Mutter

SSH2FA ssh实现自定义API服务器二次登录验证

2026-01-23T13:32:05.000Z

服务器 SSH 登录的安全性，我实现了 SSH2FA，在保持双因素认证的安全性的同时，提供了类似扫码的便捷体验, 适用于个人/小团体使用

核心功能

Web 审批：登录时终端输出一个链接，点击后在浏览器确认即可放行。
断网降级：若无法连接认证服务器，自动回退到传统 TOTP 验证，确保不被锁在门外。

url认证

认证服务器失联TOPT

实现思路

使用 sshd_config 的 ForceCommand 在登录成功后先运行自定义程序，验证通过后再启动用户的 Shell。
项目分为两部分：
- Auth Server (Python)：提供 /start_login、/check_status、/approve 接口，管理登录会话。
- Client (Go)：编译为单文件二进制，负责请求审批链接、轮询状态以及离线 TOTP 验证。

代码实现

1. Auth Server (Python)

#!/data/miniforge3/bin/python3
# 文件名: /usr/local/bin/auth_server.py

from flask import Flask, request, jsonify
import uuid
import time
import threading

app = Flask(__name__)

# 内存存储:
# tokens: {session_token: {"status": "pending/approved/rejected", "username": "root", "display_token": "xxx", "ts": 12345}}
# display_to_session: {display_token: session_token}
# 生产环境建议用 Redis
tokens = {}
display_to_session = {}

def cleanup_tokens():
    """定期清理过期 Token"""
    while True:
        now = time.time()
        expired = [t for t, v in tokens.items() if now - v['ts'] > 300]
        for t in expired:
            # 清理 display_to_session 映射
            display_token = tokens[t].get('display_token')
            if display_token and display_token in display_to_session:
                del display_to_session[display_token]
            del tokens[t]
        time.sleep(60)

threading.Thread(target=cleanup_tokens, daemon=True).start()

@app.route('/start_login', methods=['POST'])
def start_login():
    data = request.json
    username = data.get('username')
    
    # 生成两个独立的 token
    session_token = str(uuid.uuid4())  # 客户端用于轮询 (私密)
    display_token = str(uuid.uuid4())  # 用户看到的批准链接 (公开)
    
    tokens[session_token] = {
        "status": "pending",
        "username": username,
        "display_token": display_token,
        "ts": time.time()
    }
    
    # 建立 display_token -> session_token 的映射
    display_to_session[display_token] = session_token
    
    # 这里模拟把链接打印到服务器日志，实际场景你可以把这个链接发短信/钉钉给管理员
    print(f"\n[SERVER] New Login Request for {username}")
    print(f"[SERVER] Approve Link: http://192.168.10.10:5000/approve?token={display_token}")
    print(f"[SERVER] Session Token: {session_token} (kept secret)\n")
    
    return jsonify({
        "success": True, 
        "session_token": session_token,
        "display_token": display_token
    })

@app.route('/check_status', methods=['POST'])
def check_status():
    data = request.json
    token = data.get('token')
    if token not in tokens:
        return jsonify({"status": "expired"})
    return jsonify({"status": tokens[token]["status"]})

@app.route('/approve', methods=['GET'])
def approve():
    display_token = request.args.get('token')
    
    # 通过 display_token 找到对应的 session_token
    session_token = display_to_session.get(display_token)
    
    if session_token and session_token in tokens:
        tokens[session_token]['status'] = 'approved'
        username = tokens[session_token]['username']
        print(f"[SERVER] ✅ Login APPROVED for {username}")
        return "Login APPROVED! You can close this window."
    
    return "Token Invalid or Expired", 404

@app.route('/reject', methods=['GET'])
def reject():
    display_token = request.args.get('token')
    
    # 通过 display_token 找到对应的 session_token
    session_token = display_to_session.get(display_token)
    
    if session_token and session_token in tokens:
        tokens[session_token]['status'] = 'rejected'
        username = tokens[session_token]['username']
        print(f"[SERVER] ❌ Login REJECTED for {username}")
        return "Login REJECTED."
    
    return "Token Invalid or Expired", 404

if __name__ == '__main__':
    # 监听 0.0.0.0 方便你从手机/浏览器访问
    app.run(host='0.0.0.0', port=5000)

2. Client (Go)

package main

import (
	"bufio"
	"bytes"
	"encoding/json"
	"flag"
	"fmt"
	"io"
	"net/http"
	"os"
	"os/exec"
	"strings"
	"syscall"
	"time"

	"github.com/pquerna/otp/totp"
)

// ================= Configuration =================

// const (
// 	// Backend API address
// 	APIHost = "http://127.0.0.1:5000"

// 	// Enable 2FA for non-interactive connections (SCP, SFTP, Git, rsync, etc.)
// 	// true  = These commands must also perform 2FA authentication
// 	// false = These commands bypass authentication (recommended for better UX)
// 	EnableNonInteractive2FA = true

// 	// Authentication timeout (seconds)
// 	AuthTimeout = 60

// 	// Status polling interval (seconds)
// 	PollInterval = 2
// )

// =================================================

// SessionType represents the type of SSH session
type SessionType string

const (
	Interactive    SessionType = "interactive"
	NonInteractive SessionType = "non-interactive"
)

// StartLoginRequest represents the request to start login
type StartLoginRequest struct {
	Username string `json:"username"`
}

// StartLoginResponse represents the response from start_login
type StartLoginResponse struct {
	Success      bool   `json:"success"`
	SessionToken string `json:"session_token"` // 私密,用于轮询
	DisplayToken string `json:"display_token"` // 公开,显示给用户
}

// CheckStatusRequest represents the request to check status
type CheckStatusRequest struct {
	Token string `json:"token"`
}

// CheckStatusResponse represents the response from check_status
type CheckStatusResponse struct {
	Status string `json:"status"` // "pending", "approved", "rejected"
}

// getSessionType determines if this is an interactive or non-interactive session
func getSessionType() (SessionType, string) {
	cmd := os.Getenv("SSH_ORIGINAL_COMMAND")
	if cmd != "" {
		return NonInteractive, cmd
	}
	return Interactive, ""
}

// getUsername retrieves the current username from environment
func getUsername() string {
	if user := os.Getenv("PAM_USER"); user != "" {
		return user
	}
	if user := os.Getenv("USER"); user != "" {
		return user
	}
	return "unknown"
}

// httpPost sends a POST request with JSON data
func httpPost(url string, data interface{}) (map[string]interface{}, error) {
	jsonData, err := json.Marshal(data)
	if err != nil {
		return nil, err
	}

	client := &http.Client{Timeout: 5 * time.Second}
	resp, err := client.Post(url, "application/json", bytes.NewBuffer(jsonData))
	if err != nil {
		return nil, err
	}
	defer resp.Body.Close()

	body, err := io.ReadAll(resp.Body)
	if err != nil {
		return nil, err
	}

	var result map[string]interface{}
	if err := json.Unmarshal(body, &result); err != nil {
		return nil, err
	}

	return result, nil
}

// readTOTPSecret reads the TOTP secret for a given username from the secrets file
func readTOTPSecret(username, secretsFile string) (string, error) {
	file, err := os.Open(secretsFile)
	if err != nil {
		return "", fmt.Errorf("cannot open TOTP secrets file: %w", err)
	}
	defer file.Close()

	scanner := bufio.NewScanner(file)
	for scanner.Scan() {
		line := strings.TrimSpace(scanner.Text())
		if line == "" || strings.HasPrefix(line, "#") {
			continue
		}

		parts := strings.SplitN(line, ":", 2)
		if len(parts) == 2 && parts[0] == username {
			return strings.TrimSpace(parts[1]), nil
		}
	}

	if err := scanner.Err(); err != nil {
		return "", fmt.Errorf("error reading secrets file: %w", err)
	}

	return "", fmt.Errorf("no TOTP secret found for user: %s", username)
}

// promptTOTPCode prompts the user to enter their TOTP code
func promptTOTPCode(username string) (string, error) {
	fmt.Println()
	fmt.Println("---------------------------------------------")
	fmt.Printf("SERVER UNREACHABLE - OFFLINE MODE\n")
	fmt.Printf("TOTP VERIFICATION FOR: %s\n", username)
	fmt.Println("---------------------------------------------")
	fmt.Print("Enter TOTP code from your authenticator app: ")

	reader := bufio.NewReader(os.Stdin)
	code, err := reader.ReadString('\n')
	if err != nil {
		return "", err
	}

	return strings.TrimSpace(code), nil
}

// performTOTPAuth handles offline TOTP authentication
func performTOTPAuth(username, secretsFile string, sessionType SessionType) (bool, error) {
	// Read TOTP secret for user
	secret, err := readTOTPSecret(username, secretsFile)
	if err != nil {
		return false, err
	}

	// For non-interactive sessions, we cannot prompt for TOTP
	if sessionType == NonInteractive {
		return false, fmt.Errorf("TOTP authentication not available for non-interactive sessions")
	}

	// Prompt user for TOTP code
	code, err := promptTOTPCode(username)
	if err != nil {
		return false, fmt.Errorf("failed to read TOTP code: %w", err)
	}

	// Validate TOTP code with time skew tolerance
	valid := totp.Validate(code, secret)
	if !valid {
		return false, fmt.Errorf("invalid TOTP code")
	}

	fmt.Println("Access Granted.")
	return true, nil
}

// performAuth handles the complete 2FA authentication flow with TOTP fallback
func performAuth(username string, sessionType SessionType, pollInterval int, timeout int, apiHost string, enableTOTPFallback bool, totpSecretsFile string) (bool, error) {
	startURL := fmt.Sprintf("%s/start_login", apiHost)
	checkURL := fmt.Sprintf("%s/check_status", apiHost)

	// 1. Request login tokens
	resp, err := httpPost(startURL, StartLoginRequest{Username: username})
	if err != nil {
		// Server unreachable - try TOTP fallback if enabled
		if enableTOTPFallback {
			fmt.Fprintf(os.Stderr, "Warning: 2FA server unreachable, falling back to TOTP authentication\n")
			return performTOTPAuth(username, totpSecretsFile, sessionType)
		}
		return false, fmt.Errorf("2FA Service Unreachable: %w", err)
	}

	success, ok := resp["success"].(bool)
	if !ok || !success {
		return false, fmt.Errorf("failed to start login session")
	}

	// 提取两个 token
	sessionToken, ok := resp["session_token"].(string)
	if !ok || sessionToken == "" {
		return false, fmt.Errorf("invalid session_token received")
	}

	displayToken, ok := resp["display_token"].(string)
	if !ok || displayToken == "" {
		return false, fmt.Errorf("invalid display_token received")
	}

	// 使用 display_token 构建批准链接 (公开给用户)
	authLink := fmt.Sprintf("%s/approve?token=%s", apiHost, displayToken)

	// 2. Display prompt based on session type
	if sessionType == Interactive {
		// Interactive SSH: Display formatted prompt
		fmt.Println()
		fmt.Println("---------------------------------------------")
		fmt.Printf("SECURITY CHECK FOR: %s\n", username)
		fmt.Println("---------------------------------------------")
		fmt.Print("Waiting for approval..\n\n")
	} else {
		// Non-interactive: Minimal output to stderr
		fmt.Fprintf(os.Stderr, "2FA Required. Approve at: %s\n", authLink)
	}

	// 3. Poll for approval status (使用 session_token,私密)
	maxAttempts := timeout / pollInterval
	for i := 0; i < maxAttempts; i++ {
		statusResp, err := httpPost(checkURL, CheckStatusRequest{Token: sessionToken})
		if err == nil {
			if status, ok := statusResp["status"].(string); ok {
				switch status {
				case "approved":
					if sessionType == Interactive {
						fmt.Println("Access Granted.")
					}
					return true, nil
				case "rejected":
					return false, fmt.Errorf("access denied")
				}
			}
		}
		time.Sleep(time.Duration(pollInterval) * time.Second)
	}

	return false, fmt.Errorf("2FA timeout")
}

// executeCommand executes the original SSH command or starts a shell
func executeCommand(originalCmd string) error {
	if originalCmd != "" {
		// Execute the original command
		cmd := exec.Command("sh", "-c", originalCmd)
		cmd.Stdin = os.Stdin
		cmd.Stdout = os.Stdout
		cmd.Stderr = os.Stderr
		return cmd.Run()
	}

	// Start interactive shell
	shell := os.Getenv("SHELL")
	if shell == "" {
		shell = "/bin/bash"
	}

	// Use syscall.Exec to replace current process with shell
	return syscall.Exec(shell, []string{"-l"}, os.Environ())
}

func main() {


	apiHost := flag.String("apiHost", "http://127.0.0.1:5000", "API host")
	timeout := flag.Int("timeout", 30, "Timeout in seconds")
	pollInterval := flag.Int("pollInterval", 1, "Poll interval in seconds")
	enableNonInteractive2FA := flag.Bool("enableNonInteractive2FA", false, "Enable 2FA for non-interactive sessions")
	totpSecretsFile := flag.String("totpSecretsFile", "/etc/ssh2fa/totp_secrets", "Path to TOTP secrets file")
	enableTOTPFallback := flag.Bool("enableTOTPFallback", true, "Enable TOTP fallback when server is unreachable")
	flag.Parse()

	// Ensure we exit with error code on any panic (security-first)
	defer func() {
		if r := recover(); r != nil {
			fmt.Fprintf(os.Stderr, "Error: %v\n", r)
			os.Exit(1)
		}
	}()

	username := getUsername()
	sessionType, originalCmd := getSessionType()

	// === Policy Decision ===
	if sessionType == NonInteractive && !*enableNonInteractive2FA {
		// Bypass 2FA for non-interactive sessions if disabled
		// Uncomment for debugging:
		// fmt.Fprintf(os.Stderr, "DEBUG: Skipping 2FA for command: %s\n", originalCmd)
		if err := executeCommand(originalCmd); err != nil {
			os.Exit(1)
		}
		os.Exit(0)
	}

	// === Perform Authentication ===
	success, err := performAuth(username, sessionType, *pollInterval, *timeout, *apiHost, *enableTOTPFallback, *totpSecretsFile)
	if !success {
		if err != nil {
			fmt.Fprintf(os.Stderr, "\n❌ %s\n", err.Error())
		} else {
			fmt.Fprintf(os.Stderr, "\n❌ Authentication failed\n")
		}
		os.Exit(1)
	}

	// === Execute Command After Successful Auth ===
	if err := executeCommand(originalCmd); err != nil {
		fmt.Fprintf(os.Stderr, "Error executing command: %v\n", err)
		os.Exit(1)
	}
}

使用指南

编译客户端

go mod init ssh2fa
go get github.com/pquerna/otp/totp
go build -o ssh2fa ssh2fa.go
sudo mv ssh2fa /usr/local/bin/

配置离线 TOTP 密钥

sudo mkdir -p /etc/ssh2fa
echo "root:JBSWY3DPEHPK3PXP" | sudo tee /etc/ssh2fa/totp_secrets
sudo chmod 600 /etc/ssh2fa/totp_secrets

修改 sshd_config

+ ForceCommand /root/project/ssh2fa/ssh2fa   -apiHost http://127.0.0.1:5000 -enableNonInteractive2FA true  -pollInterval 1 -timeout 240

重启 SSH 服务：systemctl restart sshd。

实际体验

登录时终端输出审批链接，点击后即放行。
若 Auth Server 不可用，系统提示离线模式并要求输入 TOTP，仍可正常登录。

这套方案在实际使用中提升了体验，同时保持了安全性，欢迎自行部署并根据需求改进。 ⚠️ 无法连接认证服务器 - 启用离线模式 这时候输入之前的 TOTP 码，照样能进。

[开源项目] Obsidian 图片上传插件，基于 upgit

2026-01-23T10:19:32.000Z

obsidian-upgit

项目地址: https://github.com/kiusnax/obsidian-upgit

一个简单的 Obsidian 图片上传插件，基于 upgit。

简介

之前一直使用 Typora，最近切换到了 Obsidian。然而，我发现现有的 Obsidian 图片上传插件体验都不太理想，于是和 Antigravity 老师一起搓了这个插件。

它的主要功能是拦截 Obsidian 的图片粘贴事件，将图片自动上传到配置的图床，并替换为远程链接。

演示

功能特点

无缝体验：直接粘贴图片，插件会自动处理上传。
即时反馈：粘贴后立即显示本地预览，后台静默上传，上传成功后自动替换为远程链接。
灵活配置：基于强大的 upgit CLI 工具，支持多种图床配置。

前置要求

本插件依赖于 upgit 命令行工具。在使用前，请确保你已经下载并配置好了 upgit。

upgit: https://github.com/pluveto/upgit

确保 upgit 在你的终端中可以通过命令正常上传图片。

配置指南

安装插件：将本仓库代码编译后的 main.js, manifest.json 文件放入 Obsidian 仓库的 .obsidian/plugins/obsidian-upgit/ 目录下。
启用插件：在 Obsidian 设置 -> 第三方插件中启用 obsidian-upgit。
插件设置：
- 打开插件设置页面。
- Upgit Executable Path: 填写 upgit 可执行文件的绝对路径 (例如: C:\Tools\upgit.exe 或 /usr/local/bin/upgit)。
- Local Assets Folder: (可选) 设置临时图片的存储目录，默认为 assets。

使用方法

配置完成后，只需在 Obsidian 编辑器中粘贴图片（Ctrl+V / Cmd+V），插件即可自动工作。

开发

npm install
npm run dev

Windows oh-my-posh 配置

2025-11-04T13:32:05.000Z

环境

tabby + powershell core

Tabby: https://tabby.sh/
Pwsh: https://github.com/PowerShell/PowerShell

oh-my-posh 安装

官方文档 https://ohmyposh.dev/docs/installation/windows

iwr https://ohmyposh.dev/install.ps1 -useb | iex

Cascadia字体

下载安装

https://www.programmingfonts.org/#cascadia-code

装一个就行我这里选的是CaskaydiaCoveNerdFont-Light.ttf

配置文件

code $PROFILE   


oh-my-posh init pwsh --config C:\Users\user\App\poweshell.omp.json | Invoke-Expression

Set-PSReadLineKeyHandler -Key Ctrl+d -ScriptBlock {
    [Microsoft.PowerShell.PSConsoleReadLine]::RevertLine()
    [Microsoft.PowerShell.PSConsoleReadLine]::Insert('exit')
    [Microsoft.PowerShell.PSConsoleReadLine]::AcceptLine()
}

Set-Alias ll ls
Set-Alias open ii
Set-Alias type Get-Command
Set-Alias wind windsurf.cmd

My家里云, 异地k3s集群搭建

2025-06-15T19:02:00.000Z

🏗️ 部署k3s

节点规划表

节点	网络	身份	位置
k3s-bj-home-master	192.168.1.10	控制节点, NFS服务器	北京
k3s-sh-aliyun-work1	192.168.1.10	work节点	上海
k3s-usa-oracle-work2	192.168.1.10	work节点	美国
k3s-bj-home-work3	192.168.1.10	work节点	北京
k3s-bj-home-work4	192.168.1.10	work节点	北京

✅ 建议：实际部署中请为每个节点分配不同的 IP 地址以避免冲突。

下载软件包

所有节点执行

mkdir -p /opt/k3s && cd /opt/k3s

curl https://get.k3s.io  -SsL > install.sh
wget https://github.com/k3s-io/k3s/releases/download/v1.29.15%2Bk3s1/k3s
wget https://github.com/k3s-io/k3s/releases/download/v1.29.15%2Bk3s1/k3s-airgap-images-amd64.tar 

mkdir -p /var/lib/rancher/k3s/agent/images/
chmod +x k3s
chmod +x install.sh
cp -a k3s-airgap-images-*  /var/lib/rancher/k3s/agent/images/
cp -a k3s /usr/local/bin/

# 卸载脚本（可选）
# /usr/local/bin/k3s-uninstall.sh
# /usr/local/bin/k3s-agent-uninstall.sh

📌 说明：

使用 proxychains 是为了在代理环境下下载资源。

安装完成后记得验证 /usr/local/bin/k3s 的权限是否正确。

如果是离线环境，请确保提前准备好安装包。

异地组网

异地组网的方案很多，比如 ZeroTier、Tailscale、Netbird 等等。这里我们选择 Netbird，因为它简单易用且支持多种平台。

安装 Netbird

# 安装文档 https://docs.netbird.io/how-to/getting-started#installation
curl -fsSL https://pkgs.netbird.io/install.sh | sh

📌 注意：如果你使用的是非 Ubuntu 系统，请参考官方文档进行适配安装。

启动并配置 Netbird

netbird up  --setup-key  xxxxxxxxxxxxx
# 正常完成, 会有一个es0的网卡, 我们的异地k3s就用这个网卡通讯

📌 说明：

--auth-key 是你从 netbird 控制台获取的密钥。

成功连接后会生成一个 es0 网卡，用于节点间的通信。

系统优化

参数优化

cat > /etc/sysctl.d/99-k3s.conf < /etc/security/limits.conf <


ipvs
apt-get update && apt-get install -y ipset ipvsadm conntrack

cat > /etc/modules-load.d/ipvs.conf <

MASTER节点安装
EASYTIER_ETH=es0
EASYTIER_IP=$(ip a  | grep $EASYTIER_ETH | grep -Eo "([0-9]{1,3}\.){3}[0-9]{1,3}"| head -n 1 )

# INSTALL_K3S_DEBUG=true INSTALL_K3S_SKIP_DOWNLOAD=true INSTALL_K3S_EXEC="--disable traefik --node-ip $EASYTIER_IP --flannel-iface $EASYTIER_ETH --flannel-backend=vxlan" ./install.sh 

INSTALL_K3S_DEBUG=true INSTALL_K3S_SKIP_DOWNLOAD=true  INSTALL_K3S_EXEC=" \
  server \
  --flannel-iface=${EASYTIER_ETH} \
  --node-external-ip=${EASYTIER_IP} \
  --node-ip=${EASYTIER_IP} \
  --bind-address=${EASYTIER_IP} \
  --advertise-address=${EASYTIER_IP} \
  --tls-san=${EASYTIER_IP} \
  --data-dir=/var/lib/rancher/k3s \
  --disable=traefik,servicelb \
  --cluster-cidr=10.42.0.0/16 \
  --service-cidr=10.43.0.0/16 \
  --disable-network-policy \
  --write-kubeconfig-mode=644 \
  --kube-proxy-arg=proxy-mode=ipvs \
  --kube-proxy-arg=ipvs-scheduler=rr \
" ./install.sh

获取 node-token
cat /var/lib/rancher/k3s/server/node-token
K106521xxxxxxxxxxxxxxxxxxxxxxxxxxxx::server:e47b4ef911d727671a79cdb6469682b1



WORK节点安装
EASYTIER_ETH=es0
EASYTIER_IP=$(ip a  | grep $EASYTIER_ETH | grep -Eo "([0-9]{1,3}\.){3}[0-9]{1,3}"| head -n 1 )

K3S_TOKEN="K10111631cd06c9e2b19cd3c6477cb74aa5fda54473bb19fbf7b1356e0ac78659f4::server:0319830013db1e32beced4c05aae8098"

# INSTALL_K3S_SKIP_DOWNLOAD=true INSTALL_K3S_EXEC="--node-ip $EASYTIER_IP --flannel-iface $EASYTIER_ETH" K3S_URL=https://k3s-apiserver.internal.xyz:6443 K3S_TOKEN=$K3S_TOKEN ./install.sh

INSTALL_K3S_SKIP_DOWNLOAD=true INSTALL_K3S_EXEC="--node-external-ip=$EASYTIER_IP  \
--node-ip=$EASYTIER_IP     \
--flannel-iface=${EASYTIER_ETH} \
--kube-proxy-arg=proxy-mode=ipvs \
--kube-proxy-arg=ipvs-scheduler=rr" \
K3S_URL=https://k3s-apiserver.internal.0197011.xyz:6443 K3S_TOKEN=$K3S_TOKEN ./install.sh

📌 参数说明：

K3S_URL：指向 master 节点的 API Server 地址,我这里内部使用了 k3s-apiserver.internal.xyz:6443 这是本地解析的一个域名
K3S_TOKEN：master 节点提供的 token。

修改工作节点标签（可选）
kubectl get node --selector='!node-role.kubernetes.io/master' | grep '' | awk '{print "kubectl label node " $1 " node-role.kubernetes.io/worker= --overwrite" }' | bash

✅ 建议：该步骤可以自动为未标记的节点添加 worker 标签。

下载 Helm
wget https://get.helm.sh/helm-v3.18.2-linux-amd64.tar.gz
tar -xf helm-v3.18.2-linux-amd64.tar.gz
mv linux-amd64/helm /usr/local/bin/
chmod +x /usr/local/bin/helm

✅ 建议：Helm 是 Kubernetes 的包管理工具，推荐在生产环境中使用。

部署 Ingress
helm repo add ingress-nginx https://kubernetes.github.io/ingress-nginx
helm repo update
helm search repo ingress-nginx
helm pull ingress-nginx/ingress-nginx --untar --version 4.12.3    
cd ingress-nginx/

# 可选：修改为国内镜像源
# cp -a values.yaml values.yaml_bak
# sed -i 's/registry: registry.k8s.io/registry: k8s.m.daocloud.io/g'  values.yaml

helm upgrade --install ingress-nginx ./ --set controller.service.type=NodePort --namespace kube-system --create-namespace 

✅ 建议：部署完成后请检查服务状态，确保 Ingress Controller 正常运行。kubectl get pods -n kube-system

配置 HAProxy 作为四层代理
apt install haproxy -y 

vim haproxy.cfg
global
  log 127.0.0.1 local0
  log 127.0.0.1 local1 notice
  tune.ssl.default-dh-param 2048

defaults
  log global
  mode http
  option dontlognull
  timeout connect 5000ms
  timeout client 600000ms
  timeout server 600000ms

backend ingress-http
    mode tcp
    balance roundrobin
    stick-table type ip size 200k expire 30m
    stick on src
    server ingress-http 127.0.0.1:31041 check

frontend ingress_http_80
    mode tcp
    bind *:80
    default_backend ingress-http

backend ingress-https
    mode tcp
    balance roundrobin
    stick-table type ip size 200k expire 30m
    stick on src
    server ingress-https 127.0.0.1:32475 check

frontend ingress_https_443
    mode tcp
    bind *:443
    default_backend ingress-https

systemctl enable haproxy --now
systemctl restart haproxy

✅ 建议：根据实际负载情况调整超时时间和负载均衡策略。
部署 Dashboard
helm repo add kubernetes-dashboard https://kubernetes.github.io/dashboard/
helm search repo kubernetes-dashboard 
helm pull kubernetes-dashboard/kubernetes-dashboard --untar --version 7.13.0  

# 调整一些配置
cd kubernetes-dashboard
sed -i 's/docker.io/docker.m.daocloud.io/g' values.yaml
# dashboard自带了一个 Kong，也需要调整一下国内源
cd charts/kong
sed -i 's#repository: kong#repository: docker.m.daocloud.io/library/kong#g' values.yaml

helm upgrade --install kubernetes-dashboard ./ --namespace kube-dashboard --create-namespace


配置 Ingress 访问
# kubectl create secret tls       domain-cn-tls   --key  /etc/ssl/domain.cn.key        --cert /etc/ssl/domain.cn.pem -n  kube-dashboard
 
kubectl apply -f - <

创建访问 Token
kubectl apply -f - <


配置 NFS 网络存储
NFS Server 搭建
apt install nfs-kernel-server -y 

vim /etc/exports
/mnt/m2disk  *(rw,sync,no_subtree_check,no_root_squash)

systemctl enable nfs-kernel-server --now
systemctl restart nfs-kernel-server

所有节点安装 NFS 客户端
apt update && apt install -y nfs-common
# sudo yum install -y nfs-utils

NFS Provisoner 配置
helm repo add nfs-subdir-external-provisioner https://kubernetes-sigs.github.io/nfs-subdir-external-provisioner/
helm search repo nfs-subdir-external-provisioner 
helm pull nfs-subdir-external-provisioner/nfs-subdir-external-provisioner --untar --version 4.0.18

# 调整一些配置
cd nfs-subdir-external-provisioner
sed -i 's/registry.k8s.io/k8s.m.daocloud.io/g' values.yaml
vim values.yaml

helm upgrade --install nfs-subdir-external-provisioner ./ --namespace kube-system --create-namespace

✅ 建议：确保 NFS 共享目录权限设置合理，避免权限问题导致挂载失败。

异地优化
使用命名空间划分资源区域
目标是：

需要运行在 home 环境下的服务，创建在 ser-home 命名空间下。
需要运行在 aliyun 环境下的服务，创建在 ser-aliyun 命名空间下。

开启 PodNodeSelector 准入控制器
# 划分资源的ns
kubectl create ns ser-usa
kubectl create ns ser-home
kubectl create ns ser-aliyun


mkdir -p /etc/rancher/k3s/config.yaml.d
cat > apiserver.yaml <

给节点打标签
kubectl label nodes k3s-bj-home-xxx location=home
kubectl label nodes k3s-usa-oracle-xxx location=usa
kubectl label nodes k3s-sh-aliyun-xxx location=aliyun

配置命名空间注解
# 配置命名空间注解
kubectl edit ns ser-aliyun

apiVersion: v1
kind: Namespace
metadata:
  annotations:
    scheduler.alpha.kubernetes.io/node-selector: location=aliyun
  labels:
    kubernetes.io/metadata.name: ser-aliyun
  name: ser-aliyun

测试调度
# 测试调度
kubectl -n ser-aliyun run test-pod-$RANDOM --image=m.daocloud.io/docker.io/library/nginx --restart=Never
kubectl -n ser-aliyun run test-pod$RANDOM --image=m.daocloud.io/docker.io/library/nginx --restart=Never

🔍 注意：如果你在 Deployment 上额外指定了 nodeSelector 和 scheduler.alpha.kubernetes.io/node-selector，后者的优先级更高。

补充
k3s 使用Docker
# 网络插件
mkdir /opt/cni/bin -p
wget https://github.com/flannel-io/cni-plugin/releases/download/v1.7.1-flannel1/flannel-amd64
mv flannel-amd64 /opt/cni/bin/flannel

curl -L https://github.com/containernetworking/plugins/releases/download/v1.7.1/cni-plugins-linux-amd64-v1.7.1.tgz | tar -C /opt/cni/bin -xz


mkdir -p /etc/cni/net.d
cat > /etc/cni/net.d/10-flannel.conflist <

# cri-dockerd
wget https://github.com/Mirantis/cri-dockerd/releases/download/v0.3.16/cri-dockerd-0.3.16.amd64.tgz
tar -xf cri-dockerd-0.3.16.amd64.tgz 
mv cri-dockerd/cri-dockerd /usr/local/bin/


wget https://raw.githubusercontent.com/Mirantis/cri-dockerd/master/packaging/systemd/cri-docker.socket
wget  https://raw.githubusercontent.com/Mirantis/cri-dockerd/master/packaging/systemd/cri-docker.service
mv cri-docker.socket cri-docker.service /etc/systemd/system/

sed -i -e 's,/usr/bin/cri-dockerd,/usr/local/bin/cri-dockerd,' /etc/systemd/system/cri-docker.service

systemctl enable cri-docker.service
systemctl enable --now cri-docker.socket
systemctl restart  cri-docker.socket

# 安装命令
INSTALL_K3S_DEBUG=true INSTALL_K3S_SKIP_DOWNLOAD=true INSTALL_K3S_EXEC="\
--container-runtime-endpoint unix:///run/cri-dockerd.sock \
--disable traefik \
--node-ip $EASYTIER_IP \
--flannel-iface $EASYTIER_ETH \
--flannel-backend=vxlan" ./install.sh

相关文档

K3s 安全加固指南
K3s CLI 参数说明



zerotier vs netbird vs tailscale 性能对比
2025-06-15T00:00:00.000Z

结论
直接线上结论


性能

Zerotier 和 Tailscale 都会有一个对应的进程负责组网。它们的运行方式都是在用户空间实现加密和中继，因此需要消耗额外的 CPU 资源。


NetBird 是纯粹内核空间的 Wireguard，不需要消耗额外的资源。





组网

这个就主要取决于网络环境，整体来说，NetBird 和 Tailscale 好于 Zerotier。







测试
我同时测了大文件, 小文件的传输效率,但发现其实差不多, 并没有什么出入, 所以本文就不区分大小文件
测试服务器




















角色 配置 网络
serverA 1c2g 192.168.2.100
serverB 1c2g 192.168.2.101
测试命令
# 传输测试：使用 rsync 同步一个压缩包到远程服务器
rsync -av ./1.zip root@serverb:/tmp/11

# 重启测试：模拟服务中断后恢复的情况
server A -> restart
server b -> restart -> ping

zerotier-one
传输测试
>出栈


入栈<


重启测试

netbird
传输测试
>出栈

入栈

重启测试

tailscale
传输测试
>出栈

入栈

重启测试



Windows11 关闭开始菜单搜索联网and右  键菜单恢复win10
2025-06-11T13:32:05.000Z


右键菜单恢复win10
说明： 此操作将添加一个注册表项，以恢复传统的 Windows 10 风格右键菜单。
reg add "HKCU\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32" /f
taskkill /F /IM explorer.exe
explorer.exe

注释说明：

reg add 命令用于添加指定的注册表项。
taskkill 和 explorer.exe 用于重启资源管理器以使更改生效。
此方法适用于希望恢复经典右键菜单样式的用户。


关闭开始菜单搜索联网
说明： 此操作将禁用开始菜单中的搜索建议（包括网络内容）。
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Explorer" /v DisableSearchBoxSuggestions /t REG_DWORD /d 1 /f

taskkill /F /IM explorer.exe
explorer.exe

注释说明：

DisableSearchBoxSuggestions 是一个注册表值，用于控制是否显示搜索建议。
/t REG_DWORD /d 1 表示将其设置为启用状态（即禁用搜索建议）。
修改后需要重启资源管理器或系统才能生效。

注意事项：

操作注册表前请确保备份相关设置，避免误操作导致系统异常。
如果不确定某些步骤，请先查阅相关文档或咨询专业人士。

使用组策略关闭 Windows 11 小组件

使用Windows + R打开「运行」- 执行gpedit.msc打开「本地组策略编辑器
导航到：计算机设置 - 管理模板 - Windows 组件 - 小组件
双击「允许小组件」策略，将其设置为「已禁用」
在「命令提示符」中执行gpupdate /force强制刷新组策略或重启计算机让配置生效



安卓配置ADB TCP调试开启自启
2025-06-06T12:50:12.000Z

安卓配置ADB TCP调试开启自启
通过USB线初始设置
电脑安装adb
adb是Android手机调试工具，用于在手机和电脑之间进行数据传输和调试, 可以直接安装Android Studio或者下载scrcpy
scrcpy: This application mirrors Android devices (video and audio) connected via USB or TCP/IP and allows control using the computer’s keyboard and mouse. It does not require root access or an app installed on the device. It works on Linux, Windows, and macOS.
下载地址: https://github.com/Genymobile/scrcpy
本站网盘: https://pan.0197011.xyz/down/2025/scrcpy-win64-v3.2.zip
启用USB调试

进入设置 > 关于手机，连续点击版本号7次启用开发者模式。
返回设置 > 系统 > 开发者选项，开启USB调试。

注意：确保已勾选USB调试选项，否则无法连接电脑。
连接电脑并授权

使用USB线连接手机和电脑。
在手机弹出的提示中勾选始终允许并确认。

检查设备连接


打开终端（CMD/PowerShell/终端），输入以下命令确认设备已连接：
adb devices




切换到TCP/IP模式


设置端口监听
# 在电脑终端执行
adb tcpip 5555



断开USB线

拔掉USB线，此时ADB将通过网络连接。



获取手机IP地址


在手机的 设置 > 关于手机 > 状态信息 中查看IP，或运行：
adb shell ifconfig | grep "inet addr"

部分设备需使用
ip addr

命令）




通过IP连接设备

在电脑终端输入：
adb connect 手机IP:5555
# adb connect 192.168.1.100:5555

adb disconnect  # 断开全部连接






开机自动启动TCP ADB（需Root)

使用脚本文件



创建脚本
adb shell
su # 切换到root
cd  /data/adb/service.d/
vi /data/adb/service.d/adb_tcp.sh

（路径可能因设备而异），内容如下：
#!/system/bin/sh
setprop service.adb.tcp.port 5555
stop adbd
start adbd



赋予执行权限：
chmod +x /data/adb/service.d/adb_tcp.sh





Debian 配置 zsh 和 oh-my-zsh 指南
2025-06-06T11:22:12.000Z

安装 zsh
zsh 是一个强大的 Shell，提供了许多增强功能和更好的用户体验。首先，我们需要更新包列表并安装 zsh：
sudo apt update
sudo apt install zsh

# 验证安装版本：
zsh --version

## 2. 设置 zsh 为默认 Shell

chsh -s $(which zsh)

echo $SHELL  # 应显示xxx/zsh

安装 oh-my-zsh
通过官方脚本安装（任选一种）：
# 使用 curl
sh -c "$(curl -fsSL https://raw.githubusercontent.com/ohmyzsh/ohmyzsh/master/tools/install.sh)"

# 或使用 wget
sh -c "$(wget -O- https://raw.githubusercontent.com/ohmyzsh/ohmyzsh/master/tools/install.sh)"

插件
效率增强

























插件名称 功能描述 安装命令
zsh-autosuggestions 历史命令自动提示 git clone https://github.com/zsh-users/zsh-autosuggestions ${ZSH_CUSTOM}/plugins/zsh-autosuggestions
zsh-syntax-highlighting 实时语法高亮 git clone https://github.com/zsh-users/zsh-syntax-highlighting ${ZSH_CUSTOM}/plugins/zsh-syntax-highlighting
fzf 模糊搜索文件/命令 sudo apt install fzf && git clone --depth 1 https://github.com/junegunn/fzf.git ~/.fzf && ~/.fzf/install
** Git 工具**

























插件名称 功能描述 备注
git 内置 Git 快捷命令 如 gst=git status
git-extras 扩展 Git 命令 需额外安装：sudo apt install git-extras
gitfast 快速 Git 补全 适合大型仓库
开发工具





















插件名称 支持工具
docker Docker 命令补全
npm npm 包管理补全
python Python 相关工具补全
系统管理





















插件名称 功能描述
systemd systemctl 命令补全
sudo 按两次 ESC 快速添加 sudo
tmux Tmux 会话管理
趣味插件
plugins=(... emoji cowsay)

需先安装 cowsay：
sudo apt install cowsay

完整配置示例
.zshrc 片段：
plugins=(
  git
  zsh-autosuggestions
  zsh-syntax-highlighting
  fzf
  docker
  systemd
  sudo
  emoji
)

补充
Tmux
apt install tmux -y || yum install tmux -y
curl -SsL  https://pan.0197011.xyz/down/s/tmux.sh | bash 

命令替代
apt install btop  -y  || yum install btop -y



hexo-theme-icarus黑色主题分享
2025-06-04T11:22:12.000Z

黑色主题
效果参考本站

black.styl
black主题参考官方的cyberpunk.styl 样式修改
再 themes/icarus/source/css/ 目录下添加一个black.styl 文件, 然后把下面的样式添加进去

/* themes/icarus/source/css/black.styl */
/* DARK THEME DESIGN SYSTEM - WCAG 2.1 AA Compliant */

$theme-black ?= #1E222A
$theme-dark-gray ?= #080E1D
$theme-mid-gray ?= #2D2D2D
$theme-light-gray ?= #3D3D3D

$theme-white ?= #FFFFFF
$theme-light ?= #F0F0F0
$theme-text ?= #E0E0E0
$theme-dim ?= #B0B0B0

$accent-blue ?=rgb(255, 255, 255)
$accent-purple ?= #BD8FE8
$accent-green ?= #4AE58C
$accent-yellow ?=rgba(0, 106, 255, 0.35)
$accent-red ?= #FF5A76

$accent-blue-dark ?= #2A6D99
$accent-purple-dark ?= #7A5E99
$accent-green-dark ?= #287D4D
$accent-yellow-dark ?= #B38F3F
$accent-red-dark ?= #B23A4D

$primary ?= $accent-yellow
$info ?= $accent-blue
$success ?= $accent-green
$warning ?= $accent-yellow
$danger ?= $accent-red

$family-sans-serif ?= 'Oxanium', Ubuntu, Roboto, 'Open Sans', 'Microsoft YaHei', sans-serif
$family-code ?= 'Roboto Mono', monospace, 'Microsoft YaHei'

$shadow-small ?= 0 2px 5px rgba(0, 0, 0, 0.5)
$shadow-medium ?= 0 4px 10px rgba(0, 0, 0, 0.5)
$shadow-large ?= 0 8px 20px rgba(0, 0, 0, 0.5)
$shadow-card ?= 0 0 8px rgba(0, 0, 0, 0)

$radius ?= 0
$radius-small ?= 0
$radius-medium ?= 0
$radius-large ?= 0

$white ?= $theme-black
$white-bis ?= $theme-dark-gray
$grey ?= $theme-dim
$black ?= $theme-white
$black-bis ?= $theme-light

$orange ?= $accent-yellow
$yellow ?= $accent-yellow
$green ?= $accent-green
$blue ?= $accent-blue
$purple ?= $accent-purple
$red ?= $accent-red

$orange-invert ?= $theme-black
$yellow-invert ?= $theme-black
$green-invert ?= $theme-black
$blue-invert ?= $theme-black
$purple-invert ?= $theme-black
$red-invert ?= $theme-black

$primary-invert ?= $theme-white
$info-invert ?= $theme-black
$success-invert ?= $theme-black
$warning-invert ?= $theme-black
$danger-invert ?= $theme-black

$scheme-main ?= $theme-black
$link ?= $accent-blue
$link-hover ?= lighten($accent-blue, 15%)
$link-active ?= darken($accent-blue, 10%)
$link-focus ?= $accent-blue
$text ?= $theme-text
$text-strong ?= $theme-light
$text-light ?= $theme-dim

$body-background-color ?= $theme-black

$input-color ?= $theme-text
$input-background-color ?= lighten($theme-black, 5%)
$input-border-color ?= $theme-light-gray
$input-placeholder-color ?= rgba($theme-dim, 0.8)
$input-hover-border-color ?= $accent-blue
$input-focus-border-color ?= $accent-blue

$footer-color ?= $theme-light
$footer-background-color ?= #181C24

$navbar-background-color ?= #151824
$navbar-item-color ?= $theme-light
$navbar-item-active-color ?= $accent-blue
$navbar-item-hover-color ?= $accent-blue
$navbar-item-hover-background-color ?= rgba($theme-white, 0.05)

$card-background-color ?= transparent

$menu-label-color ?= $accent-white
$menu-item-hover-color ?= $theme-white
$menu-item-hover-background-color ?= $accent-yellow
$menu-item-active-color ?= $theme-white
$menu-item-active-background-color ?= $accent-yellow
$menu-list-border-left ?= 1px solid $theme-light-gray

$tag-color ?= $theme-white
$tag-background-color ?= $theme-mid-gray

$timeline-fg-line ?= $accent-yellow
$timeline-bg-line ?= $body-background-color

$post-navigation-fg ?= $theme-text

$searchbox-bg-container ?= lighten($theme-black, 5%)
$searchbox-border ?= $accent-blue
$searchbox-bg-input ?= $theme-black
$searchbox-bg-close-hover ?= $theme-mid-gray
$searchbox-bg-close-active ?= lighten($theme-mid-gray, 10%)
$searchbox-bg-result-item-hover ?= $theme-mid-gray

@import 'style'

undercover-before()
    position: relative

    &:before
        content: ''
        position: absolute
        z-index: -1
        top: 0
        left: 0
        right: 0
        bottom: 0

body
    counter-reset: card
    background: $theme-black

::selection
    color: $theme-black
    background: $accent-blue

.card:not(#back-to-top)
    position: relative
    counter-increment: card
    transition: transform 0.2s ease, box-shadow 0.3s ease



    &, .card-content
        background: $theme-dark-gray
        position: relative
        box-shadow: $shadow-card
        transition: box-shadow 0.3s ease
        
        &:before
            z-index: -1
            top: 0
            left: 0
            right: 0
            bottom: 0
            transition: all 0.3s ease

    &:before
        top: -1.2px
        left: -1.2px
        right: -1.2px
        bottom: -1.2px
        background-color: $accent-blue

    &:after
        position: absolute
        color: $accent-blue
        right: 2rem
        bottom: -.6em
        font-size: .75rem
        padding: 0 .25em
        background: $body-background-color

    .card-content:before
        background-color: $body-background-color


clip-button($color, $color-invert)
    position: relative
    transition: transform 0.2s ease
    
    &:before
        background-color: $color
        color: $color-invert
        transition: background-color 0.2s ease, transform 0.2s ease

    &:hover, &.is-hovered
        transform: translateY(-1px)
        
        &:before
            background-color: lighten($color, 10%)
            color: $color-invert

    &:focus, &.is-focused
        &:before
            box-shadow: 0 0 0 2px rgba($color, 0.5)
            color: $color-invert

    &:active, &.is-active
        transform: translateY(1px)
        
        &:before
            background-color: darken($color, 5%)
            color: $color-invert

    &[disabled], fieldset[disabled] &
        opacity: 0.65
        
        &:before
            background-color: desaturate($color, 20%)

    &.is-inverted
        &:before
            background-color: $color-invert
            color: $color

            &:hover, &.is-hovered
                background-color: darken($color-invert, 5%)

            &[disabled], fieldset[disabled] &
                background-color: $color-invert
                border-color: transparent
                box-shadow: none
                color: $color

.button:not(input)
    border: none
    outline: none
    background: transparent !important
    transition: transform 0.2s ease, box-shadow 0.2s ease



    &:focus:not(:active)
        box-shadow: 0 0 0 2px rgba($accent-blue, 0.5)

    for $name, $pair in $colors
        $color = $pair['1']
        $color-invert = $pair['2']

        &.is-{$name}
            clip-button($color, $color-invert)



.menu-list a
    transition: background-color 0.2s ease, color 0.2s ease
    
    &:hover
        transform: translateX(2px)

.tags.has-addons
    .tag:first-child
        background: $accent-yellow !important
        color: $theme-white !important

    .tag:last-child
        background: $accent-blue !important
        color: $theme-black !important

.pagination-previous, .pagination-next, .pagination-link
    outline: 1px solid $theme-light-gray
    outline-offset: -2px
    transition: background-color 0.2s ease, color 0.2s ease, transform 0.2s ease
    
    &:hover
        background-color: $accent-blue
        transform: translateY(-1px)

        &, a
            color: $theme-black

    &:focus
        box-shadow: 0 0 0 2px rgba($accent-blue, 0.5)

    &.is-current
        background-color: $accent-blue
        border-color: $accent-blue
        color: $theme-black

.navbar-main
    min-height: 4.25rem
    box-shadow: $shadow-small
    border-bottom: 1px solid rgba($theme-white, 0.1)

    &:after
        content: ''
        position: absolute
        left: 0
        right: 0

    .navbar-menu
        .navbar-item
            margin: 0 1px
            transition: color 0.2s ease, background-color 0.2s ease
            position: relative
            
            &:after
                content: ''
                position: absolute
                bottom: 0
                left: 50%
                width: 0
                height: 2px
                background: $accent-blue
                transition: width 0.3s ease, left 0.3s ease
            
            &:hover, &.is-active
                color: $theme-white
                background-color: rgba($theme-white, 0.05) !important
                
                &:after
                    width: 100%
                    left: 0

article.article, article.media

    .title a
        background-image: linear-gradient(transparent calc(100% - 2px), $accent-yellow 2px)
        background-repeat: no-repeat
        background-size: 0 100%
        transition: background-size 0.3s ease-in-out, color 0.2s ease

    .title:hover a
        background-size: 100% 100%
        color: $theme-white

article.article
    .article-more
        box-shadow: 0 0 0 1px $accent-blue
        color: $theme-light
        transition: background-color 0.2s ease, color 0.2s ease, box-shadow 0.2s ease
        
    .article-more:hover
        color: $theme-white
        background-color: $accent-blue
        box-shadow: 0 0 0 1px $accent-blue, 0 4px 8px rgba($accent-blue, 0.3)
        
    .article-more:active
        transform: translateY(1px)
        box-shadow: 0 0 0 1px $accent-blue

.article-licensing
    background: $theme-mid-gray
    border-left: 3px solid $accent-blue

.content
    blockquote
        background: rgba($accent-blue, 0.05)
        border: none
        border-left: 4px solid $accent-blue
        padding: 1rem
        margin: 1.5rem 0
        border-radius: 0 4px 4px 0

.footer
    position: relative
    border-top: 1px solid rgba($theme-light, 0.1)

    &:before
        content: ''
        position: absolute
        left: 0
        right: 0
        top: -1px
        height: 39px
        opacity: 0.5
.timeline .media:last-child:after 
    background: $theme-dark-gray 

.timeline .media
    &:before
        clip-path: polygon(50% 0, 100% 50%, 50% 100%, 0 50%)
        background: $accent-blue
        transition: transform 0.3s ease, background-color 0.3s ease
        
    &:hover:before
        transform: scale(1.2)
        background: lighten($accent-blue, 10%)

.searchbox 
    background:rgba(255, 255, 255, 0.33)

.searchbox .searchbox-container
    border: 1px solid $accent-blue
    box-shadow: $shadow-medium
    transition: box-shadow 0.3s ease

    &:focus-within
        box-shadow: $shadow-large

    .searchbox-body
        border-bottom: 1px solid $theme-light-gray

        li:last-child .searchbox-result-section
            border-bottom: none

    .searchbox-result-item
        transition: background-color 0.2s ease
        
        &:hover
            background-color: $theme-mid-gray
            
        em
            color: $theme-white
            font-weight: bold
            text-decoration: underline
            text-decoration-color: $accent-yellow
            text-decoration-thickness: 2px

#back-to-top
    color: $theme-black
    background: $accent-blue
    margin-top: 45px
    transition: background-color 0.2s ease, transform 0.3s ease
    box-shadow: $shadow-medium
    
    &:hover
        background: lighten($accent-blue, 10%)
        transform: translateY(-3px)
        box-shadow: $shadow-large

    &:active
        transform: translateY(0)
        box-shadow: $shadow-small

.cc-window, .cc-revoke
    border-radius: 0 !important
    box-shadow: $shadow-large

.cc-window
    &:not(.cc-banner)
        border: 1px solid $accent-blue

    &.cc-theme-classic, &.cc-theme-block
        .cc-compliance > .cc-btn
            border-radius: 0
            transition: background-color 0.2s ease, transform 0.2s ease
            
            &:hover
                transform: translateY(-1px)

    &.cc-banner
        .cc-compliance > .cc-btn
            background-color: $accent-blue

            &:hover, &:focus
                background-color: lighten($accent-blue, 10%)
                
            &:active
                background-color: darken($accent-blue, 5%)
                transform: translateY(1px)


.tabs.is-boxed a:hover
    background-color:rgba(239, 239, 239, 0.45)

.message.is-primary
    background-color: #FFFFFF
    .message-body
        color:rgb(0, 0, 0)

主题文件配置
在你的主题文件中把variant 修改为black

字体配置
可加可不加
# 我这里直接用的cyberpunk的字体文件
+  black: fontcdn('Oxanium:wght@300;400;600&family=Roboto+Mono', 'css2')




单机部署k3s和rancher 使用本地自签  证书
2025-03-31T15:40:00.000Z

部署k3s
这部分文档官网非常详尽 https://docs.rancher.cn/docs/k3s/installation/airgap/_index/
部署rancher
如何自签证书, 我有写文章, 站内搜索 自建CA使用SAN签发证书
配置helm
helm repo add rancher-latest https://releases.rancher.com/server-charts/latest
helm repo update

创建证书
kubectl create namespace cattle-system
kubectl create secret tls tls-rancher-ingress --cert=domain.dev.crt \
 --key=domain.dev.key -n cattle-system
kubectl -n cattle-system create secret generic tls-ca   --from-file=cacerts.pem

部署rancher
把helm pull下来, 然后解压, 使用本地的安装, 方便维护
helm  pull rancher-latest/rancher
tar -xf  rancher-2.10.3.tgz
# systemDefaultRegistry:

helm install   rancher ./  \
  --namespace cattle-system \
  --set hostname=rancher.domain.dev \
  --set bootstrapPassword=domain \
  --set ingress.tls.source=secret \
  --set privateCA=true

私有镜像仓库配置参考 https://docs.rancher.cn/docs/k3s/installation/private-registry/_index
mirrors:
  docker.io:
    endpoint:
      - "https://harbor.com"
configs:
  "harbor.com:443":
    auth:
      username: domain
      password: "Aa123123"
    tls:
      cert_file: /opt/certs.d/harbor.com/harbor.com.cert
      key_file:  /opt/certs.d/harbor.com/harbor.com.key
      ca_file:   /opt/certs.d/harbor.com/ca.crt



Linux登陆脚本
2025-01-23T14:22:12.000Z


#!/bin/sh

export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin
shopt -q login_shell && : || return 0


# os
upSeconds="$(cut -d. -f1 /proc/uptime)"
secs=$((${upSeconds}%60))
mins=$((${upSeconds}/60%60))
hours=$((${upSeconds}/3600%24))
days=$((${upSeconds}/86400))
UPTIME_INFO=$(printf "%d days, %02dh %02dm %02ds" "$days" "$hours" "$mins" "$secs")

if [ -f /etc/redhat-release ] ; then
    PRETTY_NAME=$(< /etc/redhat-release)

elif [ -f /etc/debian_version ]; then
   DIST_VER=$(/dev/null | tail -1)
disktotal=$(awk '{print $2}' <<< "${totaldisk}")
diskused=$(awk '{print $3}' <<< "${totaldisk}")
diskusedper=$(awk '{print $5}' <<< "${totaldisk}")
DISK_INFO="\033[0;33m${diskused}\033[0m of \033[1;34m${disktotal}\033[0m disk space used (\033[0;33m${diskusedper}\033[0m)"

# cpu
cpu=$(awk -F':' '/^model name/ {print $2}' /proc/cpuinfo | uniq | sed -e 's/^[ \t]*//')
cpun=$(grep -c '^processor' /proc/cpuinfo)
cpuc=$(grep '^cpu cores' /proc/cpuinfo | tail -1 | awk '{print $4}')
cpup=$(grep '^physical id' /proc/cpuinfo | wc -l)
CPU_INFO="${cpu} ${cpup}P ${cpuc}C ${cpun}L"

# get the load averages
read one five fifteen rest < /proc/loadavg
LOADAVG_INFO="\033[0;33m${one}\033[0m / ${five} / ${fifteen} with \033[1;34m$(( cpun*cpuc ))\033[0m core(s) at \033[1;34m$(grep '^cpu MHz' /proc/cpuinfo | tail -1 | awk '{print $4}')\033 MHz"

# mem
MEM_INFO="$(cat /proc/meminfo | awk '/MemTotal:/{total=$2/1024/1024;next} /MemAvailable:/{use=total-$2/1024/1024; printf("\033[0;33m%.2fGiB\033[0m of \033[1;34m%.2fGiB\033[0m RAM used (\033[0;33m%.2f%%\033[0m)",use,total,(use/total)*100);}')"

# network
# extranet_ip=" and $(curl -s ip.cip.cc)"
IP_INFO="$(ip a | grep glo | awk '{print $2}' | head -1 | cut -f1 -d/)${extranet_ip:-}"


supervisor_status=$(supervisorctl statsu |wc -l)
supervisor_running=$(supervisorctl status  | grep 'RUNNING' | wc -l)
supervisor_not_running=$(expr $supervisor_status - $supervisor_running)
SUPERVISOR_INFO="ALL: ${supervisor_status} RUNING: \033[32m${supervisor_running}\033[0m NOT RUNING:  \033[31m${supervisor_not_running}"


NGINX_STATUS=$(systemctl status nginx | grep 'Active:' |awk -F 'Active:' '{print $2}')

# info
echo -e "
 Information as of: \033[1;34m$(date +"%Y-%m-%d %T")\033[0m
 
 \033[0;1;31mProduct\033[0m............: ${MODEL_INFO}
 \033[0;1;31mOS\033[0m.................: ${PRETTY_NAME}
 \033[0;1;31mKernel\033[0m.............: ${KERNEL}
 \033[0;1;31mCPU\033[0m................: ${CPU_INFO}

 \033[0;1;31mHostname\033[0m...........: \033[1;34m$(hostname)\033[0m
 \033[0;1;31mIP Addresses\033[0m.......: \033[1;34m${IP_INFO}\033[0m

 \033[0;1;31mUptime\033[0m.............: \033[0;33m${UPTIME_INFO}\033[0m
 \033[0;1;31mMemory\033[0m.............: ${MEM_INFO}
 \033[0;1;31mLoad Averages\033[0m......: ${LOADAVG_INFO}
 \033[0;1;31mDisk Usage\033[0m.........: ${DISK_INFO} 

 \033[0;1;31mUsers online\033[0m.......: \033[1;34m${USER_NUM}\033[0m
 \033[0;1;31mRunning Processes\033[0m..: \033[1;34m${RUNNING}\033[0m



 \033[0;1;31mSupervisor\033[0m.........: \033[1;34m${SUPERVISOR_INFO}\033[0m
 \033[0;1;31mNGINX STATUS\033[0m.......: \033[1;34m${NGINX_STATUS}\033[0m
"



Linux 本地端口转发到其他机器（  附带管理脚本）
2025-01-12T00:00:00.000Z

端口转发原理
端口转发（Port Forwarding）， 也称为端口映射（Port Mapping），是一种网络技术，它允许将网络流量从一个 IP 地址和端口重定向到另一个 IP 地址和端口。 在 Linux 系统中， 我们通常使用 iptables 工具来实现端口转发。


基础防火墙规则配置
在开始配置端口转发之前，我们需要先配置一些基础的防火墙规则，包括开启 IP 转发、允许转发流量和配置 NAT 表。
echo 1 > /proc/sys/net/ipv4/ip_forward           # 开启 IP 转发
iptables -A FORWARD -j ACCEPT                    # 允许转发
iptables -t nat -A POSTROUTING   -j MASQUERADE   # 配置 NAT 表



解释:

echo 1 > /proc/sys/net/ipv4/ip_forward： 开启 IP 转发功能，允许 Linux 系统作为路由器转发数据包。
iptables -A FORWARD -j ACCEPT：  允许所有转发流量通过防火墙，即允许从一个网卡转发到另一个网卡的数据包。
iptables -t nat -A POSTROUTING -j MASQUERADE： 配置网络地址转换（NAT）， 将转发的数据包的源 IP 地址转换为本机 IP 地址，以便目标机器能够正常响应。



添加端口转发规则
以下示例展示了如何将本地端口 80 的流量转发到 192.168.2.123 的 80 端口。
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.2.123:80
iptables -t nat -A POSTROUTING -p tcp -d 192.168.2.123 --dport 80 -j MASQUERADE



解释:

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.2.123:80：

-t nat：  指定操作的表为 NAT 表，用于网络地址转换。
-A PREROUTING： 将规则添加到 PREROUTING 链，该链用于处理进入本机的数据包。
-p tcp：  指定协议为 TCP。
--dport 80： 指定目标端口为 80。
-j DNAT： 执行目标地址转换（DNAT）。
--to-destination 192.168.2.123:80： 将目标地址转换为 192.168.2.123:80。


iptables -t nat -A POSTROUTING -p tcp -d 192.168.2.123 --dport 80 -j MASQUERADE：

-t nat： 指定操作的表为 NAT 表。
-A POSTROUTING： 将规则添加到 POSTROUTING 链，该链用于处理即将离开本机的数据包。
-p tcp： 指定协议为 TCP。
-d 192.168.2.123：  指定目标 IP 地址为 192.168.2.123。
--dport 80: 指定目标端口为80.
-j MASQUERADE： 执行地址伪装，将源 IP 地址转换为本机 IP 地址。





删除端口转发规则
以下示例展示了如何删除将本地端口 80 的流量转发到 192.168.2.123 的 80 端口的规则。
iptables -t nat -D PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.2.123:80
iptables -t nat -D POSTROUTING -p tcp -d 192.168.2.123 --dport 80 -j MASQUERADE



解释：

与添加规则类似，只是将 -A 改为 -D，表示删除规则。



查看转发规则
使用以下命令可以查看当前配置的端口转发规则：
iptables -t nat -L -n



解释:

-t nat： 指定查看 NAT 表。
-L： 列出规则。
-n： 使用数字格式显示 IP 地址和端口，而不是使用主机名和服务名。



端口转发管理脚本
为了方便管理端口转发规则，我们提供了一个 forward_port 脚本。 该脚本可以帮助您更方便地添加、删除和查看转发规则。


使用方法
以下是一些脚本的使用示例：
root@localhost:~# forward_port list
当前端口转发规则列表：
----------------------------------------
[TCP] 本地端口: 8000 转发目标: 192.168.2.142:8000
root@localhost:~# forward_port  add tcp 8001  100.88.88.104 8000
添加完成
root@localhost:~# forward_port list
当前端口转发规则列表：
----------------------------------------
[TCP] 本地端口: 8000 转发目标: 192.168.2.142:8000
[TCP] 本地端口: 8001 转发目标: 100.88.88.104:8000
root@localhost:~# forward_port  del tcp 8001
删除完成
root@localhost:~# forward_port list
当前端口转发规则列表：
----------------------------------------
[TCP] 本地端口: 8000 转发目标: 192.168.2.142:8000



脚本代码
以下是 forward_port 脚本的完整代码：

#!/bin/bash

# 检查是否具有 root 权限
if [ "$EUID" -ne 0 ]; then
    echo "请使用 sudo 运行此脚本"
    exit 1
fi

# 显示帮助信息
show_help() {
    echo "用法:"
    echo "  $0 list                     # 显示所有端口转发规则"
    echo "  $0 add tcp|udp 本地端口 目标IP 目标端口  # 添加转发规则"
    echo "  $0 del tcp|udp 本地端口     # 删除转发规则"
    echo ""
    echo "示例:"
    echo "  $0 add tcp 8080 192.168.1.100 80"
    echo "  $0 del tcp 8080"
}

# 列出当前转发规则
list_forwards() {
    # 获取 PREROUTING 规则
    rules=$(iptables -t nat -L PREROUTING -n --line-numbers | grep "dpt:" | grep "to:")

    if [ -z "$rules" ]; then
        echo "当前没有端口转发规则"
        return
    fi

    echo "当前端口转发规则列表："
    echo "----------------------------------------"

    while IFS= read -r line; do
        # 提取规则信息
        protocol=$(echo "$line" | grep -o 'tcp\|udp' | tr '[:lower:]' '[:upper:]')
        local_port=$(echo "$line" | grep -o 'dpt:[0-9]*' | cut -d':' -f2)
        target=$(echo "$line" | grep -o 'to:[0-9.]*:[0-9]*' | cut -d':' -f2,3)

        if [ ! -z "$protocol" ] && [ ! -z "$local_port" ] && [ ! -z "$target" ]; then
            target_ip=$(echo "$target" | cut -d':' -f1)
            target_port=$(echo "$target" | cut -d':' -f2)
            echo "[$protocol] 本地端口: $local_port 转发目标: $target_ip:$target_port"
        fi
    done <<< "$rules"
}

# 检查转发规则是否已存在
check_forward_exists() {
    local proto=$1
    local port=$2

    iptables -t nat -L PREROUTING -n | grep "dpt:$port" | grep -q "$proto"
    return $?
}

# 添加转发规则
add_forward() {
    local proto=$1
    local local_port=$2
    local target_ip=$3
    local target_port=$4

    # 验证参数
    if [[ ! "$proto" =~ ^(tcp|udp)$ ]]; then
        echo "错误: 协议必须是 tcp 或 udp"
        return 1
    fi

    if [[ ! "$local_port" =~ ^[0-9]+$ ]] || [ "$local_port" -lt 1 ] || [ "$local_port" -gt 65535 ]; then
        echo "错误: 无效的端口号 $local_port"
        return 1
    fi

    if [[ ! "$target_ip" =~ ^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+$ ]]; then
        echo "错误: 无效的 IP 地址 $target_ip"
        return 1
    fi

    if [[ ! "$target_port" =~ ^[0-9]+$ ]] || [ "$target_port" -lt 1 ] || [ "$target_port" -gt 65535 ]; then
        echo "错误: 无效的目标端口号 $target_port"
        return 1
    fi

    # 检查规则是否已存在
    if check_forward_exists "$proto" "$local_port"; then
        echo "${proto^^} $local_port 已经有转发规则了"
        return 1
    fi

    # 添加转发规则
    iptables -t nat -A PREROUTING -p "$proto" --dport "$local_port" -j DNAT --to-destination "$target_ip:$target_port"
    iptables -t nat -A POSTROUTING -p "$proto" -d "$target_ip" --dport "$target_port" -j MASQUERADE

    if [ $? -eq 0 ]; then
        echo "添加完成"
    else
        echo "添加失败"
        return 1
    fi
}

# 删除转发规则
del_forward() {
    local proto=$1
    local port=$2

    # 验证参数
    if [[ ! "$proto" =~ ^(tcp|udp)$ ]]; then
        echo "错误: 协议必须是 tcp 或 udp"
        return 1
    fi

    if [[ ! "$port" =~ ^[0-9]+$ ]] || [ "$port" -lt 1 ] || [ "$port" -gt 65535 ]; then
        echo "错误: 无效的端口号 $port"
        return 1
    fi

    # 检查规则是否存在
    if ! check_forward_exists "$proto" "$port"; then
        echo "未找到 ${proto^^} 端口 $port 的转发规则"
        return 1
    fi

    # 获取目标地址信息用于删除 POSTROUTING 规则
    target_info=$(iptables -t nat -L PREROUTING -n | grep "dpt:$port" | grep "$proto")
    target_ip=$(echo "$target_info" | grep -o 'to:[0-9.]*:[0-9]*' | cut -d':' -f2)
    target_port=$(echo "$target_info" | grep -o 'to:[0-9.]*:[0-9]*' | cut -d':' -f3)

    # 删除规则
    iptables -t nat -D PREROUTING -p "$proto" --dport "$port" -j DNAT --to-destination "$target_ip:$target_port" 2>/dev/null
    iptables -t nat -D POSTROUTING -p "$proto" -d "$target_ip" --dport "$target_port" -j MASQUERADE 2>/dev/null

    if [ $? -eq 0 ]; then
        echo "删除完成"
    else
        echo "删除失败"
        return 1
    fi
}

# 主程序
case "$1" in
    list)
        list_forwards
        ;;
    add)
        if [ $# -ne 5 ]; then
            echo "错误: add 命令需要4个参数"
            show_help
            exit 1
        fi
        add_forward "$2" "$3" "$4" "$5"
        ;;
    del)
        if [ $# -ne 3 ]; then
            echo "错误: del 命令需要2个参数"
            show_help
            exit 1
        fi
        del_forward "$2" "$3"
        ;;
    *)
        show_help
        exit 1
        ;;
esac

exit 0



脚本使用说明：

forward_port list: 列出当前所有端口转发规则。
forward_port add tcp|udp 本地端口 目标IP 目标端口: 添加新的端口转发规则。

tcp|udp: 指定协议。
本地端口: 要监听的本地端口。
目标IP:  要转发的目标 IP 地址。
目标端口: 要转发的目标端口。


forward_port del tcp|udp 本地端口:  删除指定的端口转发规则。

tcp|udp: 指定协议。
本地端口:  要删除的转发规则对应的本地端口。





总结
本文档介绍了如何在 Linux 系统中配置端口转发，包括手动配置 iptables 规则以及使用提供的 forward_port 脚本进行管理。希望这些内容能够帮助您更好地理解和使用 Linux 的端口转发功能。


Debian 12 配置中文支持
2025-01-07T12:11:22.000Z

配置中文支持
配置区域设置
编辑 locale 配置文件
取消注释中文 locale, 找到以下行，去掉前面的 # 号
vim /etc/locale.gen

- # zh_CN.UTF-8 UTF-8
+ zh_CN.UTF-8 UTF-8



生成 locale：
locale-gen



设置系统默认 locale
vim /etc/environment

LANG=zh_CN.UTF-8
LANGUAGE=zh_CN:en_US




配置终端编码
可选: ~/.bashrc 或 ~/.zshrc 或  /etc/profile
vim /etc/profile

export LANG=zh_CN.UTF-8
export LANGUAGE=zh_CN:en_US

重新登录即可


配置VIM
vim ~/.vimrc

set encoding=utf-8
set termencoding=utf-8
set fileencodings=utf-8,gbk,latin1



Linux 监控裸机部署
2024-12-30T00:00:00.000Z

屏蔽登录弹窗
sed -i.backup -z "s/res === null || res === undefined || \!res || res\n\t\t\t.data.status.toLowerCase() \!== 'active'/false/g" /usr/share/javascript/proxmox-widget-toolkit/proxmoxlib.js && systemctl restart pveproxy.service

国内源
cat /etc/apt/sources.list
deb https://mirrors.huaweicloud.com/debian/ bookworm main non-free contrib
deb-src https://mirrors.huaweicloud.com/debian/ bookworm main non-free contrib
deb https://mirrors.huaweicloud.com/debian-security/ bookworm-security main
deb-src https://mirrors.huaweicloud.com/debian-security/ bookworm-security main
deb https://mirrors.huaweicloud.com/debian/ bookworm-updates main non-free contrib
deb-src https://mirrors.huaweicloud.com/debian/ bookworm-updates main non-free contrib
deb https://mirrors.huaweicloud.com/debian/ bookworm-backports main non-free contrib
deb-src https://mirrors.huaweicloud.com/debian/ bookworm-backports main non-free contrib


mv /etc/apt/sources.list.d /etc/apt/sources.list.d_
mkdir /etc/apt/sources.list.d



Linux 监控裸机部署
2024-12-30T00:00:00.000Z

部署
下载安装包
mkdir -p /opt/src/
cd /opt/src/
wget https://dl.grafana.com/oss/release/grafana-11.4.0.linux-amd64.tar.gz
tar -zxvf grafana-11.4.0.linux-amd64.tar.gz

mv grafana-v11.4.0  /opt/
ln -snf /opt/grafana-v11.4.0 /opt/grafana


wget https://github.com/prometheus/prometheus/releases/download/v3.0.1/prometheus-3.0.1.linux-amd64.tar.gz
tar -zxvf prometheus-3.0.1.linux-amd64.tar.gz

mv prometheus-3.0.1.linux-amd64  /opt/
ln -snf /opt/prometheus-3.0.1.linux-amd64 /opt/prometheus

wget https://github.com/prometheus/node_exporter/releases/download/v1.8.2/node_exporter-1.8.2.linux-amd64.tar.gz
tar -zxvf node_exporter-1.8.2.linux-amd64.tar.gz

mv node_exporter-1.8.2.linux-amd64  /opt/
ln -snf /opt/node_exporter-1.8.2.linux-amd64 /opt/node_exporter

wget https://github.com/prometheus/blackbox_exporter/releases/download/v0.25.0/blackbox_exporter-0.25.0.linux-amd64.tar.gz
tar -zxvf blackbox_exporter-0.25.0.linux-amd64.tar.gz

mv blackbox_exporter-0.25.0.linux-amd64  /opt/
ln -snf /opt/blackbox_exporter-0.25.0.linux-amd64 /opt/blackbox_exporter





配置supervisor
yum install supervisor -y 

cat > /etc/supervisor/conf.d/prometheus.conf < /etc/supervisor/conf.d/node_exporter.conf < /etc/supervisor/conf.d/blackbox_exporter.conf < /etc/supervisor/conf.d/grafana.conf <


:/opt# supervisorctl update 
:/opt# supervisorctl status  # 检查服务状态
blackbox_exporter                RUNNING   pid 528621, uptime 0:01:38
grafana                          RUNNING   pid 528622, uptime 0:01:38
node_exporter                    RUNNING   pid 528623, uptime 0:01:38
prometheus                       RUNNING   pid 528592, uptime 0:04:12

:/opt# netstat -tulpn | grep -E 'prom|grafa|exp'
tcp6       0      0 :::9115                 :::*                    LISTEN      528621/blackbox_exp 
tcp6       0      0 :::9090                 :::*                    LISTEN      528592/prometheus   
tcp6       0      0 :::9100                 :::*                    LISTEN      528623/node_exporte 
tcp6       0      0 :::3000                 :::*                    LISTEN      528622/grafana     


配置NGINX



我用的是CF Tunnel, 这里贴一个NGINX Proxy的配置



upstream grafana {
  server localhost:3000;
}

server {
    listen                  443 ssl;
    listen                  [::]:443 ssl;
    server_name             grafana.domain.com;

    # SSL
    ssl_certificate         /etc/letsencrypt/live/grafana.domain.com/fullchain.pem;
    ssl_certificate_key     /etc/letsencrypt/live/grafana.domain.com/privkey.pem;
    ssl_trusted_certificate /etc/letsencrypt/live/grafana.domain.com/chain.pem;

    # logging
    access_log              /var/log/nginx/grafana.access.log combined;
    error_log               /var/log/nginx/grafana.error.log warn;

    location / {
      proxy_set_header Host $http_host;
      proxy_pass http://grafana;
    }

    # Proxy Grafana Live WebSocket connections.
    location /api/live/ {
      proxy_http_version 1.1;
      proxy_set_header Upgrade $http_upgrade;
      proxy_set_header Connection $connection_upgrade;
      proxy_set_header Host $http_host;
      proxy_pass http://grafana;
    }

}

# HTTP redirect
server {
    listen      80;
    listen      [::]:80;
    server_name grafana.domain.com;

    location / {
        return 301 https://grafana.domain.com$request_uri;
    }
}


配置
Grafana配置
默认账户密码是 admin/admin

supervisorctl stop grafana


sed -i 's#default_language = en-US#default_language = zh-Hans#g' /opt/grafana/conf/defaults.ini

cat >> /opt/grafana/conf/grafana.ini <



自建CA使用SAN签发证书
2024-11-19T17:21:12.000Z

CA证书生成
首先创建CA配置文件:
cat > ca.conf << EOF
[ req ]
default_bits = 2048
default_md = sha256
prompt = no
encrypt_key = no
distinguished_name = dn

[ dn ]
C = CN
ST = Beijing
L = Beijing
O = Dev
OU = Dev Root CA
CN = Dev Root CA
emailAddress = admin@domain.dev
EOF

生成CA证书:
# CA机构名称
# 生成CA私钥和证书
openssl ecparam -out ca.key -name prime256v1 -genkey
openssl req -new -sha256 -key ca.key -out ca.csr -config ca.conf
openssl x509 -req -sha256 -days 3650 -in ca.csr -signkey ca.key -out ca.crt

签发SAN证书
创建证书配置文件:
cat > domain.conf << EOF
[ req ]
default_bits = 2048
default_md = sha256
prompt = no
encrypt_key = no
distinguished_name = dn
req_extensions = v3_req

[ dn ]
C = CN
ST = Beijing
L = Beijing
O = Organization
OU = Dev Team
CN = domain.dev
emailAddress = admin@domain.dev

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = domain.dev
DNS.2 = *.domain.dev
EOF

签发证书:
# 生成域名私钥和CSR
openssl genrsa -out domain.dev.key 2048
openssl req -new -nodes -key domain.dev.key -out domain.dev.csr -config domain.conf

# 使用CA签发证书
openssl x509 -req -in domain.dev.csr \
    -CA ca.crt -CAkey ca.key -CAcreateserial \
    -out domain.dev.crt -days 3650 -sha256 \
    -extensions v3_req -extfile domain.conf

# 验证证书
openssl x509 -in domain.dev.crt -text -noout

补全完整的证书链
cat domain.dev.crt ca.crt > domain.dev.fullchain.crt

介绍每个文件的作用

ca.conf: CA配置文件
ca.key: CA私钥
ca.crt: CA证书
domain.conf: 域名配置文件
domain.dev.key: 域名私钥
domain.dev.csr: 域名CSR
domain.dev.crt: 域名证书
domain.dev.fullchain.crt: 完整证书链
domain.dev.key: 域名私钥



Xiaomi Redmi AX6S  刷Openwrt
2024-11-19T14:22:12.000Z

本文所用的全部刷机包: https://pan.0197011.xyz/?path=2024%2Fax6s%2F
刷开发固件
首先， 登录你的路由器192.168.31.1， 把固件刷成开发版的miwifi_rb03_firmware_stable_1.2.7（内测版）.bin

刷入factory.bin固件
factory.bin 固件在网盘中也有
先根据设备后面的SN码生成root密码
访问miwifi.dev/ssh

然后使用登录telnet 登录系统开启ssh
telnet 192.168.31.1 23



配置 SSH 和串口调试支持。
设置设备启动时的延迟和行为。
启动 Dropbear（轻量级 SSH 服务），以便远程管理。

nvram set ssh_en=1 & nvram set uart_en=1 & nvram set boot_wait=on & nvram set bootdelay=3 & nvram set flag_try_sys1_failed=0 & nvram set flag_try_sys2_failed=1  
  
nvram set flag_boot_rootfs=0 & nvram set "boot_fw1=run boot_rd_img;bootm"  
  
nvram set flag_boot_success=1 & nvram commit & /etc/init.d/dropbear enable & /etc/init.d/dropbear start

上传 factory.bin 到设备上
怎么上传呢? 你可以使用scp
ssh -v -oHostKeyAlgorithms=+ssh-rsa root@192.168.31.1


我这里是上传到/tmp/factory.bin了, 输入命令开始刷入
mtd -r write /tmp/factory.bin firmware

刷入定制固件
刷好片刻, 新固件的地址是192.168.6.1 密码是password

在这个Openwrt固件中可以刷入其他定制化的系统, 我这里选用的是
1450.immortalwrt-ax6s-squashfs-sysupgrade.bin
2024/12/11更新:  1450固件有BUG, 改用了ImmortalWrt原版固件




分享一个脚本: 加密备份网站  /目录到huggingface
2024-10-31T10:19:32.000Z

age使用方法
$ age-keygen -o key.txt
Public key: age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p #公钥 
$ tar cvz ~/data | age -r age1ql3z7hjy54pw3hyww5ayyfg7zqgvc7w3j2elw8zmrj2kg5sfn9aqmcac8p > data.tar.gz.age  # 加密文件
$ age --decrypt -i key.txt -o data.tar.gz data.tar.gz.age   # 解密压缩包

脚本内容
注意事项

是借助git lfs存储文件的, 所以需要先配置好huggingface仓库 ssh 秘钥
安装好 age 命令

#!/bin/bash
#
# 备份和加密指定目录，然后将其推送到 Git 仓库。

set -euo pipefail

export GIT_SSH_COMMAND='ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null'

check_ssh_connection() {
  if ! ssh -o StrictHostKeyChecking=no -o UserKnownHostsFile=/dev/null -T git@hf.co | grep -q meleuo; then
    echo "登录失败" >&2
    exit 1
  fi
}

check_age_command() {
  if ! command -v age &> /dev/null; then
    echo "age 命令不可用" >&2
    exit 1
  fi
}

cleanup() {
  local uuid=$1
  if [[ -d /tmp/${uuid} ]]; then
    rm -rf "/tmp/${uuid}"
  fi
}

backup_and_push() {
  local dir_path=$1
  local taskname=$2
  local dir_name
  dir_name=$(basename "${dir_path}")
  local uuid
  uuid=$(openssl rand -hex 16)
  local datetime
  datetime=$(date +"%Y%m%d%H%M")
  local archive_name="${taskname}_${uuid}_${datetime}.tar.gz"
  local encrypted_name="${taskname}_${datetime}.bin"

  mkdir "/tmp/${uuid}"
  cd "/tmp/${uuid}" || exit 1

  if ! tar -czf "${archive_name}" -C "$(dirname "${dir_path}")" "$(basename "${dir_path}")"; then
    echo "压缩失败" >&2
    cleanup "${uuid}"
    exit 1
  fi

  if ! tar cvz "${archive_name}" | age -r [age] > "${encrypted_name}"; then
    echo "加密失败" >&2
    cleanup "${uuid}"
    exit 1
  fi

  echo "压缩和加密完成: ${encrypted_name}"

  GIT_LFS_SKIP_SMUDGE=1 git clone git@[huggingface仓库地址]
  cd b || exit 1
  mkdir -p "${taskname}"
  mv "../${encrypted_name}" "./${taskname}/${dir_name}${datetime}.bin"
  git add "./${taskname}/${dir_name}${datetime}.bin"
  git commit -m "ADD ${taskname}/${dir_name}${datetime}.bin"
  git push

  cleanup "${uuid}"
}

main() {
  check_ssh_connection
  check_age_command

  docker stop nginx
  backup_and_push /var/html/www  nginx_back
  docker start nginx

}

main "$@"



软件源
2024-10-31T10:19:32.000Z

Debian
通用
cp -a /etc/apt/sources.list /etc/apt/sources.list.bak


sed -i "s@http://ftp.debian.org@https://repo.huaweicloud.com@g" /etc/apt/sources.list
sed -i "s@http://security.debian.org@https://repo.huaweicloud.com@g" /etc/apt/sources.list


sed -i 's/deb.debian.org/repo.huaweicloud.com/g' /etc/apt/sources.list.d/debian.sources

9(archive)
Debian 9 已停止维护，
[trusted=yes] : 忽略 GPG 验证
cat > /etc/apt/sources.list <

Ubuntu
Ubuntu 20-22
cp -a /etc/apt/sources.list /etc/apt/sources.list.back

sed -i "s@http://.*archive.ubuntu.com@http://repo.huaweicloud.com@g" /etc/apt/sources.list 
sed -i "s@http://.*security.ubuntu.com@http://repo.huaweicloud.com@g" /etc/apt/sources.list 

cat > /etc/apt/sources.list <

Ubuntu 24
cp -a /etc/apt/sources.list /etc/apt/sources.list.bak
cp -a /etc/apt/sources.list.d/ubuntu.sources /etc/apt/sources.list.d/ubuntu.sources.bak
sed -i "s@http://.*archive.ubuntu.com@http://repo.huaweicloud.com@g" /etc/apt/sources.list.d/ubuntu.sources
sed -i "s@http://.*security.ubuntu.com@http://repo.huaweicloud.com@g" /etc/apt/sources.list.d/ubuntu.sources


cat > /etc/apt/sources.list.d/ubuntu.sources <

NPM
https://npmmirror.com
npm config set registry https://registry.npmmirror.com

npm config set registry https://repo.huaweicloud.com/repository/npm/

PIP
pip config set global.index-url https://pypi.tuna.tsinghua.edu.cn/simple

pip config set global.index-url https://repo.huaweicloud.com/repository/pypi/simple

conda
conda config --add channels https://mirrors.tuna.tsinghua.edu.cn/anaconda/pkgs/free/ 
conda config --add channels https://mirrors.tuna.tsinghua.edu.cn/anaconda/pkgs/main/ 
conda config --add channels https://mirrors.tuna.tsinghua.edu.cn/anaconda/cloud/conda-forge/ 
conda config --add channels https://mirrors.tuna.tsinghua.edu.cn/anaconda/cloud/bioconda/

Go
export GO111MODULE=on
export GOPROXY=https://repo.huaweicloud.com/repository/goproxy/
export GONOSUMDB=*



单机服务JenkinsCiCD通用实践
2024-07-28T17:42:12.000Z

整理一个自己写的基于Jenkins CICD通用的单体服务的部署剧本
node {
    def commitId
    def outputFile
    git changelog: true,   
        branch: "${params.GIT_BRANCH}",
        url: "https://gitlab.com/demo/oadmin.git"
        commitId = sh(script: "git rev-parse --short HEAD", returnStdout: true).trim()
        def currentTimestamp = new Date().format('yyyy-MM-dd_HH-mm-ss', TimeZone.getTimeZone('Asia/Shanghai'))
        outputFile = "${params.DEPLOY_SERVER}-${BUILD_NUMBER}-${commitId}-${currentTimestamp}"
    
    stage('Build') {
	    // 打包命令
        sh 'export PATH=/var/lib/jenkins/node-v12.14.0/bin:$PATH && npm install && npm run build' 
	    // 保存输出
        sh "mv dist   /${outputFile}"
        // 部署产出脚本
        sh "echo 'ln -snf /www/release/${outputFile} /www/web/latest' > deploy.sh;chmod +x deploy.sh"
    }
    stage('Deploy') {
	    //远程服务器部署ssh密钥
        withCredentials([sshUserPrivateKey(credentialsId: 'jenkins_id_rsa', keyFileVariable: 'SSH_KEY_FILE', passphraseVariable: '', usernameVariable: 'SSH_USER')]) {
            // 上传zip文件
            def remote = [:]
            remote.name = 'remote_server'
            remote.host = "${params.DEPLOY_SERVER}"
            remote.user = SSH_USER
            remote.identityFile  = SSH_KEY_FILE
            remote.allowAnyHosts = true
			// 把outputFile产出文件上传到服务器部署目录下
            sshPut remote: remote, from: "${outputFile}", into: '/www/release'
		    // 生成环境配置二次check
            if ("${params.DEPLOY_SERVER}" == 'prod') {
                input 'Are you sure you want to deploy to production?'
            }
            // 执行部署脚本，传入zip文件名作为参数
            sshScript remote: remote, script: "deploy.sh"
        }
    }
	stage('Archive') {
        // 归档outputFile文件
        archiveArtifacts artifacts: "${outputFile}", fingerprint: true
    }
}




PXE 自动装机报错:  nouveau 0000:06:00.0: fifo: SCHED_ERROR   20[]
2024-04-24T10:19:32.000Z

异常
PXE启动装机后就一直刷这个报错, 对应的关键词是Nouveau, 大概可以判断是和 Nouveau 显卡驱动程序有关

错误原因: 系统上使用 NVIDIA 显卡时, Linux开源社区的Nouveau驱动器可能无法与某些NVIDIA兼容
处理方法
在PXE引导中使用 nomodeset 参数临时禁用新的内核模式设置，阻止 Nouveau 驱动程序的加载。
然后，在系统安装完毕后安装有 NVIDIA 驱动程序。
修改/var/lib/tftpboot/pxelinux.cfg/default 文件, 在末尾添加 nomodeset
LABEL linux
  KERNEL vmlinuz
  #APPEND initrd=initrd.img ks=ftp://myserver/ks.cfg   
  APPEND initrd=initrd.img ks=ftp://myserver/ks.cfg nomodeset



PXE+Kickstart批量装机rocky9
2024-03-24T10:19:32.000Z

PXE自动装机(rocky9)
什么是PXE自动装机
PXE（预启动执行环境）提供了一种使计算机通过网络启动的机制。当系统通过网络启动时，BIOS使用PXE进行引导，然后加载一个提供于网络上的操作系统映像。
什么是Kickstart
PXE并不能决定该安装哪种操作系统、如何安装以及安装过程中的各种设置如何配置。这就是Kickstart文件的作用。Kickstart文件包含了自动安装中所有的配置，例如安装哪些包、如何分割硬盘等。

基础环境
注意! 下文中的pxe_server_ip即为pxe_server_ip   : )
systemctl disable firewalld --now
setenforce 0 # 记得配置持久化

ftp 配置
我们使用 FTP 将操作系统安装介质共享到 PXE 引导客户端。
安装 vsftpd 包并确保启用服务：
yum install vsftpd -y
systemctl enable vsftpd

配置 /etc/vsftpd/vsftpd.conf ：
anonymous_enable=YES
local_enable=NO
write_enable=NO
local_umask=022
dirmessage_enable=YES
xferlog_enable=YES
connect_from_port_20=YES
xferlog_std_format=YES
ftpd_banner=Welcome to homelab FTP service.
listen=YES
listen_ipv6=NO
listen_port=21
pam_service_name=vsftpd
userlist_enable=YES
tcp_wrappers=YES
pasv_enable=YES
pasv_address=pxe_server_ip
pasv_min_port=60000
pasv_max_port=60029

systemctl start vsftpd

安装 tftp-server 软件包并确保启用该服务：
yum install tftp-server -y
systemctl enable tftp && sudo systemctl start tftp

安装介质
下载 Rocky-9.3 ISO 映像。确保下载完整的DVD版本，例如：
# https://dl.rockylinux.org/pub/rocky/9/isos/x86_64/
Download Rocky-9.3-x86_64-dvd.iso

挂载映像并将其内容复制到 FTP 位置：
mkdir -p /mnt/iso /var/ftp/pub/pxe/Rocky-9.3-x86_64
mount Rocky-9.3-x86_64-dvd.iso  /mnt/iso
cp -prv /mnt/iso/* /var/ftp/pub/pxe/Rocky-9.3-x86_64/
umount /mnt/iso

验证：
curl ftp://pxe_server_ip/pub/pxe/Rocky-9.3-x86_64/
drwxr-xr-x    4 0        0              38 Nov 12 08:03 AppStream
drwxrwxr-x    4 0        0              38 Nov 12 22:40 BaseOS
drwxrwxr-x    3 0        0              18 Nov 12 21:32 EFI
-rw-r--r--    1 0        0            2204 Oct 20  2023 LICENSE
drwxrwxr-x    3 0        0              59 Nov 12 21:32 images
drwxrwxr-x    2 0        0             239 Nov 12 21:32 isolinux
-rw-r--r--    1 0        0             101 Nov 12 22:33 media.repo

创建 Kickstart 文件
这是我用于我的 Rocky-9.3-x86_64-dvd.iso 服务器（需要 32GB 磁盘）的 kickstart 文件 /var/ftp/pub/pxe/Rocky-9.3-x86_64.cfg 。
# Use network installation
url --url="ftp://pxe_server_ip/pub/pxe/Rocky-9.3-x86_64/BaseOS/"
repo --name="AppStream" --baseurl="ftp://pxe_server_ip/pub/pxe/Rocky-9.3-x86_64/AppStream/"
# Disable Initial Setup on first boot
firstboot --disable

# Use text mode install
text
# Keyboard layouts
keyboard --vckeymap=gb --xlayouts='gb'
# System language
lang en_GB.UTF-8
# SELinux configuration
selinux --enforcing
# Firewall configuration
firewall --enabled --ssh
# Do not configure the X Window System
skipx

# Network information
# network --bootproto=dhcp --device=ens18 --nameserver=8.8.8.8 --noipv6 --activate
network --bootproto=dhcp --device=ens18  --noipv6 --activate

# System authorisation information
auth --useshadow --passalgo=sha512
# Root password
rootpw pass123
# Root SSH public key
sshkey --username=root "id_rsa.pub文件内容"
# System timezone
timezone Asia/shanghai --utc

ignoredisk --only-use=sda
# System bootloader configuration
bootloader --location=mbr --timeout=1 --boot-drive=sda
# Clear the Master Boot Record
zerombr
# Partition clearing information
clearpart --all --initlabel
# Reboot after installation
reboot

# Disk partitioning information
#autopart --type=lvm
part /boot --fstype="xfs" --ondisk=sda --size=1024 --label=boot --asprimary --fsoptions="rw,nodev,noexec,nosuid"
part pv.01 --fstype="lvmpv" --ondisk=sda --size=31743
volgroup vg_os pv.01

# 根据需求配置分区
# logvol /home  --fstype="xfs" --size=1024 --label="lv_tmp" --name=lv_tmp --vgname=vg_os --fsoptions="rw,nodev,noexec,nosuid"
logvol /  --fstype="xfs" --size=31743 --label="lv_root" --name=lv_root --vgname=vg_os

%packages
# dnf group info minimal-environment
@^minimal-environment
sudo
qemu-guest-agent
openssh-server
# Alsa not needed in a VM
-alsa*
# Microcode updates cannot work in a VM
-microcode_ctl
# Firmware packages are not needed in a VM
-iwl*firmware
# Don't build rescue initramfs
-dracut-config-rescue
-plymouth
%end

%addon com_redhat_kdump --disable --reserve-mb='auto'
%end

%post 
sed -i 's/^.*requiretty/#Defaults requiretty/' /etc/sudoers
sed -i 's/rhgb //' /etc/default/grub
# SSHD PermitRootLogin and enable the service
sed -i "s/#PermitRootLogin prohibit-password/PermitRootLogin yes/g" /etc/ssh/sshd_config
/usr/bin/systemctl enable sshd
# Update all packages
# /usr/bin/yum -y update

# 其他需要执行的脚本
%end

复制内容并将其另存为 /var/ftp/pub/pxe/Rocky-9.3-x86_64.cfg
安装 Syslinux
Syslinux 项目涵盖了用于网络引导的轻量级引导加载程序 （PXELINUX） 等。
安装 syslinux 软件包：
yum install syslinux -y

将 syslinux 引导加载程序复制到 tftp 服务器的引导目录：
cp -prv /usr/share/syslinux/* /var/lib/tftpboot/

将 Rocky-9.3-x86_64-dvd.iso 安装介质复制 initrd.img 到 vmlinuz /var/lib/tftpboot/networkboot/Rocky-9.3-x86_64/ ：
mkdir -p /var/lib/tftpboot/networkboot/Rocky-9.3-x86_64
cp -pv /var/ftp/pub/pxe/Rocky-9.3-x86_64/images/pxeboot/{initrd.img,vmlinuz} /var/lib/tftpboot/networkboot/Rocky-9.3-x86_64/

创建 PXE 配置目录：
mkdir -p /var/lib/tftpboot/pxelinux.cfg

创建 /var/lib/tftpboot/pxelinux.cfg/default 包含以下内容的 PXE 启动配置文件：
# vim /var/lib/tftpboot/pxelinux.cfg/default
default menu.c32
prompt 0
timeout 50
menu title Homelab PXE Menu
label Install Rocky Linux 9 Server
  kernel /networkboot/Rocky-9.3-x86_64/vmlinuz
  append initrd=/networkboot/Rocky-9.3-x86_64/initrd.img inst.repo=ftp://pxe_server_ip/pub/pxe/Rocky-9.3-x86_64/ inst.ks=ftp://pxe_server_ip/pub/pxe/Rocky-9.3-x86_64.cfg

dhcp配置
yum install dhcpd -y 

vim /etc/dhcp/dhcpd.conf
ddns-update-style interim;

allow booting;
allow bootp;

ignore client-updates;
set vendorclass = option vendor-class-identifier;

option pxe-system-type code 93 = unsigned integer 16;

subnet 192.168.0.0 netmask 255.255.255.0 {
     option routers             pxe_server_ip;
     option domain-name-servers pxe_server_ip;
     option subnet-mask         255.255.255.0;
     range dynamic-bootp        192.168.0.150 192.168.0.200;
     default-lease-time         21600;
     max-lease-time             43200;
     next-server                pxe_server_ip;
     filename "pxelinux.0";

}

# group for Cobbler DHCP tag: default
group {
}

接下来就是用网线, 把pxeserver + server接通然后, 把server从Network启动即可



ChatGPT 文本Embedding融合Qdrant向量数据库  ：构建智能问答系统的技术探索
2023-12-03T01:15:12.000Z

前言
什么是向量数据库?
    种特殊类型的数据库，它专门用于存储和查询向量数据。
    在向量数据库中，数据以向量的形式进行表示和存储。这些向量可以是数学空间中的点，用于表示各种数据类型，如图像、文本、音频等。向量数据库的设计旨在有效地支持相似性搜索和查询，使得可以快速找到在向量空间中相邻或相似的数据项。
向量数据库结合ChatGPT带来了什么

语义搜索： 使用向量数据库进行语义搜索，可以更准确地找到与查询相关的信息。ChatGPT可以理解用户的自然语言查询，而向量数据库可以根据语义相似性返回匹配的向量数据。
智能推荐： 结合ChatGPT的智能理解和向量数据库的相似性搜索，可以实现更智能的推荐系统。系统可以根据用户的历史行为和语境，向用户推荐相似的向量数据，如文章、产品或其他内容。
自然语言处理与向量表示结合： ChatGPT可以将自然语言转换为向量表示，这样就可以在向量数据库中进行更高效的查询。这种集成使得自然语言处理和向量数据库可以相互补充，提高整体系统的性能。

Qdrant
感谢ChatGPT对本文创作的大力支持

简介
Qdrant “是一个矢量相似性搜索引擎，它提供了一种生产就绪的服务，具有方便的应用程序接口，可以存储、搜索和管理带有附加有效载荷的点（即矢量）“。您可以将有效载荷视为附加信息，它可以帮助您调整搜索，还可以接收有用的信息提供给用户。(译至[官方文档](What is Qdrant? - Qdrant)
部署
采用最简单的Docker部署方法, 生产最佳实践请参考[官方文档](Interfaces - Qdrant)
docker run -itd --name dev-qdrant -p 6333:6333 \
       -v $(pwd)/qdrant_storage:/qdrant/storage \
       qdrant/qdrant

http://ip:6333/dashboard
向量结合OpenAI
文本量化后入库
pip install openai==0.28 qdrant_client

demo.txt 测试数据
# 创建 collection
from qdrant_client import QdrantClient
from qdrant_client.http.models import PointStruct
from qdrant_client.http.models import Distance, VectorParams

qdrant_client = QdrantClient("10.110.150.64", port=6333)
qdrant_client.recreate_collection(
    collection_name="demo_qa",
    vectors_config=VectorParams(size=1536, distance=Distance.COSINE),
)
print("Create collection reponse:", qdrant_client)

import openai

openai.api_key = 'sk-**********'

# 读取测试数据
with open('demo.txt', 'r') as f:
    t = ''
    for line in f:
        if '## ' in line: # 根据##判断数据开头
            # 问题开头
            if t != '':
                chunks.append(t)
            t = line
            
        else:
            t = t + line
            
points = []
i = 1
for chunk in chunks:
    print("Embeddings chunk:", chunk)
    
    # 使用OpenAI Embedding 方法, 将数据 量化
    response = openai.Embedding.create(
        input=chunk,
        model="text-embedding-ada-002"
    )
    embeddings = response['data'][0]['embedding']
    
    # 转换为points
    points.append(PointStruct(
        id=i, vector=embeddings, payload={"text": chunk}))
    i += 1
#    time.sleep(21)


# 存入 qdrant
operation_info = qdrant_client.upsert(
    collection_name="demo_qa",
    wait=True,
    points=points
)


结合OpenAI
def func_input(query):
    response = openai.Embedding.create(
        input=query,
        model="text-embedding-ada-002"
    ) # 将问题 embedding
    
    #  获取问题的 embedding
    embeddings = response['data'][0]['embedding']
    
    print(f"embeddings: {embeddings}")
    search_result = qdrant_client.search(
        collection_name="demo_qa",
        query_vector=embeddings,
        limit=5
    )
    print('search_result:', search_result)

    prompt = "Context:\n"
    for result in search_result:
        prompt += result.payload['text'] + "\n---\n"
    prompt += "Question:" + query + "\n---\n" + "Answer:"
    print(f"Prompt: {prompt}")

    completion = openai.ChatCompletion.create(
        model="gpt-3.5-turbo",
        messages=[
            {"role": "user", "content": prompt}
        ]
    )

    rsp = completion.choices[0].message.content
    print("Answer:", rsp)
    return rsp

func_input("initialDelaySeconds是什么意思")

Demo 输出
embeddings: [-0.016704577952623367, -0.0220100749284029, 0.003106601070612669, -0.009006679989397526, -0.02137679234147072, 0.005759350024163723, -0.014495125971734524, 0.020476125180721283, 0.004974783398211002, 0.00020097914966754615, 0.012862665578722954, 0.0230936910957098, -0.011610173620283604, -0.002862083725631237, -0.010808016173541546, 0.00642429618164897, 0.02018059231340885, ...这是一个 1536 维的向量, 人类不可读, 这里直接忽略...-0.014269959181547165, 0.0006161308265291154]

# 通过问题的向量, 在qdrant查询结果
search_result: [ScoredPoint(id=2, version=0, score=0.81478095, payload={'text': '## 简述Kubernetes相关基础概念?\n\n答：\n\n**master：**\n\nk8s集群的管理节点，负责管理集群，提供集群的资源数据访问入口。拥有Etcd存储服务（可选），运行Api Server进程，Controller Manager服务进程及Scheduler服务进程；\n\n**node（worker）：**\n\nNode（worker）是Kubernetes集群架构中运行Pod的服务节点，是Kubernetes集群操作的单元，用来承载被分配Pod的运行，是Pod运行的宿主机。运行docker eninge服务，守护进程kunelet及负载均衡器kube-proxy；\n\n**pod：**\n\n运行于Node节点上，若干相关容器的组合。Pod内包含的容器运行在同一宿主机上，使用相同的网络命名空间、IP地址和端口，能够通过localhost进行通信。Pod是Kurbernetes进行创建、调度和管理的最小单位，它提供了比容器更高层次的抽象，使得部署和管理更加灵活。一个Pod可以包含一个容器或者多个相关容器；\n\n**label：**\n\nKubernetes中的Label实质是一系列的Key/Value键值对，其中key与value可自定义。Label可以附加到各种资源对象上，如Node、Pod、Service、RC等。一个资源对象可以定义任意数量的Label，同一个Label也可以被添加到任意数量的资源对象上去。Kubernetes通过Label Selector（标签选择器）查询和筛选资源对象；\n\n**Replication Controller：**\n\nReplication Controller用来管理Pod的副本，保证集群中存在指定数量的Pod副本。\n\n集群中副本的数量大于指定数量，则会停止指定数量之外的多余容器数量。反之，则会启动少于指定数量个数的容器，保证数量不变。\n\nReplication Controller是实现弹性伸缩、动态扩容和滚动升级的核心；\n\n**Deployment：**\n\nDeployment在内部使用了RS来实现目的，Deployment相当于RC的一次升级，其最大的特色为可以随时获知当前Pod的部署进度；\n\n**HPA（Horizontal Pod Autoscaler）：**\n\nPod的横向自动扩容，也是Kubernetes的一种资源，通过追踪分析RC控制的所有Pod目标的负载变化情况，来确定是否需要针对性的调整Pod副本数量；\n\n**Service：**\n\nService定义了Pod的逻辑集合和访问该集合的策略，是真实服务的抽象。\n\nService提供了一个统一的服务访问入口以及服务代理和发现机制，关联多个相同Label的Pod，用户不需要了解后台Pod是如何运行；\n\n**Volume：**\n\nVolume是Pod中能够被多个容器访问的共享目录，Kubernetes中的Volume是定义在Pod上，可以被一个或多个Pod中的容器挂载到某个目录下；\n\n**Namespace：**\n\nNamespace用于实现多租户的资源隔离，可将集群内部的资源对象分配到不同的Namespace中，形成逻辑上的不同项目、小组或用户组，便于不同的Namespace在共享使用整个集群的资源的同时还能被分别管理；\n\n'}, vector=None), ScoredPoint(id=1, version=0, score=0.79995704, payload={'text': '## k8s的组件有哪些，作用分别是什么？\n\nk8s主要由master节点和node节点构成。\n\nmaster节点负责管理集群，node节点是容器应用真正运行的地方。\n\nmaster节点包含的组件有：kube-api-server、kube-controller-manager、kube-scheduler、etcd。\n\nnode节点包含的组件有：kubelet、kube-proxy、container-runtime。\n\n**kube-api-server：**\n\n以下简称api-server，api-server是k8s最重要的核心组件之一，它是k8s集群管理的统一访问入口，提供了RESTful API接口, 实现了认证、授权和准入控制等安全功能；api-server还是其他组件之间的数据交互和通信的枢纽，其他组件彼此之间并不会直接通信，其他组件对资源对象的增、删、改、查和监听操作都是交由api-server处理后，api-server再提交给etcd数据库做持久化存储，只有api-server才能直接操作etcd数据库，其他组件都不能直接操作etcd数据库，其他组件都是通过api-server间接的读取，写入数据到etcd。\n\n**kube-controller-manager：**\n\n以下简称controller-manager，controller-manager是k8s中各种控制器的的管理者，是k8s集群内部的管理控制中心，也是k8s自动化功能的核心；controller-manager内部包含replication controller、node controller、deployment controller、endpoint controller等各种资源对象的控制器，每种控制器都负责一种特定资源的控制流程，而controller-manager正是这些controller的核心管理者。\n\n**kube-scheduler：**\n\n以下简称scheduler，scheduler负责集群资源调度，其作用是将待调度的pod通过一系列复杂的调度算法计算出最合适的node节点，然后将pod绑定到目标节点上。shceduler会根据pod的信息，全部节点信息列表，过滤掉不符合要求的节点，过滤出一批候选节点，然后给候选节点打分，选分最高的就是最佳节点，scheduler就会把目标pod安置到该节点。\n\n**Etcd：**\n\netcd是一个分布式的键值对存储数据库，主要是用于保存k8s集群状态数据，比如，pod，service等资源对象的信息；etcd可以是单个也可以有多个，多个就是etcd数据库集群，etcd通常部署奇数个实例，在大规模集群中，etcd有5个或7个节点就足够了；另外说明一点，etcd本质上可以不与master节点部署在一起，只要master节点能通过网络连接etcd数据库即可。\n\n**kubelet：**\n\n每个node节点上都有一个kubelet服务进程，kubelet作为连接master和各node之间的桥梁，负责维护pod和容器的生命周期，当监听到master下发到本节点的任务时，比如创建、更新、终止pod等任务，kubelet 即通过控制docker来创建、更新、销毁容器；\n每个kubelet进程都会在api-server上注册本节点自身的信息，用于定期向master汇报本节点资源的使用情况。\n\n**kube-proxy：**\n\nkube-proxy运行在node节点上，在Node节点上实现Pod网络代理，维护网络规则和四层负载均衡工作，kube-proxy会监听api-server中从而获取service和endpoint的变化情况，创建并维护路由规则以提供服务IP和负载均衡功能。简单理解此进程是Service的透明代理兼负载均衡器，其核心功能是将到某个Service的访问请求转发到后端的多个Pod实例上。\n\ncontainer-runtime：容器运行时环境，即运行容器所需要的一系列程序，目前k8s支持的容器运行时有很多，如docker、rkt或其他，比较受欢迎的是docker，但是新版的k8s已经宣布弃用docker。\n\n'}, vector=None)]

# qdrant rsp + query 构造的Prompt
Prompt: Context:
## 简述Kubernetes相关基础概念?

答：

**master：**

k8s集群的管理节点，负责管理集群，提供集群的资源数据访问入口。拥有Etcd存储服务（可选），运行Api Server进程，Controller Manager服务进程及Scheduler服务进程；

**node（worker）：**

Node（worker）是Kubernetes集群架构中运行Pod的服务节点，是Kubernetes集群操作的单元，用来承载被分配Pod的运行，是Pod运行的宿主机。运行docker eninge服务，守护进程kunelet及负载均衡器kube-proxy；

**pod：**

运行于Node节点上，若干相关容器的组合。Pod内包含的容器运行在同一宿主机上，使用相同的网络命名空间、IP地址和端口，能够通过localhost进行通信。Pod是Kurbernetes进行创建、调度和管理的最小单位，它提供了比容器更高层次的抽象，使得部署和管理更加灵活。一个Pod可以包含一个容器或者多个相关容器；

**label：**

Kubernetes中的Label实质是一系列的Key/Value键值对，其中key与value可自定义。Label可以附加到各种资源对象上，如Node、Pod、Service、RC等。一个资源对象可以定义任意数量的Label，同一个Label也可以被添加到任意数量的资源对象上去。Kubernetes通过Label Selector（标签选择器）查询和筛选资源对象；

**Replication Controller：**

Replication Controller用来管理Pod的副本，保证集群中存在指定数量的Pod副本。

集群中副本的数量大于指定数量，则会停止指定数量之外的多余容器数量。反之，则会启动少于指定数量个数的容器，保证数量不变。

Replication Controller是实现弹性伸缩、动态扩容和滚动升级的核心；

**Deployment：**

Deployment在内部使用了RS来实现目的，Deployment相当于RC的一次升级，其最大的特色为可以随时获知当前Pod的部署进度；

**HPA（Horizontal Pod Autoscaler）：**

Pod的横向自动扩容，也是Kubernetes的一种资源，通过追踪分析RC控制的所有Pod目标的负载变化情况，来确定是否需要针对性的调整Pod副本数量；

**Service：**

Service定义了Pod的逻辑集合和访问该集合的策略，是真实服务的抽象。

Service提供了一个统一的服务访问入口以及服务代理和发现机制，关联多个相同Label的Pod，用户不需要了解后台Pod是如何运行；

**Volume：**

Volume是Pod中能够被多个容器访问的共享目录，Kubernetes中的Volume是定义在Pod上，可以被一个或多个Pod中的容器挂载到某个目录下；

**Namespace：**

Namespace用于实现多租户的资源隔离，可将集群内部的资源对象分配到不同的Namespace中，形成逻辑上的不同项目、小组或用户组，便于不同的Namespace在共享使用整个集群的资源的同时还能被分别管理；


---
## k8s的组件有哪些，作用分别是什么？

k8s主要由master节点和node节点构成。

master节点负责管理集群，node节点是容器应用真正运行的地方。

master节点包含的组件有：kube-api-server、kube-controller-manager、kube-scheduler、etcd。

node节点包含的组件有：kubelet、kube-proxy、container-runtime。

**kube-api-server：**

以下简称api-server，api-server是k8s最重要的核心组件之一，它是k8s集群管理的统一访问入口，提供了RESTful API接口, 实现了认证、授权和准入控制等安全功能；api-server还是其他组件之间的数据交互和通信的枢纽，其他组件彼此之间并不会直接通信，其他组件对资源对象的增、删、改、查和监听操作都是交由api-server处理后，api-server再提交给etcd数据库做持久化存储，只有api-server才能直接操作etcd数据库，其他组件都不能直接操作etcd数据库，其他组件都是通过api-server间接的读取，写入数据到etcd。

**kube-controller-manager：**

以下简称controller-manager，controller-manager是k8s中各种控制器的的管理者，是k8s集群内部的管理控制中心，也是k8s自动化功能的核心；controller-manager内部包含replication controller、node controller、deployment controller、endpoint controller等各种资源对象的控制器，每种控制器都负责一种特定资源的控制流程，而controller-manager正是这些controller的核心管理者。

**kube-scheduler：**

以下简称scheduler，scheduler负责集群资源调度，其作用是将待调度的pod通过一系列复杂的调度算法计算出最合适的node节点，然后将pod绑定到目标节点上。shceduler会根据pod的信息，全部节点信息列表，过滤掉不符合要求的节点，过滤出一批候选节点，然后给候选节点打分，选分最高的就是最佳节点，scheduler就会把目标pod安置到该节点。

**Etcd：**

etcd是一个分布式的键值对存储数据库，主要是用于保存k8s集群状态数据，比如，pod，service等资源对象的信息；etcd可以是单个也可以有多个，多个就是etcd数据库集群，etcd通常部署奇数个实例，在大规模集群中，etcd有5个或7个节点就足够了；另外说明一点，etcd本质上可以不与master节点部署在一起，只要master节点能通过网络连接etcd数据库即可。

**kubelet：**

每个node节点上都有一个kubelet服务进程，kubelet作为连接master和各node之间的桥梁，负责维护pod和容器的生命周期，当监听到master下发到本节点的任务时，比如创建、更新、终止pod等任务，kubelet 即通过控制docker来创建、更新、销毁容器；
每个kubelet进程都会在api-server上注册本节点自身的信息，用于定期向master汇报本节点资源的使用情况。

**kube-proxy：**

kube-proxy运行在node节点上，在Node节点上实现Pod网络代理，维护网络规则和四层负载均衡工作，kube-proxy会监听api-server中从而获取service和endpoint的变化情况，创建并维护路由规则以提供服务IP和负载均衡功能。简单理解此进程是Service的透明代理兼负载均衡器，其核心功能是将到某个Service的访问请求转发到后端的多个Pod实例上。

container-runtime：容器运行时环境，即运行容器所需要的一系列程序，目前k8s支持的容器运行时有很多，如docker、rkt或其他，比较受欢迎的是docker，但是新版的k8s已经宣布弃用docker。


---
Question:replication controller是什么
---

# OpenAI润色后结果
Answer: Replication Controller是Kubernetes中用于管理Pod副本数量的资源对象。它确保在集群中运行指定数量的Pod副本，并且会自动处理Pod的创建、删除和故障恢复等操作。当Pod的数量少于指定数量时，Replication Controller会自动创建新的Pod，反之，当Pod的数量多于指定数量时，Replication Controller会自动删除多余的Pod。通过Replication Controller，可以实现Pod的弹性伸缩、动态扩容和滚动升级等功能。



Debian 部署 wireguard
2022-11-21T12:11:22.000Z

环境





















设备 说明
Debian9 4.9 内核 vulrt 日本服务器 部署 wireguard 程序
OpenWrt x86 64 内网网关
Windows10 内网设备
部署 wireguard 服务器
配置 wireguard 软件源, 并且安装 wireguard 程序

apt-get install wireguard wireguard-tools 

# --> 准备工作目录
cd  /etc/wireguard/

生成双端秘钥
mkdir server;wg genkey | tee server/privatekey | wg pubkey > server/publickey	
mkdir client;wg genkey | tee client/privatekey | wg pubkey > client/publickey

创建配置文件

cat > wg0.conf  <<-EOF
[Interface]
Address = 172.16.220.1/24	
SaveConfig = false
PostUp = (echo 1 > /proc/sys/net/ipv4/ip_forward);iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o  ens5  -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens5 -j MASQUERADE
ListenPort = 12138
PrivateKey = `cat server/privatekey`

[Peer]  #Client 
PublicKey = `cat client/publickey`
AllowedIPs = 172.16.220.2/32
EOF

cat > client.conf <<-EOF
[Interface]
PrivateKey = `cat client/privatekey`
Address = 172.16.220.2/24
DNS = 8.8.8.8
MTU = 1420

[Peer]
PublicKey = `cat server/publickey`
# AllowedIPs = 0.0.0.0/0      # 全部路由都走server
AllowedIPs = 172.16.220.0/24  # wireguard虚拟网段互通
Endpoint = 	net200.mooo.com:12138
PersistentKeepalive = 25
EOF
qrencode -t ansiutf8 < client.conf

# 生成二维码
qrencode -t ansiutf8 < client.conf

多个client 就创建多个client peer配置就行了
进阶玩法
wireguard 双端内网互通








































主机 ip wg ip 内部网段 作用
ServerA 172.21.161.34 172.16.220.1 172.21.161.34/20 公网服务器, 部署wg服务端
ClientB 192.168.2.142 172.16.220.3 192.168.2.0/24 内网服务器, 部署wg客户端
ClientC 192.168.2.102 无 192.168.2.0/24 内网服务器
目标是让ServerA 能够直接访问 ClientC的192.168.2.102 ip 
ServerA配置

# 把server的配置改为本机的ip
# AllowedIPs = 172.16.220.3/32,192.168.2.0/24 
AllowedIPs = 192.168.2.0/24

 ip route add 172.21.161.34/32 via 192.168.2.142

# 允许所有流量转发（从192.168.2.0/24到其他网络）
sudo iptables -A FORWARD -d 192.168.2.0/24 -j ACCEPT

# 允许 NAT 转换，确保源地址在路由转发后是正确的
sudo iptables -t nat -A POSTROUTING -s 172.21.161.34/32 -d 192.168.2.0/24 -j MASQUERADE



Rocky9.2 部署高可用K8S + containerd集群
2019-07-01T00:00:00.000Z

系统环境
[root@localhost ~]# cat /etc/redhat-release 
Rocky Linux release 9.2 (Blue Onyx)
[root@localhost ~]# uname -a 
Linux localhost 5.14.0-284.11.1.el9_2.x86_64 #1 SMP PREEMPT_DYNAMIC Tue May 9 17:09:15 UTC 2023 x86_64 x86_64 x86_64 GNU/Linux

安装工具
yum install epel-release -y 
yum clean all   
yum makecache 
yum install tmux net-tools vnstat htop nvtop wget proxychains-ng vim git  epel-release -y 

配置系统环境
配置时间同步
yum install chrony -y
cp /etc/chrony.conf /etc/chrony.conf.bak

cat < /etc/chrony.conf
server ntp.tuna.tsinghua.edu.cn iburst
server time1.cloud.tencent.com   iburst
server ntp.aliyun.com iburst
keyfile /etc/chrony.keys
ntsdumpdir /var/lib/chrony
leapsectz right/UTC
logdir /var/log/chrony
EOF


timedatectl set-timezone Asia/Shanghai
timedatectl
systemctl enable chronyd
systemctl restart chronyd
chronyc sources
chronyc -a makestep

关闭SELinux
setenforce 0 
sed -i 's/SELINUX=enforcing/SELINUX=disabled/' /etc/selinux/config 

关闭防火墙
systemctl stop firewalld 
systemctl disable firewalld 

关闭swap
swapoff -a 
sed -i '/swap/d' /etc/fstab 

优化内核参数
cp -a /etc/sysctl.conf /etc/sysctl.conf.bak

cat << EOF >  /etc/sysctl.conf
# https://www.kernel.org/doc/Documentation/sysctl/
#############################################################################################
# 调整虚拟内存
#############################################################################################

# Default: 30
# 0 - 任何情况下都不使用swap。
# 1 - 除非内存不足（OOM），否则不使用swap。
vm.swappiness = 0

# 内存分配策略
#0 - 表示内核将检查是否有足够的可用内存供应用进程使用；如果有足够的可用内存，内存申请允许；否则，内存申请失败，并把错误返回给应用进程。
#1 - 表示内核允许分配所有的物理内存，而不管当前的内存状态如何。
#2 - 表示内核允许分配超过所有物理内存和交换空间总和的内存
vm.overcommit_memory=1

# OOM时处理
# 1关闭，等于0时，表示当内存耗尽时，内核会触发OOM killer杀掉最耗内存的进程。
vm.panic_on_oom=0

# vm.dirty_background_ratio 用于调整内核如何处理必须刷新到磁盘的脏页。
# Default value is 10.
# 该值是系统内存总量的百分比，在许多情况下将此值设置为5是合适的。
# 此设置不应设置为零。
vm.dirty_background_ratio = 5

# 内核强制同步操作将其刷新到磁盘之前允许的脏页总数
# 也可以通过更改 vm.dirty_ratio 的值（将其增加到默认值30以上（也占系统内存的百分比））来增加
# 推荐 vm.dirty_ratio 的值在60到80之间。
vm.dirty_ratio = 60

# vm.max_map_count 计算当前的内存映射文件数。
# mmap 限制（vm.max_map_count）的最小值是打开文件的ulimit数量（cat /proc/sys/fs/file-max）。
# 每128KB系统内存 map_count应该大约为1。 因此，在32GB系统上，max_map_count为262144。
# Default: 65530
vm.max_map_count = 2097152

#############################################################################################
# 调整文件
#############################################################################################

fs.may_detach_mounts = 1

# 增加文件句柄和inode缓存的大小，并限制核心转储。
fs.file-max = 2097152
fs.nr_open = 2097152
fs.suid_dumpable = 0

# 文件监控
fs.inotify.max_user_instances=8192
fs.inotify.max_user_watches=524288
fs.inotify.max_queued_events=16384

#############################################################################################
# 调整网络设置
#############################################################################################

# 为每个套接字的发送和接收缓冲区分配的默认内存量。
net.core.wmem_default = 25165824
net.core.rmem_default = 25165824

# 为每个套接字的发送和接收缓冲区分配的最大内存量。
net.core.wmem_max = 25165824
net.core.rmem_max = 25165824

# 除了套接字设置外，发送和接收缓冲区的大小
# 必须使用net.ipv4.tcp_wmem和net.ipv4.tcp_rmem参数分别设置TCP套接字。
# 使用三个以空格分隔的整数设置这些整数，分别指定最小，默认和最大大小。
# 最大大小不能大于使用net.core.wmem_max和net.core.rmem_max为所有套接字指定的值。
# 合理的设置是最小4KiB，默认64KiB和最大2MiB缓冲区。
net.ipv4.tcp_wmem = 20480 12582912 25165824
net.ipv4.tcp_rmem = 20480 12582912 25165824

# 增加最大可分配的总缓冲区空间
# 以页为单位（4096字节）进行度量
net.ipv4.tcp_mem = 65536 25165824 262144
net.ipv4.udp_mem = 65536 25165824 262144

# 为每个套接字的发送和接收缓冲区分配的最小内存量。
net.ipv4.udp_wmem_min = 16384
net.ipv4.udp_rmem_min = 16384

# 启用TCP窗口缩放，客户端可以更有效地传输数据，并允许在代理方缓冲该数据。
net.ipv4.tcp_window_scaling = 1

# 提高同时接受连接数。
net.ipv4.tcp_max_syn_backlog = 10240

# 将net.core.netdev_max_backlog的值增加到大于默认值1000
# 可以帮助突发网络流量，特别是在使用数千兆位网络连接速度时，
# 通过允许更多的数据包排队等待内核处理它们。
net.core.netdev_max_backlog = 65536

# 增加选项内存缓冲区的最大数量
net.core.optmem_max = 25165824

# 被动TCP连接的SYNACK次数。
net.ipv4.tcp_synack_retries = 2

# 允许的本地端口范围。
net.ipv4.ip_local_port_range = 2048 65535

# 防止TCP时间等待
# Default: net.ipv4.tcp_rfc1337 = 0
net.ipv4.tcp_rfc1337 = 1

# 减少tcp_fin_timeout连接的时间默认值
net.ipv4.tcp_fin_timeout = 15

# 积压套接字的最大数量。
# Default is 128.
net.core.somaxconn = 32768

# 打开syncookies以进行SYN洪水攻击保护。
net.ipv4.tcp_syncookies = 1

# 避免Smurf攻击
# 发送伪装的ICMP数据包，目的地址设为某个网络的广播地址，源地址设为要攻击的目的主机，
# 使所有收到此ICMP数据包的主机都将对目的主机发出一个回应，使被攻击主机在某一段时间内收到成千上万的数据包
net.ipv4.icmp_echo_ignore_broadcasts = 1

# 为icmp错误消息打开保护
net.ipv4.icmp_ignore_bogus_error_responses = 1

# 启用自动缩放窗口。
# 如果延迟证明合理，这将允许TCP缓冲区超过其通常的最大值64K。
net.ipv4.tcp_window_scaling = 1

# 打开并记录欺骗，源路由和重定向数据包
net.ipv4.conf.all.log_martians = 1
net.ipv4.conf.default.log_martians = 1

# 告诉内核有多少个未附加的TCP套接字维护用户文件句柄。 万一超过这个数字，
# 孤立的连接会立即重置，并显示警告。
# Default: net.ipv4.tcp_max_orphans = 65536
net.ipv4.tcp_max_orphans = 65536

# 不要在关闭连接时缓存指标
net.ipv4.tcp_no_metrics_save = 1

# 启用RFC1323中定义的时间戳记：
# Default: net.ipv4.tcp_timestamps = 1
net.ipv4.tcp_timestamps = 1

# 启用选择确认。
# Default: net.ipv4.tcp_sack = 1
net.ipv4.tcp_sack = 1

# 增加 tcp-time-wait 存储桶池大小，以防止简单的DOS攻击。
# net.ipv4.tcp_tw_recycle 已从Linux 4.12中删除。请改用net.ipv4.tcp_tw_reuse。
net.ipv4.tcp_max_tw_buckets = 14400
net.ipv4.tcp_tw_reuse = 1

# accept_source_route 选项使网络接口接受设置了严格源路由（SSR）或松散源路由（LSR）选项的数据包。
# 以下设置将丢弃设置了SSR或LSR选项的数据包。
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.default.accept_source_route = 0

# 打开反向路径过滤
net.ipv4.conf.all.rp_filter = 1
net.ipv4.conf.default.rp_filter = 1

# 禁用ICMP重定向接受
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0

# 禁止发送所有IPv4 ICMP重定向数据包。
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.send_redirects = 0

# 开启IP转发.
net.ipv4.ip_forward = 1

# 禁止IPv6
net.ipv6.conf.lo.disable_ipv6=1
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1

# 要求iptables不对bridge的数据进行处理
net.bridge.bridge-nf-call-ip6tables = 1
net.bridge.bridge-nf-call-iptables = 1
net.bridge.bridge-nf-call-arptables = 1

# arp缓存
# 存在于 ARP 高速缓存中的最少层数，如果少于这个数，垃圾收集器将不会运行。缺省值是 128
net.ipv4.neigh.default.gc_thresh1=2048
# 保存在 ARP 高速缓存中的最多的记录软限制。垃圾收集器在开始收集前，允许记录数超过这个数字 5 秒。缺省值是 512
net.ipv4.neigh.default.gc_thresh2=4096
# 保存在 ARP 高速缓存中的最多记录的硬限制，一旦高速缓存中的数目高于此，垃圾收集器将马上运行。缺省值是 1024
net.ipv4.neigh.default.gc_thresh3=8192

# 持久连接
net.ipv4.tcp_keepalive_time = 600
net.ipv4.tcp_keepalive_intvl = 30
net.ipv4.tcp_keepalive_probes = 10

# conntrack表
net.nf_conntrack_max=1048576
net.netfilter.nf_conntrack_max=1048576
net.netfilter.nf_conntrack_buckets=262144
net.netfilter.nf_conntrack_tcp_timeout_fin_wait=30
net.netfilter.nf_conntrack_tcp_timeout_time_wait=30
net.netfilter.nf_conntrack_tcp_timeout_close_wait=15
net.netfilter.nf_conntrack_tcp_timeout_established=300

#############################################################################################
# 调整内核参数
#############################################################################################

# 地址空间布局随机化（ASLR）是一种用于操作系统的内存保护过程，可防止缓冲区溢出攻击。
# 这有助于确保与系统上正在运行的进程相关联的内存地址不可预测，
# 因此，与这些流程相关的缺陷或漏洞将更加难以利用。
# Accepted values: 0 = 关闭, 1 = 保守随机化, 2 = 完全随机化
kernel.randomize_va_space = 2

# 调高 PID 数量
kernel.pid_max = 65536
kernel.threads-max=30938

# coredump
kernel.core_pattern=core

# 决定了检测到soft lockup时是否自动panic，缺省值是0
kernel.softlockup_all_cpu_backtrace=1
kernel.softlockup_panic=1
EOF

sysctl -p

优化系统参数
cp /etc/security/limits.conf /etc/security/limits.conf.bak

cat <> /etc/security/limits.conf
* soft nofile 65536
* hard nofile 65536
EOF

配置hosts
cat <> /etc/hosts
192.168.153.48 k8s-master-48
192.168.153.42 k8s-master-42
192.168.153.82 k8s-master-82
EOF

配置hostname
ipseg="192.168"
ip4=$(ip a | grep $ipseg | awk '{print $2}' | cut -d '/' -f 1 | awk -F '.' '{print $NF}')
hostnamectl set-hostname k8s-master-${ip4}


ip4=$(ip a | grep $ipseg | awk '{print $2}' | cut -d '/' -f 1 | awk -F '.' '{print $NF}')
hostnamectl set-hostname k8s-worker-${ip4}

配置ipvs
yum install ipvsadm ipset  bridge-utils -y


cat <> /etc/modules-load.d/bridge.conf
ip_vs
ip_vs_rr
ip_vs_wrr
ip_vs_sh
nf_conntrack
br_netfilter
EOF


modprobe ip_vs
modprobe ip_vs_rr
modprobe ip_vs_wrr
modprobe ip_vs_sh
modprobe nf_conntrack
modprobe br_netfilter

配置Docker
Docker和containerd 二选一就行
curl -SsL get.docker.com  | bash -s docker --mirror Aliyun

wget https://github.com/Mirantis/cri-dockerd/releases/download/v0.3.16/cri-dockerd-0.3.16.amd64.tgz
tar -xf cri-dockerd-0.3.16.amd64.tgz 
mv cri-dockerd/cri-dockerd /usr/local/bin/


wget https://raw.githubusercontent.com/Mirantis/cri-dockerd/master/packaging/systemd/cri-docker.socket
wget  https://raw.githubusercontent.com/Mirantis/cri-dockerd/master/packaging/systemd/cri-docker.service
mv cri-docker.socket cri-docker.service /etc/systemd/system/

sed -i -e 's,/usr/bin/cri-dockerd,/usr/local/bin/cri-dockerd,' /etc/systemd/system/cri-docker.service

systemctl enable cri-docker.service
systemctl enable --now cri-docker.socket
systemctl restart  cri-docker.socket

部署containerd
二进制方式安装
mkdir /opt/src
cd /opt/src

# 下载containerd
wget https://github.com/containerd/containerd/releases/download/v2.0.4/containerd-2.0.4-linux-amd64.tar.gz
tar -C /usr/local -xzvf containerd-2.0.4-linux-amd64.tar.gz

mkdir /etc/containerd ;containerd  config default > /etc/containerd/config.toml


# /etc/systemd/system/containerd.service
cat <>  /etc/systemd/system/containerd.service 
[Unit]
Description=containerd container runtime
Documentation=https://containerd.io
After=network.target dbus.service

[Service]
ExecStartPre=-/sbin/modprobe overlay
ExecStart=/usr/local/bin/containerd
Type=notify
Delegate=yes
KillMode=process
Restart=always
RestartSec=5
LimitNPROC=infinity
LimitCORE=infinity
TasksMax=infinity

[Install]
WantedBy=multi-user.target
EOF


systemctl daemon-reload
systemctl enable containerd
systemctl restart containerd
systemctl status containerd

wget https://github.com/opencontainers/runc/releases/download/v1.2.6/runc.amd64
install -m 755 runc.amd64 /usr/local/sbin/runc      

wget https://github.com/containernetworking/plugins/releases/download/v1.6.2/cni-plugins-linux-amd64-v1.6.2.tgz 
mkdir -p   /opt/cni/bin                                            
tar Cxzvf /opt/cni/bin cni-plugins-linux-amd64-v1.6.2.tgz

wget https://github.com/containerd/nerdctl/releases/download/v2.0.3/nerdctl-2.0.3-linux-amd64.tar.gz

tar Cxzvf  /usr/local/bin/ nerdctl-2.0.3-linux-amd64.tar.gz

偷懒小tip: 剩下两台机器的containerd配置和启动过程是一样的，所以可以复制过去
scp /etc/systemd/system/containerd.service root@192.168.153.42:/etc/systemd/system/
scp /etc/systemd/system/containerd.service root@192.168.153.48:/etc/systemd/system/

scp -r /usr/local/bin/* root@192.168.153.42:/usr/local/bin/
scp -r /usr/local/bin/* root@192.168.153.48:/usr/local/bin/

scp -r /etc/containerd root@192.168.153.42:/etc/
scp -r /etc/containerd root@192.168.153.48:/etc/

scp -r  /usr/local/sbin/runc     root@192.168.153.42:/usr/local/sbin/
scp -r  /usr/local/sbin/runc     root@192.168.153.48:/usr/local/sbin/


scp -r /opt/cni root@192.168.153.42:/opt/
scp -r /opt/cni root@192.168.153.48:/opt/

scp -r /usr/local/bin/nerdctl root@192.168.153.42:/usr/local/bin/
scp -r /usr/local/bin/nerdctl root@192.168.153.48:/usr/local/bin/

systemctl daemon-reload
systemctl enable containerd
systemctl start containerd
systemctl status containerd

配置内部harbor(自签发ssl)
tips 按需
# pwd
/etc/containerd
# tree
.
├── certs.d
│   └── harbor.com
│       ├── ca.crt
│       ├── harbor.com.cert  
│       ├── harbor.com.key   
│       └── hosts.toml
└── config.toml


cat << EOF > certs.d/harbor.com/hosts.toml 
server = "https://harbor.com"

[host."https://harbor.com"]
  ca = "/etc/containerd/certs.d/harbor.com/ca.crt"
EOF

vim /etc/containerd/config.toml
+ [plugins."io.containerd.grpc.v1.cri".registry]
+     config_path = "/etc/containerd/certs.d"

#配置系统信任本地 CA 证书
cp -a ca.crt /etc/pki/ca-trust/source/anchors/
update-ca-trust

部署负载均衡
你可以单独配置2或3台机器作为负载均衡器, 也可以在master or node节点上部署
我这里直接在master节点上部署了
haproxy
yum install -y haproxy


cp /etc/haproxy/haproxy.cfg /etc/haproxy/haproxy.cfg.bak

cat < /etc/haproxy/haproxy.cfg
global
  log 127.0.0.1 local0
  log 127.0.0.1 local1 notice
  tune.ssl.default-dh-param 2048

defaults
  log global
  mode http
  option dontlognull
  timeout connect 5000ms
  timeout client 600000ms
  timeout server 600000ms

listen stats
  bind :9090
  mode http
  balance
  stats uri /haproxy_stats
  stats auth admin:admin123
  stats admin if TRUE

frontend apiserver_front
    mode tcp
    bind *:16443
    default_backend apiserver_back

backend apiserver_back
    mode tcp
    balance roundrobin
    stick-table type ip size 200k expire 30m
    stick on src
    server k8s-master-48 192.168.153.48:6443 check
    server k8s-master-42 192.168.153.42:6443 check
    server k8s-master-82 192.168.153.82:6443 check
EOF

systemctl restart haproxy
systemctl enable haproxy
systemctl status haproxy

keepalived
一共3个节点, 这里是Master节点
yum install -y keepalived


cat < /etc/keepalived/keepalived.conf
global_defs {
    router_id HAProxy_HA
}

vrrp_script chk_haproxy {
    script "killall -0 haproxy"
    interval 2
}

vrrp_instance VI_1 {
    state MASTER
    interface eth1
    virtual_router_id 51
    priority 100
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass secret
    }
    virtual_ipaddress {
        192.168.153.109 
    }
    track_script {
        chk_haproxy
    }
}
EOF


systemctl enable keepalived
systemctl restart keepalived
systemctl status keepalived

其他两个节点配置一样, 只需要把state改为BACKUP, priority改为80
cp /etc/keepalived/keepalived.conf /etc/keepalived/keepalived.conf.bak
cat < /etc/keepalived/keepalived.conf
global_defs {
    router_id HAProxy_HA
}

vrrp_script chk_haproxy {
    script "killall -0 haproxy"
    interval 2
}

vrrp_instance VI_1 {
    state BACKUP
    interface eth1
    virtual_router_id 51
    priority 80
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass secret
    }
    virtual_ipaddress {
        192.168.153.109 
    }
    track_script {
        chk_haproxy
    }
}
EOF
systemctl enable keepalived
systemctl restart keepalived
systemctl status keepalived

部署master节点
cp /etc/yum.repos.d/kubernetes.repo /etc/yum.repos.d/kubernetes.repo.bak

cat < /usr/lib/systemd/system/kubelet.service.d/11-cgroup.conf
[Service]
CPUAccounting=true
MemoryAccounting=true
BlockIOAccounting=true
ExecStartPre=/usr/bin/bash -c '/usr/bin/mkdir -p /sys/fs/cgroup/{cpuset,memory,systemd,pids,"cpu,cpuacct"}/{system,kube,kubepods}.slice'
Slice=kube.slice
EOF


systemctl daemon-reload
systemctl restart kubelet


cat << EOF > /etc/kubernetes/audit-policy.yaml
# Log all requests at the Metadata level.
apiVersion: audit.k8s.io/v1
kind: Policy
rules:
- level: Metadata
EOF


cat < /etc/kubernetes/kubeadm-init.yaml 
---
apiVersion: kubeadm.k8s.io/v1beta4
kind: InitConfiguration
nodeRegistration:
  criSocket: unix:///var/run/containerd/containerd.sock

---
apiVersion: kubeproxy.config.k8s.io/v1alpha1
kind: KubeProxyConfiguration
mode: ipvs
ipvs:
  minSyncPeriod: 5s
  syncPeriod: 5s
  scheduler: wrr

---
apiVersion: kubeadm.k8s.io/v1beta4
kind: ClusterConfiguration
kubernetesVersion: 1.31.0
# 这里使用的是keepalived的虚拟ip
controlPlaneEndpoint: 192.168.153.109:16443 
networking:
  dnsDomain: cluster.local
  podSubnet: 172.20.0.0/16
  serviceSubnet: 172.21.0.0/16
imageRepository: harbor.com/library        
apiServer:
  certSANs:
    - 127.0.0.1
    - apiserver.cluster.local
    - 192.168.153.109
    - 192.168.153.42
    - 192.168.153.82
    - 192.168.153.48
  extraArgs:
    - name: event-ttl
      value: 720h
    - name: service-node-port-range
      value: 30000-50000
    - name: audit-log-maxage
      value: '20'
    - name: audit-log-maxbackup
      value: '10'
    - name: audit-log-maxsize
      value: '100'
    - name: audit-log-path
      value: /var/log/kube-audit/audit.log
    - name: audit-policy-file
      value: /etc/kubernetes/audit-policy.yaml
  extraVolumes:
    - name: audit-config
      hostPath: /etc/kubernetes/audit-policy.yaml
      mountPath: /etc/kubernetes/audit-policy.yaml
      readOnly: true
      pathType: File
    - name: audit-log
      hostPath: /var/log/kube-audit
      mountPath: /var/log/kube-audit
      pathType: DirectoryOrCreate
    - name: localtime
      hostPath: /etc/localtime
      mountPath: /etc/localtime
      readOnly: true
      pathType: File
controllerManager:
  extraArgs:
    - name: node-cidr-mask-size
      value: '24'
  extraVolumes:
    - hostPath: /etc/localtime
      mountPath: /etc/localtime
      name: localtime
      readOnly: true
      pathType: File

scheduler:
  extraVolumes:
    - hostPath: /etc/localtime
      mountPath: /etc/localtime
      name: localtime
      readOnly: true
      pathType: File
EOF


echo '127.0.0.1 apiserver.cluster.local' >> /etc/hosts

kubeadm config images pull --config=/etc/kubernetes/kubeadm-init.yaml

# 修改pause image Tag
# 即便配置了imageRepository, kubeadm init的时候默认使用的还会是registry.k8s.io/pause, 所以要提前给她换上
# 网上有办法吧默认的registry.k8s.io/pause 改为其他pause地址的方法, 我感觉没必要, 直接改个tag解了
ctr -n k8s.io images tag harbor.com/library/pause:3.10 registry.k8s.io/pause:3.10

kubeadm init --config=/etc/kubernetes/kubeadm-init.yaml  --upload-certs


  kubeadm join 192.168.153.109:16443  --token jfq8up.i60667hfo3w48ec4 \
        --discovery-token-ca-cert-hash sha256:d96a3743120c9d6c6907c0929d590e6db597a4a6b4d15850c6cf643cec3db82b \
        --control-plane --certificate-key 426efe3d2f11b0eaf0a08dd3c9114467c8bd329dfb56681dc4bfb40a454b53a7 --v=5

部署node节点
kubeadm join 192.168.153.109:16443 --token  6y9qsh.dt288jafd981xu3g --discovery-token-ca-cert-hash sha256:96332189e02febe17ff66748b118c8c6f78d1e999550742a4256fd745309edf4   --cri-socket unix:///var/run/cri-dockerd.sock --v=5  


#将 worker 节点的 role 标签设置为 worker
kubectl get node --selector='!node-role.kubernetes.io/master' | grep '' | awk '{print "kubectl label node " $1 " node-role.kubernetes.io/worker= --overwrite" }' | bash

token 过期后, 重新生成token
# 查看token 
kubeadm token list

# 重新生成token
kubeadm token create --print-join-command


# discovery-token-ca-cert-hash  生成
openssl x509 -pubkey -in /etc/kubernetes/pki/ca.crt | openssl rsa -pubin -outform der 2>/dev/null | openssl dgst -sha256 -hex | sed 's/^.* //'

# 删除token
#kubeadm token delete 

# worker节点加入集群
kubeadm join 192.168.153.109:16443 --token  vncj8h.xg6ftued8loa05u4 --discovery-token-ca-cert-hash sha256:7a3ccb4c3c98895d1c8b455833ac36f2ecf1f1425412850b969f461e286cd097    --v=5  

配置网络插件calico
wget https://raw.githubusercontent.com/projectcalico/calico/refs/heads/release-v3.29/manifests/calico.yaml

kubectl apply -f calico.yaml

watch kubectl get pods -n calico-system

插件名称	功能描述
`systemd`	`systemctl` 命令补全
`sudo`	按两次 `ESC` 快速添加 sudo
`tmux`	Tmux 会话管理

插件名称	功能描述	安装命令
`zsh-autosuggestions`	历史命令自动提示	`git clone https://github.com/zsh-users/zsh-autosuggestions ${ZSH_CUSTOM}/plugins/zsh-autosuggestions`
`zsh-syntax-highlighting`	实时语法高亮	`git clone https://github.com/zsh-users/zsh-syntax-highlighting ${ZSH_CUSTOM}/plugins/zsh-syntax-highlighting`
`fzf`	模糊搜索文件/命令	`sudo apt install fzf && git clone --depth 1 https://github.com/junegunn/fzf.git ~/.fzf && ~/.fzf/install`

插件名称	功能描述	备注
`git`	内置 Git 快捷命令	如 `gst`=`git status`
`git-extras`	扩展 Git 命令	需额外安装：`sudo apt install git-extras`
`gitfast`	快速 Git 补全	适合大型仓库

插件名称	支持工具
`docker`	Docker 命令补全
`npm`	npm 包管理补全
`python`	Python 相关工具补全

设备	说明
Debian9 4.9 内核 vulrt 日本服务器	部署 wireguard 程序
OpenWrt x86 64	内网网关
Windows10	内网设备

主机	ip	wg ip	内部网段	作用
ServerA	172.21.161.34	172.16.220.1	172.21.161.34/20	公网服务器, 部署wg服务端
ClientB	192.168.2.142	172.16.220.3	192.168.2.0/24	内网服务器, 部署wg客户端
ClientC	192.168.2.102	无	192.168.2.0/24	内网服务器
目标是让ServerA 能够直接访问 ClientC的192.168.2.102 ip

Mutter

SSH2FA ssh实现自定义API服务器二次登录验证

核心功能

实现思路

代码实现

1. Auth Server (Python)

Login APPROVED! You can close this window.

Token Invalid or Expired

Login REJECTED.

Token Invalid or Expired

2. Client (Go)

使用指南

实际体验

[开源项目] Obsidian 图片上传插件，基于 upgit

obsidian-upgit

简介

演示

功能特点

前置要求

配置指南

使用方法

开发

Windows oh-my-posh 配置

环境

oh-my-posh 安装

Cascadia字体

配置文件

My家里云, 异地k3s集群搭建

🏗️ 部署k3s

节点规划表

下载软件包

异地组网

安装 Netbird

启动并配置 Netbird

系统优化

参数优化

ipvs

MASTER节点安装

获取 node-token

WORK节点安装

修改工作节点标签（可选）

下载 Helm

部署 Ingress

配置 HAProxy 作为四层代理

部署 Dashboard

配置 Ingress 访问

创建访问 Token

配置 NFS 网络存储

NFS Server 搭建

所有节点安装 NFS 客户端

NFS Provisoner 配置

异地优化

使用命名空间划分资源区域

开启 PodNodeSelector 准入控制器

给节点打标签

配置命名空间注解

测试调度

补充

k3s 使用Docker

相关文档

zerotier vs netbird vs tailscale 性能对比

结论

测试

测试服务器

测试命令

zerotier-one

netbird

tailscale

Windows11 关闭开始菜单搜索联网and右 键菜单恢复win10

右键菜单恢复win10

注释说明：

关闭开始菜单搜索联网

注释说明：

注意事项：

使用组策略关闭 Windows 11 小组件

安卓配置ADB TCP调试开启自启

安卓配置ADB TCP调试开启自启

通过USB线初始设置

电脑安装adb

启用USB调试

Windows11 关闭开始菜单搜索联网and右键菜单恢复win10

单机部署k3s和rancher 使用本地自签证书

Linux 本地端口转发到其他机器（附带管理脚本）