #000000 !important; /* 设置特定元素悬停时的颜色为黑色 */
        background: none; /* 设置特定元素悬停时的背景为透明 */
    }

    /* 弹出框样式设置 */
    .hope-ui-light section[id*="hope-modal-cl"] {
        background-color: rgba(250, 250, 250, .75) !important; /* 设置浅色模式下弹出框的背景色和透明度 */
        backdrop-filter: blur(5px);
    }

    /* 公告板样式设置 */
    .hope-notification__list.hope-c-UdTFD.hope-c-UdTFD-jEXiZO-placement-top-end.hope-c-PJLV.hope-c-PJLV-ijhzIfm-css {
        max-width: fit-content;
    }

    /* 目录框和工具栏样式设置 */
    .hope-ui-light .hope-breadcrumb__list,
    .hope-ui-light .obj-box,
    .hope-ui-light .hope-c-PJLV-ikSuVsl-css,
    .hope-ui-light .hope-c-PJLV-ijgzmFG-css {
        background-color: rgba(255, 255, 255, .6) !important;
    }

    .footer span, .footer a:nth-of-type(1) {
        display: none;
    }

    .hope-ui-light {
        background-image: url(https://api.aixiaowai.cn/mcapi/mcapi.php); /* 设置浅色模式下的背景图（PC） */
        background-position: center;
        background-attachment: fixed;
        background-size: cover;
        background-repeat: no-repeat;
    }

    @media screen and (max-width: 960px) {
        .hope-ui-light {
            background-image: url(https://api.aixiaowai.cn/mcapi/mcapi.php); /* 设置浅色模式下的背景图（手机） */
        }
    }
</style>

看板娘

放入自定义内容部分

<script src="https://eqcn.ajz.miesnfu.com/wp-content/plugins/wp-3d-pony/live2dw/lib/L2Dwidget.min.js"></script>
 
<!-- 看板娘 -->
<link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/font-awesome/css/font-awesome.min.css">
<script src="https://cdn.jsdelivr.net/gh/stevenjoezhang/live2d-widget@latest/autoload.js"></script>

滚动字幕（放入元信息——顶部说明）

黑色字体

<marquee>
<b id="nr">(｡･∀･)ﾉﾞ嗨，欢迎来到我的小破站。帅气漂亮的小哥哥小姐姐</b> 
</marquee></div>

炫彩字体

<style>#nr{font-size:20px;margin: 0;background: -webkit-linear-gradient(left,#ffffff,#ff0000 6.25%,#ff7d00 12.5%,#ffff00 18.75%,#00ff00 25%,#00ffff 31.25%,#0000ff 37.5%,#ff00ff 43.75%,#ffff00 50%,#ff0000 56.25%,#ff7d00 62.5%,#ffff00 68.75%,#00ff00 75%,#00ffff 81.25%,#0000ff 87.5%,#ff00ff 93.75%,#ffff00 100%);-webkit-background-clip: text;-webkit-text-fill-color: transparent;background-size: 200% 100%;animation: masked-animation 2s infinite linear;}@keyframes masked-animation {0% {background-position: 0 0;}100% {background-position: -100%, 0;}}</style><div style="background-color:#333;border-radius:25px;box-shadow:0px 0px 5px #f200ff;padding:5px;margin-top:10px;margin-bottom:0px;"><marquee>
<b id="nr">(｡･∀･)ﾉﾞ嗨，欢迎来到我的小破站。帅气漂亮的小哥哥小姐姐</b> </marquee></div>

ICP备案

<span style="width:300px;margin:0 auto; padding:20px 0;">
    <a target="_blank" href="https://beian.miit.gov.cn/"
       style="display:inline-block;text-decoration:none;height:20px;line-height:20px;">
        <p style="height:20px;line-height:20px;margin: 0px 0px 0px 5px; color:#939393;">
            ICP备案号：实际的备案号
        </p>
    </a>
</span>

wordpress和typecho和halo三种博客部署教程

Mon, 06 Jan 2025 00:00:00 GMT

使用Docker部署

Docker-compose部署wordpress

创建项目文件夹

mkdir wordpress && cd wordpress

创建docker-compose.yml文件并写入以下代码配置：

services:
  db:
    image: mysql:8.0
    volumes:
      - ./data/mysql:/var/lib/mysql
    restart: always
    environment:
      MYSQL_ROOT_PASSWORD: wordpressyyds
      MYSQL_DATABASE: wordpress
      MYSQL_USER: wordpress
      MYSQL_PASSWORD: wordpress
    networks:
      - wp

  wordpress:
    container_name: wordpress
    depends_on:
      - db
    image: wordpress:latest
    volumes:
      - ./data/wp:/var/www/html
    ports:
      - "8000:80"
    restart: always
    environment:
      WORDPRESS_DB_HOST: db:3306
      WORDPRESS_DB_USER: wordpress
      WORDPRESS_DB_PASSWORD: wordpress
      WORDPRESS_DB_NAME: wordpress
    networks:
      - wp

networks:
  wp:

运行：

docker compose up -d

站点端口为 8000 后台路径 /wp-admin

修改docker中wordpress的上传限制。

进入 wordpress 容器

docker exec -it wordpress /bin/bash

wordpress 容器中的这个路径/usr/local/etc/php/，是存放 php.ini 的地方，但是默认是没有 php.ini 这个文件的，所以我们要通过复制一份php.ini-production文件，来生成 php.ini 文件。

cd /usr/local/etc/php/

cp php.ini-production php.ini

然后使用vim编辑器修改即可，如果没有则需要安装一下

更新及安装vim，使用如下代码

apt-get update
apt-get install vim

安装完成vim，现在就可以对php.ini进行编辑了。

vim php.ini

找到这几个变量，根据自己需求修改。

upload_max_filesize = 2M      # PHP最大上传文件大小
post_max_size = 8M            # 服务器最大数据量和文件大小
memory_limit = 128M           # PHP内存占用限制

最后一步！

重启wordpress

docker restart wordpress

wordpress启用redis缓存的部署方法

services:
  db:
    image: mysql:8.0
    volumes:
      - ./data/mysql:/var/lib/mysql
    restart: always
    environment:
      MYSQL_ROOT_PASSWORD: wordpressyyds
      MYSQL_DATABASE: wordpress
      MYSQL_USER: wordpress
      MYSQL_PASSWORD: wordpress
    networks:
      - wp

  wordpress:
    container_name: wordpress
    depends_on:
      - db
      - redis  # 添加redis
    image: wordpress:latest
    volumes:
      - ./data/wp:/var/www/html
    ports:
      - "8000:80"
    restart: always
    environment:
      WORDPRESS_DB_HOST: db:3306
      WORDPRESS_DB_USER: wordpress
      WORDPRESS_DB_PASSWORD: wordpress
      WORDPRESS_DB_NAME: wordpress
      WORDPRESS_REDIS_HOST: redis
    networks:
      - wp

  redis:
    image: redis:alpine
    container_name: redis
    restart: always
    networks:
      - wp

networks:
  wp:

在wp-config.php文件中添加以下代码

define('WP_REDIS_HOST', 'redis');
define('WP_CACHE', true);

// 确保添加在这个代码前面
/* That's all, stop editing! Happy blogging. */

容器内安装redis扩展

docker exec -it wordpress /bin/bash

apt-get update && apt-get install -y libz-dev libssl-dev

pecl install redis           # 这里直接一路回车

docker-php-ext-enable redis

重启容器

docker restart wordpress

插件商城搜索安装redis官方插件：Redis Object Cache 并启用redis缓存

修改后台路径插件WPS Hide Login
备份插件WPvivid
直播播放器插件SRS Player
优化性能缓存插件WP Fastest Cache
压缩图片和懒加载插件Smush

Docker部署halo博客

docker run -it -d --name halo -p 8090:8090 -v ./halo2:/root/.halo2 halohub/halo:2

地址： IP:8090

后台路径：/console

国内阿里云镜像

registry.fit2cloud.com/halo/halo

`docker-compose.yaml`部署

services:
  halo:
    image: halohub/halo:2
    restart: always
    depends_on:
      - mysql
    ports:
      - "8090:8090"
    volumes:
      - ./halo2:/root/.halo2
    command:
      - --spring.r2dbc.url=r2dbc:pool:mysql://mysql:3306/halo
      - --spring.r2dbc.username=halo
      - --spring.r2dbc.password=halo_password
      - --spring.sql.init.platform=mysql
      - --halo.external-url=http://公网IP:8090/

  mysql:
    image: mysql:5.7
    container_name: mysql
    environment:
      MYSQL_DATABASE: halo                  # 数据库名称
      MYSQL_USER: halo                      # 数据库用户名
      MYSQL_PASSWORD: halo_password         # 数据库密码
      MYSQL_ROOT_PASSWORD: halo_password    # 数据库root密码
    volumes:
      - ./data/mysql:/var/lib/mysql         # 映射数据库文件
    restart: always

Docker部署typecho

services:
  mysql:
    image: mysql:5.7
    restart: always
    environment:
      MYSQL_ROOT_PASSWORD: typechoPASSWORD
      MYSQL_DATABASE: typecho
      MYSQL_USER: typecho
      MYSQL_PASSWORD: typechoPASSWORD
    volumes:
      - ./mysql-data:/var/lib/mysql

  typecho:
    image: joyqi/typecho:nightly-php8.2-apache
    restart: always
    depends_on:
      - mysql
    ports:
      - "8080:80"
    environment:
      TIMEZONE: Asia/Shanghai
      TYPECHO_SITE_URL: https://your-domain.com
      TYPECHO_DB_HOST: mysql
      TYPECHO_DB_NAME: typecho
      TYPECHO_DB_USER: typecho
      TYPECHO_DB_PASS: typechoPASSWORD
    volumes:
      - ./typecho-data:/var/www/html

https://your-domain.com替换为你的网址，提前反代好。

（可选）重置后台管理员密码：删除站点目录的config.inc.php文件，然后重新安装选择保留原有数据库即可

主题文件目录`usr/themes`

安装git:

sudo apt install git

下载主题：

git clone 主题Git仓库地址

复制到主题目录：

docker cp 主题文件路径 typecho-server:/app/usr/themes

仓库地址

frp内网穿透部署教程

Sun, 05 Jan 2025 00:00:00 GMT

Docker部署frp内网穿透

可选项：Docker CLI启动命令示例

docker run --restart=always --network host -d -v ./frps.toml:/etc/frp/frps.toml --name frps snowdreamtech/frps

`docker-compose`部署服务端（有公网IP）

创建配置文件

touch docker-compose.yml frps.toml

docker-compose.yaml配置

services:
  frps:
    image: snowdreamtech/frps
    container_name: frps
    network_mode: host
    volumes:
      - ./frps.toml:/etc/frp/frps.toml
    restart: always

服务端frps.toml配置

bindPort = 7000
auth.token = "admin123"

`docker-compose`部署客户端（内网）

创建配置文件

touch docker-compose.yml frpc.toml

docker-compose.yaml配置

services:
  frpc:
    image: snowdreamtech/frpc
    container_name: frpc
    network_mode: host
    volumes:
      - ./frpc.toml:/etc/frp/frpc.toml
    restart: always

客户端frpc.toml配置

serverAddr = "8.8.8.8"      # 公网服务器IP
serverPort = 7000           # 对接端口和frps一致
auth.token = "admin123"     # 认证令牌和frps一致

# 暴露SSH服务
[[proxies]]
name = "ssh"
type = "tcp"
localIP = "127.0.0.1"
localPort = 22            # 本地服务端口
remotePort = 6000         # 让frps暴露的公网端口

二进制文件部署

官方二进制文件下载地址：https://github.com/fatedier/frp/releases

配置文件和上面一样

服务端启动命令./frps -c ./frps.toml

客户端启动命令./frpc -c ./frpc.toml

DNS64和纯IPV6网络使用技巧

Sat, 04 Jan 2025 00:00:00 GMT

NAT64服务让纯V6网络支持访问纯V4站点

众所周知纯v6网络想要访问仅支持v4的网站是无法访问的，尤其是github.com和api.github.com居然不支持ipv6，所以很多人都选择使用一键warp脚本，这个脚本很简单方便，但是对于我这种有洁癖的人有点难受，因为会装一堆东西，想卸载干净也很麻烦。所以我就找到了最简单的方法，当然warp一键脚本还是很好用的，但是我图简单，就使用NAT64服务了，唯一的不足的是提供公共免费的NAT64很少，下面是我找到的可用的DNS。

原理如下：

NAT64的作用就是把IPv6网络的数据转换为IPv4网络的数据。它通过将IPv6请求中的地址转换成IPv4地址，使得IPv6设备可以通过NAT64网关访问只支持IPv4的服务器和网站。简单来说，NAT64在IPv6和IPv4之间充当了一个桥梁，负责地址和数据包的转换。

配置命令如下：

sudo tee /etc/resolv.conf <<EOF
nameserver 2a00:1098:2b::1
nameserver 2a00:1098:2c::1
nameserver 2a01:4f9:c010:3f02::1
nameserver 2a01:4f8:c2c:123f::1
EOF

测试能否访问仅支持ipv4的站点：

curl -I ipv4.google.com

温馨提示

以上DNS服务自于 https://nat64.net
更多DNS64服务来自互联网
以上都是公益DNS64，超大流量使用有限制，个人使用是完全足够的，请勿滥用

永久生效的配置方法

1：编辑 /etc/systemd/resolved.conf 文件：

sudo vim /etc/systemd/resolved.conf

2：添加或修改以下内容：

[Resolve]
DNS=2a00:1098:2b::1 2a00:1098:2c::1 2a01:4f9:c010:3f02::1 2a01:4f8:c2c:123f::1

3：重启 systemd-resolved 服务：

sudo systemctl restart systemd-resolved

caddy教程：nginx难用？配置证书很麻烦？试试caddy吧

Fri, 03 Jan 2025 00:00:00 GMT

介绍

caddy是和nginx一样的强大的web服务，使用go语言编写并且也是完全开源，优点是配置简单，并且自动申请并部署SSL证书，无需手动配置，大大简化了运维工作，对小白非常友好，唯一的缺点是并发量稍微不及nginx，但是这点缺点几乎可以忽略不记。除非你的网站流量高的离谱，对于一般的企业是达不到那种流量的，个人就更达不到的。

我的使用场景

除了一般的网页服务，我经常配合docker使用，由于我比较喜欢用docker，所以经常使用caddy 或者 nginx-proxy-manager来反代docker的端口，他俩使用都很简单，本文着重介绍caddy。

1：安装caddy

由于CentOS已经停止维护，本文只介绍当前主流的系统debian和ubuntu系统，使用apt包安装。

sudo apt install -y debian-keyring debian-archive-keyring apt-transport-https curl

curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/gpg.key' | sudo gpg --dearmor -o /usr/share/keyrings/caddy-stable-archive-keyring.gpg

curl -1sLf 'https://dl.cloudsmith.io/public/caddy/stable/debian.deb.txt' | sudo tee /etc/apt/sources.list.d/caddy-stable.list

sudo apt update

sudo apt install caddy -yq

2：配置示例

配置路径 /etc/caddy/Caddyfile

将域名example.com反向代理到本地8080端口

caddyfile配置

example.com {
    encode gzip
    reverse_proxy localhost:8080
}

将域名example.com代理到网站目录/var/www

caddyfile配置

example.com {
    root * /var/www
    encode zstd gzip
    file_server
}

3：常用命令

启动caddy

sudo systemctl restart caddy

caddy会占用80和443端口，api服务会占用本地2019端口，启动后会自动接管域名的证书管理，自动申请SSL证书和开启HTTPS加密。Caddy 默认使用 Let's Encrypt 作为证书颁发机构（CA）来自动签发 SSL/TLS 证书，Let's Encrypt申请证书有频率限制，如果你是测试使用，可以在caddy配置文件的域名指定为http格式，不开启HTTPS加密，例如caddy配置中域名可以这样写 http://example.com

查看运行状态

systemctl status caddy

检查配置语法是否正确

caddy validate --config /etc/caddy/Caddyfile

停止服务

sudo systemctl stop caddy

完全卸载

sudo apt-get purge --auto-remove caddy

证书路径

/var/lib/caddy/.local/share/caddy/certificates/acme-v02.api.letsencrypt.org-directory

Docker部署flarum论坛

Thu, 02 Jan 2025 00:00:00 GMT

docker部署flarum论坛网站

创建项目文件

mkdir -p flarum && cd flarum && touch docker-compose.yaml flarum.env

docker-compose.yaml配置

services:
  flarum:
    image:  mondedie/flarum:latest
    container_name: flarum
    env_file:
      - ./flarum.env   # 站点配置文件
    volumes:
      - ./flarum/assets:/flarum/app/public/assets
      - ./flarum/extensions:/flarum/app/extensions

    ports:
      - 8888:8888
    restart: always
    depends_on:
      - mariadb

  mariadb:
    image: mariadb:10.5
    container_name: mariadb
    environment:
      - MYSQL_ROOT_PASSWORD=abc123456
      - MYSQL_DATABASE=flarum
      - MYSQL_USER=flarum
      - MYSQL_PASSWORD=abc123456
    volumes:
      - ./mysql:/var/lib/mysql  # 数据映射到本地
    restart: always

flarum.env配置

DEBUG=false
FORUM_URL=https://xxxxxxxxx.com     # 论坛域名

# 数据库信息
DB_HOST=mariadb
DB_NAME=flarum
DB_USER=flarum
DB_PASS=abc123456
DB_PREF=flarum_
DB_PORT=3306

# 站点环境变量
FLARUM_ADMIN_USER=admin                  # 管理员用户名
FLARUM_ADMIN_PASS=admin123456            # 管理员密码
FLARUM_ADMIN_MAIL=admin@admin.com        # 管理员邮箱
FLARUM_TITLE=Test flarum                 # 论坛标题

启动

docker compose up -d mariadb      # 必须先启动数据库，等待数据库初始化完成

docker compose up -d flarum       # 启动站点

扩展使用示例

查看所有插件
docker exec -ti flarum extension list

删除插件
docker exec -ti flarum extension remove 作者/插件名

安装插件
docker exec -ti flarum extension require 作者/插件名

中文语言

docker exec -ti flarum extension require flarum-lang/chinese-simplified:dev-master

私信功能插件

docker exec -ti flarum extension require neoncube/flarum-private-messages:"*"

HubUi-X主题

docker exec -ti flarum extension require kk14569/flarum-hubui-x

官网-更多插件

第一篇博客

Wed, 01 Jan 2025 00:00:00 GMT

博客又搬家了

2025年，新的一年，新的开始。

心血来潮，又开始折腾网站了，继之前的阿里云3M小水管部署的wordpress，感觉越来越卡，于是这次使用纯静态网站，网站托管在vercel，使用的fuwari主题。之前的wordpress也没怎么发布文章，就直接复制粘贴过来了

终于可以把服务器的钱省了，写作时就直接在Github上用MD语法写作，还是挺方便的，以后就在这里更新一些日常了，还有一些docker教程，因为我是docker的忠实粉，万物皆可docker，不管什么项目我都喜欢用docker部署，哈哈。

阿涛的小破站

Docker使用教程和镜像加速

Docker Hub 镜像加速

安装Docker

下载 Docker:

创建 Docker 服务文件

启动并启用 Docker 服务

查看版本

配置加速地址

提示：如果不方便重启Docker服务，也可以不用设置全局加速地址，拉取镜像时增加加速地址即可，示例：

Docker Desktop 配置

检查加速是否生效

使用代理拉取镜像

创建配置文件

在文件中添加代理

重启Docker

查看环境变量

本地流量转发到服务器

备用方法：打包镜像到本地

Docker Hub 镜像测速

修改最大并发数加快镜像下载速度

为Docker启用IPV6

卸载Docker

Docker最新稳定加速源列表

Docker常用命令:

给你的电脑增加一个自定义右键菜单

Windows右键菜单

代码解析

进阶

那么想要进入一级菜单，需要做什么？

安装部署openclaw并对接QQ机器人教程

准备工作

环境安装

允许执行脚本

国内环境配置

开始部署

常见问题

中文文档

OpenWrt固件编译

介绍

immortalwrt 在线构建

必备软件

初始化构建脚本

immortalwrt 基于源码编译

1：安装依赖

2：下载对应tags的源码（以v24.10.4为例）

3：进入项目目录

4：获取最新软件包清单

5：安装软件包符号链接

6：配置固件信息

7：修改LAN口IP地址等等信息

8：编译固件

9：重新编译说明

VirtualBox虚拟机运行immortalwrt

X86主机设备将镜像写入到硬盘

查看U盘和目标硬盘

如果目标硬盘有被挂载则需要卸载，例如之前装了系统之类的

检查是否卸载成功

写入镜像（注意替换实际的U盘和硬盘）

强制刷新缓存

命令解释：

家庭网络之旁路由配置总结

一、现有的网络环境示例

二、路由器配置

LAN口设置（也就是后台地址）

DHCP服务器

三、旁路由配置（OpenWrt系统）

LAN口设置（也就是后台地址）

DHCP设置

网关

解决UFW无法管理Docker映射端口的问题

解决UFW防火墙无法管理Docker映射出来的端口的问题

支持管理正在运行中的容器的最佳解决方案

解释

香橙派开发板折腾日记

首先需要准备这些东西来安装系统

写入系统

使用SSH远程连接系统

设置系统

禁用默认用户登录

2：下载对应tags的源码（以`v24.10.4`为例）

3：`~`目录说明

`Docker bake`命令