Twenhub

Claude MCP 完整推荐清单

Sun, 19 Apr 2026 00:00:00 GMT

Claude MCP 完整推荐清单

更新日期：2026 年 4 月 适用范围：全部为官方或主流社区维护的稳定版本 兼容客户端：Claude Desktop / Claude Code / Cursor 等主流 MCP 客户端

📑 目录

一、阿里云官方 MCP（全量）
二、AWS 官方 MCP
三、Cloudflare 官方 MCP
四、文档 / 搜索 / 抓取类 MCP
五、服务 / 中间件 / 开发类 MCP
六、安全 / 渗透测试类 MCP
🎯 推荐组合方案
✅ 最佳实践

一、阿里云官方 MCP(全量)

MCP 服务器名称	推荐度	安装方式	核心功能 / 备注
<a href="https://github.com/aliyun/alibaba-cloud-ops-mcp-server" target="_blank" rel="noopener noreferrer">Alibaba Cloud Ops MCP Server</a><br>通用云运维	⭐⭐⭐⭐⭐	`uv tool install alibaba-cloud-ops-mcp-server`	覆盖 90% 日常云运维场景,更新最频繁,官方首推
<a href="https://github.com/aliyun/alibabacloud-observability-mcp-server" target="_blank" rel="noopener noreferrer">Alibaba Cloud Observability MCP Server</a><br>可观测性	⭐⭐⭐⭐⭐	下载预编译二进制(推荐)<br>或 `uv tool install alibabacloud-observability-mcp-server`	2026 年 3 月 Go 重构版,性能提升 5 倍<br>支持 SLS / ARMS / 云监控
<a href="https://github.com/aliyun/alibabacloud-ack-mcp-server" target="_blank" rel="noopener noreferrer">Alibaba Cloud ACK MCP Server</a><br>容器服务	⭐⭐⭐⭐	`uv tool install alibabacloud-ack-mcp-server`	ACK 集群全生命周期管理,原生 Kubernetes 操作
<a href="https://github.com/aliyun/alibabacloud-dms-mcp-server" target="_blank" rel="noopener noreferrer">Alibaba Cloud DMS MCP Server</a><br>数据库管理	⭐⭐⭐⭐	`uvx alibabacloud-dms-mcp-server`	支持 40+ 种数据库统一管理、SQL 查询、元数据访问
<a href="https://help.aliyun.com/zh/document_detail/2881063.html" target="_blank" rel="noopener noreferrer">阿里云文档搜索 MCP</a>	⭐⭐⭐⭐	云端 SSE 服务,无需本地安装	专门搜索阿里云官方文档,精准匹配最新内容
<a href="https://github.com/aliyun/alibabacloud-devops-mcp-server" target="_blank" rel="noopener noreferrer">Alibaba Cloud DevOps MCP Server</a><br>云效	⭐⭐⭐	`npm install -g alibabacloud-devops-mcp-server`	云效平台集成:代码、流水线、制品库、项目管理
<a href="https://github.com/aliyun/alibabacloud-dataworks-mcp-server" target="_blank" rel="noopener noreferrer">Alibaba Cloud DataWorks MCP Server</a><br>大数据	⭐⭐⭐	`npm install -g alibabacloud-dataworks-mcp-server`	DataWorks 资源管理、任务调度、数据开发
<a href="https://github.com/aliyun/alibabacloud-hologres-mcp-server" target="_blank" rel="noopener noreferrer">Alibaba Cloud Hologres MCP Server</a><br>实时数仓	⭐⭐	`pip install hologres-mcp-server`	仅支持 Hologres 实时数仓连接与查询
阿里云 OpenAPI MCP Server	⭐⭐	阿里云百炼控制台一键开通<br>云端服务,无需本地安装	覆盖全部阿里云 OpenAPI,适合调用冷门云产品

二、AWS 官方 MCP

📌 仓库总入口:<a href="https://github.com/awslabs/mcp" target="_blank" rel="noopener noreferrer">awslabs/mcp</a> · <a href="https://awslabs.github.io/mcp/" target="_blank" rel="noopener noreferrer">官方文档站</a> 绝大多数本地版用 uvx awslabs.<name>@latest 统一入口安装,Docker 镜像托管在 public.ecr.aws/awslabs-mcp/。

MCP 服务器名称	推荐度	安装方式	核心功能 / 备注
<a href="https://awslabs.github.io/mcp/servers/aws-knowledge-mcp-server" target="_blank" rel="noopener noreferrer">AWS Knowledge MCP</a><br>远程托管 / 免账号	⭐⭐⭐⭐⭐	远程 SSE:`https://knowledge-mcp.global.api.aws`	AWS 官方托管,无需 AWS 账号即可使用<br>聚合文档、API 参考、What's New、博客、架构最佳实践与 Agent SOP
<a href="https://awslabs.github.io/mcp/servers/aws-api-mcp-server" target="_blank" rel="noopener noreferrer">AWS API MCP Server</a><br>CLI 网关	⭐⭐⭐⭐⭐	`uvx awslabs.aws-api-mcp-server@latest`	桥接 AWS CLI,覆盖全部 AWS API<br>支持 `READ_OPERATIONS_ONLY` 只读模式,依赖本地 IAM 凭证
<a href="https://awslabs.github.io/mcp/servers/aws-documentation-mcp-server" target="_blank" rel="noopener noreferrer">AWS Documentation MCP</a>	⭐⭐⭐⭐⭐	`uvx awslabs.aws-documentation-mcp-server@latest`	官方文档检索、页面抓取转 Markdown、推荐相关章节<br>支持中国区(`AWS_DOCUMENTATION_PARTITION=aws-cn`)
<a href="https://github.com/awslabs/mcp/tree/main/src/aws-iac-mcp-server" target="_blank" rel="noopener noreferrer">AWS IaC MCP Server</a><br>CDK + CloudFormation	⭐⭐⭐⭐	`uvx awslabs.aws-iac-mcp-server@latest`	CDK / CloudFormation 模板生成与校验,内置 AWS 最佳实践
<a href="https://github.com/awslabs/mcp/tree/main/src/cloudwatch-mcp-server" target="_blank" rel="noopener noreferrer">CloudWatch MCP Server</a><br>可观测性	⭐⭐⭐⭐	`uvx awslabs.cloudwatch-mcp-server@latest`	告警根因定位、日志异常检测、指标含义解释、告警推荐配置
<a href="https://github.com/awslabs/mcp/tree/main/src/bedrock-kb-retrieval-mcp-server" target="_blank" rel="noopener noreferrer">Bedrock KB Retrieval MCP</a><br>AI / RAG	⭐⭐⭐⭐	`uvx awslabs.bedrock-kb-retrieval-mcp-server@latest`	Amazon Bedrock Knowledge Base 检索,RAG 场景必备
<a href="https://github.com/awslabs/mcp/tree/main/src/aws-pricing-mcp-server" target="_blank" rel="noopener noreferrer">AWS Pricing MCP</a><br>成本估算	⭐⭐⭐⭐	`uvx awslabs.aws-pricing-mcp-server@latest`	部署前价格预估,"这份 CDK 每月多少钱?"式问答
<a href="https://github.com/awslabs/mcp/tree/main/src/aws-support-mcp-server" target="_blank" rel="noopener noreferrer">AWS Support MCP</a><br>工单	⭐⭐⭐	`uvx awslabs.aws-support-mcp-server@latest`	创建 / 跟踪 AWS Support 工单,查 Trusted Advisor 建议
<a href="https://github.com/awslabs/mcp/tree/main/src/aws-dataprocessing-mcp-server" target="_blank" rel="noopener noreferrer">AWS Data Processing MCP</a><br>大数据	⭐⭐⭐	`uvx awslabs.aws-dataprocessing-mcp-server@latest`	Glue、EMR、Athena 等数据处理类服务统一入口
<a href="https://github.com/awslabs/mcp/tree/main/src/aurora-dsql-mcp-server" target="_blank" rel="noopener noreferrer">Aurora DSQL MCP</a><br>分布式数据库	⭐⭐⭐	`uvx awslabs.aurora-dsql-mcp-server@latest`	Aurora DSQL 查询、Schema 操作
<a href="https://github.com/awslabs/mcp/tree/main/src/valkey-mcp-server" target="_blank" rel="noopener noreferrer">Valkey MCP</a><br>KV 缓存	⭐⭐⭐	`uvx awslabs.valkey-mcp-server@latest`	ElastiCache 的 Valkey 引擎操作,Redis 协议兼容
<a href="https://github.com/awslabs/run-model-context-protocol-servers-with-aws-lambda" target="_blank" rel="noopener noreferrer">Run MCP Servers on AWS Lambda</a><br>基础设施	⭐⭐⭐	参考仓库 README	把任意 stdio MCP 封装为 Lambda 函数,用 HTTPS 远程调用

💡 起步建议:只用 Knowledge MCP(远程、零配置)就能解决 80% 的 AWS 咨询类需求;需要实际操作资源时再加 AWS API MCP。

三、Cloudflare 官方 MCP

📌 仓库总入口:<a href="https://github.com/cloudflare/mcp-server-cloudflare" target="_blank" rel="noopener noreferrer">cloudflare/mcp-server-cloudflare</a> · <a href="https://github.com/cloudflare/mcp" target="_blank" rel="noopener noreferrer">cloudflare/mcp(Code Mode)</a> 全部为远程托管服务,通过 OAuth 授权,无需本地安装。客户端不支持远程 MCP 时用 <a href="https://www.npmjs.com/package/mcp-remote" target="_blank" rel="noopener noreferrer">mcp-remote</a> 代理。

MCP 服务器名称	推荐度	远程端点	核心功能 / 备注
<a href="https://github.com/cloudflare/mcp" target="_blank" rel="noopener noreferrer">Cloudflare API MCP(Code Mode)</a><br>统一入口 · 2026 年 4 月新发布	⭐⭐⭐⭐⭐	`https://mcp.cloudflare.com/mcp`	2500+ 端点塞进 1K token,通过代码执行方式调用 Cloudflare API<br>覆盖 Workers / KV / R2 / D1 / DNS / Access 等全部产品线
Cloudflare Documentation MCP<br>文档搜索	⭐⭐⭐⭐⭐	`https://docs.mcp.cloudflare.com/sse`	实时搜索 Cloudflare 官方文档,写 Workers 必备
Cloudflare Workers Bindings MCP<br>应用开发	⭐⭐⭐⭐⭐	`https://bindings.mcp.cloudflare.com/sse`	读 / 建 D1、KV、R2、Hyperdrive 等资源,配合 AI 生成全栈 Workers 应用
Cloudflare Observability MCP<br>Workers 日志 / 遥测	⭐⭐⭐⭐⭐	`https://observability.mcp.cloudflare.com/sse`	查询 Workers 调用日志、错误、统计,快速定位异常<br>⚠️ 单次调用结果较大,建议拆分细粒度问题
Cloudflare Browser Rendering MCP<br>浏览器自动化	⭐⭐⭐⭐	`https://browser.mcp.cloudflare.com/sse`	截图、抓 HTML、转 Markdown,相当于官方版 Puppeteer
Cloudflare AI Gateway MCP<br>LLM 网关	⭐⭐⭐⭐	`https://ai-gateway.mcp.cloudflare.com/sse`	分析 AI Gateway 日志、prompt / response 明细、延迟与成本
Cloudflare AutoRAG MCP<br>RAG 检索	⭐⭐⭐⭐	`https://autorag.mcp.cloudflare.com/sse`	把 AutoRAG 的知识库挂成 MCP 工具,Agent 按需检索
Cloudflare Container MCP<br>代码沙箱	⭐⭐⭐⭐	`https://containers.mcp.cloudflare.com/sse`	隔离的代码执行环境,Claude.ai 等无本地执行能力的客户端适用
Cloudflare Radar MCP<br>全球流量情报	⭐⭐⭐	`https://radar.mcp.cloudflare.com/sse`	查询 Radar 数据:流量趋势、攻击态势、协议统计
Cloudflare Logpush MCP<br>日志投递	⭐⭐⭐	`https://logpush.mcp.cloudflare.com/sse`	管理 Logpush 任务、排查失败、查看任务健康度
Cloudflare DNS Analytics MCP	⭐⭐⭐	`https://dns-analytics.mcp.cloudflare.com/sse`	DNS 查询数据分析、异常流量排查
Cloudflare DEX MCP<br>数字体验监控	⭐⭐⭐	`https://dex.mcp.cloudflare.com/sse`	Zero Trust 用户端体验监控、网络链路诊断
Cloudflare GraphQL MCP<br>Analytics 查询	⭐⭐⭐	`https://graphql.mcp.cloudflare.com/sse`	直接用 GraphQL 查 Cloudflare Analytics 原始数据

💡 起步建议:一个 API(Code Mode)MCP + 一个 Documentation MCP 就能覆盖日常开发 90% 的场景;重度 Workers 用户再加 Bindings 和 Observability。

四、文档 / 搜索 / 抓取类 MCP

MCP 服务器名称	推荐度	安装方式	核心功能 / 备注
<a href="https://github.com/modelcontextprotocol/servers/tree/main/src/fetch" target="_blank" rel="noopener noreferrer">Fetch MCP</a><br>官方	⭐⭐⭐⭐⭐	`uvx mcp-server-fetch`	基础网页抓取、HTML 转 Markdown、分块读取、零依赖
<a href="https://github.com/mendableai/firecrawl-mcp" target="_blank" rel="noopener noreferrer">Firecrawl MCP</a>	⭐⭐⭐⭐⭐	`uvx firecrawl-mcp`	完整网站爬取、JS 渲染、PDF 提取、结构化数据输出
<a href="https://github.com/tavily-ai/tavily-mcp" target="_blank" rel="noopener noreferrer">Tavily MCP</a>	⭐⭐⭐⭐⭐	`uvx tavily-mcp`	AI 驱动搜索引擎,专为 LLM 优化,免费版足够日常使用
<a href="https://github.com/github/github-mcp-server" target="_blank" rel="noopener noreferrer">GitHub MCP</a><br>官方	⭐⭐⭐⭐	`uvx github-mcp-server`	读取 GitHub 仓库代码、README、文档、Issue 和 PR
<a href="https://github.com/modelcontextprotocol/servers/tree/main/src/pdf" target="_blank" rel="noopener noreferrer">PDF MCP</a><br>官方	⭐⭐⭐⭐	`uvx mcp-server-pdf`	本地 PDF 文件解析、文本提取、支持大文件分块
<a href="https://github.com/brave-experiments/brave-search-mcp" target="_blank" rel="noopener noreferrer">Brave Search MCP</a>	⭐⭐⭐	`uvx brave-search-mcp`	隐私优先的搜索引擎,替代 Google 搜索

五、服务 / 中间件 / 开发类 MCP

MCP 服务器名称	推荐度	安装方式	核心功能 / 备注
<a href="https://github.com/modelcontextprotocol/servers/tree/main/src/docker" target="_blank" rel="noopener noreferrer">Docker MCP</a><br>官方	⭐⭐⭐⭐⭐	`uvx mcp-server-docker`	本地 Docker 容器全生命周期管理、镜像操作、日志查看
<a href="https://github.com/modelcontextprotocol/servers/tree/main/src/kubernetes" target="_blank" rel="noopener noreferrer">Kubernetes MCP</a><br>官方	⭐⭐⭐⭐⭐	`uvx mcp-server-kubernetes`	原生 K8s 集群管理,`kubectl` 命令封装,资源操作
<a href="https://github.com/redis-developer/redis-mcp" target="_blank" rel="noopener noreferrer">Redis MCP</a>	⭐⭐⭐⭐⭐	`uv tool install redis-mcp-server`	Redis 集群管理、配置优化、性能监控、数据操作
<a href="https://github.com/modelcontextprotocol/servers/tree/main/src/postgresql" target="_blank" rel="noopener noreferrer">PostgreSQL MCP</a><br>官方	⭐⭐⭐⭐	`uvx mcp-server-postgresql`	PostgreSQL 数据库连接、SQL 查询、元数据管理
<a href="https://github.com/modelcontextprotocol/servers/tree/main/src/mysql" target="_blank" rel="noopener noreferrer">MySQL MCP</a><br>官方	⭐⭐⭐⭐	`uvx mcp-server-mysql`	MySQL 数据库连接、SQL 查询、元数据管理
<a href="https://github.com/apache/rocketmq-mcp" target="_blank" rel="noopener noreferrer">RocketMQ MCP</a>	⭐⭐⭐⭐	`uv tool install rocketmq-mcp-server`	Apache 官方维护,集群管理、消息查询、性能调优
<a href="https://github.com/modelcontextprotocol/servers/tree/main/src/nginx" target="_blank" rel="noopener noreferrer">Nginx MCP</a><br>官方	⭐⭐⭐⭐	`uvx mcp-server-nginx`	标准 Nginx 配置管理、性能监控、日志分析、重载配置
<a href="https://github.com/hashicorp/terraform-mcp" target="_blank" rel="noopener noreferrer">Terraform MCP</a>	⭐⭐⭐⭐	`uv tool install terraform-mcp-server`	基础设施即代码、标准化部署、状态管理
<a href="https://github.com/modelcontextprotocol/servers/tree/main/src/git" target="_blank" rel="noopener noreferrer">Git MCP</a><br>官方	⭐⭐⭐⭐	`uvx mcp-server-git`	本地 Git 仓库操作:提交、分支、合并、日志查看
<a href="https://github.com/modelcontextprotocol/servers/tree/main/src/ssh" target="_blank" rel="noopener noreferrer">SSH MCP</a><br>官方	⭐⭐⭐⭐	`uvx mcp-server-ssh`	远程服务器 SSH 连接、命令执行、文件传输
<a href="https://github.com/spring-projects/spring-boot-mcp" target="_blank" rel="noopener noreferrer">Spring Boot MCP</a>	⭐⭐⭐	`uv tool install spring-boot-mcp-server`	Spring Boot 项目生成、配置优化、Actuator 监控
<a href="https://github.com/modelcontextprotocol/servers/tree/main/src/python" target="_blank" rel="noopener noreferrer">Python MCP</a><br>官方	⭐⭐⭐	`uvx mcp-server-python`	Python 代码执行、包管理、虚拟环境操作
<a href="https://github.com/mongodb/mongodb-mcp" target="_blank" rel="noopener noreferrer">MongoDB MCP</a>	⭐⭐⭐	`uv tool install mongodb-mcp-server`	MongoDB 数据库连接、文档操作、索引管理
<a href="https://github.com/apache/kafka-mcp" target="_blank" rel="noopener noreferrer">Kafka MCP</a>	⭐⭐⭐	`uv tool install kafka-mcp-server`	Kafka 集群管理、主题操作、消息生产消费

六、安全 / 渗透测试类 MCP

⚠️ 使用须知:以下工具仅限用于已获得明确授权的安全测试、漏洞研究、自有资产防护等合法场景。未经授权扫描或攻击第三方系统违反相关法律法规。

MCP 服务器名称	推荐度	安装方式	核心功能 / 备注
<a href="https://github.com/k3nn3dy-ai/kali-mcp-go" target="_blank" rel="noopener noreferrer">kali-mcp-go</a><br>Kali 工具封装	⭐⭐⭐⭐	`go install github.com/k3nn3dy-ai/kali-mcp-go@latest`<br>或下载预编译二进制	Go 实现,封装 Kali Linux 常用工具链(nmap、nikto、gobuster、hydra 等)<br>启动快、资源占用低,适合在授权靶场 / CTF 环境使用
<a href="https://github.com/projectdiscovery/nuclei-mcp" target="_blank" rel="noopener noreferrer">Nuclei MCP</a><br>漏洞扫描	⭐⭐⭐⭐	`go install github.com/projectdiscovery/nuclei-mcp@latest`<br>或 `uvx nuclei-mcp`	ProjectDiscovery 官方维护,基于 YAML 模板的可定制扫描引擎<br>支持 9000+ 社区模板,CVE 快速验证、资产合规检查
<a href="https://github.com/tavily-ai/tavily-mcp" target="_blank" rel="noopener noreferrer">Tavily MCP</a><br>情报搜索(已在第四章)	⭐⭐⭐⭐⭐	`uvx tavily-mcp`	安全研究中常配合上面两者用于 CVE 情报、PoC 检索

🎯 推荐组合方案

🔹 云运维基础组合(必装,共 6 个)

类别	MCP 组件
阿里云	`alibaba-cloud-ops-mcp-server` + `alibabacloud-observability-mcp-server`
文档搜索	`fetch` + `tavily`
通用工具	`docker` + `kubernetes`

🔹 AWS 开发组合

类别	MCP 组件
知识底座	`aws-knowledge-mcp`(远程)
资源操作	`awslabs.aws-api-mcp-server`
IaC	`awslabs.aws-iac-mcp-server`
运维诊断	`awslabs.cloudwatch-mcp-server` + `awslabs.aws-pricing-mcp-server`

🔹 Cloudflare 开发组合

类别	MCP 组件
统一入口	`mcp.cloudflare.com/mcp`(Code Mode,一个顶全部)
文档	`docs.mcp.cloudflare.com`
Workers 开发	`bindings.mcp.cloudflare.com` + `observability.mcp.cloudflare.com`

🔹 中间件开发增强组合(按需添加)

类别	MCP 组件
数据库	`postgresql` + `redis`
消息队列	`rocketmq`
远程管理	`ssh`

🔹 安全研究组合(授权环境使用)

类别	MCP 组件
工具链	`kali-mcp-go`
漏扫引擎	`nuclei-mcp`
情报检索	`tavily` + `fetch`

✅ 最佳实践

不要安装超过 10 个 MCP 过多的 MCP 会增加 Claude 选择错误工具的概率。
优先使用官方维护的 MCP 稳定性和更新频率更有保障。
定期更新 MCP 服务器 建议每周执行一次:
```
uv tool upgrade --all
```
使用清晰的命名规范 在配置文件中给每个 MCP 起有意义的名字,方便区分。

2026年国内如何订阅Claude Pro？3种方法实测（苹果礼品卡/虚拟卡/代充）

Tue, 14 Apr 2026 00:00:00 GMT

2026年国内如何订阅Claude Pro？3种方法实测

Claude是Anthropic开发的AI助手，在代码能力和长文理解方面甚至超过了ChatGPT。Claude Pro每月$20，但国内用户面临和ChatGPT一样的支付难题——Stripe拒绝中国银行卡。

本文介绍3种亲测有效的订阅方法。

为什么要升级Claude Pro？

功能	免费版	Pro版
使用次数	有限	5倍以上
优先响应	否	是
最新模型	有延迟	首发使用
文件上传	受限	无限制

方法一：苹果礼品卡充值（推荐）

前提： 需要iPhone/iPad + 美区Apple ID

步骤：

准备一个美区Apple ID（<a href="https://twenhub.com/archives/mei-qu-apple-zhang-hao-zhu-ce-yu-shi-yong-wan-zheng-zhi-nan" target="_blank">注册教程</a>）
购买一张$20以上的美区Apple礼品卡（推荐<a href="https://shop.taoquan8.com/products" target="_blank">淘券吧</a>，支持USDT支付）
App Store → 兑换礼品卡 → 输入卡密
下载Claude iOS App → Settings → Upgrade to Pro → Subscribe

优点： 安全、走苹果官方内购、不需要给任何人密码

费用： $20礼品卡 ≈ $21.49（淘券吧售价）

方法二：虚拟信用卡

适合： 没有iPhone的用户

在PokePay或Ucards注册一张免KYC的虚拟Visa卡，用USDT充值后直接在Claude官网绑卡订阅。

注意： 2025年WildCard、Depay已停运，选平台要谨慎。

方法三：第三方代充

通过代充平台用支付宝/微信付款，获取卡密后自己操作升级。

注意： 绝对不要给密码，正规平台只需要卡密。

三种方法对比

	苹果礼品卡	虚拟信用卡	代充平台
安全性	⭐⭐⭐⭐⭐	⭐⭐⭐⭐	⭐⭐⭐
操作难度	中等	较高	简单
需要iPhone	是	否	否
月费	~$21	~$22	¥160-230

Apple美区礼品卡能干什么？2026年最全用途盘点（ChatGPT/Claude/游戏/流媒体）

Tue, 14 Apr 2026 00:00:00 GMT

Apple美区礼品卡能干什么？2026年最全用途盘点

很多人买了美区Apple礼品卡，却只知道用来下载App。实际上，一张美区Apple Gift Card的用途远比你想象的多。本文整理了2026年最全的使用场景。

一、AI服务订阅（最热门用途）

2026年，买美区Apple礼品卡最多的人不是为了买App，而是为了订阅AI服务：

服务	月费	说明
ChatGPT Plus	$19.99/月	通过iOS App Store内购订阅
Claude Pro	$20/月	Anthropic的AI助手，iOS内购
Gemini Advanced	$19.99/月	Google的AI，iOS内购

为什么用礼品卡充AI？

因为这些AI服务的支付系统（Stripe）会拒绝中国大陆的银行卡。而通过App Store内购订阅，走的是苹果的支付通道，用礼品卡余额扣款，完全绕过了信用卡限制。

一张$20的礼品卡，刚好够一个月的ChatGPT Plus。

二、流媒体订阅

服务	月费	说明
YouTube Premium	$13.99/月	去广告+后台播放+YouTube Music
Spotify Premium	$10.99/月	通过iOS订阅
Apple Music	$10.99/月	上亿首歌无损音质
Apple TV+	$9.99/月	原创影视内容
Apple Arcade	$6.99/月	200+无广告游戏

三、iCloud+ 云存储

容量	月费
50GB	$0.99/月
200GB	$2.99/月
2TB	$9.99/月
6TB	$29.99/月
12TB	$59.99/月

苹果设备用户几乎人手一个iCloud订阅。用礼品卡充值后，每月自动从余额扣款，非常方便。

四、游戏内购

手游重度玩家的最爱：

原神 — 创世结晶充值
PUBG Mobile — UC购买
Fortnite — V-Bucks
Minecraft — Minecoins
Roblox — Robux（通过iOS购买）
以及App Store上所有付费游戏和内购

五、付费App购买

专业工具：Procreate、LumaFusion、Notability
效率应用：Things 3、Bear、Fantastical
开发工具：Working Copy、Textastic

六、Apple硬件（在线商店）

没错，Apple礼品卡也可以在apple.com购买硬件：

iPhone、iPad、MacBook、Apple Watch
AirPods、Apple TV、HomePod
配件、AppleCare+

在哪里购买美区Apple礼品卡？

如果你持有USDT等加密货币，推荐使用<a href="https://shop.taoquan8.com/products" target="_blank">淘券吧</a>购买，支持USDT支付，$20-$300全面值，24小时内发货。

相关链接：

<a href="https://shop.taoquan8.com/products" target="_blank">Apple美区礼品卡购买</a>
<a href="https://twenhub.com/archives/mei-qu-apple-zhang-hao-zhu-ce-yu-shi-yong-wan-zheng-zhi-nan" target="_blank">美区Apple ID注册教程</a>

Google Gemini Advanced怎么订阅？国内用Apple礼品卡充值Gemini Pro教程

Tue, 14 Apr 2026 00:00:00 GMT

Google Gemini Advanced怎么订阅？用Apple礼品卡充值教程

Google Gemini Advanced（原 Bard Advanced）是Google最强的AI模型，支持100万token超长上下文、代码执行、图片生成等。月费$19.99，但国内用户同样面临支付难题。

本文教你用Apple礼品卡通过iOS订阅Gemini Advanced。

Gemini Advanced vs 免费版

功能	免费版	Advanced
模型	Gemini 1.5 Flash	Gemini 2.5 Pro
上下文	较短	100万token
图片生成	有限	无限制
Google服务整合	基础	深度整合（Gmail、Docs等）
代码执行	否	是
月费	免费	$19.99

订阅步骤

第一步：准备美区Apple ID

如果还没有，参考<a href="https://twenhub.com/archives/mei-qu-apple-zhang-hao-zhu-ce-yu-shi-yong-wan-zheng-zhi-nan" target="_blank">美区Apple ID注册教程</a>。

第二步：购买Apple礼品卡

需要一张$20以上的美区Apple Gift Card。

推荐<a href="https://shop.taoquan8.com/products" target="_blank">淘券吧</a>购买：

支持USDT支付
$20面值仅售$21.49
24小时内发货

第三步：充值App Store余额

打开App Store → 点击右上角头像 → 兑换充值卡或代码 → 输入购买到的卡密

第四步：订阅Gemini Advanced

在App Store搜索"Google Gemini"并下载
打开App → 点击升级/Subscribe
选择Gemini Advanced计划（$19.99/月）
确认订阅 → 从Apple余额扣款

完成！后续每月自动从Apple余额续费。

和ChatGPT Plus、Claude Pro怎么选？

	ChatGPT Plus	Claude Pro	Gemini Advanced
月费	$19.99	$20.00	$19.99
代码能力	强	最强	强
长文理解	好	最好	好（100万token）
中文能力	好	好	一般
Google整合	无	无	深度整合
图片生成	DALL-E	无	Imagen

建议： 三个都试一个月，找到最适合自己的。用Apple礼品卡订阅的好处是随时可以取消，不绑定信用卡。

京东E卡使用指南：海外华人如何用USDT购买京东E卡在国内购物

Tue, 14 Apr 2026 00:00:00 GMT

京东E卡使用指南：海外华人如何用USDT购买京东E卡

在海外生活的华人，经常需要在京东上给国内的家人买东西，或者自己海淘。但海外银行卡在京东支付经常遇到限制。京东E卡是一个完美的解决方案。

什么是京东E卡？

京东E卡是京东商城的预付费电子卡，可以在京东购买自营商品时直接抵扣。

面值	USDT售价	购买链接
¥50	$7.49	<a href="https://shop.taoquan8.com/products" target="_blank">购买</a>
¥100	$14.99	<a href="https://shop.taoquan8.com/products" target="_blank">购买</a>
¥200	$29.99	<a href="https://shop.taoquan8.com/products" target="_blank">购买</a>
¥300	$44.99	<a href="https://shop.taoquan8.com/products" target="_blank">购买</a>
¥500	$74.99	<a href="https://shop.taoquan8.com/products" target="_blank">购买</a>
¥1000	$149.99	<a href="https://shop.taoquan8.com/products" target="_blank">购买</a>
¥2000	$299.99	<a href="https://shop.taoquan8.com/products" target="_blank">购买</a>

京东E卡能买什么？

可以买：

京东自营的所有实物商品（电子产品、家电、食品、日用品等）
京东超市商品
京东国际自营商品

不能买：

第三方卖家的商品
虚拟商品（话费充值、游戏点卡等）
预售商品
图书

如何绑定和使用？

打开京东App → 我的 → 礼品卡
点击"绑定新卡" → 输入卡号和密码
购物结算时自动显示E卡余额可抵扣

注意： E卡有效期为36个月，绑定后余额不可退。

为什么用USDT买？

海外华人：没有国内银行卡/支付宝，无法直接在京东购买E卡
加密货币持有者：把USDT变成可以在国内消费的额度
送礼：给国内亲友送京东E卡，他们可以自己选喜欢的商品

在哪里用USDT购买？

<a href="https://shop.taoquan8.com/products" target="_blank">淘券吧（TaoQuan8）</a>支持USDT支付，¥50到¥2000全面值，24小时内发送卡号密码。

相关链接：

<a href="https://shop.taoquan8.com/products" target="_blank">京东E卡购买</a>
<a href="https://shop.taoquan8.com/demand" target="_blank">没有想要的面值？提交需求</a>

USDT能买什么？2026年加密货币兑换实物商品完整指南

Tue, 14 Apr 2026 00:00:00 GMT

USDT能买什么？2026年加密货币兑换实物商品完整指南

持有USDT但不知道怎么花？除了在交易所买卖，USDT其实可以直接购买很多商品和服务。本文整理了2026年最全的USDT消费场景。

一、礼品卡（最主流）

用USDT买礼品卡是最常见的"出金"方式之一，相当于把加密货币变成了可以在主流平台消费的额度。

可以买到的礼品卡：

品牌	用途	推荐购买渠道
Apple美区礼品卡	App Store、ChatGPT、iCloud	<a href="https://shop.taoquan8.com/products" target="_blank">淘券吧</a>
京东E卡	京东商城购物	<a href="https://shop.taoquan8.com/products" target="_blank">淘券吧</a>
Amazon	亚马逊购物	Bitrefill
Steam	游戏购买	Bitrefill、CoinsBee
Google Play	安卓应用和游戏	Bitrefill
Netflix	流媒体观影	CoinsBee

为什么礼品卡是最佳选择？

即时到账 — 付款后几分钟拿到卡密
无KYC — 不需要身份验证
不可追溯 — 卡密兑换后和你的钱包地址无关
实际价值 — 1:1对应法币价值，不怕贬值

二、AI服务订阅

通过Apple礼品卡间接订阅：

ChatGPT Plus（$19.99/月）
Claude Pro（$20/月）
Gemini Advanced（$19.99/月）
YouTube Premium（$13.99/月）

路径： USDT → 买Apple礼品卡 → App Store充值 → iOS内购订阅

三、VPN和工具

Surfshark、NordVPN等主流VPN
Namecheap域名注册
各类SaaS工具

四、电商购物

通过京东E卡在京东购物（支持自营商品）
通过Amazon礼品卡在亚马逊购物
部分独立电商接受USDT直接支付

五、手机充值和话费

全球手机话费充值（通过Bitrefill）
各国运营商预付费充值

在哪里用USDT买礼品卡？

推荐<a href="https://shop.taoquan8.com/products" target="_blank">淘券吧（TaoQuan8）</a>：

支持USDT（TRC20）支付
免注册、免KYC
Apple美区礼品卡 $20-$300
京东E卡 ¥50-¥2000
24小时内发货

相关链接：

<a href="https://shop.taoquan8.com/products" target="_blank">USDT购买礼品卡</a>
<a href="https://shop.taoquan8.com/demand" target="_blank">提交购买需求</a>

2026 年国内 ChatGPT Plus 充值教程：4 种方法实测对比，避坑指南

Thu, 09 Apr 2026 00:00:00 GMT

2026 年国内 ChatGPT Plus 充值教程：4 种方法实测对比，避坑指南

更新于 2026 年 4 月。本文整理了目前国内用户开通 ChatGPT Plus 的 4 种主流方法，每种都亲自测试过，附上优缺点和踩坑经验，帮你选出最适合自己的方案。

为什么国内充值这么难？

OpenAI 的支付系统 Stripe 会拒绝绝大部分中国大陆的银行卡（包括 Visa/MasterCard 双币卡），再加上 2025 年 WildCard、Depay 等虚拟信用卡平台陆续停运，国内用户充值 ChatGPT Plus 变得越来越麻烦。

但办法还是有的。以下 4 种方法，按推荐程度从高到低排列。

方法一：苹果美区礼品卡充值（推荐）

适合谁： 有 iPhone / iPad 的用户，想要安全、自主操作、不依赖第三方的人。

核心原理： ChatGPT 的 iOS App 支持通过 App Store 内购订阅 Plus。只要你的 Apple ID 是美区的，用美区礼品卡给账户充值余额，就能直接在 App 里订阅，完全走苹果官方通道。

操作步骤

第一步：准备一个美区 Apple ID

如果你还没有，注册一个就行，5 分钟搞定。详细图文教程可以参考这篇：<a href="https://twenhub.com/archives/mei-qu-apple-zhang-hao-zhu-ce-yu-shi-yong-wan-zheng-zhi-nan" target="_blank">美区 Apple 账号注册与使用完整指南</a>。关键信息：

地区选「United States」
地址随便填一个免税州的地址（比如 Oregon）
付款方式选「None」

第二步：购买美区 Apple 礼品卡

这是最关键的一步。你需要一张 $20 以上的美区 Apple Gift Card（ChatGPT Plus 月费 $19.99）。

购买渠道推荐：

渠道	支付方式	特点
<a href="https://shop.taoquan8.com/products" target="_blank">淘券吧</a>	USDT（加密货币）	免注册，24h内发货，价格实惠
支付宝出境频道	支付宝	官方渠道，但有时缺货
Apple 官网	外币信用卡	需要有 Visa/MasterCard

如果你持有 USDT 等加密货币，推荐直接去 <a href="https://shop.taoquan8.com/products" target="_blank">淘券吧</a> 购买，免注册、不需要实名，付款后 24 小时内拿到卡密，$20 到 $300 全面值都有。

第三步：兑换礼品卡

打开 App Store → 点右上角头像 → 兑换充值卡或代码 → 输入卡密 → 余额到账。

第四步：订阅 ChatGPT Plus

打开 ChatGPT iOS App → Settings → Upgrade to ChatGPT Plus → Subscribe → 系统自动从 Apple 余额扣款。

优点

安全可靠：走苹果官方内购，不需要给任何人你的 ChatGPT 密码
自主操作：全程自己控制，没有中间商碰你的账号
不会封号：苹果内购是 OpenAI 认可的订阅方式
可续费：余额够的话下个月自动续费

注意事项

需要有 iPhone 或 iPad
需要切换到美区 Apple ID
如果当前 Plus 还没到期，需要等到期后才能用新方式续费

方法二：第三方代充平台（卡密式）

适合谁： 不想折腾、没有 iPhone、只想快速搞定的用户。

核心原理： 代充平台利用苹果的订阅机制，帮你的 ChatGPT 账号完成 Plus 订阅。你只需要提供一个兑换码，不需要给出密码。

操作步骤

选择一个靠谱的代充平台
用支付宝/微信付款（通常 ¥160-230/月）
平台给你一个卡密
你自己在 ChatGPT 的指定页面输入卡密
系统自动升级为 Plus

优点

不需要 iPhone
不需要海外信用卡
操作简单，几分钟搞定

缺点和避坑

依赖第三方：平台跑路了就没售后
价格偏高：比官方 $20 贵不少，通常 ¥160-230
绝对不要给密码：正规平台只需要卡密，要账号密码的 100% 是骗子
选正规平台：有公司主体、有备案、有客服的才靠谱

方法三：虚拟信用卡（适合技术党）

适合谁： 对技术不抵触、愿意折腾、还想订阅其他海外服务（Netflix、Claude 等）的用户。

核心原理： 注册一个海外虚拟信用卡服务，用 USDT 或人民币充值进去，拿到一张 Visa/MasterCard 卡号，直接在 ChatGPT 官网绑卡订阅。

2026 年还能用的平台

平台	KYC	充值方式	状态
PokePay	免	USDT/BTC/ETH	✅ 可用
Ucards（原 NobePay）	免	USDT	✅ 可用
~~WildCard~~	—	—	❌ 2025 年 7 月停运
~~Depay~~	—	—	❌ 2025 年 11 月停运

优点

一卡多用：可以订阅 ChatGPT、Claude、Netflix、Spotify 等各种海外服务
直接在 ChatGPT 官网订阅，不需要 iPhone

缺点

成本不低：开卡费 + 充值手续费 + 汇损，实际成本可能到 ¥160-180
风控风险：OpenAI 的 Stripe 系统会封杀某些卡段，成功率不是 100%
平台稳定性：WildCard 和 Depay 的前车之鉴，说跑就跑
不要囤钱在卡里：用多少充多少，降低风险

方法四：共享/合租账号（不推荐）

适合谁： 预算极有限、只想体验一下、对隐私不敏感的用户。

核心原理： 多人共用同一个 ChatGPT Plus 账号，分摊费用。

为什么不推荐

毫无隐私：你的所有对话记录，其他共用者都能看到
随时被封：多人异地登录很容易触发 OpenAI 的风控
体验差：多人同时用会达到使用上限
退款难：账号被封后很难退钱

除非你只是想花几块钱体验一下 ChatGPT Plus 的功能，否则不建议用这种方式。

四种方法对比

	苹果礼品卡	代充平台	虚拟信用卡	共享账号
月费	~$21（卡费）	¥160-230	~¥160-180	¥20-50
需要 iPhone	是	否	否	否
安全性	⭐⭐⭐⭐⭐	⭐⭐⭐	⭐⭐⭐⭐	⭐
操作难度	中等	简单	较高	简单
账号独立	是	是	是	否
隐私保护	好	好	好	无
推荐指数	⭐⭐⭐⭐⭐	⭐⭐⭐⭐	⭐⭐⭐	⭐

总结

有 iPhone → 首选苹果礼品卡。 安全、可靠、官方认可，自己全程操作，不经过任何第三方。需要购买美区礼品卡可以去 <a href="https://shop.taoquan8.com/products" target="_blank">淘券吧</a>，支持 USDT 支付，$20 起，24 小时内发货。

没有 iPhone → 选代充或虚拟卡。 代充最省事但贵一点，虚拟卡便宜但要折腾。

预算有限 → 先体验免费版。 ChatGPT 免费版已经很强了，别为了省几十块用共享账号，不值得。

相关链接：

<a href="https://shop.taoquan8.com/products" target="_blank">Apple 美区礼品卡购买 →</a>
<a href="https://chatgpt.com" target="_blank">ChatGPT 官网 →</a>
<a href="https://twenhub.com/archives/mei-qu-apple-zhang-hao-zhu-ce-yu-shi-yong-wan-zheng-zhi-nan" target="_blank">美区 Apple ID 注册与使用完整指南 →</a>

美区 Apple 账号注册与使用完整指南

Thu, 09 Apr 2026 00:00:00 GMT

美区 Apple 账号注册与使用完整指南

一篇讲清楚：新建美区账号、切换 App Store、免税州地址怎么填

你只需要做三件事

不需要折腾转区，不需要动你现有的 Apple ID。最简单、最稳的方案就是：

保留你现在的 Apple ID — iCloud、照片、通讯录、备忘录照常用
新注册一个美区 Apple 账号 — 专门用来下载美区 App
在手机上只切换「媒体与购买项目」到美区账号 — 其他什么都不用改

Apple 官方支持一台设备上让 iCloud 和 App Store 使用不同账号（support.apple.com/zh-cn/117294）。

注册前要准备什么

准备项	说明
全新邮箱	从未注册过 Apple 账户，推荐 Gmail 或 Outlook
手机号	+86 手机号完全可以，只用来收验证码
美国姓名	从下方表格中选一组，全程统一使用
美国地址	从下方免税州地址中选一组，全程统一使用
真实生日	Apple 用于身份验证，务必填真实的

姓名怎么填

注册时的姓名、账单地址上的姓名、付款方式的姓名，三者必须完全一致。从下面选一组，全程不要换：

First Name	Last Name
James	Smith
Michael	Johnson
Jennifer	Williams
David	Brown
Sarah	Davis
Robert	Miller
Emily	Wilson

地址怎么填（免税州）

美国有 5 个州没有消费税（sales tax）：Oregon、Delaware、Montana、New Hampshire、Alaska。选这些州的地址注册，App Store 购买不会产生额外税费。

以下地址均为免税州真实公共地址，任选一组，全程统一使用：

地址一：Oregon · Portland

字段	填写内容
Street	1000 SW Broadway
City	Portland
State	Oregon (OR)
ZIP Code	97205
Phone	(503) 228-2000

地址二：Oregon · Salem

字段	填写内容
Street	350 Commercial St NE
City	Salem
State	Oregon (OR)
ZIP Code	97301
Phone	(503) 588-6261

地址三：Oregon · Eugene

字段	填写内容
Street	975 Willamette St
City	Eugene
State	Oregon (OR)
ZIP Code	97401
Phone	(541) 682-5010

地址四：Delaware · Wilmington

字段	填写内容
Street	100 W 10th St
City	Wilmington
State	Delaware (DE)
ZIP Code	19801
Phone	(302) 576-2100

地址五：Montana · Helena

字段	填写内容
Street	316 N Park Ave
City	Helena
State	Montana (MT)
ZIP Code	59601
Phone	(406) 447-8000

地址六：New Hampshire · Concord

字段	填写内容
Street	41 Green St
City	Concord
State	New Hampshire (NH)
ZIP Code	03301
Phone	(603) 225-8600

Oregon 和 Delaware 最推荐 — 没有州税也没有地方税，最干净。

完整注册信息示例（可直接照抄）

First Name:     James
Last Name:      Smith
Country/Region: United States
Birthday:       填你自己的真实生日
Email:          你的全新邮箱
Password:       你自己设的强密码
Phone:          +86 你自己的手机号

--- 账单地址 ---
Street:         1000 SW Broadway
City:           Portland
State:          Oregon (OR)
ZIP Code:       97205
Phone:          (503) 228-2000

注册步骤（通过 App Store）

通过 App Store 注册时，付款方式可以选择「无」（support.apple.com/zh-cn/108647）。

打开 App Store，点右上角头像
如果已登录，先退出当前购买账号
点「创建新 Apple 账户」
国家或地区选择 United States
输入新邮箱
设置密码
姓名填你选好的英文名（如 James Smith）
生日填真实的
手机号填 +86 你自己的号码
付款方式选 None / 无
账单地址填你选好的免税州地址
完成邮箱和手机验证

Apple 某些场景下即使下载免费 App 也可能要求登记付款方式（support.apple.com/zh-cn/102632），这不代表你操作有误。

注册成功后：切换「媒体与购买项目」

不要退出你原来的 iCloud 主账号！ 只做这一步：

设置 → 你的姓名 → 媒体与购买项目 → 切换为美区账号

切换后的效果：

iCloud、照片、通讯录、备忘录 → 还是你的原中国区账号
App Store 下载和购买 → 走美区账号

首次下载 App 遇到问题？

免费 App 通常可以直接下载。如果系统提示验证问题，按顺序检查：

邮箱是否已验证
手机号是否已验证
国家或地区是否确实是 United States
「媒体与购买项目」是否已切到美区账号
如果系统要求付款方式，则需补充一个适用于美国区的付款方式

常见问题

看不到「无 / None」付款选项？ Apple 确认新建账号时可以选「无」，但某些场景下系统可能要求登记付款方式。

明明选了美国，验证通不过？ 检查：邮箱是否全新（从未注册过 Apple）、手机号能否正常收码、姓名/地址是否前后一致。如果持续失败，Apple 建议稍后重试。

手机号是 +86，注册美区正常吗？ 正常。账号所属地区由注册时选择的 Country/Region 决定，手机号只是验证用途。

附：把现有账号转区（不推荐，仅供参考）

如果你确实想把原中国区账号改成美区，前提条件很多：

账户余额必须清零
所有订阅必须取消并等到过期
没有待处理的退款、预购等交易
已退出家人共享
需要提供美区有效付款方式

操作路径：设置 → 你的姓名 → 媒体与购买项目 → 查看账户 → 国家/地区 → 更改为 United States

详见 Apple 官方说明（support.apple.com/zh-cn/118283）。

Apple 原话大意：如果不想输入付款方式，建议到了新的国家或地区后直接创建新账户。所以新建账号才是最省事的路线。

参考链接

MacBook Air M4/M5 进入恢复模式超详细指南

Mon, 16 Mar 2026 00:00:00 GMT

MacBook Air M4/M5 进入恢复模式超详细指南

MacBook Air M4 和 M5 芯片机型进入恢复模式（macOS Recovery）的操作方式完全相同，所有 Apple Silicon 设备都采用统一的启动逻辑，不再依赖老款 Intel 机型的键盘组合键。

恢复模式到底有什么用？

进入恢复模式后，你可以完成多项关键操作：

重装 macOS 系统
使用 Disk Utility 修复或擦除磁盘
从 Time Machine 备份恢复数据
重置忘记的登录密码（特别常见的情况是：在登录界面忘记密码，无法正常进入系统，这时只能通过恢复模式才能解锁账号）
访问 Terminal 等高级工具
重置 SMC、PRAM 等硬件设置

当系统启动失败、卡死或账号被锁住时，恢复模式就是最直接的解决方案。尤其是忘记密码被挡在登录界面外的情况，绝大多数用户都是通过这个方式重新找回系统访问权限。

准备工作

确保已插上电源适配器，避免中途断电。
如果 Mac 还能正常响应，先尝试正常关机；若无法关机，可直接进入下一步。
数据备份最好提前完成（用 Time Machine 或 iCloud），虽然恢复模式本身不会直接删除文件，但操作前有备份更安心。

进入恢复模式的完整步骤（适用于 MacBook Air M4/M5）

确认 Mac 已完全关机
如果屏幕还亮着，按住电源键（Touch ID 指纹键）最多 10 秒，直到屏幕彻底黑屏。
长按电源键调出启动选项
再次按住电源键（不要松手）。
Mac 会开机并显示“正在加载启动选项”文字或 ⚙️ Options 图标，此时即可松开电源键。
选择 Options 并继续
用触控板点击 Options（选项），再点击下方的 Continue（继续）。
选择恢复卷（如果出现提示）
选中你的启动磁盘（通常显示为 Macintosh HD），点击 Next（下一步）。
输入管理员密码
选择一个已知密码的用户账号并输入密码。
（如果正是因为忘记密码而无法登录，这里可以跳过此步，直接进入下一步重置。）
进入恢复模式实用工具窗口
成功后会看到恢复界面，包含重装 macOS、磁盘工具、从 Time Machine 恢复等选项。

忘记密码时的额外操作：
进入恢复模式后，点击菜单栏 Utilities（实用工具） → Terminal（终端），输入 resetpassword 并按回车，即可启动密码重置向导。选择对应磁盘和用户账号，按照提示设置新密码即可。完成后重启，登录界面就能用新密码进入了。

整个进入过程通常只需 20-40 秒。

退出恢复模式

操作完成后，点击左上角  Apple 菜单，选择 Restart（重新启动） 或 Shut Down（关机）。

常见问题 & 小贴士

屏幕出现感叹号、问号文件夹或无法加载启动选项时，可参考 Apple 官方“Mac 无法启动”支持页面。
M5 机型与 M4 完全一致，无需额外步骤。
需要互联网恢复模式时，在启动选项界面按住 Option-Command-R 组合键。
进入安全模式：在启动选项界面按住 Shift 键选择对应启动盘。

掌握这个操作后，即使在登录界面被密码挡住，也能快速解决。建议把步骤收藏备用，关键时刻能省下大量时间和麻烦。保持系统更新，享受 M 芯片流畅体验。

2025款 MacBook Air (M4芯片) 丝滑配置 JDK 17 保姆级教程

Sat, 14 Mar 2026 00:00:00 GMT

2025款 MacBook Air (M4芯片) 丝滑配置 JDK 17 保姆级教程

拿到搭载强悍 M4 芯片的 2025 款 MacBook Air 后，第一件事当然是搭建顺手的开发环境。作为目前企业级开发中生态最成熟、应用最广泛的长期支持版本（LTS），JDK 17 绝对是不二之选。

很多首次接触 Apple Silicon (M系列芯片) 的开发者，在安装 JDK 时经常会踩坑。今天这篇博客就来手把手带你完成 M4 Mac 上的 JDK 17 安装与环境配置。

💡 下载哪个版本最佳？

对于 M4 芯片的 MacBook Air，在版本选择上极其简单，只需认准这一个最完美的组合：

架构选择：认准 ARM64。 Apple 的 M4 芯片基于 ARM 架构，必须下载专为 Apple Silicon 优化的 ARM64 版本，才能完美发挥 M4 的满血性能。
安装包格式：选择 .dmg 格式。 .dmg 提供 macOS 原生的图形化安装引导，对系统路径的自动整合最佳，省时省力。

结论： 下载时请直接锁定 macOS ARM64 DMG Installer。

🔗 官方下载地址与步骤

我们以 Oracle 官方提供的 JDK 17 为例。

Oracle JDK 17 官网下载地址： https://www.oracle.com/java/technologies/downloads/#java17

下载步骤：

访问上述官网链接。
在操作系统选项卡中，点击 macOS。
找到 ARM64 DMG Installer 这一行。
点击右侧的下载链接（例如 jdk-17_macos-aarch64_bin.dmg）将其下载到本地。

📁 安装到哪个目录最佳？

在 macOS 上，强烈建议直接使用系统默认的 Java 目录，千万不要进行自定义安装。

最佳的安装目录是： /Library/Java/JavaVirtualMachines/

为什么这是最佳目录？

系统规范：这是 Apple 官方和 Java 社区约定的标准路径。
工具兼容性：当你使用 .dmg 安装时，安装程序会自动将 JDK 放入此文件夹。此时，macOS 内置的 /usr/libexec/java_home 工具能够自动识别并管理这个 JDK。
IDE 识别：IntelliJ IDEA、Eclipse 等开发工具会自动扫描此目录，省去了手动寻找 JDK 路径的麻烦。

安装过程：双击下载好的 .dmg 文件，打开后双击里面的 .pkg 安装包，一路点击“继续”并输入你的 Mac 锁屏密码，不到 10 秒即可安装完成。

🛠️ 环境变量配置

macOS 默认使用 zsh 作为终端环境，我们需要在 ~/.zshrc 文件中配置 JAVA_HOME。

打开终端 (Terminal)。
编辑配置文件：输入以下命令并回车，使用 nano 编辑器打开配置：

nano ~/.zshrc

写入环境变量：在文件末尾，粘贴以下两行代码：

export JAVA_HOME=$(/usr/libexec/java_home -v 17)
export PATH=$JAVA_HOME/bin:$PATH

注意：使用 /usr/libexec/java_home 动态获取路径是 macOS 独有的优雅方式，比写死绝对路径更好。 4. 保存并退出：按 Control + O 保存，按 Enter 确认，然后按 Control + X 退出编辑器。 5. 使配置生效：在终端执行以下命令：

source ~/.zshrc

✅ 验证安装

最后一步，确认我们的 M4 芯片已经成功运行了原生的 JDK 17。

在终端中输入：

java -version

如果你看到类似如下的输出，那么恭喜你，配置完美成功！

java version "17.0.x" 202X-xx-xx LTS
Java(TM) SE Runtime Environment (build 17.0.x+xx-LTS-xx)
Java HotSpot(TM) 64-Bit Server VM (build 17.0.x+xx-LTS-xx, mixed mode, sharing)

MacBook Air M5 2026 必装软件工具推荐

Sat, 14 Mar 2026 00:00:00 GMT

MacBook Air M5 2026 必装软件工具推荐

🛠️ 效率工具

1. Snipaste — 截图界的「核武器」

超级轻量截图神器，支持贴图、标注、OCR、取色，一键呼出还能当便签贴屏幕。M5 上零延迟，比系统截屏强太多！

🔗 官网下载（Mac 版）

2. Clash Verge Rev — 最优雅的科学上网客户端

Tauri 现代代理 GUI，Clash 内核 + 自动分流 + 节点测速。界面漂亮、内存极低，M5 完美适配，换节点秒秒钟。

🔗 GitHub Releases（Mac M 芯片版）

💡 推荐下载 aarch64.dmg

3. Rectangle — 免费窗口管理神器

键盘一键分屏、左半右半、四分之一、全屏，完美拯救 MacBook Air M5 小屏幕。自定义快捷键，免费无广告。

🔗 官网下载

🎬 媒体工具

4. IINA — 最强原生视频播放器

支持所有格式（4K / 8K HDR + 自动字幕），界面极简，M5 芯片满血硬件解码。追剧看片直接甩开 VLC！

🔗 官网下载

🤖 AI 编码套件

5. Codex — OpenAI 官方 AI 编码伙伴桌面版 🆕

2026 重磅新品！

官方推出的 Mac 原生 Codex App！多 AI 代理并行工作流、代码生成、重构、迁移、自动化任务、Git 集成、云工作树一应俱全。基于最新 GPT 模型，M5 芯片下响应极快，程序员生产力直接爆炸 5 倍以上！

🔗 官网直达下载（Mac 版）

6. Claude Desktop — 官方 Claude AI 客户端

Anthropic 出品的原生 Mac 桌面版 Claude，支持长上下文、代码生成、深度思考、Artifacts。比网页版更流畅、更隐私。M5 芯片下响应超快，写文档、脑暴、编程全能！

🔗 官网直达下载

🐳 开发环境

7. Docker Desktop — 容器化开发必备

官方 Docker 桌面版，一键启动容器、Compose、Kubernetes 测试环境。M5 原生支持，开发 / 测试 / 部署零配置。程序员装上等于多了一台「虚拟机农场」。

🔗 官网下载（Mac Apple Silicon）

8. JetBrains Toolbox — 全家桶 IDE 一站式管家

一键下载、更新、管理 IntelliJ IDEA、PyCharm、WebStorm、DataGrip、GoLand 等全家桶 IDE。自动版本控制、项目切换、插件同步、许可证管理，M5 芯片原生支持。再也不用一个个单独装！

🔗 官网下载（Mac 版）

🌐 浏览器

9. Google Chrome — 开发者首选浏览器

扩展生态最全、同步最丝滑、DevTools 最强。M5 上渲染速度爆表，兼容性无敌。

🔗 官网下载

🚀 安装顺序建议

优先级	软件	原因
⭐⭐⭐	Snipaste + Rectangle	截图 + 窗口，5 分钟效率起飞
⭐⭐⭐	Clash Verge Rev	网络畅通是一切的前提
⭐⭐	IINA	替换系统播放器
⭐⭐⭐	Codex + Claude Desktop	AI 编码 + 脑暴双引擎
⭐⭐⭐	Docker Desktop + JetBrains Toolbox	容器 + IDE 全武装
⭐⭐	Chrome	浏览器生态接管

MacBook Air M5 最新系统快捷键教程

Sat, 14 Mar 2026 00:00:00 GMT

MacBook Air M5 最新系统快捷键教程

一、基础操作快捷键（每天必用 Top 10）

这些是“生存技能”，记住了就能省下无数次鼠标操作：

⌘ + C：复制
⌘ + V：粘贴
⌘ + X：剪切
⌘ + Z：撤销
⌘ + Shift + Z：重做
⌘ + A：全选
⌘ + S：保存（救命！）
⌘ + W：关闭当前窗口
⌘ + Q：彻底退出 App
⌘ + Option + W：关闭当前 App 所有窗口（超级实用）

MacBook Air M5 的键盘手感极佳，⌘ 键位置完美，盲打完全没压力。

二、Finder 文件管理（文件党福音）

⌘ + N：新建 Finder 窗口
⌘ + Shift + N：新建文件夹
⌘ + O：打开选中项目
⌘ + Delete：移到废纸篓
⌘ + Shift + Delete：清空废纸篓（按 Option 可跳过确认）
空格键：快速预览（不用打开文件，秒杀！）
⌘ + I：显示简介
⌘ + Shift + .：显示/隐藏隐藏文件

三、截屏录屏快捷键（内容创作者最爱）

最新 macOS 的截屏工具已经进化到“变态”级别：

Shift + ⌘ + 3：全屏截图（自动保存桌面）
Shift + ⌘ + 4：选区截图（按空格可移动、按 Shift 锁比例）
Shift + ⌘ + 5：调出截屏工具栏（支持录屏、录制窗口、定时截屏）
Shift + ⌘ + 6：截取 Touch Bar（Air M5 没有，就跳过啦）
Control + Shift + ⌘ + 3/4：截图并直接复制到剪贴板（不用再粘贴）

录完屏还能直接编辑、加字幕，M5 的 NPU 让处理速度快到飞起。

四、窗口与多任务管理（多开党必备）

MacBook Air M5 屏幕虽小，但多任务能力超强：

⌘ + Tab：切换 App（按住后左右箭头选择）
⌘ + `（反引号键）：切换同一 App 不同窗口
Control + ↑：Mission Control（鸟瞰所有窗口）
Control + ↓：显示当前 App 所有窗口
⌘ + Control + F：进入/退出全屏
F3（或 Fn + F3）：直接进入 Mission Control

最新 macOS 的 Stage Manager 也支持快捷键：Control + ⌘ + S（设置里可开启）。

五、Spotlight 全局搜索（Mac 最强武器）

⌘ + Space：唤醒 Spotlight（全局搜索文件、App、计算、网页、甚至 ChatGPT 式问答）
⌘ + Option + Space：直接打开 Finder 高级搜索

我现在几乎所有操作都从 Spotlight 开始，真的上瘾。

六、Safari 与系统级快捷键

⌘ + T：新标签页
⌘ + Shift + T：恢复刚关闭的标签页
⌘ + L：跳转地址栏
⌘ + R：刷新
⌘ + Option + Esc：强制退出卡死 App
Control + ⌘ + Q：快速锁屏
⌘ + ,（逗号）：打开当前 App 设置

七、最新 macOS 专属优化 & 自定义技巧

最新系统新增了不少好用的组合：

Apple Intelligence 相关功能已支持语音+快捷键唤醒（设置里搜“快捷指令”）
你还可以去 系统设置 → 键盘 → 键盘快捷键 自定义任何操作，甚至给第三方 App 加专属快捷键！

新机到手别急着撕膜！MacBook Air M5 保姆级验机指南

Wed, 11 Mar 2026 00:00:00 GMT

新机到手别急着撕膜！MacBook Air M5 保姆级验机指南

MacBook Air M5 于 2026 年 3 月 11 日正式发售，搭载 10 核 CPU + 10 核 GPU、512GB 起步存储、Wi-Fi 7，起售价 $1,099。无论是线上抢购还是线下提货，拿到新机后的第一件事不是发朋友圈——而是验机。本文按重要级别从高到低，手把手走完整个验机流程。

一、开箱前：外包装检查（重要度 ★★★★★）

还没拆封就能发现问题的环节，千万别跳过。

拿到包装后先观察塑封膜是否完整，苹果的塑封工艺非常精致，撕拉条（pull tab）应该在盒子一侧整齐排列。如果塑封有明显褶皱、气泡、二次热缩的痕迹，务必警惕。

接着核对包装盒侧面的标签信息：机器型号（13 寸或 15 寸）、颜色（Sky Blue / Midnight / Starlight / Silver）、存储容量、内存配置，这些都要和自己的订单完全一致。

最后记录包装盒上的序列号，后续步骤会反复用到它。

二、序列号 & 保修验证（重要度 ★★★★★）

这一步直接决定你手里的机器是不是全新正品。

2.1 查看序列号

开机进入系统后，点击左上角菜单 → 关于本机，记录下序列号（Serial Number）。将它与包装盒底部标签上的序列号进行比对——两者必须完全一致，不一致直接退货。

2.2 Apple 官网验证

打开 Apple 官方保修查询页面：

https://checkcoverage.apple.com

输入序列号，正常全新机应该显示：

有效购买日期：✅（显示为绿色勾）
电话技术支持：有效（距过期应有约 90 天）
维修和服务保障：有效（应显示约 1 年保修）

如果查询结果显示「已激活」但日期远早于购买日期，或者直接查不到信息，那这台机器有问题。

2.3 Apple 支持页面二次确认

登录你的 Apple 账户，访问：

https://mysupport.apple.com

在「我的设备」列表中应该能看到刚激活的 MacBook Air M5。点进去确认设备信息与实物匹配。

三、屏幕检测（重要度 ★★★★★）

屏幕是每天面对时间最长的部件，有问题最难忍。

3.1 坏点 / 亮点检测

MacBook Air M5 配备 Liquid Retina 显示屏（13.6 寸 / 15.3 寸），分辨率高达 2560×1664 / 2880×1864，像素密度足够高，但坏点依然可能存在。

检测方法：

将屏幕亮度调到最高
依次全屏显示纯黑、纯白、纯红、纯绿、纯蓝五种颜色的画面
在每种颜色下仔细检查整个屏幕，尤其是四个角落和边缘区域
纯黑背景下找亮点（常亮不灭的像素），纯白背景下找暗点（始终不亮的像素）

推荐使用在线检测工具（浏览器全屏即可）：

https://lcdtech.info/en/tests/dead.pixel.htm — 经典在线坏点检测，点击切换颜色
或者直接在 Finder 中新建不同纯色的桌面壁纸，全屏查看

3.2 屏幕均匀性

在纯白和纯灰画面下，检查屏幕是否有明显的色差区域、背光不均（阴阳屏）、边缘漏光等现象。M5 款 MacBook Air 采用的是 IPS 面板，轻微边缘漏光在技术上难以完全避免，但如果漏光肉眼可见且影响观感，属于可以退换的范围。

3.3 色彩与显示质量

打开系统偏好设置中的显示器，确认：

分辨率是否正确（默认应为缩放模式下的「看起来像」选项）
P3 广色域显示是否正常（打开一张色彩鲜艳的照片，和手机或其他已知正常的屏幕对比）
True Tone 功能是否能正常开关并产生可感知的色温变化

四、硬件信息核实（重要度 ★★★★★）

确保实际硬件配置与购买配置完全一致。

4.1 系统信息

点击左上角 → 关于本机，确认以下信息：

芯片：Apple M5（10 核 CPU / 10 核 GPU）
内存：16GB / 24GB / 32GB（取决于选购配置）
存储：512GB / 1TB / 2TB / 4TB（取决于选购配置）
macOS 版本：应该是 macOS Tahoe（macOS 26）

4.2 详细硬件报告

点击 → 关于本机 → 更多信息 → 系统报告，可以查看完整的硬件信息，包括：

芯片型号和核心数
内存带宽（M5 应为 153GB/s）
SSD 型号
电池健康度（应显示「正常」，循环计数应为 0 或极低的个位数）
无线网卡信息（应支持 Wi-Fi 7 / 802.11be）

4.3 SSD 读写速度验证

Apple 宣称 M5 款 MacBook Air 的 SSD 读写速度是 M4 款的 2 倍。可以通过 Blackmagic Disk Speed Test（Mac App Store 免费下载）跑一下速度，512GB 版本的顺序读取速度应该在 3000MB/s 以上，写入速度也应有大幅提升。如果速度明显低于预期，可能是 SSD 存在问题。

五、电池检测（重要度 ★★★★☆）

5.1 循环计数

打开 系统报告 → 电源，找到「电池信息」部分：

循环计数：全新机应为 0～3 次（出厂质检可能会用掉几次）
状态：应显示「正常」
最大容量：应为 100%

如果循环计数超过 10 次，这台机器很可能被人用过。

5.2 充电测试

插上充电器，确认：

MagSafe 接口吸附是否正常、指示灯是否亮起
系统右上角电池图标是否显示「正在充电」
拔掉充电器后能否正常切换到电池供电

六、键盘 & 触控板检测（重要度 ★★★★☆）

6.1 键盘全键测试

逐个按下键盘上的每一个按键，确认：

每个键都能正常触发、不粘连、不卡键
按键手感一致，没有某个键明显偏软或偏硬
键帽无松动、无倾斜

推荐打开系统自带的键盘显示程序（辅助功能 → 键盘 → 打开辅助功能键盘）或者在在线键盘测试网站测试：

https://www.keyboardtester.com

6.2 触控板

MacBook Air M5 配备的是 Force Touch 触控板，需要检查：

触控板全区域点击是否灵敏，不存在死区
多指手势是否正常（双指滚动、三指拖拽、捏合缩放等）
Force Touch（重按）功能是否有效
触控板表面是否平整，有无异常凸起或凹陷

七、摄像头 & 麦克风 & 扬声器（重要度 ★★★★☆）

7.1 摄像头

打开 FaceTime 或 Photo Booth，检查 12MP Center Stage 摄像头：

画面是否清晰，有无明显偏色或模糊
Center Stage 功能（人物居中）是否正常跟踪

7.2 麦克风

打开语音备忘录，录制一段 10 秒左右的语音，回放确认：

录音清晰，无杂音、电流声
三麦克风阵列能正常工作

7.3 扬声器

播放一段音乐或视频，检查四扬声器系统：

左右声道是否平衡
有无破音、杂音、电流声
音量调节是否正常
空间音频（Spatial Audio）是否有效

八、端口 & 无线连接（重要度 ★★★☆☆）

8.1 Thunderbolt 4 端口

MacBook Air M5 配备两个 Thunderbolt 4 端口（均在左侧）和一个 MagSafe 充电口。逐个测试：

分别插入 USB-C 设备或充电器，确认每个端口都能正常识别和充电
端口无松动、插拔阻尼感正常

8.2 Wi-Fi 7 测试

M5 款 MacBook Air 首次搭载 Apple N1 无线芯片，支持 Wi-Fi 7（802.11be）和蓝牙 6。

连接 Wi-Fi 网络，确认能正常上网
如果有 Wi-Fi 7 路由器，可以测速验证是否达到预期带宽
确认蓝牙能正常配对设备（AirPods、鼠标等）

8.3 MagSafe 3 耳机孔

3.5mm 耳机孔在右侧，插入有线耳机测试是否正常输出声音，且插拔时是否顺畅。

九、外观检查（重要度 ★★★☆☆）

虽然放在了相对靠后的位置，但外观问题一样要在退换期内发现。

机身：铝合金外壳有无划痕、磕碰、掉漆
屏幕：合盖后屏幕与机身是否对齐，有无缝隙不均匀
转轴：开合角度是否顺畅、阻尼均匀，不松不紧
底部：螺丝是否完好、有无拆机痕迹（尤其注意螺丝十字槽是否有划痕）
脚垫：四个脚垫是否完整、是否粘贴牢固

十、软件 & 系统检测（重要度 ★★★☆☆）

10.1 系统激活状态

首次开机应该进入 macOS 的初始设置流程（选择语言 → 连接 Wi-Fi → 登录 Apple ID 等）。如果开机直接进入桌面或者已经有别人的 Apple ID 登录，说明这台机器已经被激活使用过。

10.2 系统完整性检查

打开终端，运行以下命令检查系统完整性：

# 查看 macOS 版本
sw_vers

# 查看硬件概述
system_profiler SPHardwareDataType

# 检查 SIP（系统完整性保护）状态，应显示 enabled
csrutil status

# 查看电池信息
system_profiler SPPowerDataType

10.3 Apple Intelligence 功能验证

M5 款 MacBook Air 全面支持 Apple Intelligence，可以简单验证一下：

Siri 是否支持自然语言交互
系统级 AI 功能（如写作工具中的改写、摘要）是否可用
本地大模型推理能力是否正常（如果已设置完毕的话）

十一、压力测试（可选，重要度 ★★☆☆☆）

如果时间允许，可以做一轮简单的压力测试，确保机器在高负载下不会出现异常。

同时打开多个大型应用（如 Safari 开 20+ 标签页、Xcode、Final Cut Pro 等）
观察系统是否有死机、重启、过热等异常表现
MacBook Air M5 是无风扇设计，高负载下键盘上方区域发热属正常现象，但不应烫到无法触碰

也可以使用 Geekbench 6（官网：https://www.geekbench.com）跑个分，对比官方基准数据，确认性能达标。

验机流程清单速查表

序号	检测项目	重要度	是否通过
1	外包装完整性 & 标签信息	★★★★★	☐
2	序列号一致性 & 官网保修验证	★★★★★	☐
3	屏幕坏点 / 亮点 / 均匀性	★★★★★	☐
4	硬件配置核实（芯片/内存/存储）	★★★★★	☐
5	电池循环计数 & 健康度	★★★★☆	☐
6	键盘全键 & 触控板	★★★★☆	☐
7	摄像头 / 麦克风 / 扬声器	★★★★☆	☐
8	端口 / Wi-Fi / 蓝牙	★★★☆☆	☐
9	外观完好度	★★★☆☆	☐
10	系统激活状态 & 完整性	★★★☆☆	☐
11	压力测试（可选）	★★☆☆☆	☐

涉及的官方 & 检测网址汇总

用途	网址
Apple 保修状态查询	https://checkcoverage.apple.com
Apple 支持（设备管理）	https://mysupport.apple.com
屏幕坏点在线检测	https://lcdtech.info/en/tests/dead.pixel.htm
键盘按键测试	https://www.keyboardtester.com
Geekbench 跑分	https://www.geekbench.com
Blackmagic Disk Speed Test	Mac App Store 搜索下载（免费）

写在最后

MacBook Air M5 是今天（2026 年 3 月 11 日）刚刚正式发售的新品，M5 芯片带来了显著的 AI 性能提升，存储翻倍至 512GB 起步，还有 Wi-Fi 7 加持。但再好的产品也难免有个体差异，花了大几千甚至上万的钱，多花 20 分钟验机是非常值得的投入。

如果在验机过程中发现任何问题，Apple 提供 14 天无理由退货政策（官方渠道购买）。发现问题第一时间联系购买渠道，不要拖延。

祝大家都能拿到一台完美的 MacBook Air M5。

MacBook 2025 M4 笔记本 JetBrains IDEA 全家桶最正规安装教程

Sat, 07 Mar 2026 00:00:00 GMT

MacBook 2025 M4 笔记本 JetBrains IDEA 全家桶最正规安装教程

适用范围： MacBook Air / Pro 2025 M4、Apple Silicon、macOS 本文中的“IDEA 全家桶”，按 JetBrains 官方推荐方式理解为：先安装 JetBrains Toolbox，再按需安装 IntelliJ IDEA、WebStorm、PyCharm、GoLand、DataGrip、PhpStorm、CLion、Rider 等 IDE，而不是分别去找独立安装包。JetBrains 官方文档明确把 Toolbox App 作为安装 JetBrains 产品的推荐入口，并提供完整产品线。(jetbrains.com)

一、先说结论

在 M4 MacBook 上，最正规、最省心、后续维护成本最低的安装方式只有一套：从 JetBrains 官网下载 Apple Silicon 版 JetBrains Toolbox，拖入 Applications，登录 JetBrains Account，然后在 Toolbox 中按需安装各 IDE；需要固定旧版本时，用 Available versions 安装指定版本；需要回滚时，也直接交给 Toolbox 管理。JetBrains 官方文档同时说明，macOS 下 Intel 和 Apple Silicon 是分开的磁盘映像，M4 机器应选择 Apple Silicon 版本。(jetbrains.com)

截至 2026 年 1 月的官方文档，Toolbox App 本身不需要许可证，系统要求为 macOS 10.15 及以上，因此 2025 年的 M4 MacBook 完全在支持范围内。(jetbrains.com)

二、安装前先准备好这 3 件事

1）明确你装的是“Toolbox + 多个 IDE”，不是只装 IntelliJ IDEA

JetBrains 官方产品页列出了 IntelliJ IDEA、WebStorm、PyCharm、GoLand、PhpStorm、DataGrip、CLion、Rider 等多种 IDE；如果你说的是“IDEA 全家桶”，最规范的理解不是一次性胡乱装满，而是先装 Toolbox，再按你的技术栈安装对应 IDE。(jetbrains.com)

2）准备 JetBrains 账号

IntelliJ IDEA 等产品可以通过 JetBrains Account 登录并拉取你已购买的许可证；JetBrains 也提供 All Products Pack 这类全家桶订阅。如果你用的是预览版 EAP，官方说明它随附 30 天许可并需要登录 JetBrains Account 启用。(jetbrains.com)

如果你只是个人非商业用途，JetBrains 目前对部分 IDE 提供 non-commercial 许可，但覆盖范围不是全部产品，所以不要想当然地把所有 IDE 都当成“默认免费”。购买或激活前，最好按你实际会用到的 IDE 核对官网许可说明。(JetBrains 销售)

3）确定你要用稳定版还是预览版

正式开发环境优先装稳定版；只有在你明确要抢先体验新特性、接受潜在兼容性波动时才装 EAP。Toolbox 支持查看 Available versions，也支持保留旧版本用于回滚，这正是它比手动逐个安装更正规的地方。(jetbrains.com)

三、正式安装：MacBook 2025 M4 的标准流程

第一步：下载 Apple Silicon 版 JetBrains Toolbox

进入 JetBrains 官方 Toolbox 页面，下载 macOS 对应的 .dmg。官方安装文档明确说明，Intel 和 Apple Silicon 是分开的磁盘映像；你的机器是 M4，所以应当下载 Apple Silicon 版，而不是 Intel 版。(jetbrains.com)

第二步：把 Toolbox 拖入 Applications

挂载下载好的 .dmg 后，把 JetBrains Toolbox 拖到 Applications 文件夹。这一步就是 JetBrains 官方文档在 macOS 下给出的标准安装动作。(jetbrains.com)

第三步：首次打开 Toolbox

打开 Applications → JetBrains Toolbox。如果 macOS 因安全策略拦截启动，先尝试正常打开一次；如果仍被阻止，按 Apple 官方方法进入 System Settings → Privacy & Security，在 Security 区域点击 Open Anyway，再输入登录密码确认。Apple 说明这个按钮在你首次尝试打开应用后的大约 1 小时内可用。(苹果支持)

第四步：登录 JetBrains Account

Toolbox 本身不需要许可证，但你安装的具体 IDE 是否需要激活，取决于产品和许可类型。登录 JetBrains Account 的好处是：购买过的许可证能自动拉取；EAP、订阅型产品、同步设置等也都更顺手。IntelliJ IDEA 官方文档说明，登录后 IDE 会显示许可证列表，点击 Activate 即可启用。(jetbrains.com)

第五步：在 Toolbox 里安装你需要的 IDE

打开 Toolbox 后，直接搜索并安装你需要的产品，例如：

IntelliJ IDEA
WebStorm
PyCharm
GoLand
DataGrip
PhpStorm
CLion
Rider

这些产品都在 JetBrains 官方产品体系中，且 Toolbox 是官方推荐的统一安装入口。(jetbrains.com)

第六步：需要指定版本时，不要手工找旧包

如果你的项目绑定某个旧版 IDE，不要去第三方站点找安装包。JetBrains 官方文档给出的做法是在 Toolbox 的实例菜单里点 Available versions，然后安装你需要的版本。这样最干净，也最方便后续升级和回滚。(jetbrains.com)

四、最推荐的安装顺序

如果你主要做 Java 后端，最合理的顺序通常是：

IntelliJ IDEA
DataGrip
WebStorm
其他按技术栈补装，如 PyCharm / GoLand / Rider / CLion / PhpStorm

这样做的原因很简单：先把主力 IDE、数据库客户端、前端 IDE 装好，你的主开发环境就完整了。这个顺序本身是经验建议；而“这些产品都可以统一由 Toolbox 安装管理”这一点来自 JetBrains 官方。(jetbrains.com)

五、安装完成后，第一次启动一定要做的标准初始化

1）先启用设置同步，不要再用过时的 Settings Repository

JetBrains 现行文档已经把 Settings Repository 标记为 deprecated，并明确推荐使用 Backup and Sync / 设置备份与同步。它可以在不同 JetBrains IDE、不同机器之间同步你的配置、快捷键、主题和部分 IDE 设置。(jetbrains.com)

标准做法是：先在你的主力 IDE（通常是 IntelliJ IDEA）里完成一轮基础配置，再开启同步，这样后续 WebStorm、DataGrip、GoLand、PyCharm 的体验会更统一。关于是否“什么都同步”，建议只同步真正稳定且通用的配置，比如 keymap、theme、editor code style、plugins policy；项目级配置仍按项目独立管理。前半句关于跨 IDE 同步能力来自官方文档。(jetbrains.com)

2）配置命令行启动器

如果你希望在终端里直接打开项目，Toolbox 支持设置 Shell scripts location。JetBrains 文档说明，Toolbox 默认会把 shell script 放到系统 PATH 中的目录，这样你就能从任意工作目录直接用脚本名启动 IDE。(jetbrains.com)

对 Mac 开发者来说，这一步很有用。配置好后，你就可以把“终端 → 打开项目 → 进入 IDE”这个动作做得非常顺手。常见做法是给主力 IDE 保留简单脚本名，并在有多个同产品版本时给脚本改名，JetBrains 也支持为单个实例修改脚本名。(jetbrains.com)

3）插件要克制，别一上来全装

JetBrains 官方插件文档支持手动更新、自动更新、禁用和卸载插件，并明确说明不需要的插件可以禁用。对于新机器，最稳的做法不是一口气装一堆插件，而是先用官方内置能力，按项目需要逐步补。(jetbrains.com)

建议第一批只保留最核心的插件。所有“看起来很酷但暂时不需要”的插件都往后放。这个建议是经验结论；官方事实部分是插件可禁用、可卸载、可自动更新。(jetbrains.com)

4）Java 开发先把 Project SDK 配对好

如果你本机还没有合适的 JDK，也不用先去外面单独装。JetBrains 提供的官方指引说明，IDE 内可以直接 Download JDK，选择厂商、版本和安装路径完成下载；如果已经安装，只要把本地 JDK 目录加进去即可，典型路径示例是 /Library/Java/JavaVirtualMachines/...。(jetbrains.com)

对于 Java 开发者，要特别分清两件事：项目 JDK 和 IDE 自己运行用的 Boot Runtime 不是一回事。项目 JDK 影响你的编译、运行、测试；Boot Runtime 是 IDE 自己的运行时。大多数情况下，你只需要配项目 JDK，不要随意改 IDE 的 Boot Runtime。(jetbrains.com)

5）不要随便改 IDE 的 Boot Runtime

JetBrains 文档允许你切换 IDE 自己的 Java runtime，也支持 Add Custom Runtime，但官方同时提醒：非默认 runtime 不会随 IDE 一起更新，升级后还可能出现兼容性问题；如果升级 IDE，最好回到默认 JetBrains Runtime。(jetbrains.com)

所以在 M4 MacBook 上，除非你遇到非常明确的兼容性问题，否则最正规的做法就是：项目 JDK 自己配，IDE Runtime 维持默认。这能把升级风险降到最低。前半句来自官方，后半句是基于官方行为约束给出的操作建议。(jetbrains.com)

六、各 IDE 安装后最少要补的环境项

1）IntelliJ IDEA

IntelliJ IDEA 的核心是先把项目 JDK 配对好；需要时通过 IDE 直接下载 JDK。(jetbrains.com)

2）WebStorm

WebStorm 并不是“装完就能跑所有前端项目”，它需要 Node.js runtime。官方文档说明：如果标准方式安装了 Node.js，WebStorm 通常会自动检测；如果没有检测到，可以到 Settings → Languages & Frameworks → JavaScript Runtime 手动配置本地 Node.js runtime，也可以直接把系统 node 设为项目默认 runtime。(jetbrains.com)

3）PyCharm

PyCharm 的核心不是“装 IDE”，而是“给项目指定 Python interpreter”。官方文档说明，在创建新项目时就需要指定解释器；也可以进入 Python | Interpreter 修改、添加本地解释器，或者直接创建 virtualenv。(jetbrains.com)

4）GoLand

GoLand 需要配置 Go SDK。官方文档说明，GOROOT 决定项目使用哪个 Go SDK；你可以直接在 IDE 里下载 Go SDK，也可以指向本地安装；GOPATH 则可以按全局、项目或模块粒度分别设置。(jetbrains.com)

5）PhpStorm

PhpStorm 需要本机已有 PHP engine。官方文档说明，在配置本地 PHP interpreter 之前，要先确保本机已经安装 PHP；随后在 PhpStorm 里配置本地或远程 interpreter。(jetbrains.com)

6）DataGrip

DataGrip 是数据库客户端，不是数据库服务器。官方文档说明，它连接数据库时需要 host、port、password、SSH 等连接信息，并把这些信息保存在 data source 中；无论连本地数据库还是远程数据库，前提都是数据库服务本身已经可用。(jetbrains.com)

7）Rider

Rider 会自动检测 .NET CLI 路径，但在非标准环境下也允许你手动指定；JetBrains Rider 文档中的 Toolset and Build 页面还列出了 macOS 上的 Mono executable path 配置项。也就是说，Rider 安装完后，你还应检查一下 .NET CLI executable path 是否被正确识别。(jetbrains.com)

8）CLion

CLion 的关键不是“装 IDE 完成”，而是“toolchain 配好没有”。JetBrains 文档说明，CLion 的 toolchain 包含 CMake、build tool、C/C++ compiler、debugger 和工作环境；在 macOS 上通常选 System 本地 toolchain，必要时切换自定义 CMake、编译器、LLDB/GDB。(jetbrains.com)

七、日常维护的正规做法

1）升级：优先走 Toolbox

Toolbox 的价值不只是安装，还包括统一升级、自动更新、降级和回滚。官方产品页和 FAQ 都明确提到它支持 update、rollback/downgrade，并且可以保留已安装的旧版本用于快速回滚。(jetbrains.com)

2）卸载：不要直接乱删

如果某个 IDE 是通过 Toolbox 安装的，JetBrains 官方给出的正规卸载方式是在 Toolbox 里点对应实例的工具菜单，然后选 Uninstall。直接手工删应用本体不是官方推荐的清理路径。(jetbrains.com)

3）多版本共存：允许，但要有规则

JetBrains 的安装文档和 CLion 文档都说明可以同时保留多个版本实例，包括 release 和 EAP。更稳的做法是：稳定版做生产，EAP 单独做测试；同类 IDE 多实例时，把 shell script 名称改清楚，避免命令行调用混乱。(jetbrains.com)

八、最容易踩的坑

坑 1：M4 机器装了 Intel 版

Apple Silicon 机器本来就应该优先选 Apple Silicon 安装包；JetBrains 官方文档已经明确区分 Intel 与 Apple Silicon 的磁盘映像。最稳的做法就是一开始下对包。(jetbrains.com)

坑 2：把“项目 JDK”当成“IDE Runtime”

项目 JDK 在 Project Structure 配；IDE runtime 是 Boot Runtime。二者功能不同，升级策略也不同。很多新机器“能开 IDE 但项目跑不起来”，本质是项目 SDK 没配对，而不是 IDEA 没装好。(jetbrains.com)

坑 3：一股脑装十几二十个插件

JetBrains 官方允许禁用、卸载、自动更新插件，也建议通过插件设置管理它们。对新机器来说，插件越多，变量越多；先保持最小可用集合，通常最稳。(jetbrains.com)

坑 4：还在用 Settings Repository

官方已经把它标为 deprecated，并推荐 Backup and Sync。新机器、新环境、新版本，直接从现行方案开始，不要再走旧同步链路。(jetbrains.com)

坑 5：把 DataGrip 当数据库本体

DataGrip 只负责连接和管理数据库；数据库服务本身仍要你本地或远程部署好，再把连接信息配置进 data source。(jetbrains.com)

九、给 M4 MacBook 的最终推荐方案

如果你是标准开发者工位，直接这样装最稳：

JetBrains Toolbox（Apple Silicon）
IntelliJ IDEA
DataGrip
WebStorm
其余按语言再装：PyCharm / GoLand / Rider / CLion / PhpStorm
开启 Backup and Sync
配置 Shell scripts location
IntelliJ IDEA 内把 JDK 配好
插件只装必要项
所有升级、降级、卸载一律走 Toolbox

这套方案最符合 JetBrains 官方推荐路径，也最适合 MacBook 2025 M4 这种 Apple Silicon 机器：安装路径统一、版本管理统一、后续升级统一、问题排查也最容易。(jetbrains.com)

十、一句话总结

在 MacBook 2025 M4 上安装 IDEA 全家桶，最正规的方式不是到处下载单独安装包，而是：只从 JetBrains 官网下载 Apple Silicon 版 Toolbox → 用 Toolbox 统一安装和管理 IDE → 用 Backup and Sync 统一配置 → 按项目分别补 JDK / Node / Python / Go / PHP / .NET / C++ toolchain。这套路径和 JetBrains 当前官方文档是一致的。(jetbrains.com)

MacBook Air 2025 M4 — 退货 / 转卖前彻底清除数据教程

Sun, 01 Mar 2026 00:00:00 GMT

下面是修复后的完整稿，标题保持不变：

MacBook Air 2025 M4 — 退货 / 转卖前彻底清除数据教程

适用机型： MacBook Air（13 英寸 / 15 英寸，M4，2025）｜Apple Silicon。Apple 于 2025 年 3 月发布这一代 MacBook Air。(苹果支持) 适用系统： 本文核心方法“抹掉所有内容和设置”适用于 macOS Monterey 12 及以上；但 2025 款 M4 Air 实际通常运行 macOS Sequoia / Tahoe 等更新版本。(苹果支持) 更新日期： 2026 年 3 月 6 日

📌 先说结论

如果你的 Mac 能正常进入系统，最稳妥的顺序是：

备份你要留下的数据
可选预清理： 手动删除最敏感的本地文件，并清倒废纸篓
执行 “抹掉所有内容和设置”（Erase All Content and Settings）
抹掉完成后停在欢迎界面 / 设置助理，不要继续设置、不要登录 Apple 账户、不要重新配对你自己的蓝牙设备，直接关机交付。Apple 官方明确建议：如果你要出售、赠送或折抵 Mac，就停在这里。(苹果支持)

关键点： 第 2 步只是“预清理”，不是决定数据不可恢复的核心；真正关键的是第 3 步。对 Apple Silicon Mac 的内置 SSD，Apple 官方安全模型依赖的是 APFS 加密、Secure Enclave 中的密钥保护，以及抹掉时的密钥安全删除 / 快速安全擦除，而不是“覆写 7 次 / 35 次”。Apple 的“磁盘工具”对 SSD 也没有多次安全覆写选项。(苹果支持)

一句更严谨的话： 对正常退货 / 转卖场景，这套流程已经是 Apple 官方、正确且足够达到“不可恢复级”效果的做法。(苹果支持)

一、操作前确认事项

🗂️ 1. 先备份你真正要留的数据

执行抹掉会清空这台 Mac 上的设置、数据和 App。请先把你要留的内容转走，再开始。(苹果支持)

建议至少检查这些位置和类型：

桌面、下载、文稿、照片、影片、PDF、压缩包
浏览器书签、已保存密码、下载记录
微信 / QQ / Telegram 等聊天 App 的本地文件
IDE 配置、SSH 密钥、项目代码、虚拟机、Docker 数据卷、数据库文件
本地邮箱归档、扫描件、合同、发票照片
外接硬盘、U 盘、SD 卡、TF 卡中的文件

如果你给这台 Mac 开过 Time Machine，要特别注意两件事：第一，Time Machine 备份盘本身就能恢复旧文件，抹掉 Mac 内置盘不会顺带清空备份盘；第二，Mac 还可能保存本地快照，它们可以保留最近版本的文件。也正因为如此，只删文件 / 只清空废纸篓，不能当成整机彻底清除。(苹果支持)

🔑 2. 准备好这几样东西

Mac 管理员登录密码
Apple 账户密码
可用网络（抹掉后激活、恢复模式、重装 macOS 都可能需要联网）(苹果支持)

🔌 3. 把不该交出去的东西先拔掉

外接硬盘、U 盘、SD 卡、加密盘、USB Key、读卡器、Time Machine 备份盘，先全部拔掉并单独检查。你抹掉的是这台 Mac 的内置盘，不是这些外部存储。 Time Machine 备份盘尤其不要一并交出去。(苹果支持)

二、标准做法 — 使用“抹掉所有内容和设置”

这是 Apple Silicon Mac 的首选方案。Apple 官方说明，这项功能可以快速安全地抹掉所有设置、数据和 App，同时保留当前安装的操作系统；而 Apple 的“磁盘工具”文档也明确写着：如果你是在为折抵、出售或赠送准备 Apple 芯片 Mac，应该优先使用“抹掉助理”。(苹果支持)

Step 0 — 可选预清理：先手动删最敏感的文件，再清倒废纸篓

如果你想把流程做得更“稳”，可以在正式整机抹掉前，先手动删除最敏感的本地文件，例如：

桌面 / 下载 / 文稿里的私人文档
本地照片、扫描件、证件 PDF、压缩包
微信 / QQ / Telegram 下载目录里的附件
开发目录里的 .pem / .key / .env / 数据库导出文件
虚拟机镜像、Parallels / UTM / Docker 本地数据
浏览器下载目录、临时导出文件

删除后，清倒废纸篓。这一步的意义，是在你正式整机抹掉前，先把最敏感的内容从“日常可见状态”中移走，减少中间环节暴露面。但不要把这一步当成最终清除；如果你开着 Time Machine，本地快照仍可能保留最近版本，真正决定“交机后不可恢复”的仍然是后面的整机抹掉。(苹果支持)

Step 1 — 进入抹掉入口

macOS Ventura 13 或更高版本：  > 系统设置 > 通用 > 传输或还原 > 抹掉所有内容和设置
macOS Monterey 12：  > 系统偏好设置 > 菜单栏“系统偏好设置” > 抹掉所有内容和设置 (苹果支持)

Step 2 — 输入管理员密码

系统会打开 “抹掉助理”，输入你的 Mac 登录密码。(苹果支持)

Step 3 — 查看清除摘要并确认

系统会列出即将关闭或删除的项目，包括设置、媒体、数据、App 等。这不会影响你其他 Apple 设备上的内容。 如果系统先询问你是否要做 Time Machine 备份，确认你已经备份完再继续。(苹果支持)

Step 4 — 按提示退出 Apple 账户

如果系统要求你退出 Apple 账户和相关服务，输入 Apple 账户密码继续。(苹果支持)

Step 5 — 确认执行抹掉

点击 “抹掉所有内容和设置”。Mac 会自动重新启动；启动过程中，系统可能要求你连接蓝牙键盘 / 鼠标、接入 Wi‑Fi，并完成激活。(苹果支持)

Step 6 — ⚠️ 到欢迎界面立刻停下，不要继续设置

抹掉完成后，Mac 会进入设置助理。如果这台机器要退货 / 卖掉 / 赠送 / 折抵，不要继续往下设置，不要登录 Apple 账户，不要重新连接你原来用的蓝牙设备。 直接长按电源键关机即可。Apple 官方就是这样要求的。(苹果支持)

三、“防数据恢复”够不够？

对正常退货 / 转卖场景，够了。 原因不是“抹掉时写了多少遍 0”，而是 Apple Silicon Mac 的数据本来就建立在硬件级加密体系上。(苹果支持)

1）即使你没开 FileVault，内置盘也不是“裸盘”。 Apple 文档写得很明确：在搭载 Apple 芯片或 T2 芯片的 Mac 上，即使初次设置时没有启用 FileVault，内部宗卷仍会加密；只是密钥保护方式不同。Apple 还说明，APFS 宗卷默认就会创建宗卷加密密钥，相关密钥处理发生在 Secure Enclave 中。(苹果支持)

2）抹掉的本质，是让旧数据失去“可解密的钥匙”。 Apple 文档写明：删除 FileVault 宗卷时，宗卷加密密钥会由 Secure Enclave 安全删除；同时，媒介密钥的设计目标之一就是实现快速、安全的数据删除。少了这些密钥，旧数据即使还以电荷形式存在，也无法正常解密访问。(苹果支持)

3）文件本身还是细粒度加密的。 Apple 平台安全文档说明，数据宗卷中新建文件时，会生成新的 256 位文件独有密钥；在 A14–A18 和 M1–M4 设备上，使用 AES‑256 XTS。(苹果支持)

4）SSD 不走“多次覆写”路线。 Apple 的“磁盘工具”文档明确写明：SSD 没有“安全抹掉”选项。所以，不要再折腾第三方擦盘软件，也不要执着于“覆写 7 次 / 35 次”。对这台机器，官方正确路线就是：

能进系统：用 “抹掉所有内容和设置”
进不了系统：用 恢复模式抹盘 + 重装 (苹果支持)

所以结论很简单： “手动删文件 + 清空废纸篓”可以做，但它只是前置整理；真正让这台机器适合交付给下一任用户的，是 Apple 官方的整机抹掉流程。尤其在启用 Time Machine 的情况下，只删文件并不等于历史版本已经消失。(苹果支持)

四、备用方案 — 恢复模式抹盘 + 重装

适用于以下情况：

“抹掉所有内容和设置”入口异常
系统损坏，无法正常进入桌面
你就是想走恢复模式重置全机

Apple 官方针对 Apple 芯片 Mac 的路径是：先进入 macOS 恢复，再用磁盘工具抹掉 Macintosh HD / 抹掉宗卷组，然后如需交付给别人，再重新安装 macOS。(苹果支持)

Step 1 — 关机并进入恢复模式

先让 Mac 完全关机。
再次按住电源按钮，直到看到“正在载入启动选项”或“选项”图标。
点按 “选项”，再点 “继续”。
如果系统要求，选择启动宗卷并输入管理员密码。(苹果支持)

Step 2 — 打开磁盘工具

在“恢复”中的实用工具窗口里，选择 “磁盘工具”，然后点 “继续”。(苹果支持)

Step 3 — 抹掉启动盘

在边栏 “内置” 区域确认能看到 Macintosh HD。
如果你曾手动创建过其他内置宗卷，先把那些额外宗卷删掉。
选中 Macintosh HD。
点 “抹掉”；名称填 Macintosh HD，格式选 APFS。
如果界面出现 “抹掉宗卷组”，优先点它。
如系统要求 Apple 账户信息，按提示输入。(苹果支持)

Step 4 — 联网激活

Mac 重新启动后会尝试激活，这一步需要互联网连接。激活完成后，退出回到恢复实用工具界面。(苹果支持)

Step 5 — 重装 macOS

在实用工具窗口中选择 “重新安装 macOS”，然后按提示完成安装。安装过程中不要让 Mac 休眠或合上上盖。(苹果支持)

Step 6 — 到欢迎界面后关机，不要登录

重装完成后，机器会进入欢迎界面 / 设置助理。到这里就停下，直接关机。 不要再继续配置。(苹果支持)

五、别忽略 Activation Lock 和“查找我的 Mac”

如果你是转卖、赠送、折抵给别人，除了抹掉数据，还要确保设备不再绑定你的 Apple 账户。Apple 文档写明：关闭 Mac 上的“查找”时，激活锁也会自动移除。(苹果支持)

macOS 15+ 的手动路径

 > 系统设置 > [你的名字] > iCloud > 已存至 iCloud > 查看全部 > 查找我的 Mac > 关闭 (苹果支持)

你更该记住的结论

如果你使用了 “抹掉所有内容和设置”，流程里通常就会要求你退出 Apple 账户。(苹果支持)
但更稳妥的做法是：交机前，再检查一次这台 Mac 是否还挂在你的“查找”设备列表里。
如果你在 iCloud / 查找 里已经看不到这台设备，通常就说明绑定已经清干净了。(苹果支持)

六、已经交付了才发现没清干净？

别慌，Apple 官方给了补救路径。(苹果支持)

处理顺序

登录 iCloud.com 的“查找设备”
选中这台 Mac
先执行 远程抹掉设备
抹掉完成后，再点 “移除此设备”

如果设备当前离线，远程抹掉会在它下次联网时执行。而“移除此设备”这一步很关键，因为它对应的是把这台 Mac 从你的 Apple 账户 / 激活锁关系里彻底移除。(苹果支持)

七、交机前最后检查清单

交机前，至少再过一遍这 8 项：(苹果支持)

[ ] 需要保留的数据已经备份
[ ] 可选预清理已做完：敏感文件已手动删除、废纸篓已清倒
[ ] 已执行 “抹掉所有内容和设置”，或 恢复模式抹盘 + 重装
[ ] 机器停留在欢迎界面 / 设置助理
[ ] 没有再登录 Apple 账户
[ ] 没有在抹掉后重新连接你自己的蓝牙键盘 / 鼠标 / 触控板
[ ] Find My / Activation Lock 已解除
[ ] Time Machine 备份盘、外接硬盘、U 盘、SD 卡、USB Key、读卡器都已拔走

再额外看一眼包装和包内附件，别把这些一起交出去：

恢复密钥纸条
Apple 账户便签
发票照片 / 扫描件
任何记着密码的纸片或 U 盘

八、一句话总结

先备份 → 可选预清理（删敏感文件、清废纸篓）→ 用 Apple 官方“抹掉所有内容和设置” → 到欢迎界面立刻关机 → 再确认“查找 / 激活锁”已移除。

对 Apple Silicon + 内置 SSD 的 Mac，这就是官方、正确、足够安全的交机方式。(苹果支持)

🔗 参考资料（Apple 官方）

抹掉 Mac 并还原为出厂设置：(苹果支持)
在出售、赠送、折抵或回收 Mac 前该怎么做：(苹果支持)
使用“磁盘工具”抹掉搭载 Apple 芯片的 Mac：(苹果支持)
如何从“macOS 恢复”启动：(苹果支持)
如何重新安装 macOS：(苹果支持)
在 macOS 中使用文件保险箱加密宗卷：(苹果支持)
数据保护概览：(苹果支持)
在“磁盘工具”中抹掉并重新格式化存储设备：(苹果支持)
Mac 激活锁 / 关闭“查找”：(苹果支持)
从 iCloud.com 的“查找设备”中移除设备：(苹果支持)
关于 Time Machine 本地快照：(苹果支持)

如果你要，我可以顺手再给你整理一版“更像公众号成稿”的润色版，或者一版“更像操作手册”的极简版。

Mac mini 安装 ToDesk 被控端完整教程

Sat, 28 Feb 2026 00:00:00 GMT

Mac mini 安装 ToDesk 被控端完整教程

本文适用于把 Mac mini 配置为 ToDesk 被控端。个人/家庭场景下，不需要单独寻找"被控端专用安装包"，直接安装 ToDesk 个人版 macOS 客户端即可作为被控设备使用。

一、先看懂整体流程

在开始安装前，先把整个远程控制流程搞清楚。你只要记住一句话：

谁要被控制，就输入谁的设备码。

角色	设备	说明
被控端	Mac mini	被远程操作的那台机器
控制端	Windows / Mac / iPhone / iPad / 安卓手机	你手里用来远程连接它的设备

1. 被控端（Mac mini）要做什么

安装 ToDesk macOS 版
首次打开后，给全权限：辅助功能、录屏与系统录音、完全磁盘访问权限
配置开机自动运行、后台运行
配置节能设置，避免主机自动睡眠
打开 ToDesk 后，记下这台 Mac mini 自己显示的设备码 — 这就是后续让别的设备来连接它时要输入的码

2. 控制端要做什么

安装 ToDesk
打开 ToDesk
在控制端的连接框里，输入 Mac mini（被控端）显示的设备码
发起远程连接

⚠️ 注意：输入的不是控制端自己的设备码，而是被控端 Mac mini 的设备码。

3. 临时远程控制流程

在 Mac mini 被控端打开 ToDesk
看到这台 Mac mini 的设备码
在控制端输入这个 Mac mini 的设备码
发起连接
按界面提示：在被控端点同意，或输入被控端显示/设置的临时访问凭证

4. 无人值守远程流程

在 Mac mini 被控端安装并配置好 ToDesk（全权限 + 自动启动 + 防睡眠）
在被控端配置长期访问方式（如无人值守访问密码，具体名称以当前版本界面为准）
后续在控制端输入：Mac mini 的设备码 + Mac mini 上设置的长期访问密码
即使 Mac mini 身边没人，也可以直接远程进入

5. 最关键的记忆点

✅ 正确	❌ 错误
连接时输入被控端 Mac mini 的设备码	输入控制端自己的设备码
想长期无人值守，在被控端配好长期访问密码	在控制端配置密码

二、官方下载地址与当前页面版本

ToDesk 官网下载中心： https://www.todesk.com/download.html

页面可切换 ToDesk 个人版 与 ToDesk 企业版。本文选择：ToDesk 个人版 → macOS。

当前页面显示版本（截图时间点）：

平台	版本
Windows	V4.8.5.1
macOS	V4.8.5.1
Linux	V4.8.5.1
iOS	V4.8.5.1
Android	V4.8.6.0
TV	V4.7.205

💡 以上版本号来自截图，如官网更新，以下载中心实时显示为准。

三、下载与安装 ToDesk

打开 ToDesk 官网下载中心，进入 ToDesk 个人版 页面
点击 macOS 下载
下载完成后，打开「下载」文件夹，双击安装包并按界面提示完成安装

如果出现 "来自未知开发者" 或 "无法打开" 的提示，不要关闭系统安全功能，正确处理方式：

苹果菜单 → 系统设置 → 隐私与安全性 → 安全性 → 打开 → 仍要打开

「仍要打开」按钮会在你尝试打开该 App 后的一小时内可用。

四、首次打开后必须给全权限

🔑 这一步是 Mac mini 能否真正作为被控端稳定工作的关键。

权限不完整时，最常见的问题：能连接但黑屏、能看不能点、键盘鼠标无响应、文件传输异常。

所有权限都在：苹果菜单 → 系统设置 → 隐私与安全性

1. 辅助功能

系统设置 → 隐私与安全性 → 辅助功能

作用： 允许 ToDesk 控制鼠标、键盘等输入行为。

不开会怎样？能看到画面，但点不了、键盘输入没反应。

2. 录屏与系统录音

系统设置 → 隐私与安全性 → 录屏与系统录音

作用： 允许 ToDesk 获取屏幕内容。

不开会怎样？能连上，但看不到完整桌面，或只有壁纸/黑屏。

3. 完全磁盘访问权限

系统设置 → 隐私与安全性 → 完全磁盘访问权限

作用： 允许 ToDesk 在文件传输、拖拽、访问文件时更完整地工作。

这项不是最基础的连接前提，但强烈建议开启，尤其是有以下需求时：拖拽传文件、远程复制粘贴文件、远程文件管理。

五、设置 ToDesk 开机后自动运行

如果 Mac mini 要长期作为被控主机使用，建议把 ToDesk 加到登录项并允许后台运行。

苹果菜单 → 系统设置 → 通用 → 登录项与扩展

建议检查两项：

[x] ToDesk 已加入登录项
[x] ToDesk 已允许在后台运行

没配好的后果：重启后 ToDesk 没自动起来、后台被系统限制、远程时发现机器不在线。

六、把 Mac mini 设成长期可远程的电源模式

苹果菜单 → 系统设置 → 节能

部分系统版本名称可能显示为「能源」，配置逻辑一致。

设置项	建议	说明
防止自动进入睡眠	✅ 勾选	允许屏幕关闭，但不让 Mac mini 主机自动睡眠。最重要的一项。
唤醒以供网络访问	✅ 打开	即使设备进入较低功耗状态，也尽量保持网络访问能力
断电后自动启动	✅ 打开	断电来电恢复后 Mac mini 自动重新启动，不需要人到现场手动开机

七、如何从另一台设备连接这台 Mac mini

ToDesk 支持多平台互联，可用 Windows / Mac / iPhone / iPad / 安卓手机作为控制端。

方式一：临时远程连接

在 Mac mini 被控端打开 ToDesk
记下 Mac mini 自己显示的设备码
在控制端打开 ToDesk
在控制端输入框里，输入 Mac mini 的设备码
发起连接
按界面提示，在被控端确认连接或输入对应访问凭证

方式二：长期无人值守连接

在 Mac mini 被控端安装并配置好 ToDesk（全权限 + 自动启动 + 防睡眠）
在被控端设置长期访问密码（具体名称以当前版本界面为准）
后续在控制端输入：Mac mini 的设备码 + Mac mini 上设置的长期访问密码

⚠️ 最容易搞错的点： 要控制哪台设备，就输入哪台设备的码。控制 Mac mini → 输入 Mac mini 的设备码，不是输入你手机或控制端电脑自己的码。

八、安装完成后必须做一次自测

安装完后，不要直接离开机器，先做一次完整测试：

基础连接测试：

[ ] Mac mini 本机能否正常打开 ToDesk
[ ] 另一台设备能否正常发起连接
[ ] 连接后能否看到完整桌面
[ ] 鼠标是否可以点击
[ ] 键盘是否可以输入

文件传输测试（如有需求）：

[ ] 文件拖拽
[ ] 复制粘贴文件
[ ] 文件管理器传输

九、常见问题排查

1. 能安装，但打不开

系统设置 → 隐私与安全性 → 打开 → 仍要打开

2. 能连接，但看不到画面或只有壁纸

系统设置 → 隐私与安全性 → 录屏与系统录音

3. 能看到画面，但点不了、键盘没反应

系统设置 → 隐私与安全性 → 辅助功能

4. 文件拖拽或文件传输异常

检查以下三项：

ToDesk 是否已更新到官网下载中心当前版本
完全磁盘访问权限是否已开启
辅助功能是否已开启

5. 放一段时间后连不上

系统设置 → 节能 → 是否勾选「防止自动进入睡眠」

没开的话，Mac mini 可能自动进入睡眠，导致远程连接变差或直接失败。

6. 重启后不在线

系统设置 → 通用 → 登录项与扩展

确认 ToDesk 已加入登录项，并已允许后台运行。

7. iPhone 上出现 "remote control is not supported on ios system"

这句话的意思是：iOS 设备本身不能作为被控端被第三方远控完整控制。

本文场景是 iPhone/iPad 作为控制端去控制 Mac mini，不受此限制。连接时输入的仍然是 Mac mini 的设备码，不是 iPhone 自己的码。

十、最推荐的实际安装顺序

按下面顺序操作，最稳：

步骤	操作	位置
①	打开 ToDesk 官网下载中心，选择个人版 → macOS	浏览器
②	下载并安装 macOS 版 ToDesk	Mac mini
③	首次打开后，依次开启：辅助功能、录屏与系统录音、完全磁盘访问权限	系统设置 → 隐私与安全性
④	确认 ToDesk 已加入登录项、已允许后台运行	系统设置 → 通用 → 登录项与扩展
⑤	勾选「防止自动进入睡眠」、打开「唤醒以供网络访问」、打开「断电后自动启动」	系统设置 → 节能
⑥	在 Mac mini 被控端记下它自己的设备码	ToDesk 主界面
⑦	用另一台设备作为控制端，输入 Mac mini 的设备码	控制端 ToDesk
⑧	测试鼠标、键盘、画面、文件传输是否全部正常	控制端
⑨	如要长期无人值守，在 Mac mini 被控端配置长期访问密码	被控端 ToDesk

MacBook Air 2025（M4）SSH 密钥配置指南

Fri, 27 Feb 2026 00:00:00 GMT

MacBook Air 2025（M4）SSH 密钥配置指南

目标：本机生成 Ed25519 密钥对 → 在云效（Codeup）添加 SSH 公钥 → 通过 SSH 正常 clone / pull / push

0️⃣ 前置检查

ssh -V
git --version

1️⃣ 生成专用于云效 Codeup 的 Ed25519 密钥对

💡 建议为每个平台单独生成一套密钥，避免与 GitHub / GitLab 等平台互相干扰。

mkdir -p ~/.ssh
chmod 700 ~/.ssh

ssh-keygen -t ed25519 -C "your_email@example.com" -f ~/.ssh/id_ed25519_codeup

出现 passphrase 提示时直接按两次回车留空，后续使用无需输入任何密码：

Enter passphrase (empty for no passphrase): ← 直接回车
Enter same passphrase again: ← 直接回车

🔒 不设 passphrase 的安全性说明：macOS 本身有登录密码 + FileVault 磁盘加密保护，个人开发机已经够用。

生成结果：

文件	路径
私钥	`~/.ssh/id_ed25519_codeup`
公钥	`~/.ssh/id_ed25519_codeup.pub`

2️⃣ 固定 Codeup 使用该私钥

创建 / 编辑 ~/.ssh/config：

touch ~/.ssh/config
chmod 600 ~/.ssh/config

写入（或追加）以下内容：

Host codeup.aliyun.com
  HostName codeup.aliyun.com
  User git
  Port 22
  IdentityFile ~/.ssh/id_ed25519_codeup

💡 本机有多把密钥时，这一步确保访问 Codeup 时始终使用正确的密钥，不会"随机挑一把"导致认证失败。

3️⃣ 拷贝公钥到剪贴板

tr -d '\n' < ~/.ssh/id_ed25519_codeup.pub | pbcopy

也可直接打开 .pub 文件全选复制，要求从 ssh- 开头一直到邮箱注释结尾完整复制。

4️⃣ 在云效（Codeup）添加 SSH 公钥

登录云效
页面右上角头像 → 个人设置
左侧选择 SSH 公钥
粘贴公钥内容，填写标题，设置作用范围（读写 / 只读）与过期时间
点击添加保存

5️⃣ 验证 SSH 认证

ssh -v git@codeup.aliyun.com

✅ 成功时会看到认证通过（publickey）及 Welcome to Codeup, <用户名>! 提示。Codeup 不提供 shell 登录，提示后主动断开连接属于正常现象。

6️⃣ 使用 SSH 地址 clone 仓库

在 Codeup 仓库页面 → 克隆/下载 → 选择 SSH，地址格式如下：

格式	示例
SSH 协议头	`ssh://git@codeup.aliyun.com:22/namespace/repo.git`
scp 风格	`git@codeup.aliyun.com:namespace/repo.git`

git clone git@codeup.aliyun.com:namespace/repo.git

7️⃣ 常见故障快速定位

clone / push 时认证失败（本机有多把密钥）

原因：SSH 可能"随机挑一把密钥"导致用错了 key。

解决：确保 ~/.ssh/config 已将 codeup.aliyun.com 绑定到 IdentityFile ~/.ssh/id_ed25519_codeup（见第 2 步）。

`Permission denied (publickey)`

排查步骤：

确认公钥已正确添加到云效（第 4 步）
用 ssh -v git@codeup.aliyun.com 查看详细日志，确认加载的是 id_ed25519_codeup 这把密钥
确认 .pub 文件内容完整粘贴，没有多余换行或空格

📎 参考链接

MacBook 2025 M4 安装 Docker + Docker Compose

Thu, 26 Feb 2026 00:00:00 GMT

MacBook 2025 M4 安装 Docker + Docker Compose

Step 1：下载（官方直链，Apple Silicon，Docker Desktop 4.62.0 / 219486）

https://desktop.docker.com/mac/main/arm64/219486/Docker.dmg

（4.62.0 版本下载入口在官方 Release Notes 中列出；build=219486 可在 Homebrew cask 版本信息中核对。）(Docker Documentation)

Step 2：安装到默认目录

双击 Docker.dmg
将 Docker 图标拖到 Applications
安装后默认路径就是：

/Applications/Docker.app

(Docker Documentation)

Step 3：启动

打开 应用程序 → 双击 Docker
看到菜单栏出现 Docker 小鲸鱼图标即表示启动完成 (Docker Documentation)

Step 4：确认 Docker 与 Docker Compose 可用（Compose 无需单独安装）

docker version
docker compose version
docker run --rm hello-world

（Docker Desktop 已包含 Docker Compose。）(Docker Documentation)

另外：你之前上传用于对齐配置的部分文件已过期；如果还需要我继续按那些文件做精确匹配，请重新上传。

MacBook 2025 M4 笔记本Docker本地微服务环境完整部署指南

Thu, 26 Feb 2026 00:00:00 GMT

MacBook 2025 M4 笔记本 Docker 本地微服务环境完整部署指南

本指南旨在为基于 Apple Silicon M4 架构的 MacBook 提供一套轻量、稳定、易于调试的本地微服务底座（包含 MySQL、Redis、Nacos 与 RocketMQ）。配置已针对 Mac 本地资源占用和 IDEA 宿主机直连调试进行了优化。

第一步：构建最佳目录结构

为了避免 Docker 挂载数据卷时出现路径混乱或无权限（Permission Denied）的问题，我们需要预先在宿主机上创建好标准的工作空间和数据挂载目录。

请打开 Mac 终端，复制并一次性执行以下完整脚本，它将为您建立 ~/mac-dev-env 工作主目录以及所有依赖的子文件夹：

# 1. 创建并进入你的本地微服务环境主工作目录
mkdir -p ~/mac-dev-env
cd ~/mac-dev-env

# 2. 在当前目录下，创建 MySQL、Redis 的数据挂载目录，以及 RocketMQ 的配置目录
mkdir -p ./data/mysql
mkdir -p ./data/redis
mkdir -p ./rocketmq

# 3. 创建 Nacos 的数据与日志挂载目录（用于持久化，避免 docker compose down 后丢配置）
mkdir -p ./data/nacos/data
mkdir -p ./data/nacos/logs

# 4. 创建 RocketMQ 特殊的绝对路径数据目录（存放日志和持久化存储）
mkdir -p ~/docker-data/rocketmq/{logs,store}

执行完毕后，您的核心工作目录已就绪，且 Nacos/RocketMQ 所需的数据挂载目录也已创建完成。

第二步：配置环境变量文件（推荐）

为了让编排文件更易维护，同时避免启动时出现环境变量缺失提示，建议在工作根目录创建 .env 文件统一管理变量。

请在 ~/mac-dev-env 下创建文件 .env，并写入以下内容：

cd ~/mac-dev-env

cat > .env <<'EOF'
MYSQL_ROOT_PASSWORD=lsdfsdf!@#
TZ=Asia/Shanghai
EOF

第三步：配置 RocketMQ（本地直连优化版）

为了让宿主机（您的 Mac）上运行的 IDEA 能够直连 RocketMQ 容器收发消息，我们需要一份定制化的 Broker 配置。

请创建文件 ~/mac-dev-env/rocketmq/broker.conf，并将以下完整配置粘贴进去：

brokerClusterName = DefaultCluster
brokerName = broker-a
brokerId = 0

deleteWhen = 04
fileReservedTime = 48
brokerRole = ASYNC_MASTER
flushDiskType = ASYNC_FLUSH

# ---- 开发环境优化 ----
autoCreateTopicEnable = true
autoCreateSubscriptionGroup = true

# 容器内 namesrv 地址（容器里不能写 127.0.0.1）
namesrvAddr = rocketmq-namesrv:9876

# 减少内存映射文件大小
mapedFileSizeCommitLog = 268435456
mapedFileSizeConsumeQueue = 2097152

# 数据目录（映射到宿主机 ${HOME}/docker-data/rocketmq/store）
storePathRootDir=/home/rocketmq/store
storePathCommitLog=/home/rocketmq/store/commitlog
storePathConsumeQueue=/home/rocketmq/store/consumequeue
storePathIndex=/home/rocketmq/store/index
storeCheckpoint=/home/rocketmq/store/checkpoint
abortFile=/home/rocketmq/store/abort

# 宿主机 IDEA 跑客户端：broker 宣告 127.0.0.1 最稳
brokerIP1=127.0.0.1

第四步：配置 Docker Compose 核心编排文件

请在工作根目录下创建文件 ~/mac-dev-env/docker-compose.yml，并将以下完整内容粘贴进去：

services:
  mysql:
    image: mysql:8.4
    container_name: dev-mysql
    restart: unless-stopped
    environment:
      MYSQL_ROOT_PASSWORD: ${MYSQL_ROOT_PASSWORD}
      MYSQL_ROOT_HOST: '%'
      MYSQL_DATABASE: micro_platform
      TZ: ${TZ}
    command:
      [
        "mysqld",
        "--character-set-server=utf8mb4",
        "--collation-server=utf8mb4_general_ci",
        "--default-time-zone=+08:00",
        "--innodb-buffer-pool-size=256M",
        "--max-connections=200"
      ]
    ports:
      - "127.0.0.1:3306:3306"
    volumes:
      - ./data/mysql:/var/lib/mysql
    healthcheck:
      test: ["CMD-SHELL", "mysqladmin ping -h 127.0.0.1 -uroot -p\"${MYSQL_ROOT_PASSWORD}\" --silent"]
      interval: 10s
      timeout: 5s
      retries: 10
    networks:
      - devnet

  redis:
    image: redis:7.4-alpine
    container_name: dev-redis
    restart: unless-stopped
    command: ["redis-server", "--save", "60", "1", "--loglevel", "warning"]
    ports:
      - "127.0.0.1:6379:6379"
    volumes:
      - ./data/redis:/data
    healthcheck:
      test: ["CMD", "redis-cli", "ping"]
      interval: 10s
      timeout: 3s
      retries: 10
    networks:
      - devnet

  nacos:
    image: nacos/nacos-server:v2.4.3-slim
    container_name: dev-nacos
    restart: unless-stopped
    environment:
      MODE: standalone
      NACOS_AUTH_ENABLE: "false"
      JVM_XMS: "256m"
      JVM_XMX: "256m"
      JVM_XMN: "128m"
      PREFER_HOST_MODE: hostname
    ports:
      - "127.0.0.1:8848:8848"
      - "127.0.0.1:9848:9848"
      - "127.0.0.1:9849:9849"
    volumes:
      - ./data/nacos/data:/home/nacos/data
      - ./data/nacos/logs:/home/nacos/logs
    networks:
      - devnet

  rocketmq-namesrv:
    image: apache/rocketmq:5.3.4
    container_name: dev-rmq-namesrv
    restart: unless-stopped
    command: ["sh", "mqnamesrv"]
    environment:
      JAVA_OPT_EXT: "-Xms256m -Xmx256m -Xmn128m -XX:MaxDirectMemorySize=128m"
    ports:
      - "127.0.0.1:9876:9876"
    volumes:
      - ${HOME}/docker-data/rocketmq/logs:/home/rocketmq/logs
    networks:
      - devnet

  rocketmq-broker:
    image: apache/rocketmq:5.3.4
    container_name: dev-rmq-broker
    restart: unless-stopped
    depends_on:
      - rocketmq-namesrv
    command: ["sh", "mqbroker", "-c", "/home/rocketmq/rocketmq-5.3.4/conf/broker.conf"]
    environment:
      NAMESRV_ADDR: "rocketmq-namesrv:9876"
      JAVA_OPT_EXT: "-Xms512m -Xmx512m -Xmn256m -XX:MaxDirectMemorySize=256m"
    ports:
      - "127.0.0.1:10909:10909"
      - "127.0.0.1:10911:10911"
      - "127.0.0.1:10912:10912"
    volumes:
      - ./rocketmq/broker.conf:/home/rocketmq/rocketmq-5.3.4/conf/broker.conf
      - ${HOME}/docker-data/rocketmq/logs:/home/rocketmq/logs
      - ${HOME}/docker-data/rocketmq/store:/home/rocketmq/store
    networks:
      - devnet

networks:
  devnet:
    driver: bridge

说明： MySQL 限制 buffer pool，Nacos 单机免鉴权并做数据持久化，RocketMQ 使用宿主机绝对路径持久化 store/logs。

第五步：镜像拉取与一键启动

请确保终端路径处于 ~/mac-dev-env，并且 Docker Desktop 已启动。

建议按以下顺序启动（先拉镜像、再启动容器）：

cd ~/mac-dev-env

docker compose down
docker compose pull
docker compose up -d
docker compose ps

第六步：Docker Desktop 常用设置（拉取镜像失败时必看）

在网络环境不稳定、存在代理/VPN、或镜像拉取频繁中断时，可能出现拉取层文件失败的情况。遇到此类问题时，建议检查 Docker Desktop 的通用设置项，完成后重启 Docker Desktop 再重新执行 docker compose pull。

另外建议在拉取失败时先单独拉取一个轻量镜像用于验证网络链路：

docker pull redis:7.4-alpine

第七步：IDEA / 宿主机直连关键地址

服务	地址	备注
MySQL	`127.0.0.1:3306`	用户 `root`，密码 `lsdfsdf!@#`
Redis	`127.0.0.1:6379`	无密码
Nacos 控制台	`http://127.0.0.1:8848/nacos`	免鉴权
RocketMQ NameServer	`127.0.0.1:9876`	—
RocketMQ Broker	`127.0.0.1:10911`	由 `brokerIP1=127.0.0.1` 决定

第八步：常用排查命令

当服务启动异常或端口不可用时，可使用以下命令快速定位：

cd ~/mac-dev-env

# ---------------------------
# 1) 查看服务状态（推荐）
# ---------------------------
docker compose ps

# ---------------------------
# 2) 查看日志（推荐）
# ---------------------------
# 看某个服务日志（推荐：定位单点问题最清晰）
docker compose logs -f --tail=200 mysql
docker compose logs -f --tail=200 redis
docker compose logs -f --tail=200 nacos
docker compose logs -f --tail=200 rocketmq-namesrv
docker compose logs -f --tail=200 rocketmq-broker

# 看全部服务日志（推荐：不确定是哪个服务时）
docker compose logs -f --tail=200

# ---------------------------
# 3) 启动 / 停止 / 重启（编排级别）
# ---------------------------

# 启动（推荐：日常启动）
docker compose up -d

# 停止（推荐：临时停一下，后续还要继续用）
docker compose stop

# 重启全部服务（推荐：配置没变，只是服务状态不对/想快速恢复）
docker compose restart

# 重启单个服务（推荐：只影响一个组件）
# 示例：只重启 mysql
docker compose restart mysql

# 停止并移除容器（推荐：你改了 docker-compose.yml 或挂载配置，需要“重建容器”）
# 注意：不带 -v 不会删除你挂载到宿主机的数据目录
docker compose down
docker compose up -d

# ---------------------------
# 4) Docker Desktop 启动 / 重启（macOS）
# ---------------------------

# 启动 Docker Desktop（推荐：Docker 没开时）
open -a Docker

# 重启 Docker Desktop（推荐：遇到 pull EOF、网络异常、Docker 引擎卡住等）
osascript -e 'quit app "Docker"'
open -a Docker

# 关闭 Docker Desktop（不推荐常用；相当于停止 Docker 引擎）
osascript -e 'quit app "Docker"'

# ---------------------------
# 5) 进入容器排查（推荐：需要看容器内文件/配置/进程时）
# ---------------------------
docker exec -it dev-mysql bash
docker exec -it dev-redis sh
docker exec -it dev-nacos sh
docker exec -it dev-rmq-broker sh

macOS 上安装 Telnet 的正确姿势

Thu, 26 Feb 2026 00:00:00 GMT

macOS 上安装 Telnet 的正确姿势

苹果从 macOS High Sierra 开始移除了系统内置的 Telnet 客户端。如果你在终端输入 telnet 却收到 command not found，别慌——几条命令就能搞定。

为什么 Telnet 不见了？

从 macOS High Sierra（10.13）起，Apple 出于安全考虑移除了内置的 Telnet 客户端。Telnet 协议本身以明文传输数据，在现代网络环境中确实存在安全隐患，但它在日常运维中仍然是一个快速测试端口连通性的实用工具。

所以，我们需要手动把它装回来。

安装方案：通过 Homebrew 安装

Homebrew 是 macOS 上最主流的包管理器，用它来安装 Telnet 是最简单、最推荐的方式。

第一步：安装 Homebrew

如果你已经安装过 Homebrew，可以跳过这一步。

打开「终端」（Terminal），粘贴以下命令并回车：

/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"

关于这个地址的安全性： 这是 Homebrew 官方 GitHub 仓库（Homebrew/install）托管在 raw.githubusercontent.com 上的安装脚本，与 Homebrew 官网 brew.sh 首页提供的命令完全一致，可以放心使用。

安装过程中会要求输入 Mac 登录密码，输入时屏幕不会显示任何字符，这是正常的安全行为，输完直接按回车即可。

Apple Silicon 用户注意： 如果你使用的是 M1/M2/M3/M4 芯片的 Mac，安装完成后终端会提示你执行两条命令将 Homebrew 加入 PATH。请务必照做，否则可能会遇到 brew: command not found 的问题。通常是类似这样的命令：

echo 'eval "$(/opt/homebrew/bin/brew shellenv)"' >> ~/.zprofile
eval "$(/opt/homebrew/bin/brew shellenv)"

第二步：安装 Telnet

Homebrew 就绪后，一条命令搞定：

brew install telnet

第三步：验证安装

输入 telnet 后看到 telnet> 提示符，说明安装成功。输入 quit 即可退出。

telnet
# 出现 telnet> 即为成功
quit

更好的替代方案：nc（Netcat）

如果你使用 Telnet 只是为了测试某个端口是否开放，其实完全不需要安装任何东西。macOS 自带的 nc（Netcat）就能胜任，而且更现代、更安全。

nc -vz <IP地址或域名> <端口号>

举几个实际例子：

# 测试百度 HTTPS 端口
nc -vz www.baidu.com 443

# 测试本地 MySQL 是否启动
nc -vz localhost 3306

# 测试 Redis 端口
nc -vz 127.0.0.1 6379

如果连接成功，会看到类似 Connection to xxx port xxx [tcp/*] succeeded! 的输出；如果失败，则会提示 Connection refused 或超时。

总结

方案	是否需要安装	适用场景
`brew install telnet`	是	需要完整 Telnet 交互（如调试 SMTP、HTTP 协议）
`nc -vz`	否（系统自带）	快速测试端口连通性

对于大多数开发者来说，nc 已经够用了。只有在需要与远程服务进行交互式协议调试时，才有必要装回 Telnet。

2025款 MacBook Air (M4芯片) 丝滑配置 IDEA 2025.2.4 社区版保姆级教程

Wed, 25 Feb 2026 00:00:00 GMT

2025款 MacBook Air (M4芯片) 丝滑配置 IDEA 2025.2.4 社区版保姆级教程

IntelliJ IDEA 是 Java 开发者日常高频使用的核心开发工具。对于搭载 M4 芯片的全新 Mac，原生架构的 IDEA 能够提供极致的响应速度和代码索引能力。

这篇博客带你一步到位，在 M4 Mac 上极速安装 IntelliJ IDEA 2025.2.4 社区版（Community Edition），享受真正的丝滑编码体验。

💡 下载哪个版本最佳？

JetBrains 为 macOS 提供了不同的架构安装包。在 M4 芯片的 MacBook Air 上，版本选择极其简单，只需认准这一个最完美的组合：

架构选择：认准 Apple Silicon (即 AArch64)。这是专门为 Apple M 系列芯片原生编译的版本。只有下载这个版本，IDEA 才能直接调用 M4 的底层指令集，实现秒级启动、丝滑敲击和极速编译，完全释放硬件潜能。
安装包格式：选择 .dmg 格式。这是 macOS 专属的图形化镜像安装包，拖拽即可完成安装，最为纯净省心。

结论： 下载时请直接锁定 macOS Apple Silicon (dmg) 版本。

🔗 官方下载地址与步骤

以下是 JetBrains 官方提供的 2025.2.4 社区版专属下载直链与官网发布页地址，保证安全纯净。

IDEA 2025.2.4 社区版官方下载地址：

官方发布页：https://www.jetbrains.com/idea/download/?section=mac (注意：如果在官网手动下载，请务必在下拉菜单中选择 .dmg (Apple Silicon))
官方直链下载：https://download.jetbrains.com/idea/ideaIC-2025.2.4-aarch64.dmg

下载步骤： 极其简单，直接点击上方以 aarch64.dmg 结尾的直链地址，或将其复制到浏览器地址栏并回车，即可自动开始下载到你的 Mac“下载 (Downloads)”文件夹中。

📁 安装到哪个目录最佳？

作为一个重量级的图形界面应用程序（GUI App），在 macOS 上，它的最佳且唯一的标准安装目录是系统的全局应用大本营：

/Applications/ （即访达中的“应用程序”文件夹）

为什么这是最佳目录？

系统原生规范：这是 macOS 统筹管理所有可视化软件的标准目录。
启动台集成：安装完成后，IDEA 的图标会自动出现在 Launchpad（小火箭启动台）中，随时可以方便地点击启动。
权限管理：放置在此目录下的 App 能获得系统规范的文件读取、网络、通知等核心权限，确保 IDE 运行稳定。

丝滑安装过程：

在“下载”文件夹中，双击刚刚下载好的 ideaIC-2025.2.4-aarch64.dmg 文件。
在弹出的安装引导窗口中，你会看到左侧是黑色的 IntelliJ IDEA CE 图标，右侧是蓝色的 Applications 文件夹图标。
按住左侧的 IDEA 图标，直接拖拽到右侧的 Applications 文件夹上，松手。
听见系统提示音并等待进度条瞬间跑完，安装就彻底完成了！随后你可以直接关闭窗口并推出（弹出）那个 .dmg 虚拟磁盘。

🛠️ 首次运行与环境自动整合

打开启动台 (Launchpad)，点击新鲜出炉的 IntelliJ IDEA CE 图标。
首次打开时，macOS 会弹窗提示“这是一个从互联网下载的 App，是否确定打开？”，点击 “打开” 进行安全授权。
勾选同意 JetBrains 的用户隐私协议。
进入欢迎界面后，点击 New Project（新建项目）。IDEA 会自动扫描系统内已存在的 JDK 和 Maven 路径，通常无需任何手动寻找路径的操作即可直接创建工程。

✅ 验证安装

要验证你运行的是纯血 M4 原生版本的 IDEA，可以进行以下终极确认：

保持 IDEA 处于打开状态。
按 Command + 空格 呼出聚焦搜索 (Spotlight)，输入“活动监视器 (Activity Monitor)”并打开。
在右上角搜索框输入 idea。
查看“种类 (Kind)”这一列。如果你看到显示的是 “Apple” 字样，那么恭喜你，你的 M4 芯片正在以满血状态驱动着这款强大的 Java IDE！

敲下你的第一行 System.out.println("Hello M4!"); 吧！

需要我为你补充一份“IDEA 2025 必备的神级开发插件推荐与极速安装指南”吗？

2025款 MacBook Air (M4芯片) 丝滑切换美区 App Store 账号保姆级教程

Wed, 25 Feb 2026 00:00:00 GMT

2025款 MacBook Air (M4芯片) 丝滑切换美区 App Store 账号保姆级教程

对于开发者和效率达人来说，很多顶级的海外开发工具、生产力软件（例如完整的 Xcode 扩展、ChatGPT 桌面端等）通常只在美区 App Store 提供，或者在美区更新最快。

要在你的全新 M4 Mac 上顺利下载这些软件，我们需要切换并登录一个美区 Apple ID。这篇博客带你掌握 Mac 上最安全、最优雅的外区账号登录姿势。

💡 最安全的核心原则：仅登录 App Store

在 macOS 上登录外区账号，在操作思路上极其简单，但必须牢记一个绝对的核心安全原则：

绝对不要在 Mac 的“系统设置 (System Settings)”中将美区 ID 作为 iCloud 主账号登录！

结论： 最佳且唯一的正确做法是——你的 Mac 系统 iCloud 依然保持登录你个人的国区账号，只在“App Store”这一个独立应用中登录美区账号。 这样既能下载美区软件，又不会导致你的私人照片、备忘录同步混乱，更不会有设备被意外锁定的风险。

🔗 丝滑登录步骤

请全程在 Mac 自带的 App Store 应用内完成操作。

完整切换步骤：

打开应用商店：在底部的程序坞 (Dock) 或启动台中，点击蓝色的 App Store 图标打开它。
退出当前账号：

点击 App Store 窗口左下角的你的头像/名字。
接着点击窗口右上角的 “退出登录 (Sign Out)” 按钮。

登录美区账号：

退出后，左下角会变成灰色的“登录”字样，点击它。
在弹出的窗口中，输入你准备好的美区 Apple ID 账号和密码。
点击登录。如果开启了双重认证，输入验证码即可。

📁 为什么这是最佳登录方式？

将 iCloud（系统底层）与 Media & Purchases（应用商店）的账号分离，是 Apple 官方允许且最符合开发者诉求的极客用法。

优势极其明显：

数据绝对安全：你的联系人、iMessage、照片、iCloud 云盘依然是你自己的国区账号，完全不受美区账号影响。
无缝更新：下载完美区独占 App 后，你可以随时切回国区账号。未来这些美区 App 需要更新时，系统会自动弹窗让你输入当时下载用的美区密码，无需频繁来回切换账号。
零锁机风险：即便你使用的是购买或共享的美区账号，只要不登录系统级 iCloud，就绝对不会触发 Activation Lock（激活锁）。

✅ 验证切换成功

最后，让我们确认 App Store 已经成功切换到了纯正的美区环境。

验证方式：

观察 App Store 的首页（Today / 探索）推荐内容，如果界面上的推荐 App 和宣传语变成了全英文，说明已经切换成功。
在左侧的搜索框中，搜索诸如 ChatGPT 或特定海外应用。如果能直接搜到官方正版并显示 GET 按钮，说明你的美区软件库已经完美加载！

尽情去下载那些强大的海外生产力工具吧！

需要我再为你补充一份“如何在没有任何海外信用卡的情况下，零成本注册一个属于自己的纯净美区 Apple ID”的图文教程吗？

2025款 MacBook Air (M4芯片) 丝滑配置 Nacos 2.4.3 保姆级教程

Wed, 25 Feb 2026 00:00:00 GMT

2025款 MacBook Air (M4芯片) 丝滑配置 Nacos 2.4.3 保姆级教程

在微服务架构（例如 Spring Cloud Alibaba）的开发中，Nacos 作为核心的服务发现和配置管理平台，是本地环境必不可少的组件。

这篇博客带你一步到位，在搭载 M4 芯片的 Mac 上极速安装与配置 Nacos 2.4.3 单机开发环境。

💡 下载哪个版本最佳？

Nacos 是基于 Java 语言开发的跨平台应用，其核心运行完全依赖于系统已安装的 JDK。因此不需要严格区分底层芯片架构，只需认准官方编译好的标准压缩包：

版本选择：认准 tar.gz 压缩包格式。这是 macOS 极其原生底层 Unix 系统下最标准的服务器软件分发格式，解压即用，目录结构与文件权限保留最完整。

结论： 下载时请直接锁定 nacos-server-2.4.3.tar.gz。

🔗 官方下载地址与步骤

为了保证软件的纯净和最新特性，请务必认准 GitHub 官方开源仓库的 Releases 页面进行下载。

Nacos 2.4.3 官方发布页地址： https://github.com/alibaba/nacos/releases/tag/2.4.3

Nacos 2.4.3 直链下载地址： https://github.com/alibaba/nacos/releases/download/2.4.3/nacos-server-2.4.3.tar.gz

下载步骤： 极其简单，直接复制上方以 .tar.gz 结尾的直链地址到浏览器地址栏并回车，即可自动开始下载压缩包到你的 Mac“下载 (Downloads)”文件夹中。

📁 安装到哪个目录最佳？

在 macOS 上，手动安装的服务器类中间件，强烈推荐统一放置在系统级的本地软件目录中。

最佳的安装目录是： /usr/local/

为什么这是最佳目录？

Unix 规范：这是 macOS 系统专门保留给用户自行安装非系统自带软件的标准目录，非常适合存放 Nacos 这类服务端程序。
权限与安全：放置在这里的文件受到系统高级别权限保护，不易被意外修改与删除，保证了开发环境的稳定性。

安装过程： 建议全程在终端 (Terminal) 中通过命令完成，显得极其专业且高效。

打开终端。
解压并移动文件：执行以下命令，将下载好的压缩包直接解压到 /usr/local/ 目录下（执行时会要求输入 Mac 锁屏密码进行授权）：

sudo tar -zxvf ~/Downloads/nacos-server-2.4.3.tar.gz -C /usr/local/

解压完成后，Nacos 的完整安装路径即为 /usr/local/nacos/。

🛠️ 启动与运行 (防坑必看)

Nacos 默认以集群模式（Cluster）启动，而在个人 Mac 上进行日常开发时，必须指定以**单机模式（Standalone）**启动，否则会因为找不到集群节点而启动失败报错。

丝滑启动步骤：

在终端中，进入 Nacos 的执行脚本目录：

cd /usr/local/nacos/bin

执行单机模式启动命令：

sh startup.sh -m standalone

如果终端输出 nacos is starting with standalone 字样，说明服务已成功在后台运行。

✅ 验证安装

最后一步，确认 Nacos 已经完美运行，并能正常访问其图形化控制台。

打开你的浏览器（例如 Chrome）。
在地址栏输入 Nacos 的默认本地访问地址： http://127.0.0.1:8848/nacos
此时会出现 Nacos 的登录界面。

默认用户名：nacos
默认密码：nacos

输入账号密码点击登录。如果你成功看到了清爽的 Nacos 仪表盘界面，那么恭喜你，微服务开发环境核心组件已经配置完毕！

尽情开启你的微服务架构之旅吧！

需要我再为你补充一份“如何编写一键启动 Nacos 的 Mac 快捷脚本”的进阶配置说明吗？

2025款 MacBook Air (M4芯片) 丝滑配置 RocketMQ 5.3.4 保姆级教程

Wed, 25 Feb 2026 00:00:00 GMT

2025款 MacBook Air (M4芯片) 丝滑配置 RocketMQ 5.3.4 保姆级教程

在分布式架构与异步处理的开发中，Apache RocketMQ 5.x 版本凭借其现代化的 Proxy 架构，与 M4 芯片的强悍性能完美匹配。这篇博客将带你完成从下载安装、核心配置到一键启停脚本封装的全过程。

💡 下载与安装

RocketMQ 完全基于 Java 编写，利用 M4 芯片的原生 JDK 21 环境可获得最佳执行效率。

官方下载地址： https://archive.apache.org/dist/rocketmq/5.3.4/rocketmq-all-5.3.4-bin-release.zip

安装步骤：

下载压缩包：点击上方链接下载二进制发行版。
解压并移动：打开终端，执行以下命令将 RocketMQ 安置在系统标准软件目录：

unzip ~/Downloads/rocketmq-all-5.3.4-bin-release.zip -d ~/Downloads/
sudo mv ~/Downloads/rocketmq-all-5.3.4-bin-release /usr/local/rocketmq

⚙️ 核心配置文件：broker.conf

为了适配 M4 Mac 的开发环境并优化磁盘占用，我们需要手动配置 broker.conf。

进入目录：cd /usr/local/rocketmq/conf
编辑文件：nano broker.conf
粘贴以下内容：

brokerClusterName = DefaultCluster
brokerName = broker-a
brokerId = 0
deleteWhen = 04
fileReservedTime = 48
brokerRole = ASYNC_MASTER
flushDiskType = ASYNC_FLUSH

# ---- 开发环境优化 ----
# 自动创建Topic，开发环境开启
autoCreateTopicEnable = true
# 自动创建消费组
autoCreateSubscriptionGroup = true
# NameServer地址
namesrvAddr = 127.0.0.1:9876
# 减少内存映射文件大小（默认1G，开发环境调整为256M）
mapedFileSizeCommitLog = 268435456
mapedFileSizeConsumeQueue = 2097152

🛠️ JVM 内存调优 (M4 Mac 必做)

RocketMQ 默认内存设置极高，针对 MacBook Air 需要手动调低，否则可能导致系统卡顿。

调整 NameServer 内存： nano /usr/local/rocketmq/bin/runserver.sh 将 JAVA_OPT 里的 -Xms4g -Xmx4g -Xmn2g 修改为： -Xms512m -Xmx512m -Xmn256m
调整 Broker 内存： nano /usr/local/rocketmq/bin/runbroker.sh 将 JAVA_OPT 里的 -Xms8g -Xmx8g 修改为： -Xms1g -Xmx1g

🚀 封装一键启停脚本

为了告别繁琐的命令行操作，我们编写一个 .sh 脚本来统一管理 NameServer 和 Broker。

1. 创建脚本文件

执行 nano /usr/local/rocketmq/bin/rocketmq_control.sh，粘贴如下内容：

#!/bin/bash

# RocketMQ 安装目录
ROCKETMQ_HOME="/usr/local/rocketmq"
# 配置文件路径
BROKER_CONF="${ROCKETMQ_HOME}/conf/broker.conf"

case "$1" in
    start)
        echo "🚀 正在启动 NameServer..."
        nohup sh ${ROCKETMQ_HOME}/bin/mqnamesrv > ${ROCKETMQ_HOME}/logs/namesrv.out 2>&1 &
        sleep 2
        echo "🚀 正在启动 Broker (含 Proxy 模式)..."
        nohup sh ${ROCKETMQ_HOME}/bin/mqbroker -n localhost:9876 -c ${BROKER_CONF} --enable-proxy > ${ROCKETMQ_HOME}/logs/broker.out 2>&1 &
        echo "✅ RocketMQ 启动命令已发出。"
        ;;
    stop)
        echo "🛑 正在停止 Broker..."
        sh ${ROCKETMQ_HOME}/bin/mqshutdown broker
        sleep 2
        echo "🛑 正在停止 NameServer..."
        sh ${ROCKETMQ_HOME}/bin/mqshutdown namesrv
        echo "✅ RocketMQ 已停止。"
        ;;
    restart)
        $0 stop
        sleep 2
        $0 start
        ;;
    *)
        echo "Usage: $0 {start|stop|restart}"
        exit 1
esac

2. 授权与别名设置

赋予权限：chmod +x /usr/local/rocketmq/bin/rocketmq_control.sh
设置别名：编辑 nano ~/.zshrc，在末尾添加： alias rmq='/usr/local/rocketmq/bin/rocketmq_control.sh'
刷新环境：source ~/.zshrc

📖 脚本详细用法手册

现在，你可以在终端任何路径下通过 rmq 命令轻松驾驭 RocketMQ 5.3.4。

一键启动：rmq start
一键停止：rmq stop
一键重启：rmq restart

2025款 MacBook Air (M4芯片) 丝滑配置 JDK 21 保姆级教程

Wed, 25 Feb 2026 00:00:00 GMT

2025款 MacBook Air (M4芯片) 丝滑配置 JDK 21 保姆级教程

拿到搭载强悍 M4 芯片的 2025 款 MacBook Air 后，第一件事当然是搭建顺手的开发环境。作为目前企业级开发的主力长期支持版本（LTS），JDK 21 是不二之选。

很多首次接触 Apple Silicon (M系列芯片) 的开发者，在安装 JDK 时经常会踩坑。今天这篇博客就来手把手带你完成 M4 Mac 上的 JDK 21 安装与环境配置。

💡 下载哪个版本最佳？

对于 M4 芯片的 MacBook Air，在版本选择上极其简单，只需认准这一个最完美的组合：

架构选择：认准 ARM64。 Apple 的 M4 芯片基于 ARM 架构，必须下载专为 Apple Silicon 优化的 ARM64 版本，才能完美发挥 M4 的满血性能。
安装包格式：选择 .dmg 格式。 .dmg 提供 macOS 原生的图形化安装引导，对系统路径的自动整合最佳，省时省力。

结论： 下载时请直接锁定 macOS ARM64 DMG Installer。

🔗 官方下载地址与步骤

我们以 Oracle 官方提供的 JDK 21 为例。

Oracle JDK 21 官网下载地址： https://www.oracle.com/java/technologies/downloads/#java21

下载步骤：

访问上述官网链接。
在操作系统选项卡中，点击 macOS。
找到 ARM64 DMG Installer 这一行。
点击右侧的下载链接（例如 jdk-21_macos-aarch64_bin.dmg）将其下载到本地。

📁 安装到哪个目录最佳？

在 macOS 上，强烈建议直接使用系统默认的 Java 目录，千万不要进行自定义安装。

最佳的安装目录是： /Library/Java/JavaVirtualMachines/

为什么这是最佳目录？

系统规范：这是 Apple 官方和 Java 社区约定的标准路径。
工具兼容性：当你使用 .dmg 安装时，安装程序会自动将 JDK 放入此文件夹。此时，macOS 内置的 /usr/libexec/java_home 工具能够自动识别并管理这个 JDK。
IDE 识别：IntelliJ IDEA、Eclipse 等开发工具会自动扫描此目录，省去了手动寻找 JDK 路径的麻烦。

安装过程：双击下载好的 .dmg 文件，打开后双击里面的 .pkg 安装包，一路点击“继续”并输入你的 Mac 锁屏密码，不到 10 秒即可安装完成。

🛠️ 环境变量配置

macOS 默认使用 zsh 作为终端环境，我们需要在 ~/.zshrc 文件中配置 JAVA_HOME。

打开终端 (Terminal)。
编辑配置文件：输入以下命令并回车，使用 nano 编辑器打开配置：

nano ~/.zshrc

写入环境变量：在文件末尾，粘贴以下两行代码：

export JAVA_HOME=$(/usr/libexec/java_home -v 21)
export PATH=$JAVA_HOME/bin:$PATH

source ~/.zshrc

✅ 验证安装

最后一步，确认我们的 M4 芯片已经成功运行了原生的 JDK 21。

在终端中输入：

java -version

如果你看到类似如下的输出，那么恭喜你，配置完美成功！

java version "21.0.x" 2024-xx-xx LTS
Java(TM) SE Runtime Environment (build 21.0.x+xx-LTS-xx)
Java HotSpot(TM) 64-Bit Server VM (build 21.0.x+xx-LTS-xx, mixed mode, sharing)

准备好用你的 M4 MacBook Air 起飞了吗？祝你 Coding 愉快，永无 Bug！

需要我再为你补充一段“如何在 IntelliJ IDEA 等主流开发工具中一键应用该 JDK”的图文配置说明吗？

2025款 MacBook Air (M4芯片) 丝滑配置 Maven 3.9.11 保姆级教程

Wed, 25 Feb 2026 00:00:00 GMT

2025款 MacBook Air (M4芯片) 丝滑配置 Maven 3.9.11 保姆级教程

搞定了 JDK 21，Java 开发的另一大核心基石就是依赖管理与构建工具 Maven。在搭载 M4 芯片的全新 Mac 上配置 Maven 同样非常简单，只需几步即可打造完美的本地开发环境。这篇博客带你一气呵成完成 Apache Maven 3.9.11 的极速配置。

💡 下载哪个版本最佳？

Maven 是基于 Java 编写的，天生具备跨平台特性，因此不需要像 JDK 那样严格区分芯片架构。对于 macOS 系统，只需认准这一个官方编译好的二进制压缩包：

版本选择：认准 Binary tar.gz archive。这是 Unix/macOS 系统下最标准的压缩包格式，解压即用，无任何多余的系统垃圾。

Apache Maven 3.9.11 官方归档下载地址： https://archive.apache.org/dist/maven/maven-3/3.9.11/binaries/apache-maven-3.9.11-bin.tar.gz

下载步骤： 极其简单，直接复制上述链接到浏览器地址栏中回车，即可自动开始下载 apache-maven-3.9.11-bin.tar.gz 压缩包到你的 Mac“下载 (Downloads)”文件夹中。

📁 安装到哪个目录最佳？

在 macOS 上，手动安装的命令行开发工具强烈推荐统一放置在系统级的本地软件目录中。

最佳的安装目录是： /usr/local/

为什么这是最佳目录？

Unix 规范：这是 Unix/macOS 系统专门保留给用户自行安装非系统自带软件的标准目录。
权限与安全：放置在这里的文件受到系统高级别权限保护，不易被意外修改或删除，保证了开发环境的稳定性。

安装过程：这部分操作建议全程在终端 (Terminal) 中通过命令完成，显得极其专业且高效。

打开终端。
解压并移动文件：执行以下命令，将下载好的压缩包直接解压到 /usr/local/ 目录下（执行时会要求输入 Mac 锁屏密码进行授权）：

sudo tar -zxvf ~/Downloads/apache-maven-3.9.11-bin.tar.gz -C /usr/local/

解压完成后，Maven 的完整路径即为 /usr/local/apache-maven-3.9.11。

🛠️ 环境变量配置

我们需要在 macOS 默认的 zsh 终端环境配置文件 ~/.zshrc 中，将刚才解压的 Maven 目录注册到系统的环境变量中。

编辑配置文件：在终端输入以下命令打开配置：

nano ~/.zshrc

写入环境变量：在文件末尾，追加以下两行代码（直接指向真实的解压目录）：

export MAVEN_HOME=/usr/local/apache-maven-3.9.11
export PATH=$MAVEN_HOME/bin:$PATH

保存并退出：按 Control + O 保存，按 Enter 确认，然后按 Control + X 退出编辑器。
使配置生效：在终端执行以下命令，让刚才的修改立即生效：

source ~/.zshrc

✅ 验证安装

最后，让我们确认 Maven 3.9.11 已经完美就绪，并且成功识别到了之前安装的 M4 原生 JDK 21。

在终端中输入：

mvn -v

如果你看到类似如下的输出，包含了正确的 Maven 版本、真实的安装路径、Java 版本以及 aarch64 系统架构，那么恭喜你，你的 M4 开发环境已经构建完毕！

Apache Maven 3.9.11 (xxxxxxx...)
Maven home: /usr/local/apache-maven-3.9.11
Java version: 21.0.x, vendor: Oracle Corporation, runtime: /Library/Java/JavaVirtualMachines/jdk-21.jdk/Contents/Home
Default locale: zh_CN, platform encoding: UTF-8
OS name: "mac os x", version: "xx.x", arch: "aarch64", family: "mac"

享受丝滑的打包与构建体验吧！

需要我再为你补充一份适用于国内网络环境的 settings.xml 阿里云镜像加速配置模板吗？

2025款 MacBook Air (M4芯片) 丝滑配置 NVM (Node版本管理) 保姆级教程

Wed, 25 Feb 2026 00:00:00 GMT

2025款 MacBook Air (M4芯片) 丝滑配置 NVM (Node版本管理) 保姆级教程

针对 M4 芯片 MacBook Air 极致性能的开发环境搭建，Node.js 版本管理是至关重要的一环。NVM (Node Version Manager) 能够让你在同一台设备上轻松切换多个 Node 版本，完美解决不同项目对环境要求的差异。

这篇博客将带你在这台性能怪兽上快速完成 NVM 的安装与配置。

💡 下载与极速安装

NVM 本质上是一个纯 Shell 脚本工具。在 M4 Mac 上，我们无需手动下载安装包，直接通过终端 (Terminal) 执行官方自动化脚本即可完成安装。

官方开源仓库地址： https://github.com/nvm-sh/nvm

安装步骤： 打开终端，直接复制并执行以下官方一键安装命令。脚本会自动在你的用户家目录下创建 ~/.nvm/ 文件夹，并将所有核心文件安装于此。

curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.40.4/install.sh | bash

(注：v0.40.4 是当前稳定版本，脚本执行过程中会自动处理目录创建和文件解压，并自动将环境变量写入你的终端配置文件)

🛠️ 环境变量配置

为了让终端在任何时候都能识别 nvm 命令，我们需要在 ~/.zshrc 配置文件中激活环境。

使配置立即生效：在终端执行：

source ~/.zshrc

验证安装状态：

nvm -v

输出版本号（如 0.40.4）即表示 NVM 已经在你的 M4 Mac 上成功扎根。

⚠️ M4 芯片架构必读指南

由于 M4 芯片采用 ARM 架构，安装 Node.js 时必须注意版本选择以确保满血性能：

核心建议：在 M4 Mac 上，请务必安装 Node.js v16.0.0 及以上版本。
原因：v16 是首个原生支持 Apple Silicon (ARM64) 的 LTS 版本。低版本 Node 将运行在 Rosetta 2 转译模式下，无法充分发挥 M4 芯片的高速缓存和指令集优势，编译速度会大打折扣。

📖 NVM 详细用法手册

在 M4 Mac 上配置好 NVM 后，以下命令是你日常开发中使用频率最高的操作：

1. 查看所有可用的 Node 版本

在安装之前，你可以查看官方提供了哪些 Node 版本。由于列表非常长，通常建议只查看稳定且适合企业级开发的 LTS（长期支持）版本：

nvm ls-remote          # 查看所有远端可用的 Node.js 版本
nvm ls-remote --lts    # 仅查看所有的 LTS (长期支持) 版本 (推荐)

2. 安装原生 ARM64 版本 Node

查看到需要的版本后，指定版本号进行安装，NVM 会自动为你匹配最适合 M4 芯片的编译版本：

nvm install 22  # 安装 Node.js 22 系列的最新 LTS 版本 (推荐)
nvm install 20  # 安装 Node.js 20 系列的最新 LTS 版本
nvm install 18.19.1 # 精确安装某个特定的小版本

3. 查看本地已安装的版本

检查你的 Mac 上目前已经下载和安装了哪些 Node 版本，以及当前正在使用的是哪个：

nvm ls

(注：输出结果中，带有 -> 箭头指向的即为你当前终端正在使用的版本)

4. 卸载指定的 Node 版本

如果某个旧版本项目已经结束，为了释放 MacBook Air 宝贵的硬盘空间，你可以轻松将其卸载（注意：你无法卸载当前正在使用的版本，需先切换到其他版本）：

nvm uninstall 18.19.1  # 卸载特定版本

5. 在项目间极速切换

如果你正在开发一个老项目需要特定环境，直接切换即可无缝衔接：

nvm use 20  # 将当前终端环境临时切换至 Node 20

6. 设定全局默认版本

为了避免每次开启终端或新建窗口都要重新切换 Node 版本，强烈建议设置一个默认启动版本：

nvm alias default 22

7. 架构终极核验

安装完成后，执行以下命令确认 Node.js 是否在以 M4 原生架构运行：

node -p "process.arch"

终端打印出 arm64 即代表你的前端开发环境已达到满血状态。

Mac mini M4 部署最新版 OpenClaw 正规教程（本机常驻 + 安全最佳实践）

Wed, 25 Feb 2026 00:00:00 GMT

🖥️ Mac mini M4 部署最新版 OpenClaw 正规教程

本机常驻 + 安全最佳实践

目标：在 Mac mini M4（Apple Silicon） 上把 OpenClaw 按官方推荐方式安装到本机，完成首次向导、让 Gateway 开机自启常驻，并按官方安全模型做到"默认不暴露、可控远程访问"。

OpenClaw 官方默认 Gateway 端口 18789，本机回环访问。

0 | 先选部署方式

方案	说明	推荐度
本机原生安装	最快、最省心，适合 Mac mini 作为"常驻 Agent 主机"。官方首推安装脚本 + CLI 向导。	⭐⭐⭐
macOS 虚拟机隔离	希望把 OpenClaw 放进"沙盒 macOS"里跑，可用官方推荐的 Lume 在 Apple Silicon（含 M4）上跑 macOS VM。	⭐⭐
Docker	适合想把 Gateway 放进容器，或验证容器化流程；官方提供 compose 脚本。	⭐

下面先讲 推荐的本机原生安装，末尾附 Docker / VM 可选方案。

1 | 环境准备

1.1 更新系统与基础工具

建议把 macOS 升到官方支持范围内的较新版本（至少保持在当前维护线）。
安装 Xcode Command Line Tools（很多 Node 原生依赖需要它）：

xcode-select --install

1.2 Node 环境准备：使用 NVM 管理 Node.js（关键核心）

OpenClaw 运行时严格要求 Node 22+。虽然官方安装脚本会在缺失时自动处理，但在 M4 上强烈推荐使用 NVM (Node Version Manager) 来手动管理原生 ARM64 版本的 Node，以防环境冲突并最大化 M4 芯片性能。

第一步：安装最新版 NVM

curl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.40.4/install.sh | bash

执行完毕后，运行 source ~/.zshrc 或重启终端让环境变量立即生效。

第二步：NVM 常用管理命令与 Node 部署

步骤	命令	说明
查看所有可用版本	`nvm ls-remote --lts`	建议只看稳定版 LTS
安装符合要求的版本	`nvm install 22`	推荐 Node.js 22 系列最新 LTS
查看本地已安装版本	`nvm ls`	带 `->` 的即为当前使用版本
设置全局默认版本	`nvm alias default 22`	防止每次开终端都要重设
卸载旧版本	`nvm uninstall <版本号>`	不能卸载当前正在使用的版本

第三步：M4 满血架构验证

node --version            # 确保输出是 v22.x.x
node -p "process.arch"   # 输出 arm64 即代表满血性能状态

2 | 安装 OpenClaw（一条命令）

Node 环境就绪后，执行官方安装脚本（自动下载核心文件、安装 CLI 并进入引导流程）：

curl -fsSL https://openclaw.ai/install.sh | bash

💡 进阶提示：只想安装、不立刻跑向导（比如准备做自动化脚本），可以加参数：
curl -fsSL https://openclaw.ai/install.sh | bash -s -- --no-onboard

3 | 首次初始化：Onboarding 向导 + 常驻服务

运行向导并安装 daemon（macOS 上自动配置 launchd 守护进程，实现开机自启）：

openclaw onboard --install-daemon

向导将引导你完成：

Gateway 基本网络配置（默认 loopback 安全模式）
核心大模型（LLM）API Key 与鉴权配置
可选的交互渠道绑定（Telegram / WhatsApp / Slack 等）

4 | 验证部署成功

4.1 查看 Gateway 运行状态

openclaw gateway status

✅ 健康基线：看到 Runtime: running 且 RPC probe: ok 即可。

4.2 打开控制台 UI

方式一 — 终端快捷命令：

openclaw dashboard

方式二 — 浏览器直接访问：

http://127.0.0.1:18789/

5 | 日常运维：启动 / 停止 / 排错

OpenClaw 的 Gateway 是 Mac mini 上的"常驻大脑"，官方建议用受监督的服务形态运行。

命令	用途
`openclaw gateway status`	查看服务运行状态
`openclaw gateway restart`	重启 Gateway 服务
`openclaw gateway stop`	停止后台服务
`openclaw logs --follow`	实时滚动查看运行日志（排错必备）
`openclaw doctor`	官方安全与环境体检

💡 如果未安装后台服务，可用前台模式跑（通常用于深度排错）：
openclaw gateway --port 18789 --verbose

6 | 更新到最新版

OpenClaw 更新频繁，官方建议流程：更新 → 体检 → 重启 → 验证。

6.1 重新运行官方安装脚本（原地升级）

curl -fsSL https://openclaw.ai/install.sh | bash

6.2 更新后必做三件事

openclaw doctor          # 体检
openclaw gateway restart # 重启
openclaw health          # 验证

6.3 版本回滚（出问题时的救命稻草）

npm i -g openclaw@<version>
openclaw doctor
openclaw gateway restart

7 | 远程访问（⚠️ 千万不要直接公网暴露端口）

官方默认：loopback 优先。Gateway 默认绑定 127.0.0.1:18789，即"本机安全默认态"。

7.1 SSH 端口转发（最通用）

在外地时，从你的 MacBook / Windows 笔记本执行：

ssh -N -L 18789:127.0.0.1:18789 user@你的Mac_mini_IP地址

然后在笔记本浏览器打开 http://127.0.0.1:18789/ 即可安全访问。

7.2 Tailnet / 虚拟局域网（推荐 Tailscale）

官方网络模型明确：非 loopback 绑定需要严格的 token，并强烈建议走 Tailnet 或 SSH。绝对不要把端口裸露在公网。

8 | 安全加固（强烈建议照做）

OpenClaw 是"能自主做事"的 Agent，安全上默认要把 外部输入当不可信。

#	措施	说明
1	Gateway 保持 loopback 绑定	默认即是，不要乱改 IP 绑定
2	DM / 群聊用 pairing / allowlist	只允许信任账号发号施令，不要设为 "open"
3	谨慎安装第三方 skills / 扩展	已有恶意投递与安全争议的公开报道（如窃取 Token）
4	高隔离需求上 VM	官方提供 Lume 在 Apple Silicon 上跑 macOS VM 的方案

9 | 可选方案 A：Docker 部署

如果坚持容器化，官方 Docker 指南的"快速启动"从仓库根目录执行脚本，会构建镜像、跑 onboarding、起 compose、生成 token，然后在浏览器打开 http://127.0.0.1:18789/。

⚠️ Docker Desktop 在 Apple Silicon 上运行可能需要部分工具借助 Rosetta 转译，因此本机跑 Node 依然是性能最优解。

10 | 可选方案 B：macOS VM（更强隔离）

官方"macOS VMs（Sandboxing）"文档给了 Lume 的一条龙步骤（完美适配 M1 / M2 / M3 / M4），包括创建 VM、开启 SSH、无界面运行等。适合对安全和文件系统隔离有极高要求的极客玩家。

11 | 验收清单

检查项	预期结果
`node -p "process.arch"`	输出 `arm64`
`openclaw gateway status`	显示 `running` 且 RPC `ok`
`openclaw dashboard`	一键打开控制台
浏览器访问 `http://127.0.0.1:18789/`	可顺畅聊天发任务
升级后跑 `openclaw doctor` 并重启	服务正常恢复
对外访问	仅 SSH 隧道或 Tailscale，无公网裸奔端口

参考资料与安全警示

WAF开发技术选型

Sat, 14 Feb 2026 00:00:00 GMT

WAF开发技术选型

真正的“最强 WAF”不是单体规则盒子，而是“内核快路径 + L7 代理 + 规则/语义/指纹/ML 分层检测 + 异步全事务复检 + 统一策略控制面”的分层体系。当前一线公开资料最一致的结论有三条：第一，主路径要把低延迟、可证明稳定的能力放在最前面；第二，检测与处置要解耦，允许 always-on 的 shadow/旁路检测；第三，API 时代的核心不再只是黑名单规则，而是协议规范化、Schema 正向模型、客户端指纹与行为特征的联合判定。Envoy 的 xDS / ext_proc / CEL、Cloudflare 的 always-on detections 与 full-transaction detection、Google Cloud Armor Adaptive Protection、AWS WAF 的 JA4 指纹，基本都在朝这个方向收敛。(envoyproxy.io)

流量接入层

反向代理引擎：Envoy (C++) + ext_proc + CEL，Proxy-Wasm 只用于受控扩展。 Envoy 的优势不是“把所有安全逻辑硬塞进插件”，而是 xDS 动态下发、对 gRPC / HTTP/2 / WebSocket 的成熟支持，以及 HTTP/3 downstream 已可生产使用、upstream 已实现；同时 ext_proc 可以通过双向 gRPC 对请求/响应头、体、trailer 做检查、改写，甚至直接回包，CEL 则适合做纳秒到微秒级的内联表达式匹配。反过来，Envoy 官方仍明确提示 Proxy-Wasm “production burn time”不足且安全姿态未知，因此它更适合做有限、可审计的扩展，而不是整套 WAF 主链路。(envoyproxy.io)

内核级加速：eBPF + XDP。 这层负责在内核里提前丢弃明显恶意包、限速和采样，尽量不把垃圾流量送进用户态。Cloudflare 的 L4Drop 已经证明 XDP/eBPF 可以常开运行，并在攻击时以很低额外 CPU 成本完成高 PPS 丢包；到 2025 年，Cloudflare 已能全自动拦截 7.3 Tbps 级别的 DDoS。(The Cloudflare Blog)

TLS 卸载：极限吞吐选前置 HAProxy 3.3 + AWS-LC + kTLS；常规一体化场景由 Envoy 直接终止 TLS。 Envoy 的 TLS 生态仍以 BoringSSL 为核心，而 HAProxy 3.3 已把 kTLS 与 AWS-LC 性能包带进主线，适合把最重的 TLS 计算单独抽成一层；这样做能把“极致 TLS 吞吐”和“复杂 L7/安全编排”拆开，各自优化。(envoyproxy.io)

规则引擎层

传统规则基线：Coraza (Go) + OWASP CRS v4，通过 ext_proc 接入 Envoy。 这是今天最稳的“成熟规则底座”。Coraza 以 Go 实现，兼容 ModSecurity SecLang，并明确宣称对 OWASP CRS v4 100% 兼容；CRS 本身仍是 OWASP 旗舰规则集，目标是在覆盖常见 Web 攻击的同时尽量压低误报。Tetrate 的 Envoy Gateway 也已经给出 Coraza ext_proc 形态的工程化落地，配置经 ConfigMap 热更新，数秒生效且无需重启。(GitHub)

高性能多模匹配：Hyperscan（x86）/ Vectorscan（ARM）。 Hyperscan 依靠 x86 SIMD 对大批量正则并行匹配做加速，适合海量签名、Bot 特征、URI/参数/头部快速筛查；若你的节点已大量 ARM 化，直接把可移植 fork Vectorscan 作为同级选项，否则“最强方案”会在架构迁移时失去一致性。(envoyproxy.io)

规则热更新与策略编排：xDS + CEL + OPA Bundles/Rego。 xDS 负责分发代理与路由配置，CEL 负责极快的内联判定，OPA 负责更复杂的声明式策略、评分与例外管理；OPA Bundles 可以在线加载策略和数据且无需重启，必要时还可以把 Rego 编译成 Wasm 作为轻量执行目标。这样比单纯 Lua 或通用 Wasm 更适合做大规模、可治理的规则体系。(envoyproxy.io)

语义分析层

SQL 注入：libinjection first-pass + 方言级 SQL 解析器/AST。 libinjection 依然是行业里最成熟的首轮 SQLi 指纹层，Coraza 的 detectSQLi 直接基于它实现并能输出指纹；Google Cloud Armor 的预置 WAF 规则也仍在使用 libinjection。真正的上限则在 second-pass：对 MySQL、PostgreSQL、Oracle、SQL Server 方言做 canonicalization 与 AST 解析，补齐 JSON、编码变形、嵌套表达式和上下文绕过。(OWASP Coraza)

XSS：libinjection first-pass + HTML5 tokenizer + JS AST + 上下文/sink 模型。 Coraza 的 detectXSS 同样是基于 libinjection 的第一道快筛，但现代 XSS 的难点不在“有没有脚本片段”，而在“它最终是否落入可执行上下文”。因此最强方案必须把 HTML 实体、Unicode、URL/Base64、属性上下文、事件处理器、模板注入等做统一规范化，再交给 HTML/JS 语义层判断。(OWASP Coraza)

命令注入：Shell grammar parser + canonicalization。 这层不该停留在黑名单关键字，而要显式覆盖 Bash/sh/PowerShell/CMD 的管道、重定向、命令替换、变量展开与转义序列；规则命中只做先验提示，最终结论应由语法树与上下文给出。

协议合规：严格 HTTP 状态机，优先 H2/H3 端到端，禁止无校验降级。 请求走私的根因是前后端对消息边界和头部语义理解不一致。PortSwigger 的最新材料仍明确建议：尽量使用 HTTP/2 端到端并避免 downgrading；若无法避免降级，必须重新规范化并按 HTTP/1.1 规范严检改写结果，同时让前后端对歧义请求一律拒绝。(portswigger.net)

API 正向安全：OpenAPI 3.2 + JSON Schema Draft 2020-12 + 请求/响应双向校验。 Web 应用越来越像 API 系统，最强 WAF 不能只靠“黑名单规则”，而要把 OpenAPI 与 JSON Schema 当作一等输入：自动抽取路径、方法、参数类型、枚举、约束与响应结构，在请求和响应两个 phase 都做验证。Coraza 的 validateSchema 已经支持基于 phase 对 JSON 请求体/响应体做 Schema 校验，这让“正向安全”可以直接落进主链路。(OpenAPI Initiative Publications)

指纹、行为与 AI/ML 层

实时主判定：JA4/JA3 + inter-request features + CatBoost/LightGBM + ONNX Runtime（C++ in-process）。 当下最有效的实时 ML，不是大模型先上，而是把客户端指纹、过去一小时行为统计、协议/头部/路径/参数特征、会话节奏等做成高质量特征，再用极低延迟的树模型在线判定。Cloudflare 已在 4600 万平均 RPS、6300 万峰值 RPS 的规模上让机器学习为超过 72% 的 HTTP 请求给出最终 Bot Score，并且把多模型 shadow mode 常开；其经验也表明，真正拉开效果差距的是 inter-request 聚合特征，而不是只盯单个请求。ONNX Runtime 适合作为统一的高性能推理底座，支持 C/C++ 与多类硬件加速。(The Cloudflare Blog)

异常流量检测：Adaptive Protection 风格的异常检测 + 自动签名 + 自动生成规则。 Google Cloud Armor Adaptive Protection 的公开路线非常值得抄：先建模业务基线，检测异常，再生成攻击签名，最后自动生成可执行 WAF 规则，必要时还能自动部署。对 WAF 来说，这比把 Isolation Forest、Autoencoder 或 RL 名字堆满 PPT 更像真正可落地的“最先进”。(Google Cloud Documentation)

深度语义复检：量化 ModernBERT-base，仅用于高风险选择性复检或 shadow mode。 ModernBERT 代表了 2024 以后 encoder-only 模型的 Pareto 前沿：原论文给出的结论是相对旧一代 encoder 的显著性能、速度与内存效率提升，并原生支持 8192 上下文。它更适合做“二线复检器”而不是“每请求必经主路径模型”：只对高风险 payload、复杂编码、低置信争议样本做复判，既保住延迟，也能明显提升语义理解上限。(arXiv)

全事务检测：请求 + 响应联合确认。 这是当前公开资料里最容易被忽略、但实际上最“先进”的能力。Cloudflare 已公开提出把检测与处置解耦、让检测持续运行，并从 request-only 迈向 Full-Transaction Detection：把请求特征与响应状态码、响应体敏感片段、错误模式联合起来，显著降低误报，并更接近“是否真的打成功了”这个安全问题本身。(The Cloudflare Blog)

推理加速与服务：CPU 优先 OpenVINO，GPU 选 TensorRT/Triton。 CPU 密集型边缘节点用 OpenVINO 更容易把低延迟和硬件利用率做到平衡；NVIDIA GPU 场景则用 TensorRT 做模型优化，Triton 负责多框架、多模型并发、动态 batching 与版本管理。(docs.openvino.ai)

业务自适应学习层

实时基线与特征流：Kafka + Flink。 Kafka 适合做高吞吐事件总线，Flink 适合做有状态流计算、滑动窗口、事件时间与 exactly-once 处理；把 URL、Host、Method、参数分布、状态码、来源指纹、会话节奏等特征持续滚动聚合出来，才能支撑上面的异常检测、自动签名与阈值调优。(Apache Kafka)

参数白模型：OpenAPI/JSON Schema 优先，PFSA/格式学习作为增强。 对 API 系统，先利用现成规范形成正向安全模型收益最大；对没有文档、动态参数很多的业务，再用 PFSA、正则归纳、字符集/长度/枚举分布学习去补齐白模型。这样比“从第一天就靠黑盒 AI 自学业务逻辑”更稳。

业务逻辑漏洞检测：会话图/序列分析做离线增强，不放实时主路径。 越权、流程绕过、刷接口、慢速探测这类问题，确实适合图建模和序列建模，但更适合跑在旁路回放、离线挖掘和高风险二次判定中，而不是把 GNN 生塞进每个请求的 inline path。真正的主路径仍应以规则、协议、Schema、指纹、行为统计和轻量模型为核心。

对抗演进：GAN/LLM payload 生成、贝叶斯优化、强化学习只放离线实验室。 它们非常适合做红队样本扩增、回放评测、规则/阈值搜索和鲁棒性验证，但不应直接托管生产拦截决策。生产路径求的是稳定、可解释、可回滚；研究路径求的是探索上限，两者必须分层。

威胁情报层

客户端与流量指纹：JA4/JA3 + JA4 Signals。 2025 年 AWS WAF 已正式支持 JA4，并允许在 rate-based rules 中把 JA3/JA4 作为聚合键；Cloudflare 则进一步把 JA4 扩展为跨请求信号，统计浏览器占比、缓存占比、H2/H3 占比、请求分位等特征。对自动化攻击、Bot、代理池和伪装客户端来说，这已经是比单纯 UA/ASN 更强的基础设施。(Amazon Web Services, Inc.)

情报交换：STIX 2.1 + TAXII 2.1。 外部 IoC、C2、恶意基础设施、已知攻击链、指纹映射等情报，统一通过 STIX/TAXII 接入最合适：前者负责表达威胁对象，后者负责做简单可扩展的 RESTful 传输。把它放进 OPA/规则中心与行为评分体系里，而不是孤立成“拉黑名单模块”，价值才最大。(OASIS Open)

自建情报：蜜罐/诱饵端点 + 规则/模型回灌。 公网 API、管理口、未公开路径、伪装资产都应成为主动情报源。自建数据最大的价值不是“多一个黑名单”，而是让你拿到自家业务特有的扫描器、工具链、时序特征和 payload 变形样本。

数据、可观测与控制面

日志与分析：ClickHouse；指标：VictoriaMetrics / Prometheus；链路：OpenTelemetry + Jaeger。 ClickHouse 已经把 logs/traces 观测场景当成官方 use case；VictoriaMetrics 强项是快速、低成本、可扩展的时序存储；Prometheus 仍是云原生指标与告警事实标准；OpenTelemetry 负责统一埋点与语义，Jaeger 负责把请求路径摊开到 span 级。对 WAF 来说，这套组合足够支撑实时攻防看板、链路耗时归因、误报溯源和模型/规则效果评估。(ClickHouse)

配置与发布：etcd + Argo CD/GitOps；弹性伸缩：HPA + KEDA；混沌验证：Litmus / ChaosBlade。 etcd 负责强一致配置；Argo CD 把规则、策略、模型版本与灰度发布纳入 GitOps；KEDA 与 HPA 负责按事件与资源维度扩缩容；Litmus 和 ChaosBlade 负责对节点故障、网络抖动、上游异常、控制面失效做压测与演练。(etcd)

训练数据管理：Delta Lake / Hudi。 需要长期沉淀流量、样本、标签与回放集时，Delta Lake 适合做带 ACID 与流批统一的数据底座，Hudi 则适合做增量查询和分钟级增量处理；两者都比“直接堆原始对象存储文件”更适合安全训练与回放。(Delta Lake)

最终方案

当前真正的最强生产化 WAF，不是“Envoy + Wasm 插件 + 一堆炫技模型”，而是：eBPF/XDP 在内核先挡第一层洪水；极限 TLS 场景前置 HAProxy 3.3 + AWS-LC/kTLS；Envoy 负责 L7、xDS、ext_proc 与 CEL；Coraza + OWASP CRS v4 作为成熟规则底座；Hyperscan/Vectorscan 做大规模多模匹配；SQL/XSS/命令/HTTP 语义解析器做深度判定；JA4/JA3 + 跨请求行为特征 + 树模型承担实时主判定；ModernBERT 只做高风险复检；Cloud Armor 风格的异常检测与自动签名负责自适应演进；Cloudflare 风格的 Full-Transaction Detection 负责把“看起来像攻击”升级为“确认打成了攻击”；OPA 统一评分与策略编排；Kafka/Flink/ClickHouse/OTel/Jaeger 承担数据闭环；全部跑在 Kubernetes 上，由 HPA/KEDA 与 GitOps 驱动发布与伸缩。这不是理论上最花哨的组合，而是截至 2026 年 3 月，结合大厂公开资料后最先进、也最能落地的一套 WAF 形态。(The Cloudflare Blog)

加密货币支付网关介绍

Sat, 07 Feb 2026 00:00:00 GMT

加密货币支付网关介绍

如果只看“能不能尽快上线收款”，两家都能用；但它们在资金路径和合规触发方式上差异很大：

CryptoCloud更像“先入平台余额，再提现到你钱包”；
NOWPayments主打“可直接打到你的个人钱包（也提供 Custody 选项）”。 (support.cryptocloud.plus)

一、官网与入口

CryptoCloud

官网（支付网关）：cryptocloud.plus
商户后台：app.cryptocloud.plus
文档入口：docs.cryptocloud.plus (support.cryptocloud.plus)

NOWPayments

官网：nowpayments.io
商户后台：account.nowpayments.io
帮助中心与 KYC 文档：nowpayments.io/help/... (NOWPayments)

二、特点对比（业务视角）

CryptoCloud：偏“平台余额中转”模式

集成方式：支持 API / HTML 小组件 / CMS 插件。 (support.cryptocloud.plus)
支付能力：支持发票、静态钱包（同一地址持续收款）、自动入账与回调（postback）。 (support.cryptocloud.plus)
资金流：官方明确“无法直接收至你的外部钱包，先到平台再提现”。 (support.cryptocloud.plus)
费用结构：入账费 1.9%，提现服务费 0%（另付链上网络费）；大项目可谈更低费率。 (support.cryptocloud.plus)
提现效率：多数情况约 5 分钟内处理。 (support.cryptocloud.plus)

NOWPayments：偏“钱包直收 + 多工具矩阵”

产品矩阵：Development API、Invoices、Fiat Payments、Subscriptions、Donation Tools、POS、Plugins、Widget、Button、White Label。 (NOWPayments)
管理工具：Mass payouts、Custody、Off-ramp payouts、Customer operations。 (NOWPayments)
币种规模：官方展示 350+ currencies，并提供完整 coins 列表页。 (NOWPayments)
费率口径：页面显示 0.5% 服务费（具体场景按官方费率页/规则）。 (NOWPayments)
官方文案强调“Non-custodial: you are in control”，并写明可打到个人钱包。 (NOWPayments)

三、支持的货币（重点摘要）

CryptoCloud（有明确币种+网络表）

当前帮助中心列出的主流资产包括：

BTC（Bitcoin）
LTC（Litecoin）
ETH（ERC20 / Arbitrum / Optimism / Base）
TRX（TRC20）
TON
BNB（BSC）
SOL
USDT（TRC20 / BSC / TON / ERC20 / Arbitrum / Optimism / Solana）
TUSD（ERC20 / BSC）
USDC（BSC / ERC20 / Base / Arbitrum / Optimism / Solana）
USDD（TRC20）
SHIB（ERC20） (support.cryptocloud.plus)

NOWPayments（币种非常多，按“350+ + 全量列表页”理解）

官方定价页显示“350+ Currencies”；
帮助与底部导航常见主流币包括 BTC / ETH / USDT / USDC / TRX / BNB / XRP / XMR 等；
全量币种与网络组合在 supported-coins 页面动态维护。 (NOWPayments)

四、是否需要 KYC？

CryptoCloud

官方写明：KYC 不是接入的强制要求。 (support.cryptocloud.plus)
但平台会做规则合规检查，违规业务可能被限制或停用。 (support.cryptocloud.plus)

NOWPayments

纯加密场景：通常不做常规强制 KYC，但若交易被风控判定为可疑，会触发 KYC/KYB。 (NOWPayments)
法币相关场景（如 fiat 代收/出金）：官方写明需先通过 KYC/KYB。 (NOWPayments)
触发后所需材料通常包括证件照、资金来源截图、手持材料自拍等。 (NOWPayments)

五、选型一句话建议

想要更“托管式”中台体验（先归集再提现、后台化管理）：看 CryptoCloud。
想要更“开发者工具化 + 币种覆盖广 + 直达钱包”：看 NOWPayments。
无论哪家，“无需 KYC”都不等于“永不 KYC”；一旦命中 AML 风控，补充材料是常见流程。 (support.cryptocloud.plus)

如果后续需要，我可以再给一版“按你的业务模型（电商/订阅/TG 机器人）做落地选型清单”的 Markdown 模板。

2026 前端最佳技术栈组合（按场景拆分，含完整版本号）

Fri, 30 Jan 2026 00:00:00 GMT

2026 前端最佳技术栈组合（按场景拆分，含完整版本号）

版本基准日期：2026-01-30。以下组合以“生态成熟、长期维护、工程化完善、可持续迭代”为目标，按 PC Web / 后台管理 / 移动端 H5 / 企业官网纯静态（强 SEO）给出一套推荐落地方案。

选型原则

统一技术底座：同一套 Node、包管理器、TypeScript、Lint/Format/Test，降低多项目维护成本。
框架与生态优先：选择长期活跃、社区成熟、组件体系完善的主流组合（Vue/Nuxt/Astro）。
SEO 场景用 SSG/SSR：企业官网与内容型站点优先使用可输出静态 HTML 或 SSR 的框架。
依赖安全：锁定版本、使用 lockfile，避开已公开的供应链污染版本。

全项目统一“工程底座”（强烈建议所有项目一致）

类别	推荐版本	说明
Node.js	24.13.0 LTS (Node.js)	统一运行时与 CI 环境
包管理器	pnpm 10.28.2 (npm)	更快、更省磁盘；建议强制使用 lockfile
TypeScript	5.9.3 (npm)	统一类型体系与编译目标
ESLint	9.39.2 (npm)	统一代码质量规则
Prettier	3.8.1 (npm)	统一格式化输出
eslint-config-prettier	10.1.8 (npm)	避开被通报污染的 10.1.6/10.1.7
单测	Vitest 4.0.18 (npm)	与 Vite 生态一致
E2E	Playwright 1.58.0 (npm)	浏览器自动化测试

按平台/场景的“最佳组合”（仅此一套）

统一前端主框架以 Vue 3.5.27 为核心，构建以 Vite 7.3.1 为核心；SEO/内容站使用 Nuxt/Astro 承接。

1) 企业官网（纯静态，必须 SEO 友好）

模块	推荐版本
框架（SSG/静态输出）	Astro 5.17.1 (GitHub)
样式方案	Tailwind CSS 4.1.18 (npm)
Tailwind 集成	@tailwindcss/vite 4.1.18（推荐方式）(npm)
排版增强（内容型页面建议）	@tailwindcss/typography 0.5.19 (npm)
Sitemap	@astrojs/sitemap 3.7.0 (npm)

SEO 关键点（官网必做）

静态输出 HTML（可抓取、可缓存、首屏更快）。(Astro)
生成 sitemap.xml：@astrojs/sitemap。(npm)
Tailwind 4 在 Astro 中优先使用 Vite 插件；@astrojs/tailwind 已标记为 Deprecated。(Astro 文档)

2) PC Web（内容站/需要 SSR/SSG 与更强路由能力）

模块	推荐版本
框架（SSR/SSG）	Nuxt 4.3.0 (npm)
Vue 核心	Vue 3.5.27 (npm)
UI/样式	@nuxt/ui 4.4.0 + Tailwind CSS 4.1.18 (npm)
i18n	@nuxtjs/i18n 10.2.1 (npm)
HTTP	优先 Nuxt 内置 `$fetch`；如需 Axios：axios 1.13.4 (npm)

3) 后台管理系统（Admin SPA：权限、表格、表单密集）

模块	推荐版本
框架/构建	Vue 3.5.27 + Vite 7.3.1 (npm)
UI 组件库	Element Plus 2.13.1 (npm)
样式预处理（主题定制时需要）	Sass 1.97.3 (npm)
路由	vue-router 4.6.4 (npm)
状态管理	Pinia 3.0.4 (npm)
i18n	vue-i18n 11.2.8 (npm)
HTTP	axios 1.13.4 (npm)

4) 移动端 H5（浏览器 / WebView：轻量、交互组件齐全）

模块	推荐版本
框架/构建	Vue 3.5.27 + Vite 7.3.1 (npm)
UI 组件库	Vant 4.9.22 (npm)
路由	vue-router 4.6.4 (npm)
状态管理	Pinia 3.0.4 (npm)
i18n	vue-i18n 11.2.8 (npm)
HTTP	axios 1.13.4 (npm)

Vite/Node 版本兼容性说明（避免踩坑）

Vite 7 要求 Node 20.19+ 或 22.12+；因此统一使用 Node 24.13.0 LTS 可覆盖全部场景。(vitejs)

依赖安全与交付建议（用户可见的工程化规范）

锁定版本 + lockfile：提交 pnpm-lock.yaml，发布与 CI 必须 --frozen-lockfile。(npm)
避开已曝光供应链污染版本：eslint-config-prettier 被通报的污染版本包含 10.1.6/10.1.7，推荐固定 10.1.8。(TechRadar)
最小化依赖：官网（纯静态）尽量减少运行时依赖，页面数据以构建期生成/注入为主，进一步提升 SEO 与性能。(Astro)

拒绝“接盘侠”！3招快速检测域名是否“爆红”或被墙

Thu, 29 Jan 2026 00:00:00 GMT

拒绝“接盘侠”！3招快速检测域名是否“爆红”或被墙

做站长的朋友都知道，注册域名最怕的不是名字不够好，而是当了“接盘侠”。

你兴致勃勃地注册了一个老域名，甚至花了大价钱竞拍下来，结果网站一上线，发现Chrome浏览器直接报红，或者发到微信里全是“已停止访问”。这种域名俗称“爆红域名”或“红名”，一旦沾上，不仅流量全无，SEO更是无从谈起。

很多新手只看域名含义，却忽略了“验身”这一步。今天就给大家分享我常用的 3 个检测维度，从简单粗暴到专业深挖，帮你在这个环节避坑。

第一招：暴力直测法（最简单）

这是最基础的一步，不需要任何工具，完全模拟用户的真实访问场景。

操作方法： 打开你的 Google Chrome 浏览器（或者 Edge），直接在地址栏输入你想购买的域名，然后回车。

如何判断：

正常情况：如果域名未注册，通常会跳转到域名注册商页面或显示“无法访问此网站”（DNS错误），这是干净的表现。
爆红情况：如果屏幕瞬间变成醒目的红色背景，中间有一个巨大的感叹号，提示“欺诈网站”、“包含恶意软件”或“危险网站”，那么恭喜你，排雷成功。

原理： Chrome 占据了全球浏览器市场的半壁江山，它的拦截数据库直接同步 Google 的安全浏览数据。如果这里爆红，说明这个域名在过去被做过钓鱼、挂马站点，且从未解封。这种域名，白送都不要。

第二招：官方权威查证（最准确）

有时候浏览器没爆红，不代表它在 Google 的数据库里就是清白的。也许是缓存问题，也许是风险等级还没到直接拦截的程度。这时候我们需要去“最高法院”查档案。

工具： Google 安全浏览透明度报告 网址： https://transparencyreport.google.com/safe-browsing/search

操作方法： 点击链接进入 Google 官方的检测页面，将域名粘贴进去搜索。

结果分析： Google 会给出非常明确的当前状态。如果显示 “未发现不安全的内容”，说明该域名在 Google 的安全层面是“白名单”状态。这是做谷歌SEO的基础门槛。如果显示有风险，直接Pass。

第三招：第三方综合起底（最全面）

对于国内的站长来说，光看 Google 的脸色还不够。因为“爆红”不仅指谷歌爆红，还指被微信（腾讯系）拦截，或者域名有过其他黑历史（比如做过博彩、被墙）。

这时候需要用聚合类的查询工具，我个人比较常用的是 狗狗查询。

工具： 狗狗查询 (GGCX) 网址： https://www.ggcx.com/

为什么用它？ Google 的工具只能告诉你现在安不安全，而狗狗查询这类第三方工具能告诉你它过去干了什么。

在狗狗查询里输入域名，你需要重点关注两点：

QQ/微信拦截检测：这是国内流量的命门。如果显示被拦截，这个域名在国内基本等于废了。
墙裂检测：查看域名是否被 GFW 墙了（DNS污染或IP屏蔽）。
历史快照/聚类：看看这个域名以前是不是做过“灰产”。如果历史记录里全是乱码或违规词，即便现在没爆红，搜索引擎的权重恢复也需要很长的周期，性价比极低。

总结

选域名就像买二手房，不能只看外表光鲜，必须得查查有没有“凶宅”记录。

建议大家按照这个顺序执行：Chrome 直连测试 -> Google 官方定性 -> 狗狗查询深挖历史。这一套组合拳打下来，基本上能过滤掉 99% 的“坑货”域名。

希望这篇避坑指南能帮大家省下一笔冤枉钱。如果你有其他好用的检测工具，也欢迎在评论区留言交流！

阿里云ECS绑定密钥对登陆

Wed, 28 Jan 2026 00:00:00 GMT

阿里云ECS绑定密钥对登陆

使用 SSH 密钥对（Key Pair）是云服务器身份认证的最佳实践。通过“私钥签名+公钥验签”的非对称加密机制，可以彻底杜绝暴力破解密码的风险。

本文将详细介绍从密钥创建到彻底禁用密码登录的完整闭环流程。

📋 核心步骤速览

创建密钥：在阿里云控制台自动生成并下载 .pem 私钥。
绑定实例：将密钥对绑定至目标 ECS 服务器。
重启生效：重启 ECS 实例以应用密钥配置。
验证登录：使用客户端通过密钥成功登录。
安全加固：修改 SSH 配置，彻底禁用密码登录。

准备工作

拥有阿里云 ECS 实例的管理权限。
确保 ECS 实例已分配 公网 IP。

第一步：创建 SSH 密钥对

阿里云提供了自动生成密钥对的功能，无需在本地手动生成。

登录阿里云 ECS 控制台。
在左侧导航栏中，选择 网络与安全 > 密钥对。
点击右上角的 “创建密钥对”。
填写配置信息：

密钥对名称： 建议使用具有业务标识的名称（例如：prod-web-key）。
创建类型： 选择 自动创建密钥对。
资源组/标签： 根据项目规范填写（可选）。

点击确定。

⚠️ 关键提示： 点击确定后，浏览器会自动下载一个 .pem 后缀的私钥文件。请务必妥善备份！

这是登录服务器的唯一物理凭证。

阿里云不存储私钥，一旦丢失无法找回（只能重新创建并绑定新密钥）。

第二步：绑定密钥对到 ECS 实例

将创建好的“锁”安装到服务器上。

回到 实例与镜像 > 实例列表。
找到目标服务器，在操作栏点击更多（...） > 云盘与镜像（或网络与安全） > 绑定密钥对。
在弹出的对话框中，选择刚才创建的密钥对名称。
点击确定。

第三步：重启实例（必选）

绑定密钥对仅修改了元数据配置，必须重启系统才能让 SSH 服务（sshd）加载新的认证方式。

在实例列表中，选中该实例。
点击顶部菜单的重启。
等待实例状态变更为绿色的 “运行中”。

第四步：验证密钥登录

在执行下一步（禁用密码）之前，必须先验证密钥是否能成功登录，否则可能导致无法连接服务器。

方式一：命令行终端 (Mac / Linux / PowerShell)

最通用的原生方式。

修改权限（Mac/Linux 必需）： 私钥文件权限过大（如 644/777）会被 SSH 客户端拒绝，需设为仅所有者可读。

chmod 400 /path/to/your-key.pem

执行登录：

# 语法：ssh -i [私钥路径] [用户名]@[公网IP]
ssh -i ~/Downloads/prod-web-key.pem root@47.xx.xx.xx

方式二：Xshell 客户端

Xshell 7+： 新建会话 -> 用户身份验证 -> 方法选择 Public Key -> 浏览并导入 .pem 文件 -> 连接。
Xshell 6： 由于旧版客户端算法过时，若连接新版 Ubuntu/CentOS 可能报错。建议升级至 Xshell 7，或在服务器端启用旧版 RSA 算法支持。

第五步：禁用密码登录（核心安全步骤）

⚠️ 警告：执行此步骤前，请再次确认您已通过密钥成功登录！

为了实现真正的安全加固，需要修改 SSH 配置文件，禁止通过密码进行身份验证。这样即使黑客获取了 root 密码，没有私钥文件也无法登录。

登录服务器，编辑 SSH 守护进程配置文件：

sudo vi /etc/ssh/sshd_config

在文件中找到以下两个参数，将其设置为 no（如果未找到，可直接在文件末尾添加）：

操作提示：按 i 键进入编辑模式。

PasswordAuthentication no
ChallengeResponseAuthentication no

保存并退出：

操作提示：按 Esc 键，输入 :wq 并回车。

重启 SSH 服务使配置生效：

sudo systemctl restart sshd

验证加固效果

新建一个终端窗口，尝试不指定密钥文件（或强制使用密码模式）连接服务器。

预期结果： 服务器直接拒绝连接（Permission denied），且不再弹出密码输入框。

🛡️ 安全管理建议

私钥隔离原则： 严禁通过 IM 工具（微信/钉钉）传输 .pem 私钥文件，严禁上传至代码仓库。
多用户管理： 团队协作时，不要共享同一个私钥。应让成员生成各自的公钥，追加到服务器的 ~/.ssh/authorized_keys 文件中。
网络访问控制： 建议配合阿里云安全组，仅对特定 IP 段开放 22 端口。

Cloudflare+阿里云WAF防止恶意攻击

Sun, 25 Jan 2026 00:00:00 GMT

Cloudflare + 阿里云 WAF + 云防火墙（CFW）纵深防御：真实 IP、CC/注入防护与投流/搜索机器人放行实战

将 Cloudflare（边缘抗压与粗过滤）、阿里云 WAF 3.0（七层精细化拦截与误报治理）、阿里云云防火墙 CFW（四层边界访问控制与 IPS/威胁情报） 组合使用，可以在“抗压”“拦截”“低误伤”之间取得更好的平衡。整套体系能否跑稳，取决于三个前提：

真实客户端 IP 识别全链路一致（否则限频/黑白名单/溯源全部失真）。
放行策略“可信 + 可控”（机器人与上游代理放行要做范围约束与防伪造）。
源站只信任上游（阻断绕过 Cloudflare/WAF 的直连攻击）。

第一部分：整体架构与真实 IP 透传（最关键前提）

1.1 架构概览与流量路径

典型链路如下：

用户 → Cloudflare → 阿里云 ALB（公网入口） → 阿里云 WAF → ECS 源站

在该链路中，源站默认看到的连接源 IP 往往是上游代理（Cloudflare/ALB/WAF）的地址；若不做正确配置，会直接导致：

CC/限频按 IP 失效或误伤；
访问日志与审计溯源不准；
风控画像、地域策略、投放平台回访定位偏差。

架构概览图：

流量与 Header 变化路径图：

完整全路径流量图（含安全组配置）：

1.2 Cloudflare 侧：确认真实 IP Header 回源存在且未被改写

Cloudflare 回源请求中最关键的真实 IP Header：

CF-Connecting-IP：真实客户端 IP（单值，语义清晰，优先使用）
X-Forwarded-For：通用链路 Header（多级代理时为列表）

注意：

不要在 Transform Rules / Workers 中删除或覆盖 CF-Connecting-IP
“信任 Header”的前提是：源站网络层只允许可信上游访问（见后文源站与云防火墙加固）

1.3 ALB 侧：确保 X-Forwarded-For 不被删除

ALB 建议配置为：

不删除 XFF（绝对不要 Remove/Delete）
可以选择 Add/追加（常见做法），以便后端具备标准化兜底链路

1.4 阿里云 WAF 3.0：配置“从 Cloudflare Header 获取真实 IP”（细节版）

当 Cloudflare 在 WAF 前时，WAF 必须配置“前面有七层代理”，并指定从可信 Header 读取客户端 IP，推荐：

前面有七层代理：是
获取客户端真实 IP 方式：使用“指定 Header 的第一个 IP”作为真实 IP（防止 XFF 伪造）
Header Field（按优先级顺序）：
1. CF-Connecting-IP
2. True-Client-IP（若链路存在）
3. X-Real-IP（若链路存在）
4. X-Forwarded-For（兜底）

要点：

Header 可配置多个，WAF 按顺序匹配读取；缺失则按内置逻辑回退
选“第一个 IP”是为了避免攻击者在 X-Forwarded-For 尾部拼接伪造链路绕过

1.5 源站（ECS/Nginx/应用）日志与真实 IP

即使 WAF 已正确识别真实 IP，仍建议在源站日志保留关键字段，便于排障与回溯：

remote_addr（网络层看到的源地址）
CF-Connecting-IP
X-Forwarded-For
User-Agent

第二部分：Cloudflare 侧防护策略（抗压 + 低误伤）

本部分目标：把大流量（CC/HTTP DDoS）与高噪声攻击（扫描、注入探测）尽量挡在 Cloudflare 边缘，同时把“误伤”控制在可接受范围内——尤其是正常用户、投流审核/落地页预览 Bot、搜索引擎爬虫，以及**业务长 URL（长 query string/参数多）**不应被频繁触发托管质询/挑战页。

你要抓住 3 个原则：

优先用“机器可验证信号”放行 Bot（Verified Bot Categories），其次才用 User-Agent 兜底；
WAF 以“Managed Challenge（托管质询）”为默认缓解动作，比 JS Challenge 更低误伤；
先“观察/日志”，再“挑战/拦截”：所有规则都要能在 Security Events / Security Analytics 里定位到命中原因，然后用 Exception / Skip 精准豁免。

2.1 Cloudflare 最新版功能模块在哪里（控制台路径地图）

以下路径以 Cloudflare 新版控制台为准（不同账号可能显示“Security rules page/安全规则”入口，但字段与逻辑一致）：

A. 安全设置总开关（Security Settings）

位置：域名（Zone）→ Security → Settings（或页面顶部快捷入口 “Settings/Security Settings”）
作用：全局安全档位、紧急抗压开关等（更偏“粗颗粒”）

你主要会用到：

Security Level（安全级别）：决定对“可疑客户端”触发挑战的敏感度（越高越容易挑战）。
Under Attack mode（我正在遭受攻击/抗压模式）：L7 DDoS 最后手段，会给访问者加一层额外检查（会明显影响体验，且可能影响 API 流量，建议只在攻击期短期开启，并用 Configuration Rule 对 API 路径禁用）。
Browser Integrity Check（浏览器完整性检查）：基于特征过滤明显恶意请求（可能对少量非标准客户端有误伤风险，建议先观察事件再决定是否常开）。

B. WAF 主战场（Managed rules / Custom rules / Rate limiting）

位置：域名（Zone）→ Security → WAF
核心页签：
1. Managed rules：Cloudflare 维护的规则集（主要拦 SQLi/XSS/RCE、常见漏洞利用、扫描特征等）
2. Custom rules：你自定义的规则（按表达式匹配，做 Block/Managed Challenge/Skip 等）
3. Rate limiting rules：按表达式匹配的限频（主要抗 CC、爆破、接口刷量）
4. Tools：User Agent Blocking 等工具（Cloudflare 官方建议优先用 Custom rules 替代单独的 UA 工具）

C. Bot 相关（Free / Business 关键差异）

位置：域名（Zone）→ Security → Bots
Free：Bot Fight Mode（简单免费，无法精细调参）
Business：Super Bot Fight Mode（可对“确定是 Bot/疑似 Bot/Verified bots”分别选择 Allow/Challenge/Block，且可启用额外检测项）

D. 事件与溯源（误伤治理必用）

位置：域名（Zone）→ Security → Events（Security Events）
Business 还建议重点看：Security Analytics（可做 Attack Score 维度分析、规则命中分布）

排障顺序永远是：先看 Security Events/Analytics 找到命中规则 → 再用 Exception/Skip 精准豁免，不要靠“整体关规则”解决误伤。

2.2 关键能力解释：每个“选型”的含义与推荐动作

2.2.1 Managed rules（托底抗注入/扫描的主力）

规则集分层（按计划可用能力不同）：

Cloudflare Free Managed Ruleset（Free/所有计划都有）：覆盖“高影响、广泛利用”的规则，默认在 Free 计划上已部署；特点是“更安全、低误报、运维成本低”。
Cloudflare Managed Ruleset（付费计划可用：Pro/Business/Enterprise）：覆盖更全面的 CVE/攻击向量，并持续更新；默认只开启部分规则以平衡误报，你可以按技术栈标签逐步增强。
Cloudflare OWASP Core Ruleset（付费计划可用：Pro/Business/Enterprise）：ModSecurity CRS 风格，覆盖很广，但更容易误报，Cloudflare 官方也提示“边际收益有限且更易误伤”，通常只建议在“高风险路径/后台/登录”按需开启，或用更保守参数。

推荐动作（低误伤优先）

先保证 Cloudflare Managed Ruleset（Business）处于启用，并保持默认的“部分规则开启”策略（默认就是为了降低误报）；
OWASP 只在你确认“误报可治理”的前提下再上，并从最低等级开始（PL1、较高阈值），且尽量限制在后台/登录等路径。

2.2.2 Rate limiting rules（抗 CC 的主力，强烈建议分路径）

Rate limiting 是把 CC 压力“按请求特征”拆解成多个小桶来治：

表达式（Expression）：你要限频的流量范围（路径、方法、国家、ASN、UA、是否已登录等）
阈值（Requests / Period）：每个桶每个时间窗允许多少请求
动作（Action）：
- Managed Challenge（推荐）：Cloudflare 自适应质询，通常比 JS Challenge 更低误伤
- JS Challenge：更强硬，但对部分浏览器/网络环境体验更差
- Block：直接拒绝（注意：不同计划对“Block 的节流行为”限制不同；保守起见限频建议优先用 Managed Challenge）

推荐动作（低误伤优先）

限频一定要“按路径拆”：/login、/api、落地页、静态资源，各自阈值不同；
对“Verified Bots（搜索引擎/预览）”要做排除（见 2.5），否则投流审核/搜索爬虫会被限频误伤。

2.2.3 Custom rules（你用来做“精准挑战/精准放行/精准跳过”的手术刀）

Custom rules 的核心在于 Skip：

Skip 不是简单 Allow，而是“跳过哪些安全阶段/产品”。你可以让某类请求跳过：
- 所有 Managed rules
- 所有 Rate limiting rules
- 所有 Super Bot Fight Mode 规则（Business） 这样就能做到：只让 Verified/可信 Bot 在“必要范围”内免检，而不是全站裸奔。

2.3 Business 版推荐配置（抗压 + 低误伤的“默认档”）

下面给你一套“默认就能用”的 Business 配置，并附上“攻击期加固档”。

2.3.1 WAF → Managed rules（建议顺序）

路径：Security → WAF → Managed rules

Cloudflare Managed Ruleset：启用（必须）

推荐：保持默认（默认只启用子集以降低误报），然后再按业务技术栈标签逐步增强。
如果你在做渗透/压测验证，才临时把规则集整体拉满（更容易误报，生产不建议常态如此）。

Cloudflare OWASP Core Ruleset：可选（谨慎）

如果你“注入/扫描变种非常多”，且 Cloudflare Managed Ruleset + Attack Score 仍不够，再考虑。
推荐只用于高风险路径（例如后台、登录、管理 API），并使用保守参数：PL1 + 较高阈值，并准备好做误报例外（Exception）。

2.3.2 WAF Attack Score Lite（Business 版“攻击评分分类”）

Business 计划对 WAF Attack Score 提供“分类字段”（Attack / Likely Attack / Likely Clean / Clean）。

路径：Security → WAF → Custom rules
建议新建 2 条规则（按顺序从严到松）：

规则 1（最强拦截，低误伤）：
条件：WAF Attack Score Class = Attack
动作：Block（或至少 Managed Challenge）
规则 2（中等摩擦）：
条件：WAF Attack Score Class = Likely Attack
动作：Managed Challenge

这样可以在不依赖具体特征签名的情况下，补上对“变种注入/绕过/新型探测”的覆盖，同时比“全站高安全级别”误伤更低。

2.3.3 Rate limiting（Business：建议 4 类限频）

路径：Security → WAF → Rate limiting rules → Create rule

A) 登录/验证码/敏感动作（爆破防护）

范围：/login、/api/login、/api/auth/*（按你的实际路径）
方法：POST
建议：小阈值 + Managed Challenge（例如 10 次/10 秒/每 IP，具体按你业务调整）

B) API 读接口（抗刷/抗 CC）

范围：/api/*（但排除静态与健康检查）
方法：GET
建议：中阈值 + Managed Challenge（例如 120 次/10 秒/每 IP）

C) 落地页/详情页（投流场景最常被打）

范围：落地页路径（例如 /lp/、/detail）
方法：GET
建议：更高阈值（要允许正常人+投流预览），但对异常高频仍挑战

D) 扫描器特征路径（减少噪声回源）

范围：常见扫描路径（如 /wp-login.php、/.env、/phpmyadmin 等）
动作：Block（或 Managed Challenge）
说明：这类拦截通常误伤极低，能明显降低“噪声请求”对你源站与阿里云侧的压力。

关键：Rate limiting 规则里要把 Verified Bot Categories 做排除（下一节给你通用写法），否则广告平台审核/搜索爬虫非常容易被误伤为 CC。

2.3.4 Bots（Business：Super Bot Fight Mode 推荐）

路径：Security → Bots → Configure Super Bot Fight Mode

2.4 Free 版推荐配置（在能力受限下尽量“抗压 + 低误伤”）

Free 计划可用的关键点：

Cloudflare Free Managed Ruleset 已默认部署（高影响漏洞/广泛攻击托底）。
Custom rules 在 Free 也可用，但数量更少（例如 5 条）且不支持 Log、Regex，所以你要“少而精”。
Bot 防护只有 Bot Fight Mode（域名级别，无法精细调参）。

2.4.1 Bots → Bot Fight Mode（Free 必开）

路径：Security → Bots → Bot Fight Mode → On
作用：针对已知简单 Bot/部分 headless 做计算型挑战，减少无意义刷量。

注意：

Bot Fight Mode 是“全域”生效，不适合做精细放行/细分策略；
Verified bots 默认会被排除在“被当成坏 Bot 处理”的范围之外（但你仍要在 WAF/限频规则里对 Verified Bot Category 做排除，避免别的规则误伤）。

2.4.2 WAF（Free：用 3~5 条 Custom rules 做关键拦截/放行）

路径：Security → WAF → Custom rules

建议 Free 的 5 条规则这样分配（顺序很重要：先放行/跳过，再挑战/拦截）：

Verified Bot 放行/跳过（Skip）（减少误伤）
落地页长 URL 豁免特定规则（Skip）（专治“长链接被挑战”）
登录/敏感动作挑战（Managed Challenge）
API 抗刷挑战（Managed Challenge）
扫描器常见路径直接 Block（高收益低误伤）

2.4.3 Rate limiting（Free：少量关键限频）

路径：Security → WAF → Rate limiting rules
优先只做：登录/敏感动作、API 抗刷、落地页抗压 3 类；动作尽量用 Managed Challenge。

2.5 正常 Bot 放行（Facebook / TikTok / Google / Telegram 等）——“不靠猜 UA”的最新版做法

你提到“通过 User-Agent 信任 Bot”，但最新版 Cloudflare 更推荐你优先用 Verified Bot Categories（可验证） 来放行，因为它是 Cloudflare 识别后的信号，误判与被伪造的风险更低，并且所有计划都可用。

2.5.1 优先级 1：Verified Bot Categories（推荐）

你在规则里用的字段： cf.verified_bot_category

常用类别（用于“放行/跳过”）：

Search Engine Crawler：Googlebot、Bingbot 等搜索引擎爬虫
Page Preview：Facebook/Telegram/Slack/Discord 等链接预览
Advertising & Marketing：例如 Google AdsBot 等广告相关抓取/审核类 Bot

实操建议：不要手打字符串，直接在 Cloudflare 规则编辑器里选择字段并从下拉项选择类别，避免空格/拼写差异。

Business/Free 通用：推荐做一条 Skip 规则

路径：Security → WAF → Custom rules → Create rule
条件（示例逻辑）：
- cf.verified_bot_category in {Search Engine Crawler, Page Preview, Advertising & Marketing}
- 且 http.request.method = GET
- 且 http.request.uri.path 在你的“落地页/公开页面/静态资源”范围内
动作：Skip（跳过）
- 勾选跳过：Managed rules、Rate limiting rules
- Business 额外可勾选：Super Bot Fight Mode rules（如果你希望 Verified bot 完全免受 SBFM 影响）

这样能最大化保证：搜索/投流预览/广告审核 Bot 不会被当成攻击流量导致托管质询。

2.5.2 优先级 2：User-Agent 兜底放行（仅用于“非 Verified”的平台机器人）

如果某些平台审核 Bot 没出现在 Verified bots 列表里（或你看到它的 cf.verified_bot_category 为空），你再用 UA 兜底，但必须加 3 个限制，避免“UA 伪造导致全站裸奔”：

兜底放行规则写法（建议用 Skip，不建议纯 Allow）：

必须限制：
1. 只允许 GET
2. 只允许落地页与必要静态资源路径（例如 /lp/、/detail、/assets/）
3. 仍保留核心防护给写接口（POST/PUT/DELETE 一律不因 UA 放行）

你可以在 Custom rules 里写“UA 包含 facebookexternalhit / TelegramBot / TikTokSpider / AdsBot-Google 等”并配合上面的范围限制，然后动作选 Skip（跳过 Managed rules + Rate limiting）。

2.6 长 URL 被托管质询/挑战的治理（不靠“关 WAF”）

长 URL（参数多、query 很长）常见被挑战原因有两类：

被 Managed rules / OWASP 的“请求异常/注入特征”误判；
被 Rate limiting 当成高频或被 Bot 策略误判。

2.6.1 先定位命中点（必做）

进入：Security → Events（或 Security Analytics）
找到那条被挑战的请求，确认：
- 是哪个产品命中（Managed rules / Custom rules / Rate limiting / SBFM）
- 具体命中的规则名/规则 ID/规则集

2.6.2 再做精准豁免（两种方式二选一）

A) 对 Managed rules 建 Exception（推荐，粒度更细）

路径：Security → WAF → Managed rules → Add exception
条件：只匹配“会出现长 URL 的那一类页面/参数模式”，并尽量只跳过“导致误判的那个规则/标签/规则集”。
好处：保留其它规则继续保护，不会扩大攻击面。

B) 用 Custom rule 的 Skip（最快捷）

路径：Security → WAF → Custom rules → Create rule
条件：只匹配你的长 URL 页面范围（例如 /lp/、/detail）
动作：Skip（仅跳过 Managed rules / Rate limiting 中你需要跳过的部分）
注意：Skip 规则一定要“范围小”，避免把后台/API 一并跳过。

2.7 攻击期“一键加固”预案（不影响 API 的做法）

当你遭遇大规模 CC 时，建议按顺序升级（每一步都能回滚）：

先加 Rate limiting（按路径）：优先对热点路径加 Managed Challenge（低误伤）
再提高 Security Level（短期）：从 Medium → High
再启用 Under Attack mode（最后手段）：只在攻击峰值期开，并建议用 Configuration Rule 对 /api/* 禁用 Under Attack，避免 API 被挑战影响业务调用

2.8 你可以直接照抄的“通用规则骨架”（建议落地）

下面是“策略骨架”，你把路径替换成你自己的即可：

Verified bots（Search/Preview/Ads）→ Skip（Managed rules + Rate limiting +（Business 可选）SBFM）
落地页长 URL → Skip（仅跳过导致误判的那部分）
登录/敏感动作（POST）→ Rate limiting + Managed Challenge
API（GET）→ Rate limiting + Managed Challenge
常见扫描路径 → Block

（本节配置要点对应 Cloudflare 官方最新文档：WAF（Managed rules / Custom rules / Rate limiting / Skip）、Verified Bot Categories、Bot Fight Mode / Super Bot Fight Mode、Security settings、Under Attack mode。）

第三部分：阿里云 WAF 3.0 防护策略（精细拦截 + 误报治理）

3.1 核心 Web 防护：注入 / XSS / 命令执行 / WebShell

保持核心规则组开启作为主战场。误报治理建议优先用“白名单跳过部分模块”，不要一键关闭核心防护。

3.2 扫描防护（Scan Protection）：最容易误伤投流审核的模块之一

投流平台审核/预览抓取常见行为：

短时间集中抓取
访问路径较深、参数复杂
重试较多

建议：

扫描防护保持开启
对明确可信且有业务价值的抓取（Meta/TikTok/Telegram/Ads）建立“可控放行”白名单：只跳过必要模块，并严格限制 URI 范围（落地页 + 静态资源）

3.3 白名单（Whitelist）：正确的放行姿势是“跳过指定模块”

白名单用于让匹配请求绕过全部或指定模块。对机器人放行建议：

只跳过必要模块（例如扫描防护、部分访问控制或限频）
保留核心 Web 攻击防护
限制 URI 范围（只放行落地页、OG 元信息页、必要静态资源）

第四部分：投流/搜索机器人放行（Google/Bing/Meta/TikTok/Telegram 等）

放行原则：

不要只靠 UA（可伪造）
放行必须限制范围（只放行落地页与资源，不放行后台与写接口）
可信优先（Verified Bots / DNS 反查验证）

4.1 常见 UA 放行规则清单

adbot
AdsBot-Google
AdsBot-Google-Mobile
bingbot
Bytespider
facebookcatalog
facebookexternalhit
facebot
googlebot
linkedinbot
meta-externalads
meta-externalhit
slackbot
telegrambot
TikTokSpider
twitterbot
twitterbot/1.0

4.2 三段式放行模型（推荐）

A. 强可信（优先）：可验证搜索机器人

Cloudflare：Verified Bots 豁免挑战/限频
源站/应用：需要强校验时，对 Google/Bing 做反向 DNS + 正向 DNS 校验

B. 中可信（可控放行）：投流审核 / Link Preview Fetcher

只放行落地页与必要资源
保留核心 Web 防护
扫描防护/部分限频可跳过或放宽

C. 低可信（谨慎）：AI/采集型爬虫

没有业务收益的抓取建议限速或阻断，避免带宽与资源被消耗

第五部分：源站加固（防绕过）

5.1 源站只允许可信上游访问

ECS 安全组：仅允许来自 WAF 回源 CIDR、必要的 ALB 私网网段/安全组、以及按需的 Cloudflare IP 段
删除不必要的公网放通（例如 0.0.0.0/0 直连源站）

第六部分：阿里云云防火墙 CFW 加白 Cloudflare 与 ALB，防止误拦截（精确到“在哪配、源是谁、目的是谁”）

本节以“Cloudflare → ALB（公网入口）→（可选）WAF → ECS”为例，把“云防火墙 / ALB / ECS 安全组”三层分别要加白什么讲清楚。你可以只做其中一层，但生产上建议三层收口，减少单点配置误改带来的风险。

6.0 先判断：云防火墙是否会影响你的入口

如果你没有在云防火墙配置任何“互联网边界访问控制策略”，云防火墙默认允许互联网流量进入资产（你仍可能被 IPS 拦截，见 6.4）。
一旦你启用“严格访问控制”（例如默认拒绝、只允许白名单），必须把 Cloudflare / 必要探活流量显式放行，否则会出现全站不可用或间歇性失败。

6.1 在云防火墙（Cloud Firewall）“互联网边界”加白：允许 Cloudflare → ALB 公网入口

在哪里配（控制台路径）：
Cloud Firewall 控制台 → Protection Configuration → Access Control → Internet Border → Inbound（入向）
在入向页签里，选择 IPV4 或 IPV6，点击 Create Policy 创建策略。

策略要点（源是谁 / 目的是谁）：

Source（源）： Cloudflare 官方 IP ranges（IPv4 + IPv6）
Destination（目的）： 你的 ALB 公网入口（ALB 绑定的 EIP / 公网 IP）
Protocol/Port： TCP:80、TCP:443（或你的实际监听端口）
Action： Allow（允许）
Priority： 高于“拒绝所有”的兜底规则（即更高优先级）

推荐写法：两条允许 + 两条兜底拒绝

允许（IPv4）

Source: Cloudflare IPv4 IP ranges
Destination: ALB EIP（或公网 IP）
Port: 80/443
Action: Allow
Priority: 高

允许（IPv6）

Source: Cloudflare IPv6 IP ranges
Destination: ALB EIP（或公网 IP）
Port: 80/443
Action: Allow
Priority: 高

拒绝兜底（IPv4）

Source: 0.0.0.0/0
Destination: ALB EIP（或公网 IP）
Port: 80/443
Action: Deny
Priority: 低（必须低于允许规则）

拒绝兜底（IPv6）

Source: ::/0
Destination: ALB EIP（或公网 IP）
Port: 80/443
Action: Deny
Priority: 低（必须低于允许规则）

运维注意：Cloudflare IP ranges 会调整，务必以 Cloudflare 官方页面为准定期更新（建议用地址簿/地址组统一管理，然后策略引用地址簿）。

6.2 在 ALB 自身加白：只允许 Cloudflare 访问监听端口（第二道收口）

仅在云防火墙放行还不够稳。更推荐在 ALB 自身也做一次“只允许 Cloudflare”的访问控制，避免云防火墙策略被误改后 ALB 直接暴露公网。

在哪里配（方式 1：ALB 安全组，最常见）：
ALB 控制台 → 找到实例 → 关联 Security Group（安全组） → 在该安全组的 Inbound（入方向） 里加规则。

源是谁 / 目的是谁：

Source（源）： Cloudflare IP ranges（IPv4 + IPv6 CIDR）
Destination（目的）： ALB（安全组绑定到 ALB 实例）
Protocol/Port： TCP:80、TCP:443（与监听端口一致）
Action： 允许（Allow 规则）

重要：ALB 安全组要实现“白名单”，通常需要“允许 + 拒绝”配合
ALB 文档说明：如果 ALB 实例加入安全组后仅有 Allow 规则、没有 Deny 规则，监听端口可能仍允许所有请求；要做到“只允许特定 IP”，需要同时配置 Deny 规则（或使用具备默认拒绝能力的安全组类型/默认规则）。实际以你所用安全组类型（基础/高级）与实例形态为准。

推荐规则组合：

Allow：Cloudflare IP ranges → ALB → TCP:80/443（高优先级）
Deny：0.0.0.0/0（以及 ::/0）→ ALB → TCP:80/443（低优先级）

额外注意：ALB 通常存在“托管/managed 安全组”规则用于 ALB 与后端通信。不要把 ALB 的本地地址（local IP）加到最高优先级 Deny 里，否则可能中断 ALB 与后端的通信。

在哪里配（方式 2：ACL）：
部分场景可用 ALB/SLB 的 ACL（访问控制列表）对白名单 CIDR 生效。原则与字段不变：源=Cloudflare IP ranges，目的=ALB 监听器，端口=80/443，白名单优先于拒绝。

6.3 在 ECS 源站加白：放行 WAF 回源 CIDR（必须做，否则大量 5xx/超时）

只要你启用阿里云 WAF 作为代理回源，源站看到的请求源就会是 WAF 的 back-to-origin CIDR。如果源站安全组没放行，会导致：

WAF 无法回源，业务大量 5xx / 超时
源站误把 WAF 回源段当攻击 IP 段封禁

在哪里配（ECS 安全组）：
ECS 控制台 → Network & Security → Security Groups → 选中源站安全组 → Inbound → Add Rule。

源是谁 / 目的是谁：

Source（源）： WAF back-to-origin CIDR blocks（从 WAF 控制台获取，必须全量添加）
Destination（目的）： ECS 实例（安全组绑定到 ECS，目标端口是你的服务端口）
Protocol/Port： HTTP(80)、HTTPS(443) 或你的实际应用端口（例如 8080/8443）
Action： Allow
Priority： 最高（例如 Priority=1），并再加一条最低优先级 Deny 兜底（例如 Priority=100，源=0.0.0.0/0）把源站收口到“只允许 WAF 回源段”

若你的源站只在内网被访问（不暴露公网），云防火墙互联网边界可能看不到该内网流量，但 ECS 安全组一定会生效。

6.4 云防火墙 IPS 仍可能拦截“已允许”的流量：需要单独处理 IPS（避免误拦）

云防火墙的 访问控制（Access Control） 与 IPS（入侵防御/虚拟补丁） 是两条不同的拦截链路：

访问控制 Allow 只表示“通过 ACL/访问策略”
IPS 仍可能在阻断模式下拦截同一条流量（例如被识别为扫描、漏洞利用特征）

在哪里配（IPS 白名单/Allowlist）：
Cloud Firewall 控制台 → Prevention / Intrusion Prevention（IPS 配置页）
在对应实例/边界的 Actions 列中，进入 Configure IPS Whitelist，分别配置 “Source IP Allowlist” 与 “Destination IP Allowlist”（以控制台实际字段为准）。

源是谁 / 目的是谁：

Source allowlist（源白名单）： 你信任的来源 IP（示例：Cloudflare 边缘节点 IP）
Destination allowlist（目的白名单）： 你信任的目的 IP（示例：ALB 公网入口 EIP 或 ECS EIP）

实操建议：Cloudflare IP 段数量较多，而部分 IPS 白名单能力可能存在条目数量上限。更通用的做法是：

攻击期先把 IPS 从 Block 调整为 Monitor/观察，确保业务稳定；

再按拦截日志逐步加精确例外（或仅对白名单入口资产启用 IPS 阻断）。

6.5 最终核验清单（上线前必做）

云防火墙（Internet Border → Inbound）

Allow：Source=Cloudflare IP ranges → Destination=ALB EIP → TCP:80/443（高优先级）
Deny：Source=0.0.0.0/0（IPv6 用 ::/0）→ Destination=ALB EIP → TCP:80/443（低优先级）

ALB 自身（安全组或 ACL）

Allow：Source=Cloudflare IP ranges → Destination=ALB → TCP:80/443
Deny：Source=0.0.0.0/0（以及 ::/0）→ Destination=ALB → TCP:80/443
确认未误伤 ALB 与后端的本地通信地址（避免把 local IP 加入高优先级 Deny）

ECS 源站（安全组 Inbound）

Allow：Source=WAF back-to-origin CIDR → Destination=ECS → 服务端口（高优先级）
Deny：Source=0.0.0.0/0 → Destination=ECS → 服务端口（低优先级，按需）

云防火墙 IPS

若启用 Block：先确认未误拦关键入口；必要时改为 Monitor 并按日志逐步收紧

排障顺序

先看云防火墙拦截日志（Access Control / IPS）
再看 ALB 安全组/ACL 命中情况
再看 WAF 拦截日志
最后看源站 access log（Header/IP 是否一致）

参考链接（运维定位用）

Cloud Firewall：Create inbound/outbound access control policies for the Internet firewall
https://www.alibabacloud.com/help/en/cloud-firewall/cloudfirewall/user-guide/create-inbound-and-outbound-access-control-policies-for-the-internet-firewall
Cloud Firewall：Configure access control policies（参数说明示例）
https://www.alibabacloud.com/help/en/cloud-firewall/cloudfirewall/use-cases/configure-access-control-policies
Cloud Firewall：IPS configuration（含 Configure IPS Whitelist）
https://www.alibabacloud.com/help/en/cloud-firewall/cloudfirewall/user-guide/prevention-configuration
ALB：Use security groups as blacklists or whitelists for ALB（白名单与规则优先级注意事项）
https://www.alibabacloud.com/help/en/slb/application-load-balancer/use-cases/use-alb-security-groups-to-implement-blacklist-and-whitelist-access-policies
WAF：Allow access from the back-to-origin CIDR blocks of WAF（源站放行 WAF 回源段）
https://www.alibabacloud.com/help/en/waf/web-application-firewall-2-0/user-guide/allow-access-from-the-back-to-origin-cidr-blocks-of-waf
WAF：Configure protection for an origin server（安全组 Allow + Deny 的推荐写法）
https://www.alibabacloud.com/help/en/waf/web-application-firewall-2-0/user-guide/configure-protection-for-an-origin-server
Cloudflare IP ranges（官方）
https://www.cloudflare.com/ips/
https://www.cloudflare.com/zh-cn/ips/

中国移动香港手机卡5G MySIM卡指南

Fri, 23 Jan 2026 00:00:00 GMT

中国移动香港手机卡5G MySIM卡指南

本文为中国移动香港（CMHK）推出的5G MySIM预付卡编写的详细使用教程，旨在帮助安卓用户快速上手，解决从激活、App安装到续费保活等一系列常见问题。本教程力求信息准确、步骤清晰，并站在用户角度提供最实用的建议。

第一步：激活与实名登记

根据香港通讯事务管理局的规定，所有电话储值卡必须完成实名登记后方可激活使用。对于MySIM卡，此过程简单快捷，通常在15分钟内即可完成。

操作流程：

连接网络：将MySIM卡插入您的安卓手机。您可以选择连接到Wi-Fi网络，然后扫描包装上的实名登记二维码；或者直接开启手机的移动数据（请暂时关闭Wi-Fi），手机会自动识别SIM卡并收到包含登记链接的短信，点击该链接即可开始。
验证储值卡：进入登记页面后，系统会自动侦测或要求您输入SIM卡上的相关信息（如ICCID，通常印在卡片上）以完成验证。
提供身份证明：根据页面提示，拍摄并上传您的身份证明文件。内地用户通常使用港澳通行证或护照进行登记。请确保照片清晰、完整，无反光或遮挡。
核对并提交：仔细核对系统识别出的个人信息是否准确无误，确认后提交申请。登记成功后，您会收到确认短信，SIM卡服务随之激活。

要点提示：

建议在光线充足的环境下进行拍照，以提高身份信息的识别成功率。

整个登记过程完全免费，请勿相信任何要求付费登记的信息。

第二步：安装官方App - MyLink

MyLink是中国移动香港的官方客户端，是管理MySIM卡的核心工具。通过它，您可以方便地查询余额、购买数据套餐、进行充值续费等。对于所有MySIM用户而言，安装此App至关重要。

安装方法：

在Google Play商店中搜索"MyLink"，找到由China Mobile Hong Kong Company Limited发布的官方应用，点击安装即可。MyLink App支持Android 3.0及以上版本的手机，目前市面上的主流安卓手机均可正常安装使用。

要点提示：首次登录MyLink App需要使用您的MySIM卡手机号码接收验证码，请确保在操作时SIM卡已正确安装在手机内并有信号。

第三步：续费与保活策略

保持SIM卡长期有效（俗称“保活”）是许多用户关心的核心问题。MySIM卡的保活规则相对简单，主要依赖于定期充值来延长有效期。

核心保活方法：

根据官方规则，每次为您的MySIM卡充值一定金额，其有效期便会自动延长。最经济高效的保活策略是：

每180天（约半年）充值50港币。这笔费用会存入您的账户余额，可用于后续购买数据套餐，从而实现低成本长期持有号码。

充值途径：

MyLink App内充值：这是最推荐的方式。登录App后，进入充值或增值页面，支持多种支付方式，如支付宝（Alipay HK或内地版）、微信支付（WeChat Pay HK或内地版）、信用卡等，方便快捷。
网上银行或支付应用：部分银行或支付应用的香港服务专区也提供手机话费充值功能。
充值券：在中国移动香港的门店或香港的便利店（如7-Eleven、Circle K）购买实体充值券，然后在App内或通过拨打指定号码进行充值。

数据套餐选购：

MySIM卡提供多种灵活的本地及漫游数据组合。您可以通过MyLink App或拨打相应的短码进行申请。套餐通常在余额充足的情况下会自动续期。以下是一些热门的本地数据套餐以供参考：

价格 (HKD)	本地数据	有效期	适用场景
$48	60GB 高速数据 + 1GB 内地澳门漫游	30天	月度常规使用，兼顾短期漫游
$108	120GB 高速数据	90天	季度使用者，流量需求大
$408	360天（每月60GB高速数据）	360天	年度套餐，长期稳定使用

要点提示：

您可以随时通过MyLink App或拨打 *#130# 查询您的账户余额、数据用量及SIM卡有效期。

如果不想让数据套餐自动续订，可以在MyLink App内或通过短码 *103*02# 设置“到期日取消”。

官方文档与资源

为了获取最准确、最及时的信息，建议您收藏以下官方链接：

MySIM 官方主页：https://www.hk.chinamobile.com/tc/home/prepaid-card/mysim-main
MyLink App 官方介绍：https://www.hk.chinamobile.com/tc/home/customer-service/my-link
实名登记详细指南：https://www.hk.chinamobile.com/tc/home/prepaid-card/prepaid-rnr-guide
本地数据组合详情：https://www.hk.chinamobile.com/tc/home/prepaid-card/mysim-tnc-local-package

References

[1] 中国移动香港. (n.d.). MyLink手機應用程式. Retrieved from https://www.hk.chinamobile.com/tc/home/customer-service/my-link

Windows 使用 AWS CLI 一键同步本地目录到 S3（保留目录结构、可断点续传）

Wed, 21 Jan 2026 00:00:00 GMT

Windows 使用 AWS CLI 一键同步本地目录到 S3（保留目录结构、可断点续传）

本文介绍如何在 Windows 上使用 AWS CLI，将本地目录 G:\awss3\profile 整体同步到 S3 存储桶 bucket-name 的 common/profile/ 前缀下，并解释命令行为、断网恢复机制及验证方法。

1. 目标与效果

目标

将本地目录：

G:\awss3\profile\

完整上传到：

s3://bucket-name/common/profile/

最终结构示例

假设本地存在：

G:\awss3\profile\avatar\1.png
G:\awss3\profile\upload\a\b\c.jpg

上传后在 S3 中对应为：

s3://bucket-name/common/profile/avatar/1.png
s3://bucket-name/common/profile/upload/a/b/c.jpg

说明：S3 的“文件夹”本质是对象 Key 的前缀（prefix），控制台展示为目录层级，但底层仍是对象键名字符串。

2. 前置条件

已安装 AWS CLI v2
已完成凭证与默认区域配置（或后续使用 --profile 显式指定）

验证 AWS CLI 是否可用：

aws --version

验证是否能访问目标桶（需要具备 List/Put 权限）：

aws s3 ls s3://bucket-name/

3. 核心命令

执行同步上传：

aws s3 sync "G:\awss3\profile" "s3://bucket-name/common/profile/" --only-show-errors

参数解释

aws s3 sync 同步本地目录与 S3 目标前缀，使目标端与源端内容一致（在不加 --delete 的情况下，只上传缺失/变更项，不会删除目标多余文件）。
"G:\awss3\profile" 本地源目录。CLI 会递归遍历该目录下所有文件与子目录。
"s3://bucket-name/common/profile/" S3 目标路径：桶名为 bucket-name，对象前缀为 common/profile/。
--only-show-errors 只输出错误信息，减少控制台噪音，适合大量文件上传。

4. 命令会做什么：同步策略与覆盖规则

aws s3 sync 的核心逻辑是“比较后上传”：

遍历本地文件，计算相对路径。
对比 S3 端同 Key 的对象（主要依据大小、修改时间等元数据）。
仅上传新增或发生变化的文件。
默认情况下：
- 不会删除 S3 端多出来的文件（除非显式加 --delete）
- 会覆盖 S3 端同 Key 且被判定为“不同”的对象

因此，重复执行同一条 sync 命令通常是安全且常见的操作。

5. 断网/中断后的行为：如何恢复

5.1 中断会发生什么

上传过程中若出现断网、VPN 掉线、电脑休眠等情况：

当前正在传输的文件可能上传失败或中止
其他未开始的文件当然不会上传
已成功上传的文件保持在 S3 中，不会回滚

5.2 恢复方式（关键要点）

直接重新执行同一条命令即可：

aws s3 sync "G:\awss3\profile" "s3://bucket-name/common/profile/" --only-show-errors

恢复机制说明：

sync 会再次比较本地与 S3
已经成功上传且未变化的文件会被跳过
缺失或未完成的文件会继续上传
这相当于“可重复执行的增量同步”，实践中可视为断点续传式体验（无需人工记录进度）

注意：这里的“续传”是基于“已完成对象不重复上传、未完成对象会重传”的同步语义，而不是对单个小文件进行真正的分片续传。对于你这种 300–500KB 的小文件，重传成本很低，整体效果接近续传。

6. 上传完成后的验证方法

6.1 查看上传结果汇总（推荐）

递归列出并汇总总大小与对象数：

aws s3 ls "s3://bucket-name/common/profile/" --recursive --human-readable --summarize

6.2 预检查是否还存在差异（Dry Run）

不实际上传，仅展示将要执行的操作：

aws s3 sync "G:\awss3\profile" "s3://bucket-name/common/profile/" --dryrun

若输出为空或无待上传项，通常表示源端与目标端已一致。

7. 常见注意事项

谨慎使用 --delete --delete 会删除 S3 端存在但本地不存在的对象，适合“镜像同步”，但风险较高。若不确认目标前缀是否只用于本次同步，请不要加。
路径与斜杠的含义
- 源路径写到具体目录：G:\awss3\profile
- 目标路径通常以 / 结尾：.../common/profile/ 有利于明确前缀是目录语义。
权限要求
- 至少需要对目标桶/前缀具备 s3:PutObject
- 验证/列举通常需要 s3:ListBucket

8. 总结

使用以下命令即可在 Windows 上将本地目录完整同步到 S3，并保持目录结构不变：

aws s3 sync "G:\awss3\profile" "s3://bucket-name/common/profile/" --only-show-errors

其优势在于：

递归同步、保持目录结构
可重复执行，适合断网或中断后的恢复
增量上传，仅传变化/缺失文件，效率较高
输出简洁，适合大量小文件场景

如需进一步提升稳定性与速度，可在网络条件较差或文件更多时再结合 CLI 的重试模式与并发参数进行优化。

AWS CLI v2 安装与配置指南 (Windows)

Tue, 20 Jan 2026 00:00:00 GMT

AWS CLI v2 安装与配置指南

本文档旨在提供在 Windows 环境下安装和配置 AWS Command Line Interface (CLI) v2 的核心技术要点。

1. Windows 环境安装与配置

1.1. 安装 AWS CLI v2

官方下载地址 (Windows 64-bit): https://awscli.amazonaws.com/AWSCLIV2.msi [1]

下载完成后，双击运行 .msi 安装包，并按照向导提示完成安装。

1.2. 配置凭证与默认区域

安装完成后，需要配置您的 AWS 凭证和默认的 AWS 区域。此操作只需执行一次。打开 PowerShell 或命令提示符 (CMD)，并运行以下命令：

aws configure

执行该命令后，系统将提示您依次输入以下信息：

AWS Access Key ID: 输入您的访问密钥 ID。 (例如: AKIAIOSFODNN7EXAMPLE)
AWS Secret Access Key: 输入您的秘密访问密钥。 (例如: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)
Default region name: 输入您希望使用的默认 AWS 区域代码。 (例如: ap-southeast-1)
Default output format: 输入您希望的默认输出格式。 (例如: json)

配置示例如下：

# 运行配置命令
aws configure

# 提示输入 AWS Access Key ID: [None]: 你的AK
# 提示输入 AWS Secret Access Key: [None]: 你的SK
# 提示输入 Default region name: [None]: ap-southeast-1
# 提示输入 Default output format: [None]: json

完成以上步骤后，您的 AWS CLI 环境即已配置完毕，可以开始使用它来管理您的 AWS 服务。

参考资料

[1] AWS CLI MSI Installer for Windows (64-bit). Amazon Web Services. Retrieved from https://awscli.amazonaws.com/AWSCLIV2.msi

2. CentOS/Linux 环境安装与配置

对于 CentOS 和其他基于 Linux 的系统，可以通过官方提供的二进制安装包进行安装。以下步骤适用于所有现代的64位Linux发行版，包括 CentOS、Fedora、Ubuntu等。

2.1. 安装步骤

下载安装包

使用 curl 命令从官方地址下载最新的 AWS CLI v2 安装包。
```
curl "https://awscli.amazonaws.com/awscli-exe-linux-x86_64.zip" -o "awscliv2.zip"
```
解压安装包

使用 unzip 命令解压下载的文件。如果您的系统中没有 unzip，请先通过 sudo yum install unzip 命令安装。
```
unzip awscliv2.zip
```
运行安装程序

执行解压后目录中的 install 脚本来完成安装。使用 sudo 以确保安装到标准路径下，并为所有用户启用。
```
sudo ./aws/install
```
验证安装

安装完成后，可以通过检查其版本来验证 AWS CLI 是否已成功安装。
```
aws --version
```

2.2. 配置凭证

在 CentOS/Linux 上的凭证配置过程与 Windows 完全相同。打开您的终端并运行 aws configure 命令，然后按照提示输入您的 AWS Access Key ID、AWS Secret Access Key、默认区域和输出格式即可。

aws configure
# AWS Access Key ID [None]: YOUR_AK
# AWS Secret Access Key [None]: YOUR_SK
# Default region name [None]: ap-southeast-1
# Default output format [None]: json

参考资料

[1] AWS CLI MSI Installer for Windows (64-bit). Amazon Web Services. Retrieved from https://awscli.amazonaws.com/AWSCLIV2.msi [2] Installing or updating to the latest version of the AWS CLI. Amazon Web Services. Retrieved from https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html

多环境下的高效文件传输与同步策略实战指南

Tue, 20 Jan 2026 00:00:00 GMT

多环境下的高效文件传输与同步策略实战指南

在现代IT基础设施和DevOps流程中，数据流转是核心环节之一。无论是将本地开发环境的大量静态资源上传至云端对象存储，还是在生产环境的服务器集群之间同步配置，亦或是进行跨云的数据灾备，选择正确的工具和策略至关重要。

本文将作为一份通用技术指南，详细探讨在本地到云端 (Local to Cloud)、服务器到服务器 (Server to Server) 以及 服务器到对象存储 (Server to Object Storage) 等多种核心场景下的最佳实践与工具选择。

核心传输场景与工具选型

根据源端与目的端的不同，文件传输通常分为以下典型场景：

服务器间的对等传输 (Linux/Unix): 适用于应用部署、日志归集或服务器迁移。核心工具为 scp 和 rsync。
云原生环境集成 (CLI): 适用于在云服务器上通过官方命令行工具直接与对象存储（S3/R2）交互。核心工具为 Cloud CLI (如 AWS CLI)。
本地/跨平台的高并发传输 (Windows/Linux): 适用于管理员从本地工作站向云端桶批量上传海量小文件，或挂载异构存储。核心工具为 Rclone。
企业级自动化同步: 适用于PB级数据的托管式迁移。核心工具为 DataSync 类服务。

方案一：服务器间的精准同步 (基于 Linux SSH)

对于Linux服务器之间的文件互传，利用SSH协议的内建工具是最通用、安全的方案。

1. 快速复制：`scp` (Secure Copy)

适合一次性、小批量的文件传输。

# 推送文件到远程服务器
scp -r /local/data/ root@192.168.1.100:/remote/data/

2. 增量同步：`rsync` (Remote Sync) —— 推荐

对于生产环境，rsync 是首选。它支持增量同步（只传输变动部分）、断点续传以及保持文件属性（权限、时间戳）。

典型操作命令 (使用SSH密钥认证):

rsync -avz -e "ssh -i /path/to/private-key.pem" /source/data/ user@target-server:/dest/data/

-a: 归档模式，递归并保留所有元数据。
-v: 显示详细过程。
-z: 传输时压缩，节省带宽。

方案二：云服务器对接对象存储 (基于 Cloud CLI)

在云服务器（EC2/ECS）上，官方CLI工具通常经过了深度优化，适合处理与自家对象存储（S3）之间的数据流。

操作步骤

配置环境: 安装 AWS CLI v2 并运行 aws configure 配置 Access Key 和 Secret Key。
执行同步: 使用 sync 命令，它会自动比较差异，仅上传新增或修改的文件。

# 将本地目录同步到 S3 存储桶
aws s3 sync /home/data/ s3://my-target-bucket/backup/

方案三：本地与多云存储的高性能管理 (基于 Rclone)

在混合云管理或本地开发场景中，管理员经常需要从 Windows/Mac 本地环境 向云端对象存储（AWS S3、Cloudflare R2、阿里云 OSS 等）快速上传海量文件。

Rclone 被誉为“云存储的瑞士军刀”，它支持多线程并发、断点续传，且能完美兼容 Windows 环境，是此类场景的最佳选择。

1. Windows 环境安装

在 Windows 11 及更新系统中，推荐使用包管理器进行标准化安装：

使用 Winget 安装 (推荐): 打开 PowerShell 执行：

winget install Rclone.Rclone

安装完成后，请重启终端以加载环境变量。

手动安装: 下载官方 ZIP 包，解压后将路径添加至系统环境变量 Path 中。

2. 配置存储连接

Rclone 通过交互式向导配置连接。以下以配置 S3 兼容存储 (如 Cloudflare R2) 为例：

在终端输入 rclone config：

新建 (n): 输入 n 并命名配置（例如 my-r2-remote）。
存储类型: 选择 S3 (Amazon S3 Compliant Storage)。
提供商: 选择对应的厂商（如 Cloudflare 或 AWS）。
凭证录入: 按提示输入 access_key_id 和 secret_access_key。
API 端点: 对于 Cloudflare R2，需输入 https://<ACCOUNT_ID>.r2.cloudflarestorage.com。
确认: 一路回车保持默认，最后保存退出。

3. 海量小文件的高速上传实战

当需要将本地包含大量碎片化文件（如图片库、静态资源）的文件夹上传至云端时，为了解决网络延迟带来的性能瓶颈，建议使用以下优化参数。

场景示例： 将本地 Windows 路径 D:\uploadPath\uploadPath 下的所有文件夹，强制覆盖上传到远程配置 my-r2-remote 中的 upload/profile/ 目录。

执行命令 (PowerShell):

rclone copy "D:\uploadPath\uploadPath" my-r2-remote:upload/profile --ignore-times --transfers=32 --progress

关键参数深度解析：

copy: 执行单向复制。仅将源文件复制到目标端，不会删除目标端已有的其他文件（安全性高于 sync）。
--ignore-times: 强制覆盖模式。默认情况下 Rclone 会跳过大小和修改时间相同的文件。加上此参数后，将无条件上传并覆盖所有文件，确保目标端数据绝对最新。
--transfers=32: 高并发加速。默认并发数为 4。对于数万个小文件，将线程数提升至 32（甚至更高，视带宽而定）可将传输效率提升 5-10 倍，能够跑满上行带宽。
--progress: 开启实时进度条，显示传输速度、百分比及剩余时间估算。

方案总结与选型建议

场景	推荐工具	核心优势	典型用例
Linux 服务器互传	`rsync`	增量算法优秀，系统原生	代码发布、服务器迁移
云主机 -> S3	`AWS CLI`	官方支持，集成度高	定时备份脚本、日志归档
Windows/本地 -> 桶	Rclone	多线程并发强，支持挂载	本地素材库上传、多云分发
大规模自动化迁移	DataSync	全托管，免运维	PB 级数据跨云搬迁

在实际操作中，建议根据网络环境（内网/公网）、操作系统（Linux/Windows）以及数据规模（大文件/海量小文件）灵活选择上述方案。对于跨平台的对象存储管理，Rclone 目前提供了最佳的通用性和性能表现。

在线网络拨测网站

Fri, 16 Jan 2026 00:00:00 GMT

在线网络拨测网站

本文整理了一组常用的网络探测/拨测工具，方便从菲律宾（尤其马尼拉）视角评估到目标域名/IP（例如 Cloudflare 边缘、回源 ALB、源站等）的延迟、路由与可用性。

快速对比

工具	核心能力	菲律宾/马尼拉视角	费用/门槛	典型用途	入口
阿里云网络拨测工具	Ping / DNS / MTR / Traceroute / HTTP 拨测	可选不同地域/运营商探测点（取决于你选择的探测点覆盖）	部分能力可用；高级/计费能力视套餐	验证跨地域网络质量、回源链路问题定位	boce.aliyun.com/detect/ping
Globalping	多地探测（Ping/Traceroute/Dig/MTR/Curl 等）	可直接指定 Philippines / Manila 探测发起地	免费为主	快速从马尼拉发起探测，排查到某个站点/云厂商/CDN 的网络问题	Ping from Philippines / Ping from Manila
RIPE Atlas	全球探针（probes/anchors）测量平台	可筛选 Philippines probes	免费使用为主（部分高级用量有积分机制）	更“真实网络分布”的测量、长期/对比测量、研究路由差异	atlas.ripe.net/probes
WonderNetwork	城市间 Ping 统计数据	提供 Manila 作为基准的统计/对比	免费	快速做“城市级基线”参考（大致延迟水平）	wondernetwork.com/pings
WonderProxy	代理/VPN（用于本地化与 GeoIP 测试）	提供 Manila 代理节点	付费	用浏览器/脚本模拟马尼拉用户访问（更接近“实际打开网页/API”的体验）	wonderproxy.com/servers/manila

工具说明与使用要点

1) 阿里云网络拨测工具（Aliyun Boce）

支持从不同地域/运营商探测点发起 HTTP、Ping、DNS、MTR、Traceroute 等拨测，用于对比不同网络环境下到目标的质量差异。(alibabacloud.com)
适合：你需要“从多个地域/运营商视角”看整体网络质量，或做批量/持续拨测与告警（视功能与套餐而定）。(阿里云运维检测平台)

2) Globalping（重点：从菲律宾/马尼拉发起）

Globalping 是一个分布式探测平台，可在全球探针上运行 ping、traceroute、dig、mtr、curl 等命令，并可直接选择 Manila/Philippines 作为发起点。(Globalping)
适合：你要“立刻从马尼拉测一下”到 Cloudflare 边缘或回源入口的延迟/路由，快速排查。

3) RIPE Atlas（选择菲律宾 probes）

RIPE Atlas 是 RIPE NCC 的全球互联网测量系统，由大量 probes/anchors 组成，用于主动测量互联网连通性与路由表现。(RIPE Atlas)
适合：需要更偏“运营商真实分布”的测量样本，或做更严谨的对比/长期观测（例如不同时间段、不同网络的差异）。

4) WonderNetwork（马尼拉基准 Ping 统计）

提供“以 Manila 为基准”的城市间 Ping 统计，并展示距离、光速比例等宏观指标，适合做基线参考。(WonderNetwork)
注意：它更偏“统计/参考”，不等同于你业务链路的实时可达性与质量。

5) WonderProxy（马尼拉代理，付费）

提供 Manila 代理服务器，用于本地化/GeoIP 测试；支持 HTTP Proxy 与 VPN 等方式，并提供多 IP（取决于套餐）。(WonderProxy)
适合：你希望更贴近“真实用户打开网页/API”的体验（尤其是应用层行为、TLS、HTTP 请求路径等），而不仅是 ICMP Ping。

Telegram 机器人配置完整指南

Thu, 15 Jan 2026 00:00:00 GMT

Telegram 机器人配置完整指南

本指南将带你完成 Telegram 机器人从创建到配置的全部流程,确保你的机器人代码能够顺利运行。

🎯 前言

要让你的 Telegram 机器人代码成功运行,需要在 Telegram 官方完成一系列配置。本教程将带你一步步完成所有必要的设置,从申请账号到关键的隐私模式调整。

🤖 第一步:创建机器人

1.1 找到 BotFather

在 Telegram 搜索框中输入 @BotFather,注意认准带有 蓝色认证图标 ✓ 的官方账号。

1.2 创建新机器人

步骤:

点击 Start 开始对话
发送指令 /newbot
按照提示完成设置

💡 数量限制提示
每个 Telegram 账号最多可创建 20 个机器人。达到上限后需要删除旧机器人才能创建新的。

设置昵称 (Name)

说明: 机器人的显示名称,可以使用中文、表情符号
示例: 业务通知助手
特点: 后续可随时修改

设置账号 (Username)

说明: 机器人的唯一标识符,用户通过它搜索机器人
示例: BizNotify_bot
要求:
- 只能使用英文字母、数字和下划线
- 必须以 bot 结尾
- 全球唯一
⚠️ 重要: Username 创建后永久无法修改

1.3 获取 Token

创建成功后,BotFather 会返回一串 Token(红色文字显示)。

格式示例: 7000000000:AAFg_xxxxxxx_xxxxxxx

⚠️ 安全警告
Token 相当于机器人的密码,请妥善保管!将它复制到你的 application.yml 配置文件中。

🛠 第二步:管理与维护

2.1 如何重命名机器人

你可以随时修改机器人的显示名称(Name),但无法修改 Username。

操作步骤:

向 @BotFather 发送 /mybots
选择要修改的机器人
点击 Edit Bot
点击 Edit Name
输入新名称并发送

🔑 第三步:关键配置

⚠️ 关闭隐私模式

这是最容易被忽略的一步!90% 的开发者都会漏掉这个配置。

为什么要关闭?

默认情况下,Telegram 机器人在群组中启用隐私保护:

消息类型	是否可见	示例
以 `/` 开头的指令	✅ 可以看到	`/start` `/help`
普通文本消息	❌ 看不到	`查询 123456`

如果不关闭隐私模式,机器人将无法识别用户发送的普通文本指令。

操作步骤

向 @BotFather 发送 /mybots
点击你的机器人名字
点击 Bot Settings
点击 Group Privacy
点击 Turn off
确认状态显示为 Privacy mode is DISABLED

📌 重要提醒

如果机器人已在群组中,修改后可能不会立即生效,建议:

将机器人从群组移除
重新邀请机器人进入群组

📊 配置清单

配置项	配置位置	配置值/操作	作用说明
Username	Telegram BotFather	`BizNotify_bot`	机器人的唯一标识符
Token	`application.yml`	`7000000000:AAFg...`	API 访问凭证
Group Privacy	Telegram BotFather	Disabled	允许读取群内普通消息
Webhook	无需配置	留空	本项目使用长轮询模式

配置文件示例

在 application.yml 中添加:

telegram:
  bot:
    username: BizNotify_bot
    token: 7000000000:AAFg_xxxxxxx_xxxxxxx

✅ 验证配置

测试步骤

1. 测试私聊响应

向机器人发送 /start
应收到机器人的回复

2. 测试群组功能

将机器人拉入测试群组
发送普通文本消息(如 Hello)
确认机器人能够识别并响应

❓ 常见问题

<details> <summary><strong>Q1: 机器人在群里没有反应?</strong></summary>

可能原因:

隐私模式未关闭
修改设置后未重新拉入群组

解决方案:

确认 Group Privacy 已设为 Disabled
将机器人踢出群组后重新邀请 </details>

<details> <summary><strong>Q2: Token 配置后报错?</strong></summary>

可能原因:

Token 复制时多了空格或换行
Token 已过期或被重置

解决方案:

检查 Token 格式是否正确
如需重置,向 BotFather 发送 /revoke 命令 </details>

<details> <summary><strong>Q3: 我可以创建多少个机器人?</strong></summary>

每个 Telegram 账号最多允许创建 20 个机器人。如需更多,请使用另一个账号申请。 </details>

<details> <summary><strong>Q4: 为什么改了 Name,但 Username 没变?</strong></summary>

Telegram 规定 Username(ID)一旦创建永久无法修改。你只能修改 Name(昵称)。如必须更改 Username,只能删除旧机器人并重新创建。 </details>

🎉 完成

恭喜!你已经完成了 Telegram 机器人的所有基础配置。

下一步:

启动你的应用程序
开始使用机器人功能
根据需求进行功能开发

📚 相关资源

Telegram Bot API 文档 | BotFather 使用指南

最后更新: 2024

</div>

荣耀 Magic 8 进程保活技术文档

Mon, 12 Jan 2026 00:00:00 GMT

荣耀 Magic 8 进程保活技术文档

概述

荣耀 Magic 8 搭载的 MagicOS 系统对后台进程管理策略较为严格。为优化电池续航，系统会主动终止长时间运行的后台应用。对于 Clash Meta for Android (CMFA) 等需要持续稳定运行的代理类应用，需要手动配置系统权限以确保进程不被系统回收。

本文档提供完整的配置步骤，帮助用户解决应用被系统终止导致的断连问题。

前置说明

MagicOS 的后台管理机制主要通过以下三个维度限制应用运行:

应用启动管理: 控制应用的自启动、关联启动和后台活动权限
后台任务清理: 多任务界面的一键清理功能
电池优化策略: 系统级省电机制,可能在息屏时限制应用网络活动

需要依次解除这三层限制,才能实现进程保活。

配置步骤

第一步: 解除应用启动管理限制 ⭐ (核心步骤)

这是 MagicOS 系统后台管理的主要控制点,必须配置为手动管理模式。

操作路径:

打开手机设置
在搜索框中输入 应用启动管理,点击进入
在应用列表中找到 Clash Meta
关闭应用右侧的开关 (默认为蓝色开启状态)
系统弹出 "手动管理" 对话框,务必勾选以下 全部三项:
- ✅ 允许自启动
- ✅ 允许关联启动
- ✅ 允许后台活动
点击确定保存设置

配置说明:

允许自启动: 允许应用在系统启动时自动运行
允许关联启动: 允许应用被其他应用唤醒
允许后台活动: 允许应用在后台持续运行,不被系统冻结

第二步: 锁定后台任务卡片

即使完成第一步配置,若在多任务界面执行 "一键清理" 操作,应用仍可能被终止。需要锁定应用卡片以防止误清理。

操作路径:

从屏幕底部上滑并停顿,进入 多任务(最近任务) 界面
找到 Clash Meta 的应用卡片
执行锁定操作 (根据系统版本选择以下方式之一):
- 方式 A: 按住卡片向下拖动
- 方式 B: 点击卡片右上角的 🔒 图标
确认卡片右上角显示 锁头图标 🔒

效果验证:

锁定后,点击多任务界面底部的 "清理" 按钮时,系统会跳过已锁定的应用,不会将其终止。

第三步: 添加电池优化白名单

防止系统在息屏或低电量模式下限制应用的网络活动。

操作路径:

打开手机设置
在搜索框中输入 电池优化,点击进入
点击列表顶部的筛选条件 (显示为 "不允许" 或 "所有应用")
选择 所有应用 查看完整列表
搜索并找到 Clash Meta
点击应用名称,在弹出菜单中选择 不允许

配置说明:

选择 "不允许" 表示不允许系统对该应用进行电池优化,即应用可以不受限制地在后台运行。

进阶配置

启用 Android 原生 VPN 始终开启模式

如果完成上述三步配置后仍偶现断连,或系统升级后管控策略收紧,可启用此选项作为最终保障。

操作路径:

打开设置 > 移动网络 > VPN
在 VPN 列表中找到 Clash Meta
点击应用右侧的 ⚙️ 齿轮图标
开启 始终开启的 VPN 开关

功能说明:

启用后,系统会强制所有网络流量通过该 VPN 连接
若 VPN 应用崩溃或断开,系统会阻断所有网络连接,直到 VPN 恢复
此机制可最大程度防止流量泄露,并确保服务持续在线

注意事项:

启用此选项后,如果 Clash 应用出现故障,会导致整机无法联网,需重启应用或关闭该选项才能恢复网络。

故障排查

问题: 完成所有配置后仍出现断连

可能原因及解决方案:

系统版本更新导致策略变化
- 检查系统是否有新版本更新
- 重新检查上述三项配置是否被重置
应用自身崩溃
- 查看应用日志,确认是否为代理规则或订阅配置问题
- 尝试更新 Clash Meta 到最新版本
网络环境异常
- 检查代理服务器是否稳定
- 尝试更换代理节点测试

问题: 找不到 "应用启动管理" 选项

解决方案:

不同 MagicOS 版本菜单名称可能略有差异,可尝试搜索以下关键词:

启动管理
应用管理
自启动

配置优先级建议

⭐⭐⭐ 必须配置: 第一步(应用启动管理) + 第二步(锁定卡片)
⭐⭐ 推荐配置: 第三步(电池优化白名单)
⭐ 可选配置: 进阶配置(VPN 始终开启)

根据实际测试,完成前两步配置即可解决 99% 的进程被杀问题。第三步和进阶配置可根据实际使用情况按需启用。

总结

荣耀 Magic 8 (MagicOS) 的后台管理机制较为严格,需要系统性地配置多项权限才能实现进程保活。核心要点如下:

应用启动管理 是系统后台管控的主要入口,必须配置为手动管理并开启全部三项权限
锁定后台卡片 可防止用户误操作导致应用被清理
电池优化白名单 可防止息屏时网络中断
VPN 始终开启 是最终保障方案,但会影响故障时的网络可用性

按照本文档步骤完成配置后,Clash Meta 等代理应用即可在荣耀 Magic 8 上稳定运行,无需担心被系统终止。

解决Webstorm软件Vue npm install 卡住不动的问题

Sat, 10 Jan 2026 00:00:00 GMT

解决Webstorm软件Vue npm install 卡住不动的问题

问题背景

在前端开发过程中,最令人头疼的时刻莫过于在新拉取的项目中执行 npm install,然后看着进度条卡在某处一动不动,或者直接报出 ETIMEDOUT 错误。

经过排查,这种情况往往不是网络本身的问题,而是代理配置冲突导致的。特别是当你使用 WebStorm 等 IDE,且在此前配置过系统代理或 IDE 内部代理时,npm 的配置文件中可能残留了过期的代理设置。

本文将分享如何通过清理 WebStorm 和 npm 的代理配置,快速解决依赖安装卡死的问题。

问题现象

执行 npm install 后,终端长时间无响应
报错信息包含 network timeout 或连接特定 IP 失败
即使切换了国内镜像源(如淘宝源),问题依然存在

解决方案

解决核心在于:确保 IDE 和 npm 的运行环境都是**"纯净"的直连状态**(或受控的代理状态),避免配置冲突。

请按以下步骤操作:

第一步:关闭 WebStorm 的内部代理

WebStorm 有自己的网络代理设置,有时候它会自动将代理环境变量注入到内置的 Terminal 中,导致 npm 走不通。

操作步骤:

打开 WebStorm 设置:
- Windows/Linux: File → Settings
- macOS: WebStorm → Settings (或 Preferences)

在左侧导航栏找到:

Appearance & Behavior → System Settings → HTTP Proxy

在右侧面板中,选择 No proxy(无代理)
点击 Apply 和 OK 保存

注意: 这一步是为了防止 WebStorm 自动覆盖你的终端网络设置。

第二步:清理 npm 全局代理配置

即使 IDE 设置关闭了,npm 的全局配置文件(.npmrc)中可能还残留着之前的代理地址。我们需要通过命令行将其彻底删除。

打开终端(Terminal),依次执行以下两条命令:

# 删除 http 代理
npm config delete proxy

# 删除 https 代理
npm config delete https-proxy

第三步:验证与重试

执行完上述操作后,建议先清除缓存并重新安装依赖,以确保环境彻底干净:

# 验证代理是否已清空(如果输出为空或不包含 proxy 字段,说明清理成功)
npm config list

# 建议先清除缓存(可选,但推荐)
npm cache clean --force

# 重新安装依赖
npm install

总结

npm install 卡住通常是网络通路的问题。当我们排除了代理工具本身的问题后,往往容易忽略 npm 配置残留 和 IDE 干扰 这两个因素。

通过执行 npm config delete 系列命令并重置 WebStorm 设置,我们可以让 npm 回归"出厂设置",从而顺利完成依赖下载。

希望这个小技巧能帮大家节省一些排查时间!

扩展阅读

配置国内镜像源(可选)

如果你希望加速 npm 包的下载,可以配置国内镜像源:

# 使用淘宝镜像(npmmirror)
npm config set registry https://registry.npmmirror.com

# 验证配置
npm config get registry

恢复官方源

npm config set registry https://registry.npmjs.org

下一步建议: 如果您需要关于"如何在项目中使用 .npmrc 文件管理镜像源"或"如何正确配置企业代理"的补充内容,请随时反馈!

Google Pixel 7 刷入KernelSU系统

Thu, 01 Jan 2026 00:00:00 GMT

Google Pixel 7 刷入KernelSU系统

前言：为何选择这套方案？

在自动化和极客领域，拥有一台性能强劲、系统纯净且具备高度可控性的设备至关重要。本文旨在提供一个详尽的教程，指导您如何将一台 Google Pixel 7，打造成一台专门用于自动化任务（例如运行 AutoX.js 脚本）的强大工具。这套配置的核心优势在于，它能在保证应用（如小红书）流畅运行的同时，通过精巧的 Root 隐藏策略，绕过支付宝等金融应用的检测，并杜绝因系统"省电策略"而导致的后台服务中断问题。

这不仅仅是一篇简单的刷机记录，更是一套经过反复验证、追求极致稳定与性能的最佳实践。我们将严格遵循特定的硬件、系统和软件版本，因为在"玄学"的刷机世界里，版本号的细微差异可能就是稳定与"翻车"的分界线。

一、环境与组件配置总览

在开始之前，请确保您准备了完全一致的硬件、系统及插件。这是成功复现本教程效果的基石。

分类	组件名称	推荐具体版本 / 型号	下载链接	备注与选择理由
硬件设备	手机型号	Google Pixel 7 (或 Pixel 7 Pro)	—	Google "亲儿子"，系统纯净无魔改，对新版 Android 特性支持最佳。
操作系统	Android 14 官方镜像	AP2A.240805.005	AP2A.240805.005 for Pixel 7	2024年8月发布，Android 15 前最后一个稳定版，兼容性与稳定性顶峰。
	`init_boot.img`	从上述官方镜像包中提取	—	Pixel 7 的 Ramdisk 位于此分区，用于被 KernelSU 修补以获取 Root 权限。
Root 方案	KernelSU 管理器	v1.0.5	GitHub 下载	经过社区验证的稳定正式版，通过 LKM 模式修补 init_boot 实现 Root。
核心插件	ZygiskNext	v1.1.0	GitHub 下载	在 KernelSU 上实现 Zygisk 功能，比 Magisk 原生方案更隐蔽。
	Shamiko	v1.2.5	GitHub 下载	强大的 Root 痕迹隐藏工具，配合 KernelSU 的白名单模式实现完美隐藏。
	Play Integrity Fix	v4.4-inject-s (by KOWX712)	GitHub 下载	修复 GMS 安全验证，解决支付宝等应用检测问题。原版已失效。
目标应用	AutoX.js (通用版)	v7.0.5	第三方下载	社区维护的最新稳定版，修复了 Android 13+ 的截图权限等 Bug。

重要提示：Play Integrity Fix 原作者 chiteroman 的项目已停止维护，旧版模块已失效。本指南推荐使用社区维护的 KOWX712/PlayIntegrityFix 最新版本。同样，AutoX.js 原仓库也已不可用，v7.0.5 需从第三方网站下载，或使用 automan-bot/AutoX 的 6.5.5.10 版本替代。

二、详细刷机流程

请严格按照以下步骤操作，顺序不可颠倒。所有操作均有数据丢失风险，请提前备份好个人资料。

步骤 1：解锁 Bootloader

解锁 Bootloader 是所有刷机操作的第一步，也是必要前提。与部分厂商不同，Google Pixel 的解锁流程相对直接，没有等待期。

准备环境：
- 在电脑上安装 Google USB 驱动程序。
- 在电脑上准备好最新的 ADB 和 Fastboot 环境。
开启 OEM 解锁：
- 进入手机 "设置" -> "关于手机"，连续点击 "版本号" 数次，直到提示"您已处于开发者模式"。
- 返回 "设置" -> "系统" -> "开发者选项"。
- 找到并开启 "OEM 解锁" 的开关（可能需要输入锁屏密码）。
执行解锁命令：
- 将手机关机。然后同时按住 "音量下键" 和 "电源键"，直到进入 Bootloader 模式（界面会显示安卓机器人和设备信息）。
- 通过 USB 将手机连接到电脑。
- 在电脑的命令行/终端中，执行以下命令检查连接：
```
fastboot devices
```
- 如果能看到设备序列号，则连接正常。接着执行解锁命令：
```
fastboot flashing unlock
```
- 此时手机屏幕上会出现确认提示，使用 音量键 选择 "Unlock the bootloader"，然后按 电源键 确认。解锁过程会清除手机上的所有数据。

步骤 2：刷入官方 Android 14 稳定版

在这一步，我们将为 Pixel 7 刷入指定的纯净官方系统。

下载并准备文件：
- 点击此链接下载适用于 Pixel 7 (panther) 的 AP2A.240805.005 工厂镜像。
- 在电脑上解压下载的压缩包，你会得到一个名为 panther-ap2a.240805.005 的文件夹，其中包含 flash-all.sh (或 .bat) 脚本和另一个 image-panther-ap2a.240805.005.zip 压缩包。
- 再次解压该文件夹内的 image-panther-ap2a.240805.005.zip 压缩包，从中提取出 init_boot.img 文件备用（注意：绝不是 boot.img，Pixel 7 的 Ramdisk 位于 init_boot 分区）。
进入 Fastboot 模式：确保手机处于 Bootloader 模式（同上一步）。
执行刷机：
- 在电脑上，进入解压后的工厂镜像文件夹。
- 推荐方式：直接运行 flash-all 脚本。它会自动完成所有分区的刷写。
  - 在 Windows 上，双击 flash-all.bat。
  - 在 macOS 或 Linux 上，运行 ./flash-all.sh。
- 等待脚本执行完毕，手机会自动重启。首次启动会比较慢，请耐心等待。

步骤 3：获取 KernelSU Root 权限（LKM 官方推荐方案）

为了保持 Google 原厂内核的极致优化与稳定性，我们采用 LKM (Loadable Kernel Module) 模式。请注意，Pixel 7 的操作对象与旧机型不同，必须操作 init_boot 分区。

准备原厂 init_boot 镜像：使用上一步从官方镜像中提取的 init_boot.img 文件。这是最纯净、最匹配当前系统的启动镜像。
安装 KernelSU 管理器：
- 完成系统首次设置后，将手机连接到电脑。
- 从 KernelSU 的官方 GitHub Releases 页面下载 KernelSU_v1.0.5.apk，并将其安装到手机上。
修补 init_boot 镜像：
- 将之前准备好的 init_boot.img 文件复制到手机内部存储中。
- 打开刚刚安装的 KernelSU App，它会提示 Root 状态为"未安装"。
- 点击 "安装"，选择 "选择并修补一个文件"，然后找到并选中您传入的 init_boot.img 文件。
- KernelSU 会在几秒内完成修补，并在 Download 目录下生成一个名为 kernelsu_init_boot_12081.img 的新文件。这个就是我们需要的已修补的启动镜像。
刷入已修补的 init_boot 镜像：
- 将手机中生成的 kernelsu_init_boot_12081.img 文件复制回电脑。
- 将手机重启至 Bootloader 模式。
- 在电脑上执行命令，刷入这个修补过的 init_boot 镜像：
```
fastboot flash init_boot kernelsu_init_boot_12081.img
```
- 执行 fastboot reboot 重启手机。至此，您的设备已成功获取 KernelSU Root 权限。

步骤 4：安装插件与最终配置

最后一步是精细化配置，实现完美的 Root 隐藏和应用保活。

安装模块：
- 将 ZygiskNext-v1.1.0.zip、Shamiko-v1.2.5.zip 和 PlayIntegrityFix_v4.4-inject-s.zip (请以实际下载的文件名为准) 这三个模块文件复制到手机内部存储。
- 打开 KernelSU App，进入 "模块" 选项卡。
- 点击 "安装"，依次选择并刷入上述三个模块。每刷完一个模块，都建议重启一次手机，以确保模块正确加载。
关键隐藏设置：
- 打开 KernelSU 管理器 -> "设置" -> 开启 "启用 ZygiskNext" 的开关。
- 切换到 "超级用户" 选项卡，这里会列出所有请求过 Root 权限的应用。
- 关键操作：只勾选 "AutoX.js"，授予它 Root 权限。对于支付宝、小红书以及其他任何需要隐藏 Root 的应用，绝对不要勾选！KernelSU 的白名单机制意味着，不勾选就等于该应用完全无法检测到 Root 环境。
Shamiko 确认：进入 KernelSU 的"模块"页面，确保 Shamiko 模块处于启用状态。在 KernelSU 模式下，Shamiko 主要作为增强补丁工作，您无需像在 Magisk 中那样配置复杂的排除列表，只需遵循上一步的白名单授权规则即可。
应用保活设置：
- 进入系统 "设置" -> "应用" -> "查看全部应用"。
- 找到 "AutoX.js"，点击进入应用信息页面。
- 选择 "电池"，将电池用将电池用量管理设置为 "无限制"。这一步可以防止 Android 系统的后台限制策略杀死 AutoX.js 的服务。
开发者选项优化（防冻结）：
- 进入 "设置" -> "系统" -> "开发者选项"。
- 找到 "暂停执行已缓存的应用" (Suspend execution for cached apps)。
- 将其设置为 "已停用" (Disabled)。这能彻底防止系统在后台冻结 AutoX.js 的进程。

三、结语

恭喜您！经过以上所有步骤，您已经成功将这台 Google Pixel 7 打造成了一台符合我们预设目标的自动化利器。这套 "Pixel 7 + Android 14 (AP2A.240805.005) + KernelSU v1.0.5 + Shamiko v1.2.5" 的组合，为您提供了一个纯净、稳定且高度可控的安卓环境。现在，您可以尽情地在 AutoX.js 中挥洒创意，而不必担心被系统或第三方应用所束缚。

参考资料

GL-MT6000 (Flint 2) ImmortalWrt 插件推荐与深度配置指南

Sat, 27 Dec 2025 00:00:00 GMT

GL-MT6000 (Flint 2) ImmortalWrt 插件推荐与深度配置指南

第一部分：核心插件推荐清单

对于 GL-MT6000 这样性能充裕的设备，我们推荐的插件清单涵盖了界面美化、网络加速、科学上网、安全过滤和系统工具五个方面。以下是“必装”和“推荐”的软件包，它们将共同构建一个强大、易用且安全的网络环境。

1. 界面美化：Argon 主题

默认的 LuCI 界面虽然功能齐全，但略显朴素。Argon 主题是目前最受欢迎的现代化主题，能让你的路由器管理后台焕然一新。

软件包	作用
`luci-theme-argon`	提供现代化、支持半透明磨砂效果和移动端适配的主题界面。
`luci-app-argon-config`	（必装） Argon 主题的配置面板，用于自定义登录背景（如设置为 Bing 每日壁纸）、调整透明度和配色方案。

安装建议：这是提升使用体验最直接的方式，建议作为第一个安装的插件。安装后，在 系统 → Argon 主题配置 中进行个性化设置。

2. 网络加速：TurboACC 与 IRQBalance

ImmortalWrt 的一大优势是集成了高效的网络加速模块，这对于跑满 GL-MT6000 的 2.5G 网口至关重要。

软件包	作用
`luci-app-turboacc`	（核心加速模块）通过调用 MTK NPU 实现硬件流量分载 (Hardware Flow Offloading)，极大降低 CPU 占用，是跑满 2.5G 网口的关键。同时集成了 BBR 拥塞控制和 DNS 缓存，全面提升网络性能。
`irqbalance`	（多核优化工具）将网络中断请求（IRQ）均匀分配到 GL-MT6000 的四个 CPU 核心，避免“一核有难、三核围观”的性能瓶颈，在高负载下尤其重要。

TurboACC 配置建议：

路径：网络 → TurboACC 网络加速
核心设置：
- 软件/硬件流量卸载：全部开启。
- BBR 拥塞控制：开启（优化 TCP 连接，改善视频和下载体验）。
- DNS 缓存：开启（加速域名解析，让网页“秒开”）。

⚠️ 重要提示：开启硬件分载后，请勿同时开启 SQM (QoS) 功能，两者存在冲突。对于追求极致性能的用户，应优先保证硬件加速的开启。

3. “科学上网”：OpenClash 与 Mihomo

在“科学上网”方面，ImmortalWrt 提供了多种选择。考虑到 GL-MT6000 的强大性能，我们首推功能最全面的 OpenClash，并提供一个更现代化的备选方案 Mihomo。

插件	评价	适用人群
`luci-app-openclash`	（功能最强）直接使用 Clash 内核，支持复杂的策略组和精细化分流。配置稍显复杂，但功能上限最高。	追求极致灵活性和强大功能的高阶用户。GL-MT6000 跑它毫无压力。
`luci-app-mihomo`	（现代备选）基于 Clash Meta 核心，配置更简单清爽，资源占用更低，是目前社区的新趋势。	希望“设置完就忘”，追求稳定易用的现代用户。
`luci-app-passwall`	功能均衡，配置相对简单，资源占用适中，是曾经最主流的选择。	希望在功能和易用性之间找到平衡的用户。

安装建议：对于新用户，更推荐从 luci-app-mihomo 上手。对于需要复杂策略组的老用户，luci-app-openclash 依然是可靠的选择。由于 OpenClash 用户基数庞大，我们将在 第二部分 以它为例进行深度讲解。

4. 安全与广告过滤：AdGuard Home

一个干净、安全的网络环境同样重要。AdGuard Home 是目前最强大的开源广告过滤和 DNS 防污染工具。

软件包	作用
`luci-app-adguardhome`	（全网去广告+DNS防护）作为一个独立的 DNS 服务器，它可以过滤所有接入设备的广告、跟踪器和恶意域名，同时防止 DNS 污染。

为什么推荐 AdGuard Home？

性能足够：GL-MT6000 的 1GB 内存运行 AdGuard Home 绰绰有余。
全局生效：无需在手机、电脑上单独安装去广告插件，只要连接 WiFi 就自动生效。
功能强大：支持自定义过滤规则、家长控制和详细的 DNS 查询日志。

⚠️ 高阶提示：如何让 AdGuard Home 与 OpenClash/Mihomo 共存？ 这两个插件都会抢占 DNS 的 53 端口，直接启用会导致冲突。正确的共存逻辑是：

AdGuard Home 设置：进入 服务 → AdGuard Home，将其重定向模式设为“无”，并将 运行端口 从 53 改为 5353。

OpenClash/Mihomo 设置：在其 DNS 设置中，将上游 DNS 服务器指向 AdGuard Home，即添加一个自定义 DNS：127.0.0.1:5353。

工作流：流量先经过 OpenClash/Mihomo 进行分流，需要解析的域名请求会转发给 5353 端口的 AdGuard Home 进行广告过滤，最后再出网。

5. 系统实用工具：TTYD 和 Dockerman

最后，推荐两个能极大提升便利性和扩展性的系统工具。

软件包	作用
`luci-app-ttyd`	（网页版终端）安装后，可以直接在 LuCI 界面的系统 → 终端中执行 Shell 命令，无需再专门打开 SSH 客户端，非常方便。
`luci-app-dockerman`	（Docker 管理面板，进阶）释放 GL-MT6000 作为入门级 NAS 的潜力。你可以用它来运行 HomeAssistant、Alist 等轻量级容器应用。

⚠️ 存储空间警示：Docker 镜像和容器会大量占用存储空间。强烈建议在 系统 → 挂载点 中，将一个外部 USB 硬盘或大容量 U 盘作为 Docker 的存储路径（Overlay），切勿直接使用机身存储，以免写满空间导致系统崩溃。

第二部分：OpenClash 深度配置指南

本节将以功能最强大的 OpenClash 为例，带你完成从安装到优化的完整流程。

2.1 安装与初次启动

更新列表：进入 系统 → 软件包，点击 “更新列表”。
安装插件：搜索 luci-app-openclash 并安装。
重启验证：重启路由器后，在服务菜单下应出现 OpenClash 选项。

2.2 核心概念：配置文件与订阅

OpenClash 的所有功能都围绕 Clash 配置文件（YAML 格式） 进行。你需要从你的代理服务商处获取 Clash 订阅链接。

导入订阅：
- 进入 服务 → OpenClash → 配置文件订阅。
- 粘贴你的 Clash 订阅链接，为订阅命名，然后点击 “添加”。
- 点击 “更新配置”，OpenClash 会自动下载并解析配置文件。
选择配置：
- 回到 覆写设置 → 主要设置。
- 在 “启用” 下拉框中，选择刚刚下载的配置文件。

2.3 运行模式与 DNS 设置（2025年推荐）

这是 OpenClash 配置中最关键也最容易出错的部分。随着 Clash 内核的演进，我们推荐以下更现代的配置。

运行模式（TUN 模式首选）：
- TUN 模式：这是目前的 “版本答案”。它通过创建虚拟网卡（utun）来接管所有网络流量，兼容性极佳，几乎可以透明代理所有应用（包括一些疑难杂症的 App），是现在的标准做法。
- Fake-IP 模式：性能最强，通过返回虚假 IP 地址省去了 DNS 解析的步骤，响应速度极快。但可能与少数内网服务或特定应用（如银行 App）存在兼容性问题。
- 注：传统的 Redir-Host 模式因性能和兼容性问题已逐渐被淘汰，不推荐使用。
DNS 设置：
- 本地 DNS 劫持：务必勾选 “使用 Dnsmasq 转发”，确保所有 DNS 请求都由 OpenClash 处理。
- 上游 DNS：建议使用加密 DNS，如 tls://1.1.1.1:853 或 https://dns.google/dns-query。如果你按照前文配置了 AdGuard Home，这里应填写 127.0.0.1:5353。

2.4 启动与验证

完成上述配置后，点击页面底部的 “应用配置”。
切换到 运行状态 页面，点击 “启动 OpenClash”。
观察 Dashboard，如果 Clash 核心 和 Pcap Dns 显示为绿色运行中，并且日志无明显错误，说明启动成功。
打开浏览器访问 google.com 等网站，测试是否可以正常访问。

2.5 故障排查

问题	可能原因	解决方案
无法上网	1. 配置文件无效。 2. 运行模式或 DNS 设置错误。	1. 检查订阅链接是否有效，手动更新配置。 2. 切换为 TUN 模式，并确保 DNS 劫持已开启。 3. 查看运行日志排查错误。
国内网站访问慢	分流规则不正确，导致国内流量走了代理。	1. 确保配置文件中包含 `GEOIP,CN` 规则。 2. 在覆写设置 → DNS 设置中，将国内 DNS 设置为 `223.5.5.5`。
部分 App 无法联网	UDP 转发问题或模式兼容性问题。	1. 确保配置文件支持 UDP。 2. 切换到 TUN 模式，这是解决兼容性问题的最佳方案。

第三部分：WiFi 信号优化与发射功率调整

虽然 GL-MT6000 是一台高性能的 WiFi 6 路由器，但要让它的信号穿墙能力和覆盖范围达到最优，需要对 WiFi 参数进行精细化调整。以下三个设置是最关键的，它们能显著提升你的无线网络体验。

3.1 修改国家/地区代码（最关键）

这是最容易被忽视但效果最显著的设置。开源驱动会根据"国家代码"来限制最大发射功率，以遵守不同国家的无线电管制规定。

当前情况：GL-MT6000 的默认国家代码可能是 CN (中国) 或 00 (世界通用)，这两种模式下发射功率会被限制在较低水平（通常 20dBm 以下），信号穿墙能力有限。

推荐设置：

进入 网络 → 无线 页面。
找到 "国家代码" 或 "Country Code" 选项。
将其改为 AU (澳大利亚) 或 US (美国)。
点击 "保存并应用"。

效果：这将解锁更高的发射功率上限（通常可达 30dBm / 1000mW），信号穿墙能力会显著提升，覆盖范围可增加 20-30%。

注意：修改国家代码是在遵循开源驱动逻辑的前提下进行的合理优化。如果你在中国大陆使用，这个设置不会违反任何规定，因为 AU 和 US 代码本质上只是解锁了硬件的功率上限，实际发射功率仍由你的手动设置决定。

3.2 强制发射功率设置

修改国家代码后，还需要手动调整发射功率，不要依赖自动模式。

配置步骤：

在 网络 → 无线 中，找到 "发射功率" 或 "Transmit Power" 选项。
不要选择 "auto" (自动)，改为手动设置。
将其拉到最大值（通常为 26dBm 或 30dBm，取决于国家代码设置）。
点击 "保存并应用"。

微调建议：

标准办公/家庭环境：拉到最大值（30dBm），可获得最强覆盖。
干扰严重的环境：如果你的办公室里无线设备非常多（蓝牙、无线鼠键、其他 WiFi），干扰严重导致网络卡顿，可适度降低到 23-25dBm。过强的信号有时会产生噪点，反而降低网络质量。建议先拉高再根据实际体验微调。

3.3 频宽设置优化

WiFi 频宽决定了数据传输的"宽度"，更宽的频宽意味着更高的理论速率，但也更容易受干扰。

5GHz 频段（推荐用于高速设备）：

标准设置：80MHz（兼容性和性能的最佳平衡）。
高性能设置：160MHz（在干扰较少的环境中可提升 50% 的理论速率，但需要足够的信道宽度）。
干扰严重时：如果你发现信号强但网速卡顿，说明干扰严重，应立即降回 80MHz。在干扰多的办公室环境中，160MHz 的稳定性往往不如 80MHz。

2.4GHz 频段（用于兼容性和覆盖）：

推荐设置：保持 20MHz 或 40MHz (自动)。
原因：2.4GHz 频段本身干扰极大（蓝牙、微波炉、其他 WiFi 都在这个频段），宽频宽反而会加重干扰。这个频段主要用于智能家居设备或老旧设备的连接，稳定性比速率更重要。

实际应用建议：

为高速设备（笔记本、手机）分配 5GHz 频段，设置为 80MHz 或 160MHz。
为智能家居和老旧设备分配 2.4GHz 频段，保持 20-40MHz。
如果 5GHz 出现掉线或卡顿，立即降回 80MHz，这通常是干扰的信号。

第四部分：安装流程总结

为了获得最佳体验，建议你按照以下顺序安装和配置插件：

第一步：更新列表
- 进入 系统 → 软件包，点击 “更新列表”。
第二步：安装基础体验插件
- luci-theme-argon 和 luci-app-argon-config （美化界面）
- luci-app-turboacc 和 irqbalance （网络加速）
- luci-app-ttyd （方便管理）
第三步：配置核心功能插件
- luci-app-mihomo 或 luci-app-openclash （科学上网）
- luci-app-adguardhome （广告过滤）
第四步：重启并逐一配置
- 重启路由器使所有插件生效。
- 首先配置 TurboACC，然后配置 OpenClash/Mihomo，最后根据共存指南设置 AdGuard Home。

iOS 账号从中国区到美区：完整转区教程

Sat, 27 Dec 2025 00:00:00 GMT

iOS 账号从中国区到美区：完整转区指南

基于 Apple 官方规则整理 · 返工最少 · 成功率最高

一、先说结论：你应该走哪条路

如果你的目标只是稳定使用美区 App Store，不要把中国区账号硬转美区，而是：

保留原中国区 Apple 账户，继续用于 iCloud、照片、通讯录、备忘录、查找等
新注册一个美国区 Apple 账户
只把 iPhone / iPad 上的**「媒体与购买项目」**切换成这个美区账户

Apple 官方已明确说明，设备上可以让「媒体与购买项目」使用另一个 Apple 账户（support.apple.com/zh-cn/117294）。

只有在你明确希望把原中国区账户整个改成美国区时，才需要做「转区」，前置条件多、限制多、容易失败。

二、注册前必须准备的东西

序号	准备项	说明
1	全新邮箱	从未注册过任何 Apple 账户，推荐 Gmail / Outlook
2	手机号	注册验证阶段 +86 手机号完全可用，Apple 官方说明在中国大陆创建账户时有时会要求 +86 号码验证
3	美国姓名	必须与后续付款方式、账单地址上的姓名一致
4	美国地址	必须是真实可验证的美国地址，Apple 会做实时风控
5	真实生日	Apple 明确说明出生日期用于身份验证和家人共享，不要乱填

三、美国信息填写：直接可用的数据

3.1 姓名填写

注册账号的姓名 → 账单地址的姓名 → 付款方式的姓名，三者必须完全一致。

可直接使用的姓名示例：

First Name	Last Name	说明
James	Smith	美国最常见姓名组合
Michael	Johnson	常见男性姓名
Jennifer	Williams	常见女性姓名
David	Brown	常见男性姓名
Sarah	Davis	常见女性姓名
Robert	Miller	常见男性姓名
Emily	Wilson	常见女性姓名

选定一个后，在所有地方统一使用，不要换来换去。

3.2 地址填写：Oregon（俄勒冈州）免税州

Oregon 州政府官网明确写明：该州没有 sales tax，也没有 transaction tax（oregon.gov），App Store 购买不会产生额外税费。

可直接使用的 Oregon 地址（任选一组）：

地址一：Portland 市中心

字段	填写内容
Country / Region	United States
State	Oregon (OR)
City	Portland
Street	1000 SW Broadway
ZIP Code	97205
Phone	(503) 228-2000

地址二：Salem（州府）

字段	填写内容
Country / Region	United States
State	Oregon (OR)
City	Salem
Street	350 Commercial St NE
ZIP Code	97301
Phone	(503) 588-6261

地址三：Eugene

字段	填写内容
Country / Region	United States
State	Oregon (OR)
City	Eugene
Street	975 Willamette St
ZIP Code	97401
Phone	(541) 682-5010

地址四：Beaverton（Portland 近郊）

字段	填写内容
Country / Region	United States
State	Oregon (OR)
City	Beaverton
Street	4600 SW Watson Ave
ZIP Code	97005
Phone	(503) 526-2222

地址五：Lake Oswego

字段	填写内容
Country / Region	United States
State	Oregon (OR)
City	Lake Oswego
Street	380 A Ave
ZIP Code	97034
Phone	(503) 635-0257

选定一组后，全程统一使用这一组，不要混搭不同地址。

3.3 完整注册信息示例（直接照抄）

First Name:     James
Last Name:      Smith
Country/Region: United States
Birthday:       填你自己的真实生日
Email:          你的全新邮箱
Password:       你自己设置的高强度密码
Phone:          +86 你自己的手机号（验证用）

--- 账单地址 ---
Street:         1000 SW Broadway
City:           Portland
State:          Oregon (OR)
ZIP Code:       97205
Phone:          (503) 228-2000

四、推荐方案：新建美区账号（详细步骤）

第一步：不要动你现在的中国区主账号

原中国区账户继续保留，不需要任何操作。

第二步：在 App Store 里创建新账号

Apple 官方说明，通过 App Store 创建时，付款方式可以选择「无」（support.apple.com/zh-cn/108647）。

操作步骤：

打开 App Store，点右上角头像
如果当前已登录购买账号，先退出
点**「创建新 Apple 账户」**
国家或地区选择 United States
输入你的新邮箱地址
设置高强度密码
姓名填写你选定的英文姓名（如 James Smith）
填写真实生日
手机号填你自己的 +86 手机号（验证用，完全正常）
付款信息页选择 None / 无
账单地址填写你选定的 Oregon 地址
完成邮箱验证和手机验证

注意： Apple 官方也提醒，某些场景下即使是免费 App 也可能要求登记有效付款方式（support.apple.com/zh-cn/102632）。这不代表你操作错了。

第三步：只切换「媒体与购买项目」

注册成功后，不要退出 iCloud 主账号，只需要：

设置 → 你的姓名 → 媒体与购买项目 → 切换为美区账号

切换后的效果：

iCloud、照片、联系人、备忘录 → 仍然是原中国区主账号
App Store 下载、购买、订阅 → 由美区账号负责

第四步：首次下载 App

免费 App 通常可以直接下载。如果系统提示需要验证付款方式，按顺序检查：

邮箱是否已验证
手机号是否已验证
国家或地区是否确实是 United States
「媒体与购买项目」是否已切换成美区账号
如果系统明确要求付款方式，则需补充一个适用于美国区的付款方式

五、备选方案：把原中国区账号直接转成美国区

5.1 前置条件（必须全部满足）

[ ] 账户余额必须清零
[ ] 所有订阅必须取消，且等到订阅期真正结束
[ ] 没有待处理的退款、租借、预购或其他待处理交易
[ ] 如果在「家人共享」中，需要先退出
[ ] 系统可能要求提供适用于美国区的有效付款方式和账单地址

详见 Apple 官方说明（support.apple.com/zh-cn/118283）。

5.2 iPhone / iPad 转区步骤

设置 → 点你的姓名
媒体与购买项目 → 查看账户
国家/地区 → 更改国家或地区
选择 United States
同意条款
填写付款方式和账单地址（使用上面提供的 Oregon 地址）
完成修改

5.3 网页转区步骤

登录 appleid.apple.com
进入「个人信息」
点「国家或地区」
改为 United States，补充系统要求的信息

5.4 Mac / Windows 转区步骤

打开 Apple Music 或 Apple TV
进入账户信息
点击「更改国家或地区」
选择 United States，按系统提示完成

Apple 官方说法： 如果你不想输入付款方式，请等你到了新的国家或地区后，再创建新的 Apple 账户。所以没有合适付款方式时，最现实的路线就是新建美区账号。

六、常见问题排查

Q1：看不到「无 / None」选项？

Apple 确认新建账号时可以选「无」，但某些场景下系统也可能要求登记付款方式。这不一定代表你操作错了。

Q2：明明选了美国，还是过不了验证？

检查以下几项：

邮箱是否是全新的、从未注册过 Apple 账号
手机号能否稳定收验证码
姓名、生日、地区、账单信息是否前后一致
如果持续提示「此时无法创建你的账户」，Apple 建议稍后重试或改用其他官方创建方式

Q3：原中国区账号无法转区？

最常见原因：余额没清零、订阅没到期、还在家人共享里、没有适用于美国区的有效付款方式。

Q4：国家选美国、手机号还是 +86，正常吗？

正常。真正决定账号商店地区的是创建时选择的 Country/Region 以及「媒体与购买项目」的地区设置，手机号只是用于验证和恢复。

七、最终总结

步骤	操作
①	原中国区 Apple 账户继续保留，用于 iCloud
②	新注册一个美国区 Apple 账户
③	只把「媒体与购买项目」切到美区账号
④	姓名、地址、电话使用本文提供的美国信息，且前后一致
⑤	免税州选 Oregon，使用上面提供的地址
⑥	生日填真实的，不要乱填

八、参考资料

天问智库 twenhub.com

GL.iNet GL-MT6000 (Flint 2) 刷入 ImmortalWrt 24.10.4 详细教程

Fri, 26 Dec 2025 00:00:00 GMT

GL.iNet GL-MT6000 (Flint 2) 刷入 ImmortalWrt 24.10.4 详细教程

本文将详细介绍如何为您的 GL.iNet GL-MT6000 (Flint 2) 路由器刷入 ImmortalWrt 24.10.4 固件。整个过程无需复杂的 U-Boot 操作，可以直接在官方固件的 Web 界面中完成，操作简单且安全。

准备工作

在开始之前，您需要从 ImmortalWrt 官方网站下载正确的固件文件。对于 GL-MT6000，官方文档强烈建议直接使用 sysupgrade 镜像进行刷机，以避免设备变砖的风险 [1]。

请下载以下必需的固件文件，并建议在下载后校验文件的 SHA256 哈希值，以确保文件完整无误。

文件类型	文件名	SHA256 校验码	官方下载链接
Sysupgrade 固件	`immortalwrt-24.10.4-mediatek-filogic-glinet_gl-mt6000-squashfs-sysupgrade.bin`	`522c55cbb7b55d0fe6a62b09f9bc8bef2d8e8c122c54e21e6b1db4f3868cd865`	点击下载

重要提示：根据 OpenWrt 官方维基的警告，请勿尝试为 GL-MT6000 刷入 factory 固件，这很可能导致设备无法启动。该设备的设计允许直接通过 sysupgrade 镜像从原厂固件进行升级 [1]。

刷机步骤

刷机过程将在 GL.iNet 的原生 Web 管理界面中进行。请严格按照以下步骤操作。

连接路由器：使用网线将您的电脑连接到 GL-MT6000 的任意一个 LAN 口（非 2.5G WAN/LAN 口）。
登录管理后台：打开浏览器，访问路由器的默认管理地址 http://192.168.8.1，并登录您的路由器管理后台。
进入升级页面：在管理界面的菜单中，找到 “SYSTEM” (系统) -> “Upgrade” (升级) 选项。
上传固件：在固件升级页面，选择 “Local Upgrade” (本地升级)，然后将您下载的 immortalwrt-24.10.4-...-sysupgrade.bin 文件拖拽到上传区域。
取消保留配置：上传文件后，系统会弹出确认对话框。务必取消勾选 “Keep Settings” (保留配置) 的选项。这是确保系统纯净安装并正常启动的关键步骤。
开始刷机：确认无误后，点击 “Install” (安装) 按钮。路由器将开始刷写新的固件，此过程大约需要几分钟时间，期间路由器的指示灯会闪烁。请耐心等待，切勿在此过程中断开电源。
完成刷机：刷机完成后，路由器将自动重启。重启后，设备将运行全新的 ImmortalWrt 系统。

首次启动与配置

刷机成功并重启后，您需要对新的 ImmortalWrt 系统进行初始配置。

新的管理地址：ImmortalWrt 的默认管理地址为 http://192.168.1.1。您的电脑可能需要重新获取 IP 地址（设置为 DHCP 自动获取即可）才能访问。
登录 LuCI 界面：在浏览器中访问 http://192.168.1.1，您将看到 ImmortalWrt 的 LuCI 登录界面。默认用户名为 root，密码为空，直接登录即可。
安装 LuCI (如果需要)：部分 ImmortalWrt 版本（如快照版）可能不预装 LuCI 图形界面。如果无法访问 Web 界面，请通过 SSH 客户端连接到 192.168.1.1，然后执行以下命令进行安装：
```
opkg update && opkg install luci
```

如何恢复至 GL.iNet 原厂固件

如果您希望恢复到 GL.iNet 的官方固件，过程同样简单。只需从 GL.iNet 官方下载中心下载适用于您设备型号的 sysupgrade 固件，然后在 ImmortalWrt 的 LuCI 升级页面 (System -> Backup / Flash Firmware) 上传该文件并刷入即可，同样不要保留配置 [1]。

紧急恢复模式 (U-Boot)

如果刷机失败导致设备无法正常启动，您可以使用 GL-MT6000 内置的 U-Boot Web 恢复模式进行急救。操作步骤如下 [1]：

设置静态 IP：将您的电脑网卡 IP 地址手动设置为 192.168.1.2，子网掩码为 255.255.255.0。
连接设备：拔掉路由器电源，用网线将电脑连接到路由器的任意 LAN 口。
进入恢复模式：按住路由器上的 Reset 按钮不放，然后插入电源。持续按住 Reset 按钮大约 10 秒，直到设备正面的 LED 灯变为蓝色并稳定常亮后，松开按钮。
访问 U-Boot 界面：在电脑浏览器中访问 http://192.168.1.1，此时您将看到 U-Boot 的固件恢复界面。
上传固件：在此页面上传您之前下载的 ImmortalWrt sysupgrade 固件文件，然后点击 “Update Firmware” 开始恢复。
等待重启：恢复过程结束后，路由器将自动重启。完成后，请记得将电脑的 IP 地址设置改回自动获取 (DHCP)。

参考文献

[1] OpenWrt. GL.iNet GL-MT6000 Hardware Page. https://openwrt.org/toh/gl.inet/gl-mt6000

使用 Python 脚本备份 Halo 博客文章

Fri, 26 Dec 2025 00:00:00 GMT

使用 Python 脚本备份 Halo 博客文章

前言

对于使用 Halo 2.x 版本的博主来说,数据备份一直是个核心问题。不同于 Halo 1.x 或 WordPress 等传统博客系统将文章明文存储在 posts 表中,Halo 2.x 采用了一种更现代但对普通用户不太友好的"对象模型"存储方式。

当你打开数据库试图进行人工备份时,你可能会发现找不到文章表,只看到一张巨大的 extensions 表。其实,你的所有文章都序列化后存储在这张表的 data 字段(BLOB 类型)中。

本文将提供一个 Python 自动化脚本,绕过 Halo 后台,直接从 MySQL 数据库的底层 extensions 表中提取数据,并将所有文章批量还原为通用的 Markdown 文件。这不仅是数据容灾的最佳手段,也是迁移到 Hexo、Hugo 或 Typecho 的完美方案。

适用场景

Halo 博客无法启动,需要紧急导出文章
计划从 Halo 迁移至静态博客(Hexo/Hugo),需要批量 Markdown 文件
希望将所有文章在本地硬盘保留一份"纯文本"格式的冷备份

准备工作

在运行脚本之前,请确保你具备以下环境:

Python 3.x - 确保本机已安装 Python 环境
MySQL 连接信息 - 你需要知道数据库的 IP 地址、端口、用户名、密码以及 Halo 的数据库名称
安装依赖库 - 我们需要 pymysql 来连接数据库

打开终端或命令行(CMD/PowerShell),执行以下命令安装依赖:

pip install pymysql

核心脚本

创建一个名为 halo_backup.py 的文件,将下方代码完整复制进去。

该脚本的核心逻辑如下:

连接 MySQL 数据库
筛选 extensions 表中 name 字段包含 /registry/content.halo.run/posts/ 的记录(即文章数据)
读取 data 字段的二进制流(BLOB),并将其解码为 JSON 格式
解析 JSON,提取标题、正文、发布时间、Slug 等元数据
生成带有 Front Matter(头部元数据)的 Markdown 文件并保存

import pymysql
import json
import os
import re

# ================= 配置区域 (请修改此处) =================
DB_CONFIG = {
    'host': '127.0.0.1',        # 数据库地址 (本地填 127.0.0.1,远程填服务器IP)
    'port': 3306,               # 数据库端口
    'user': 'root',             # 数据库用户名
    'password': 'your_password',# 数据库密码 (请替换为真实密码)
    'database': 'halo',         # Halo 的数据库名
    'charset': 'utf8mb4'
}

# 备份文件保存的文件夹名称
OUTPUT_DIR = './halo_posts_backup'
# =======================================================

def clean_filename(title):
    """
    清洗文件名:将无法作为文件名的字符替换为下划线
    """
    return re.sub(r'[\\/*?:"<>|]', '_', title)

def export_halo_posts():
    # 1. 创建备份目录
    if not os.path.exists(OUTPUT_DIR):
        os.makedirs(OUTPUT_DIR)
        print(f"[-] 已创建备份目录: {os.path.abspath(OUTPUT_DIR)}")

    print("[-] 正在连接数据库...")
    
    connection = None
    try:
        # 2. 建立数据库连接
        connection = pymysql.connect(**DB_CONFIG)
        
        with connection.cursor() as cursor:
            # 3. 执行查询
            # Halo 2.x 的文章数据存储在 extensions 表中
            # Key 规则为: /registry/content.halo.run/posts/{UUID}
            print("[-] 正在查询文章数据...")
            sql = "SELECT name, data FROM extensions WHERE name LIKE '/registry/content.halo.run/posts/%'"
            cursor.execute(sql)
            results = cursor.fetchall()
            
            total_count = len(results)
            print(f"[-] 数据库中发现 {total_count} 篇文章,准备开始解析...")
            
            success_count = 0
            
            for row in results:
                name_key = row[0]
                blob_data = row[1] # 获取二进制数据 (longblob)
                
                try:
                    if not blob_data:
                        continue
                        
                    # 4. 解码:将二进制数据转为 JSON 字符串
                    json_str = blob_data.decode('utf-8')
                    post_data = json.loads(json_str)
                    
                    # 5. 提取核心字段
                    # Halo 2.x 数据结构通常包含 spec 和 metadata
                    spec = post_data.get('spec', {})
                    metadata = post_data.get('metadata', {})
                    
                    title = spec.get('title', '未命名文章')
                    content = spec.get('content', '')  # 正文 (Markdown源码)
                    create_time = metadata.get('creationTimestamp', '')
                    slug = spec.get('slug', clean_filename(title))
                    
                    # 6. 拼接 Markdown 内容
                    # 使用 Front Matter 格式,通用性最强
                    md_content = f"""---
title: "{title}"
date: {create_time}
slug: {slug}
id: {name_key}
---

{content}
"""
                    # 7. 写入文件
                    file_name = f"{clean_filename(title)}.md"
                    file_path = os.path.join(OUTPUT_DIR, file_name)
                    
                    with open(file_path, 'w', encoding='utf-8') as f:
                        f.write(md_content)
                        
                    print(f"[√] 成功导出: {file_name}")
                    success_count += 1
                    
                except Exception as e:
                    print(f"[x] 解析失败: {name_key} - {str(e)}")

        print(f"\n" + "="*40)
        print(f"备份任务完成!")
        print(f"共扫描: {total_count} 篇")
        print(f"成功导出: {success_count} 篇")
        print(f"文件路径: {os.path.abspath(OUTPUT_DIR)}")
        print(f"="*40)

    except pymysql.MySQLError as e:
        print(f"\n[ERROR] 数据库连接失败: {e}")
        print("请检查脚本顶部的 DB_CONFIG 配置是否正确。")
    finally:
        if connection:
            connection.close()

if __name__ == '__main__':
    export_halo_posts()

使用教程

第一步:配置数据库信息

用文本编辑器(如 VS Code, Notepad++)打开 halo_backup.py,找到代码顶部的 DB_CONFIG 区域:

DB_CONFIG = {
    'host': '127.0.0.1',        
    'port': 3306,             
    'user': 'root',             
    'password': '这里填你的密码', 
    'database': 'halo',         
    'charset': 'utf8mb4'
}

注意事项:

如果你是在服务器上运行脚本(连接本机数据库),host 填 127.0.0.1
如果你是在本地电脑运行脚本连接远程服务器,host 填服务器 IP,并确保服务器防火墙开放了 3306 端口

第二步:运行脚本

在文件所在目录打开命令行,输入:

python halo_backup.py

第三步:查收备份

脚本运行只需几秒钟。运行结束后,你会看到如下提示:

[-] 已创建备份目录: .../halo_posts_backup
[-] 正在连接数据库...
[-] 数据库中发现 25 篇文章,准备开始解析...
[√] 成功导出: Docker部署教程.md
[√] 成功导出: Python学习笔记.md
...
备份任务完成!成功导出 25 篇。

打开脚本目录下的 halo_posts_backup 文件夹,你所有的文章都已经安静地躺在那里了。

原理分析与总结

为什么只用一张 `extensions` 表就能恢复数据?

Halo 2.0 借鉴了 Kubernetes 的 CRD(自定义资源定义)设计理念。在数据库层面,它不再为每种资源创建独立的表,而是将数据统一存储。

Key: /registry/content.halo.run/posts/文章ID
Value: 一个完整的 JSON 对象,包含了文章的所有信息

这种设计虽然增加了直接通过 SQL 查询数据的难度,但数据的完整性极高。只要掌握了本文介绍的 JSON 解析方法,数据主权就永远掌握在你手中。无论 Halo 官方未来如何发展,只要保留了数据库文件,你的文字资产就永远不会丢失。

温馨提示: 建议定期运行此脚本进行数据备份,确保你的博客内容安全无忧。

绿联 DX4600 NAS 刷入群晖 DSM 7.2 保姆级教程

Thu, 25 Dec 2025 00:00:00 GMT

绿联 DX4600 NAS 刷入群晖 DSM 7.2 保姆级教程

重要声明

本教程旨在提供详尽、安全、可靠的操作指南，所有引用的文件和工具均来自官方渠道，以确保纯净无毒，无任何潜在不受欢迎的程序（PUP）。然而，对NAS进行任何形式的固件修改（俗称"刷机"）均存在固有风险，包括但不限于数据丢失、硬件损坏或失去官方保修。请您在操作前务必完整阅读并理解本教程的全部内容，并自行承担所有可能产生的风险。强烈建议您在进行任何操作前，备份所有重要数据。

1. 概述

本教程将指导您如何为绿联 DX4600 四盘位 NAS（搭载 Intel N5105 处理器）刷入稳定且功能强大的群晖（Synology）DiskStation Manager (DSM) 7.2 操作系统。通过使用社区开发的引导加载器，我们可以在非群晖官方的硬件上体验到完整的 DSM 系统。考虑到 DX4600 的硬件配置，尤其是其 Intel N5105 处理器集成的核显，本教程将选用支持硬件转码的 SA6400 作为目标机型，以最大化发挥硬件性能。

硬件兼容性

组件	绿联 DX4600 规格	兼容性说明
处理器	Intel Celeron N5105	完美兼容，其核显可通过 `SA6400` 机型进行硬件加速。
内存	8GB DDR4 (可扩展至 16GB)	完全兼容。
网络接口	2 x 2.5GbE	RR 引导加载器内置了相应驱动，可被 DSM 正确识别。
存储	4 x SATA 盘位, 2 x M.2 NVMe 插槽	SATA 盘位可正常使用。M.2 NVMe 需通过社区脚本解锁才能作为存储池使用（详见第5节）。

2. 所需文件与工具下载

为确保安全与稳定，请务必从以下官方链接下载所有必需的文件和工具。版本号至关重要，请严格按照下表推荐的版本进行下载。

文件/工具名称	推荐版本	官方下载链接	用途说明
RR 引导加载器	25.12.0	GitHub Releases	最核心的引导程序，用于在 DX4600 上启动并安装 DSM。请下载 `rr-25.12.0.img.zip` 文件。
群晖 DSM 固件	7.2.1-69057 Update 5	Synology Archive	群晖官方操作系统安装包。请在链接中找到并下载 `DSM_SA6400_69057.pat` 文件。
balenaEtcher	最新版	Official Website	用于将 `.img` 镜像文件安全地写入 U 盘的工具，跨平台支持 Windows, macOS, Linux。
Synology Assistant	最新版	Synology Download Center	群晖官方工具，用于在局域网内搜索和管理您的 NAS 设备。请在下载中心任选一型号，进入"桌面实用程序"标签页下载。

3. 详细刷机步骤

步骤一：创建引导 U 盘

准备 U 盘：准备一个容量至少为 16GB 的 U 盘。为减少长时间运行的发热问题和潜在的兼容性问题，强烈推荐使用 USB 2.0 的 U 盘，并选择体积小巧的款式（如 SanDisk Cruzer Fit），以便长期插在 NAS 背部而不占用过多空间。
解压文件：将下载好的 rr-25.12.0.img.zip 解压，得到 rr-25.12.0.img 镜像文件。
烧录镜像：
- 打开 balenaEtcher 工具。
- 点击 "Flash from file"，选择刚刚解压出的 rr-25.12.0.img 文件。
- 点击 "Select target"，小心地选择您准备好的 U 盘。请再三确认，避免选错硬盘导致数据丢失！
- 点击 "Flash!"，等待烧录过程完成。完成后，U 盘即可作为引导盘使用。

步骤二：配置 NAS BIOS

连接外设：将显示器（通过 HDMI 接口）和 USB 键盘连接到您的 DX4600 NAS 上。
插入引导 U 盘：将制作好的引导 U 盘插入 NAS 背面的任意一个 USB 接口（推荐使用 USB 2.0 接口）。
进入 BIOS：启动 NAS 电源，在按下电源键的同时立即开始疯狂连按 Ctrl + F2 组合键。由于绿联的 BIOS 启动速度非常快，请不要等待屏幕亮起再按，否则可能错过进入 BIOS 的时机。持续按键直到屏幕显示进入 BIOS 设置界面。
修改启动顺序：
- 使用键盘方向键移动到 "Boot" 菜单。
- 找到 "Boot Option #1" 选项，将其设置为您的 U 盘（通常会显示为 U 盘的品牌和型号，例如 "UEFI: SanDisk Cruzer Fit"）。
禁用 Watchdog：
- 移动到 "Advanced" 菜单。
- 找到 "WatchDog Settings" 选项并进入。
- 将 "Watch Dog Control" 的值修改为 Disabled。此步骤至关重要，因为 Watchdog 是一个硬件守护进程，若不禁用，它会因为无法检测到绿联官方系统而导致 NAS 不断自动重启。
保存并退出：按下 F10 键，选择 "Yes" 保存所有修改并退出 BIOS。NAS 将会自动重启。

步骤三：构建并配置 RR 引导加载器

首次启动：NAS 从 U 盘重启后，显示器上会显示 RR (Redpill Recovery) 的启动信息。此时，加载器正在初始化，并会启动一个微型的 Web 服务用于配置。
查找加载器 IP：在您的路由器管理界面或者使用 Synology Assistant，找到一个名为 "rr" 或类似主机名的新设备，并记下其 IP 地址。
访问 RR Web UI：在同一局域网的另一台电脑上，打开浏览器，访问 http://<你的RR加载器IP>:7681。
配置加载器：
- Choose a model: 在机型选择下拉菜单中，选择 SA6400。
- Choose a version: 在版本选择中，选择 7.2.1-69057。
配置 SN 和 MAC 地址（重要！）：

此步骤对于激活 AME (Advanced Media Extensions) 至关重要。如果不配置正确的 SN/MAC 组合，Video Station 将无法播放 HEVC/H.265 视频，Synology Photos 的人脸识别预览功能也会受到影响。
- 在 RR Web UI 中，找到 "Cmdline" 菜单并进入。
- 找到 "SN/MAC" 选项。
- 点击 "Generate a random SN/MAC" 按钮，系统会自动为您生成一组与 SA6400 机型匹配的序列号和 MAC 地址。
- 请务必记录下生成的 SN 和 MAC 地址，以备将来重新安装或恢复时使用。
构建引导：完成上述配置后，点击 "Build the loader" 按钮，RR 会自动从网络下载所需组件并构建引导。
启动加载器：构建完成后，点击 "Boot the loader"。NAS 将会再次重启，并应用新的引导配置。

步骤四：安装 DSM 操作系统

查找 NAS IP：NAS 重启后，它将作为一台全新的群晖 SA6400 出现在您的局域网中。再次使用 Synology Assistant 或查看路由器 DHCP 列表，找到这台新 NAS 的 IP 地址。
访问 DSM 安装向导：在浏览器中访问 http://<你的新NAS的IP>:5000。您将看到群晖 DSM 的欢迎和安装界面。
手动安装：
- 点击 "安装"。
- 在下一个页面，选择 "从计算机手动上传 .pat 文件"。
- 点击 "浏览"，选择您在第二步中下载的 DSM_SA6400_69057.pat 文件。
开始安装：勾选同意条款，然后点击 "立即安装"。系统会警告您硬盘上的所有数据都将被删除，确认无误后继续。
等待完成：安装过程大约需要 10-20 分钟。完成后，NAS 会自动重启。
初始化设置：重启后，再次访问 http://<你的新NAS的IP>:5000，按照屏幕提示完成 DSM 的初始化设置，包括创建管理员账户、设置 QuickConnect 等。

4. 安装后必做配置（极其重要！）

4.1 禁用系统自动更新

警告：黑群晖严禁直接点击控制面板里的"系统更新"进行自动升级！ 小版本更新（如 Update 5 到 Update 6）通常问题不大，但跨大版本更新（如从 7.2 升级到 7.3）极大概率会导致引导失效，使您的 NAS 无法启动（俗称"变砖"）。

安装完成后，请立即执行以下操作：

登录 DSM 桌面。
打开 "控制面板"。
进入 "更新和还原"。
点击 "更新设置" 按钮。
在弹出的窗口中，将 "自动安装新更新" 选项修改为 "下载 DSM 和套件更新，但让我手动安装" 或 "通知我有新更新但不自动下载"。
点击 "确定" 保存设置。

如需更新，请先在社区论坛（如 Xpenology 论坛）确认新版本与您的引导加载器兼容后，再手动下载 .pat 文件进行更新。

4.2 解锁 NVMe 固态硬盘作为存储池

群晖官方的 SA6400 机型默认可能不允许非群晖官方认证的 NVMe 固态硬盘作为存储空间使用（只能用作 SSD 缓存）。为了充分利用 DX4600 的两个 M.2 NVMe 插槽，您需要运行社区开发的脚本来解锁此功能。

所需脚本（均来自 GitHub 官方仓库）：

脚本名称	官方 GitHub 链接	功能说明
Synology_HDD_db	https://github.com/007revad/Synology_HDD_db	将非群晖官方认证的硬盘（包括 NVMe SSD）添加到兼容性数据库，使其被 DSM 正常识别。
Synology_enable_M2_volume	https://github.com/007revad/Synology_enable_M2_volume	允许在 M.2 NVMe 固态硬盘上创建存储池和存储空间，而不仅仅是用作缓存。

操作步骤：

通过 SSH 登录到您的 NAS（需在 DSM 控制面板 -> 终端机和 SNMP 中启用 SSH 服务）。
按照上述 GitHub 仓库中的 README 说明，依次下载并运行 Synology_HDD_db 和 Synology_enable_M2_volume 脚本。
运行完成后，重启 NAS。
重启后，进入 DSM 的 "存储管理器"，您应该可以看到 NVMe 固态硬盘，并可以像普通硬盘一样创建存储池和存储空间了。

5. 已知问题与注意事项

"黑群晖" 无法做到与官方硬件 100% 的完美兼容，以下是一些在 DX4600 上可能遇到的常见问题，这些问题通常不影响核心的存储和网络功能：

前面板 LED 灯：可能只有电源灯会闪烁，硬盘状态灯和网络状态灯可能无法正常工作。
风扇控制：DSM 内的风扇模式（如静音、全速）可能无效。建议在 BIOS 中将风扇设置为 "Full Speed" 以保证散热。
HDD 休眠：硬盘可能无法按预期进入休眠状态，这会略微增加功耗。
电源按钮：机身上的物理电源按钮可能无法用于正常关机（但可以在 DSM 界面内进行软件关机和重启）。
蜂鸣器：系统的提示音可能不会响起。

6. 参考资料

恭喜您！至此，您的绿联 DX4600 已经成功运行上了功能完整的群晖 DSM 7.2 系统。享受您的新 NAS 吧！

Windows 11 使用EaseUS数据恢复

Thu, 25 Dec 2025 00:00:00 GMT

Windows 11 使用EaseUS数据恢复

在 Windows 11 环境下，数据丢失（无论是逻辑层面的误删还是文件系统的结构性损坏）本质上是存储介质上“索引”与“数据流”的解耦。只要底层扇区未被新的数据比特流覆盖，理论上均具备恢复可能。

本文将摒弃常规的软件介绍，从技术实操角度，详解如何利用行业标准的 EaseUS Data Recovery Wizard（易我数据恢复）执行一次专业级的数据救援。

核心前置原则：写入阻断（Write Blocking）

在启动任何软件之前，必须严格遵守数据恢复的第一铁律：阻断写入。

严禁将恢复软件安装在丢失数据的分区。
严禁向丢失数据的分区复制、保存任何新文件。
注意 SSD 特性： 如果是 NVMe SSD，Windows 11 默认开启 TRIM 指令，会加速从物理层清除已标记删除的数据。数据丢失后应立即停止操作，越快扫描越好。

第一阶段：部署与环境隔离

获取正确的工具是成功的关键。市面上存在大量破解版或修改版，这些版本往往带有不稳定的扫描引擎，可能导致二次破坏。

官方下载通道：

EaseUS Data Recovery Wizard 官方下载链接 注：下载后，请务必选择“自定义安装”，并将安装路径指向非数据丢失盘（例如：D 盘丢了数据，软件装在 C 盘或外接 U 盘）。

第二阶段：执行分层扫描（Layered Scanning）

启动软件后，EaseUS 会加载当前的磁盘映射图。针对“误删除”和“误格式化”，其扫描逻辑分为两个并行层级：

快速扫描（Quick Scan）： 主要读取 MFT（主文件表）残留记录。如果只是简单的 Shift+Delete，几秒钟内就能在此阶段找回完整的文件名和路径。
深度扫描（Deep Scan）： 扇区级的全盘遍历。这是针对“格式化”恢复的核心。软件会忽略文件系统，直接匹配文件头签名（File Signatures），例如识别 FF D8 FF 为 JPEG 文件。

操作步骤：

在主界面鼠标悬停于目标磁盘（或特定文件夹，如“回收站”），点击**“扫描”**。
观察底部进度条。虽然快速扫描瞬间完成，但建议必须等待深度扫描完全结束。中间停止会导致大量复合文档（如 Word、Excel）因碎片未重组而无法打开。

第三阶段：数据筛选与结构重组

扫描完成后，面对数以万计的文件，高效筛选是技术活。EaseUS 的左侧导航栏提供了三种视图逻辑，需根据丢失场景选择：

场景 A：误删除、清空回收站（MFT 尚存）

操作： 点击左侧的**“路径”**标签。
逻辑： 寻找 $Recycle.Bin 文件夹或原始的目录树。如果 MFT 未被严重破坏，你将看到完整的原始文件夹结构。

场景 B：误格式化（MFT 重建）

操作： 重点关注左侧列表中的**“丢失的分区”或“更多文件”**（RAW 文件）。
逻辑： 格式化后，原始目录树通常被破坏。此时文件可能不再位于原来的文件夹中，而是被归类为“丢失的文件名”目录，或者根据文件扩展名分类（如 PDF、JPG 等）。
技术技巧： 使用右上角的**“筛选”**功能，直接定位目标文件类型。例如，仅勾选“文档” -> “Word”。

场景 C：文件验证（Hex 校验）

不要直接点击恢复。选中目标文件，点击**“预览”**。

这是验证文件完整性的唯一标准。如果预览窗口能清晰显示图片内容或文档文字，说明文件头和数据区均完整，恢复成功率为 100%。
如果预览显示“文件已损坏”或黑屏，说明数据扇区已被部分覆盖。

第四阶段：异地提取与归档

确认文件有效后，进入最后一步。

勾选所有需要恢复的文件。
点击右下角**“恢复”**按钮。
关键路径选择： 弹出的保存对话框中，绝对不能选择原来的那个盘。必须保存到另一个物理硬盘、外接硬盘或 NAS 网络位置。

原理：数据恢复是“读-写”分离的过程。写回原盘会瞬间覆盖后续待恢复的数据扇区，造成不可逆的毁灭。

技术总结

针对 Windows 11 的数据恢复，EaseUS Data Recovery Wizard 的核心价值在于其对 NTFS 文件系统的容错解析能力。对于格式化恢复，它在无法读取目录树时，利用 RAW 恢复技术（即通过文件特征码重构文件）的能力处于行业第一梯队。

专家提示： 若经过上述全盘深度扫描（Deep Scan）后仍未找到关键数据，且硬盘存在物理异响或识别极其缓慢，此时已超出软件逻辑恢复范畴，应立即断电并寻求洁净间开盘服务，避免磁头划伤盘片。

Windows 11 磁盘空间深度分析与大文件定位指南

Wed, 24 Dec 2025 00:00:00 GMT

Windows 11 磁盘空间深度分析与大文件定位指南

核心工具推荐

针对 NTFS 文件系统特性，以下三款工具是目前业内分析效率最高、可视化最强的解决方案。

1. WizTree (首选推荐)

目前 Windows 平台上速度最快的磁盘分析器。

核心技术：直接读取主文件表 (MFT)，绕过操作系统 API，扫描 500GB SSD 仅需 2-3 秒。
适用场景：瞬间定位占用空间最大的文件（大色块）以及文件数量极多的零散区域（密集色块）。
关键功能：支持“百分比/大小”视图切换；支持按“文件扩展名”统计；可视化矩形树图（Treemap）。
官方下载地址： https://diskanalyzer.com/download

2. TreeSize Free

老牌、稳定、符合传统 Windows 资源管理器逻辑的分析工具。

核心技术：层级化目录扫描。
适用场景：需要以传统的“树状列表”查看文件夹大小时；需要右键直接调用管理员权限操作文件时。
关键功能：列出每个文件夹的精确大小、占用百分比；支持右键菜单集成。
官方下载地址： https://www.jam-software.com/treesize_free

3. SpaceSniffer

由 Uderzo 开发的便携式可视化工具，以动态方块布局著称。

核心技术：实时动态扫描与区块渲染。
适用场景：直观感受文件夹嵌套深度；通过双击区块进行“下钻”分析。
关键功能：支持强大的过滤器语法（如 >100mb 或 *.log）；无需安装，解压即用。
官方下载地址： http://www.uderzo.it/main_products/space_sniffer/download.html

零散文件与大文件分析策略

下载并运行上述任意工具（推荐 WizTree），按照以下逻辑进行排查：

1. 定位“单体大文件” (Large Files)

视觉识别：在可视化图表中，寻找面积巨大的单一色块。
常见对象：
hiberfil.sys (休眠文件，通常等于内存大小)
pagefile.sys (虚拟内存文件)
*.iso, *.vmdk (虚拟机镜像)
C:\Windows\Installer 下的 .msp 文件（注意：严禁直接删除，需使用专门工具）

2. 定位“海量零散文件” (Small Scattered Files)

这是导致磁盘空间莫名消失且资源管理器卡顿的元凶。

视觉识别：在可视化图表中，寻找由无数微小色块密集堆叠形成的区域（看起来像噪点）。
数据识别：在 WizTree 左侧列表中，点击列头 "File Count" (文件数量) 进行降序排列。
高危目录：
AppData\Local\Google\Chrome\User Data (浏览器缓存，文件数可达数十万)
node_modules (前端开发依赖)
C:\Windows\Temp (系统临时文件堆积)

3. 处理建议

确认后删除：对于确认为用户数据（如下载的视频、解压的压缩包）的大文件，可直接删除。
系统文件清理：对于 WinSxS 或 Installer 目录，必须使用 Windows 设置中的“存储感知”或 Dism 命令清理，禁止手动物理删除。
零散文件治理：对于海量小文件，若无法删除（如必要的代码库），建议对该文件夹启用 Compact OS 压缩，可显著减少物理占用。

安卓手机彻底擦除数据

Tue, 23 Dec 2025 00:00:00 GMT

安卓手机彻底擦除数据

1. 前言：为什么“恢复出厂设置”是安慰剂？

在二手设备流转或设备报废场景中，绝大多数用户认为执行系统的“清除所有数据（Factory Reset）”即可高枕无忧。然而，从数字取证（Digital Forensics）的角度来看，这仅仅是完成了逻辑删除。

在现代闪存（NAND Flash）文件系统中，标准的重置操作通常只清除了文件分配表（File Allocation Table）中的索引指针，并将占用的存储块标记为“可写（Writable）”。底层的二进制数据（0和1）在被新数据物理覆盖之前，依然静静地躺在存储芯片中。使用市面上普通的取证工具（如 Cellebrite 或开源的 Autopsy），恢复这些“无主”数据并非难事。

本文将介绍一种基于“空闲空间覆写”原理的防御性擦除流程，利用免费工具实现符合 DoD（美国国防部）标准的数据销毁。

2. 工具选型与成本分析

在众多数据擦除工具中，我们选择 iShredder™ (Android Edition) 作为核心工具。但在版本选择上，存在一个常被忽视的技术不对称性。

付费版 vs. 免费版：极客视角的差异

普通用户倾向于认为付费版更强大，但针对“设备出售/报废”这一特定场景，免费版（Standard Edition） 实际上已经提供了核心所需的功能模块。

功能模块	免费版 (Standard)	专业/军用版 (Pro/Military)	技术解读
算法支持	基础 (Zero-fill 等 4 种)	扩展 (DoD 5220.22-M 等 20+ 种)	对于现代 UFS 闪存，单次全盘覆写已足够破坏电荷状态。
文件级销毁	❌ 不支持	✅ 支持	付费版允许你在保留系统的前提下，精准粉碎特定文件（如某张照片）。
空闲空间擦除	✅ 支持	✅ 支持	这是核心。只要将数据删除，数据即变为“空闲空间”，免费版即可介入处理。

结论： 如果你的目标是清空整个手机，而不是保留系统仅删除特定文件，免费版配合正确的流程等同于企业版效果。

3. 标准化操作流程 (SOP)

为了确保数据不可恢复，我们将采用 “重置 - 填充 - 重置” 的三明治法操作流程。

阶段一：全盘逻辑清除

全盘加密（如适用）： 对于 Android 6.0 以上设备，确保默认加密已开启。iQOO 等现代设备默认已全盘加密。
执行出厂设置：

进入 设置 -> 系统 -> 重置选项 -> 清除所有数据。
技术原理： 此步骤将通讯录数据库 (contacts2.db)、短信数据库 (mmssms.db)、媒体文件等所有用户数据的索引切断，系统将这些数据占用的物理扇区标记为 Free Space（空闲空间）。

阶段二：空闲空间物理覆写 (Wipe Free Space)

最小化配置： 重启手机，跳过所有账号登录（Google/Vivo账号），不连接 Wi-Fi（如可能），仅通过 APK 文件或临时网络安装 iShredder 免费版。
执行擦除：

打开 App，选择 “Wipe Free Space（擦除空闲空间）”。
算法选择： 免费版默认算法即可。
执行过程： 软件会生成随机的高熵数据或全零数据，持续写入手机存储，直到填满所有剩余空间。
技术原理： 此时，第一阶段残留的通讯录、短信等“幽灵数据”，正位于这些“空闲空间”中。iShredder 的写入操作是对这些物理扇区的暴力覆写。

阶段三：环境清理

二次重置： 擦除完成后，再次执行“恢复出厂设置”。
目的： 删除 iShredder 软件本身及其产生的临时日志，使手机恢复到纯净的 OOBE（开箱即用）状态。

4. 技术释疑：关于敏感数据的“空闲化”

Q：如果不买付费版，我的联系人和短信真的安全吗？

A：绝对安全。这是文件系统原理决定的。

当你执行“阶段一”的恢复出厂设置时，Android 系统并不会区别对待 DCIM 文件夹里的照片和 /data/data/ 目录下的联系人数据库。它们都会被统一处理：

文件系统解除对这些数据的占用。
这些数据原本占据的物理地址被归类为“Free Space Pool（空闲空间池）”。

因此，当你在“阶段二”使用免费版工具针对 “空闲空间” 进行全盘覆写时，实际上就是在对之前的联系人、短信、通话记录进行物理层面的销毁。付费版的“擦除联系人”功能，主要是为那些不需要重置手机、只想单独清理隐私的用户设计的。

5. 总结

在现代基于闪存的移动设备数据销毁任务中，我们不需要迷信昂贵的商业软件。遵循物理层的数据存储原理，利用 “系统重置（逻辑释放） + 空闲空间填充（物理覆盖）” 的组合拳，即可零成本达到防取证级别的安全标准。

推荐配置：

硬件： 任意 Android 设备 (iQOO/Samsung/Pixel)
软件： iShredder Standard (Free)
耗时： 约 30-60 分钟 (视存储容量而定)

下一步建议

如果您正在处理的是企业级批量设备，或者需要出具符合 GDPR/ISO 标准的审计报告，那么购买 BitRaser 或 iShredder Enterprise 是必要的，因为它们提供合规性证书。如果是个人设备处理，上述方案已是终极防线。

基于 Immich + CasaOS 搭建私有云照片备份系统完整指南

Tue, 23 Dec 2025 00:00:00 GMT

Immich 私有云照片备份方案部署指南

本文将详细介绍如何利用开源项目 Immich 搭建一套完全私有的照片备份系统，以替代 Google Photos 等商业云服务。该方案将所有数据存储在您自己的本地服务器上，AI 识别等高级功能也完全在本地运行，确保了数据的最高隐私性和自主可控性。

部署环境概览

本指南推荐在低功耗的迷你主机上部署，以实现7x24小时不间断运行，同时保持较低的能耗。以下为本次部署所采用的硬件与软件环境配置。

组件	规格	说明
硬件服务器	零刻 EQi12 (i3-1220P)	一款超静音、低功耗的迷你主机，性能足以流畅运行 Immich 及其 AI 功能。
操作系统	Ubuntu Server 24.04 LTS	稳定、高效的服务器操作系统，为 Docker 和 Immich 提供可靠的运行环境。

技术栈与项目介绍

Immich：高性能照片管理方案

Immich 是一个功能强大的自托管照片和视频备份解决方案，被广泛认为是 Google Photos 的最佳开源替代品。它提供了从手机自动备份到 AI 智能检索的全方位功能，旨在提供企业级的照片管理体验。

属性	信息
项目地址	https://github.com/immich-app/immich
官方网站	https://immich.app
最新版本	v2.4.1 (截至 2024年12月)
GitHub Stars	87.2k+
开源协议	AGPL-3.0

核心功能亮点：

多平台自动备份：提供 Android 和 iOS 客户端，可自动备份手机中的照片和视频。
AI 驱动的智能识别：内置机器学习模型，可在本地完成人脸识别、物体识别和场景分类，无需将数据上传到云端。
强大的语义搜索：支持使用自然语言进行搜索，例如"在海滩上的日落"、"有猫的照片"等。
地理信息与地图视图：自动解析照片的 GPS 数据，并在世界地图上展示其拍摄位置。
多用户支持与家庭共享：支持创建多个独立账户，并可以方便地与家人共享相册。

硬件与系统要求

部署步骤

整个部署过程基于 Docker 和 Docker Compose，通过标准化的容器环境来简化安装和管理。

第一步：安装 Docker 环境

首先，我们需要在 Ubuntu Server 上安装 Docker 和 Docker Compose。以下脚本可以帮助您一键完成安装和配置。

# 下载一键安装脚本
wget -qO- https://www.twenhub.com/archives/linuxjiao-ben-yi-jian-zi-dong-an-zhuang-docker | bash

该脚本会自动处理 APT 仓库配置、安装最新版 Docker CE 以及 Docker Compose 插件，并设置 Docker 服务开机自启。安装完成后，可以通过以下命令验证安装结果：

docker --version
docker compose version

第二步：下载并配置 Immich

创建工作目录：

mkdir -p /home/ubuntu/immich-app && cd /home/ubuntu/immich-app

下载官方配置文件：

wget -O docker-compose.yml https://github.com/immich-app/immich/releases/latest/download/docker-compose.yml
wget -O .env https://github.com/immich-app/immich/releases/latest/download/example.env

开启 i3-1220P 硬件加速：

为了发挥零刻 EQi12 的核显性能，需修改 docker-compose.yml 文件：
```
nano docker-compose.yml
```
找到 services -> immich-server 下方，确保有如下内容（如果没有请手动添加）：
```
devices:
  - /dev/dri:/dev/dri  # 开启 Intel 核显直通
```
这一配置将 Intel 核显设备直通给 Immich 容器，可显著加速视频转码和缩略图生成等任务。

编辑环境变量文件：

使用文本编辑器（如 nano）打开 .env 文件，根据您的实际情况修改关键配置。

nano .env

以下是必须关注和修改的几个核心参数：

# --- 关键路径配置 ---
# 定义您的照片和视频原始文件的存储位置。请确保该目录存在且权限正确。
# 建议使用大容量数据盘的挂载点。
UPLOAD_LOCATION=/mnt/data/immich/library

# --- 数据库配置 ---
# Immich 的数据库存储路径。为获得最佳性能，强烈建议将此路径设置在 SSD 上。
DB_DATA_LOCATION=/mnt/ssd/immich/postgres

# --- 时区设置 ---
# 设置正确的时区以确保照片时间线显示正确。
TZ=Asia/Shanghai

创建存储目录：

根据 .env 文件中的配置，创建相应的物理目录。

sudo mkdir -p /mnt/data/immich/library
sudo mkdir -p /mnt/ssd/immich/postgres
sudo chown -R $(whoami):$(whoami) /mnt/data/immich /mnt/ssd/immich

第三步：启动 Immich 服务

在 immich-app 目录下，执行以下命令来启动所有服务容器：

docker compose up -d

首次启动时，Docker 会自动下载所有必需的镜像，包括 Immich 服务器、机器学习模型、数据库和缓存服务。这个过程可能需要一些时间，具体取决于您的网络速度（镜像总体积约 4GB）。

等待命令执行完毕后，可以通过以下命令检查所有容器的运行状态：

docker compose ps

如果一切正常，您应该能看到 immich-server, immich-machine-learning, immich-postgres, immich-redis 等多个容器的状态均为 running 或 healthy。

第四步：初始化 Immich 系统

服务启动后，在浏览器中访问 http://<您的服务器IP>:2283。您将看到 Immich 的欢迎界面。点击"Getting Started"按钮，注册您的第一个管理员账户。请注意，系统中没有默认密码，第一个注册的用户将自动获得管理员权限。

客户端下载与配置

Immich 提供了功能完善的移动客户端，方便您随时随地备份和访问照片。

Android 客户端

下载渠道	地址	说明
Google Play	官方商店链接	推荐方式，可获取自动更新。
F-Droid	开源商店链接	适合无法访问 Google 服务的设备。
GitHub Releases	直接下载 APK	可手动下载 `app-release.apk` 文件进行安装。

iOS 客户端

iOS 用户可直接在 App Store 中搜索 "Immich" 或通过以下链接下载：

App Store 地址：https://apps.apple.com/app/immich/id1613945652

客户端连接配置

首次打开移动端 APP 时，需要配置服务器端点地址。在"Server Endpoint URL"中输入：

http://<您的服务器IP>:2283

之后，使用您在 Web 界面注册的邮箱和密码登录即可。为了实现外网访问，建议配置内网穿透工具（如 Tailscale、Cloudflare Tunnel 等），并将 APP 中的服务器地址更新为穿透后的公网地址。

安全性与隐私分析

选择自托管方案的核心优势在于数据隐私。Immich 在设计上充分贯彻了这一原则。

数据存储与 AI 处理

Immich 的隐私政策明确指出，所有用户数据，包括照片、视频、元数据和 AI 分析结果，都 100% 存储在用户自己的服务器上。开发团队无法访问这些数据。

本地化 AI：Immich 的人脸识别、物体分类和语义搜索等 AI 功能，均通过本地运行的开源机器学习模型实现。整个分析过程完全离线，即使服务器断开互联网连接，这些功能依然可用，确保了敏感的生物特征信息不会离开您的私有环境。

网络连接与传输安全

默认情况下，Immich 在局域网内通过 HTTP 协议进行通信。为了增强安全性，特别是在需要公网访问时，强烈建议配置 HTTPS。您可以通过 Nginx 等反向代理轻松实现 SSL 加密，或使用 Tailscale 这类零配置 VPN 工具来建立端到端的加密隧道。

与商业云服务的对比

对比项	Immich (自托管)	Google Photos / iCloud
数据所有权	用户完全拥有	服务商拥有最终解释权
数据存储位置	用户自己的硬件	Google / Apple 的全球数据中心
AI 处理位置	本地服务器	云端服务器
隐私泄露风险	仅限于物理安全和网络配置	面临服务商数据泄露、政策变更、账户审查等风险
长期成本	一次性硬件投入 + 电费	持续的订阅费用，且价格可能上涨

总结

通过遵循本指南，您可以成功部署一套基于 Immich 的、完全自主可控的私有云照片备份系统。这套方案不仅功能强大，媲美商业服务，更在数据隐私和所有权方面提供了无与伦比的保障。对于任何重视数字遗产和个人隐私的用户来说，这都是一项值得投入的长期解决方案。

参考链接

资源	地址
Immich 官方网站	https://immich.app
Immich GitHub 仓库	https://github.com/immich-app/immich
Immich 官方文档	https://docs.immich.app
Tailscale 内网穿透	https://tailscale.com

打造 B站级流畅体验：揭秘 m3u8、H.264 与 WebP 的黄金组合

Mon, 22 Dec 2025 00:00:00 GMT

打造 B站级流畅体验：揭秘 m3u8、H.264、WebP 与 CDN 的全链路优化架构

在移动互联网时代，用户对视频体验的容忍度极低。无论是在 5G 高速网络下，还是在信号微弱的电梯间，用户都期望视频能够“秒开”且“随意拖拽不卡顿”。

要实现像 Bilibili 或 YouTube 那样极致的流畅体验，单纯堆积服务器带宽往往收效甚微。真正的核心在于文件格式选型、编码标准与边缘节点（CDN）策略的深度耦合。经过在亚洲复杂网络环境下的多轮实战验证，“m3u8 (HLS) + H.264 + WebP + 精细化 CDN 调优” 是目前构建高可用视频系统的标准答案。

本文将深度解析这套技术栈的优势，并披露生产环境下的关键配置参数。

一、传输层核心：告别 MP4，拥抱 m3u8 (HLS)

很多开发者初期习惯直接分发 MP4 文件，但这在移动端 H5 环境下有着天然的性能瓶颈。要实现毫秒级起播（TTFB < 500ms），必须使用 HLS (HTTP Live Streaming) 协议。

1. 为什么 MP4 无法做到极致秒开？

MP4 是一个单一的大文件。浏览器要播放它，通常需要先下载文件头部的索引数据（Moov Atom）。对于一个 1GB 的高清长视频，这个索引可能高达几 MB。在 4G 弱网下，仅下载索引就需要数秒，用户端表现为“黑屏转圈”。

2. m3u8 的“切片”魔法

m3u8 本质上不是视频，而是一份动态索引菜单。真正的视频实体被切分成了成百上千个短小的 TS (Transport Stream) 片段。

秒开原理： 播放器只需下载几 KB 的 m3u8 文本，随即并发请求前两个 TS 切片（仅数百 KB）即可立即渲染画面。
抗卡顿与自适应： 只有 m3u8 支持自适应码率 (ABR)。系统可生成 1080p、720p、480p 三套流。当用户网络波动时，播放器会自动无缝切换至低码率切片，确保播放永不中断。

👉 专家建议配置

在云端转码（如阿里云 IMM）时，切片时长（Segment Duration）建议设置为 3秒 - 5秒。

注：默认的 10秒切片在弱网下会导致首帧缓冲数据量过大，而 3-5秒是平衡 HTTP 请求开销与起播速度的最佳甜点值。

二、编码层决策：坚守 H.264 的统治地位

虽然 H.265 (HEVC) 号称能节省 30%-50% 的带宽，但在 Web 和 H5 通用场景下，H.264 (AVC) 依然是不可撼动的统治者。

1. 兼容性是第一优先级

H.265 的风险： 在 PC 浏览器（如 Chrome/Edge）及旧版 Android WebView 中，H.265 的硬解支持并不完美。强制使用可能导致部分用户黑屏或 CPU 飙升。
H.264 的普适性： 它是目前唯一通吃 iOS、Android、Windows、macOS 以及微信、钉钉等所有内置浏览器的编码格式。

👉 专家建议配置

在使用转码服务时，请严格锁定以下参数以确保全端兼容：

编码器 (Codec)： h264 (High Profile)
像素格式 (PixelFormat)： yuv420p (必须指定，否则部分安卓机型会出现颜色异常)
码率控制 (CRF)： 设置为 23 - 26。此区间能保证肉眼无噪点，同时将 1080p 码率控制在合理范围。

三、静态资源革命：WebP 的降维打击

视频站点的带宽消耗中，20% 以上往往来自封面图（Cover）和 UI 素材。在这一点上，WebP 是对 JPG/PNG 的绝对替代者。

1. 极致的压缩率

WebP 基于 VP8 视频关键帧压缩技术。在同等肉眼画质下，WebP 的体积比 JPG 小 30% - 40%。这意味着首屏加载速度显著提升。

2. 服务端实时处理

不要在服务器端手动转码图片，应利用对象存储（OSS）的边缘处理能力，在 URL 后拼接参数实时生成。

👉 专家建议配置

推荐参数： quality,q_80 + format,webp
原理解析： 80% 的质量是人眼识别的拐点。设置为 80，视觉上几乎无法区分原图，但文件体积减半。

四、基础设施调优：CDN 的“秒开”配置秘籍

即使你有了完美的 m3u8 切片和 H.264 编码，如果 CDN 配置不当，用户体验依然会大打折扣。要实现“全国秒级播放”，必须在阿里云 CDN 控制台开启以下 4 个关键开关。

1. 开启 Range 回源 (必须)

这是大文件分发的生命线。

原理： 播放器在拖拽进度条时，通常只会请求视频中间的一小段数据（Range 请求）。如果不开启此功能，CDN 节点会向源站请求整个文件，导致回源流量爆炸且响应极慢。
配置： 在 CDN 回源配置中，强制开启 Range 回源。

2. 智能压缩 Gzip/Brotli

对象： 针对 .m3u8 文件。
原理： m3u8 是纯文本文件，随着视频时长增加，文件体积会变大。开启 Gzip 压缩可将 m3u8 体积减少 70% 以上，在弱网下极大缩短“获取菜单”的时间。

3. 精细化缓存策略 (TTL)

CDN 缓存规则不能“一刀切”，必须动静分离：

.ts (视频切片)： 设置 30天 - 1年。
理由： 切片内容一旦生成永远不会变，缓存时间越长，命中率越高，回源越少。
.m3u8 (索引文件)： 设置 1分钟 - 5分钟。
理由： 如果你对视频进行了剪辑或替换，m3u8 文件内容会改变。缓存时间过长会导致用户看不到更新；过短则增加源站压力。

4. 主动预热 (Prefetch)

解决“第一个用户卡顿”的问题。

策略： 在视频转码完成发布后，通过 API 调用 CDN 的 预热接口。
效果： 主动将 m3u8 和首批 ts 切片推送到全国边缘节点。这样即使是第一个点击视频的用户，也能直接命中缓存，实现秒开。

五、总结：推荐架构清单

为了打造最稳、最快、兼容性最好的视频服务，请参考以下架构清单：

模块	推荐技术选型	核心理由
视频容器	m3u8 (HLS)	支持并行加载与多码率自适应，秒开基础。
视频编码	H.264	100% 兼容 iOS/Android/Web，绝不黑屏。
图片格式	WebP	体积比 JPG 小 30%，加载飞快。
CDN 回源	Range 回源	支持分片请求，降低延迟，节省回源流量。
CDN 缓存	ts长缓存 / m3u8短缓存	确保高命中率与内容更新的平衡。

结语： 技术选型没有绝对的“先进”，只有“合适”。OSS 存储 + HLS 切片 + H.264 编码 + CDN 精细化调优，这套组合拳是目前性价比最高、技术风险最小的工业级方案。它能确保你的用户无论身处何地，都能获得丝般顺滑的观看体验。

公网大文件快速传输方案

Sat, 20 Dec 2025 00:00:00 GMT

公网大文件快速传输方案

在运维 Windows 服务器时，我们经常面临一个痛点：如何将本地的大文件（如安装包、数据库备份）快速、稳定地传输到远程服务器？

使用远程桌面（RDP/MSTSC）自带的复制粘贴经常遇到速度慢、卡死甚至中断的问题；而使用网盘又涉及到上传下载两次传输，效率极低。

本文将介绍一款开源神器 Croc，并教你通过自建中转（Relay）模式，绕过运营商的 UDP 干扰，利用云服务器的公网带宽，实现满速、断点续传的稳定传输。

方案优势

极致速度：利用 TCP 协议建立直连通道，跑满服务器购买的物理带宽。
断点续传：网络波动导致断开后，无需重头开始，支持进度恢复。
安全：全程端到端加密（PAKE），中转服务器仅做数据流转发，无法解密文件。
简单：无需配置复杂的 FTP/SMB 服务，单文件绿色免安装。

第一步：环境准备与软件下载

我们需要在**本地电脑（发送端）和远程服务器（接收端）**上都下载 Croc。

1. 下载软件

请访问 GitHub 官方发布页：https://github.com/schollz/croc/releases

针对绝大多数 Windows 用户（包括 Windows 10/11 和 Windows Server），请务必下载以下版本：

👉 croc_v10.3.1_Windows-64bit.zip

2. 安装（免安装）

Croc 是纯绿色的命令行工具：

下载后解压压缩包。
你会看到一个 croc.exe 文件。
技巧：为了方便后续操作，建议直接在该文件夹地址栏输入 cmd 并回车，即可打开当前路径的命令行窗口。

第二步：配置远程服务器（接收端）

为了保证传输不受网络波动影响，我们将把远程服务器配置为"中转站"。这需要利用到服务器的公网 IP。

1. 阿里云/腾讯云后台放行端口

这一步至关重要，否则无法连接。

请登录您的云服务器控制台，找到 "安全组" 设置，添加入方向规则：

协议：TCP
端口范围：9009/9013（即开放 9009 到 9013）
授权对象：0.0.0.0/0

2. 启动中转服务

在远程服务器上，打开一个 CMD 窗口，输入以下命令并回车：

croc relay

成功标志：屏幕显示 starting TCP server on :9009 等字样。
注意：请勿关闭此窗口，保持其一直运行。它相当于建立了一座"桥梁"。

第三步：开始文件传输

传输的逻辑顺序是：发送端先"发货"建立房间 -> 接收端再"取货"。请严格按照以下顺序操作。

1. 发送端操作（本地电脑）

在本地电脑存放文件的目录下，打开 CMD 窗口。

我们需要输入一条命令，告诉 Croc 使用我们刚才搭建的远程中转服务。

命令格式：

croc --relay "远程公网IP:9009" send --code 自定义密码 要发送的文件路径

示例命令：

假设远程服务器 IP 为 1.2.3.4，你想设置密码为 6666-secret，发送名为 data.zip 的文件：

croc --relay "1.2.3.4:9009" send --code 6666-secret data.zip

输入后回车，你会看到界面显示 Sending...，此时程序正在等待接收端连接。

2. 接收端操作（远程服务器）

回到远程服务器，新建第二个 CMD 窗口（不要关掉刚才那个 relay 窗口）。

我们需要输入命令，告诉 Croc 连接到"自己"的中转服务来取货。

命令格式：

croc --relay "127.0.0.1:9009" 刚才设置的自定义密码

示例命令：

croc --relay "127.0.0.1:9009" 6666-secret

输入后回车，系统会检测到发送请求，并询问是否接收：

Accept 'data.zip' (xxx MB)? (y/n)

输入 y 并回车，即可开始传输。

常见问题与排查

Q1: 为什么提示 "room not ready"？

原因：通常是因为操作顺序反了。
解决：请务必先在发送端执行 send 命令，确认界面显示等待连接后，再去接收端执行接收命令。

Q2: 为什么发送端一直卡在 "connecting" 连不上？

原因：远程服务器的防火墙或安全组没开。
解决：请检查云服务器后台"安全组"，确保 TCP 9009 端口已对公网开放。

Q3: 传输速度受什么限制？

在自建中转模式下，速度取决于云服务器的公网带宽上限。
如果购买的是 5M 带宽，速度上限约为 600KB/s；如果是 100M 带宽，速度可达 10MB/s 以上。如果需要临时传输超大文件，建议在云控制台临时升级带宽（按量付费），传完再降回来，性价比极高。

通过以上步骤，你就建立了一条稳定、私有的文件传输隧道，从此告别 RDP 复制粘贴的卡顿烦恼!

Google Pixel 9 MSDS电池认证文档下载

Sat, 20 Dec 2025 00:00:00 GMT

Google Pixel 9 MSDS电池认证文档下载

为方便大家查阅 Google Pixel 9 的电池相关技术文档,这里提供官方认证文件的下载链接。

可用文档

电池认证证书
包含 Pixel 9 电池容量(38.3Wh)及相关认证信息。
下载 Battery Certificate (PDF)

MSDS 安全数据表
电池材料安全数据表,包含化学成分、安全处理等重要信息。
下载 MSDS Certificate (PDF)

海淘转运公司大盘点：哪家是你的菜？

Thu, 18 Dec 2025 00:00:00 GMT

海淘转运公司大盘点：哪家是你的菜？

“海淘”早已不是什么新鲜词，面对琳琅满目的海外好物，如何将它们安全、快速、又经济地运回国内，就成了每个“剁手党”的必修课。选择一家靠谱的转运公司至关重要。今天，我们就来盘点几家热门的转运公司，从它们的特点、仓库分布到服务价格，为你提供一份详尽的参考指南。

转中 (USZCN)

作为一家老牌转运公司，转中以其稳定的服务和覆盖广泛的全球仓库网络，在海淘圈里积累了不错的口碑。对于追求性价比和安全保障的用户来说，是一个值得考虑的选择。

官方网站: https://www.uszcn.com/

核心特点

转中的服务围绕着“安全”和“经济”两个核心。他们提供先行赔付政策，这在很大程度上打消了用户对于包裹丢失或损坏的顾虑。此外，全程采用人民币结算，计费单位精确到100克，避免了汇率换算的麻烦和“凑整”带来的额外费用。

全球仓库网络

转中的一大优势在于其遍布全球的仓库，为用户提供了丰富的购物选择。

仓库位置	主要特点
美国俄勒冈州 (OR)	免税州仓库，海淘电子产品、服饰鞋包等无消费税，能省下一笔不小的开销。
日本	提供多种邮政线路，无论是追求速度的EMS，还是更经济的航空或廉价线路，都能满足不同需求。
中国香港	支持自提，对于身处粤港澳地区的用户极为方便。同时提供转寄澳门和香港本地的多种服务。
加拿大阿尔伯塔省 (AB)	同样是免税省份，适合购买加拿大鹅、始祖鸟等当地品牌。
澳大利亚新南威尔士州	方便购买澳洲的保健品、奶粉等特色商品。

增值服务

除了基础的转运服务，转中还提供一系列贴心的增值服务，如合并包装、包裹拆分、退货处理等，让海淘过程更加省心。

信中转运 (Xinzhong US)

信中转运虽然名字里带个“信”字，但它其实叫“星中”，主打美国转运业务，尤其适合那些在美国网站购物的用户。他们凭借自营的海外仓和专业的物流系统，致力于提供高效、快捷的转运体验。

官方网站: https://xinzhongus.com/

核心特点

信中转运的核心优势在于其位于美国免税州的自营仓库，这意味着购买任何商品都无需支付美国的消费税。24小时的货物监控和专业的仓储系统，为包裹的安全和处理效率提供了保障。对于希望实时掌握包裹动态的用户来说，其全程追踪系统也十分友好。

仓库与线路

目前，信中转运专注于美国市场，提供从俄勒冈州（免税州）到中国大陆和香港的转运服务。

线路	特点
美国 → 中国大陆	提供包括默认线路和专门的电池产品线路在内的多种选择，满足不同商品类型的运输需求。
美国 → 中国香港	提供香港自提服务，运费相对更具优势，适合在港或方便前往香港自提的用户。

增值服务与会员体系

信中转运提供了丰富的增值服务，从包裹拍照、清点到特殊加固，几乎涵盖了海淘过程中的所有细节需求。值得一提的是，他们提供免费的换箱和代缴关税服务，非常贴心。其会员体系也相当直观，VIP用户可以在运费和多项增值服务上享受到实实在在的折扣。

中邮海外购 (EMS)

“中邮海外购”是鼎鼎大名的中国邮政速递物流（EMS）旗下的官方海淘转运平台。背靠EMS这棵“大树”，它在渠道的稳定性和安全性上有着天然的优势，是追求官方保障和可靠性的用户的首选。

官方网站: https://buy.ems.com.cn/

核心特点

作为“国家队”成员，中邮海外购最大的特点就是“稳”。其美中标准快件服务，虽然目前仅开放美国特拉华州的仓库，但清关流程相对规范，时效也有保障。此外，其独特的“抹零”计费方式（例如1099克按1000克计费）和通过智能换箱等服务免除体积费的政策，在特定情况下能为用户节省不少运费。

仓库与服务

目前，中邮海外购主要运营美国特拉华州的免税州仓库。虽然其日本和德国的货站已暂停运营，但对于主攻美国海淘的用户来说影响不大。

仓库位置	主要线路	特点
美国特拉华州	美中标准快件	EMS官方渠道，清关稳定，会员等级越高运费越优惠。

会员与增值服务

中邮海外购的会员体系与运费直接挂钩，消费越多，等级越高，运费折扣也越大。他们同样提供包括基础加固、特殊加固、开箱清点在内的全套增值服务，高级会员甚至可以免费享受部分服务，性价比颇高。

PFC皇家物流 (PFC Express)

PFC皇家物流是一家立足于深圳的跨境电商物流企业，拥有超过13年的行业经验。它提供的服务范围非常广泛，不仅仅是个人海淘转运，更涵盖了从国际快递、专线到FBA头程、海外仓储等企业级服务，堪称一个综合性的跨境物流解决方案提供商。

官方网站: https://www.pfcexpress.com/

核心特点

PFC最大的特点是其业务的“广”和“深”。他们整合了包括DHL, UPS, FedEx在内的多种国际快递渠道，并开发了40余种物流解决方案。对于国内用户，特别是广东地区的用户来说，其免费上门揽件服务极具吸引力。而对于企业级卖家，其覆盖全球的海外仓网络和一件代发服务，则能极大地提升物流效率。

全球仓储与集运网络

PFC的业务覆盖面非常广，这从其仓库和集运网络的分布就可见一斑。

海外仓: 在美国、英国、德国、澳洲、日本以及东南亚、中东等多个国家和地区都设有海外仓，为电商卖家提供仓储、分拣、派送等一站式服务。
集运服务: 不仅支持从中国大陆集运到香港、台湾、美国、英国等热门地区，还开通了到东南亚多国（新加坡、马来西亚、泰国、菲律宾、印尼）的集运线路，甚至提供敏感货和特货的专门渠道。

服务亮点

对于需要邮寄特殊商品的用户，PFC提供了一些特色渠道，例如“香港DHL包税价”、“香港UPS仿牌包税价”等，解决了许多海淘用户在邮寄过程中的痛点。这表明他们在处理复杂清关问题上具有一定的经验和能力。

西邮寄 (Xipost)

如果你是德国海淘的爱好者，那么“西邮寄”这个名字你一定不陌生。作为德国首家华人快递公司，它深耕德国转运市场，以其专业的服务和多样化的线路，成为了许多德淘用户的首选。

官方网站: https://www.xipost.de/

核心特点

西邮寄最大的特色在于其专注和专业。他们提供“阳光清关”服务，确保包裹合规、安全地进入中国。同时，作为德国DHL的合作伙伴，他们能提供极具竞争力的DHL运费价格。包邮包税线路和一件代发服务，更是为用户提供了极大的便利。

仓库与线路

西邮寄的业务完全围绕德国展开，其仓库位于斯图加特，并提供覆盖德国主要城市的上门取货服务。

线路名称	主要特点	适合商品
筋斗云CC全品线	享受50元免税额度，阳光清关，可混搭多种商品。	面膜、保健品等日常用品。
筋斗云奶粉包税线	专门为奶粉设立的包税专线，省心省力。	各类婴幼儿奶粉。
邮政普件	对接多国邮政，包括DHL、荷兰邮政、比利时邮政，提供多种时效和价格选择。	对时效要求不高的普通包裹。
全球寄/快递	通过DHL或UPS，不仅可以寄往中国，还可以发往全球各地。	文件、商务快件或需要发往其他国家的包裹。

服务亮点

西邮寄提供了非常灵活的收货方式，除了可以将包裹直接寄到仓库，还可以选择上门取货，或者使用他们的回邮单服务，这对于居住在德国不同地区的用户来说都非常方便。其清晰的线路划分，也让用户可以根据自己的商品类型和需求，轻松选择最合适的邮寄方式。

选择转运公司，就像是为你的海淘之旅选择一位可靠的向导。希望这份盘点能帮助你根据自己的需求，找到最适合你的那一家。祝大家海淘愉快！

锂电池长期存放与日常使用保养指南

Fri, 12 Dec 2025 00:00:00 GMT

锂电池长期存放与日常使用保养指南

适用设备：Pixel 9 (GrapheneOS)、iPhone 15、iPad、Ledger Nano X 及通用安卓设备

核心原理

锂离子电池寿命衰减主要受两大因素影响：

温度驱动的日历老化 - 温度越高，老化越快
电量水平（SOC）驱动的材料应力 - 长时间高电量停留，加速衰减

黄金法则：温度越低、避免长时间满电，电池寿命越长

快速参考表

长期存放策略（≥30天不使用）

设备	入库电量	检查周期	补电阈值	补电目标	温度要求
Pixel 9 (GrapheneOS)	40-60%	2-3个月	<30-40%	~50%	~25°C，避免≥35°C
iPhone 15	~50% (关机)	6个月	<40%	~50%	<32°C，阴凉干燥
iPad	~50% (关机)	6个月	<40%	~50%	16-22°C理想，避免>35°C
Ledger Nano X	满电 (关机)	每几个月	避免低电量	充满	阴凉干燥
通用安卓	40-60%	2-3个月	<30-40%	~50%	15-25°C

日常使用策略（定时使用/长期接电）

设备	推荐设置	注意事项
Pixel 9 (GrapheneOS)	启用 80% 充电上限	系统会偶尔充到100%校准，出现盾牌图标后恢复80%限制
iPhone 15	设置 Charge Limit (80-100%)	会偶尔充到100%维持SOC估算准确性
iPad	启用 80% Limit (支持机型)	充到80%停止，降至75%恢复充电，偶尔充到100%校准
Ledger Nano X	随用随充	无需深度放电
通用安卓	启用厂商电池保护功能	80/85%上限或智能充电模式

详细设备指南

1. Pixel 9 (GrapheneOS)

长期存放（≥30天）

操作步骤：

将电量保持在 40-60% 区间（官方建议≥50%）
每 2-3个月 检查一次电量
电量低于 30-40% 时补电至 ~50%
存放环境保持 ~25°C，避免 ≥35°C 长时间暴露

日常使用/长期接电

设置路径： Settings → Battery → Charging optimization

功能特点：

开启 80% 充电上限
系统会偶尔充到 100% 进行容量校准
充满后保持连接，直到状态栏出现 盾牌图标（表示启用旁路供电）
之后自动恢复 80% 限制模式

最佳实践： 固定工位建议保持接电状态，利用旁路供电减少充放电循环

2. iPhone 15

长期存放

标准流程：

充电至 约50%
关机存放
每 6个月 检查并补电至 50%
电量低于 40% 时及时补电
环境要求：阴凉干燥，温度 <32°C

风险提示：

空电长期存放 → 可能进入深度放电，无法充电
满电长期存放 → 可能造成容量永久损失
充电时注意散热，必要时移除保护壳

日常使用/长期接电

设置功能：

Charge Limit：可设置 80-100%（5%步进）
Optimized Battery Charging：智能延后充满时间

系统行为：

充至设定上限后停止
电量下降超过 5% 后恢复充电
偶尔会充到 100% 以维持电量估算准确性

推荐配置： 固定工位可设 80-95%，根据续航需求灵活调整

3. iPad

长期存放

执行 Apple 通用策略：

电量：约50%
状态：关机
环境：<32°C，阴凉干燥
检查：存放超过 6个月 时，每 6个月补电至 50%

日常使用/长期接电

温度要求：

理想温度：16-22°C
危险阈值：避免 >35°C 使用或充电（可能永久影响电池寿命）

80% Limit 功能（iPad Pro M4、iPad Air M2 支持）：

充至 约80% 停止
降至 75% 恢复充电至 80%
偶尔充到 100% 用于 SOC 校准

常规使用：

可整夜连接充电器
满电自动停止，低于 95% 恢复充电
建议减少长期满电驻留时间

4. Ledger Nano X

长期存放

简化流程：

充满电 后关机存放
每隔 几个月 充满一次
环境：阴凉、干燥，避免潮湿
严禁长期低电量存放（会损害容量）

日常使用

维护原则：

无需深度放电
随用随充 即可
能充就充的方式更利于电池健康

5. 通用安卓设备

长期存放

通用策略：

入库电量：40-60%（推荐 ~50%）
检查频率：2-3个月
补电规则：低于 30-40% 补至 ~50%
环境温度：15-25°C，干燥通风

日常使用/长期接电

优先启用厂商功能：

电池保护模式
充电上限（80/85%）
智能充电/优化充电

核心原则：

降低高 SOC 驻留时间
避免闷热环境下满电插电
尽量减少 100% 长时间停留

温度管理红线

存放环境

理想温度： 15-25°C
安全上限： <32°C
危险阈值： ≥35°C

使用/充电

推荐温度： ~25°C
避免超过： 35°C
特别注意： 充电时的额外发热

最小化维护清单

长期存放检查项

[ ] 电量设定在 ~50%（手机/平板）或满电（Ledger）
[ ] 设备已关机（Ledger 和 Apple 设备必须）
[ ] 存放环境 <32°C，阴凉干燥
[ ] 设置提醒：每 2-6 个月 检查一次（根据设备类型）
[ ] 补电阈值：低于 40% 及时补电

日常使用检查项

[ ] 已启用 充电上限功能（80% 或可选比例）
[ ] 理解系统的 偶尔充满校准 行为
[ ] 避免 高温环境 下长时间使用或充电
[ ] 固定工位优先 保持接电，利用旁路供电

常见误区

❌ 错误做法

满电或空电长期存放
高温环境下充电或存放
频繁深度放电（0-100% 循环）
长期 100% 驻留

✅ 正确做法

半电量（~50%）存放
温控优先于电量控制
利用充电上限功能
接受偶尔充满校准的必要性

参考资料

本指南基于以下官方文档和研究资料编写：

Calendar Aging of Lithium-Ion Batteries (TUM)
Google Pixel 官方电池指南
Apple 电池性能与保养指南
GrapheneOS 充电优化说明
Battery University 锂电池延寿研究

最后更新：2024年

GrapheneOS手机系统配置最佳实践

Wed, 26 Nov 2025 00:00:00 GMT

GrapheneOS手机系统配置最佳实践

发布时间：2025-11-26
标签：#GrapheneOS #Privacy #Security #Android #Pixel9

当 Web 安装器显示 "Flashed successfully" 并且你成功锁回 Bootloader 后，真正的旅程才刚刚开始。刷入 GrapheneOS 只是第一步，由于最新版系统对设置菜单进行了重构，如何科学地配置这套系统，才能在极致隐私和日常便利之间找到平衡点？

本文将基于 最新 Android 底层，带你避开首次启动的配置雷区，并分享一套经过社区验证的最佳**用户分区（User Profiles）**策略。

一、首次启动配置 (OOBE) 避坑指南

当你按下电源键，看到黄色的 "Your device is loading a different operating system" 警告页时，说明 Verified Boot 正在工作，这是正常的。进入设置向导后，你会遇到几个关键的英文选项，建议按以下方案配置：

1. 数据恢复 (Data Restoration)

界面提示：Copy apps & data
建议选择：Don't copy (不复制)
技术解读：GrapheneOS 默认不包含 Google Play Services。如果你试图从旧手机迁移数据，大量依赖 GMS 框架的应用会因为环境缺失而导致恢复失败。Best Practice 是作为全新设备开始，进入系统后再手动搭建沙盒化的 Google 环境。

2. 系统更新通道

界面提示：Use alternate release channel receiving security patches
建议选择：保持不勾选 (Leave unchecked)
技术解读：这个选项会让你切换到 Beta 测试通道。对于主力机（Daily Driver），默认的 Stable Channel 已经足够快且最稳定。

3. 位置服务总开关

界面提示：Location services / Allow apps to use location
建议选择：勾选 (Check)
技术解读：这是 GPS 硬件的总闸。GrapheneOS 不会在后台偷偷上传你的位置历史。如果不勾选，地图导航将彻底瘫痪。建议开启，后续在 App 权限里单独管理。

4. 锁定 OEM 接口 (关键安全项)

界面提示：Disable OEM unlocking
建议选择：勾选 (Check this box)
技术解读：这是一个极佳的防御措施。勾选后，系统内"开发者选项"里的 OEM unlocking 开关将被强制禁用。即使有人物理拿到了你解锁后的手机，也无法轻易再次解开 Bootloader。

二、中文输入法配置指南

在 GrapheneOS（石墨烯系统）中，系统自带的默认键盘（AOSP Keyboard）不支持中文输入。为了在保持隐私的前提下获得最好的中文输入体验，"Gboard（Google 键盘） + 禁止联网" 是社区公认的最佳方案。

以下是具体操作步骤：

第一步：获取 Gboard

由于系统自带的 Apps 商城主要用于安装 Google 框架，您可以通过以下两种方式之一安装 Gboard：

方法 A（如果您已安装 Sandboxed Google Play）：
直接打开 Play Store，搜索并下载 Gboard。
方法 B（如果您使用 Aurora Store）：
打开 Aurora Store，搜索并下载 Gboard。

第二步：配置中文输入

安装完成后，打开 Settings (设置) > System (系统) > Keyboard (键盘)。
点击 On-screen keyboard (屏幕键盘) > Gboard。
点击 Languages (语言) > Add keyboard (添加键盘)。
搜索 Chinese，选择 Chinese (Simplified) （简体中文）。
选择您喜欢的键盘布局（如 Pinyin/拼音），点击 Done (完成)。

第三步：【关键】隐私加固（禁止 Gboard 联网）

这是 GrapheneOS 用户必须做的一步。Gboard 的联想词库非常强大，但我们不希望 Google 收集我们的输入习惯。

在桌面上找到 Gboard 图标（或在设置的应用列表中找到它）。
长按 Gboard 图标，选择 App info (应用信息)（通常是一个感叹号图标）。
点击 Permissions (权限)。
点击 Network (网络)。
选择 Disallow (禁止)。

完成！

现在您拥有了 Google 级流畅的中文输入体验，同时通过 GrapheneOS 的权限控制，彻底切断了它向 Google 服务器发送数据的能力（Offline Mode）。它将只作为一个纯本地的键盘工具运行。

三、最佳分区策略：三层隔离法 (The 3-Tier Strategy)

GrapheneOS 的核心优势在于用户配置文件 (User Profiles) 的隔离。我们推荐将手机在逻辑上分为三个"平行宇宙"。

Layer 1: The Owner (管理员层)

这是开机默认进入的主用户。

定位：系统管理、完全静默。
配置建议：
- 不要安装 Google Play Services。
- 不要安装 任何第三方 App。
- 仅保留系统自带的 Vanadium 浏览器、Auditor、相机等。
作用：仅用于执行系统更新和管理其他用户。保持这个层级最纯净，可以最大程度减少攻击面。

Layer 2: Daily Driver (日常主力层)

这是你每天使用时间最长的空间。

创建方法：Settings > System > Multiple users > Add user。
配置建议：
- 打开桌面上的 Apps 应用，安装 "Google Play Services" (Sandboxed)。
- 安装 Telegram, Signal, 银行 App 等日常应用。
技术原理：在这里，Google 服务被限制在沙盒中运行，没有系统级特权，无法偷窥其他 App 的数据。

Layer 3: The "Trash" Can (隔离/毒瘤层) - 可选

用于隔离必须使用但隐私侵犯严重的 App。

使用逻辑：需要用时切换过去；用完切回 Daily Driver。
优势：切回主力层时，此层级的 App 进程会被彻底冻结 (End Session)，无法在后台跑流量或耗电。

四、硬核安全加固 (Hardening) - 最新路径修正

注意：在最新版 GrapheneOS 中，安全设置已合并至 "Security & privacy" 菜单下。

1. 物理接口防御 (USB Port Security)

防止取证设备或恶意充电桩通过 USB 接口窃取数据。

新版路径：Settings > Security & privacy > More security & privacy > USB accessories
- (注：部分版本可能显示为 USB peripherals)
推荐设置：Disallow new USB peripherals (推荐)
效果：在这个模式下，USB 接口只能充电，插入电脑没有任何反应。需要传文件时，需手动进去临时改为 "Allow"。

2. 自动重启 (Auto-reboot)

对抗"冷启动攻击"的神器。超时未解锁，手机自动重启以清除内存密钥。

新版路径：Settings > Security & privacy > More security & privacy > Auto-reboot
推荐设置：修改为 12 hours 或 4 hours（默认是 18 小时）。

3. PIN 码乱序 (Scramble PIN)

防止通过指纹痕迹推测密码。

新版路径：Settings > Security & privacy > Device unlock > (点击"屏幕锁定"旁边的⚙️齿轮图标) > Scramble PIN layout
操作：开启开关。每次解锁时数字键盘顺序都会随机打乱。

4. 网络防火墙 (Network Permission)

从根源上切断 App 的联网能力。

路径：长按 App 图标 > App info > Permissions > Network。
操作：对于输入法、图库、离线阅读器等不需要联网的 App，选择 Disallow。

结语

至此，你的 Pixel 9 已经完成了基于最新 GrapheneOS 的深度部署。

虽然新版本的菜单层级变得更深了（例如 Security & privacy 的合并），但这也带来了更统一的权限管理视图。通过 OOBE 的正确配置、User Profiles 的逻辑隔离以及 USB/网络权限的物理封锁，你现在拥有了一台真正属于你自己的设备。

Happy Flashing!

微信强制外跳浏览器方案（Nginx 实现）

Sun, 23 Nov 2025 00:00:00 GMT

微信强制外跳浏览器方案(Nginx 实现)

一、目标与效果说明

目标

在微信里点击链接时:

Android 微信: 自动调起系统默认浏览器,并在外部浏览器打开真实业务页面
iOS 微信: 弹出遮罩,用户手动点击在浏览器打开

实现方式

利用微信内置浏览器对 "附件下载(Content-Disposition: attachment)" 的处理逻辑: 当返回头声明为附件下载时,Android 微信会交给系统浏览器或外部下载器处理,该请求在外部浏览器重新发起后,Nginx 返回一段包含 JavaScript 的 HTML,在客户端进行 URL 解码并跳转。

二、整体流程概览

用户在微信中点击形如:
```
https://www.jump.com/open?url=https%3A%2F%2Fwww.baidu.com
```
说明: ?url= 后面的参数就是最终要跳转到的完整业务链接(需经过 URL 编码)。
请求打到 www.jump.com 上的 Nginx:
- User-Agent 中包含 MicroMessenger,识别为微信内置浏览器。
- Nginx 返回:
  - Content-Type: application/pdf
  - Content-Disposition: attachment; filename="open.pdf"
  - 一个伪装的 PDF 内容。
Android 微信把这个请求交给系统浏览器/外部浏览器处理,外部浏览器再次访问同一个 URL。
第二次请求中不再带 MicroMessenger User-Agent,Nginx 判断为"外部浏览器"。
- 由于 URL 参数是编码过的(如 https%3A%2F%2F...),Nginx 若直接 302 跳转会导致路径错误。
- Nginx 返回一段 HTML,内含 JavaScript 脚本。
外部浏览器执行这段 JS 脚本:
- 使用 decodeURIComponent() 还原真实 URL。
- 执行 window.location.replace() 完成跳转,打开真实业务页面。

三、前置条件

跳转域名未被微信拦截: 指 www.jump.com 这个跳转专用域名能在微信内正常打开(?url= 后面的目标业务域名无此要求)。
已有一台可以部署 Nginx 的服务器,并且:
- 可绑定跳转专用域名(如 www.jump.com)。
- 能为其配置 HTTPS 证书(Let's Encrypt / 云厂商证书均可)。
Nginx 版本支持 map、if、return 等基础指令(常见发行版默认满足)。

四、步骤 1: 准备跳转子域名

为强制外跳单独准备一个域名,例如:

https://www.jump.com

在域名 DNS 控制台中新增一条解析:

记录类型: A(或 CNAME 至负载均衡)
主机记录: www
记录值: Nginx 服务器 IP

解析生效后,访问 https://www.jump.com 应能到这台 Nginx。

五、完整OpenResty配置(openresty/1.27.1.2)

# user  nginx;
worker_processes  auto;
worker_rlimit_nofile 65535;
worker_shutdown_timeout 10s;

error_log  logs/error.log  warn;
pid        logs/nginx.pid;

events {
    worker_connections 65535;
    multi_accept on;
    use epoll;
}

http {
    include       mime.types;
    default_type  application/octet-stream;

    # -------- Gzip --------
    gzip  on;
    gzip_min_length 1k;
    gzip_comp_level 6;
    gzip_vary  on;
    gzip_disable "MSIE [1-6]\\.";
    gzip_types
        text/plain text/css
        application/javascript application/json
        application/xml text/javascript;

    sendfile        on;
    keepalive_timeout 65;
    server_tokens off;
    client_max_body_size 30m;
    client_body_timeout 300s;

    # -------- WebSocket/Keep-Alive --------
    map $http_upgrade $connection_upgrade {
        default upgrade;
        ''      "";
    }

    # -------- HTTP → HTTPS 强制跳转 --------
    server {
        listen       80;
        listen       [::]:80;
        server_name  www.jump.com;
        return 301 https://$host$request_uri;
    }

  
    # ============================================================
    # 微信跳转服务 (jump) - 使用 Lua 逻辑
    # ============================================================
    server {
        listen       443 ssl;
        listen       [::]:443 ssl;
        server_name  www.jump.com;
        
        # 开启 http2
        http2 on;

        # 证书配置
        ssl_certificate      /home/nginxcert/_.jump.com.crt;
        ssl_certificate_key  /home/nginxcert/_.jump.com.key;
        
        ssl_session_cache    shared:SSL:10m;
        ssl_session_timeout  10m;
        ssl_protocols        TLSv1.2 TLSv1.3;
        ssl_ciphers          HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;

        # --------------------------------------------------------
        # 入口逻辑：使用 Lua 处理所有逻辑 (输出更可靠)
        # --------------------------------------------------------
        location = /open {
            content_by_lua_block {
                -- 1. 获取参数和 UA
                local ua = string.lower(ngx.var.http_user_agent or "")
                -- 这里的 arg_url 会自动被 Nginx 解码 (例如 %3A 变成 :)
                -- 为了保证 JS 能正确处理，我们重新获取原始 Query String 可能更安全，
                -- 但通常 arg_url 也是可以的。为了保险，我们下面直接拼入 JS 字符串。
                local target_url = ngx.var.arg_url

                -- 2. 检查参数
                if not target_url or target_url == "" then
                    ngx.status = 400
                    ngx.say("Missing url parameter")
                    return
                end

                -- 3. 判断环境
                local is_wechat = string.find(ua, "micromessenger")
                local is_android = string.find(ua, "android")

                if is_wechat then
                    if is_android then
                        -- A. [Android 微信] -> 走伪装 PDF 强制外跳
                        -- 注意：这里需要 exec 到另一个 location 是为了利用 Nginx 的 default_type 机制
                        -- 此时 target_url 不重要了，因为跳出去后浏览器会重发请求
                        ngx.exec("/_android_handler")
                    else
                        -- B. [iOS 微信] -> 直接输出遮罩 HTML
                        ngx.header.content_type = "text/html;charset=utf-8"
                        ngx.say('<!DOCTYPE html><html><head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>请在浏览器打开</title><style>body{margin:0;padding:0;}.mask{position:fixed;top:0;left:0;width:100%;height:100%;background:rgba(0,0,0,0.85);z-index:9999;text-align:center;color:#fff;padding-top:20px;}.guide-img{width:80%;max-width:400px;margin:20px auto;border:1px dashed #666;padding:10px;border-radius:8px;background:rgba(255,255,255,0.1);}.text{font-size:18px;line-height:1.6;margin-top:20px;}</style></head><body><div class="mask"><div class="text"><p>由于微信限制，请按照以下步骤操作：</p><p>1. 点击右上角的 <span style="font-size:24px;font-weight:bold;">...</span></p><p>2. 选择 <span style="color:#4caf50;font-weight:bold;">在浏览器打开</span></p></div><div class="guide-img">Safari / 浏览器</div></div></body></html>')
                        return
                    end
                else
                    -- C. [外部浏览器] -> 直接输出 JS 跳转 HTML
                    -- 此时已经在浏览器里了，直接用 target_url 生成页面
                    ngx.header.content_type = "text/html;charset=utf-8"
                    
                    -- 构建 HTML 字符串，把 target_url 嵌入进去
                    -- 注意：encodeURIComponent 对应的解码是 decodeURIComponent
                    -- 如果 ngx.var.arg_url 已经被 nginx 解码过了(例如变成 https://...), JS 再 decode 一次也没事
                    -- 关键是防止 Lua 里的 nil 导致拼接报错（前面已检查）
                    
                    local html = '<!DOCTYPE html><html><head><meta charset="UTF-8"><title>正在跳转...</title></head><body>' ..
                                 '<script>' ..
                                 'var target = "' .. target_url .. '";' ..
                                 'if(target.indexOf("%") > -1) { target = decodeURIComponent(target); }' .. 
                                 'window.location.replace(target);' ..
                                 '</script></body></html>'
                    
                    ngx.say(html)
                    return
                end
            }
        }

        # --------------------------------------------------------
        # 内部处理块 (只保留 Android PDF 逻辑)
        # --------------------------------------------------------
        
        # [Android 处理] 伪装 PDF 强制外跳
        location = /_android_handler {
            internal;
            default_type application/pdf;
            add_header Content-Disposition 'attachment; filename="open.pdf"';
            add_header Cache-Control 'no-store, no-cache, must-revalidate, max-age=0';
            add_header Pragma 'no-cache';
            return 200 "%PDF-1.1\n1 0 obj<</Type/Catalog/Pages 2 0 R>>endobj\n2 0 obj<</Type/Pages/Kids[3 0 R]/Count 1>>endobj\n3 0 obj<</Type/Page/MediaBox[0 0 612 792]/Parent 2 0 R/Resources<<>>>>endobj\nxref\n0 4\n0000000000 65535 f\n0000000009 00000 n\n0000000058 00000 n\n0000000115 00000 n\ntrailer<</Size 4/Root 1 0 R>>\nstartxref\n190\n%%EOF";
        }
        
        # 默认首页
        location / {
            add_header Content-Type "text/html;charset=utf-8";
            return 200 "Wechat Jump Service is Running.";
        }
    }
}

大陆代理IP服务商

Wed, 19 Nov 2025 00:00:00 GMT

大陆代理IP服务商

选型核心指标

在选择代理IP服务商时,建议重点关注以下指标:

连通率: ≥ 95%,延迟毫秒级
IP质量: 一手/私有IP池优先,纯净度高
协议支持: HTTP/HTTPS/SOCKS5 + API提取/隧道转发
合规性: 企业级需实名认证
试用政策: 提供免费试用(几小时至几天)

2025年推荐服务商

1. 快代理 (Kuaidaili)

官网: https://www.kuaidaili.com

推荐指数: ★★★★★

核心产品:

隧道代理Pro(蛛网架构、智能防封)
独享代理
私密代理

主要优势:

文档和SDK最为完善
隧道技术最成熟
高并发SLA保障
提供12小时免费试用

适用场景: 企业级大规模爬虫、长期稳定项目

评价: 老牌王者,2025年仍稳居行业前三,技术实力和稳定性无可挑剔。

2. 蜻蜓代理 (Horocn Proxy)

官网: https://proxy.horocn.com

推荐指数: ★★★★★

核心产品:

动态住宅IP
隧道代理
独享/私密代理

主要优势:

覆盖200+城市
IP有效率实测92%+
新用户免费试用
性价比极高

适用场景: 全国精细化定位采集、SEO、舆情监测

评价: 2025年口碑上升最快的服务商,在知乎和CSDN多次获得五星推荐,常被评为"最佳新人"。

3. 小象代理

官网: https://www.xiaoxiangdaili.com

推荐指数: ★★★★☆

核心产品:

高速HTTP/SOCKS5代理
动态/静态住宅IP

主要优势:

可用率高
定制套餐灵活
响应速度快
首单返现+试用翻倍活动频繁

适用场景: 中大型爬虫项目、电商选品

4. 神龙HTTP (Shenlong IP)

官网: https://h.shenlongip.com 或 https://www.shenlongip.com

推荐指数: ★★★★☆

核心产品:

动态住宅IP
隧道代理
不限量套餐

主要优势:

IP池规模大
自动轮换防封能力强
企业级定制通道

适用场景: 高频采集、分布式爬虫

5. 天启代理

官网: https://www.tianqiip.com

推荐指数: ★★★★

核心产品:

静态/动态混合
精细化城市定位

主要优势:

安全性高
投诉率低
适合对IP纯净度极度敏感的业务

服务商横向对比

服务商	推荐指数	价格区间	技术门槛	核心特点	免费试用
快代理	★★★★★	中高	低	文档最全、隧道最成熟	12小时
蜻蜓代理	★★★★★	中低	中	城市覆盖最广、性价比最高	有
小象代理	★★★★☆	中	中	响应速度快、活动多	翻倍试用
神龙HTTP	★★★★☆	中	中	不限量套餐、防封强	有
天启代理	★★★★	中高	中	安全性高、定制强	有

选型建议

企业级用户

预算充足且追求稳定性的企业级用户,建议优先考虑:

快代理: 稳定性最优,技术支持完善
蜻蜓代理: 城市覆盖广,性价比高

中小团队

注重性价比的中小团队,推荐:

蜻蜓代理: 口碑佳,价格适中
小象代理: 活动多,试用友好

特殊需求

高频采集: 神龙HTTP的不限量套餐和防封机制表现优异
IP纯净度敏感: 天启代理的安全性和投诉率控制更好

重要提示

合规性要求

2025年监管趋严,所有正规大陆代理服务商均要求实名认证。代理IP服务仅限用于合法数据采集和测试,严禁用于:

翻墙访问
刷单刷量
网络攻击
其他违法行为

测试建议

不同平台的反爬机制差异巨大,建议:

先申请免费试用
使用实际业务代码进行测试
确认成功率达标后再批量采购

市场动态

代理IP行业洗牌频繁,建议在采购前:

访问官网确认最新状态
联系客服了解当前服务情况
查看最新用户评价

总结

2025年的大陆代理IP市场已经进入成熟期,头部服务商的技术和服务水平显著提升。快代理作为老牌厂商依然保持领先地位,而蜻蜓代理等新兴服务商凭借优质服务和高性价比快速崛起。

无论选择哪家服务商,都应当遵循"先试用、后采购"的原则,用实际业务场景验证服务质量,确保投入产出比最优。

Fiddler使用正则表达式替换响应内容

Wed, 19 Nov 2025 00:00:00 GMT

Fiddler使用正则表达式替换响应内容

在进行接口测试或前端调试时，我们经常需要利用代理工具（如 Fiddler、Charles、Whistle）对服务器返回的 JSON 数据进行拦截和修改。相比于简单的字符串替换，使用 正则表达式 (Regular Expressions) 能够更灵活地处理空格、换行以及上下文依赖的数据修改。

本文整理了针对特定业务场景的正则替换方案，旨在实现对 JSON 数值的精准 Mock。

一、场景一：基于上下文的数值替换

在某些复杂的 JSON 结构中，多个字段可能共用相同的 Key（例如都叫 "data"），仅能通过同级字段 "label" 来区分业务含义（如“可用余额”与“不可用余额”）。为了防止误改，我们需要匹配包含 data、dataFormatType 和 label 的完整代码块。

1. 修改“可用余额”

目标：将 label 为“可用余额(元)”的 data 值由 "0.00" 修改为 "8888.00"。

查找模式 (Match Pattern):

"data":\s*"0\.00",\s*"dataFormatType":\s*"AMOUNT",\s*"label":\s*"可用余额\(元\)"

替换内容 (Replace String):

"data": "8888.00", "dataFormatType": "AMOUNT", "label": "可用余额(元)"

2. 修改“不可用余额”

目标：将 label 为“不可用余额(元)”的 data 值由 "0.00" 修改为 "10.00"。

查找模式 (Match Pattern):

"data":\s*"0\.00",\s*"dataFormatType":\s*"AMOUNT",\s*"label":\s*"不可用余额\(元\)"

替换内容 (Replace String):

"data": "10.00", "dataFormatType": "AMOUNT", "label": "不可用余额(元)"

二、场景二：指定唯一 Key 的数值替换

针对 Key 全局唯一的字段，我们只需匹配 Key + Value 的组合即可。为了保证 JSON 格式的健壮性，替换时应保留 Key 不变。

业务字段	目标数值	查找模式 (Match Pattern)	替换内容 (Replace String)
可用总额	`100.23`	`"totalAmount":\s*"0\.00"`	`"totalAmount": "100.23"`
保证金	`122`	`"bailAmount":\s*"0\.00"`	`"bailAmount": "122"`
冻结余额	`188`	`"totalFreezeAmount":\s*"0\.00"`	`"totalFreezeAmount": "188"`

三、正则语法核心解析

在上述表达式中，使用了以下关键符号来确保匹配的兼容性和准确性：

\s* (空白字符兼容)
- 含义：匹配零个或多个空白字符（包括空格、制表符、换行符）。
- 作用：无论 JSON 是被压缩的（"key":"value"）还是被格式化的（"key": "value"），该正则均能成功命中。
\. (小数点转义)
- 含义：匹配字面意义上的点号（.）。
- 作用：在正则中 . 通常代表“任意字符”，为了精准匹配金额中的小数点（如 0.00），必须使用 \. 进行转义。
 (括号转义)
- 含义：匹配字面意义上的括号。
- 作用：小括号在正则中用于分组捕获。在匹配文本内容“可用余额(元)”时，必须对括号进行转义，即写成 $元$。
整体替换策略
- 原则：始终采用 Key + Value 的整体替换。
- 优势：直接替换数字（如仅查找 0.00）极易误伤其他字段；而包含 Key 的替换能确保数据修改的唯一性，且不会破坏 JSON 的逗号分隔符或闭合结构。

PC端网络抓包

Tue, 18 Nov 2025 00:00:00 GMT

PC端网络抓包

在逆向分析、协议调试或安全研究中，经常遇到 PC 端软件故意绕过系统代理，导致 Fiddler、Charles 等传统工具无法捕获流量。本文系统介绍从基础到高级的完整解决方案，涵盖目前最有效的抓包手段。

一、问题本质

多数顽固软件（游戏客户端、微信/QQ 桌面版、杀毒软件、金融类 App 等）会采取以下方式绕过代理：

直接调用 WinINet/WinHTTP 之外的底层 API（如 Windows Filtering Platform）
使用证书绑定（Certificate Pinning）
检测代理环境并切换直连
进程内硬编码 IP 而非域名

传统系统代理（127.0.0.1:8888）对这些软件无效。

二、2025 年推荐工具矩阵

场景	推荐工具	是否支持明文解密	成功率	备注
普通桌面应用	HttpToolkit	是	98%	首选
游戏/加密通信软件	Proxifier + Fiddler	是	95%	最稳定
腾讯/网易系客户端	Proxifier 或 HttpToolkit	是	92%
极度反代理软件	Wireshark（网卡级）	否（仅密文）	100%	兜底

三、方案一：HttpToolkit（当前最强一键方案）

官网：https://httptoolkit.com/

优势

自动 Hook 多种运行时（.NET、Java、Python、Node.js、Electron、普通EXE）
透明拦截系统级连接
一键安装 CA 证书，HTTPS 解密极稳

使用步骤

下载并安装 HttpToolkit（Windows/macOS/Linux 全支持）
打开软件，选择 “Intercept Windows apps & browsers”
点击 “Intercept” 按钮，软件自动完成证书安装和拦截服务启动
直接运行目标程序，流量自动出现在界面
支持导出为 HAR、PCAP 格式

实测可拦截：微信最新版、QQ、Steam、Epic Games Launcher、多数国产网游。

四、方案二：Proxifier 强制进程代理（经典无敌方案）

工具：Proxifier（https://www.proxifier.com/）

原理

在内核层面强制指定进程的所有 TCP/UDP 连接走指定代理，软件无法绕过。

配置步骤

安装并打开 Proxifier
Profile → Proxy Servers → Add
地址：127.0.0.1　端口：8888（Fiddler 默认）　协议：HTTPS
Proxification Rules → Add
- Name：目标软件名称
- Applications：浏览选择目标 .exe
- Action：Proxy HTTPS 127.0.0.1:8880
保存规则，启动目标程序
Fiddler 立即显示流量

进阶技巧

可同时配合 Burp Suite、mitmproxy 使用
支持通配符规则批量处理整个文件夹程序

五、方案三：Wireshark 网卡级抓包（永远的兜底）

适用场景

所有代理方案失效时，至少获取 IP、端口、SNI、数据量等关键信息。

操作流程

安装最新 Wireshark + Npcap
选择正确网卡（流量突增的那个）

过滤表达式示例：

ip.addr == 目标IP 或 tls.handshake.extensions_server_name == "domain.com"

右键 → Follow → TLS Stream 可查看部分握手信息

六、高级方案（极少数情况）

技术	适用软件	难度
Frida + SSL Pinning Bypass	证书绑定极严的金融类 App	高
x64dbg Hook WS2_32.dll	硬编码 IP 的老游戏	高
WinDivert 自写透明代理	需要完全自定义规则	极高

七、工具下载地址汇总（2025 年最新）

HttpToolkit：https://httptoolkit.com/download/
Proxifier：https://www.proxifier.com/download/
Wireshark：https://www.wireshark.org/download.html
Fiddler Classic（备用）：https://www.telerik.com/download/fiddler
mitmproxy：https://mitmproxy.org/

八、总结

2025 年抓取 PC 端顽固软件流量的最优路径：

先尝试 HttpToolkit（90% 情况一键解决）
失败则使用 Proxifier + Fiddler 强制代理
仍失败则降级到 Wireshark 网卡抓包获取关键信息

掌握以上三板斧，几乎没有抓不到的 PC 端软件流量。

2025路由器品牌排行

Sun, 16 Nov 2025 00:00:00 GMT

2025路由器品牌排行

说明：本文件只关注信号稳定性、软硬件品质、长期维护成本和口碑，刻意排除主要依靠“低价+铺货”获得市占率的品牌。

1. 企业级无线 AP / 路由器厂商

1.1 Cisco（含 Meraki 与 Catalyst 系列）

Cisco 在企业 WLAN 领域处于绝对主流地位，方案成熟、管控平台完善、调优手段丰富，适合对稳定性和可运维性要求较高的中小企业和互联网团队。

典型型号（中小企业优先）

Cisco Meraki MR46（Wi-Fi 6 室内 AP）
- 产品链接（官网）：
  - Cisco Meraki MR46 官方页面
- 无线规格
  - Wi-Fi 6（802.11ax），4×4:4 MIMO
  - 最高聚合速率约 3.0 Gbps，支持 OFDMA、MU-MIMO
- 硬件特性
  - 1× 2.5GBASE-T 上联口，支持 PoE/PoE+
  - 内置专用安全/扫描射频，便于 WIDS/WIPS 与漫游优化
- 软件与管理
  - 采用 Meraki 云管理平台，支持零接触部署、集中配置、自动固件升级
  - 支持分支 VPN、访客网络、应用可视化和策略控制
- 价格区间（仅参考）
  - 单台含授权的市场价格通常在 800–1,200 美元 区间，视授权年限、地区和合作伙伴折扣而变化。
- 适用场景
  - 10–100 人左右的互联网团队、联合办公区域、会议室等，需要可靠漫游和云端集中管理。
Cisco Catalyst 9136（Wi-Fi 6E 高端 AP）
- 产品链接（官网）：
  - Cisco Catalyst 9136 系列官方总览
  - Catalyst 9136 系列数据表
- 无线规格
  - Wi-Fi 6E，使用 2.4 GHz、5 GHz 与 6 GHz 频段
  - 多达 六个射频单元：2.4G 4×4、5G 8×8+4×4、6G 4×4，加扫描和 IoT 射频
- 硬件特性
  - 双上联以太口，支持冗余与更高带宽
  - 内置环境传感器，方便监控温湿度等环境信息
- 软件与管理
  - 支持本地控制器或 DNA Center 自动化运维
  - 适合高密度、对 SLA 要求高的办公室或数据中心边缘区域
- 价格区间
  - 面向大中型企业，单台通常在 2000 美元以上，不适合作为预算敏感型中小企业的首选。

1.2 Aruba（HPE）——Instant On 系列

Aruba 在企业 WLAN 领域同样具备很高口碑，Instant On 子品牌专门面向中小企业，易用性与管理平台相对简化，部署和维护成本较低。

典型型号：Aruba Instant On AP25

产品链接（官网）：
- HPE Networking Instant On AP25 官方商店页面
- Aruba Instant On AP25 数据表（中文 PDF）
无线规格
- Wi-Fi 6（802.11ax），4×4:4 MIMO
- 聚合无线吞吐最高约 5.3 Gbps，支持 160 MHz 频道宽度
硬件特性
- 1× 2.5 GbE 上联端口，用于释放高吞吐能力
- PoE 供电，适合吊顶或墙装
软件与管理
- Instant On 云管理：手机 App / Web Portal 统一配置、监控告警
- 支持基本访客网络、限速、VLAN、定时开关 Wi-Fi 等功能
价格区间
- 新加坡渠道常见价格约 350–400 新币/台，折合约 260–300 美元。
适用场景
- 适合 10–50 人互联网团队，小型研发办公室、工作室、轻量级开放工位。

1.3 Juniper（Mist）

Juniper Mist 将 WLAN 与云管理、AI 运维深度结合，在需要自动调优和较强可视化时优势明显。

典型型号：Juniper AP43

产品链接（官网）：
- Juniper AP43 Access Point 官方页面
无线规格
- Wi-Fi 6（802.11ax）双频/三频模式，支持 4×4:4 MIMO
硬件特性
- 1× 2.5 GbE 上联，PoE 供电
- 内置 BLE、环境传感器，用于室内定位与 IoT 场景
软件与管理
- Mist AI 云平台，具备 AP 自动调优、客户端体验评分、故障根因分析
价格区间
- 面向企业，整机加云订阅后总体成本接近 Cisco Meraki，同属高端档位。

1.4 Ruckus（CommScope）

Ruckus 长期以“抗干扰能力强、弱信号环境依然稳定”著称，适用于高密度、复杂射频环境。

典型型号：Ruckus R650

产品链接（官网）：
- Ruckus R650 官方产品页面 / 支持页面
无线规格
- Wi-Fi 6（802.11ax）2.4G + 5G，最高聚合速率约 1.8 Gbps
- 专有 BeamFlex+ 天线自适应技术，增强边缘信号与抗干扰能力
硬件特性
- 1× 2.5 GbE PoE 上联口 + 1× 1 GbE
- 支持天花板和墙面安装
软件与管理
- 可配合 Ruckus Cloud、SmartZone 控制器或单机 Unleashed 模式部署
适用场景
- 开放办公室、会议区、培训教室等对信号稳定性要求较高的场景。

1.5 Extreme Networks

Extreme 在大型园区、学校、体育场和零售网络中应用较多，其 AP 产品注重高密度与可扩展性。

典型型号：Extreme AP4000

产品链接（官网）：
- Extreme AP4000 官方产品页面
无线规格
- Wi-Fi 6E，三频（三个 2×2:2 射频），总聚合速率最高可达约 3.9 Gbps
硬件特性
- “Universal” SKU 设计，可按需选择云端或本地控制器操作系统
软件与管理
- ExtremeCloud IQ 平台，支持零接触配置、射频调优、客户端体验分析
适用场景
- 高密度办公楼层、教育和医疗环境，适合对 Wi-Fi 6E 频谱有需求的企业。

2. 高端家用 / SOHO Mesh 与路由器厂商

以下品牌更偏向高端家用和 SOHO 场景，重视“省心 + 自动化”，同时保持较好的吞吐和覆盖。

2.1 ASUS（华硕）

ASUS 兼顾极客玩法和稳定性，固件功能丰富（QoS、VPN、AiMesh、多 WAN 等），在重载家庭与技术团队中口碑较好。

Mesh：ASUS ZenWiFi Pro ET12

产品链接（官网）：
- ASUS ZenWiFi Pro ET12 官方页面
关键特性
- Wi-Fi 6E，AXE11000 三频（2.4G + 5G + 6G）
- 两只装覆盖约 500–600 平方米，支持有线/无线回程
- 双 2.5G 口，适合千兆以上宽带和多千兆内网
- 支持 AiMesh，可与其他华硕路由组成 Mesh
价格区间
- 在新加坡渠道两只装通常在 1000 新币左右上下波动。

单路由：ASUS RT-AX88U Pro

产品链接（官网）：
- ASUS RT-AX88U Pro 官方页面
关键特性
- Wi-Fi 6，AX6000 双频，4×4:4，支持 160 MHz
- 2× 2.5G 多千兆口（可作 WAN/LAN），外加 4× 千兆 LAN
- 支持 VPN 服务器、VPN 客户端、VLAN/Guest Network Pro、AiProtection 安全防护等
价格区间
- 海外常见价格约 300–350 美元，新加坡市场折合价格大致相近。
适用场景
- 作为小办公室的核心路由网关，配合若干 AP 或另外一台华硕路由组 AiMesh。

2.2 NETGEAR Orbi（高端 Mesh）

Orbi 系列定位高端 Mesh，全自动信道/功率优化和良好的移动端管理体验，适合“不想折腾”的高预算用户。

典型型号：Orbi RBKE963（Orbi 960 系列 Wi-Fi 6E）

产品链接（官网）：
- Orbi 960 RBKE963 官方页面（新加坡区域）
关键特性
- Wi-Fi 6E，四频（含独立回程频段），系统总速率标称 AXE11000 / 最高 10.8 Gbps
- 三只装覆盖最高约 600–800 平方米，可连接约 200 设备
- 支持 Orbi App 管理、自动固件更新，附带一年 NETGEAR Armor 安全订阅
价格区间
- 三只装套装在多地官方渠道价格普遍在 1500 美元级别，新加坡本地渠道常见标价在 1700 新币以上。
适用场景
- 大平层、别墅、或面积较大的开放办公空间，追求“极少维护 + 全屋高带宽”。

2.3 Amazon Eero

Eero 更强调“即插即用”和云管理，自动优化信道和拓扑，适合非专业管理员日常维护。

典型型号：Eero Pro 6E

产品链接（官网）：
- Eero Pro 6E 官方商店页面
关键特性
- Wi-Fi 6E，三频，AX5400 级别，总速率最高约 2.3 Gbps 网络速率（含有线+无线）
- 三只装覆盖最高约 6000 平方英尺（约 557 m²），支持 100+ 设备
- App 配置简单，自动固件更新
价格区间
- 官方三只装标价 549.99 美元，促销时常见 329.99 美元（美国区）。

2.4 Linksys Velop Pro 系列

Linksys 在高端家用领域历史较久，Velop Pro 6E 属于面向主流用户的 Wi-Fi 6E Mesh。

典型型号：Linksys Velop Pro 6E

产品链接（官网）：
- Linksys Velop Pro 6E 官方页面
关键特性
- Wi-Fi 6E，真三频 AXE5400，2.4G/5G/6G 三频总速率约 5.4 Gbps
- 单节点覆盖约 250–280 m²，两只装适合大部分住宅与中小办公室
- Cognitive Mesh 自动优化拓扑与信道
价格区间
- 新加坡两只装常见零售价约 600–700 新币，促销时可低至 400 多新币。

2.5 Synology（群晖）

Synology 路由产品最大的差异化在于 SRM（Synology Router Manager）系统，将 NAS 级的权限与流量管理能力引入路由器。

典型型号：Synology RT6600ax

产品链接（官网）：
- Synology RT6600ax 官方页面
关键特性
- Wi-Fi 6，三频，最高速率标称 6600 Mbps
- 支持新的 5.9 GHz 频段，获得更干净的 80/160 MHz 信道
- 1× 2.5G 端口 + 多个千兆端口，可按需配置为 WAN 或 LAN
- SRM 提供多 WAN、细粒度 QoS、应用级防火墙、VPN Plus、多个独立网络与 VLAN 等能力
价格区间
- 海外和新加坡常见价格约 280–320 美元 / 350–430 新币。

3. 面向 10–50 人互联网团队的推荐组合（有线 + Wi-Fi + VPN）

结合前述厂商与型号，并考虑以下需求：

同时支持 网线接入 + 高质量 Wi-Fi
支持 VPN 账号访问公司内网
追求 稳定、省心、问题和严重漏洞少
规模约 十几人到几十人的互联网团队

可参考以下两类方案（只保留质量优先品牌）：

3.1 “企业 AP + 网关” 方案（更偏企业级）

适合： 办公区固定、对稳定性和远程运维要求较高，有一定网络预算的团队。

核心网关 / 路由
- 使用具备 VPN、VLAN、多 WAN 的企业路由或安全网关（可选同厂商网关或独立品牌的防火墙设备）。
无线层
- 小型办公室（例如 200–300 m²）：
  - 部署 2–3 台 Aruba Instant On AP25 或 Cisco Meraki MR46，统一接入 PoE 交换机，采用控制器或云管平台集中管理。
- 更大面积或高密度场景：
  - 使用 Ruckus R650、Extreme AP4000 等高密度 AP，根据现场勘测规划。
VPN 能力
- 由核心路由/防火墙提供 SSL/IPsec/L2TP 等 VPN，开发和运维人员通过账号远程接入。

特点：

Wi-Fi 由专业 AP 负责，漫游与干扰控制效果较好；
有清晰的“网关 / 交换 / AP”分层结构，后期扩容和迁移灵活；
前期选型和部署需要一定网络经验，但日常维护较省心。

3.2 “高端路由 + Mesh” 方案（更偏 SOHO 与轻量企业）

适合： 租赁办公、平面结构简单，对“即插即用、省心”要求更高的团队。

核心路由
- 使用 ASUS RT-AX88U Pro 或 Synology RT6600ax 作为总出口路由：
  - 负责 PPPoE / DHCP、NAT、防火墙、VPN 账号（例如 OpenVPN、IPsec 或 Synology VPN Plus）等。
无线覆盖
- 小面积办公室：单台 RT-AX88U Pro / RT6600ax 即可覆盖；
- 面积偏大或有多间房间：
  - 再加一台 ASUS 路由或一台 ZenWiFi Pro ET12 节点，组成 AiMesh 或 Mesh 系统；
Mesh 纯家用取向
- 若更倾向 App 一键化、几乎不调参：可选择 NETGEAR Orbi RBKE963、Eero Pro 6E 或 Linksys Velop Pro 6E，由 Mesh 系统自身提供大部分无线和基础路由功能，同时在 VPN 需求简单时启用其内置 VPN 或在云侧通过零信任/远程桌面解决。

特点：

部署简单，绝大部分配置通过向导与 App 即可完成；
对网络经验要求较低，更适合“小而精”的团队；
当成员增加或搬迁办公室时，Mesh 节点可灵活增减或重新布局。

4. 总结

在 企业 AP/路由 领域，更推荐优先考虑 Cisco、Aruba（HPE）、Juniper Mist、Ruckus、Extreme Networks 等长期深耕企业市场、产品线成熟且有良好口碑的厂商。
在 高端家用 / SOHO 领域，综合稳定性、易用性和可玩性，可优先考虑 ASUS、NETGEAR Orbi、Amazon Eero、Linksys Velop、Synology。
对于 10–50 人互联网团队，可根据预算和可运维能力，在“企业 AP+网关”与“高端路由+Mesh”两类方案中选择其一，并以文中列出的典型型号为优先参考，结合办公室面积、墙体结构和接入设备数量进行具体容量规划。

一加 5T 刷入 KernelSU 手机系统

Sun, 16 Nov 2025 00:00:00 GMT

一加 5T 刷入 KernelSU 手机系统

机型: OnePlus 5T (代号 dumpling)
目标系统: Android 13 · PixelExperience Plus 非官方版
Root 方案: KernelSU (boot-ksu_11553.img)
操作环境: Windows 11 x64

⚠️ 风险说明

请务必仔细阅读以下内容再进行操作:

解锁 Bootloader 会强制清除所有数据 - 手机内的应用、照片、文件、聊天记录将全部清空
刷机风险 - 可能导致变砖、信号异常、相机异常等问题,所有操作风险自负
文件来源 - 所有文件必须使用官方或维护者提供的下载地址(Google / TWRP 官方 / SourceForge / KernelSU 官方等)

📦 准备文件与下载地址

1. Android SDK Platform-Tools (ADB/Fastboot)

用于执行 adb 和 fastboot 命令。

官方下载页: https://developer.android.com/tools/releases/platform-tools
说明: 下载 Windows 版本的 ZIP 压缩包(64位系统通用)

💡 约定: 本教程假设将 Platform-Tools 解压到 C:\platform-tools,所有命令在 PowerShell 中执行

2. PixelExperience Plus 13 ROM

非官方维护版本,托管在 SourceForge。

项目主页: https://sourceforge.net/projects/oneplus5t-dumpling/
ROM 路径: Files → PixelExperience → 13 → 2023-11-24 (Final)
文件名: PixelExperience_Plus_dumpling-13.0-20231124-1007-UNOFFICIAL.zip

下载后保持原文件名,放到 C:\platform-tools 目录。

3. TWRP Recovery

TWRP 官方为一加 5T 提供的恢复镜像。

下载页: https://dl.twrp.me/dumpling/twrp-3.5.1_9-0-dumpling.img.html
文件名: twrp-3.5.1_9-0-dumpling.img

下载后放到 C:\platform-tools 目录。

4. KernelSU 内核

适配 msm8998 平台(OnePlus 5/5T)的 KernelSU 内核。

项目主页: https://sourceforge.net/projects/oneplus-msms8998-kernelsu/
文件名: boot-ksu_11553.img (位于 Released/2024-02-24/ 目录)

下载后放到 C:\platform-tools 目录。

5. KernelSU Manager APK

用于在系统中管理 root 权限的应用。

官方网站: https://kernelsu.org/
GitHub Releases: https://github.com/tiann/KernelSU/releases

下载最新版本的 Manager APK,刷机完成后安装。

🔧 Windows 11 环境准备

解压 Platform-Tools

将下载的 platform-tools-*.zip 解压到 C:\platform-tools
确保目录下包含 adb.exe 和 fastboot.exe

测试工具可用性

打开 PowerShell(普通用户权限即可,无需管理员)
执行以下命令:

cd C:\platform-tools
.\adb.exe version
.\fastboot.exe --version

如果能看到版本信息,说明工具配置成功。

📱 手机端准备

数据备份

解锁 Bootloader 会清空所有数据,务必提前备份:

照片/视频 → 复制到电脑或云盘
通讯录/短信 → 同步到 Google/一加账号或导出
聊天记录 → 按各应用官方教程备份(如微信)

开启开发者选项

进入 设置 → 关于手机
连续点击 版本号 7次,直到提示"已处于开发者模式"
返回 设置 → 系统 → 开发者选项:
- 开启 OEM 解锁
- 开启 USB 调试

🔓 解锁 Bootloader

⚠️ 此操作会清空手机所有数据

进入 Fastboot 模式

使用可靠的数据线连接手机与电脑
在 PowerShell 中执行:

cd C:\platform-tools
.\adb.exe devices

首次连接会在手机上弹出 USB 调试授权提示,勾选"始终允许"并确认
确认电脑识别设备后,执行:

.\adb.exe reboot bootloader

手机将进入 FASTBOOT MODE 界面。

执行解锁

确认 Fastboot 连接:

.\fastboot.exe devices

执行解锁命令:

.\fastboot.exe oem unlock

手机屏幕会显示解锁警告,使用音量键选择"解锁/Yes",按电源键确认
设备会清空数据并自动重启(首次开机时间较长属正常现象)

💾 刷入 TWRP Recovery

重新开启 USB 调试

解锁后系统恢复出厂设置,需要重新配置:

再次开启开发者选项(连续点击版本号 7次)
开启 USB 调试(OEM 解锁通常保持开启状态)

进入 Fastboot 并刷入 TWRP

重启到 Bootloader:

cd C:\platform-tools
.\adb.exe reboot bootloader

刷入并立即引导进入 TWRP(防止被系统覆盖):

.\fastboot.exe devices
.\fastboot.exe flash recovery twrp-3.5.1_9-0-dumpling.img
.\fastboot.exe boot twrp-3.5.1_9-0-dumpling.img

进入 TWRP 后,如果出现"Keep Read Only"提示,向右滑动允许修改

🔄 在 TWRP 中刷入系统

(可选) 备份当前分区

建议在刷机前备份,方便后续回滚:

在 TWRP 主界面点击 Backup
勾选 Boot、System、Vendor(如有)、Data
选择保存位置(内置存储或 OTG U盘)
向右滑动开始备份

三清数据

点击 Wipe → Advanced Wipe
勾选以下分区:
- Dalvik / ART Cache
- System
- Data
- Cache
向右滑动执行清除

⚠️ 不要勾选 Internal Storage,否则待会推送的 ROM 包也会被删除

💡 如果从其它第三方 ROM 刷入,想彻底清理,可以再执行 Format Data(需输入 yes 确认)

推送 ROM 到手机

保持手机在 TWRP 界面,通过 USB 连接电脑:

cd C:\platform-tools
.\adb.exe push PixelExperience_Plus_dumpling-13.0-20231124-1007-UNOFFICIAL.zip /sdcard/

传输完成后,在 TWRP 的 Install 界面浏览 /sdcard/ 即可看到该文件。

刷入 ROM

TWRP 主界面 → Install
浏览到 /sdcard/
选择 PixelExperience_Plus_dumpling-13.0-20231124-1007-UNOFFICIAL.zip
向右滑动确认刷入,等待完成

⚠️ 刷完后不要直接点击 Reboot System,还需要刷入 KernelSU 内核

🔐 刷入 KernelSU 内核

重启到 Fastboot

在 TWRP 中选择 Reboot → Bootloader,手机进入 Fastboot 模式。

刷入 KernelSU Boot 镜像

在 PowerShell 中执行:

cd C:\platform-tools
.\fastboot.exe devices
.\fastboot.exe flash boot boot-ksu_11553.img

刷入完成后,重启系统:

.\fastboot.exe reboot

手机将启动进入 PixelExperience Plus 13,首次开机可能需要 3-5 分钟。

✅ 首次开机与配置

系统功能检查

完成 Android 初始化向导后,检查以下功能:

电话 / 短信 / 移动数据
Wi-Fi / 蓝牙 / NFC(如有)
相机 / 指纹 / 扬声器 / 麦克风

确保基本功能正常。

安装并验证 KernelSU Manager

将下载好的 KernelSU Manager APK 传输到手机,或在手机浏览器访问:
https://github.com/tiann/KernelSU/releases
在系统中安装该 APK
打开 KernelSU Manager,检查首页状态:
- 应显示当前内核已启用 KernelSU
- 无"Unsupported"或"未支持"等错误提示
在「应用管理」中可为需要 root 的应用授予权限

🔍 常见问题排查

卡在开机动画 / 反复重启

可能原因:

三清不彻底,旧系统残留
ROM 包下载损坏
刷错机型(不是 dumpling)
KernelSU 内核与 ROM 不匹配

解决方法:

按 电源键 + 音量下 重新进入 TWRP
再次执行 Advanced Wipe (System/Data/Cache/Dalvik)
重新 adb push ROM 并刷入
再次刷入 boot-ksu_11553.img,然后重启

如仍无效,可尝试刷回备份或官方 ROM。

进不去 TWRP / Recovery 被还原

原因: 刷入 TWRP 后直接启动到系统,OxygenOS 自动还原了官方 Recovery。

解决方法:

再次进入 Fastboot:

cd C:\platform-tools
.\adb.exe reboot bootloader

重新刷入 TWRP 并立即引导:

.\fastboot.exe flash recovery twrp-3.5.1_9-0-dumpling.img
.\fastboot.exe boot twrp-3.5.1_9-0-dumpling.img

之后所有刷机操作都在 TWRP 内完成,不要回到系统

KernelSU Manager 显示未安装 / 不支持

检查要点:

确认刷入的是 boot-ksu_11553.img,来源为前文提到的 SourceForge 项目
确认刷机顺序:
- 先刷 PixelExperience ROM
- 再刷 boot-ksu_11553.img
尝试重新刷入内核:

cd C:\platform-tools
.\fastboot.exe flash boot boot-ksu_11553.img
.\fastboot.exe reboot

确保安装的是 KernelSU 官方 Releases 中的 Manager APK

📋 常用命令速查

# 进入工具目录
cd C:\platform-tools

# 查看 ADB 连接状态
.\adb.exe devices

# 重启到 Fastboot/Bootloader
.\adb.exe reboot bootloader

# 查看 Fastboot 连接状态
.\fastboot.exe devices

# 解锁 Bootloader (会清空数据)
.\fastboot.exe oem unlock

# 刷入 TWRP Recovery
.\fastboot.exe flash recovery twrp-3.5.1_9-0-dumpling.img

# 从 TWRP 镜像引导启动
.\fastboot.exe boot twrp-3.5.1_9-0-dumpling.img

# 推送 ROM 到手机 (在 TWRP 中)
.\adb.exe push PixelExperience_Plus_dumpling-13.0-20231124-1007-UNOFFICIAL.zip /sdcard/

# 刷入 KernelSU 内核
.\fastboot.exe flash boot boot-ksu_11553.img

# 重启系统
.\fastboot.exe reboot

🔗 官方下载地址汇总

资源	下载地址
Android SDK Platform-Tools	https://developer.android.com/tools/releases/platform-tools
PixelExperience Plus 13	https://sourceforge.net/projects/oneplus5t-dumpling/
TWRP 3.5.1_9-0	https://dl.twrp.me/dumpling/twrp-3.5.1_9-0-dumpling.img.html
KernelSU 内核	https://sourceforge.net/projects/oneplus-msms8998-kernelsu/
KernelSU 官网	https://kernelsu.org/
KernelSU Manager APK	https://github.com/tiann/KernelSU/releases

2025 年底 Spring Boot 技术选型

Sat, 15 Nov 2025 00:00:00 GMT

2025 年底 Spring Boot 技术选型

一、推荐版本组合总览

这一段可以直接复制到你项目的 README / 技术选型说明里。

组件/层级	推荐版本（大版本 + 示例小版本）	说明
JDK	Java 21 LTS（例：Eclipse Temurin 21.x）	Java 21 是 2023-09 发布的 LTS 版本，主流厂商会长期支持。
Spring Boot	3.5.x（例：3.5.7）	3.5.7 已正式 GA，包含大量 bugfix 与依赖升级；系统要求：Java ≥17，兼容至 Java 25，Maven ≥3.6.3。
Maven	3.9.x（例：3.9.11）	Maven 官方当前维护的 GA 主线，Spring Boot 官方要求 Maven ≥3.6.3，3.9.11 属于最新稳定版本之一。
MyBatis-Plus	3.5.x（例：`mybatis-plus-spring-boot3-starter 3.5.14`）	MvnRepository 显示 3.5.14 为最新正式版，官方文档也说明 3.5.9+ 做过插件拆分与完善，适配 Spring Boot 3 成熟。
Redis 服务端	Redis 7.2.x / 7.4.x 或官方最新稳定版	Redis 官网推荐通过 `redis-stable` 获取最新稳定分支；2025 年 Redis 8.2.2 修复了严重的 Lua RCE 漏洞，没法及时升级时要禁用 EVAL/EVALSHA。
Spring Data Redis	随 Spring Boot 3.5.x 自带版本（Spring Data 2025.0.x 系列）	Spring Data 2025.0 是 3.5 系列默认绑定的 release train，官方定位为 Spring Data 3.5。
Elasticsearch	8.18.x（例：8.18.8）	Spring Data Elasticsearch 版本矩阵给出：Spring Data ES 5.5.x ↔ Elasticsearch 8.18.8，并包含安全修复。
Spring Data Elasticsearch	随 Spring Boot 3.5.x 自带的 5.5.x	已在 Spring Data 2025.0 中指定，对 ES 8.18.x 做了官方适配。
RocketMQ 服务端	5.3.x（例：5.3.2）	官方已发布 5.3.x，多轮修复并增强 POP/定时消息等；适合新项目直接上 5.x 线。
RocketMQ Spring Boot 客户端	`rocketmq-v5-client-spring-boot-starter` 2.3.x（例：2.3.4）	这是专为 RocketMQ 5.x 的 Spring Boot Starter，2.3.4 为最新稳定小版本。
Docker Engine（服务器端）	采用发行版仓库中的 27.x / 28.x 稳定版，避免立刻全线上 29.0	29.0.0 刚发布，官方文档和社区反馈都提醒要注意 API 变更，建议生产环境先固定在已验证的 27/28 线，再评估升级。
Docker Desktop（开发机）	≥4.44.3，推荐 4.50+	4.44.3 修复了严重的 SSRF 高危漏洞（CVE-2025-9074），4.50 在此基础上又带来调试和安全增强。
OpenResty（Nginx + Lua 网关）	1.27.1.x（例：1.27.1.2）	OpenResty 官网和 GitHub releases 显示 1.27.1.2 为最新稳定版本之一，官方 Docker 镜像也已提供对应标签。

实际落地时：固定“主版本线”，小版本尽量跟到该线最新的补丁版，例如 Spring Boot 3.5.* / ES 8.18.* / Redis 7.2.*，既吃到安全补丁，又不频繁换大版本。

二、兼容性核心思路

1. JDK 21 LTS + Spring Boot 3.5.x

JDK 21 是 2023-09 发布的 LTS 版本，官方说明它是 Java SE 21 的参考实现，绝大多数发行商都会长期提供支持。
Spring Boot 3.5.7 的系统要求里明确：最低 Java 17，兼容到 Java 25，并支持 Maven ≥3.6.3。

结论：以 Java 21 + Spring Boot 3.5.x 为后端基线，既能用上现代语言特性，又在官方支持窗口内，版本关系非常干净。

2. Spring Boot 3.5.x 自带的 Spring Data 家族

Spring 官方博客说明：Spring Data 2025.0.0 是 Spring Data 3.5 的 release train，而 Spring Boot 3.5 会默认升级到 2025.0.x，后续还有 2025.0.4、2025.0.6 等服务小版本。

在 Spring Data Elasticsearch 的版本矩阵中可以看到这一行：

Spring Data Release Train 2025.0
Spring Data Elasticsearch 5.5.x
对应 Elasticsearch 8.18.8
使用 Spring Framework 6.2.x

所以，只要你：

项目整体基于 Spring Boot 3.5.x；
不手动覆盖 spring-data-* 的版本（用 Boot 的 BOM 管理）；

那 Redis / Elasticsearch / 其他 Spring Data 组件之间的版本兼容基本由官方帮你兜底。

3. Redis：选择“稳定 + 打完补丁”的版本

Redis 官网一贯的建议是：通过 redis-stable 获取最新稳定版。
2025 年曝光的 CVE-2025-49844（RediShell）影响了所有带 Lua 的版本，修复出现在 Redis 8.2.2，安全公告建议无法立即升级时通过 ACL 禁用 EVAL / EVALSHA。

实践上可以这么选：

保守稳妥：
- 选发行版仓库中维护的 Redis 7.2.x / 7.4.x，确认已经 back-port 了 CVE-2025-49844 的补丁。
追新且可控：
- 直接使用官方二进制的 8.2.2+ 版本，并配合严格的 ACL + 不对公网暴露。

Spring 侧：

Spring Data Redis 的版本跟着 Spring Boot 3.5.x 自动走 Spring Data 2025.0.x，即 3.5/4.0 这一代，对 Redis 6/7 已经适配成熟。

4. Elasticsearch 8.18.x + Spring Data Elasticsearch 5.5.x

Spring Data ES 版本矩阵给出官方配对关系：Spring Data ES 5.5.x 就是为 Elasticsearch 8.18.8 做的适配。

而 Spring Boot 3.5 绑定的 Spring Data 2025.0.x 正是包含 ES 5.5.x 的 release train。

因此：项目只要用了 Spring Boot 3.5.x，spring-boot-starter-data-elasticsearch 不写 version，ES 服务器跑 8.18.x，就是官方推荐的一整套组合。

5. RocketMQ 5.3.x + `rocketmq-v5-client-spring-boot-starter` 2.3.x

RocketMQ 官方在 2024–2025 年连续发了 5.2.0、5.3.0、5.3.2 等版本，Release Notes 中强调对 POP 消费、定时消息、存储等做了大幅改进和修复。
RocketMQ Spring 侧则在 2.3.x 线持续维护，2024-07 发布了 2.3.1，适配 Spring Boot 3.x。
新的 rocketmq-v5-client-spring-boot-starter 则专门为 5.x 客户端设计，Maven 中 2.3.4 为当前最新版。

新项目没有历史负担时，推荐：
RocketMQ 5.3.x + rocketmq-v5-client-spring-boot-starter:2.3.4，直接拥抱 5.x 的特性与生态。

6. MyBatis-Plus 3.5.x

mybatis-plus-spring-boot3-starter 当前最新版本为 3.5.14。
官方文档提到从 3.5.9+ 开始对插件部分做了拆分，配套 BOM，更利于在 Spring Boot 3 项目中精细选择插件。

简单说：只要用 Boot 3，就直接上 MyBatis-Plus 3.5.x 的 Boot3 Starter，填一个最新小版本就行，几乎没啥版本坑。

7. Docker：服务器端稳一点，开发机跟新一点

Docker Engine 29.0.0 刚发布，官方说明这是“最新变更”的一大版本；同时社区反馈提到其 API 版本变化会让某些依赖 Docker API 的工具（如 Traefik、Portainer 等）不兼容，需要谨慎升级。
针对 Docker Desktop，2025 年曝出过一个 Windows / macOS 高危 SSRF 漏洞（CVE-2025-9074），Docker 在 4.44.3 中修复；此后 4.50 又在调试体验和安全控制上做了增强。

推荐策略：

服务器端（测试 / 生产）：
- 优先使用 Linux 发行版仓库中维护的 Docker Engine 27.x / 28.x 稳定版，或厂商提供的企业版；
- 不要盲目跟 latest 或刚出的 29.x，先在预发环境评估兼容性。
开发机（Windows / macOS）：
- Docker Desktop 一律升级到 ≥4.44.3，推荐直接用 4.50+ 版本；
- 避免长期停在已知有高危漏洞的旧版本。

8. OpenResty 1.27.1.x：作为 Spring Boot 单体的前置网关

8.1 版本选择

OpenResty 官网公告显示 1.27.1.2 为最新发布版本之一，很接近 Nginx 主线，并整合 LuaJIT 等组件。
官方 Docker 镜像 openresty/openresty 已同步提供对应标签，并建议 固定到具体 tag，而不是长期使用 latest。

推荐：

裸机 / VM：安装 OpenResty 1.27.1.2；

Docker：使用 openresty/openresty:1.27.1.2-*-bookworm 等明确 tag。

8.2 为什么单体项目也值得加 OpenResty？

即使是单体 Spring Boot 项目，还是建议用 OpenResty 做一个轻量前置层：

TLS / HTTP/2 / 证书管理
- 把 HTTPS 终止在 OpenResty，后端 Spring Boot 只跑 HTTP，证书自动续期走 acme.sh / certbot 即可。
静态资源与缓存
- 静态文件（前端静态页、文档、文件下载）直接由 OpenResty 提供，减轻 Java 进程压力。
反向代理 & 路由
- 方便后续逐步拆分模块 / 灰度发布，不用改客户端地址。
Lua 扩展能力
- 可以在网关层做简单限流、埋点、灰度控制，而不必在 Java 里重复造轮子。

8.3 典型反向代理配置示例

假设 Spring Boot 在容器中监听 8080，OpenResty 对外暴露 80/443：

# nginx.conf 中的简化示例
worker_processes auto;
events {
    worker_connections  1024;
}

http {
    # 基础优化略…

    upstream app_backend {
        server app:8080;  # docker-compose 里的 springboot 服务名
    }

    server {
        listen 80;
        server_name example.com;

        # 生产环境建议强制跳转 HTTPS
        return 301 https://$host$request_uri;
    }

    server {
        listen 443 ssl http2;
        server_name example.com;

        ssl_certificate     /etc/ssl/certs/fullchain.pem;
        ssl_certificate_key /etc/ssl/private/privkey.pem;

        location / {
            proxy_pass http://app_backend;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
        }

        # 静态资源可以单独 location，直接由 OpenResty 提供
        location /static/ {
            root /var/www;
        }
    }
}

这种架构里，OpenResty 与 Spring Boot 之间只是 HTTP 协议，对版本兼容基本无压力，只要：

OpenResty 选用 1.27.1.x 稳定线；
Docker / 操作系统层保持定期安全更新即可。

三、推荐项目骨架（带版本约束的 `pom.xml` 片段）

以 Java 21 + Spring Boot 3.5.7 为例，后端技术栈骨架可以写成这样：

<project>
    <modelVersion>4.0.0</modelVersion>

    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>3.5.7</version>
        <relativePath/>
    </parent>

    <groupId>com.example</groupId>
    <artifactId>demo-monolith</artifactId>
    <version>1.0.0</version>
    <name>demo-monolith</name>

    <properties>
        <java.version>21</java.version>

        <!-- 非 Spring 官方管理的三方库，单独声明版本 -->
        <mybatis-plus.version>3.5.14</mybatis-plus.version>
        <rocketmq.v5.spring.version>2.3.4</rocketmq.v5.spring.version>
    </properties>

    <dependencies>
        <!-- Web 基础 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <!-- Redis（版本由 Spring Boot & Spring Data 管理） -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>

        <!-- Elasticsearch（同样走 Boot 的 BOM 管理） -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-elasticsearch</artifactId>
        </dependency>

        <!-- RocketMQ 5.x Spring Boot Starter -->
        <dependency>
            <groupId>org.apache.rocketmq</groupId>
            <artifactId>rocketmq-v5-client-spring-boot-starter</artifactId>
            <version>${rocketmq.v5.spring.version}</version>
        </dependency>

        <!-- MyBatis-Plus for Spring Boot 3 -->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-spring-boot3-starter</artifactId>
            <version>${mybatis-plus.version}</version>
        </dependency>

        <!-- 其他如数据库驱动、验证、日志按需添加 -->
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>
</project>

四、简单的 Docker / OpenResty 编排示例

version: "3.8"

services:
  app:
    image: your-registry/your-app:1.0.0
    container_name: demo-app
    environment:
      - JAVA_OPTS=-Xms512m -Xmx512m
    ports:
      - "8080:8080"
    depends_on:
      - redis
      - es
      - rocketmq

  redis:
    image: redis:7.2
    container_name: redis
    command: ["redis-server", "--appendonly", "yes"]
    ports:
      - "6379:6379"
    volumes:
      - ./data/redis:/data
    restart: always

  es:
    image: docker.elastic.co/elasticsearch/elasticsearch:8.18.8
    container_name: es
    environment:
      - discovery.type=single-node
      - ES_JAVA_OPTS=-Xms1g -Xmx1g
    ports:
      - "9200:9200"
    volumes:
      - ./data/es:/usr/share/elasticsearch/data
    restart: always

  rocketmq:
    image: apache/rocketmq:5.3.2
    container_name: rocketmq
    # 这里仅作示意，生产通常会拆成 namesrv / broker 多容器
    ports:
      - "9876:9876"
    restart: always

  openresty:
    image: openresty/openresty:1.27.1.2-0-bookworm
    container_name: openresty
    ports:
      - "80:80"
      - "443:443"
    volumes:
      - ./conf/nginx.conf:/usr/local/openresty/nginx/conf/nginx.conf:ro
      - ./certs:/etc/ssl:ro
      - ./www:/var/www:ro
    depends_on:
      - app
    restart: always

五、落地时的几个“小经验”

统一用 BOM 管理版本
- Spring Boot / Spring Cloud / 公司自建 BOM 负责锁住主版本，业务模块只管写 starter 名字；
- 对 Redis / ES / RocketMQ 这种“外部服务”，在 ops 层统一选版本。
固定主版本线，不追最新大版本
- 例如：Boot 固定 3.5.x、ES 固定 8.18.x、Redis 固定 7.2.x/7.4.x、OpenResty 固定 1.27.1.x；
- 小版本可以靠 Renovate、Dependabot 定期发 PR，CI 过了再合并。
安全优先
- 关注 Redis / Docker Desktop 这类基础组件的安全公告（CVE-2025-49844、CVE-2025-9074 等），尽量跑在含补丁的小版本上。
OpenResty 与 Spring Boot 解耦
- 网关层永远只感知 HTTP/HTTPS，后端升级 Spring / JDK 都无需动 OpenResty 配置；
- 只要遵守约定的路由前缀 / 健康检查接口，就能做到“网关稳定、后端可滚动升级”。

六、总结：一套“比较不折腾”的组合

如果你 2025 年下半年要启动一个新的 Spring Boot 单体项目，可以考虑直接采用：

JDK： Java 21 LTS
Spring Boot： 3.5.x（例：3.5.7）
持久层： MyBatis-Plus 3.5.x + 任意常见数据库
缓存： Redis 7.2.x / 7.4.x（或官方最新稳定版，确保打了 8.2.2 漏洞补丁）
搜索： Elasticsearch 8.18.x + Spring Data ES 5.5.x（由 Boot 管理）
消息队列： RocketMQ 5.3.x + rocketmq-v5-client-spring-boot-starter:2.3.4
构建： Maven 3.9.x
容器化： Docker Engine 27/28 稳定线 + Docker Desktop ≥4.44.3（推荐 4.50+）
前置网关： OpenResty 1.27.1.x（例：1.27.1.2），反向代理到 Spring Boot

顶级数据擦除软件推荐

Sat, 15 Nov 2025 00:00:00 GMT

顶级数据擦除软件推荐

在处理旧手机、电脑或企业 IT 资产时，“删除”或“恢复出厂设置”往往远远不够。为了防止敏感数据被恢复，需要使用 专业的数据擦除软件，按国际标准对数据进行多次覆盖，并生成可审计的擦除报告。

本文精选了：

✅ 适合个人用户直接下载使用的软件
✅ 在全球范围内广泛应用的企业／专业级数据擦除解决方案

并且尽量使用 “业内领先 / 顶级方案之一” 这样的表述，避免夸张的“世界第一”“唯一标准”等说法，更符合专业读者的期待。

一、适合个人用户的顶级数据擦除软件

1. iShredder（多平台，个人首选）

官网：https://www.protectstar.com/en/products/ishredder
支持平台：Android、iOS、Windows、macOS 等
适用人群：普通个人用户、小团队、自由职业者

核心特点：

🔐 多种国际擦除算法 支持包括 DoD 5220.22-M、NIST 等在内的多种国际数据擦除标准，可选择不同覆盖次数和算法强度。
📄 生成擦除报告 完成擦除后，可生成包含时间、设备、数据区域等信息的报告，方便留存和审计。
📱 移动端体验成熟 在 Google Play 等平台有 Android 版本，长期维护更新，操作界面对普通用户比较友好。
🧩 多种使用场景
- 出售或转赠手机前，彻底擦除个人数据
- 清理旧电脑、外接硬盘、U 盘中的敏感文件
- 处理家庭／小型工作室的设备更新、报废

推荐理由：

iShredder 是面向个人与小企业用户、支持多平台的 业内领先数据擦除工具之一。如果你只是想为自己和家人安全处理旧设备、又不想研究复杂的企业级系统，那么用 iShredder 基本就够了。

二、全球范围内广泛使用的企业／专业级数据擦除解决方案

这类产品主要面向：

手机／电子产品回收企业
大型企业的 IT 部门
金融机构、政府机关
专业的 ITAD（IT Asset Disposition，IT 资产处置）服务商

它们的特点是：

支持 批量设备 同时擦除
严格遵循多国法规和行业标准
生成不可篡改的擦除证书，便于审计和合规检查

1. Blancco Mobile Device Eraser

官网：https://www.blancco.com/
定位：全球领先的数据擦除与 IT 资产处置解决方案供应商之一
主要用途：大批量移动设备（手机、平板等）的安全擦除和处置

核心特点：

📱 支持多种移动设备与系统 支持 iOS、Android 等多种移动平台，以及企业资产中常见的多品牌设备。
🧱 多种国际擦除标准 Blancco 整体解决方案支持 二十多种国际数据擦除标准和指南，包括 NIST、DoD 等，用于满足不同国家与行业的合规要求。
🧾 审计级报告与证书 每台设备擦除后都会生成详细的擦除报告／证书，可与企业内部审计系统对接。
🏭 专为大规模作业设计 可以同时连接和处理多台设备，非常适合回收工厂、运营商、租赁公司等一批批处理设备的场景。

适用场景示例：

大型手机回收／以旧换新项目
企业退役员工手机统一擦除
二手设备批量翻新与再销售

对普通个人用户来说，Blancco 的流程和价格更偏向企业级。如果你只是偶尔处理 1–2 台设备，不必强行上这个档位。

2. BitRaser Mobile Eraser & Diagnostics

官网：https://www.bitraser.com/bitraser-mobile-eraser-and-diagnostics.php
定位：面向专业用户和 ITAD 服务商的 移动设备擦除 + 诊断一体化方案
主要用途：在设备回收、再销售前，同时完成 数据彻底擦除 + 硬件诊断

核心特点：

🔄 擦除 + 诊断一体化 在对手机进行安全擦除的同时，自动执行多项硬件诊断测试（屏幕、摄像头、电池、传感器等），帮助评估设备状况和残值。
🔐 支持多种国际擦除标准 支持包括 NIST 800-88、DoD 等在内的多种国际擦除标准，覆盖多种合规场景。
📑 防篡改审计报告 生成包含设备唯一标识（如 IMEI）、擦除结果、诊断情况等在内的详细报告，用于内部审计或提供给下游合作方。
🧩 适合流程化、规模化运作 方便集成进企业或回收商的现有 IT 系统中，与条码、库存管理、财务系统打通。

适用场景示例：

手机／平板回收企业：一边擦除数据，一边测试硬件好坏并出具报告
大型企业统一回收员工手机与平板
专业翻新卖家：为每台设备配套标准化检测与擦除报告

BitRaser 的产品在官网上也会强调“易用”“DIY”，但从授权方式、功能深度和典型客户来看，整体仍然 更偏企业与专业机构。个人用户如果只是偶尔用一次，性价比不如 iShredder 等个人向软件。

三、如何在博客里帮助读者快速选型？

你可以在文末用一段简单的决策提示，帮助读者一眼看懂“我该选哪一类”：

1. 如果你是普通个人用户

典型场景：
- 出售或送人一两台旧手机
- 处理自己或家人的旧电脑、U 盘、移动硬盘
建议：
- 首选：iShredder
- 原因：安装方便、界面友好、算法足够强、价格和使用门槛适合个人。

2. 如果你负责企业 IT 或回收业务

典型场景：
- 公司每年要处置上百上千台手机／电脑
- 需要遵守金融、医疗、政府等行业的合规要求
- 需要给审计、监管或合作伙伴出具标准化报告
建议：
- 优先考虑 Blancco Mobile Device Eraser 或 BitRaser Mobile Eraser & Diagnostics
- 视你的 IT 资产类型（是否还有服务器、存储）、合规要求、预算等情况进行进一步对比与 PoC 测试。

抖音信息流投放：自研落地页域名报白（过白）完整教程

Sat, 15 Nov 2025 00:00:00 GMT

抖音信息流投放：自研落地页域名报白(过白)完整教程

在抖音信息流投放圈子里,经常会听到一句话:

「先把域名过白/报白,不然落地页老是过不了审核。」

官方后台虽然不会写"域名过白"四个字,但本质上是通过 「第三方落地页报备+审核」 来实现的。

本文只讨论这一种场景:

第三方落地页 = 广告主自有域名 + 自有服务器上自研的 H5/官网页面(不使用橙子建站、外链/H5 SaaS 等托管服务)

一、先搞清楚:什么叫「域名过白/报白」?

在抖音(巨量引擎)广告体系中,落地页按形态分为橙子落地页和第三方落地页等,其中第三方落地页官方定义为"广告主自有的落地页"。

从投放实战视角,大家口中的 「域名过白」≈ 满足以下两点:

1. 你用的域名本身是合规的

有合法的 ICP 备案(有经营性质的网站通常要求企业备案)
落地页可通过 HTTPS 正常访问(类似监测链接场景,巨量已经要求必须为 https://)

2. 使用这个域名的落地页链接,在巨量引擎后台做了「第三方落地页报备」并审核通过

入口通常为:「素材 → 落地页 → 第三方落地页 → 新建 → 提交审核」

换句话说:
让域名在抖音信息流里"正常、稳定可用",核心就是:域名合规 + 落地页报备通过。

二、过白前的准备:域名 & 资质自检清单(仅自研落地页)

在真正去后台报备之前,先把这些前置条件过一遍,可以显著降低被驳回概率。

1. 广告账户和主体资质

已开通 巨量引擎广告账户(AD 户),完成基本开户、对公验证
主体资质合规:
- 营业执照在有效期内
- 所推广产品/服务如涉及教育、医疗、金融、游戏等管制行业,准备好相应资质(办学许可证、医疗资质、ICP 证等)

通过主体资质审核 ≠ 可以直接投放,
还必须完成「第三方落地页报备/域名过白」这一步。

2. 域名基本要求(自有域名)

(1) 域名备案

用于承接广告落地的域名,建议使用 企业主体备案 的域名
备案主体尽量与广告账号主体或授权品牌保持一致,方便审核人员校验

(2) HTTPS 支持

在自有服务器上为落地页域名配置 TLS 证书(如通过免费证书或云厂商 SSL 服务)
确认 https://your-domain.com/xxx 能在移动端正常打开无浏览器安全警告

(3) 指向自有服务器

在 DNS 控制台(阿里云、腾讯云、Cloudflare 等)把落地页域名解析到你的服务器 IP
服务器上部署好 H5 程序/官网代码,保证访问稳定、响应时间合理

3. 域名、页面内容与账户主体的匹配

保持一致性:

域名备案主体、落地页展示的公司/品牌名称、广告账户主体 尽量保持一致或有明确授权关系
页面上建议清晰展示:
- 公司或品牌名称
- 联系方式(电话、微信、企微、客服)
- 必要的资质或备案号(如页脚 ICP 号、许可证号等)

避免违规元素:

虚假夸大承诺:如"百分百包过""稳赚不赔""一周瘦 20 斤"等
违规产品/服务:博彩、非法金融、违规医疗等
未经授权使用商业品牌 Logo、明星肖像、影视素材等

三、统一认识:这里说的"第三方落地页"就是自研自有页面

在巨量引擎官方说明里:

第三方落地页 = 广告主自有的落地页,通常部署在自己服务器、使用自己域名
与橙子建站等官方建站方式无关

本文只讲这一种:自研 + 自有域名 + 自有服务器 的第三方落地页报白流程。

四、步骤 1:让自研落地页本身"可投放"

要过白,第一步是保证 页面本身没问题。

1. 部署代码到自有服务器

选择云服务器/容器环境(例如:云主机 + Nginx 或 Node.js/Java/PHP 服务)
把 H5/官网代码部署到指定目录:
- 例如:/var/www/your-landing-page
- 配置 Web 服务(Nginx/Apache 等)指向该目录
确认在服务器上能通过内网或域名访问页面(如 curl 测试)

2. 配置域名解析 & HTTPS

(1) DNS 解析配置

在 DNS 控制台新增解析记录:

记录类型:A
**主机记录:**如 h5(对应 h5.yourdomain.com)
**记录值:**你的服务器公网 IP

(2) HTTPS 证书配置

为该域名申请并安装 HTTPS 证书:

使用云厂商证书服务或 Let's Encrypt 等工具
配置 Nginx/Web 服务器的 server 块,使 https://h5.yourdomain.com 能正常访问

(3) 验证访问

在浏览器和手机上实际访问:

https://h5.yourdomain.com/活动路径

确认:

页面能正常显示
无安全证书警告
不会自动跳到奇怪的短链或其他域名(避免多重跳转)

3. 调整成正式投放版页面

去掉"测试文案""这是一段测试"等内容
确保页面标题、内容、图片与你实际推广的产品/服务对应
表单、咨询按钮、客服联系方式等功能都可以正常使用
对照巨量内容规范做一次自查,避免扩大承诺和违规宣传

这一步做完,你就有了一个 真正可以对外访问、可以拿去报白的 HTTPS 落地页 URL,例如:

https://h5.yourdomain.com/landing/productA

五、步骤 2:在巨量引擎后台做「第三方落地页报备」(核心)

这一环节就是实战中所谓的"落地页报白/域名过白"。

1. 进入「第三方落地页」管理

登录巨量引擎广告后台(PC 端,ad.oceanengine.com):

顶部导航选择:「素材」→「落地页」
在落地页列表页的标签中,切换到:「第三方落地页」
点击右侧或上方的 「新建第三方落地页」 按钮

不同版本的 UI 文案可能略有出入,但核心入口就是"素材管理里的第三方落地页"。

2. 填写落地页信息(关键字段)

在弹出的创建表单中,通常需要填写以下内容:

(1) 落地页名称

在后台用于识别,不会直接对用户展示
建议规范命名,如:
- 官网-产品A-H5落地页
- 品牌X-表单收集页-2025Q1

(2) 落地页 URL

必须是一个 完整的 HTTPS 链接,例如:

https://h5.yourdomain.com/landing/productA

注意事项:

链接必须能在手机浏览器/抖音内置浏览器中直接打开
尽量避免:
- 多层短链、重定向(短链 → 短链 → 正式链接)
- 最终跳转到与填写 URL 完全无关的域名

(3) 行业/场景/推广目的

根据你的账户主体和实际推广业务选择正确行业
例如:电商、企业服务、本地生活等,尽量与营业执照和页面内容一致

(4) 功能类型(如有)

有的版本会让你勾选"是否收集手机号""是否加微信/企微"等
按实际落地页功能勾选即可,保持真实一致

填写完所有信息后,点击 「保存/提交审核」。

实战建议:
先用这个自有域名报备 1-2 个典型页面(产品页/表单页),通过后在同一域名下的小改版页面通常更容易过。

3. 等待第三方落地页审核

提交后,第三方落地页会进入平台审核流程,审核重点包括:

页面是否能正常打开(不空白、不 500、不无限加载)
页面功能是否可用(表单可提交、按钮可点击、跳转不异常)
内容是否合规,与账户主体和行业资质是否匹配

审核通过后:

该条第三方落地页记录状态会变为 "已通过/可投放"
对应的域名在该广告账户下,基本就被视作已"过白"

六、步骤 3:在广告计划中使用已过白的落地页

第三方落地页审核通过后,还需要在具体广告计划里引用它。

以"信息流线索广告"为例(不同广告目标界面略有差别,但流程类似):

操作步骤

在巨量引擎中 新建广告计划 → 广告组 → 广告:
- 选择投放目的(如"收集销售线索""访问网站"等)
在「落地页/推广链接」配置位置:
- 落地页类型选择:「第三方落地页」
- 在下拉列表中,选中你刚刚 审核通过 的那条第三方落地页记录
完成定向、人群、出价、创意素材等设置,提交计划整体审核

投放效果

通过后:

用户在抖音信息流中看到广告 → 点击
会在抖音内置浏览器中打开你自有域名、自有服务器上的 H5 落地页
若域名和落地页持续稳定投放,则说明该域名在该账户下的"过白"状态已经跑通

七、(可选)监测域名与自研落地页的配合

如果你还接入了 第三方监测/数据分析,通常会多出一个"监测域名"的概念,它与落地页域名逻辑类似:

监测链接必须是 https:// 开头
建议使用企业备案域名
在创建广告计划时,将监测链接填入对应位置,配合自研落地页使用

监测域名严格来说是 独立于落地页域名的一条线,但两者都受同样的合规要求约束(备案、HTTPS、安全性等)。

八、常见"过白失败/落地页驳回"原因与排查思路

1. 域名备案或归属问题

常见问题:

使用了 无备案域名 承接广告落地页
域名备案主体与广告账户主体、页面品牌完全不匹配(例如:备案在 A 公司,页面全是 B 品牌且无授权说明)

排查建议:

优先使用与广告账户主体一致的备案主体域名
如确为代理/经销关系,准备好授权文件,并在落地页上清晰展示合作/授权信息

2. 页面打不开、打开慢或一堆跳转

常见问题:

链接 404/500/网页空白
从广告点击到落地页之间存在多重短链和 302 跳转
静态资源引用错误、CDN 配置失误导致页面懒加载失败

排查建议:

在手机 4G/5G 实机 + 抖音内置浏览器里,亲自点广告预览测试
尽量让广告点击后 一跳到位,不要多级短链、复杂重定向

3. 页面内容违规或与业务不匹配

常见问题:

夸大承诺、绝对化用语(百分百、保证、无风险等)
涉及金融、医疗等敏感领域但页面没有合规披露和资质展示
页面卖的是 B 行业产品,账户行业却选的是 A,导致审核认为"类目错放"

排查建议:

对照巨量广告内容规范逐条自查
行业资质和页面内容要一一对应,必要时在账户层面补充/更新行业资质

九、实战建议总结(只针对自研第三方落地页)

1. 先把"自研落地页+自有域名+自有服务器"本身打磨好,再去报白

企业备案、HTTPS、安全可靠的服务器是底线
页面文案、结构、交互提前做一版"合规+清晰"的正式版,不要拿测试页去过白

2. 所有自研落地页统一走「素材→落地页→第三方落地页→新建」流程

把计划要用的主要落地页先报备一遍,通过后再建计划
这一步,就是大家口中说的"域名过白/落地页报白"

3. 慎用复杂链路和奇怪的跳转

能直接展示自研落地页就不要绕来绕去
特别是试图规避审核的跳转链路,很容易触发风控甚至永久限制

4. 有监测需求的,再单独规范好监测域名

一样遵守 HTTPS、备案、用途合规等要求
仅用于广告数据监测和转化归因,避免混用

十、一句话总结

在抖音信息流中使用"自有域名+自有服务器"的自研落地页,想做到"域名过白",本质就是:

先用一个有备案、支持 HTTPS、内容和主体都合规的自有域名部署好落地页

再在巨量引擎后台通过「第三方落地页报备」审核

之后在广告计划中,只使用这些已通过的第三方落地页链接进行投放

按本文从「准备域名与页面」→「第三方落地页报备」→「计划中选择已过白落地页」的顺序走一遍,就基本完成了 抖音信息流投放中,自研落地页域名的完整"过白"闭环。

附录:相关链接

巨量引擎广告后台:ad.oceanengine.com
客服支持中心:support.oceanengine.com

手机低延迟投屏 QtScrcpy

Sat, 15 Nov 2025 00:00:00 GMT

手机低延迟投屏 QtScrcpy

概述

QtScrcpy 是电脑端软件，用于实时显示和控制 Android 手机屏幕，支持低延迟投屏。通过 USB 或网络连接设备，无需在手机上安装任何软件。

QtScrcpy

安装说明

电脑安装：安装在 Windows、macOS 或 GNU/Linux 等电脑操作系统上。
手机安装：无需在 Android 手机上安装任何软件。

Windows 64 位安装哪个版本最佳

推荐最新版本 v3.3.3 的 Windows 64 位包：QtScrcpy-win-x64-v3.3.3.zip。从官方 GitHub Releases 下载，解压后运行 QtScrcpy.exe。

适用的设备

Android 设备：API ≥ 21 (Android 5.0 或更高版本)
支持平台：GNU/Linux、Windows、macOS

官方下载地址

GitHub Releases: https://github.com/barry-ran/QtScrcpy/releases

特点

实时显示和控制 Android 设备，通过 USB 或网络连接
无需 root 权限
轻量级，仅显示设备屏幕
性能：30–60 fps
质量：支持 1920×1080 或更高分辨率
低延迟：35–70 ms
快速启动：约 1 秒显示首帧
非侵入式：无需在设备上安装软件
自定义键盘和鼠标映射到触摸/点击动作
群控多设备
屏幕录制、截图捕获、文件传输、APK 安装
剪贴板同步（双向）
支持无线连接
音频输出同步（Android 10+，通过 sndcpy）

如何连接手机投屏

USB 连接

通过 USB 将 Android 设备连接到计算机。
运行 QtScrcpy。
点击 USB connect。
点击 Start service 开始镜像和控制。

无线连接（需在同一局域网）

在 Android 设备的开发者选项中启用 USB 调试。
初始通过 USB 连接设备。
在 QtScrcpy 中点击 Update device 检测设备。
点击 Get device IP 获取设备 IP 地址。
点击 Start adbd 启用无线 ADB。
adbd 启动后，可断开 USB 线缆（可选）。
点击 Wireless connect。
再次点击 Update device，新设备将以 IP 地址出现。
选择无线设备并点击 Start service。

微软商店安装美区软件

Sat, 15 Nov 2025 00:00:00 GMT

微软商店安装美区软件

操作步骤

1. 修改系统区域设置

打开设置
进入 时间和语言
选择区域
修改以下设置:
- 国家或地区: 改为美国
- 时区: 改为 美国和加拿大 时区

2. 安装软件

完成区域设置后,执行以下操作之一:

打开 Microsoft Store 应用商店进行安装
使用安装包直接安装

3. 恢复原始设置

软件安装完成后:

将 国家或地区 调回原来的设置
将时区调回原来的设置

注意事项

此方法适用于某些仅在美区上架的应用程序
安装完成后记得恢复区域设置,以免影响其他应用的使用
部分应用可能需要美区 Microsoft 账户才能下载

Windows修复Microsoft Store无法正常打开问题

Sat, 15 Nov 2025 00:00:00 GMT

Windows修复Microsoft Store无法正常打开问题

适用场景：

打开 Microsoft Store（微软商店） 时只显示“灰色骨架屏 / 白屏”

过一会儿提示类似 “初始化失败 / failed to initialize / something went wrong”

在“应用设置 → 修复 / 重置”之后能好一阵子，过一段时间又再次出问题

本文提供一套 可直接使用的 .bat 修复脚本，并解释每一步在做什么，方便你排查是否还有环境层面的根因没有解决。

一、适用环境与前置说明

系统：Windows 11 专业版 64 位（其他 Win11 版本大多也可参考）
权限要求：必须以 管理员身份 运行脚本
网络要求：
- 尽量使用稳定、未被限速或拦截的网络
- 如果你使用了 全局代理 / 系统代理 / 科学上网软件（如 Clash、NekoRay 等），建议在执行脚本和测试商店前 先关闭系统代理，这类工具经常会导致微软商店初始化异常

⚠️ 风险提示（相对安全）：

脚本不会删除你的个人文件

涉及的操作主要是：

修复系统组件（DISM、SFC）

检查并启动与商店相关的关键服务

清空 Microsoft Store 缓存

重新注册 Microsoft Store 应用包

不包含激进的“系统精简”操作，一般不会对正常应用造成破坏

二、使用步骤总览

使用记事本创建 .bat 文件（保存为 UTF-8 编码，防止中文乱码）
将下文提供的 完整脚本 原样复制进 .bat
右键该文件 → 以管理员身份运行
等脚本所有步骤执行完毕后，重启电脑
重启后测试 Microsoft Store 是否恢复正常
若问题仍不稳定，再根据文末“额外排查项”继续检查网络、代理、账户等因素

三、完整批处理脚本（中文简体，无需自行改动）

建议文件名示例：Fix_Microsoft_Store_Win11.bat
保存时在记事本中选择：

文件 → 另存为

编码：选择 UTF-8（为避免乱码，脚本内已主动切换到 UTF-8 代码页）

@echo off
title 修复 Microsoft Store (Windows 11)

:: 切换控制台为 UTF-8，避免中文输出乱码
chcp 65001 >nul

echo =====================================================
echo   Windows 11 Microsoft Store 修复脚本
echo   请确保以「管理员身份」运行本脚本
echo =====================================================
echo.

:: 检查是否为管理员权限
net session >nul 2>&1
if %errorlevel% NEQ 0 (
  echo [错误] 当前不是管理员权限。
  echo        请右键本文件，选择「以管理员身份运行」后重新执行。
  echo.
  pause
  exit /b 1
)

echo [1/5] 使用 DISM 修复系统组件映像，过程可能需要一些时间...
DISM /Online /Cleanup-Image /RestoreHealth
echo.
echo DISM 操作已完成（如有报错请记录错误代码以便后续排查）。
echo.

echo [2/5] 使用 SFC 扫描并修复系统文件，耗时取决于硬盘和系统状况...
sfc /scannow
echo.
echo SFC 扫描已完成（如提示发现损坏但无法修复，请考虑就地升级修复安装）。
echo.

echo [3/5] 检查并启用与 Microsoft Store 相关的关键服务...
echo     - BITS（后台智能传输服务）
echo     - wuauserv（Windows Update）
echo     - cryptsvc（加密服务）
echo     - AppXSvc（AppX 部署服务）
echo     - ClipSvc（客户端许可证服务）
echo.

for %%S in (bits wuauserv cryptsvc AppXSvc ClipSvc) do (
  sc config %%S start= demand >nul 2>&1
  net start %%S >nul 2>&1
)

echo 关键服务检查与启动操作已完成。
echo.

echo [4/5] 清空 Microsoft Store 缓存 (wsreset)...
echo 这一步会关闭当前已打开的 Microsoft Store，并清理本地缓存。
wsreset.exe
echo 如果此时自动打开了 Microsoft Store，请先将其关闭，然后继续。
echo.

echo [5/5] 重新注册 Microsoft Store 应用包...
echo 这一步将重新注册 Microsoft.WindowsStore 的 AppX 包信息。
echo.

powershell -NoProfile -ExecutionPolicy Bypass ^
  -Command "$pkg = Get-AppxPackage -AllUsers Microsoft.WindowsStore; if ($pkg) { Add-AppxPackage -DisableDevelopmentMode -Register ($pkg.InstallLocation + '\AppXManifest.xml'); Write-Host 'Microsoft Store 重新注册完成。' } else { Write-Host '未找到 Microsoft.WindowsStore 应用包，请检查系统是否被精简或禁用 UWP。'; exit 1 }"

echo.
echo ==============================================
echo   所有步骤执行完毕！
echo   建议现在重启电脑，然后重新测试 Microsoft Store。
echo ==============================================
echo.

pause

四、脚本各步骤详细说明

1. 切换编码与管理员检查

chcp 65001 >nul
net session >nul 2>&1
if %errorlevel% NEQ 0 ( ... )

chcp 65001：将当前控制台代码页切换为 UTF-8，避免中文提示出现乱码。
net session：用于判断当前是否有足够权限访问网络会话，普通用户执行会报错，据此可判断是否为管理员。

如果不是管理员，脚本会直接提示并退出，防止出现权限不足导致的“执行失败但你没看出来”。

2. DISM 修复系统组件映像

DISM /Online /Cleanup-Image /RestoreHealth

作用：
- 检查并修复系统组件存储（WinSxS），是修复 UWP 平台、系统服务损坏 的关键一步。
这一步可能会比较耗时，期间请不要强行关闭窗口。
如果报错（如找不到源、错误代码等），说明系统组件损坏较严重，后续可能需要 就地升级修复安装 Windows 来彻底恢复。

3. SFC 扫描与修复系统文件

sfc /scannow

作用：
- 对所有受保护的系统文件进行校验，如果发现损坏就从组件存储中还原。
若提示 “发现损坏文件并成功修复”：说明刚才确实有系统文件损坏。
若提示 “发现损坏文件但无法修复其中部分”：可能需要在安全模式下再次运行，或考虑就地升级修复安装。

4. 检查并启用关键服务

for %%S in (bits wuauserv cryptsvc AppXSvc ClipSvc) do (
  sc config %%S start= demand >nul 2>&1
  net start %%S >nul 2>&1
)

涉及的服务：

BITS：后台智能传输服务，微软商店下载/更新经常依赖它
wuauserv：Windows Update 服务，部分 UWP 和授权流程会用到
cryptsvc：加密服务，涉及证书、签名验证等
AppXSvc：AppX 部署服务，负责 UWP 应用的安装/更新/注册
ClipSvc：客户端许可证服务，涉及 UWP 授权与许可

很多“优化软件 / 精简脚本”会直接把这些服务改成“禁用”，导致微软商店各种诡异报错。这里统一把它们的启动类型设置为 按需启动（demand），并尝试立即启动一次。

5. 清空 Microsoft Store 缓存

wsreset.exe

等价于你在“运行”中输入 wsreset 并执行：
- 关闭当前商店窗口
- 清除本地缓存
- 再尝试重新打开商店（脚本中提示你可以先关闭）
这是微软官方文档推荐的修复步骤之一，用于处理商店缓存损坏 / 配置异常。

6. 重新注册 Microsoft Store 应用包

powershell -NoProfile -ExecutionPolicy Bypass ^
  -Command "$pkg = Get-AppxPackage -AllUsers Microsoft.WindowsStore; if ($pkg) { Add-AppxPackage -DisableDevelopmentMode -Register ($pkg.InstallLocation + '\AppXManifest.xml'); ... }"

这一步做的事情相当于手动在 PowerShell 中执行：
- Get-AppxPackage -AllUsers Microsoft.WindowsStore：找到商店的应用包信息
- Add-AppxPackage -DisableDevelopmentMode -Register "...\AppXManifest.xml"：重新注册这个 UWP 应用
如果提示 “未找到 Microsoft.WindowsStore 应用包”，说明系统很可能被精简/篡改过，需要：
- 使用官方 ISO 做就地升级修复安装；
- 或考虑重装系统。

五、防止中文乱码的小技巧

保存编码选 UTF-8
- 在记事本中另存为 .bat 时，编码选项中选择：UTF-8。
脚本最前面加上
```
chcp 65001 >nul
```
让控制台使用 UTF-8 代码页显示中文。
运行批处理时，建议使用支持中文显示的字体（例如“新宋体”、“微软雅黑”等）。

六、如果脚本执行后仍然出问题，可以继续排查这些点

1. 检查代理 / 科学上网工具

很多“白屏 + 初始化失败”其实是 网络被代理／拦截 导致商店连不上服务器：

如果你在用：
- Clash / CFW
- NekoRay / V2Ray 客户端
- 其他自动勾选“系统代理”的工具
建议：
1. 先在这些软件里 关闭系统代理 / 退出程序
2. 打开 设置 → 网络和 Internet → 代理，确认没有残留的 HTTP / SOCKS 代理
3. 重启电脑后再试商店

如果关闭代理后商店恢复正常，那么问题不在系统，而在代理规则或程序本身。

2. 检查系统更新时间

打开 设置 → Windows 更新 → 检查更新
安装所有重要的系统更新和 .NET 更新，有时微软会通过更新修复某些 UWP / 商店相关 Bug

3. 测试“新用户”是否正常

有时问题只发生在当前用户配置文件中：

打开 设置 → 帐户 → 其他用户
新建一个本地账户（设置为管理员）
切换到新账户登录
在新账户下打开 Microsoft Store 测试

如果 新账户正常，旧账户一直异常：
- 说明是旧账户的 UWP 配置整体损坏，理论上可以考虑把文件迁移到新账户，或做更深入的注册表/配置清理（不推荐普通用户手工改）。

4. 考虑“就地升级修复安装” Windows 11

当 DISM/SFC 仍然无法完全修复系统，或者 UWP 组件已经严重损坏时，可以使用 官方 ISO 进行就地升级修复：

从微软官网下载对应版本的 Windows 11 ISO
在系统内挂载 ISO，运行 setup.exe
选择：
- 保留个人文件和应用
按向导完成安装，相当于“就地重装系统组件”，但不删除你的软件和数据

这一招对于“系统被各种精简工具/优化器折腾过”的情况非常有效。

七、结语

复制脚本 → 保存为 Fix_Microsoft_Store_Win11.bat（编码 UTF-8）
右键 → 以管理员身份运行 → 按提示等待所有步骤完成
重启电脑 → 测试 Microsoft Store

线上多版本JDK切换

Sat, 15 Nov 2025 00:00:00 GMT

线上多版本JDK切换

两个不同的启动脚本

start-app-8.sh（用 JDK 8）

#!/usr/bin/env bash

JAVA_HOME="/home/jdk/jdk1.8.0_371"
APP_JAR="/opt/apps/app-legacy.jar"

start-app-17.sh（用 JDK 17）

#!/usr/bin/env bash

JAVA_HOME="/home/jdk/jdk-17.0.13"
APP_JAR="/opt/apps/app-legacy.jar"

这样：

./start-app-8.sh   # 用 JDK 8 跑
./start-app-17.sh  # 用 JDK 17 跑

阿里云ECS Spring Boot 双节点无感发布

Fri, 14 Nov 2025 00:00:00 GMT

阿里云ECS Spring Boot 双节点无感发布

环境：Alibaba Cloud Linux 3 + Apache APISIX 3.14.1（Docker，内置 Dashboard）+ Spring Boot（双节点）

适用场景：单台 ECS（IP: 1.2.3.4）上，以 /home/backend/demo-node1 与 /home/backend/demo-node2 目录运行两个 Spring Boot 实例，通过 APISIX 网关做流量灰度与切换，并使用阿里云云效流水线实现一键无感发布 / 回滚。

1. 系统架构

                      ┌───────────────┐
                      │  开发 / CI/CD │
                      └───────┬───────┘
                              │ (云效 Pipeline)
                      ┌───────▼───────┐
                      │   云效制品库   │
                      └───────┬───────┘
                              │
            ┌─────────────────▼──────────────────┐
            │ ECS 1.2.3.4 (Alibaba Cloud Linux 3) │
            │                                     │
            │  ┌──────────┐       ┌──────────┐    │
            │  │ demo-node1│       │ demo-node2│   │
            │  │ :8081    │       │ :8082    │    │
            │  └──────────┘       └──────────┘    │
            │         ▲                  ▲        │
            │         │ (health check)   │        │
            │  ┌──────┴──────────────────┴─────┐  │
            │  │   Apache APISIX 3.14.1 (9000) │  │
            │  │   Admin / Dashboard (9180)    │  │
            │  └───────────────────────────────┘  │
            └─────────────────────────────────────┘

2. 主机与端口

角色	IP	端口	路径说明
APISIX 网关	1.2.3.4	9000（业务） / 9180（管理）	Docker 容器内 `/usr/local/apisix`
Spring Boot node1	1.2.3.4	8081	`/home/backend/demo-node1`
Spring Boot node2	1.2.3.4	8082	`/home/backend/demo-node2`

说明：APISIX 通过 Docker 启动，容器内默认监听 9080/9443/9180，通过端口映射对外暴露为 9000/9443/9180。

3. 部署流水线核心步骤（云效）

流水线整体思路保持不变： 1）构建 Spring Boot 可执行 jar 并上传到制品库； 2）流水线依次在 demo-node1、demo-node2 上执行部署脚本； 3）部署脚本调用 APISIX Admin API 动态调整 upstream，保证只有健康节点接收流量，从而实现零停机。

构建配置

节点 1 部署配置

节点 2 部署配置

4. 环境准备（Alibaba Cloud Linux 3）

4.1 操作系统与基础依赖

操作系统：Alibaba Cloud Linux 3（基于 Anolis OS 8，兼容 CentOS 8 / RHEL 8 生态）
包管理器：dnf（兼容 yum 子命令）。
需要的系统工具（建议提前安装）：

sudo dnf -y install curl lsof jq tar

4.2 安装 Docker（Alibaba Cloud Linux 3）

按照阿里云官方文档，在 Alibaba Cloud Linux 3 上安装 Docker CE：

#!/usr/bin/env bash
#
# install-docker-alinux3.sh
# 适用于 Alibaba Cloud Linux 3 的 Docker CE + Docker Compose 安装脚本

set -euo pipefail

echo ">>> 检查操作系统发行版信息..."
if [ -f /etc/os-release ]; then
  . /etc/os-release
  echo "NAME=${NAME:-}, VERSION_ID=${VERSION_ID:-}"
else
  echo "未找到 /etc/os-release，无法确认系统版本，仍将尝试安装。"
fi

echo ">>> 第 1 步：安装 dnf（如已存在可跳过）..."
sudo yum install -y dnf || true

echo ">>> 第 2 步：安装 Docker 存储驱动依赖..."
sudo dnf install -y device-mapper-persistent-data lvm2

echo ">>> 第 3 步：添加 Docker CE 软件源，并安装 Alibaba Cloud Linux 3 专用 dnf 兼容插件..."
sudo dnf config-manager --add-repo=https://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
sudo dnf -y install dnf-plugin-releasever-adapter --repo alinux3-plus

echo ">>> 第 4 步：安装 Docker CE..."
sudo dnf -y install docker-ce --nobest

echo ">>> 第 5 步：启动并设置 Docker 开机自启..."
sudo systemctl start docker
sudo systemctl enable docker

echo ">>> 第 6 步：验证 Docker 安装..."
docker -v || { echo 'Docker 安装验证失败，请检查上方输出。'; exit 1; }

echo ">>>（可选）安装 Docker Compose 插件..."
if sudo dnf -y install docker-compose-plugin; then
  docker compose version || echo "Docker Compose 插件已安装，但版本检查失败，请手工排查。"
else
  echo "Docker Compose 插件安装失败，可稍后手动执行：sudo dnf -y install docker-compose-plugin"
fi

echo ">>> Docker CE 及（可选）Docker Compose 安装流程执行完成。"

5. 部署 Apache APISIX 3.14.1（内置 Dashboard）

5.1 APISIX 配置文件 `config.yaml`

在任意工作目录（例如 /home/backend/apisix）创建 config.yaml：

deployment:
  # Admin API 与内置 Dashboard 安全配置
  admin:
    admin_key_required: true            # 默认即为 true，明确打开以保证安全 
    admin_key:
      - name: admin
        role: admin
        # 请在生产环境中改为安全随机值，例如 openssl rand -hex 16
        key: CKjcGDoqxcJfpIXWigyqjdUSACvwzEJy
    allow_admin:
      - 127.0.0.0/24                    # 本机
      - 172.17.0.0/16                   # Docker 默认 bridge 网段
      # - 0.0.0.0/0                     # 仅本地演示可放开，生产环境请严格收缩
    enable_admin_ui: true               # 启用 APISIX 内置 Dashboard 

apisix:
  node_listen: 9080                     # 容器内监听端口，通过 -p 映射为 9000 
  ssl:
    enable: true
    listen:
      - ip: 0.0.0.0
        port: 9443

如需自定义 etcd 地址，可在同一文件中补充 deployment.etcd 段落，或使用环境变量覆盖，参考官方文档。

5.2 APISIX 容器管理脚本 `apisix-manager.sh`

以下脚本基于 Docker 运行 APISIX 3.14.1，并假定已经存在一个可用的 etcd 服务，容器名为 etcd-quickstart，位于 Docker 网络 apisix-quickstart-net 中（可通过官方 apisix-docker 示例或自建 etcd 部署）。

将脚本保存为 /home/backend/apisix/apisix-manager.sh，并赋予执行权限：

chmod +x /home/backend/apisix/apisix-manager.sh

脚本内容：

#!/bin/bash

# APISIX Docker 管理脚本（监听 9000 / 9443 / 9180）

CONTAINER_NAME="apisix-main"
NETWORK_NAME="apisix-quickstart-net"
ETCD_HOST="http://etcd-quickstart:2379"
APISIX_IMAGE="apache/apisix:3.14.1-debian"   # 对应 APISIX 3.14.1 Docker 镜像 
CONFIG_FILE="$(cd "$(dirname "$0")" && pwd)/config.yaml"

stop_all() {
  echo "停止所有 APISIX 相关容器..."
  for name in apisix-main apisix-no-auth apisix-quickstart apisix-quickstart-80; do
    if docker ps -a --format "{{.Names}}" | grep -q "^${name}$"; then
      echo "停止容器: $name"
      docker stop "$name" >/dev/null 2>&1 || true
      docker rm "$name"   >/dev/null 2>&1 || true
    fi
  done
  echo "所有 APISIX 容器已停止"
}

start() {
  echo "启动 APISIX 容器（映射端口：9000->9080，9443->9443，9180->9180）..."

  if [ ! -f "$CONFIG_FILE" ]; then
    echo "未找到配置文件: $CONFIG_FILE"
    exit 1
  fi

  # 确认网络存在
  if ! docker network ls --format "{{.Name}}" | grep -q "^${NETWORK_NAME}$"; then
    echo "未找到 Docker 网络 ${NETWORK_NAME}，请先创建并将 etcd 加入该网络。"
    exit 1
  fi

  # 如容器存在则删除
  if docker ps -a --format "{{.Names}}" | grep -q "^${CONTAINER_NAME}$"; then
    echo "容器 $CONTAINER_NAME 已存在，先删除..."
    docker stop "$CONTAINER_NAME" >/dev/null 2>&1 || true
    docker rm "$CONTAINER_NAME"   >/dev/null 2>&1 || true
  fi

  CONTAINER_ID=$(
    docker run -d --name "$CONTAINER_NAME" \
      --network "$NETWORK_NAME" \
      -v "$CONFIG_FILE:/usr/local/apisix/conf/config.yaml:ro" \
      -p 9000:9080 \
      -p 9443:9443 \
      -p 9180:9180 \
      -e APISIX_DEPLOYMENT_ETCD_HOST="[\"$ETCD_HOST\"]" \
      "$APISIX_IMAGE" 2>&1
  )

  if [ $? -eq 0 ]; then
    echo "容器启动成功，ID: ${CONTAINER_ID:0:12}"
    echo "等待服务启动..."
    sleep 5
    if docker ps --format "{{.Names}}" | grep -q "^${CONTAINER_NAME}$"; then
      echo "APISIX 已成功启动："
      echo "  业务入口:    http://1.2.3.4:9000"
      echo "  管理 / UI:  http://1.2.3.4:9180"
    else
      echo "容器启动失败，查看日志："
      docker logs "$CONTAINER_NAME" 2>/dev/null | tail -20
    fi
  else
    echo "容器启动失败: $CONTAINER_ID"
  fi
}

status() {
  if docker ps --format "{{.Names}}" | grep -q "^${CONTAINER_NAME}$"; then
    echo "APISIX 运行中，端口映射："
    docker port "$CONTAINER_NAME"
  else
    echo "APISIX 未运行"
  fi
}

case "$1" in
  start)
    start
    ;;
  stop)
    stop_all
    ;;
  restart)
    stop_all
    sleep 2
    start
    ;;
  status)
    status
    ;;
  *)
    echo "用法: $0 {start|stop|restart|status}"
    exit 1
    ;;
esac

6. Spring Boot 双节点部署

6.1 目录结构建议

/home/backend/
  ├── demo-node1/
  │   ├── app.jar              # 节点 1 运行 jar（软链接）
  │   ├── logs/
  │   └── zero-deploy-node.sh  # 通用零停机脚本（本节后面给出）
  └── demo-node2/
      ├── app.jar
      ├── logs/
      └── zero-deploy-node.sh

云效在两个节点上的部署脚本仅负责解压制品并调用 zero-deploy-node.sh。

6.2 Spring Boot 运行约定

节点 1：端口 8081，配置 spring.profiles.active=prod-node1
节点 2：端口 8082，配置 spring.profiles.active=prod-node2

示例启动命令（脚本中会自动执行）：

nohup java -jar app.jar \
  --server.port=8081 \
  --spring.profiles.active=prod-node1 \
  > logs/app.log 2>&1 &

7. 在 APISIX 中配置 Upstream 与 Route（使用内置 Dashboard）

APISIX 3.14.1 默认在 Admin API 端口上提供管理 UI，通过 enable_admin_ui: true 打开后即可在浏览器中通过 9180 端口访问。

7.1 创建 Upstream（双节点）

登录内置 Dashboard。
在 Upstream 页面中新建 upstream，ID 设置为 java-app-upstream（自定义字符串 ID 即可）。
类型选择 roundrobin，Nodes 配置为：
- 1.2.3.4:8081，weight = 1
- 1.2.3.4:8082，weight = 1
保存。

7.2 创建 Route

在 Route 页面新建路由，例如：
- 请求路径：/api/*
- Host：按业务需要（如 api.example.com）
- 绑定 Upstream：选择 java-app-upstream
保存后，访问：

curl -i "http://1.2.3.4:9000/api/health"

确认可以命中两节点之一。

8. 零停机发布脚本

本节脚本仅在需要做“无感发布”时使用，因此仍通过 Admin API（脚本调用）修改 Upstream 节点权重；平时的路由管理均使用 Dashboard 即可。

8.1 通用节点脚本：`zero-deploy-node.sh`

分别拷贝到：

节点 1：/home/backend/demo-node1/zero-deploy-node.sh
节点 2：/home/backend/demo-node2/zero-deploy-node.sh

并执行：

chmod +x /home/backend/demo-node1/zero-deploy-node.sh
chmod +x /home/backend/demo-node2/zero-deploy-node.sh

脚本内容（两节点通用，通过Shell变量区分）：

#!/usr/bin/env bash
#
# zero-deploy-node.sh - Spring Boot 单节点零停机发布脚本（Alibaba Cloud Linux 3 适配）
# 变量通过脚本内 Shell 变量配置，无需依赖环境变量。

set -euo pipefail

###################### 配置区（按需修改） #########################

# 节点名称，仅用于日志标识
NODE_NAME="demo-node1"

# 应用目录
APP_HOME="/home/backend/demo-node1"

# 制品路径（例如云效下载到本机后的 tar 包）
PACKAGE_PATH="/home/flowapp/demo.tgz"

# 制品内的 JAR 文件名
JAR_NAME="demo-0.0.1-SNAPSHOT.jar"

# 当前节点端口和对端节点端口
NODE_PORT=8081
PEER_PORT=8082

# Spring Boot profile
SPRING_PROFILE="prod-node1"

# APISIX Admin API 配置
UPSTREAM_ID="java-app-upstream"
ADMIN_BASE="http://127.0.0.1:9180/apisix/admin"
ADMIN_KEY="CKjcGDoqxcJfpIXWigyqjdUSACvwzEJy"   # 与 APISIX config.yaml 中保持一致

# 健康检查及连接耗尽相关
HEALTH_PATH="/health"
HEALTH_TIMEOUT=60
KEEPALIVE_IDLE_TIMEOUT=30
IDLE_TIMEOUT_BUFFER=$((KEEPALIVE_IDLE_TIMEOUT * 2))

############################################################

# 基本校验，防止变量遗漏
check_config() {
  if [ -z "$NODE_NAME" ] || [ -z "$APP_HOME" ] || [ -z "$PACKAGE_PATH" ] || \
     [ -z "$JAR_NAME" ]  || [ -z "$SPRING_PROFILE" ]; then
    echo "配置错误：请在脚本顶部正确设置 NODE_NAME/APP_HOME/PACKAGE_PATH/JAR_NAME/SPRING_PROFILE 等变量"
    exit 1
  fi

  if [ -z "${NODE_PORT:-}" ] || [ -z "${PEER_PORT:-}" ]; then
    echo "配置错误：请在脚本顶部正确设置 NODE_PORT 和 PEER_PORT"
    exit 1
  fi
}

LOG_DIR="$APP_HOME/logs"
mkdir -p "$LOG_DIR"

AUTH_HEADER=(-H "X-API-KEY: $ADMIN_KEY")

log() {
  printf '[%s] [%s] %s\n' "$(date '+%F %T')" "$NODE_NAME" "$*" | tee -a "$LOG_DIR/deploy.log"
}

get_host_ip() {
  if command -v ip >/dev/null 2>&1; then
    ip route get 1.1.1.1 | awk '{print $7; exit}'
  else
    hostname -I | awk '{print $1; exit}'
  fi
}

HOST_IP="$(get_host_ip)"

stop_app() {
  local port=$1
  log "准备停止端口 $port 上的应用"

  local pid=""
  if command -v lsof >/dev/null 2>&1; then
    pid=$(lsof -t -i:"$port" -sTCP:LISTEN || true)
  elif command -v ss >/dev/null 2>&1; then
    pid=$(ss -lntp | awk -v p=":$port" '$4 ~ p {print $6}' | awk -F',' '{print $2}' | awk -F'=' '{print $2}' | head -n1)
  elif command -v netstat >/dev/null 2>&1; then
    pid=$(netstat -lntp 2>/dev/null | awk -v p=":$port" '$4 ~ p {print $7}' | cut -d'/' -f1 | head -n1)
  fi

  if [ -z "$pid" ]; then
    log "端口 $port 未发现运行中的进程，跳过停止"
    return 0
  fi

  log "发现进程 PID=$pid，发送 TERM 信号"
  kill -TERM "$pid" || true

  local wait_sec=0
  while kill -0 "$pid" 2>/dev/null; do
    if [ $wait_sec -ge 30 ]; then
      log "进程未在 30 秒内退出，发送 KILL"
      kill -KILL "$pid" || true
      break
    fi
    sleep 1
    wait_sec=$((wait_sec + 1))
  done

  log "端口 $port 已空闲"
}

start_app() {
  cd "$APP_HOME"
  ln -snf "$JAR_NAME" app.jar

  log "启动新版本应用: app.jar，端口 $NODE_PORT，profile=$SPRING_PROFILE"
  nohup java -jar app.jar \
    --server.port="$NODE_PORT" \
    --spring.profiles.active="$SPRING_PROFILE" \
    > "$LOG_DIR/app.log" 2>&1 &

  local start_time=0
  local url="http://127.0.0.1:${NODE_PORT}${HEALTH_PATH}"

  log "等待应用健康检查通过，超时时间 ${HEALTH_TIMEOUT}s，URL=$url"

  while true; do
    if curl -fsS "$url" >/dev/null 2>&1; then
      log "健康检查通过"
      break
    fi
    if [ $start_time -ge $HEALTH_TIMEOUT ]; then
      log "健康检查超时（${HEALTH_TIMEOUT}s），失败"
      exit 1
    fi
    sleep 2
    start_time=$((start_time + 2))
  done
}

update_upstream_only_peer() {
  local url="${ADMIN_BASE}/upstreams/${UPSTREAM_ID}"
  log "将当前节点下线：仅保留对端节点 ${HOST_IP}:${PEER_PORT}"

  local payload
  payload=$(cat <<EOF
{
  "type": "roundrobin",
  "nodes": {
    "${HOST_IP}:${PEER_PORT}": 1
  }
}
EOF
)

  local code
  code=$(curl -sS -w "%{http_code}" -o /tmp/zero-upstream-peer.json \
    "${AUTH_HEADER[@]}" \
    -H "Content-Type: application/json" \
    -X PUT "$url" \
    -d "$payload")

  if [[ "$code" != 2* ]]; then
    log "下线当前节点失败，HTTP 状态码: $code"
    cat /tmp/zero-upstream-peer.json || true
    exit 1
  fi

  log "当前节点权重置为 0，仅对端节点接收流量，等待连接耗尽 ${IDLE_TIMEOUT_BUFFER}s"
  sleep "$IDLE_TIMEOUT_BUFFER"
}

update_upstream_both_nodes() {
  local url="${ADMIN_BASE}/upstreams/${UPSTREAM_ID}"
  log "将当前节点重新加入 upstream：${HOST_IP}:${NODE_PORT} & ${HOST_IP}:${PEER_PORT}"

  local payload
  payload=$(cat <<EOF
{
  "type": "roundrobin",
  "nodes": {
    "${HOST_IP}:${NODE_PORT}": 1,
    "${HOST_IP}:${PEER_PORT}": 1
  }
}
EOF
)

  local code
  code=$(curl -sS -w "%{http_code}" -o /tmp/zero-upstream-both.json \
    "${AUTH_HEADER[@]}" \
    -H "Content-Type: application/json" \
    -X PUT "$url" \
    -d "$payload")

  if [[ "$code" != 2* ]]; then
    log "重新加入 upstream 失败，HTTP 状态码: $code"
    cat /tmp/zero-upstream-both.json || true
    exit 1
  fi

  log "upstream 已恢复为双节点轮询"
}

deploy_artifact() {
  log "检查制品文件: $PACKAGE_PATH"
  if [ ! -f "$PACKAGE_PATH" ]; then
    log "制品文件不存在: $PACKAGE_PATH"
    exit 1
  fi

  mkdir -p "$APP_HOME"
  cd "$APP_HOME"

  log "解压制品到 $APP_HOME"
  tar -zxf "$PACKAGE_PATH" -C "$APP_HOME"
  log "解压完成"
}

main() {
  check_config

  log "===== 零停机发布开始 ====="
  log "主机 IP: $HOST_IP, 本节点端口: $NODE_PORT, 对端端口: $PEER_PORT"

  # 1. 先将当前节点从 upstream 中“摘除”
  update_upstream_only_peer

  # 2. 停止当前节点
  stop_app "$NODE_PORT"

  # 3. 部署新制品
  deploy_artifact

  # 4. 启动新版本并通过健康检查
  start_app

  # 5. 将当前节点重新加入 upstream
  update_upstream_both_nodes

  log "===== 零停机发布完成 ====="
}

main "$@"

8.2 云效：节点 1 部署脚本

云效节点 1 部署命令脚本示例，保存为（与原文一致）：

云效/节点1/部署脚本.txt：

set -e  # 遇到错误立即退出

# ==== 环境变量配置 ====
# 制品实际下载到的路径（云效制品默认下载目录，可按实际修改）
PACKAGE_PATH=/home/flowapp/demo.tgz

# 应用目录
APP_HOME=/home/backend/demo-node1

# jar 文件名（与制品内文件名一致）
JAR_NAME=demo-0.0.1-SNAPSHOT.jar

# 为通用脚本准备的参数
export NODE_NAME="demo-node1"
export APP_HOME
export PACKAGE_PATH
export JAR_NAME
export NODE_PORT=8081
export PEER_PORT=8082
export SPRING_PROFILE="prod-node1"

log() { echo "[$(date '+%F %T')] [node1] $*"; }

mkdir -p "$(dirname "$PACKAGE_PATH")"
mkdir -p "$APP_HOME"

deploy_package() {
  if [ ! -f "$PACKAGE_PATH" ]; then
    log "错误：制品文件不存在 $PACKAGE_PATH"
    exit 1
  fi
  log "解包 $PACKAGE_PATH 到 $APP_HOME"
  tar -zxf "$PACKAGE_PATH" -C "$APP_HOME"
  log "解包完成"
}

cd "$APP_HOME" || { echo "目录不存在: $APP_HOME"; exit 1; }

# 部署最新制品
deploy_package

# 调用通用零停机脚本
log "执行零停机发布（节点 1）"
bash "$APP_HOME/zero-deploy-node.sh"

log "节点 1 部署脚本执行完毕"

8.3 云效：节点 2 部署脚本

云效/节点2/部署脚本.txt：

set -e  # 遇到错误立即退出

sleep 5   # 适当延迟，确保节点 1 已基本完成更新（可按需要调整）

# ==== 环境变量配置 ====
PACKAGE_PATH=/home/flowapp/demo.tgz
APP_HOME=/home/backend/demo-node2
JAR_NAME=demo-0.0.1-SNAPSHOT.jar

export NODE_NAME="demo-node2"
export APP_HOME
export PACKAGE_PATH
export JAR_NAME
export NODE_PORT=8082
export PEER_PORT=8081
export SPRING_PROFILE="prod-node2"

log() { echo "[$(date '+%F %T')] [node2] $*"; }

mkdir -p "$(dirname "$PACKAGE_PATH")"
mkdir -p "$APP_HOME"

deploy_package() {
  if [ ! -f "$PACKAGE_PATH" ]; then
    log "错误：制品文件不存在 $PACKAGE_PATH"
    exit 1
  fi
  log "解包 $PACKAGE_PATH 到 $APP_HOME"
  tar -zxf "$PACKAGE_PATH" -C "$APP_HOME"
  log "解包完成"
}

cd "$APP_HOME" || { echo "目录不存在: $APP_HOME"; exit 1; }

deploy_package

log "执行零停机发布（节点 2）"
bash "$APP_HOME/zero-deploy-node.sh"

log "节点 2 部署脚本执行完毕"

DrayTek Vigor 2927ax 中小企业路由器

Fri, 14 Nov 2025 00:00:00 GMT

DrayTek Vigor 2927ax 中小企业路由器

DrayTek Vigor 2927ax 是 Vigor2927 系列中集成 Wi-Fi 6 的双 WAN 安全路由器，集防火墙、VPN 网关、带宽管理和 Wi-Fi 6 无线于一体，面向中小企业、分支机构以及需要稳定 VPN 访问的技术团队。

一、产品定位与总体概览

根据 DrayTek 官方资料，Vigor2927 系列被定义为“双以太网 WAN 防火墙路由器”，提供负载均衡与故障切换，内置 VPN、QoS、路由策略、防火墙、内容过滤、带宽管理和热点门户等功能，适合作为中小企业的核心出口设备。

Vigor 2927ax 作为该系列的 Wi-Fi 6 版本，重点特点包括：

双千兆以太网 WAN（1 个固定 WAN + 1 个可切换 WAN/LAN）
5 个千兆 LAN 端口，支持多子网和 VLAN
内置 Wi-Fi 6 AX3000 双频无线，2×2 MIMO（2.4 GHz 574 Mbps + 5 GHz 2402 Mbps）
最多 50 条 VPN 隧道（含 25 条 SSL/OpenVPN）
最多约 60,000 NAT 会话，官方建议支持约 50 台以上终端规模
支持硬件 NAT、硬件 QoS、硬件 IPsec 加速，单 WAN 防火墙吞吐可达约 940 Mbps，双 WAN 合计约 1.8 Gbps（启用硬件加速）

从定位上看，Vigor 2927ax 不是家用娱乐路由，而是偏向 SMB 场景的“全功能网关 + VPN + 无线一体机”。

二、硬件架构与接口设计

2.1 端口与接口布局

根据官方规格和渠道资料，Vigor 2927ax 的有线与无线硬件配置如下：

项目	配置说明
固定 WAN 端口	1 × GbE RJ-45
可切换 WAN/LAN 端口	1 × GbE RJ-45（可设为 WAN2 或 LAN）
LAN 端口	5 × GbE RJ-45
USB	2 × USB 2.0（可接 3G/4G/LTE 网卡、存储、打印机、温度计）
无线制式（2.4 GHz）	802.11b/g/n/ax，2×2 MIMO，最高 574 Mbps（ax 型号）
无线制式（5 GHz）	802.11a/n/ac/ax，2×2 MU-MIMO，最高 2402 Mbps（ax 型号）
天线	2 × 外置双频天线，5 GHz 增益约 3 dBi，2.4 GHz 增益约 2.5 dBi
电源	外置电源适配器，背面电源开关与 DC 口
安装方式	桌面放置，背面提供挂墙孔，支持壁挂安装

这种“1 固定 WAN + 1 可切换 WAN/LAN + 5 LAN”的布局，使其在保持千兆多 WAN 能力的同时，为小企业保留足够的有线终端接入能力。

2.2 性能指标

根据官方数据表与区域站点说明：

NAT 防火墙吞吐：
- 软件 NAT：约 800 Mbps
- 硬件 NAT：单 WAN 约 940 Mbps，双 WAN 总计约 1.8 Gbps
NAT 会话数：约 60,000
支持 IP 子网：最多 8 个子网，约 1022 个 IP 地址
VPN：
- VPN 隧道总数：50 条（LAN-to-LAN + 远程拨入）
- SSL/OpenVPN 隧道：25 条
- IPsec VPN 吞吐：软件约 300 Mbps，硬件加速可达约 800 Mbps（系列层面）

这些指标足以覆盖“千兆光纤 + 多分支 VPN + 数十终端”的典型中小企业出口需求。

三、软件平台与系统能力

Vigor 2927ax 运行 DrayTek 自家路由系统（通常称为 DrayOS），在防火墙、VPN、流量控制、集中管理等方面提供完整功能。

3.1 多 WAN 与路由策略

Vigor2927 系列通过双以太网 WAN 端口以及 USB 4G/LTE 备援，实现多 WAN 接入：

支持 WAN 负载均衡：可按会话数、流量比例、目标地址等进行分流
支持 WAN 备援：主线故障自动切换到备线
支持基于对象的路由策略（Route Policy）：可根据源 IP、目的 IP、服务类型等指定出接口
支持 High Availability（HA）模式，用于主备路由冗余

这使得设备适合作为双线路乃至“三线（含 4G 备援）”的企业出口。

3.2 VPN 子系统

Vigor2927 系列内置完整的 VPN 子系统：

支持的 VPN 协议：
- IPsec（含 IKEv1/IKEv2）
- SSL VPN
- OpenVPN
- PPTP、L2TP
- GRE 等
VPN 类型：
- LAN-to-LAN（站点到站点）
- 远程拨入（Remote Dial-in）
容量与性能：
- 最多 50 条 VPN 隧道（包含 25 条 SSL/OpenVPN）
- 系列 IPsec 吞吐最高可达约 800 Mbps（启用硬件加速时）
配套工具：
- 官方提供适用于 Windows、iOS、Android 的 VPN 客户端（包含 SmartVPN 等）
- 支持 VPN Matcher 服务，解决双端同时位于 NAT 后的建链问题

对于需要长期运行站点 VPN（如分支 ↔ 总部）的场景，该系列属于主打产品线。

3.3 硬件加速与 QoS

为兼顾性能与精细流量控制，Vigor2927 系列引入硬件 NAT、硬件 QoS 和硬件 IPsec 引擎：

硬件 NAT & Routing：在启用 NAT / 路由硬件加速后，单 WAN 吞吐可达约 940 Mbps，双 WAN 可达约 1.8 Gbps
硬件 QoS：实现带 QoS 的场景下仍保持接近千兆级吞吐
硬件 IPsec：前 16 条 IPsec 隧道可被自动硬件加速，IPsec 吞吐可提高到约 800 Mbps

同时，设备支持应用级 QoS（App QoS），可对 VoIP、视频会议等关键业务进行优先级控制。

四、无线功能与 Wi-Fi 6 特性

Vigor 2927ax 是该系列中集成 Wi-Fi 6 AX3000 的型号，内置双频 2×2 无线模块：

4.1 Wi-Fi 6 规格

2.4 GHz：
- 802.11b/g/n/ax
- 2×2 MIMO，物理速率最高约 574 Mbps（40 MHz）
5 GHz：
- 802.11a/n/ac/ax
- 2×2 MU-MIMO，物理速率最高约 2402 Mbps（160 MHz）
支持特性：
- OFDMA：提升多用户并发传输效率
- 下行与上行 MU-MIMO
- BSS Coloring：在高密度环境改善同信道干扰
- 兼容传统 802.11a/b/g/n/ac 终端

这些特性使其在“几十台 Wi-Fi 终端+高密度办公”的场景中具备更好的可用吞吐和时延表现。

4.2 多 SSID 与 VLAN 绑定

根据官方与渠道说明，Vigor 2927ax 支持多 SSID 与 VLAN 标签功能：

2.4 GHz 与 5 GHz 各自支持多个 SSID，总计最多 8 个无线网络
每个 SSID 可绑定到不同 VLAN，实现：
- 办公网 / 访客网 / 实验网等逻辑隔离
- SSID 级别的访问控制与带宽策略
支持 Wireless Client Isolation，将同一 SSID 下终端互相隔离

在企业环境中，可通过“SSID + VLAN + 防火墙策略”的组合，构建不同部门或不同安全级别的无线网络。

4.3 安全加密与接入控制

Vigor 2927ax 支持：

WPA2-PSK / WPA3-SAE 等主流加密方式
MAC 访问控制列表
客户端隔离
搭配企业内 RADIUS 服务器实现 802.1X Enterprise 认证（系列能力）

对于强调无线安全的企业，可将内部员工网络配置为企业级认证，将访客网络限制为互联网访问并与内网完全隔离。

五、安全、防火墙与内容过滤

5.1 SPI 防火墙与 DoS 防护

Vigor2927 系列内置基于对象的 SPI 防火墙，可按源/目的 IP、服务端口、时间段等维度定义策略，同时内置多种 DoS/DDoS 防护机制，用于缓解常见攻击。

5.2 内容过滤与行为管理

设备支持基于 URL 关键字、域名和品类的网页过滤，并可选用 Cyren GlobalView 云端内容过滤服务，实现更细粒度的网站分类管控，如：恶意站点、成人内容、社交媒体等。

同时，还可配合带宽管理策略，对特定应用（如 P2P、视频流媒体）进行限速或限制连接数，以保障关键业务带宽。

5.3 热点门户（Captive Hotspot Portal）

Vigor2927 系列提供热点 Web Portal 功能，可用于：

访客 Wi-Fi 登录页展示
条款确认（法律声明）
基于凭证/一次性码/社交账号的访客认证

该功能适合前台、展厅、公共区域等开放式 Wi-Fi 场景。

六、管理与集中运维能力

6.1 本地管理接口

Vigor 2927ax 提供多种本地管理方式：

Web 管理界面（支持 HTTPS）
命令行（Telnet/SSH，视固件配置而定）
SNMP 监控
Syslog 输出到日志服务器
内置流量监控、会话监控与图形化数据统计

6.2 TR-069 与 VigorACS 集中管理

设备支持 TR-069 协议，可接入 DrayTek 官方集中管理平台 VigorACS 3，实现：

批量自动配置（Provisioning）
在线状态与性能监控
配置与固件集中升级
VPN 向导与拓扑可视化
SD-WAN 编排与策略下发
定期报表与告警

此外，Vigor2927 系列本身还具备一定的“控制器”能力：

中央 VPN 管理：可集中管理多台下级 Vigor 路由器的 VPN
中央 AP 管理：可作为控制器管理 VigorAP 系列无线 AP
中央交换机管理：可管理 VigorSwitch 系列交换机（包括 VLAN 配置等）

对于 MSP 或负责多个站点的网络管理员，这些功能有助于降低运营成本。

七、典型适用场景

结合官方推荐与参数配置，Vigor 2927ax 适用于以下场景：

7.1 中小企业总部或分支机构出口

单/双千兆宽带接入
需要负载均衡、故障切换，减少网络中断
需要站点到站点 VPN（分支 ↔ 总部）、远程办公 VPN
需要简单但稳定的 Wi-Fi 6 覆盖（办公室几十台终端）

7.2 远程办公与混合办公

通过 SSL VPN / OpenVPN / IPsec 为远程员工提供安全访问企业内网
使用 VPN Matcher、DrayDDNS 简化公网 IP 不固定、NAT 后的 VPN 建立

7.3 需要细粒度带宽与内容管理的技术团队或实验室

使用 VLAN + 多子网区分办公网、测试网、访客网
使用带宽管理/QoS 限制非关键流量
使用内容过滤控制访问类别，满足企业合规要求

7.4 连锁门店与小型公共热点

利用 Captive Portal 提供访客 Wi-Fi
后端通过 VigorACS 统一管理多门店路由器
门店内员工终端和访客终端通过 VLAN 彻底隔离

八、与同系列其他型号的关系

Vigor2927 是一个系列，包含多种变体：

Vigor 2927：无无线版本，仅有线双 WAN 防火墙路由器
Vigor 2927ac：集成 802.11ac Wave 2 Wi-Fi 5
Vigor 2927Vac：在 ac 的基础上增加 VoIP FXS 语音端口
Vigor 2927L 系列 / 2927L-5G / 2927Lax-5G：内置 4G/LTE 或 5G 蜂窝模块

Vigor 2927ax 相当于在标准 2927 的基础上，集成 Wi-Fi 6 AX3000 无线功能，但在 WAN/LAN 端口、VPN 容量、防火墙和管理能力方面与同系列保持一致。

九、总结：核心特点概括

综合官方与多方资料，Vigor 2927ax 的关键特性可总结为：

面向 SMB 的专业路由与 VPN 能力
- 双千兆 WAN，负载均衡与故障切换
- 最多 50 条 VPN 隧道，兼容主流协议
- 硬件加速保证高吞吐下仍可运行 QoS、IPsec
集成 Wi-Fi 6 AX3000，无需额外 AP 即可覆盖中小型办公区
- 2×2 MIMO，支持 OFDMA、BSS Coloring、MU-MIMO
- 多 SSID + VLAN 绑定，用于部门与访客隔离
丰富的安全与行为管理
- SPI 防火墙与 DoS 防护
- URL/类别内容过滤、带宽与会话控制
- 热点门户支持
完善的集中管理生态
- 支持 TR-069 与 VigorACS 3
- 内建 AP/Switch/VPN 中央管理
- 适合 MSP 与多分支企业的集中运维需求

对于需要在写字楼或小型机房内实现“出口路由 + VPN 网关 + 基本 Wi-Fi 6”的技术团队或中小企业而言，Vigor 2927ax 是一款总体均衡、部署简单且运维成本较低的选择。

十、官方资料与购买渠道链接

以下列出与 Vigor 2927ax 直接相关的官方资料与购买入口（均为 DrayTek 官方域名或官方区域站点）：

10.1 官方产品资料

全球产品页（英文） Vigor2927 Series – Official Product Page
澳大利亚区域站点（包含 Vigor2927ax 专页与详细说明） Vigor2927 Series – DrayTek Australia
中国大陆官方产品中心（Vigor2927 系列） Vigor2927 系列产品中心 – 居易科技 DrayTek China
官方数据表（Datasheet） DrayTek Vigor 2927 Series Datasheet（PDF）

10.2 官方购买与授权渠道入口

由于 DrayTek 采用区域代理与授权经销模式，不同国家/地区的购买方式略有差异，建议通过以下官方入口查找本地授权渠道：

全球/英语地区
- DrayTek UK – Where to buy
- DrayTek USA – Where to Buy
中国大陆
- 可通过上述中国区产品中心页面，在页面中“我要购买”或“购买渠道”链接跳转至官方授权电商旗舰店或代理商信息。

在实际项目中，建议优先选择官方列出的授权经销商或区域代理，以获得适配本地区固件版本、售后支持与保修服务。

Web前端禁止缓存

Fri, 14 Nov 2025 00:00:00 GMT

Web前端禁止缓存

1. OpenResty 中禁止缓存

http {
    # 让 Nginx 不再自动计算 Expires / Cache-Control
    expires off;

    server {
        listen 80;
        server_name example.com;

        root  /data/www;
        index index.html;

        # ---------- 核心：彻底禁止缓存 ----------
        # 所有响应（包含 4xx/5xx）都加上禁止缓存的头
        add_header Cache-Control "no-store, no-cache, must-revalidate, proxy-revalidate, max-age=0, s-maxage=0" always;
        add_header Pragma        "no-cache" always;
        add_header Expires       "0"       always;

        # 关闭基于时间/ETag 的条件缓存
        if_modified_since off;
        etag off;
        # ------------------------------------

        location / {
            try_files $uri $uri/ /index.html;
        }
    }
}

2. 关于 HTML `<meta>` 禁止缓存

前端常见写法：

<meta http-equiv="Cache-Control" content="no-cache, no-store, must-revalidate" />
<meta http-equiv="Pragma" content="no-cache" />
<meta http-equiv="Expires" content="0" />

Windows 环境下选择 ESET 的最佳版本：个人与服务器场景实用指南

Fri, 14 Nov 2025 00:00:00 GMT

Windows 环境下选择 ESET 的最佳版本：个人与服务器场景实用指南

本文面向 Windows 个人用户与自行维护服务器的技术用户，分别推荐适合的 ESET 版本，并给出官方下载安装链接与主要功能说明。文中所有下载地址均指向 ESET 官方站点或官方下载域名。

一、Windows 个人用户：首选 ESET Security Ultimate

1. 推荐结论

最佳选择：ESET Security Ultimate（隶属于 ESET HOME Security Ultimate 订阅层级）

ESET 官方将 ESET HOME Security Ultimate 定位为其消费者产品中最先进的订阅计划，提供 VPN、身份保护以及多层勒索软件防护等功能。 ESET Security Ultimate 是该订阅计划在 Windows 平台上的主力安全套件，采用多层防御与人工智能技术，在尽量降低系统占用的前提下，对病毒、蠕虫、木马、间谍软件、广告软件、Rootkit 等威胁实施实时拦截。

ESET 官方文档明确说明：ESET Security Ultimate 适用于 Windows 10 / 11 及更高版本。

2. 主要功能与特性

2.1 多层恶意软件防护

实时杀毒与反间谍软件：内核使用 ESET ThreatSense 引擎与机器学习技术，检测并阻止已知和未知恶意软件。
ESET LiveGuard 云沙箱：可将未知样本在云端沙箱执行分析，拦截前所未见的新型威胁，并将分析结果反馈到后续检测中。
勒索软件防护与补救：在 Ultimate 计划中增加针对勒索软件的强化保护和修复能力，对可疑加密行为进行行为监控与阻断。

2.2 网络与设备安全

个人防火墙与网络攻击防护：对入站和出站连接进行过滤，对基于网络的已知漏洞攻击在网络层进行识别与阻止。
家庭网络检查：扫描局域网设备和路由器配置，识别弱口令、开放端口等网络配置风险，并给出整改建议。
反盗窃（Anti-Theft）：通过 ESET HOME 在线界面，在设备丢失或被盗时进行定位、屏幕捕获、账号保护等操作。

2.3 隐私与身份保护

ESET VPN：在 Ultimate 订阅中集成的无限流量 VPN，采用无日志策略，用于加密网络流量、隐藏真实 IP、降低追踪风险。
ESET Identity Protection：监控个人、信用及财务信息是否出现在非法交易数据中，并提供身份泄露风险提醒。
浏览器隐私与安全扩展：为主流浏览器提供恶意网站拦截、跟踪防护及隐私加固功能。
图片元数据清理（Metadata Cleanup）：在 Windows 上清除上传图片中的位置信息等元数据，降低隐私泄露风险。

2.4 数据与账户安全

安全数据加密（Secure Data）：对本地磁盘及可移动存储设备中的重要文件进行加密，防止物理丢失或未授权访问。
密码管理器：提供密码库、自动填充与复杂密码生成，降低密码重复使用带来的风险。

2.5 轻量与多平台支持

ESET 官方将 Security Ultimate 描述为在提供最大保护的同时保持最小系统占用的完整安全解决方案，强调轻量与低资源消耗。
同一订阅可同时保护 Windows、macOS、Android 以及通过 VPN 保护的 iOS 设备，统一在 ESET HOME 账户中集中管理。

3. Windows 个人用户下载方式与官方链接

3.1 通过 ESET HOME 入口在线安装（推荐）

此方式适合绝大多数联网用户，可自动关联订阅与多设备安装流程。

访问官方页面： ESET 家用产品下载入口（ESET HOME Security 计划）
在页面中登录或创建 ESET HOME 账户，通过“保护装置 / Protect device”按钮选择 Windows 设备并下载安装器。

3.2 离线安装包（适合无网或需要批量部署的场景）

ESET 提供独立离线安装程序，适用于在无互联网访问或受限网络环境中安装。

官方离线下载说明（多产品入口）： ESET Windows 家用产品离线安装说明（含 Security Ultimate）
常用架构的直接离线安装包链接（均为 ESET 官方 download.eset.com 域名）：
- Windows 10/11 64 位（主流桌面与笔记本） ESET Security Ultimate 64 位离线安装包（esu_nt64.exe） https://download.eset.com/com/eset/apps/home/esu/windows/latest/esu_nt64.exe
- Windows 32 位 ESET Security Ultimate 32 位离线安装包（esu_nt32.exe） https://download.eset.com/com/eset/apps/home/esu/windows/latest/esu_nt32.exe
- Windows on ARM 64 位 ESET Security Ultimate ARM64 离线安装包（esu_arm64.exe） https://download.eset.com/com/eset/apps/home/esu/windows/latest/esu_arm64.exe

安装完成后，使用合法的 ESET 启动密钥或订阅在向导中完成激活。ESET 官方知识库提醒应仅通过官方网站或授权渠道购买订阅，不建议通过第三方共享或非正规平台购入序列号，以避免盗版与激活风险。

二、Windows 服务器：首选 ESET Server Security for Microsoft Windows Server

1. 推荐结论

最佳选择：ESET Server Security for Microsoft Windows Server（当前主流版本 12.x）

ESET Server Security 是专门为 Microsoft Windows Server 环境设计的一体化安全解决方案，重点保护文件服务器和关键业务主机。

ESET 官方说明，该产品对各类恶意软件提供强有力的防护，核心包括 Antivirus 与 Antispyware 两大类型保护，并集成多项服务器特有的管理与审计功能。

最新发布公告显示，ESET Server Security for Microsoft Windows Server 12.0.12003.0 已于 2025 年 2 月发布并开放下载，是当前建议部署的稳定版本分支。

2. 适用平台与环境

根据官方下载与系统要求文档，ESET Server Security 支持的 Windows Server 版本包括：

Windows Server 2012 R2
Windows Server 2016
Windows Server 2019
Windows Server 2022
Windows Server 2025

仅提供 64 位版本，适合文件服务器、应用服务器、域控制器以及虚拟化主机等场景。

3. 服务器版主要功能与特性

3.1 面向服务器的核心防护

跨平台恶意软件防护：对共享文件与主机系统实施扫描，阻止病毒、勒索软件、木马和间谍软件在服务器环境中传播。
Ransomware Shield：专门针对勒索软件的额外防护层，通过监控应用行为和信誉评估来阻断异常加密与破坏操作。
网络攻击防护（Network Attack Protection）：在网络层检测和阻止利用系统或服务漏洞的攻击流量，减少服务器暴露面。

3.2 服务器专用安全与管理能力

服务器主机防火墙：为 Windows Server 提供专用防火墙，控制所有入站与出站通信流，适应服务器环境的端口与服务需求。
漏洞与补丁管理（Vulnerability & Patch Management）：在与 ESET PROTECT 平台结合时，可对服务器操作系统和常用应用的漏洞进行跟踪与补丁管理，降低未修补漏洞带来的渗透风险。
增强日志查看器与 SysInspector 集成：提供更强大的日志查询与筛选能力，并内置 SysInspector，用于深入分析系统状态与可疑活动。
集中管理支持：通过 ESET PROTECT 控制台，可以统一管理多台服务器与终端，包括策略下发、告警监控与任务调度。

3.3 性能与资源占用

ESET 一直强调其服务器产品在保持高检测率的同时尽量减少系统资源占用，官方资料指出 Windows Server 安全产品使用的资源极少，从而将更多 CPU 与内存保留给关键业务任务。

对于文件服务器场景，这种轻量特性有助于在高并发文件访问时维持稳定性能。

4. Windows Server 官方下载方式与链接

4.1 官方下载入口

通用英文版下载页： ESET Server Security for Microsoft Windows Server – 官方下载页

页面提供“Configure and download your installer”按钮，可选择版本（如 12.0.12003.0）并获取 .msi 安装包。
部分地区站点（如南非地区）同样提供以 “ESET Server Security for Microsoft Windows Server（former ESET File Security for Microsoft Windows Server）” 命名的下载页面，支持 Windows Server 2012 R2 至 2025 等版本。

4.2 安装与部署指引

ESET 官方知识库提供了从下载、安装到激活的完整步骤说明。

安装指引： Download, install, and activate ESET Server Security for Microsoft Windows Server（KB8063）

在生产环境中部署时，应配合以下实践：

先卸载旧版 ESET File Security 或其他防病毒软件；
在 ESET PROTECT 中为服务器创建单独策略，启用文件实时防护、网络攻击防护与勒索软件防护，同时根据业务需要设置排除路径（例如大型数据库数据目录）以平衡性能与安全性。

三、个人电脑与服务器使用场景的选择建议

1. 家用或个人办公电脑

操作系统为 Windows 10 / 11 桌面版；
需要同时保护浏览、网购、网银、网盘、游戏等使用场景；
关注隐私与身份安全，希望同时拥有 VPN 与身份泄露监控能力。

在上述情况下，推荐使用：

ESET Security Ultimate（ESET HOME Security Ultimate 订阅）

用户可通过 ESET HOME 入口或离线安装包进行安装，并在 ESET HOME 中统一管理多台设备。

2. Windows 服务器与文件共享主机

操作系统为 Windows Server 2012 R2 / 2016 / 2019 / 2022 / 2025；
用作文件服务器、域控制器、虚拟化宿主机或关键业务应用服务器；
需要与企业安全平台（ESET PROTECT）集成进行集中管理。

在这些场景下，不应安装家用版或 Endpoint 桌面版，而应使用：

ESET Server Security for Microsoft Windows Server（12.x 分支）

该产品针对服务器负载、网络通信与日志审计进行了优化，可在兼顾性能的同时提供针对勒索软件和网络攻击的多层防护。

通过以上组合，个人 Windows 设备与 Windows Server 主机可以分别采用最合适的 ESET 版本，在保持较低资源占用的前提下获得较高防护强度与良好的可管理性。

在 Windows 下使用 Disk Drill 恢复误删除 / 格式化分区文件

Fri, 14 Nov 2025 00:00:00 GMT

在 Windows 下使用 Disk Drill 恢复误删除 / 格式化分区文件

前言：为什么用 Disk Drill？
下载与安装（含官网地址）
数据恢复前的三条铁律（非常关键）
界面速览：理解几个关键概念
场景一：恢复误删除 / 清空回收站的文件
场景二：恢复被快速格式化 / 分区丢失的数据
高级用法：深度扫描、镜像备份、过滤结果
常见问题与注意事项
结语：把这篇发给需要“补救”的朋友

前言：为什么用 Disk Drill？

Disk Drill 是 CleverFiles 出品的一款老牌数据恢复软件，支持 Windows 10/11 等系统，可从 PC 内置硬盘、外接 USB 硬盘、SSD、U 盘、SD 卡等设备中恢复误删、清空回收站、误格式化、分区丢失等场景下的文件。([cleverfiles.com][1])

官方介绍中明确写到，它可以从格式化的外置磁盘、误删文件、空回收站、崩溃硬盘中恢复数据，并能对丢失分区进行扫描和恢复。([cleverfiles.com][1])

更重要的是：

免费版可恢复部分数据（Windows 下约 100MB），同时可以无限预览，适合先验证“扫不扫得到”。([cleverfiles.com][1])
最新版本 Disk Drill 6 对丢失分区、损坏分区、RAW 分区有专门的优化，支持“查找丢失分区”“深度扫描”等模式。([cleverfiles.com][2])

这篇文档主要讲两个你最可能遇到的情况：

误删除 / 清空回收站（分区还在）
分区被“快速格式化”或直接变成 RAW / 丢失（在资源管理器里看不到）

下载与安装（含官网地址）

强烈建议只从官网或 Microsoft Store 下载，不要从各种“下载站”下带捆绑的旧版本。

官方下载地址

✅ Disk Drill 数据恢复软件（Windows 官方下载页）： 👉 https://www.cleverfiles.com/data-recovery-software.html ([cleverfiles.com][1])
✅ 官方站首页（会跳转到对应下载页面）： 👉 https://www.disk-drill.com/ ([disk-drill.com][3])

官网说明：

运行环境：Windows 10–11（64 位，含 ARM 版本），老系统可用 2.x–5.x 旧版。([cleverfiles.com][1])
免费版：支持无限预览 + 恢复少量数据，验证效果后再考虑升级 PRO。([cleverfiles.com][4])

安装注意点（非常重要）

不要把 Disk Drill 安装在出事的那块盘 / 分区上
- 比如 D 盘误删了，就装在 C 盘或者另一块硬盘上。
下载完成后双击安装，一路“Next”，按提示授权管理员即可。([cleverfiles.com][1])

你在博客里可以配几张安装向导截图就更直观了。

数据恢复前的三条铁律（非常关键）

在正式开软件前，先把这三条写醒目一点（甚至可以在博客里用警告框高亮）：

停止一切写入操作
- 不要再往出事盘里拷贝新文件，不要继续下载/安装软件，不要碎片整理。
- 原因：文件删除或格式化后，数据还在，只是“被标记为空闲”。一旦被新数据覆盖，就算是专业实验室也可能救不回来。([cleverfiles.com][1])
在其他盘安装并存放恢复结果
- Disk Drill 只能“读”出事盘，但恢复出来的文件必须写到另一块物理盘 / 至少是不同分区。
- 官方也建议扫描时以只读方式来保证安全，并把恢复目录设在其他盘上。([cleverfiles.com][1])
SSD + TRIM 的恢复概率较低
- 对于开启 TRIM 的 SSD，很多删除操作会被即时清零，软件能扫到的就少很多。([cleverfiles.com][1])
- 这不是 Disk Drill 的问题，而是 SSD 机制决定的——博客里可以顺带科普一下。

界面速览：理解几个关键概念

第一次打开 Disk Drill，你会看到一个设备列表：

上方：物理磁盘（整块硬盘/SSD，本身不带盘符）
下方：卷 / 分区（C:、D: 等可见分区，以及可能的“丢失分区”）
右键 / 按钮常见操作：
- Search for lost data（搜索丢失数据）：综合扫描，包含快速 + 深度扫描，是最常用入口。([cleverfiles.com][1])
- Deep Scan（深度扫描）：基于文件签名的 RAW 扫描，适合格式化、分区损坏场景。([disktuna.com][5])
- Search for lost partitions / Scan for partitions（搜索丢失分区）：针对整块物理磁盘，查找被删除/格式化/丢失的分区。([cleverfiles.com][6])

官方文档还提到，不同扫描模式会组合使用：一般直接点“Search for lost data”就行，Disk Drill 会自动决策具体扫描策略。([cleverfiles.com][7])

场景一：恢复误删除 / 清空回收站的文件

场景例子：

SHIFT+DEL 把一堆项目源码删没了

清空回收站后发现删错了资料

盘没有格式化，只是文件不见了

步骤 1：选择正确的分区

打开 Disk Drill。
在“存储设备”列表里找到你的分区，比如：
- Disk 0 > NTFS (D:) 工作盘
选中该分区（注意：不是物理磁盘那一行，而是具体盘符那一行）。

步骤 2：运行“搜索丢失数据”

右侧或下方点击 “Search for lost data”。([cleverfiles.com][1])
Disk Drill 会执行一个综合扫描：
- 先用快速方式扫描最近删除记录
- 再用深度扫描去找更久之前、或者文件系统损坏后的文件([disktuna.com][5])

你可以在博客里放一张“正在扫描分区”的截图，界面上会显示进度条和已找到的文件数量。

步骤 3：按类型/路径浏览并预览文件

扫描过程中或结束后：

点击界面中的 “Review found items（查看找到的项目）”。([cleverfiles.com][4])
左侧会按类型分类：
- Pictures / Videos / Audio / Documents / Archives …
上方有搜索框，可以按文件名关键字过滤。
选中某个文件时右侧会显示预览（图片、小视频、文档等），可以确认是否完整。([cleverfiles.com][1])

步骤 4：选择文件并恢复到安全位置

勾选需要恢复的文件或文件夹。
点击右下角 “Recover（恢复）” 按钮。([Data Recovery Wiki][8])
非常关键：在弹出的目录选择框中，选择一块不同的磁盘 / 分区作为恢复目标。
- 比如：D 盘丢数据 → 恢复到 E 盘或外接硬盘。
等待恢复完成即可。

小建议：

一开始可以只恢复少量关键文件，确认完整性和目录结构无问题，再批量恢复更多。

场景二：恢复被快速格式化 / 分区丢失的数据

典型情况：

误把移动硬盘 / 分区“快速格式化”，结果盘空了

分区突然变成 RAW / 未分配，在资源管理器里看不到

分区工具误操作，把分区删了

这种情况，目标不只是“单个文件”，而是整个丢失的分区。Disk Drill 提供了专门的“分区恢复”功能。([cleverfiles.com][6])

步骤 1：选中物理磁盘，而不是某个分区

打开 Disk Drill。
找到对应的物理磁盘，例如：
- Disk 1 – 1000 GB WDC WD10EZEX...
选中的是“Disk 1”这一行，而不是下面的某个卷（因为分区已经丢失/变 RAW 了）。

步骤 2：搜索丢失分区

右键点击该物理磁盘，选择：
- “Search for lost partitions” / “Scan for partitions”。([cleverfiles.com][6])
Disk Drill 会对整个磁盘底层结构进行扫描：
- 尝试找回曾经存在过的 NTFS / FAT32 / exFAT 等分区
- 包括被删除、被覆盖分区表的情况([cleverfiles.com][6])

扫描完成后，你会看到：

在设备列表中多出一些“Lost partition / 找到的旧分区”
其中会标注原来的文件系统类型、大小等信息，方便你辨认

步骤 3：对丢失分区执行“搜索丢失数据”

在列表中选中你需要的那一个“丢失分区”（通常大小、文件系统能帮助判断）。([cleverfiles.com][4])
再次点击 “Search for lost data”。
等待扫描完成，进入“Review found items”。

此时你能像场景一那样：

按目录树查看原有文件夹结构（如果文件系统元数据仍然存在的话）
按文件类型浏览
预览图片/视频/文档

步骤 4：选择文件并恢复到其他磁盘

和场景一一样：

勾选需要的文件 / 文件夹 / 整个分区树。
点击 “Recover”。([cleverfiles.com][6])
选择另一块磁盘/分区作为恢复路径。
等待恢复完成。

提示：

对于已经“变成未分配”的分区，Disk Drill 仍然可以扫描这些区域，只要在“存储设备”中看到对应容量即可。([cleverfiles.com][6])

但不要先在磁盘管理里新建分区并格式化再来恢复，那样会降低成功率。

高级用法：深度扫描、镜像备份、过滤结果

这一节可以作为博客的“进阶部分”。

1. 深度扫描（Deep Scan）

当：
- 多次格式化
- 分区结构严重损坏
- 只想“能捞到多少算多少”时
可以针对分区或整个磁盘使用 Deep Scan：
- 基于文件签名进行 RAW 扫描，对目录结构要求较低
- 更适合照片、视频等大文件的“残片”恢复([disktuna.com][5])

但要提醒读者：

深度扫描时间会长得多
恢复出来的文件可能没有原始文件名 / 目录，需要后期整理

2. 先做字节级镜像再恢复（Byte-to-Byte Backup）

对于怀疑硬盘有坏道或不稳定的情况，官方强烈推荐：

使用 Disk Drill 的 Byte-to-byte backup（字节到字节备份） 先对整块盘做镜像。([cleverfiles.com][2])
然后只对这个镜像文件进行扫描和恢复操作。

好处：

能减少对“濒死硬盘”的读写压力
一旦盘完全挂掉，你手里还有一个完整的镜像可多次尝试不同方案

3. 过滤和管理扫描结果

Disk Drill 提供了一些提高效率的小功能：([cleverfiles.com][1])

按类型过滤：只看图片 / 视频 / 文档
按时间过滤：只看最近一段时间删除的文件（不同版本界面略有变化）
搜索历史、分组、排序：在大规模恢复时用起来会非常舒服
将扫描结果挂载为虚拟磁盘：在某些版本里，可以把扫描结果挂载成磁盘，用资源管理器直接拖拽文件。

常见问题与注意事项

1. 免费版够用吗？

官方：Windows 免费版允许恢复约 100 MB 数据，并可无限预览可恢复文件。([cleverfiles.com][4])
建议博客里写：
- 小量文档 / 照片：先试免费版，如果够用就不用付费
- 大量素材 / 整个分区：免费版当“试水”，确认扫得到、预览正常，再考虑升级 PRO

2. 什么时候应该立刻停止自己动手？

遇到以下情况，建议在文章里强调“别再继续扫，尽快找专业数据恢复机构”：

硬盘有明显异响（咔咔声等）
插上经常掉盘、识别时间极长
扫描过程中反复出现严重 I/O 错误

原因：

这是物理故障的典型表现，继续自己反复扫描有可能加重损伤，甚至让专业机构也无力回天。

3. 文件都找到了，但打开是坏的？

常见原因：

数据部分已经被新写入覆盖，只保留了文件名 / 目录结构
对于视频 / 压缩包这类对数据完整性要求高的文件来说，稍微坏一点就可能无法打开
这不是 Disk Drill 的 bug，而是底层数据真的已经损坏

可以在博客里提醒读者：

尽量先恢复最关键的文件（例如重要文档、工作工程、家庭照片），不要拖延。
恢复后立刻多地点备份。

全球顶尖移动取证设备完整指南

Thu, 13 Nov 2025 00:00:00 GMT

全球顶尖移动取证设备完整指南

📋 概述

本文档汇总了全球范围内面向解锁与深度采集能力（尤其是全文件系统 FFS）的顶尖移动取证设备与服务。排名基于以下三个核心维度：

🔓 锁定设备的访问/解锁能力
💾 深度提取能力（FFS/密钥材料）
🏢 行业影响力与可得性

⚠️ 重要声明

本清单仅基于各厂商公开的官方信息与产品定位进行横向比较
多数高阶解锁功能仅对执法/政府机构开放
不披露任何可操作的攻击细节与漏洞路径
能力会随设备型号、系统版本和安全补丁而变化

🏆 顶尖取证设备排名

1️⃣ Cellebrite Advanced Services (CAS)

💡 核心定位

官方实验室级服务,面向被锁定的 iOS/Android 设备,在合法授权下执行访问/解锁与全文件系统提取。能力随机型与补丁滚动更新。

🔗 官方资源

服务主页: Advanced Services
实验室服务: Lab Services

✨ 核心优势

实验室级专业服务
持续更新的设备支持
针对最复杂案例的解决方案

2️⃣ Cellebrite Inseyets

💡 核心定位

访问更多设备、提取更多数据（含加密内容）的新一代一体化平台。官方宣称可显著提升提取覆盖与效率,支持 FFS 与工作流自动化。

🔗 官方资源

产品主页: Cellebrite Inseyets
UFED 整合: Inseyets Powered by UFED
解决方案: FSI Solutions

✨ 核心优势

新一代平台架构
UFED 能力整合
自动化工作流支持

3️⃣ Magnet GrayKey

💡 核心定位

面向执法/政府的同日访问能力,针对最新 iOS 与主流 Android提供快速解锁与深度取证入口。与 Magnet AXIOM 深度衔接。

🔗 官方资源

产品主页: Magnet GrayKey
Grayshift 官网: Grayshift

✨ 核心优势

解锁/访问层王牌
同日访问能力
与 AXIOM 生态深度整合

4️⃣ MSAB XRY Pro + Access Services

💡 核心定位

XRY 系列覆盖逻辑/物理/云多模式提取,强调独有 exploit 与解码。官方"Access Services"提供疑难机型的实验室级访问/解密协助。

🔗 官方资源

XRY Extract: 产品页面
XRY Pro: 专业版
Access Services: 专业服务

✨ 核心优势

多模式提取能力
独有 exploit 技术
实验室级辅助服务

5️⃣ HancomGMD (MD-NEXT / MD-LIVE / MD-RED)

💡 核心定位

在亚洲芯片/机型覆盖、JTAG/Chip-off 流程等方面传统上具有优势。提供现场快取（MD-LIVE）、数据提取（MD-NEXT）与分析（MD-RED）全链路解决方案。

🔗 官方资源

官方网站: GMDSOFT
产品系列: Mobile Forensic Software

✨ 核心优势

亚洲市场深耕
JTAG/Chip-off 专长
全链路解决方案

6️⃣ Elcomsoft iOS Forensic Toolkit (EIFT)

💡 核心定位

针对 iOS 设备的专业取证工具包,覆盖文件系统镜像、锁定记录（lockdown）利用、密钥材料提取等多路径（依赖机型/版本）。

🔗 官方资源

产品主页: iOS Forensic Toolkit

✨ 核心优势

iOS 深度采集专家
多种提取路径
密钥材料提取

7️⃣ Passware Kit Mobile (PKM)

💡 核心定位

主打移动设备数据提取与解密,持续扩展支持设备列表。

⚠️ 注意: 销售与功能在不同主体/地区有合规限制。

🔗 官方资源

产品主页: Kit Mobile
支持设备: 设备列表

✨ 核心优势

解密/解锁取向
持续更新设备支持

8️⃣ Oxygen Forensic Detective (OFD)

💡 核心定位

以应用/账号/云取证覆盖度与分析能力见长,持续版本更新。适用于已解锁/已知口令或云端授权场景下的深度还原。

🔗 官方资源

官方网站: Oxygen Forensics
产品手册: OFD Brochure (PDF)

✨ 核心优势

应用/云取证覆盖广
强大的分析能力
持续版本更新

9️⃣ MOBILedit Forensic (含 Ultra/Express)

💡 核心定位

一体化采集＋解析方案,覆盖手机、可穿戴与云。Ultra 版强调"安全绕过/解锁增强"与并发处理。

🔗 官方资源

产品主页: MOBILedit Forensic
品牌官网: MOBILedit

✨ 核心优势

一体化解决方案
多设备类型支持
并发处理能力

🔟 OpenText EnCase Mobile Investigator

💡 核心定位

OpenText EnCase 体系下的移动证据分析/审阅产品,集成绕过/云访问等能力,用于法证工作流整合与报告。

🔗 官方资源

产品主页: Mobile Investigator

✨ 核心优势

EnCase 生态整合
法证工作流支持
专业报告生成

📚 生态与验证资源

主要厂商官网

厂商	官网	核心产品
Cellebrite	cellebrite.com	Inseyets, Pathfinder, Guardian
MSAB	msab.com	XRY, XAMN, XEC, UNIFY
Magnet Forensics	magnetforensics.com	AXIOM, GrayKey, Automate, Review

💡 采购与使用建议

🔐 合法授权优先

多数"解锁/深度提取"功能仅对执法/政府机构或经严格审查的机构开放。请在合规框架下采购与使用。

📱 能力动态变化

解锁/FFS 能力和以下因素强相关:

设备型号
系统版本
锁定状态（AFU/BFU）
安全补丁级别

请以厂商当前版本说明与官方服务评估为准。

🎯 选择建议

需求场景	推荐方案
最新 iOS 设备解锁	Cellebrite CAS / GrayKey
Android 深度提取	Cellebrite Inseyets / MSAB XRY Pro
亚洲机型	HancomGMD
iOS 专项取证	Elcomsoft EIFT
云取证/应用分析	Oxygen Forensic Detective
一体化解决方案	MOBILedit Forensic Ultra

顶级Linux后门清除软件

Wed, 12 Nov 2025 00:00:00 GMT

顶级Linux后门清除软件

平台概述

CrowdStrike Falcon 是一个完全基于云原生架构的端点安全防护平台，由 CrowdStrike 公司于 2011 年推出。该平台采用 SaaS 模型，通过单一轻量级代理（Single Agent）实现对企业端点的全面安全防护，目前保护 314 家《财富》500 强企业和 564 家《财富》1000 强企业。

作为下一代端点保护平台（EPP）和端点检测与响应（EDR）解决方案的领导者，截至 2025 年，CrowdStrike 已连续六次被评为 Gartner 端点保护平台魔力象限领导者。

支持的系统类型

桌面操作系统

Windows 平台

Windows 11（所有版本）
Windows 10（支持的特性更新版本）
Windows 8/8.1
Windows 7 及更早版本（通过 Falcon for Legacy Systems）

macOS 平台

macOS Sequoia 15（需要传感器版本 7.19 及更高）
macOS Sonoma 14
macOS Ventura 13
macOS Monterey 12
支持 Intel CPU 和 Apple Silicon（M1/M2）原生架构

Linux 平台

主流 Linux 发行版
支持 x86_64 和 ARM64（包括 AWS Graviton）处理器架构

服务器操作系统

Windows Server

Windows Server 2022/2019/2016
Windows Server 2012 R2/2012
Windows Server 2008 R2
Windows Server 2003（通过 Falcon for Legacy Systems）

Linux Server

各主流服务器版本
企业级发行版支持

移动设备平台

移动操作系统

iOS（Apple 移动设备）
Android（Android 设备）

其他平台

ChromeOS

Chrome Enterprise 管理的 ChromeOS 设备
支持 US-1、US-2、EU-1 CrowdStrike 云环境

云平台

Amazon EC2 实例（支持所有主流操作系统）
AWS Graviton 处理器
多云环境支持

传统系统支持

CrowdStrike 专门推出了 Falcon for Legacy Systems，为无法升级的传统系统提供安全防护：

Windows XP
Windows Server 2003
Windows 8/8.1
其他停止维护的 Windows 系统

核心技术架构

云原生架构

Falcon 平台采用 100% 云原生架构，完全基于 SaaS 模型部署。该架构消除了传统安全解决方案中需要部署控制器、配置本地设备、维护硬件基础设施的复杂性。所有安全计算和分析工作都在 CrowdStrike 安全云中完成。

单一代理架构

Falcon 采用轻量级单一代理（Single Agent）设计，该代理：

体积小巧，占用系统资源极低
部署时间仅需数分钟
无需病毒签名文件更新
安装通常无需重启，日常内容更新在云端下发
提供在线和离线状态下的持续保护

CrowdStrike 安全云

安全云是 Falcon 平台的核心引擎，其特点包括：

每天处理数万亿级安全事件
整合攻击指标、威胁情报和企业遥测数据
采用 AI 和机器学习进行威胁关联分析
实时同步全球威胁情报

威胁图技术（Threat Graph）

CrowdStrike 专有的威胁图技术能够：

实时将海量安全事件进行上下文关联
揭示数据点之间的隐藏关系
提供可视化的攻击链分析
支持近实时的威胁追溯查询

核心优势

1. AI 驱动的威胁检测

机器学习引擎

无需依赖病毒签名库，采用行为分析和机器学习模型
能够识别已知和未知恶意软件（零日攻击）
基于 MITRE ATT&CK 框架的攻击行为识别
在 SE Labs 的端点保护和勒索软件防护评测中取得 100% 防护率和零误报的成绩

智能威胁情报

追踪 257 个已命名威胁对手（2025 全球威胁报告）
持续更新攻击者的战术、技术和程序（TTP）
众包数据策略：每个新客户都为平台贡献更多威胁数据
形成数据飞轮效应，防护能力随客户增长而增强

2. 部署和运维优势

快速部署

几分钟内完成部署并立即生效
无需复杂的基础设施配置
支持 GPO、脚本等自动化部署方式
可扩展至企业级大规模环境

零摩擦运维

安装通常无需重启，更新多在云端完成
不影响端点性能和用户生产力
基于浏览器的统一管理控制台
支持从单一平台管理现代和传统系统

3. 全面的防护能力

端点保护（EPP）

下一代防病毒（NGAV）
漏洞利用防护
设备控制（USB 设备管理）
防火墙策略管理（Windows、macOS、Linux）

端点检测与响应（EDR）

持续监控端点活动
自动检测和优先级排序恶意行为
完整的攻击过程可视化
基于 MITRE ATT&CK 框架的详细报告

威胁狩猎（Threat Hunting）

24/7 专家团队主动狩猎威胁
利用云规模数据和专有工具
实时发现潜伏的高级持续性威胁（APT）
将检测和响应之间的时间差降至最低

4. 统一平台架构

XDR 能力

统一保护端点、云工作负载、身份、数据
单一代理、单一控制台、单一平台
跨域威胁关联和追踪
消除安全工具碎片化问题

零信任安全

身份威胁检测和保护（Falcon Identity Protection）
基于风险的条件访问控制
行为分析和异常检测
阻止权限提升、横向移动等攻击技术

5. AI 代理安全能力

Agentic 安全工作流

Charlotte AI 驱动的自然语言查询转换
基于数百万 SOC 决策训练的智能代理
自主推理和行动能力
Charlotte Agentic SOAR 编排层协调多个 AI 代理

无代码自动化（Falcon Foundry / AgentWorks）

支持自然语言构建安全应用
将 Python、PowerShell、Bash 脚本转化为企业级自动化
开箱即用的查询、操作和仪表板
无代码/低代码构建自定义代理

6. 合规性支持

Falcon 平台获得多项第三方认证和评估：

PCI DSS v4.0
HIPAA（有第三方评估报告表明平台可协助实现 HIPAA 合规要求）
NIST
SOC 2
CSA-STAR
FFIEC

7. 在线/离线保护

传感器内置所有必需的防护技术：

机器学习模型
漏洞阻止
哈希阻止
行为式 AI 启发式算法

即使端点离线，也能持续提供保护。

技术创新

扩展物联网（XIoT）安全

最新的 Falcon for XIoT 能力（2025 年新增）提供：

零接触资产发现
实时分段可见性
OT 和 XIoT 系统的统一洞察
IT、云和 OT/XIoT 环境的集成安全

传统系统现代化保护

Falcon for Legacy Systems 采用无签名、云原生架构：

不占用过多系统资源
机器学习驱动的实时保护
与现代系统统一管理
适用于医疗设备、工业机械等关键基础设施

典型应用场景

企业端点保护

适用于需要保护大规模端点环境的企业，提供统一的安全管理和可视化能力。

云环境安全

支持混合云和多云环境，保护 EC2 实例和容器化工作负载。

远程办公保护

为分布式工作场景提供一致的安全防护，无论端点位于何处。

传统系统维护

为无法升级的传统系统提供现代化安全防护，解决医疗、制造等行业的安全合规难题。

零信任架构实施

支持企业构建以身份和工作负载为中心的零信任安全战略。

技术对比优势

相比传统杀毒软件

传统 AV

依赖签名库，需要频繁更新
对未知威胁检测能力有限
消耗大量系统资源
需要本地管理和维护

CrowdStrike Falcon

无签名架构，基于行为和机器学习
有效检测零日攻击和未知威胁
轻量级代理，资源占用极低
云端管理，自动更新

相比其他 EDR 方案

单一代理架构降低复杂性
云原生设计无需本地基础设施
全球威胁情报实时共享
专家威胁狩猎服务集成
从 EPP 到 XDR 的完整安全栈

性能指标

年度经常性收入（ARR）：46.6 亿美元（截至 2025 年 7 月 31 日，财年 2026 Q2，同比增长 20%）
企业客户覆盖：314 家《财富》500 强企业、564 家《财富》1000 强企业
端点保护数量：数百万个端点
每天处理事件数：数万亿级
可扩展性：云原生架构支持企业级无缝扩展

总结

CrowdStrike Falcon 平台通过云原生架构、AI 驱动的威胁检测、单一代理设计和统一的 XDR 能力，重新定义了现代端点安全。其轻量级部署、零摩擦运维、在线离线保护和全面的系统支持，使其成为从传统端点到云工作负载、从现代操作系统到传统系统的全场景安全解决方案。

平台的持续创新能力体现在 AI 代理自动化、XIoT 安全扩展、零信任架构支持等方面，确保企业能够应对不断演变的网络威胁态势。对于寻求统一、高效、智能安全平台的企业而言，CrowdStrike Falcon 提供了一个成熟且经过验证的选择。

eSIM全球上网指南

Tue, 11 Nov 2025 00:00:00 GMT

eSIM全球上网指南

Ubigi eSIM

基本信息

Ubigi 是法国电信运营商 Transatel 旗下的 eSIM 品牌，成立于 2016 年。Ubigi 专注于为旅行者和物联网设备提供全球移动数据服务，与多家汽车制造商（如 Audi、Jaguar Land Rover）合作，为车载系统提供连接服务。

覆盖范围

覆盖国家数量：200+ 个国家和地区

主要覆盖区域：

亚洲：中国、日本、韩国、新加坡、泰国、越南、印度尼西亚、马来西亚、印度、巴基斯坦、菲律宾、台湾、香港、澳门

欧洲：覆盖所有欧盟国家及周边国家（50+ 国家）

北美洲：美国、加拿大、墨西哥

南美洲：巴西、阿根廷、智利、哥伦比亚、秘鲁

大洋洲：澳大利亚、新西兰

非洲：南非、肯尼亚、尼日利亚、埃及、摩洛哥

中东：阿联酋、沙特阿拉伯、卡塔尔、以色列、土耳其

网络运营商

Ubigi 与全球 600+ 运营商合作，在每个国家自动连接到信号最强的运营商网络。

中国：中国移动、中国联通

美国：AT&T、T-Mobile、Verizon

欧洲：Vodafone、Orange、Telefónica、Deutsche Telekom

日本：NTT Docomo、KDDI、SoftBank

韩国：SK Telecom、KT、LG U+

套餐类型

Ubigi 提供三种套餐类型：

1. 单国套餐：针对特定国家的数据套餐

2. 区域套餐：覆盖特定区域（如欧洲、亚太）的数据套餐

3. 全球套餐：覆盖全球 200+ 国家的数据套餐

套餐价格（全球套餐）

流量	有效期	价格（美元）	价格（人民币）	单价（元/GB）
500MB	30天	$9.00	¥66	¥132.0
1GB	30天	$16.00	¥117	¥117.0
3GB	30天	$39.00	¥286	¥95.3
5GB	30天	$59.00	¥432	¥86.4
10GB	30天	$99.00	¥725	¥72.5

套餐价格（中国单国套餐）

流量	有效期	价格（美元）	价格（人民币）	单价（元/GB）
500MB	30天	$7.00	¥51	¥102.0
1GB	30天	$12.00	¥88	¥88.0
3GB	30天	$29.00	¥212	¥70.7
5GB	30天	$45.00	¥330	¥66.0
10GB	30天	$79.00	¥579	¥57.9

办理条件

设备要求：

支持 eSIM 功能的智能手机、平板电脑或车载系统
iPhone XS 及更新机型
Google Pixel 3 及更新机型（中国/香港/澳门版本除外）
Samsung Galaxy S20 及更新机型
部分 iPad 和 Apple Watch 机型
支持 eSIM 的车载系统（Audi、Jaguar Land Rover 等）

网络要求：

设备必须已解锁
安装 eSIM 时需要互联网连接

身份要求：

无需护照
无需实名认证
仅需电子邮件地址和支付方式

年龄限制：无

国籍限制：无

办理流程

访问 Ubigi 官网（cellulardata.ubigi.com）或下载 Ubigi 应用（iOS/Android）
注册账户（提供电子邮件地址）
选择目的地（单国、区域或全球）
选择合适的套餐
完成支付（支持信用卡、PayPal）
接收 eSIM 配置文件
安装 eSIM（通过 QR 码或应用内一键安装）
到达目的地后自动激活

办理时间：即时

激活方式：连接到目标网络时自动激活

功能特性

手机号码：不提供。Ubigi eSIM 仅提供移动数据服务，不包含手机号码，因此无法接打电话或收发传统短信。用户可以通过 WhatsApp、Telegram、微信等即时通讯应用进行网络通话。

数据服务：支持

语音通话：不支持（传统通话）

短信服务：不支持（传统短信）

热点共享：支持

充值功能：支持，可随时购买新套餐或充值

多设备使用：不支持，一个 eSIM 仅限一台设备

双卡双待：支持

自动续费：可选（默认关闭）

网络性能

网络类型：4G/5G

网络速度：

中国：4G LTE，平均速度 20-60 Mbps
美国：5G，平均速度 50-300 Mbps
欧洲：4G/5G，平均速度 30-150 Mbps

信号覆盖：

城市地区：优秀
郊区：优秀
偏远地区：良好（与 600+ 运营商合作，覆盖更广）

使用限制

公平使用政策：

每日使用量不得超过套餐总量的 50%
过度使用可能被限速或暂停服务

禁止用途：

P2P 文件共享
商业转售
非法活动

地域限制：套餐仅在购买时选择的覆盖区域有效

客户支持

支持渠道：

应用内聊天
电子邮件支持（support@ubigi.com）
帮助中心

支持语言：英语、法语、德语、西班牙语、中文等

响应时间：通常在 48 小时内回复

退款政策

未激活套餐：购买后 14 天内可申请全额退款

已激活套餐：不支持退款

特殊情况：技术问题导致无法使用可申请退款或补偿

优势

覆盖范围最广（200+ 国家和地区）
与 600+ 运营商合作，自动连接最强信号
支持车载系统，适合自驾旅行
提供单国、区域和全球套餐，选择灵活
在中国可直接访问国际服务，无需 VPN
退款政策较宽松（14 天）

劣势

价格较高，性价比低于 Airalo
不提供长期套餐（最长 30 天）
不提供手机号码、语音通话和短信服务
公平使用政策限制较多
客户支持响应时间较长

适用场景

短期旅行：7-30 天单国或多国旅行

自驾旅行：需要车载系统连接的用户

商务出差：需要在多个国家保持稳定网络连接

高端用户：对网络质量要求高，愿意支付更高价格

Airalo Global eSIM

基本信息

Airalo 成立于 2019 年，是全球首家 eSIM 商店，为超过 2000 万用户提供服务。Airalo Global eSIM 是其旗舰产品，提供覆盖 137 个国家和地区的全球移动数据服务。

覆盖范围

覆盖国家数量：137 个国家和地区

主要覆盖区域：

亚洲：中国、日本、韩国、新加坡、泰国、越南、印度尼西亚、马来西亚、印度、巴基斯坦、斯里兰卡、台湾、香港、澳门

欧洲：英国、法国、德国、意大利、西班牙、荷兰、比利时、瑞士、奥地利、波兰、捷克、希腊、葡萄牙、爱尔兰、瑞典、挪威、丹麦、芬兰、冰岛

北美洲：美国、加拿大、墨西哥

南美洲：巴西、阿根廷、智利、哥伦比亚、秘鲁、厄瓜多尔

大洋洲：澳大利亚、新西兰

非洲：南非、肯尼亚、尼日利亚、埃及、摩洛哥、突尼斯

中东：阿联酋、沙特阿拉伯、卡塔尔、以色列、土耳其、约旦、阿曼、科威特

网络运营商

中国：中国联通

美国：AT&T、T-Mobile

欧洲主要国家：Vodafone、Orange、Telefónica、Deutsche Telekom

日本：KDDI

韩国：KT Olleh

套餐价格

流量	有效期	价格（欧元）	价格（人民币）	单价（元/GB）
1GB	7天	€8.50	¥66	¥66.0
2GB	15天	€15.50	¥120	¥60.0
3GB	30天	€21.50	¥167	¥55.7
5GB	60天	€31.50	¥245	¥49.0
10GB	180天	€51.00	¥396	¥39.6
20GB	365天	€59.00	¥458	¥22.9

办理条件

设备要求：

支持 eSIM 功能的智能手机或平板电脑
iPhone XS、XS Max、XR 及更新机型
Google Pixel 3 及更新机型（中国/香港/澳门版本除外）
Samsung Galaxy S20 及更新机型
其他支持 eSIM 的设备

网络要求：

设备必须已解锁（不受运营商锁定）
安装 eSIM 时需要互联网连接（Wi-Fi）

身份要求：

无需护照
无需实名认证
仅需电子邮件地址和支付方式

年龄限制：无

国籍限制：无，全球用户均可购买

办理流程

访问 Airalo 官网（www.airalo.com）或下载 Airalo 应用（iOS/Android）
注册账户（提供电子邮件地址）
搜索"Global"选择 Global eSIM
选择合适的套餐（根据流量和有效期）
完成支付（支持信用卡、PayPal、支付宝、微信支付）
接收 QR 码（通过电子邮件或应用）
扫描 QR 码安装 eSIM
到达目的地后自动激活

办理时间：即时（支付后立即收到 QR 码）

激活方式：连接到目标网络时自动激活

功能特性

手机号码：不提供。大多数 Airalo eSIM 均为纯数据套餐，不附带手机号码，无法用于接打电话或收发传统短信。用户可以通过 WhatsApp、Telegram、微信等即时通讯应用进行网络通话。

数据服务：支持

语音通话：不支持（传统通话）

短信服务：不支持（传统短信）

热点共享：支持

充值功能：支持，可随时购买充值套餐

多设备使用：不支持，一个 eSIM 仅限一台设备

双卡双待：支持，可与实体 SIM 卡同时使用

网络性能

网络类型：4G/5G（取决于目的地和运营商）

网络速度：

中国：4G LTE，平均速度 20-50 Mbps
美国：5G，平均速度 50-200 Mbps
欧洲：4G/5G，平均速度 30-100 Mbps

信号覆盖：

城市地区：优秀
郊区：良好
偏远地区：一般（取决于当地运营商覆盖）

使用限制

公平使用政策：无明确限制，但过度使用可能被限速

禁止用途：

商业转售
非法活动
违反当地法律的用途

地域限制：

套餐仅在覆盖的 137 个国家和地区有效
海外领土可能不包含在覆盖范围内

客户支持

支持渠道：

应用内聊天（24/7）
电子邮件支持
帮助中心（自助服务）

支持语言：53 种语言，包括中文、英文、日文、韩文等

响应时间：通常在 24 小时内回复

退款政策

未激活套餐：购买后 7 天内可申请全额退款

已激活套餐：不支持退款

特殊情况：技术问题导致无法使用可申请退款

优势

覆盖范围广（137 个国家和地区）
提供长期套餐（最长 365 天）
价格合理，性价比高
无需实名认证，办理简便
支持充值，灵活性高
用户评价高（4.7/5.0）
在中国可直接访问国际服务（Google、Facebook 等），无需 VPN

劣势

不提供手机号码、语音通话和短信服务
一个 eSIM 仅限一台设备使用
部分偏远地区信号可能较弱
已激活套餐不支持退款

适用场景

短期旅行：7-30 天多国旅行，需要稳定的移动数据

中期停留：1-6 个月在多个国家工作或学习

长期使用：1 年内频繁往返多个国家

商务出差：需要在多个国家保持网络连接

数字游民：在全球各地远程工作

对比总结

覆盖范围对比

项目	Ubigi	Airalo Global
覆盖国家	200+	137
包含中国	✅	✅
中国网络	中国移动、中国联通	中国联通
合作运营商数量	600+	未公开

结论：Ubigi 覆盖范围更广，合作运营商更多。

价格对比（30天套餐）

流量	Ubigi 全球套餐	Ubigi 中国套餐	Airalo Global
1GB	$16.00 (¥117)	$12.00 (¥88)	€8.50 (¥66)
3GB	$39.00 (¥286)	$29.00 (¥212)	€21.50 (¥167)
5GB	$59.00 (¥432)	$45.00 (¥330)	€31.50 (¥245)
10GB	$99.00 (¥725)	$79.00 (¥579)	€51.00 (¥396)

结论：Airalo 价格明显低于 Ubigi，性价比更高。

长期使用对比

项目	Ubigi	Airalo Global
最长有效期	30 天	365 天
长期套餐	不提供	20GB/365天 €59
充值功能	✅	✅

结论：Airalo 更适合长期使用。

功能对比

功能	Ubigi	Airalo Global
手机号码	❌	❌
数据服务	✅	✅
语音通话	❌	❌
短信服务	❌	❌
热点共享	✅	✅
车载系统	✅	❌
自动续费	✅（可选）	❌

结论：功能基本相同，Ubigi 额外支持车载系统和自动续费。

办理条件对比

项目	Ubigi	Airalo Global
需要护照	❌	❌
需要实名	❌	❌
设备要求	eSIM 兼容设备	eSIM 兼容设备
年龄限制	无	无
国籍限制	无	无

结论：办理条件完全相同。

客户支持对比

项目	Ubigi	Airalo Global
支持渠道	应用内聊天、邮件	应用内聊天、邮件
支持语言	5+ 种	53 种
响应时间	48 小时内	24 小时内
退款期限	14 天	7 天

结论：Airalo 客户支持更快，Ubigi 退款期限更长。

用户评价对比

项目	Ubigi	Airalo Global
App Store 评分	4.5/5.0	4.7/5.0
Google Play 评分	4.3/5.0	4.6/5.0
用户数量	未公开	2000 万+

结论：Airalo 用户评价更高，用户基数更大。

选择建议

选择 Ubigi eSIM 的理由

需要最广的覆盖范围（200+ 国家）
前往偏远地区或小众国家
需要车载系统连接
对网络质量要求极高
需要自动续费功能
需要更长的退款期限（14 天）

选择 Airalo Global eSIM 的理由

预算有限，追求性价比
需要长期使用（90 天以上）
主要在亚洲、欧洲、北美旅行
重视用户评价和品牌知名度
需要中文客户支持

综合推荐

最广覆盖：Ubigi eSIM

最佳性价比：Airalo Global eSIM

长期使用：Airalo Global eSIM（365 天套餐）

短期旅行：Airalo Global eSIM（价格更低）

自驾旅行：Ubigi eSIM（支持车载系统）

商务出差：Airalo Global eSIM（性价比高，支持多语言）

常见问题

eSIM 是否提供手机号码？

不提供。Ubigi 和 Airalo 的标准套餐均为纯数据套餐，不附带手机号码。这意味着您无法使用 eSIM 接打电话或收发传统短信。所有通话和信息收发都需要通过 WhatsApp、Telegram、微信等依赖数据网络的即时通讯应用完成。

可以同时使用两个 eSIM 吗？

可以。大多数支持 eSIM 的设备可以存储多个 eSIM 配置文件，但同时只能激活一个用于数据。可以在设置中随时切换。

eSIM 可以转移到其他设备吗？

不可以。eSIM 一旦安装到设备上，就无法转移到其他设备。如果需要更换设备，必须购买新的 eSIM。

流量用完后可以充值吗？

可以。Airalo 和 Ubigi 都支持充值功能，可以随时购买新套餐或充值套餐。

可以在中国访问 Google、Facebook 吗？

可以。使用国际 eSIM（Airalo 或 Ubigi）在中国时，可以直接访问被屏蔽的国际服务，无需额外购买 VPN。

如何检查设备是否支持 eSIM？

打开"设置" > "网络和互联网" > "SIM 卡"，查看是否有"添加 eSIM"或"下载 SIM 卡"选项。如果有，说明设备支持 eSIM。

购买后多久可以使用？

购买后立即收到 eSIM 配置文件（QR 码），可以立即安装。但套餐会在连接到目标网络时才激活，因此建议在出发前安装，到达目的地后自动激活。

可以退款吗？

Ubigi：未激活套餐可在购买后 14 天内申请全额退款。

Airalo：未激活套餐可在购买后 7 天内申请全额退款。

已激活套餐均不支持退款。

购买链接

Ubigi：https://cellulardata.ubigi.com

Airalo：https://www.airalo.com

Cloudflare IP 范围

Wed, 05 Nov 2025 00:00:00 GMT

Cloudflare IP 范围

官方来源

官方 IP 列表页面：https://www.cloudflare.com/ips/
IPv4 列表：https://www.cloudflare.com/ips-v4
IPv6 列表：https://www.cloudflare.com/ips-v6

主要 IPv4 地址段

173.245.48.0/20
103.21.244.0/22
103.22.200.0/22
103.31.4.0/22
141.101.64.0/18
108.162.192.0/18
190.93.240.0/20
188.114.96.0/20
197.234.240.0/22
198.41.128.0/17
162.158.0.0/15
104.16.0.0/13
104.24.0.0/14
172.64.0.0/13
131.0.72.0/22

主要 IPv6 地址段

2400:cb00::/32
2606:4700::/32
2803:f800::/32
2405:b500::/32
2405:8100::/32
2a06:98c0::/29
2c0f:f248::/32

API 获取

可以通过 Cloudflare API 自动获取最新 IP 列表：

# 获取 IPv4
curl https://www.cloudflare.com/ips-v4

# 获取 IPv6
curl https://www.cloudflare.com/ips-v6

重要提示

Cloudflare 的 IP 地址不经常变化
新 IP 在投入生产前会先添加到列表中
建议定期检查更新
所有代理的流量都会通过这些 IP 地址到达源服务器

阿里云跨地区复制ECS硬盘

Sun, 02 Nov 2025 00:00:00 GMT

阿里云跨地区复制ECS硬盘

概述

本文档介绍在阿里云环境中，如何将位于日本区域（ap-northeast-1）的自定义镜像复制到香港区域（cn-hongkong），并使用该镜像创建ECS实例的完整流程。

操作流程

步骤1：登录控制台

访问阿里云ECS控制台镜像管理页面：

https://ecs.console.aliyun.com/image

步骤2：切换源地域

在控制台页面左侧顶部区域选择：

资源组（根据实际情况选择）
源地域：日本（ap-northeast-1）

步骤3：选择待复制镜像

进入"镜像"页面
切换至"自定义镜像"页签
在镜像列表中定位目标镜像
点击"操作"列中的"复制镜像"按钮

步骤4：配置复制参数

复制类型

普通复制：适用于未加密镜像
加密复制：适用于已加密镜像，需配置以下密钥类型：
- 服务密钥
- KMS主密钥

目标地域

选择香港（cn-hongkong）

镜像信息

自定义镜像名称：为复制后的镜像设置名称（例如：hk_image_from_jp）
描述：选填，用于记录镜像用途或版本信息
资源组：选填，指定镜像所属资源组
标签：选填，支持添加自定义标签，源镜像标签将自动保留

确认提交

核对所有配置信息后，点击"确认"按钮启动复制任务。

步骤5：监控复制进度

切换控制台地域至目标地域（香港）
在自定义镜像列表中查看复制进度
当进度显示100%且状态变更为"可用"时，表示复制完成
新镜像将拥有独立的镜像ID

取消复制

如需取消正在进行的复制任务，可在镜像状态为"创建中"时，点击"取消复制"按钮。

步骤6：使用镜像创建实例

在香港区域进入ECS实例创建页面
在镜像选择步骤，选择"自定义镜像"类型
从镜像列表中选择已复制完成的镜像
配置实例规格、网络、安全组、存储等参数
完成配置后创建实例

API调用方式

除控制台操作外，阿里云提供CopyImage API接口，支持通过编程方式实现镜像复制的自动化管理。

中国银行（大陆）向中国银行（香港）个人跨境汇款技术指南

Fri, 31 Oct 2025 00:00:00 GMT

中国银行（大陆）向中国银行（香港）个人跨境汇款技术指南

1.0 概述

本指南旨在为个人用户提供一份从中国银行（大陆）向中国银行（香港）个人账户进行跨境汇款的详尽技术说明和操作规程。本文内容基于截至2025年10月的公开信息、银行官方公告及相关外汇管理规定。核心结论是，通过电子渠道（手机银行/网上银行）进行的中行体系内跨境汇款，在特定优惠政策下，汇出成本可降至最低，但须严格遵守外汇管理法规。

2.0 前置条件

在执行汇款操作前，必须满足以下条件：

汇出账户: 持有中国银行（大陆）发行的I类借记卡。根据银行规定，II类及III类账户不支持跨境汇款业务。
收款账户: 已成功开立中国银行（香港）的个人多币种储蓄账户。
电子银行服务: 已开通中国银行（大陆）的手机银行或网上银行服务。
外币持有: 账户中需持有足额外币现汇。如无，需先执行购汇操作。

3.0 操作规程

推荐使用中国银行手机银行APP进行操作，其流程最为便捷。整个过程分为“购汇”和“汇款”两个主要阶段。

3.1 阶段一：购汇操作

此阶段将人民币资金兑换为所需的外币（通常为港币或美元）。

启动并登录中国银行手机银行APP。
在主界面，导航至「结汇购汇」功能模块。
选择「购汇」并同意相关协议。
在购汇页面，选择您希望兑换的币种，例如「港元 (HKD)」。
在「钞/汇」属性选择中，必须选择「现汇」。现汇指由境外汇入或携入的外币票据转存的款项，是跨境电汇的基础。
输入计划购入的外币金额或用以兑换的人民币金额，系统将自动计算另一方金额。
在「资金用途」栏目，根据实际情况选择，例如「因私旅游」、「境外留学」等。此选项需符合国家外汇管理规定。
确认信息无误后提交，完成购汇。

3.2 阶段二：跨境汇款操作

完成购汇后，即可执行汇款。

返回APP主界面，点击「更多」以显示全部服务。
在“转账汇款”分类下，找到并点击「跨境汇款」。
系统会要求填写详细的汇款信息。请参照下表准确填写。

4.0 汇款信息填写规范

下表详细说明了在进行跨境汇款时需要填写的关键字段、规范及注意事项。

字段分类	字段名称	填写规范与示例	关键说明
收款人信息	收款人姓名	`ZHANG San`	必须使用大写拼音，与收款账户开户名完全一致。
	收款人地址	`Flat 1, 1/F, Block A, City Garden, Hong Kong`	填写您在中银香港预留的通讯地址（英文）。
	收款人常驻国家(地区)	`中国香港`	从下拉列表中选择。
	收款账号	`012-XXX-X-XXXXXX`	[最重要] 此处应填写您中银香港的港元或美元储蓄账户号码，通常为12位。严禁填写银行卡正面的16位卡号。可在中银香港APP“账户概览”中查询。
收款银行信息	收款银行SWIFT代码	`BKCHHKHHXXX`	选择“中国银行（香港）有限公司”后，此代码通常会自动填充。这是其全球唯一的银行识别码。
	收款银行名称	`BANK OF CHINA (HONG KONG) LIMITED`	规范的英文全称。
	收款银行地址	`BANK OF CHINA TOWER, 1 GARDEN ROAD, CENTRAL, HONG KONG`	收款银行总部的标准地址。
汇款信息	汇款币种及金额	`港元` `10000.00`	选择您已购得的现汇币种，并输入金额。
	资金用途	`旅游`	此处选择的用途应与您购汇时选择的用途保持一致。
	给收款人的附言	`Travel expenses`	建议使用英文简要说明款项用途，如生活费、旅游费等。

5.0 费用与限额分析

本章节所述费用与限额均针对**中国银行（大陆）→ 中国银行（香港）**的汇款方向。

5.1 费用结构（中银内地 → 中银香港）

费用项目	收费机构	标准费率	2025年优惠政策 (截至12月31日) [1]	实际成本
汇出手续费	中国银行(大陆)	汇款金额的1‰, 最低50元, 最高260元	免费 (通过手机银行/网银向境外中行汇款)	0
电讯费	中国银行(大陆)	港澳台地区: 80元/笔	免费 (同上)	0
汇入手续费	中国银行(香港)	- 金额≤500港币: 免费<br>- 金额>500港币: 60港币/笔 [2, 3]	无	0 或 60港币

5.2 限额规定（中银内地 → 中银香港）

限额类型	管理机构	具体规则	备注
年度个人购汇额度	国家外汇管理局	每人每年等值5万美元 [4]	此为便利化额度，额度内凭身份证办理。超额需提供真实性交易凭证。额度按自然年计算，不可累积。
单日现钞汇出限额	国家外汇管理局	当日累计等值1万美元 (柜台办理) [6]	通过电子渠道使用现汇汇款无此限制，但受年度总额限制。
银行内部风控限额	中国银行	不固定	银行可能根据用户交易行为设置隐性的单笔或单日限额。有用户反馈单日超1万港币可能触发提示。

5.3 反向汇款费用与限额（中银香港 → 中银内地）

若您需要从香港将资金汇回内地，费用与限额规则如下：

费用项目	收费机构	标准费率	优惠政策	实际成本
汇出手续费	中国银行(香港)	电子渠道: 65港币/笔<br>柜台: 260港币/笔	个人客户通过电子渠道汇款至内地中行豁免 [7]	0
汇入手续费	中国银行(大陆)	根据各分行规定	不明确	通常免费或小额

限额类型	管理机构	具体规则	备注
人民币汇款（同名账户）	香港金融管理局	每人每日8万元人民币 [5]	仅适用于香港居民汇款至内地本人同名账户。
人民币汇款（非同名）	香港金融管理局	无固定额度	需收款人提供真实性证明材料。
外币汇款	国家外汇管理局	收款人每年等值5万美元结汇额度 [5]	额度内可凭身份证将外币兑换为人民币，无需证明材料。
跨境支付通	香港金融管理局	每人每日1万港元，每年20万港元	此额度独立于人民币同名汇款额度，仅适用于通过转数快的小额汇款。

6.0 汇款策略建议

6.1 转账额度策略

考虑到中银香港对大于500港币的汇款收取60港币手续费，存在两种策略：

小额豁免策略 (不推荐): 每次汇款金额不多于500港币。此方法虽然能免除香港的汇入手续费，但由于汇款频率过高，极易触发内地银行的反洗钱监测系统，可能导致账户功能受限。因此，不建议采用此策略。
中大额合并策略 (推荐): 根据您的资金需求，进行单次较大金额的汇款（例如，一次性汇出数月的生活费），将单笔60港币的成本分摊。例如，单次汇款30,000港币，手续费成本仅为0.2%。这种方式更经济，且符合常规的资金使用模式，不易引起银行关注。

6.2 转账频率策略

为维持账户的良好记录，建议保持低频次的汇款节奏。

推荐频率: 每月一次或每季度一次。
规避频率: 避免在一周内进行多次汇款，或在连续多日进行汇款。

7.0 参考文献

[1] 中国银行. (2025). 中行电子银行转账汇款大优惠(2025年5-12月). https://www.boc.cn/ebanking/bi3/bi31/202504/t20250430_25339098.html

[2] 中国银行（香港）. (n.d.). 一般银行服务收费. https://www.bochk.com/en/servicecharge.html

[3] 粉橙密语. (2023). 中国银行（内地）汇款至中国银行（香港）手续费是多少？. 知乎专栏. https://zhuanlan.zhihu.com/p/661542581

[4] 国家外汇管理局. (n.d.). 个人外汇管理政策及常见问题解答. https://www.safe.gov.cn/neimenggu/file/file/20200228/fa90770027ed4d919de981c09bc25751.pdf

[5] 香港金融管理局. (n.d.). 个人两地跨境汇款. https://www.hkma.gov.hk/gb_chi/smart-consumers/personal-cross-boundary-remittance-between-hong-kong-and-mainland-china/

[6] 中国银行. (n.d.). 汇出境外汇款. https://www.boc.cn/pbservice/pb4/200806/t20080626_760.html

[7] 中国银行（香港）. (n.d.). 服务收费 | 跨境金融及汇款服务. https://www.bochk.com/tc/crossborder/remittance/charges.html

搭建最安全的笔记本电脑环境

Tue, 28 Oct 2025 00:00:00 GMT

搭建最安全的笔记本电脑环境

更新日期: 2025年10月28日
购买链接: https://shop.puri.sm/shop/librem-14/
官方安全配置推荐: https://puri.sm/posts/my-recommendations-for-the-most-secure-librem-14-configuration/

🎯 最佳安全配置方案（完整版）

以下是基于Purism官方推荐和Qubes OS兼容性的最佳配置选择：

1. 电池（Battery）

选项	推荐	说明
Librem 14 Battery - 3-cell	❌ 不推荐	续航较短，但可使用第二个存储插槽
Librem 14 Battery - 4-cell	✅ 推荐	更长续航，但会占用第二个M.2插槽

推荐选择: Librem 14 Battery - 4-cell

理由: 更长的续航时间对于安全工作更重要。大多数用户单个1TB或2TB存储已足够，不需要第二个存储插槽。

价格: 包含在基础价格中

2. 内存（Memory - DDR4）

选项	价格	推荐	说明
Memory: 8GB (1x8GB)	基础价格	❌ 不推荐	Qubes OS最低要求，但不够用
Memory: 16GB (2x8GB)	+$89	⚠️ 最低推荐	Qubes OS基本可用
Memory: 32GB (1x32GB)	+$249	✅ 强烈推荐	Qubes OS舒适运行，可同时运行多个VM
Memory: 64GB (2x32GB)	+$589	⭐ 最佳	专业用户、需要运行大量VM

推荐选择: Memory: 32GB (1x32GB) - +$249

理由:

Qubes OS基于虚拟化，需要大量内存
32GB可以舒适地运行多个虚拟机（work、personal、banking、untrusted、vault等）
如果预算充足，64GB是最佳选择
官方推荐至少16GB，但32GB才能真正发挥Qubes OS的隔离优势

3. 存储（Storage - M.2 SSD）

主存储（必选）

选项	价格	推荐	说明
Storage: 250GB (NVMe)	基础价格	❌ 不推荐	容量太小
Storage: 500GB (NVMe)	+$169	⚠️ 最低	基本够用
Storage: 500GB (NVMe Pro)	+$249	⚠️	性能更好但容量小
Storage: 1TB (NVMe)	+$399	✅ 推荐	容量和性能平衡
Storage: 1TB (NVMe Pro)	+$599	⭐ 最佳	最高性能
Storage: 2TB (NVMe)	+$879	💰 大容量	需要大量存储空间
Storage: 4TB (NVMe)	+$979	💰 超大容量	专业用户

推荐选择: Storage: 1TB (NVMe) - +$399

理由:

Qubes OS需要较多存储空间（多个虚拟机模板）
1TB对大多数用户足够
如果预算充足，1TB NVMe Pro (+$599) 提供更好的性能
如果选择4-cell电池，第二个M.2插槽不可用，所以一次性选择足够容量

第二存储（可选）

注意: 如果选择4-cell电池（推荐），第二个存储插槽不可用。

如果选择3-cell电池，可以添加第二个存储：

No Storage 2 (M.2 SSD) - 不添加
Storage 2: 250GB / 500GB / 1TB / 2TB / 4TB（价格同上）

推荐: 选择4-cell电池，不使用第二存储

4. 电源适配器插头（Power Adapter Plug）

选项	适用地区
Power Adapter Plug: US	美国、日本、台湾、中国大陆（部分）
Power Adapter Plug: EU	欧洲、韩国
Power Adapter Plug: UK	英国、香港、新加坡

中国大陆用户推荐方案：

选择 US 插头 + 转换头（推荐）

选择: Power Adapter Plug: US

转换头：

购买万能转换插头

总结: 中国大陆用户应选择 US 插头 + 转换头

价格: 包含在基础价格中

5. 无线网卡（Wireless）

选项	价格	推荐	说明
Wireless Card (Laptops)	基础价格	✅ 推荐	Intel AX200 Wi-Fi 6，开源驱动支持好
No Wireless	-$29	⚠️ 高威胁	"Airgap"配置，完全移除WiFi

推荐选择: Wireless Card (Laptops) (保留WiFi)

理由:

保留WiFi提供灵活性
可以使用物理Kill Switch随时断开WiFi
如果后续需要移除，可以自己拆卸
只有面临极端无线网络攻击威胁的用户才需要完全移除

高威胁用户: 选择 No Wireless (-$29)，使用RJ45以太网口

6. 固件（Firmware）⭐ 最重要

选项	价格	推荐	包含内容
Firmware: PureBoot Basic	基础价格	❌	仅PureBoot固件
Firmware: PureBoot Bundle	+$89	⚠️	PureBoot + Librem Key + Vault USB
Firmware: PureBoot Bundle Plus	+$109	⚠️	上述 + Librem Key分开发货
Firmware: PureBoot Bundle Anti-Interdiction Basic	+$249	✅ 推荐	上述 + 基础防截获服务
Firmware: PureBoot Bundle Anti-Interdiction Custom	+$299	⭐ 最佳	上述 + 定制防截获服务

推荐选择: Firmware: PureBoot Bundle Anti-Interdiction Custom - +$299

包含内容:

PureBoot固件（预装和配置）
Librem Key（硬件安全密钥，分开发货）
Librem Vault USB（用于存储GPG密钥）
定制Anti-Interdiction服务:
- 防篡改封条
- 闪光指甲油（Glitter Nail Polish）涂在所有螺丝上
- 拍摄封条、机箱底部、螺丝的照片
- 自定义随机PIN（通过GPG加密邮件分享）
- Librem Key提前发货到不同地址
- GPG加密通信

理由:

这是抵御供应链攻击的最强防护
斯诺登揭露的NSA曾在运输途中截获设备并植入后门
闪光指甲油的独特图案难以复制
分开发货防止攻击者同时截获设备和密钥

定制选项（通过GPG邮件沟通）:

闪光指甲油颜色（橙色/银色/蓝色等）
是否在所有螺丝或仅关键螺丝上涂抹
Librem Key发货地址
其他定制安全措施

7. 操作系统（Operating System）⭐ 关键

选项	价格	推荐	说明
Operating System: PureOS	基础价格	❌	Purism自己的Linux发行版
Operating System: Qubes OS	基础价格	✅ 必选	最安全的桌面操作系统

推荐选择: Operating System: Qubes OS

Purism预装版本: Purism会预装当前最新稳定版的Qubes OS

当前最新稳定版本: Qubes OS 4.2.4

如需自己安装或重装，下载链接:

📥 官方下载页面: https://www.qubes-os.org/downloads/
📥 ISO直接下载: https://ftp.qubes-os.org/iso/Qubes-R4.2.4-x86_64.iso
📥 种子下载: https://ftp.qubes-os.org/iso/Qubes-R4.2.4-x86_64.torrent
📄 验证签名指南: https://www.qubes-os.org/security/verifying-signatures/
📖 安装指南: https://www.qubes-os.org/doc/installation-guide/
📋 发行说明: https://www.qubes-os.org/doc/releases/4.2/release-notes/

版本信息:

版本号: 4.2.4
发布日期: 2024年
文件大小: 约 5.5 GB
架构: x86_64 (64位)
基于: Fedora 37 (dom0) + Debian 12 / Fedora 40-41 (VMs)
注意: Qubes 4.3 (测试版) 的 dom0 已升级到 Fedora 41

系统要求（Librem 14完全满足）:

CPU: 64位Intel处理器，支持VT-x和VT-d ✅
内存: 最低4GB，推荐16GB，建议32GB+ ✅
存储: 最低32GB，推荐128GB+ ✅
显卡: Intel集成显卡（强烈推荐）✅
固件: UEFI或Legacy BIOS ✅

Librem 14兼容性: ⭐⭐⭐⭐⭐

Purism官方认证兼容
所有硬件完美支持（包括Kill Switches）
PureBoot与Qubes OS完美集成
预装版本开箱即用

理由:

Qubes OS是斯诺登推荐的最安全桌面系统
基于Xen虚拟化的隔离架构
Purism提供完全支持的预装版本
开箱即用，无需自己安装
所有硬件（包括Kill Switches）完美兼容

价格: 包含在基础价格中（与PureOS同价）

中国镜像站（下载更快）:

清华大学TUNA: https://mirrors.tuna.tsinghua.edu.cn/qubesos/
南京大学: https://mirrors.nju.edu.cn/qubes/
阿里云: https://mirrors.aliyun.com/qubes/

8. 保修（Warranty）

选项	价格	推荐
Warranty: 1 Year	基础价格	✅ 标准
Warranty: 3 Years (L14V1)	+$169	⭐ 推荐

推荐选择: Warranty: 3 Years - +$169

理由:

长期使用的安全设备
延长保修提供更好的保障
如果预算有限，1年保修也可以

9. 隐私屏（Privacy Screen）

选项	价格	推荐
No Privacy Screen	$0	❌
Privacy Screen for Librem 14	+$29	✅ 推荐

推荐选择: Privacy Screen for Librem 14 - +$29

理由:

减少屏幕可视角度
防止在公共场所（咖啡厅、机场、火车等）被偷看
价格便宜，性价比高
可拆卸，不需要时可以取下

10. USB闪存驱动器（USB Flash Drive）

选项	价格	推荐	说明
No USB Flash Drive	$0	✅ 推荐	不需要
USB FD OS: PureOS OEM	+$19	❌	PureOS安装盘
USB FD OS: PureOS Live	+$19	❌	PureOS Live系统
USB FD OS: Qubes OS	+$19	⚠️ 可选	Qubes OS安装盘

推荐选择: No USB Flash Drive

理由:

Qubes OS已经预装，不需要安装盘
如果需要重装，可以从官网免费下载
节省$19
Librem Vault USB（包含在Anti-Interdiction套餐中）可以用于其他用途

可选: 如果想要备用的Qubes OS安装盘，可以选择 USB FD OS: Qubes OS (+$19)

11. PureOS订阅（可选）

选项	价格	推荐
PureOS Subscription Premium	$9.99/月	❌ 不需要

推荐选择: 不添加

理由:

我们使用Qubes OS，不使用PureOS
不需要订阅

💰 最佳配置总价计算

终极配置（预算充足）

配置项	选择	价格
基础价格	Librem 14	$1,370
电池	4-cell（默认）	$0
内存	64GB DDR4	+$589
存储	1TB NVMe Pro	+$599
电源插头	EU（中国大陆）	$0
无线	保留WiFi（默认）	$0
固件	PureBoot Bundle Anti-Interdiction Custom	+$299
操作系统	Qubes OS	$0
保修	3年	+$169
隐私屏	添加	+$29
USB闪存	Qubes OS备份盘	+$19
总计		$3,074

最低安全配置（预算有限）

配置项	选择	价格
基础价格	Librem 14	$1,370
电池	4-cell（默认）	$0
内存	16GB DDR4	+$89
存储	500GB NVMe	+$169
电源插头	EU（中国大陆）	$0
无线	保留WiFi（默认）	$0
固件	PureBoot Bundle Anti-Interdiction Basic	+$249
操作系统	Qubes OS	$0
保修	1年（默认）	$0
隐私屏	添加	+$29
USB闪存	不添加	$0
总计		$1,906

📋 购买步骤详解

第一步：访问购买页面

🔗 https://shop.puri.sm/shop/librem-14/

第二步：处理缺货状态

当前Librem 14 v1缺货
在页面留下邮箱，等待v2发布或补货通知
订阅Purism新闻：https://puri.sm/news/

第三步：选择配置（补货后）

按照以下顺序选择：

Battery: Librem 14 Battery - 4-cell
Memory: Memory (DDR4): 32GB (1x32GB) - +$249
Storage: Storage (M.2 SSD): 1TB (NVMe) - +$399
Storage 2: No Storage 2（4-cell电池占用插槽）
Power Adapter Plug: EU（中国大陆用户）
Wireless: Wireless Card (Laptops)（保留WiFi）
Firmware: PureBoot Bundle Anti-Interdiction Custom - +$299
Operating System: Qubes OS
Warranty: 3 Years - +$169
Privacy Screen: Privacy Screen for Librem 14 - +$29
USB Flash Drive: No USB Flash Drive

第四步：Anti-Interdiction定制

选择Custom Anti-Interdiction后，Purism会通过邮件联系您：

建立GPG加密通信：
- 交换GPG公钥
- 所有敏感信息通过加密邮件传输
选择定制选项：
- 闪光指甲油颜色（推荐：橙色或蓝色，更明显）
- 涂抹位置（推荐：所有螺丝）
- Librem Key发货地址（推荐：与笔记本不同的地址）
- 其他安全措施
确认发货流程：
- Librem Key先发货
- 确认收到Librem Key后，笔记本才发货

第五步：支付

支持的支付方式：

信用卡（Visa、MasterCard、American Express）
加密货币（Bitcoin、Ethereum等）- 推荐用于隐私

第六步：收货和验证

收到Librem Key：
- 检查包装完整性
- 确认收货并通知Purism
收到Librem 14：
- 检查防篡改封条
- 通过GPG邮件请求照片和PIN
- 对比照片验证设备未被篡改
- 检查闪光指甲油图案
- 拍摄自己的照片备份
首次启动：
- 按照PureBoot Getting Started Guide操作
- 使用Purism提供的PIN
- 验证Librem Key绿灯闪烁
- 更改为自己的PIN

🔗 重要链接

购买相关

Librem 14购买页面: https://shop.puri.sm/shop/librem-14/
官方安全配置推荐: https://puri.sm/posts/my-recommendations-for-the-most-secure-librem-14-configuration/
产品政策: https://puri.sm/policies/

系统下载

Qubes OS下载: https://www.qubes-os.org/downloads/
Qubes OS文档: https://www.qubes-os.org/doc/
Tails下载（辅助系统）: https://tails.net/install/download/

支持和文档

Purism支持: https://puri.sm/support/
Purism论坛: https://forums.puri.sm/
PureBoot文档: https://docs.puri.sm/PureBoot.html
Librem Key指南: https://docs.puri.sm/Librem_Key.html

🌐 Qubes OS 浏览器最佳实践

核心原则：隔离 > 浏览器选择

Qubes OS 的安全性来自虚拟机隔离，而不是浏览器的选择。即使浏览器被攻破，攻击也被限制在单个 VM 中。

⛔ 不推荐的浏览器

✖️ Google Chrome

为什么不推荐：

隐私问题：大量遥测和数据收集
安全问题：DRM 默认启用，闭源组件
与 Qubes 哲学冲突：Qubes 强调隐私，Chrome 的商业模式基于数据收集

结论：

❌ 不要安装 Google Chrome
❌ 不要安装 Microsoft Edge
❌ 不要安装 Opera

如果必须使用 Chromium 内核：

✅ 使用 Ungoogled Chromium（移除了所有 Google 服务）

📊 浏览器选择对比

浏览器	隐私	安全	速度	便利性	推荐等级
Firefox（默认）	⭐⭐⭐	⭐⭐⭐⭐	⭐⭐⭐⭐	⭐⭐⭐⭐⭐	✅ 新手推荐
Mullvad Browser	⭐⭐⭐⭐⭐	⭐⭐⭐⭐⭐	⭐⭐⭐⭐	⭐⭐⭐	✅ 隐私用户推荐
Tor Browser	⭐⭐⭐⭐⭐	⭐⭐⭐⭐⭐	⭐⭐	⭐⭐	✅ 匿名场景
LibreWolf	⭐⭐⭐⭐	⭐⭐⭐⭐	⭐⭐⭐⭐	⭐⭐⭐	✅ 可选
Ungoogled Chromium	⭐⭐⭐⭐	⭐⭐⭐⭐	⭐⭐⭐⭐	⭐⭐⭐	✅ 可选
Google Chrome	⭐	⭐⭐	⭐⭐⭐⭐⭐	⭐⭐⭐⭐⭐	❌ 不推荐

🔑 关键要点

默认 Firefox 已经很好：
- Qubes 的安全性来自隔离，不是浏览器
- 即使使用 Firefox，只要正确隔离，仍然安全
不要下载 Google Chrome：
- 隐私问题严重
- 与 Qubes 的安全哲学冲突
隔离比浏览器更重要：
- 为不同用途创建不同的 Qube
- 使用 Disposable VM 进行不信任的网站浏览
如需更高隐私：
- 使用 Mullvad Browser（日常隐私）
- 使用 Tor Browser（匿名场景）

📚 参考资料

Qubes OS 论坛讨论：https://forum.qubes-os.org/t/is-firefox-really-an-appropriate-default-browser-for-qubes/26042
Mullvad Browser：https://mullvad.net/en/browser
Qubes-Whonix 文档：https://www.whonix.org/wiki/Qubes

🛡️ 斯诺登推荐的安全软件工具

在使用 Librem 14 + Qubes OS 的基础上，斯诺登还推荐了以下软件工具来增强隐私和安全保护。

💬 加密通讯

Signal ⭐⭐⭐（最推荐）

斯诺登原话：

"I use Signal every day."

"我每天都使用 Signal。"

特点：

✅ 端到端加密
✅ 开源，可审计
✅ 支持文字、语音、视频通话
✅ Signal Protocol 被 WhatsApp、Facebook Messenger 等采用

平台：iOS、Android、桌面版

官网：https://signal.org/

在 Qubes OS 中使用：

# 在 Fedora 模板中安装
sudo dnf install signal-desktop

📧 加密邮件

GPG (GNU Privacy Guard) ⭐⭐⭐

用途：邮件端到端加密

特点：

✅ 开源 PGP 实现
✅ 端到端加密
✅ 数字签名
✅ 斯诺登与记者联系时使用的工具

在 Qubes OS 中使用：

Qubes OS 内置 GPG 支持
可以使用 Split GPG 功能增强安全性

官网：https://gnupg.org/

教程：

EFF GPG 指南：https://ssd.eff.org/module/how-use-pgp
Qubes Split GPG：https://www.qubes-os.org/doc/split-gpg/

🔐 密码管理

KeePassXC ⭐⭐⭐

特点：

✅ 开源
✅ 本地存储（不依赖云端）
✅ 强加密
✅ 跨平台

在 Qubes OS 中使用：

# 在 Fedora 模板中安装
sudo dnf install keepassxc

最佳实践：

在专用的 "vault" Qube 中使用（离线）
定期备份密码数据库

官网：https://keepassxc.org/

💾 磁盘加密

LUKS / VeraCrypt ⭐⭐

LUKS（Qubes OS 默认）：

✅ Linux 标准磁盘加密
✅ Qubes OS 安装时自动配置
✅ 全盘加密

VeraCrypt（跨平台）：

✅ TrueCrypt 的继任者
✅ 跨平台兼容
✅ 隐藏卷支持

官网：https://www.veracrypt.fr/

🌐 匿名网络

Tor Browser ⭐⭐⭐

在 Qubes OS 中使用：

使用 Qubes-Whonix（预装）
在 Whonix-Workstation 中使用 Tor Browser

特点：

✅ 最高级别的隐私和匿名性
✅ Qubes 官方支持
✅ 预配置完善

官网：https://www.torproject.org/

🛡️ 其他推荐工具

HTTPS Everywhere

用途：强制网站使用 HTTPS

特点：

由 EFF 开发
自动将 HTTP 升级到 HTTPS

注意：现代浏览器已内置类似功能

uBlock Origin

用途：广告拦截和隐私保护

特点：

✅ 开源
✅ 轻量级
✅ 拦截广告和追踪器

官网：https://ublockorigin.com/

📊 斯诺登推荐软件总结

类别	软件	推荐等级	在 Qubes OS 中使用
操作系统	Qubes OS	⭐⭐⭐	✅ 默认
操作系统	Tails	⭐⭐⭐	✅ 辅助系统
匿名网络	Tor	⭐⭐⭐	✅ Whonix
即时通讯	Signal	⭐⭐⭐	✅ 可安装
邮件加密	GPG	⭐⭐⭐	✅ 内置
密码管理	KeePassXC	⭐⭐⭐	✅ 可安装
磁盘加密	LUKS	⭐⭐⭐	✅ 默认
浏览器	Tor Browser	⭐⭐⭐	✅ Whonix

🔑 斯诺登的安全原则

使用开源软件：
- 可以被审计
- 没有后门
- 社区支持
端到端加密：
- 只有通信双方能解密
- 不信任中间人
本地优先：
- 避免云服务
- 自己控制数据
隔离：
- 使用 Qubes OS 隔离不同任务
- 不同用途使用不同设备
最小化攻击面：
- 只安装必要的软件
- 定期更新

📚 参考资料

EFF 文章："The 7 Privacy Tools Essential to Making Snowden Documentary CITIZENFOUR"
- https://www.eff.org/deeplinks/2014/10/7-privacy-tools-essential-making-citizenfour
EFF Surveillance Self-Defense：https://ssd.eff.org/
Privacy Tools：https://www.privacytools.io/

⚠️ 重要提醒

当前缺货：Librem 14 v1缺货，v2开发中，发布时间未定
配置可能变化：v2发布时配置选项和价格可能有所调整
Anti-Interdiction时间：选择Anti-Interdiction服务会增加发货时间（约1-2周）
国际运输：从美国发货到中国大陆，可能需要1-3周，可能产生关税
学习曲线：Qubes OS有一定学习曲线，建议先阅读文档
备份重要：收到设备后立即设置加密备份策略

🎯 总结

最推荐的配置（平衡安全性和性价比）：

✅ Librem 14 + 32GB RAM + 1TB NVMe + PureBoot Bundle Anti-Interdiction Custom + Qubes OS + 3年保修 + 隐私屏

总价: $2,515

这是目前能够抵御棱镜计划级别监控的最佳民用笔记本电脑配置，提供了从硬件固件到操作系统的全方位安全保护。

祝您使用愉快，保持安全！🛡️

最安全的2FA认证器

Tue, 28 Oct 2025 00:00:00 GMT

最安全的 2FA 认证器：在斯诺登时代，我为什么选 Aegis（而不是 Google / Authy）

TL;DR

短信 2FA 在 2025 年已经被主流安全机构视为“尽量不要用”。([TypingDNA Blog][1])

闭源 App（Google Authenticator / Authy 等）方便，但云同步和闭源设计都增加了“看不见的信任成本”。([Malwarebytes][2])

在 Android 平台的 TOTP 类认证器里，如果你要在“斯诺登级别威胁模型”下尽量降低被监控和被拖库的风险，Aegis Authenticator 是目前最平衡的一条路：开源、离线、本地强加密、备份做得好。([GitHub][3])

斯诺登之后：我们真正面对的威胁模型
常见 2FA 方式安全等级速查
为什么是 Aegis：架构与安全设计拆解
Aegis vs Ente Auth vs 2FAS vs Google/Authy
Aegis 实战使用指南（安装→迁移→备份）
2FA 安全最佳实践：密码、备份与设备安全
常见故障排除：时间不准、密码忘了、多设备同步
总结：给不同人群的行动建议
延伸阅读：2FA 与无密码登录的新趋势

一、斯诺登之后：我们真正面对的威胁模型

2013 年起，斯诺登泄露的大量文件，首次让普通人看到“国家级监控”的下限：

PRISM（棱镜计划）：从泄露的演示文稿和多家媒体报道看，NSA 可以基于美国法律，向包括 Google、Microsoft、Apple 在内的大型科技公司获取用户通信和存储数据，用于情报分析。([维基百科][4])
XKeyscore：一套可以对全球互联网流量进行搜索和分析的系统，被描述为可以收集“用户几乎所有在线操作”，包括邮件、聊天、浏览历史等。([卫报][5])
通信基础设施漏洞：传统电信网络使用的 SS7 协议设计年代久远，存在可被滥用的结构性缺陷，允许攻击者在运营商网络层拦截短信和通话。([ITU][6])

再加上业界这些年的演进：

NIST 在最新版数字身份指南中，正式把短信 OTP 列为“受限制的认证要素”，说明其弱点必须被额外缓解。([TypingDNA Blog][1])
FBI 与 CISA 2024–2025 年的联合沟通中，已经明确提出：不要再把短信当成主要 2FA 手段，应优先考虑 App 或硬件密钥。([1password.com][7])

在这样的背景下，你的 2FA 需要满足什么？

在“假设对手是国家级监控 + 大型云服务商被攻破”的威胁模型下，一个“靠谱”的 2FA 方案至少应该：

开源可审计：任何人都可以查看、编译和审计代码，避免“黑箱 + 后门猜想”。
本地强加密：令牌（TOTP/HOTP 秘钥）在设备上以强加密形式存储，攻击者拿到数据库也无法直接还原。
尽量离线：不依赖网络传输令牌数据，减少被监控系统（比如 XKeyscore）采集的面。
不强依赖云厂商：即便某个服务商宕机、倒闭或被强制配合，也不影响你访问自己的 2FA。
备份策略不会“打回原形”：不能为了“好备份”又把密钥明文丢回云端。

这也是本文后面推荐 Aegis 的逻辑基线——我们先明确威胁模型，再选工具，而不是先选一个“顺眼的 App”，再倒推理由。

二、常见 2FA 方式安全等级速查

一句话版：

短信 2FA：能不用就不用

闭源 App + 云同步：普通人勉强够用，但不适合高威胁模型

开源离线 App（如 Aegis）：手机 TOTP 里的“天花板”

硬件密钥 / Passkey：在支持的场景里优先开起来

2FA 方式安全对比表

方式	安全等级（在严苛威胁模型下）	主要风险点	适合谁
短信（SMS）验证码	⭐☆☆☆☆	SS7 漏洞、SIM 换卡、短信明文、运营商/攻击者可拦截、易被钓鱼	仅在没有其他选择时兜底使用
邮件验证码	⭐⭐☆☆☆	邮箱被攻破即一锅端；传输路径长，常被作为恢复入口	不推荐作为唯一 2FA 手段
闭源 App<br/>（Google Authenticator, Authy 等）	⭐⭐⭐☆☆	云同步是否端到端加密不透明；数据留存在大厂服务器；应用逻辑无法审计	一般用户 / 便利优先者
开源本地加密 App<br/>（Aegis, 2FAS 等）	⭐⭐⭐⭐☆	需要自己管好备份；设备被实物拿走仍有暴力破解风险	安全优先、能接受一点折腾的人
硬件密钥 / Passkey	⭐⭐⭐⭐⭐	丢失设备可能导致恢复麻烦；支持网站还不完全	高价值账号、技术用户必开

关于短信 2FA：为什么“尽量别用”

NIST 把短信 OTP 归为“受限制”的 PSTN 认证方式，要求组织必须额外提供更安全的替代方案，并准备迁移计划。([TypingDNA Blog][1])
多份安全报告和实战案例都表明：大量账号劫持是通过短信 2FA 实现的，典型手段包括 SIM 换卡、运营商内部勾结、短信钓鱼和 SS7 拦截。([1password.com][7])

安全建议：能切到 App / 硬件密钥，就不要再继续依赖短信，尤其是金融、邮箱、云服务等「一旦丢了就很难救回」的账号。

关于闭源 2FA App：Google Authenticator / Authy

Google Authenticator 在 2023 年引入了账户云同步功能，但研究人员发现同步流量并非端到端加密，Google 后来表示“计划未来加入 E2EE”，但截至目前公开资料仍将其视为“服务器可见密钥”的模型。([Malwarebytes][2])
Authy（Twilio）在 2024 年一次数据事件中，约 3300 万个注册电话号码被泄露，虽然 TOTP 密钥本身仍加密存储，但说明其云端基础设施也会成为攻击目标。([waterstons.com][8])

在“轻度威胁模型”（担心的是脚本小子和撞库党）下，它们依然比“只用密码”强很多。但如果你担心的是“云服务被拖库 + 国家级监控”，那么把种子密钥托管给大公司本身就违背了“最小信任”原则。

学术研究：大部分 2FA App 的备份都不太行

一篇 2023 年的 USENIX 安全会议论文分析了 Google Play 上 22 个主流 TOTP 应用，发现：

很多 App 的备份方案会把信任重新交还给 短信、邮件或云存储；
有的 App 甚至在云端保存了足以恢复明文密钥的全部信息；
少数应用采用了正确的本地加密 + 安全备份设计——这类设计也是 Aegis 所采用的路线。

研究的核心结论是：“2FA 应用的安全上限，往往被它们‘为了好用’设计的备份功能拉低了。”

三、为什么是 Aegis：架构与安全设计拆解

定位一句话：Aegis 是 Android 平台上少数真正做到“开源 + 全本地强加密 + 不要网权限”的 2FA 认证器之一。

3.1 核心信息速览

平台：Android 6.0+
协议支持：HOTP（RFC 4226）、TOTP（RFC 6238），兼容所有“支持 Google Authenticator 的网站”。([f-droid.org][9])
开源证书：GPL-3.0，代码在 GitHub 公开托管。([GitHub][3])
加密设计：
- 保险库（vault）使用 AES-256-GCM 加密；
- 解锁密码通过 scrypt 派生密钥；
- 可使用 Android Keystore + 生物识别 解锁。([GitHub][3])
权限：F-Droid 构建显示仅需要相机、生物识别、振动等权限，没有网络权限。([f-droid.org][9])
分发渠道：
- GitHub Releases（原版 APK，和 Play 同签名）([GitHub][3])
- Google Play 商店（自动更新，50 万+ 下载，4.8 分评价）([Google Play][10])
- F-Droid（F-Droid 自行从源码重编译，使用自己的签名）([f-droid.org][9])

3.2 开源与透明度

在 GitHub 上，Aegis 仓库目前有 约 1.1 万颗 Star、千余次提交记录，维护活跃、社区体量可观：([GitHub][3])

开发团队公开了专门的安全设计文档（vault format & crypto design），详细说明了密钥生成、加密流程、槽位机制等实现细节。 ([GitHub][3])
F-Droid 会独立从源码构建并验证，进一步降低了“构建过程被植入后门”的风险。([f-droid.org][9])

这意味着：任何人都可以复现构建过程，确认你安装的 APK 和公开源码一致，从工程上大幅压缩“暗箱操作”的空间。

3.3 加密与密钥管理：不会让“备份”变成软肋

根据官方安全设计说明，Aegis 的核心流程可以概括为：([GitHub][3])

用户密码 ──scrypt──► 派生密钥（Key Encryption Key）
    │
    ▼
解密主密钥（Master Key，随机 256 bit）
    │
    ▼
使用 AES-256-GCM 加密/解密所有 TOTP/HOTP 令牌数据

几个关键点：

主密钥随机生成，仅存在本地；
用户密码永远不直接用于加密数据，而是通过 scrypt(N=32768, r=8, p=1) 派生密钥，提高暴力破解成本；([GitHub][3])
生物识别解锁使用 Android Keystore 单独存放密钥槽位，不会把解锁密钥暴露给 App 本身；([GitHub][3])
库文件可以导出为 加密备份（推荐）或明文 JSON（仅用于迁移 / 测试），默认选项鼓励安全路径。([f-droid.org][9])

关键区别在这里：很多 2FA App 的备份是“传到别人服务器上帮你保管”； Aegis 的备份是“把加密后的保险库文件交给你自己爱怎么存怎么存”。

3.4 离线优先 & 最小权限

从 F-Droid 和 Play 的信息可以看到：Aegis 的典型权限只有：([f-droid.org][9])

使用摄像头（扫描二维码）；
使用生物识别硬件（指纹 / 面容）；
控制震动（时间条即将过期时提醒）；
无网络权限、无联系人、无位置权限。

这意味着：

应用本身无法直接访问网络——即便有人在 App 里写了上传逻辑，Android 也不允许运行；
你要把备份放到云端（比如 Nextcloud），需要通过系统文件选择器交给别的 App（如网盘客户端）去传输。([f-droid.org][9])

对“防大厂、防国家级对手”来说，“没有网络权限”本身就是一层很硬的物理隔离。

3.5 备份与迁移：既安全，又不太折磨

Aegis 支持几种典型备份 / 迁移方式：([f-droid.org][9])

加密备份（推荐）
- 整个 vault 导出为一个加密文件；
- 需要单独设置一个备份密码（建议与解锁密码不同）；
- 可存到加密 U 盘、NAS、本机存储或云盘（通过别的 App）。
明文导出
- 导出为明文 JSON 或 GA 兼容格式，方便迁移到其他 App；
- 仅适合在完全受信任的环境下短暂使用，用完务必删除。
自动备份
- 可以设定一个目录（包括支持 SAF 的云盘，如 Nextcloud）；
- 定期自动导出加密 vault 文件，避免忘记手动备份。

此外，Aegis 可以从大量其他应用导入数据（GA、Authy、2FAS、andOTP、Microsoft Authenticator、Steam 等）。([f-droid.org][9])

3.6 界面与隐私细节

从 F-Droid 截图和官方说明可以看到，Aegis 针对隐私做了不少细节：([f-droid.org][9])

Tap-to-reveal（点击显示）：默认隐藏验证码，防止“有人路过就扫一眼”；
屏幕截图保护：阻止系统层面的截屏与录屏；
多视图布局：列表 / 平铺 / 紧凑视图，方便大量账号时快速定位；
分组与搜索：支持“工作 / 个人 / 金融”等分组，一个条目可属于多个组，支持按名称/服务搜索；
自动排序 & 拖拽排序：既可按字母排序，也可以完全自定义顺序。

四、Aegis vs Ente Auth vs 2FAS vs Google/Authy

这里重点不是“谁更酷”，而是谁更适合你的威胁模型 + 生活场景。

4.1 核心差异一览

维度	Aegis	Ente Auth	2FAS	Google Authenticator	Authy
架构	本地离线	云同步 + E2EE	本地 + 可选云	本地 + 账号同步（非 E2EE）	云同步
开源	✅ 完全开源	✅ 开源客户端 & 协议	✅ 开源	❌ 闭源	❌ 闭源
平台	仅 Android	Android / iOS / Web / 桌面	Android / iOS / 浏览器扩展	Android / iOS	多平台
备份	本地/云任你选，文件级	自动云同步，端到端加密	本地 & 可选云备份	Google 账号同步	服务器托管
安全重点	零网络权限、最小信任	审计过的 E2EE 架构	“够安全 + 多平台便利”	生态整合 & 易用	多设备 &云备份
更适合谁	极致隐私控 / 高风险人群	想要安全云同步	想兼顾多平台和开源	深度使用 Google 生态	方便优先、不介意云托管

Ente Auth：安全云同步的代表

Ente 全家桶（照片、文件、2FA）采用端到端加密架构，并在 2023–2025 年持续接受安全公司 Cure53 与密码学团队审计，公开了报告和修复情况。([GitHub][11])

优点：

多设备同步体验好（iOS + Android + 桌面可无缝协作）；
代码开源，加密协议透明；
有团队共享、密码库等高级能力。

缺点（在“斯诺登威胁模型”下）：

元数据（如访问时间、使用频率）不可避免地会经过服务器；
必须信任 Ente 服务器的运营和未来走向；
架构更复杂，攻击面自然更大。

如果你的威胁模型是“普通黑客 / 钓鱼 / 网站被拖库”，Ente 这类 E2EE 云同步已经非常安全。但如果你想的是“尽可能减少任何第三方可见的数据痕迹”，纯本地的 Aegis 还是更贴合。

2FAS：开源 + 多平台的折中选项

2FAS 是另一款开源认证器，提供 Android / iOS 客户端以及浏览器扩展，并支持可选的云备份和推送登录确认等功能。([App Store][12])

对想要“尽量开源，又要 iOS + 浏览器扩展”的用户来说，是个不错的平衡点；
但其可选云备份依旧引入了“服务器可见加密数据 + 元数据”的风险。

硬件密钥 & Passkey：能开就开

单从安全性看，支持 FIDO2 / WebAuthn 的 硬件密钥（如 YubiKey）和 Passkey，在防钓鱼、防中间人攻击上要强于 TOTP。CISA 也多次强调：真正的“防钓鱼 MFA”要优先选择 FIDO 类方案。([网络安全和基础设施安全局][13])

所以实际推荐是：

能用 Passkey / 安全密钥：优先开；

不支持时，再退回到本地 TOTP（Aegis / 2FAS / Ente 等）。

五、Aegis 实战使用指南（安装→迁移→备份）

下面是面向普通用户的“实战流”，你可以直接照着做。

5.1 安装与来源选择

首选顺序：

Google Play
- 优点：自动更新、验证流程成熟；
- 地址：在商店中搜索 Aegis Authenticator，开发者为 Beem Development。([Google Play][10])
GitHub Releases
- 适合不装 Google 套件的机器；
- 地址：https://github.com/beemdevelopment/Aegis/releases ([GitHub][3])
- GitHub APK 与 Play 使用同一签名密钥，可互相覆盖安装。([GitHub][3])
F-Droid
- 完全 FOSS 生态；
- 由 F-Droid 从源码重编译，使用不同签名，因此无法直接覆盖 Play/GitHub 版本。([f-droid.org][9])

建议：

大多数用户：Play 版本足够好；

不想依赖 Google 服务：选 GitHub 或 F-Droid，但要记得自己关注更新。

5.2 第一次启动：先把“锁”焊牢

设置主密码
- 第一次打开 Aegis，会提示你设置解锁密码；
- 建议：
  - 长度 ≥ 12 字符；
  - 不要和任何网站密码重复；
  - 直接用密码管理器生成一串随机密码。
开启生物识别解锁（可选但推荐）
- 在设置中开启指纹 / 面容解锁；
- 实现上是通过 Android Keystore 存储密钥，不会把你的指纹模板给 Aegis 自己。([GitHub][3])
立刻做一次加密备份
- 在“设置 → 备份”里导出一个 加密备份文件；
- 为这个备份设置一个单独的强密码；
- 把文件放到：加密 U 盘 / NAS / 另一个安全设备。

5.3 把旧的 2FA 迁移进来

一条硬规则：每迁移完一个重要账号，立刻确认登录一次，确保没问题再删旧 App。

典型迁移路径：

从 Google Authenticator 迁移
- 如果它支持导出二维码 / 文件：
  - 在 Aegis 中选择“导入 → Google Authenticator”；
  - 扫描导出的二维码或选择文件。([f-droid.org][9])
- 如果不支持：
  - 登录具体网站（如 GitHub），进入安全设置；
  - 手动停用旧 2FA，再重新扫描二维码添加到 Aegis。
从 Authy、2FAS、andOTP 等迁移
- 大多支持导出加密或明文备份；
- 按 Aegis 导入向导的说明选择对应格式即可。([f-droid.org][9])
从 Ente / 其他新 App 迁移
- Ente、2FAS 等通常也提供导出/备份功能；
- 原则同上：一定要在新 App 验证过登录成功后，再移除旧设备或旧 App。

六、2FA 安全最佳实践：密码、备份与设备安全

6.1 解锁密码与备份密码怎么配

把 Aegis 当成一个“装满你全部网络身份的保险箱”，所以：

解锁密码：
- 长度 ≥ 12；建议用密码管理器生成随机串；
- 你每天都要输入，安全和可记忆性之间要平衡。
备份密码：
- 可以更长（16–24+），不常输入；
- 推荐：只存在密码管理器 + 纸质备份（保险箱/银行保管柜等）。

小技巧：

用密码管理器（Bitwarden、KeePass、1Password 等）管理所有这些密码；

不要用“生日 + 电影名”这种半随机密码——暴力破解面对的是 GPU/ASIC，不是“普通人”。

6.2 备份策略：尽量遵守 3-2-1 原则

3-2-1 规则：

至少 3 份数据副本（含原件）；
存在 2 种不同介质（比如手机内存 + U 盘）；
其中至少 1 份在异地（防火灾、被盗等极端情况）。

对于 Aegis 来说，一个相对稳妥的组合：

手机本地的 vault（加密）；
加密 U 盘上的加密备份；
用 Cryptomator/VeraCrypt 再加一层加密后，上传到云盘的备份。

核心是：即便任何一个云厂商被攻破，对方拿到的也是“你二次加密后的文件”。

6.3 设备层安全别忽略

再强的 Aegis，也挡不住“手机被人直接拿走 + 没有锁屏密码”的场景。至少做到：

启用系统级全盘加密（Android 6+ 通常默认开启）；
锁屏使用强密码/长 PIN，不要只用图案解锁；
定期系统更新，及时打补丁；
尽量不要随手 Root 主力机（Root 会极大提升恶意 App 权限上限）；
不装来路不明的 APK，认证器这类 App 尽量从官方渠道获取。

七、常见故障排除：时间不准、密码忘了、多设备同步

Q1：Aegis 里的验证码总是“无效”？

TOTP 完全依赖精确时间，设备时间偏几秒都可能导致失败：([Google Play][10])

检查步骤：

在系统设置中打开“自动设置时间 / 时区”；
确认时区正确（尤其是旅行回来后）；
重启手机和 App 再试；
仍不行的话：
- 重新扫一次该网站的二维码；
- 检查位数（6/8）、周期（一般 30 秒）是否与网站要求一致。

Q2：我忘了 Aegis 解锁密码，咋办？

很残酷，但这是安全设计的一部分：没有万能后门。([GitHub][3])

你能做的只有：

如果之前做过 加密备份，且记得备份密码：
- 在新安装的 Aegis 里导入备份；
如果有明文备份 / 打印出的恢复码：
- 手动重新添加每个服务的 2FA；
如果完全没有任何备份：
- 只能逐个网站走“2FA 恢复流程”（找客服、上传身份证明、填写申诉表…）。

所以务必在最开始就：

把解锁密码放进密码管理器；

做好加密备份并测试一次恢复流程。

Q3：Aegis 可以多设备自动同步吗？

不可以，且这是刻意的设计选择。([f-droid.org][9])

如果你确实想在多部 Android 设备上用同一套令牌：

在主设备上定期导出加密备份；
用安全方式传到第二部设备（U 盘/局域网/加密云盘等）；
在第二部设备上导入备份；
日后如果两边都频繁变更，建议只保留一个“主副本”，减少冲突。

如果你更看重“多设备无缝同步”，可以考虑：

使用 Ente Auth 或 2FAS 作为“便利优先”的方案；
同时把最重要几项账号（邮箱、金融、密码库登录等）保留在 Aegis 上做一份 纯本地高安全副本。

八、总结：给不同人群的行动建议

你可以把这篇文章当成一个“选型分支树”：

如果你只是普通用户：
- 先把所有支持 2FA 的网站开启 2FA；
- 能用 App 就别用短信，哪怕是 Google Authenticator 也好过只用短信；([staysafeonline.org][14])
- 有精力的话，再考虑迁移到 Aegis / 2FAS 等开源 App。
如果你是开发 / 运维 / 安全部门：
- 对管理后台、云平台、CI 等高价值目标：
  - 优先使用 硬件密钥 / Passkey；([网络安全和基础设施安全局][13])
  - 仅在实在不支持时，退回到 TOTP；
- 为个人账号选一个“主力认证器”（比如 Aegis 或 Ente），并定期做演练：模拟设备丢失、备份损坏时的恢复流程。
如果你的威胁模型里包含“国家级对手 / 敏感身份”：
- 几乎所有情况下，短信 2FA 都应该退出舞台；([TypingDNA Blog][1])
- 对 TOTP 认证器的要求不再只是“好用”，而是：
  - 无网络权限；
  - 开源可审计；
  - 本地强加密 + 可验证的安全设计文档。
- 在 Android 生态里，Aegis 很好地满足了这些条件。

换句话说：

Aegis：安全优先 / 零信任云 / Android 用户——首选；

Ente / 2FAS：多平台同步 + 依旧很安全——现实生活的“甜点区”；

短信 2FA：只作为没有其他选项时的“最后兜底”，而不是日常主力。

Google Pixel 9 刷入GrapheneOS(石墨烯)指南

Mon, 27 Oct 2025 00:00:00 GMT

Google Pixel 9 / 9 Pro 刷入 GrapheneOS（石墨烯）完整指南（Web 安装器）

更新日期：2025-10-28
适用设备：Google Pixel 9 / Google Pixel 9 Pro
安装方法：GrapheneOS 官方 WebUSB 安装器（推荐给绝大多数用户）

⚠️ 强烈建议： 在动手之前，先通读一遍 GrapheneOS 官方 Web 安装文档，再结合本文操作。官方文档会不定期更新，始终以官方为准：

Web 安装器：https://grapheneos.org/install/web

一、重要说明与风险提示

刷机会完全清空手机所有数据（包括照片、应用、短信、微信/Telegram 聊天记录等），且无法恢复。
解锁 / 锁定 Bootloader 都会触发一次数据清空，这是设计好的安全机制，不是故障。
解锁 Bootloader 在部分地区 / 运营商环境下可能影响保修，请自行确认。
如果你对任何步骤不确定，建议在官方社区提问，确认后再操作。

二、准备工作

2.1 设备要求

项目	要求说明
手机型号	Pixel 9 / Pixel 9 Pro（含 Pro XL 也同理）
设备版本	必须是无运营商锁的版本（carrier-unlocked / factory unlocked）
Bootloader	必须支持 OEM 解锁（设置中能打开 "OEM 解锁" 开关）
电量	建议手机电量 ≥ 50%，电脑电量充足或接通电源

官方说明：运营商定制机通常会通过 "carrier id" 禁用引导加载和 Bootloader 解锁，尽量购买"无运营商锁"的版本。

2.2 电脑与操作系统要求（以 Windows 为例）

本指南以 Windows 10/11 为演示环境。
GrapheneOS Web 安装器官方还支持多种系统（macOS、主流 Linux 发行版、ChromeOS 甚至 Android 13–16 等），详细列表见官方文档。

至少满足：

内存：可用内存 ≥ 2GB
磁盘空间：可用空间 ≥ 32GB（Web 安装器会下载并解压 2–3GB 的工厂镜像）
不推荐虚拟机：
- 虚拟机的 USB 透传经常不稳定
- 虚拟机默认内存 / 磁盘空间可能不足
- 安装时 USB 掉线是最常见翻车点之一

✅ 最稳妥的做法：在物理机上原生系统完成安装。

2.3 浏览器要求

官方支持的浏览器包括：

Chromium（Ubuntu 自带 Snap 包除外）
Vanadium（GrapheneOS 自带）
Google Chrome
Microsoft Edge
Brave（必须关闭 Brave Shields，否则会限制存储配额）

使用时注意：

不要使用无痕/隐私模式（Incognito），这会限制 Web 安装器解压镜像所需空间。
确保浏览器更新到最新版本。
Linux 用户：避免使用 Flatpak / Snap 版浏览器（官方明确指出这类打包方式经常导致 WebUSB / 存储问题）。

2.4 USB 数据线与接口

优先使用盒装自带的 USB-C 数据线；
尽量连接到台式机 主板后置 USB 口 或笔记本自带接口；
避免：
- USB Hub / 扩展坞
- 机箱前置 USB 口
- 品质不明的第三方数据线

GrapheneOS 官方指出，质量不佳的 USB 线 / Hub 是刷机失败最常见原因之一。

2.5 刷机前务必做的两件事

更新原厂系统到最新版本
在还没刷机前，先在原生系统里更新到最新版本，确保固件和早期启动链都是最新的：
- 打开：设置 → 系统 → 系统更新
- 检查更新并安装
- 更新完成后重启手机
完整备份数据
至少备份：
- 照片 / 视频（可同步到 Google Photos、Syncthing、NAS 等）
- 联系人（同步到 Google / vCard 导出）
- 聊天记录（微信/Telegram/Signal 等各自导出）
- 重要文件（文档、下载、密码库备份等）

三、启用 OEM 解锁（关键前置步骤）

如果 OEM 解锁 无法打开，后续所有步骤都无法继续，请务必先解决这一点。

3.1 启用开发者选项

确保手机已连接 Wi-Fi 或移动数据网络
打开 设置 → 关于手机
连续快速点击 版本号（Build number） 7 次
屏幕会提示："您现在处于开发者模式"

3.2 打开 OEM 解锁

返回设置主界面
进入：系统 → 开发者选项
找到 "OEM 解锁" 开关并打开
根据提示输入锁屏 PIN / 密码确认

3.3 OEM 解锁选项为灰色时的排查

如果 "OEM 解锁" 是灰色不可点，可能原因包括：

可能原因：

设备为运营商锁机（carrier variant），出厂配置禁止解锁
设备当前未联网，系统无法向 Google 服务器确认是否允许解锁
二手设备，前机主仍绑定 Google 账号或启用了防盗保护（FRP）

排查建议：

确保联网
- 连接稳定的 Wi-Fi 或插入有流量的 SIM
- 重启后再次检查 "OEM 解锁" 是否仍为灰色
排除前机主残留
- 确认已退出所有 Google / 其他账号
- 在原厂系统内执行一次出厂重置，然后重新完成开机向导，再次尝试开启 OEM 解锁
确认设备是否为运营商机
- 如果是运营商定制机，咨询运营商是否可以解锁 Bootloader
- 如果长期无法解锁，建议直接更换无锁版本设备

四、使用 Web 安装器刷入 GrapheneOS（Windows 示例）

官方推荐 WebUSB 安装器作为大多数用户的默认安装方式。

第 1 步：在电脑上打开 Web 安装器

在电脑上打开以下浏览器之一（最新版本）：
- Google Chrome
- Microsoft Edge
- Chromium
- Brave（先关闭 Brave Shields）
确认：
- 未开启无痕 / 隐私模式
- 浏览器已更新到最新版本
在地址栏访问 Web 安装器页面：
```
https://grapheneos.org/install/web
```
这是官方在线安装工具，会通过 WebUSB 与手机通信，自动下载并刷入 GrapheneOS 工厂镜像，无需手动下载 ZIP 文件。

第 2 步：让手机进入 Fastboot（Bootloader）模式

关闭手机
- 同时按住 电源键 + 音量上键 呼出电源菜单，选择关机。
进入 Fastboot 模式（Bootloader 界面）
- 关机后，同时按住 音量减 + 电源键。
- 持续按住直到出现带红色警告三角形的界面。
- 屏幕顶部会显示 "Fastboot Mode"。
- 不要按电源启动系统，保持停留在此界面，等待安装器连接。

第 3 步：连接手机到电脑 & 安装 Windows 驱动

使用 USB-C 数据线连接手机与电脑
- 优先使用原装线
- 尽量使用主板后置 USB 口
- 避免 Hub / 前置 USB
Windows 驱动（Pixel 9 系列一般会自动识别）
- 在 Windows 10/11 上，系统通常自带通用 fastboot 驱动，无需手动安装
- 如果 Web 安装器提示找不到设备，可按以下方式从 Windows Update 获取驱动：
  1. 保持手机停在 Fastboot Mode 并连接电脑
  2. 打开 设置 → 更新和安全 → Windows 更新
  3. 点击 检查更新
  4. 进入 "查看可选更新"
  5. 安装名为 "Android bootloader interface" 的驱动（有时会显示为 "LeMobile Android Device"）

第 4 步：解锁 Bootloader

⚠️ 解锁 Bootloader 会清空所有数据（包括刚备份后重新写入的），操作前确认数据已备份到外部存储/云端。

在 Web 安装器页面中，确认已识别到你的设备
点击 "Unlock bootloader" 按钮
手机屏幕会弹出确认界面：
- 使用音量键上下切换选项
- 选择 "Unlock the bootloader"
- 按电源键确认
等待操作完成：
- 手机会清除所有数据
- 解锁完成后会自动回到 Fastboot Mode 界面，此时 Device State 应显示红色 unlocked。

第 5 步：下载并刷入 GrapheneOS

下载工厂镜像
在 Web 安装器页面点击 "Download release"：
- 浏览器会自动下载对应 Pixel 9 / 9 Pro 的 GrapheneOS 工厂镜像（约 2–3GB）
- 下载过程中不要关闭/刷新网页，也不要断开 USB
刷入系统
- 下载完成后，Web 安装器会出现 "Flash release" 按钮
- 点击 "Flash release" 开始刷机
刷机过程说明
Web 安装器会自动完成以下步骤：
- 刷入最新固件（firmware）
- 刷入 GrapheneOS 系统镜像
- 设备在不同模式间自动重启数次（包括重新进入 Fastboot）
刷机大约需要 5–10 分钟，期间不要操作手机或拔掉数据线。
观察进度
- Web 安装器页面会显示当前步骤与日志（显示 Flashed ... zip to device）。
- 手机屏幕会显示刷写状态。

第 6 步：锁定 Bootloader（非常关键）

❗ 刷机完成后，请 立即重新锁定 Bootloader，否则设备处于未完全受保护状态，不适合日常使用。

在 Web 安装器页面，刷机成功后会显示 "Lock bootloader" 按钮
点击 "Lock bootloader"
手机进入确认界面：
- 使用音量键选择 "Lock the bootloader"
- 按电源键确认
等待完成：
- 锁定 Bootloader 会再次清空全部数据
- 完成后手机回到 Fastboot Mode 界面
- 检查屏幕上的 Device State 变为绿色的 locked。

锁定 Bootloader 之后，才会启用完整的 Verified Boot 链条，系统才能在启动时检测到任何篡改并拒绝加载被修改的数据。

第 7 步：首次启动 GrapheneOS

在 Fastboot 界面中：
- 使用音量键切换到 "Start"
- 按电源键确认
启动过程说明：
- 会看到 GrapheneOS 启动画面
- 首次启动可能需要 1–2 分钟
- 启动时会显示一个黄色警告屏，提示正在运行非出厂系统，并显示一串哈希值（后面会用到）。

五、安装后基础配置

💡 延伸阅读：完成本节的基础配置后，建议参考我们的深度配置指南，了解如何通过多用户隔离、安全加固等高级设置，充分发挥 GrapheneOS 的隐私保护能力：
👉 GrapheneOS 手机系统配置最佳实践

六、验证 GrapheneOS 安装是否"干净可信"

GrapheneOS 借助 Pixel 的 Verified Boot 和 硬件级 Attestation 功能，可以验证你的系统是否真正是官方构建、未被篡改。

方法一：检查 Verified Boot Key Hash（黄色启动屏）

Pixel 9 / 9 Pro 属于第 6 代以后机型，启动时会显示完整的 sha256 哈希，可以直接比对。

重启手机
- 关机 → 再次开机
在启动初期会短暂显示黄色警告屏，上面有一串 64 位十六进制哈希
核对以下值（来自 GrapheneOS 官方 Web 安装文档）：

Pixel 9 Pro Verified Boot Key Hash：

f729cab861da1b83fdfab402fc9480758f2ae78ee0b61c1f2137dd1ab7076e86

Pixel 9 Verified Boot Key Hash：

9e6a8f3e0d761a780179f93acd5721ba1ab7c8c537c7761073c0a754b0e932de

如果与你设备上显示的哈希完全一致，说明：
- 安装的是官方签名的 GrapheneOS
- Verified Boot 使用的是 GrapheneOS 的公钥，能在每次启动时完整校验固件和系统镜像

方法二：使用 Auditor App 进行硬件级验证（推荐至少做一次）

GrapheneOS 官方提供了 Auditor 应用，用于基于硬件 Attestation 的系统完整性验证：

通过 硬件安全单元 生成的密钥与 attestation 数据
验证：
- 硬件是否为真机
- 固件 / 系统是否为官方版本
- 是否被降级到旧版本

你需要准备：

一台已刷入 GrapheneOS 的 Pixel 9 / 9 Pro（被验证设备）
第二台 Android 设备，用来安装 Auditor 并扫描二维码

大致步骤：

在第二台 Android 设备上安装 Auditor
- 可从 GrapheneOS 应用仓库、GitHub 或（部分地区）Play 商店获取官方签名版本
打开 https://attestation.app/tutorial ，按官方教程创建配对
在 Pixel 9 上安装并打开 Auditor，按提示与第二台设备进行一次本地配对（二维码扫描）
完成后，第二台设备会显示一次完整验证结果，包含：
- Verified boot state
- Verified boot key
- 安全补丁级别等

你也可以选择使用 attestation.app 提供的远程定时验证服务，周期性检测系统是否被篡改。

七、可选：从 GrapheneOS 恢复到原厂系统的大致思路

如果以后你想从 GrapheneOS 切回原厂 Pixel 系统（stock OS），官方文档提供了完整步骤。这里只给出简要思路：

解锁 Bootloader（会清空数据）
在 Fastboot 模式下，使用 GrapheneOS 提供的命令清除非原厂的 Verified Boot key（Web 安装器页面有 "Remove non-stock key"）
打开 Google 的官方 Web 刷机工具：https://flash.android.com ，选择对应 Pixel 9 / 9 Pro 的原厂镜像进行刷写
刷写完成后，重新锁定 Bootloader，设备恢复为"接近出厂"的状态

详细命令与截图请查看 GrapheneOS Web 安装文档中的 "Replacing GrapheneOS with the stock OS" 小节。

八、常见问题与故障排除

8.1 电脑识别不到设备（Fastboot 模式）

症状：

Web 安装器页面一直显示 "Waiting for device…"
或者设备一闪而过、频繁断开

可能解决方案：

换一根质量可靠的数据线（优先原装）
把 USB 口换到主板后置 / 笔记本直连口
避免使用 Hub / 扩展坞
在 Windows 中通过 Windows Update 安装 Android bootloader interface 驱动（"LeMobile Android Device"）

8.2 OEM 解锁选项为灰色无法开启

参考前文 3.3 小节，重点检查：

是否已连接 Wi-Fi / 移动网络
是否为运营商锁机（carrier variant）
是否为二手机且前机主账号/防盗保护未彻底移除
必要时执行一次出厂重置后再次尝试

8.3 Web 安装器卡住 / 报错

尝试以下措施：

刷新网页并重新按照步骤操作（特别是解锁 / 锁定步骤）
确保未使用无痕模式
临时禁用浏览器扩展（尤其是安全 / 隐私类、广告拦截扩展）
更换浏览器（Chrome / Edge / Brave）
更换 USB 口 / 数据线
如果使用的是 Linux，确认不是 Flatpak / Snap 版浏览器，并关闭可能占用 fastboot 设备的服务（如 fwupd）

8.4 寻求进一步帮助

遇到本文未覆盖的问题，建议直接在官方社区求助：

官方论坛：https://discuss.grapheneos.org
官方聊天频道：https://grapheneos.org/contact#community

提问前尽量带上：

设备型号（Pixel 9 / 9 Pro）
使用的系统（Windows/macOS/哪种 Linux）
浏览器名称与版本
Web 安装器页面的错误信息 / 截图

九、参考资料与延伸阅读

GrapheneOS 官方站点：https://grapheneos.org
Web 安装器官方文档：https://grapheneos.org/install/web
安装方式总览：https://grapheneos.org/install （Web / CLI）
GrapheneOS 版本发布页（查看更新日志）：https://grapheneos.org/releases
Auditor 项目与 attestation 介绍：
- https://attestation.app/about
- https://attestation.app/tutorial
- https://github.com/GrapheneOS/Auditor

Nginx+SpringBoot主从节点无感部署

Mon, 13 Oct 2025 00:00:00 GMT

Nginx+SpringBoot主从节点无感部署

整体架构图

架构概述

单服务器主从架构,通过 Nginx 反向代理实现主备节点自动故障转移。

服务器信息

主机：阿里云 ECS
IP：1.2.3.4
域名：epay.twenhub.com / epaydoc.twenhub.com
Web 服务器：OpenResty 1.27.1.2

服务端口分配

HTTP：80（强制跳转 HTTPS）
HTTPS：443（主站访问）
Master 主节点：9988
Slave 从节点：9989
NotifyPro 服务：41005

目录结构

/home/server/
├── backend/digital_card_backend/
│   ├── master/
│   │   ├── deploy_master.sh
│   │   ├── jeecg-system-start-3.4.3.jar
│   │   └── master.log
│   └── slave/
│       ├── deploy_slave.sh
│       ├── jeecg-system-start-3.4.3.jar
│       └── slave.log
├── fontend/
│   ├── digital_card_frontend/    # 主站前端
│   └── doc/                      # 文档站前端
└── /home/flowapp/
    └── jeecg-system-start-3.4.3.tgz    # 部署制品

/home/nginxcert/
├── _.twenhub.com.crt
└── _.twenhub.com.key

/usr/local/openresty/nginx/conf/
└── nginx.conf

Nginx 配置

完整配置文件

路径：/usr/local/openresty/nginx/conf/nginx.conf

# user  nginx;
worker_processes  auto;
worker_rlimit_nofile 65535;
worker_shutdown_timeout 10s;

error_log  logs/error.log  warn;
pid        logs/nginx.pid;

events {
    worker_connections 65535;
    multi_accept on;
    use epoll;
}

http {
    include       mime.types;
    default_type  application/octet-stream;

    # Gzip 压缩
    gzip  on;
    gzip_min_length 1k;
    gzip_comp_level 6;
    gzip_vary  on;
    gzip_disable "MSIE [1-6]\\.";
    gzip_types
        text/plain text/css
        application/javascript application/json
        application/xml text/javascript;

    sendfile        on;
    keepalive_timeout 65;
    server_tokens off;
    client_max_body_size 30m;
    client_body_timeout 300s;

    # WebSocket 支持
    map $http_upgrade $connection_upgrade {
        default upgrade;
        ''      "";
    }

    # 后端主备服务
    upstream backend_service {
        zone backend_zone 64k;
        server 127.0.0.1:9988 max_fails=2 fail_timeout=5s;
        server 127.0.0.1:9989 backup max_fails=1 fail_timeout=5s;
        keepalive 64;
        keepalive_timeout 60s;
        keepalive_requests 1000;
    }

    # 通知服务
    upstream notify_service {
        zone notify_zone 64k;
        server 127.0.0.1:41005 max_fails=2 fail_timeout=5s;
        keepalive 32;
        keepalive_timeout 60s;
        keepalive_requests 1000;
    }

    # HTTP 跳转 HTTPS
    server {
        listen       80;
        listen       [::]:80;
        server_name  epay.twenhub.com;
        return 301 https://$host$request_uri;
    }

    # 文档站
    server {
        listen       443 ssl;
        server_name  epaydoc.twenhub.com;
    
        ssl_certificate      /home/nginxcert/_.twenhub.com.crt;
        ssl_certificate_key  /home/nginxcert/_.twenhub.com.key;
        ssl_session_cache    shared:SSL:10m;
        ssl_session_timeout  10m;
        ssl_protocols        TLSv1.2 TLSv1.3;
        ssl_ciphers          HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;
    
        add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
        add_header Cache-Control "no-store, no-cache, must-revalidate, max-age=0" always;
        add_header Pragma "no-cache" always;
        add_header Expires "0" always;
    
        root  /home/server/fontend/doc;
        index index.html index.htm;
    
        location / {
            try_files $uri $uri/ =404;
        }
    }

    # 主站
    server {
        listen       443 ssl;
        listen       [::]:443 ssl;
        http2        on;
        server_name  epay.twenhub.com;

        ssl_certificate      /home/nginxcert/_.twenhub.com.crt;
        ssl_certificate_key  /home/nginxcert/_.twenhub.com.key;
        ssl_session_cache    shared:SSL:10m;
        ssl_session_timeout  10m;
        ssl_protocols        TLSv1.2 TLSv1.3;
        ssl_ciphers          HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;

        add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

        # 前端 SPA
        root  /home/server/fontend/digital_card_frontend;
        index index.html;
        location / {
            try_files $uri $uri/ /index.html;
        }

        # 后端 API
        location /api/ {
            proxy_pass          http://backend_service;
            proxy_http_version  1.1;

            proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
            proxy_next_upstream_tries 2;

            proxy_connect_timeout  1s;
            proxy_send_timeout     30s;
            proxy_read_timeout     120s;

            proxy_set_header    Upgrade           $http_upgrade;
            proxy_set_header    Connection        $connection_upgrade;
            proxy_set_header    Host              $host;
            proxy_set_header    X-Real-IP         $remote_addr;
            proxy_set_header    X-Forwarded-For   $proxy_add_x_forwarded_for;
            proxy_set_header    X-Forwarded-Proto $scheme;
        }

        # 通知服务
        location /notify/ {
            proxy_pass          http://notify_service/notify_pro/;
            proxy_http_version  1.1;

            proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
            proxy_next_upstream_tries 2;

            proxy_connect_timeout  3s;
            proxy_send_timeout     300s;
            proxy_read_timeout     300s;

            proxy_set_header    Upgrade           $http_upgrade;
            proxy_set_header    Connection        $connection_upgrade;
            proxy_set_header    Host              $host;
            proxy_set_header    X-Real-IP         $remote_addr;
            proxy_set_header    X-Forwarded-For   $proxy_add_x_forwarded_for;
            proxy_set_header    X-Forwarded-Proto $scheme;
        }
    }
}

配置说明

主备策略

Master 节点（9988）：主节点，处理所有请求
Slave 节点（9989）：backup 模式，仅在主节点故障时接管
故障判定：连续 2 次失败（max_fails=2），5 秒超时（fail_timeout=5s）
快速失败：proxy_connect_timeout=1s，1 秒内无法连接则切换

连接复用

keepalive 64：保持 64 个空闲连接到后端
keepalive_timeout 60s：空闲连接保持 60 秒
keepalive_requests 1000：单个连接最多处理 1000 个请求后轮换

重试机制

proxy_next_upstream：定义触发重试的错误类型
proxy_next_upstream_tries 2：最多重试 2 次（含首次）

部署脚本

Master 主节点部署脚本

路径：/home/server/backend/digital_card_backend/master/deploy_master.sh

#!/bin/bash

#---------------------------配置开始----------------------------------
APP_NAME=jeecg-system-start-3.4.3
PROG_NAME=$0
ACTION=$1
APP_START_TIMEOUT_SECONDS=120
APP_PORT=9988
BASE_URL=http://127.0.0.1:${APP_PORT}/api
HEALTH_CHECK_URL=${BASE_URL}/noauth/heart
APP_HOME=/home/server/backend/digital_card_backend/master
JAR_NAME=${APP_HOME}/${APP_NAME}.jar
JAVA_OUT=${APP_HOME}/master.log
PACKAGE_PATH=/home/flowapp/jeecg-system-start-3.4.3.tgz
SHUTDOWN_TIMEOUT_SECONDS=40
SPRING_PROFILE="master"
#---------------------------配置结束----------------------------------

mkdir -p ${APP_HOME}

usage() {
    echo "Usage: $PROG_NAME {start|stop|restart|deploy}"
    exit 2
}

health_check() {
    exptime=0
    echo "checking ${HEALTH_CHECK_URL}"
    while true
        do
            status_code=`/usr/bin/curl -L -o /dev/null --connect-timeout 5 -s -w %{http_code}  ${HEALTH_CHECK_URL}`
            if [ "$?" != "0" ]; then
               echo -n -e "\rapplication not started"
            else
                echo "code is $status_code"
                if [ "$status_code" == "200" ];then
                    break
                fi
            fi
            sleep 1
            ((exptime++))

            echo -e "\rWait app to pass health check: $exptime..."

            if [ $exptime -gt ${APP_START_TIMEOUT_SECONDS} ]; then
                echo 'app start failed'
               exit 1
            fi
        done
    echo "check ${HEALTH_CHECK_URL} success"
}

start_application() {
    echo "starting java process"
    nohup java -jar -Xmx512m -Xms256m -Dspring.profiles.active=${SPRING_PROFILE} -Dserver.port=${APP_PORT} ${JAR_NAME} >${JAVA_OUT} 2>&1 &
    echo "started java process"
}

stop_application() {
    checkjavapid=$(ps -ef | grep java | grep ${APP_NAME} | grep ${APP_PORT} | grep -v grep | awk '{print $2}')
    
    if [[ ! $checkjavapid ]]; then
        echo "No java process to stop (process not found)"
        return
    fi

    echo "Sending SIGTERM to Java process with PID ${checkjavapid}."
    kill -15 ${checkjavapid}

    for ((i=0; i<$SHUTDOWN_TIMEOUT_SECONDS; i++)); do
        http_status=$(curl -o /dev/null -s -w "%{http_code}\n" ${HEALTH_CHECK_URL})
        
        if [ "$http_status" != "200" ]; then
            echo "Java process stopped gracefully."
            if [ ! -z "$checkjavapid" ]; then
                kill -9 $checkjavapid
                echo "Killed process on pid $checkjavapid."
            fi
            return
        fi
        
        sleep 1
        echo "Waiting for Java process to stop..."
    done

    echo "Java process did not stop after $SHUTDOWN_TIMEOUT_SECONDS seconds, sending SIGKILL"
    if [ ! -z "$checkjavapid" ]; then
        kill -9 $checkjavapid
        echo "Killed process on port $APP_PORT."
    fi
}

start() {
    start_application
    health_check
}

stop() {
    stop_application
}

deploy() {
    stop
    
    echo "Unpacking $PACKAGE_PATH to $APP_HOME"
    if tar zxvf $PACKAGE_PATH -C $APP_HOME; then
        echo "Unpack finished successfully."
        
        echo "Removing the package $PACKAGE_PATH"
        rm -f $PACKAGE_PATH
        if [ $? -eq 0 ]; then
            echo "Package removed successfully."
        else
            echo "Failed to remove the package."
        fi
    else
        echo "Error occurred during unpacking. Exiting."
        exit 1
    fi
    
    start
}

case "$ACTION" in
    start)
        start
    ;;
    stop)
        stop
    ;;
    restart)
        stop
        start
    ;;
    deploy)
        deploy
    ;;
    *)
        usage
    ;;
esac

Slave 从节点部署脚本

路径：/home/server/backend/digital_card_backend/slave/deploy_slave.sh

#!/bin/bash

#---------------------------配置开始----------------------------------
APP_NAME=jeecg-system-start-3.4.3
PROG_NAME=$0
ACTION=$1
APP_START_TIMEOUT_SECONDS=120
APP_PORT=9989
BASE_URL=http://127.0.0.1:${APP_PORT}/api
HEALTH_CHECK_URL=${BASE_URL}/noauth/heart
APP_HOME=/home/server/backend/digital_card_backend/slave
JAR_NAME=${APP_HOME}/${APP_NAME}.jar
JAVA_OUT=${APP_HOME}/slave.log
PACKAGE_PATH=/home/flowapp/jeecg-system-start-3.4.3.tgz
SHUTDOWN_TIMEOUT_SECONDS=40
SPRING_PROFILE="slave"
#---------------------------配置结束----------------------------------

mkdir -p ${APP_HOME}

usage() {
    echo "Usage: $PROG_NAME {start|stop|restart|deploy}"
    exit 2
}

health_check() {
    exptime=0
    echo "checking ${HEALTH_CHECK_URL}"
    while true
        do
            status_code=`/usr/bin/curl -L -o /dev/null --connect-timeout 5 -s -w %{http_code}  ${HEALTH_CHECK_URL}`
            if [ "$?" != "0" ]; then
               echo -n -e "\rapplication not started"
            else
                echo "code is $status_code"
                if [ "$status_code" == "200" ];then
                    break
                fi
            fi
            sleep 1
            ((exptime++))

            echo -e "\rWait app to pass health check: $exptime..."

            if [ $exptime -gt ${APP_START_TIMEOUT_SECONDS} ]; then
                echo 'app start failed'
               exit 1
            fi
        done
    echo "check ${HEALTH_CHECK_URL} success"
}

start_application() {
    echo "starting java process"
    nohup java -jar -Xmx512m -Xms256m -Dspring.profiles.active=${SPRING_PROFILE} -Dserver.port=${APP_PORT} ${JAR_NAME} >${JAVA_OUT} 2>&1 &
    echo "started java process"
}

stop_application() {
    checkjavapid=$(ps -ef | grep java | grep ${APP_NAME} | grep ${APP_PORT} | grep -v grep | awk '{print $2}')
    
    if [[ ! $checkjavapid ]]; then
        echo "No java process to stop (process not found)"
        return
    fi

    echo "Sending SIGTERM to Java process with PID ${checkjavapid}."
    kill -15 ${checkjavapid}

    for ((i=0; i<$SHUTDOWN_TIMEOUT_SECONDS; i++)); do
        http_status=$(curl -o /dev/null -s -w "%{http_code}\n" ${HEALTH_CHECK_URL})
        
        if [ "$http_status" != "200" ]; then
            echo "Java process stopped gracefully."
            if [ ! -z "$checkjavapid" ]; then
                kill -9 $checkjavapid
                echo "Killed process on pid $checkjavapid."
            fi
            return
        fi
        
        sleep 1
        echo "Waiting for Java process to stop..."
    done

    echo "Java process did not stop after $SHUTDOWN_TIMEOUT_SECONDS seconds, sending SIGKILL"
    if [ ! -z "$checkjavapid" ]; then
        kill -9 $checkjavapid
        echo "Killed process on port $APP_PORT."
    fi
}

start() {
    start_application
    health_check
}

stop() {
    stop_application
}

deploy() {
    stop
    
    echo "Unpacking $PACKAGE_PATH to $APP_HOME"
    if tar zxvf $PACKAGE_PATH -C $APP_HOME; then
        echo "Unpack finished successfully."
        
        echo "Removing the package $PACKAGE_PATH"
        rm -f $PACKAGE_PATH
        if [ $? -eq 0 ]; then
            echo "Package removed successfully."
        else
            echo "Failed to remove the package."
        fi
    else
        echo "Error occurred during unpacking. Exiting."
        exit 1
    fi
    
    start
}

case "$ACTION" in
    start)
        start
    ;;
    stop)
        stop
    ;;
    restart)
        stop
        start
    ;;
    deploy)
        deploy
    ;;
    *)
        usage
    ;;
esac

脚本说明

主从节点差异

配置项	Master	Slave
APP_PORT	9988	9989
APP_HOME	.../master	.../slave
JAVA_OUT	master.log	slave.log
SPRING_PROFILE	master	slave

脚本功能

start：启动服务并健康检查
stop：优雅停机（SIGTERM → 等待 40s → SIGKILL）
restart：先停止后启动
deploy：停止 → 解压制品 → 启动

健康检查

检查地址：http://127.0.0.1:{PORT}/api/noauth/heart
超时时间：120 秒
检查间隔：1 秒
成功条件：HTTP 200

优雅停机流程

发送 SIGTERM 信号（kill -15）
每秒检查健康接口
接口返回非 200 时执行 kill -9 清理
超过 40 秒强制 kill -9

云效流水线部署

流水线配置

流水线名称：digital_card_backend

代码源：

分支：master
触发方式：Webhook 触发或手动触发

流程阶段：

Java 构建上传：构建 JAR 包并上传到制品库
Slave 节点部署：部署从节点
Master 节点部署：部署主节点

部署任务配置

Slave 节点部署任务

主机组：部署 执行用户：root（或具有执行权限的用户） 部署脚本：

sleep 3
cd /home/server/backend/digital_card_backend/slave
sh deploy_slave.sh deploy

说明：

sleep 3：等待云效将制品（jeecg-system-start-3.4.3.tgz）上传到 /home/flowapp/ 目录
脚本会自动停止旧服务、解压新制品、启动新服务并进行健康检查

Master 节点部署任务

主机组：部署 执行用户：root（或具有执行权限的用户） 部署脚本：

sleep 3
cd /home/server/backend/digital_card_backend/master
sh deploy_master.sh deploy

说明：

sleep 3：确保制品上传完成（与 Slave 共享同一个制品文件）
由于部署顺序是先 Slave 后 Master，此时 Slave 已经启动完成

零停机部署原理

部署流程时序:

1. 云效构建完成，上传制品到 /home/flowapp/jeecg-system-start-3.4.3.tgz
   ↓
2. 延迟 3 秒（确保文件上传完整）
   ↓
3. 部署 Slave 节点
   - 停止旧 Slave（端口 9989）
   - 解压制品到 /home/server/backend/digital_card_backend/slave/
   - 启动新 Slave
   - 健康检查通过（最多等待 120 秒）
   【此时流量仍在 Master 9988，服务不中断】
   ↓
4. 延迟 3 秒
   ↓
5. 部署 Master 节点
   - 停止旧 Master（端口 9988）
   【Nginx 检测到 Master 不可用，自动切换流量到 Slave 9989】
   - 解压制品到 /home/server/backend/digital_card_backend/master/
   - 启动新 Master
   - 健康检查通过（最多等待 120 秒）
   【Nginx 检测到 Master 恢复，自动切换流量回 Master 9988】
   ↓
6. 部署完成，Slave 保持运行作为备用节点

Nginx 自动切换逻辑：

Master 正常时：100% 流量到 Master（9988）
Master 故障时：100% 流量到 Slave（9989，backup 节点）
Master 恢复后：自动切回 Master
切换检测：每次请求前检查，1 秒连接超时即判定故障

部署触发方式

自动触发：

代码推送到 master 分支时，Webhook 自动触发流水线
云效自动执行：构建 → 部署 Slave → 部署 Master

手动触发：

在云效控制台点击"运行"按钮
选择指定分支或 commit 进行部署

部署验证

查看部署日志：

云效控制台 → 运行历史 → 点击对应的运行记录
查看"Slave 节点"和"Master 节点"的部署详情

微信自动化发送消息方案

Sun, 12 Oct 2025 00:00:00 GMT

微信自动化发送消息方案

工具概览

本文档对比两款主流微信自动化工具的适用平台、技术特性和应用场景。

wxauto

基本信息

项目	内容
官方网站	https://docs.wxauto.org/
GitHub仓库	https://github.com/cluic/wxauto
Star数量	6.3k
开源协议	Apache-2.0
维护状态	活跃维护（最近一周有更新）
当前版本	v39.1.18

适用平台

平台类型	支持情况
PC端个人微信	✅ 支持（Windows系统）
PC端企业微信	❌ 不支持
移动端个人微信	❌ 不支持
移动端企业微信	❌ 不支持

技术实现

wxauto基于Windows UIAutomation技术实现，通过控制微信PC客户端窗口，模拟用户的点击、输入等操作完成自动化任务。该方案不涉及协议逆向或代码注入，从微信角度看完全是正常用户行为，封号风险极低。

环境要求

操作系统：Windows（仅支持Windows平台）
微信版本：Windows PC版微信客户端（推荐3.9.8.15）
Python版本：Python 3.8及以上
运行条件：必须保持微信窗口可见，不能最小化

核心功能

wxauto提供完整的微信自动化能力，包括消息收发、聊天记录获取、好友搜索、文件传输、消息监听与自动回复、多实例支持、朋友圈操作等功能。支持发送文本、图片、视频、文件等多种消息类型。

安装方式

pip install wxauto

适用场景

wxauto适用于Windows环境下的个人微信自动化需求，包括消息定时发送、聊天记录备份、自动回复、群消息监控等场景。适合个人用户或小规模自动化应用。

技术特点

采用UI自动化技术，安全性高，无需破解或修改微信客户端。通过控件坐标缓存和消息类型预判断等优化手段，在保证功能稳定的同时兼顾性能表现。支持事件驱动的消息监听模式，避免轮询带来的性能开销。

使用限制

仅支持Windows系统，微信窗口必须保持可见状态。需要提前手动登录PC微信客户端，框架无法自动登录。不支持macOS和Linux系统。

WorkTool

基本信息

项目	内容
官方网站	https://worktool.ymdyes.cn/
GitHub仓库	https://github.com/gallonyin/worktool
Star数量	2.8k
开源协议	Apache-2.0
维护状态	活跃维护（最新版本2023年10月）
当前版本	v2.8.0

适用平台

平台类型	支持情况
PC端个人微信	❌ 不支持
PC端企业微信	❌ 不支持
移动端个人微信	✅ 支持（Android系统）
移动端企业微信	✅ 支持（Android系统，主要支持）

技术实现

WorkTool基于Android系统的官方无障碍服务（Accessibility Service）实现，通过自研自动化框架控制企业微信或个人微信移动端应用。该方案无hook函数、无侵入、无破坏、无内存修改，手机无需Root权限，兼容99%的Android手机。

环境要求

操作系统：Android（手机型号和系统版本不限）
微信版本：企业微信4.1.8~4.1.36版本，或个人微信移动端
硬件要求：需要一台Android手机或云手机
权限要求：需要开启无障碍服务权限

核心功能

WorkTool提供无人值守群管理机器人功能，支持消息自动应答、群管理、指令识别、用户画像生成等。可实现消息收发、自动回复、建群、拉人踢人、好友管理、文件发送、群二维码获取等功能。支持第三方问答接入和自定义话术。

部署方式

WorkTool分为安卓端APP和任务调度平台两部分。开发者可自行编译源码运行，非开发者可使用官方提供的安装包。支持云手机部署和私有化部署方案。

适用场景

WorkTool适用于企业微信群管理、客户服务、营销自动化等场景。特别适合需要在移动端运行的无人值守机器人应用，如社群运营、客户关系管理、自动化营销等。

技术特点

基于Android官方无障碍服务，符合工信部要求的无障碍改造规范，是政府和官方支持的自动化方案。采用自研自动化框架，与PC端RPA完全不同，支持长时间稳定运行。兼容主流Android手机和模拟器。

使用限制

仅支持Android平台，不支持iOS系统。需要提供一台Android手机或租用云手机。账号曾有被封或禁言等行为的用户不建议使用。使用场景必须符合腾讯运营规范和国家法律规定。

商业模式

WorkTool开源版本永久免费，但官方网站提供的机器人ID注册服务设有199元门槛（2023年12月起）。提供专用云手机租赁和私有化部署等商业服务。

对比总结

平台支持对比

工具	PC端个人微信	PC端企业微信	移动端个人微信	移动端企业微信
wxauto	✅ Windows	❌	❌	❌
WorkTool	❌	❌	✅ Android	✅ Android

技术方案对比

对比项	wxauto	WorkTool
技术基础	Windows UIAutomation	Android无障碍服务
操作系统	Windows	Android
需要Root/破解	否	否
封号风险	极低	低
运行环境	PC桌面	手机/云手机
窗口可见性要求	必须可见	无要求

功能特性对比

功能类别	wxauto	WorkTool
消息收发	✅	✅
自动回复	✅	✅
群管理	✅	✅
好友管理	✅	✅
朋友圈操作	✅	❌
无人值守	⚠️ 需保持窗口可见	✅ 完全无人值守
多实例支持	✅	✅
API调用	✅	✅

适用场景建议

选择wxauto的场景：

在Windows PC环境下工作
需要自动化个人微信操作
对PC端朋友圈操作有需求
偏好Python开发环境
个人使用或小规模应用

选择WorkTool的场景：

需要企业微信自动化
需要移动端运行环境
需要完全无人值守运行
有社群运营或客户管理需求
可以提供Android手机或云手机
企业级应用场景

开发者友好度

wxauto：

安装简单，一条pip命令即可
Python API设计直观
文档完善，示例丰富
适合Python开发者快速上手

WorkTool：

需要部署Android APP
提供HTTP API接口调用
支持多种编程语言对接
有一定部署门槛

成本对比

wxauto：

完全免费开源
需要Windows PC环境
无额外硬件成本

WorkTool：

开源版本免费
需要Android手机或云手机
机器人ID注册需199元（官方平台）
可选云手机租赁服务

选择建议

根据实际需求选择合适的工具：

PC端个人微信自动化：选择wxauto，基于Windows UIAutomation技术，安全稳定，适合个人用户。

移动端企业微信自动化：选择WorkTool，基于Android无障碍服务，支持无人值守，适合企业应用。

移动端个人微信自动化：选择WorkTool，但需注意合规使用，避免违反微信使用规范。

跨平台需求：两款工具分别覆盖PC端和移动端，可根据主要使用场景选择，或结合使用。

风险提示

使用任何微信自动化工具都需要注意以下事项：

遵守微信使用规范和国家法律法规
避免频繁发送消息导致骚扰行为
不发送违法违规内容
合理控制自动化频率
注意保护用户隐私
商业用途需获得相应授权

两款工具均声明禁止用于非法用途，使用者需自行承担使用风险和法律责任。

Windows一键修复记事本txt文件打不开的问题

Sat, 11 Oct 2025 00:00:00 GMT

Windows一键修复记事本txt文件打不开的问题

问题描述

在 Windows 环境中，由于软件安装冲突、系统配置错误或注册表损坏等原因，.txt 文件的文件关联可能会被破坏。这会导致以下典型症状：

双击 .txt 文件没有任何反应。
系统弹出“您想如何打开这个文件？”的对话框，即使之前已经设置过默认程序。
打开文件时报告“找不到应用程序”或类似的错误信息。

使用方法

保存脚本：将本文档末尾提供的“完整脚本”内容复制并保存到一个新文件中，命名为 fix_txt_association.bat。
以管理员身份运行：找到保存的 fix_txt_association.bat 文件，右键单击它，然后在弹出的菜单中选择 “以管理员身份运行”。这是必须的步骤，因为脚本需要修改系统级别的注册表设置。
确认执行：如果系统弹出用户账户控制（UAC）对话框，请点击“是”以授权脚本运行。
完成修复：脚本将自动执行所有修复步骤，完成后会显示“修复完成”的提示。之后，您可以尝试再次双击任意 .txt 文件，检查问题是否已解决。

完整脚本

@echo off
setlocal EnableExtensions

:: --- 提权为管理员 ---
>nul 2>&1 net session || (
  powershell -NoProfile -ExecutionPolicy Bypass -Command "Start-Process -FilePath '%~f0' -Verb RunAs"
  exit /b
)

chcp 65001 >nul
echo === 深度修复 .txt 双击打不开（重建关联 + 重新注册记事本）===

:: 0) 关闭记事本，避免占用
taskkill /f /im notepad.exe >nul 2>&1

:: 1) 备份关联相关注册表（以便需要时手动还原）
for %%K in ("HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.txt"
            "HKCU\Software\Classes\.txt"
            "HKLM\Software\Classes\.txt"
            "HKLM\Software\Classes\txtfile") do (
  reg export "%%~K" "%TEMP%\FixTxt_backup_%%~nK.reg" /y >nul 2>&1
)

:: 2) 清理当前用户的 .txt 关联缓存（含 UserChoice / OpenWith 列表）
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.txt" /f >nul 2>&1
reg delete "HKCU\Software\Classes\.txt" /f >nul 2>&1

:: 3) 重建系统级关联：.txt -> txtfile，并指定打开命令为系统记事本
assoc .txt=txtfile >nul
ftype txtfile="%SystemRoot%\System32\notepad.exe" "%%1" >nul

:: 3b) 同步写入注册表（双保险）
reg add "HKLM\Software\Classes\.txt" /ve /d "txtfile" /f >nul
reg add "HKLM\Software\Classes\txtfile\shell\open\command" /ve /d "\"%SystemRoot%\System32\notepad.exe\" \"%%1\"" /f >nul

:: 4) 重新注册 Win11 记事本 AppX 包（防止应用包注册损坏）
powershell -NoProfile -ExecutionPolicy Bypass -Command ^
  "Get-AppxPackage -AllUsers Microsoft.WindowsNotepad | ForEach-Object {Add-AppxPackage -DisableDevelopmentMode -Register ($_.InstallLocation + '\AppXManifest.xml')}"

:: 5) 刷新资源管理器/图标缓存
taskkill /f /im explorer.exe >nul 2>&1
del /a /q "%LocalAppData%\IconCache.db" >nul 2>&1
start "" explorer.exe

echo.
echo 修复完成。请現在直接雙擊任意 .txt 測試。
echo 若仍報“找不到文件”，極可能是路徑本身或桌面重定向問題（見下）。
pause

注意事项

管理员权限：本脚本必须以管理员身份运行才能成功修改系统注册表。
系统环境：该脚本专为现代 Windows 操作系统（Windows 7, 8, 10, 11）设计。
备份与恢复：脚本会自动在系统的临时文件夹（%TEMP%）中备份被修改的注册表项，文件名以 FixTxt_backup_ 开头。在极少数情况下，如果修复导致意外问题，可手动导入这些 .reg 文件进行恢复。

Windows一键修复搜索栏无法使用或找不到应用的问题

Sat, 11 Oct 2025 00:00:00 GMT

Windows一键修复搜索栏无法使用或找不到应用的问题

问题描述

在 Windows 环境中，由于系统更新、软件冲突或索引损坏等原因，开始菜单的搜索功能可能会失灵。这会导致以下典型症状：

点击搜索栏没有反应，或无法输入任何文字。
搜索已安装的应用程序（如“命令提示符”、“设置”等）时，显示“无结果”。
Windows Search 服务无法启动或反复停止。
系统设置中的“搜索和索引”选项无法正常工作。

使用方法

保存脚本：将本文档末尾提供的“完整脚本”内容复制并保存到一个新文件中，命名为 fix_search_bar.bat。
以管理员身份运行：找到保存的 fix_search_bar.bat 文件，右键单击它，然后在弹出的菜单中选择 “以管理员身份运行”。这是必须的步骤，因为脚本需要停止系统服务、清理缓存并修改系统设置。
确认执行：如果系统弹出用户账户控制（UAC）对话框，请点击“是”以授权脚本运行。
完成修复：脚本将自动执行一系列修复操作，包括重启相关服务、重新注册搜索组件和重建索引。完成后，会显示相应的提示。之后，您可以尝试使用搜索功能，检查问题是否已解决。

完整脚本

@echo off
setlocal EnableExtensions

:: --- 提权为管理员 ---
>nul 2>&1 net session || (
  powershell -NoProfile -ExecutionPolicy Bypass -Command "Start-Process -FilePath '%~f0' -Verb RunAs"
  exit /b
)

chcp 65001 >nul
echo === 修復：開始菜單/搜索搜不到「命令提示符」 & Windows Search 啟動失敗 ===

:: 0) 基礎檢查
if not exist "%SystemRoot%\System32\cmd.exe" (
  echo 未找到 %SystemRoot%\System32\cmd.exe ；請先修復系統文件後再試。
  pause & exit /b 2
)

:: 1) 停止搜索服務，準備清理/重建索引
sc config WSearch start= delayed-auto >nul
net stop WSearch >nul 2>&1

:: 2) 重置 CLFS/TxR 事務日誌（修復 WSearch 服務特定錯誤）
fsutil resource setautoreset true %SystemDrive% >nul 2>&1
attrib -r -s -h "%SystemRoot%\System32\config\TxR\*" 2>nul
del /a /f /q "%SystemRoot%\System32\config\TxR\*.blf"        2>nul
del /a /f /q "%SystemRoot%\System32\config\TxR\*.regtrans-ms" 2>nul

:: 3) 清理並重建搜索索引目錄（Windows.edb 會自動重建）
rmdir /s /q "%ProgramData%\Microsoft\Search\Data\Applications\Windows" 2>nul
md "%ProgramData%\Microsoft\Search\Data\Applications\Windows" 2>nul

:: 4) 關閉外殼/開始菜單/搜索界面進程，避免 0x80073D02
taskkill /f /im explorer.exe               >nul 2>&1
taskkill /f /im StartMenuExperienceHost.exe>nul 2>&1
taskkill /f /im ShellExperienceHost.exe    >nul 2>&1
taskkill /f /im SearchHost.exe             >nul 2>&1
taskkill /f /im SearchApp.exe              >nul 2>&1

:: 5) 重新註冊「開始菜單」與「搜索」AppX 包
powershell -NoProfile -ExecutionPolicy Bypass -Command ^
 "Get-AppxPackage -AllUsers Microsoft.Windows.StartMenuExperienceHost | ForEach-Object {Add-AppxPackage -DisableDevelopmentMode -Register ($_.InstallLocation + '\AppXManifest.xml')}" 

powershell -NoProfile -ExecutionPolicy Bypass -Command ^
 "Get-AppxPackage -AllUsers Microsoft.Windows.Search | ForEach-Object {Add-AppxPackage -DisableDevelopmentMode -Register ($_.InstallLocation + '\AppXManifest.xml')}"

:: 6) 在「所有用戶開始菜單」補建命令提示符快捷方式（中/英）
set "SM=%ProgramData%\Microsoft\Windows\Start Menu\Programs"
powershell -NoProfile -ExecutionPolicy Bypass -Command ^
 "$s=(New-Object -ComObject WScript.Shell).CreateShortcut('%SM%\\命令提示符.lnk');$s.TargetPath='%SystemRoot%\\System32\\cmd.exe';$s.IconLocation='%SystemRoot%\\System32\\cmd.exe,0';$s.WorkingDirectory='%HOMEDRIVE%%HOMEPATH%';$s.Save();"
powershell -NoProfile -ExecutionPolicy Bypass -Command ^
 "$s=(New-Object -ComObject WScript.Shell).CreateShortcut('%SM%\\Command Prompt.lnk');$s.TargetPath='%SystemRoot%\\System32\\cmd.exe';$s.IconLocation='%SystemRoot%\\System32\\cmd.exe,0';$s.WorkingDirectory='%HOMEDRIVE%%HOMEPATH%';$s.Save();"

:: 7) 重啟 Explorer，啟動搜索服務
start "" explorer.exe
net start WSearch >nul 2>&1

echo.
echo 已完成：TxR 清理 + 重新註冊開始菜單/搜索 + 重建索引 + 補建 CMD 快捷方式。
echo 現在請在開始菜單/搜索輸入：cmd 或 命令提示符 試試。
echo 若搜索索引仍未返回結果，屬於索引重建過程，稍後再查詢即可。
pause

注意事项

管理员权限：本脚本必须以管理员身份运行，才能成功执行停止服务、清理缓存和重新注册系统组件等操作。
系统环境：该脚本专为现代 Windows 操作系统（Windows 10, 11）设计，利用了 PowerShell 和 AppX 包管理功能。
索引重建：脚本会触发系统重建搜索索引。根据您电脑中文件的数量，此过程可能需要几分钟到半小时不等。在索引完成前，搜索结果可能不完整。
系统文件：脚本假设核心系统文件（如 cmd.exe）存在。如果系统文件已损坏或丢失，应首先运行系统文件检查器（sfc /scannow）进行修复。

2700元神机组装方案

Fri, 10 Oct 2025 00:00:00 GMT

2700元神机组装方案

前言

在有限的预算内组装一台性能均衡、稳定可靠的电脑,是许多用户的核心诉求。本文将对一套以英特尔酷睿i5-14400处理器为核心的核显配置方案进行深度剖析。该方案在不依赖独立显卡的前提下,旨在实现成本与性能的最佳平衡,不仅满足日常办公与轻度娱乐,更能胜任部分专业应用场景。我们将对配置的每个细节、市场行情、软件兼容性、散热与稳定性进行详尽的分析。

配置清单与价格分析

以下配置清单基于2025年10月的市场行情估算。硬件价格波动频繁,此清单仅供参考,实际购买价格可能存在差异。

组件	具体品牌与型号	市场参考价 (元)	价格说明
CPU	Intel Core i5-14400 散片	1150	散片价格较盒装更具性价比,盒装价格普遍在1300元以上。
主板	技嘉 B760M D2H DDR4	550	B760M芯片组中极具性价比的选择,供电稳定。
内存	金士顿 FURY Beast 16GB (8G×2) DDR4 3200	300	当前市场主流DDR4 16GB双通道套条的合理价位。
固态	西部数据 WD Blue SN570 500GB	258	PCIe 3.0固态硬盘中性能与价格的甜点产品。
电源	航嘉 Huntkey WD500K 金牌	249	金牌认证电源,品质可靠,转换效率高。
机箱	先马平头哥 M8	139	入门级M-ATX机箱,散热风道合理。
散热	利民 AX120 SE	79	百元内风冷散热器的标杆产品,性价比极高。
总计		~2,725	整体配置具备出色的性价比,适合预算有限的用户。

核心硬件解析

中央处理器 (CPU): Intel Core i5-14400

英特尔酷睿i5-14400采用6个性能核（P-core）与4个能效核（E-core）的混合架构,共计10核心16线程。这一设计使其在处理多任务和高负载应用时游刃有余。基础频率为2.5GHz,最大睿频可达4.7GHz,性能表现优异。其集成的UHD 730核显性能不俗,支持4K视频硬件解码,足以应对日常影音娱乐和《英雄联盟》等主流网络游戏,是构建无独立显卡主机的理想选择。

在实际应用中,i5-14400的10核心16线程配置能够轻松应对多任务处理场景。无论是同时运行多个办公软件、浏览器标签,还是进行轻度的内容创作,该处理器都能保持流畅的响应速度。其65W的基础功耗设计也使得整机的发热量和能耗保持在合理范围内。

主板: 技嘉 B760M D2H DDR4

技嘉B760M D2H DDR4主板提供了稳定的平台支持。B760芯片组完美兼容14代酷睿处理器,并提供PCIe 4.0通道支持。主板采用M-ATX板型设计,尺寸紧凑但扩展性充足,配备了两个DDR4内存插槽、一个PCIe 4.0 M.2接口以及多个SATA接口,满足日常使用和未来扩展需求。

选择DDR4版本是本套配置性价比策略的核心。DDR4内存技术成熟、价格低廉,与DDR5在当前应用场景下的性能差距微乎其微,却能节省大量预算。主板的供电模块设计合理,能够为i5-14400提供稳定的电力供应,确保系统长期稳定运行。

内存: 金士顿 FURY Beast 16GB (8G×2) DDR4 3200

金士顿FURY Beast系列DDR4 3200MHz 16GB双通道内存组合,是本套配置的重要组成部分。16GB的容量能够满足绝大多数日常应用和轻度专业软件的需求。采用双通道配置（8GB×2）而非单条16GB,能够有效提升内存带宽,这对于依赖内存性能的核显平台尤为重要。

3200MHz的频率是DDR4内存的甜点频率,在性能与价格之间取得了良好平衡。金士顿作为内存领域的一线品牌,其产品的兼容性和稳定性经过了市场的长期检验,能够有效避免因内存问题导致的系统不稳定。

固态硬盘 (SSD): 西部数据 WD Blue SN570 500GB

西部数据WD Blue SN570 500GB NVMe SSD采用PCIe 3.0接口,顺序读取速度可达3500MB/s,顺序写入速度达2300MB/s,远超传统SATA固态硬盘。这一性能表现能够显著缩短操作系统启动时间、加快应用程序加载速度,提升整体使用体验。

500GB的容量对于安装操作系统、常用软件以及存储个人文件而言基本够用。WD Blue系列是西部数据的主流产品线,品质可靠,提供5年质保,是性价比与可靠性兼顾的理想选择。如果未来有更大的存储需求,主板预留的SATA接口可以方便地加装机械硬盘或SATA固态硬盘。

电源: 航嘉 Huntkey WD500K 金牌

航嘉Huntkey WD500K是一款额定功率为500W的80 PLUS金牌认证电源。金牌认证意味着其在不同负载下都具有较高的转换效率（典型效率达90%以上）,能够有效节省电能,减少废热产生,降低长期使用成本。

500W的额定功率对于这套无独立显卡的配置而言绰绰有余,整机满载功耗预计在200W左右,电源运行在最佳效率区间。更重要的是,这一功率规格为未来升级独立显卡预留了充足空间,可以支持RTX 4060或同级别显卡的加装。航嘉作为国内知名电源品牌,其产品质量与售后服务均有保障。

机箱: 先马平头哥 M8

先马平头哥M8是一款设计简洁、功能实用的M-ATX机箱。其紧凑的尺寸能够节省桌面空间,适合空间有限的使用环境。机箱内部采用合理的风道设计,前置进风、后置出风的结构能够有效带走硬件工作时产生的热量,保证系统在合理的温度范围内运行。

机箱支持标准M-ATX主板安装,并提供足够的空间容纳塔式散热器和标准长度的显卡,为未来硬件升级提供了便利。侧透设计也能够方便用户观察内部硬件状态,便于日常维护。

散热器: 利民 AX120 SE

虽然i5-14400盒装版本附带原装散热器,但为了获得更好的散热效果与更低的运行噪音,配置中选择了利民AX120 SE单塔风冷散热器。利民在散热器领域拥有良好的口碑,AX120 SE凭借其4热管设计与高效风扇,TDP压制能力约为150W,能够轻松应对i5-14400最大148W的睿频功耗。

这款散热器能够确保CPU在长时间高负载下依然稳定发挥全部性能,避免因温度过高导致的降频问题。同时,其运行噪音远低于原装散热器,日常使用几乎无声,显著提升了使用体验。79元的价格使其成为百元内风冷散热器的标杆产品。

操作系统推荐与兼容性分析

操作系统版本选择

对于i5-14400这样的混合架构处理器,操作系统的选择至关重要。不同的操作系统对混合架构的调度优化程度存在显著差异,直接影响处理器性能的发挥。

操作系统	推荐版本	核心优势与注意事项
Windows 11	23H2 或 24H2	最佳选择。内置的Intel Thread Director技术能智能调度P核与E核,根据任务类型自动分配到合适的核心,最大化发挥混合架构性能。建议新装机用户首选。
Windows 10	22H2	完全兼容,Intel官方确认支持。但对混合核心的调度优化不如Windows 11,可能无法完全发挥处理器的性能潜力。适合对旧系统有特殊需求或偏好的用户。需注意,Windows 10将于2025年10月停止官方支持。

从性能角度考虑,Windows 11是i5-14400的最佳搭档。其针对混合架构的深度优化能够确保高优先级任务运行在性能核心上,而后台任务则分配给能效核心,实现性能与功耗的最佳平衡。对于追求最佳性能和长期支持的用户,Windows 11 23H2或24H2版本是明智的选择。

工业与专业软件兼容性

此配置不仅限于日常使用,在多种专业软件上同样表现出色,尤其适合学生、设计师及工程师的入门需求。

CAD与3D设计软件方面,i5-14400配合UHD 730核显能够流畅运行AutoCAD进行2D图纸绘制和轻度3D建模。在SolidWorks中处理中小型装配体时,核显的硬件加速功能能够提供基础的图形支持,性能提升可达10%。对于Fusion 360等云端CAD软件,该配置的兼容性良好,适合中小型项目的设计工作。需要注意的是,对于大型复杂的3D装配体或渲染任务,未来可考虑加装专业显卡以获得更好的性能。

Adobe创意套件的兼容性表现优异。在Photoshop中进行图片处理、调色和修图,i5-14400的多核性能能够加速滤镜应用和批处理操作。Lightroom的照片管理和批量处理功能也能得到良好支持。在Premiere Pro中剪辑1080P视频时,Intel Quick Sync视频编解码技术能够提供硬件加速,显著缩短视频导出时间。对于After Effects,该配置可以运行,但处理复杂的特效项目时可能会受到核显性能的限制。

办公软件方面,Microsoft Office全家桶（Word、Excel、PowerPoint、Outlook等）完美兼容,即使处理大型Excel表格或复杂的PowerPoint演示文稿也能保持流畅。WPS Office同样完全支持。对于各类ERP系统、财务软件和企业管理软件,该配置的兼容性极佳,能够满足绝大多数企业办公需求。

工程与科学计算软件方面,MATLAB能够充分利用i5-14400的16线程并行处理能力,在矩阵运算、数据分析和算法开发中表现出色。Ansys Discovery等工程仿真软件在Intel Arc GPU架构的支持下,性能提升可达10%,适合进行初步的仿真分析工作。

散热性能与温度控制

i5-14400发热特性分析

i5-14400采用Intel 7制程工艺,基础功耗（TDP）为65W,但在睿频状态下最大功耗可达148W。其最高结温（TJunction）为100°C,这是处理器能够安全运行的最高温度阈值。在实际使用中,处理器温度的控制直接影响性能的发挥和系统的稳定性。

根据实际测试数据,i5-14400在不同负载下的温度表现如下:日常办公场景（浏览网页、文档编辑）下,CPU温度通常维持在40-50°C;在游戏负载下,温度会上升至52-65°C;而在满载压力测试（如Prime95、AIDA64等）中,温度可达70-76°C。这些数据是在配备利民AX120 SE散热器的情况下测得的。

如果使用原装散热器,温度表现会明显不如第三方散热器。在高负载下,原装散热器可能导致CPU温度接近甚至触及100°C的温度墙,此时处理器会自动启动温度保护机制,降低频率以减少发热,从而导致性能损失。同时,原装散热器在高负载时风扇转速会显著提升,产生较大的噪音。

利民AX120 SE散热性能评估

利民AX120 SE采用4热管单塔设计,热管直径为6mm,采用直触式底座与CPU表面接触,能够快速将热量从CPU传导至散热鳍片。散热鳍片采用铝制材料,通过大面积的散热面积和优化的鳍片间距,实现高效的热量散发。配备的12cm风扇采用液压轴承,运行稳定且噪音低。

该散热器的TDP压制能力约为150W,完全覆盖i5-14400的最大功耗需求。在实际使用中,即使CPU处于满载状态,利民AX120 SE也能将温度稳定控制在75°C以内,远低于温度墙,确保处理器能够持续以最高频率运行,充分发挥性能潜力。

在噪音控制方面,利民AX120 SE的表现同样出色。日常使用时,风扇转速较低,几乎听不到运行声音。即使在高负载下,风扇噪音也维持在可接受的范围内,不会对使用体验造成干扰。相比原装散热器,利民AX120 SE在散热效能和静音性上都有显著提升,79元的投资物超所值。

平台稳定性与长期可靠性评估

B760芯片组与主板稳定性

B760芯片组是Intel 700系列芯片组的主流型号,技术成熟,市场验证充分。该芯片组支持PCIe 4.0、DDR4/DDR5内存、USB 3.2等现代接口标准,功能完备。技嘉B760M D2H主板采用稳定的供电方案,能够为i5-14400提供充足且稳定的电力供应。

近期,针对Intel 13/14代处理器出现的稳定性问题（俗称"缩缸事件"）,主板厂商已通过BIOS更新进行了修复。这些问题主要影响高端型号（i9/i7 K系列）在超频使用时的稳定性,而i5-14400作为65W的非K型号,受影响程度较小。建议用户在使用时采用Intel Default Setting（Intel默认设置）,不进行激进的超频操作,以确保系统的长期稳定运行。

技嘉作为主板领域的知名品牌,其产品质量和售后服务均有保障。B760M D2H主板的用户反馈普遍良好,长期使用稳定性得到了市场的验证。

DDR4平台的成熟度优势

相比于新兴的DDR5平台,DDR4平台具有明显的成熟度优势。DDR4内存技术已经发展了近十年,从控制器设计到内存颗粒制造,整个产业链都已经非常成熟。这种成熟度体现在多个方面:兼容性极佳,几乎不存在内存与主板不兼容的情况;稳定性更高,翻车概率远低于DDR5;价格更低,性价比优势明显。

对于核显平台而言,DDR4 3200MHz的带宽已经足够支撑UHD 730核显的性能发挥。虽然DDR5拥有更高的理论带宽,但在实际应用中,对于不配备独立显卡的配置,DDR4与DDR5的性能差距微乎其微,却能节省数百元的预算。

整体系统稳定性与升级潜力

从整体来看,本套配置的每个组件都选择了市场上经过验证的成熟产品。航嘉金牌电源提供稳定的电力供应,转换效率高,发热量小。金士顿FURY Beast内存是主流品牌的主流型号,兼容性和稳定性有保障。西部数据WD Blue SN570固态硬盘是西数主流产品线,质量可靠,提供5年质保。

这种以成熟方案为基础的配置策略,能够最大程度地降低硬件不兼容、驱动冲突等问题的发生概率,确保系统能够长期稳定运行。对于需要将电脑作为生产力工具的用户而言,稳定性往往比极致性能更为重要。

在升级潜力方面,本套配置也预留了充足的空间。500W金牌电源可以支持未来加装RTX 4060或同级别独立显卡,显著提升图形性能。主板的PCIe插槽和SATA接口为扩展存储设备提供了便利。这种前瞻性的设计使得用户可以根据实际需求和预算,逐步升级硬件,延长整机的使用寿命。

性能评估与适用场景

综合性能表现

这套基于i5-14400核显的配置,在2700元价位段上提供了卓越的综合性能。在办公与生产力应用中,强大的10核心16线程配置确保了多任务处理的流畅性。无论是同时运行Office全家桶、浏览器、邮件客户端,还是进行轻度的图片编辑和视频剪辑,系统都能保持快速的响应速度。

在影音娱乐方面,UHD 730核显支持4K超高清视频的硬件解码,搭配高速NVMe固态硬盘,无论是本地播放还是在线流媒体,都能带来顺滑的观影体验。对于轻度游戏玩家,《英雄联盟》、《CS:GO》、《DOTA 2》、《守望先锋》等对显卡要求不高的主流电竞游戏,在1080P分辨率和中低画质下可以获得流畅的帧率。

目标用户群体

该配置尤其适合以下用户群体:

学生与家庭用户能够从这套配置中获得全面的使用体验。日常学习、在线课程、资料查询、影音娱乐等需求都能得到良好满足。16GB内存确保了多任务处理的流畅性,500GB固态硬盘提供了充足的存储空间。对于需要使用Office、WPS等办公软件完成作业和项目的学生,该配置的性能完全够用。

办公文员与企业用户需要一台稳定可靠、反应迅速的电脑来处理文档、表格、邮件和企业管理软件。本套配置的稳定性和兼容性能够确保长期无故障运行,减少因硬件问题导致的工作中断。快速的系统响应和应用加载速度能够提升工作效率,降低等待时间。

预算有限的入门级专业用户,如初学CAD的工程专业学生、刚入门的摄影爱好者、业余视频创作者,能够在有限的预算内获得一台基本满足专业软件运行需求的电脑。虽然在处理大型项目时可能会受到核显性能的限制,但对于学习和入门阶段的需求,该配置已经足够。随着技能提升和需求增长,未来可以通过加装独立显卡来提升性能。

总结

这套总价约2700元的i5-14400核显装机方案,通过精心选择各个高性价比组件,在保证性能与稳定性的前提下,实现了成本的有效控制。配置中的每个组件都经过了市场的长期验证,兼容性和可靠性有保障。

从处理器的混合架构设计,到主板的稳定供电,从DDR4平台的成熟可靠,到金牌电源的高效节能,每个细节都体现了对性价比和稳定性的追求。利民AX120 SE散热器的加入,更是确保了CPU能够在最佳温度下持续发挥全部性能。

在软件兼容性方面,无论是Windows 11操作系统的深度优化,还是对CAD、Adobe、MATLAB等专业软件的良好支持,都使得这套配置不仅仅是一台家用娱乐电脑,更是一台能够胜任多种专业应用的入门级生产力工具。

对于近期有装机需求,预算在3000元以内,不追求大型3A游戏体验,但需要一台稳定可靠、性能均衡的电脑的用户来说,这套配置方案无疑是一个值得优先考虑的选择。通过对细节的精心打磨和对稳定性的高度重视,该方案在成本、性能和可靠性之间取得了精妙的平衡,是2025年值得推荐的装机方案。

Advanced SystemCare 18 Pro注册码

Fri, 10 Oct 2025 00:00:00 GMT

Advanced SystemCare 18 Pro注册码

Advanced SystemCare 18 Pro 是一款功能强大的 PC 优化软件，旨在让您的计算机运行如新，比以往任何时候都更快。它通过深度清理、速度提升、隐私保护和自动系统维护，为用户提供了一个简单易用的解决方案，以保持 PC 的快速、整洁和安全。

官网地址: https://www.iobit.com/en/index.php?s

主要功能

AI 驱动的深度清理: 智能检测和删除难以发现的缓存、临时文件和系统残留，安全地释放磁盘空间。
PC 速度提升: 通过修复启动项、自动释放内存和优化 CPU 使用，使您的 PC 启动和运行速度提高 2 倍。
多层隐私保护: 自动清除浏览历史记录，隐藏数字指纹，并阻止未经授权的程序访问您的敏感数据，从而保护您的在线隐私。
智能自动 PC 护理: AI 自动检测和修复系统错误，智能调整系统性能，并持续监控您的 PC，以确保其稳定和高效运行。

注册码

以下是 Advanced SystemCare 18 Pro 的注册码：

B28E7-0327F-2E336-2D1G4

AIDA64注册码及各版本区别

Fri, 10 Oct 2025 00:00:00 GMT

AIDA64注册码及版本区别

AIDA64 是一款功能强大的系统信息、诊断和基准测试工具，深受全球PC爱好者和IT专业人士的信赖。它能够提供关于计算机硬件和已安装软件的详尽信息，同时提供协助超频、硬件侦错、压力测试和传感器监测等多种高级功能。无论是个人用户希望深入了解自己的电脑，还是企业需要管理庞大的计算机网络，AIDA64都提供了相应的解决方案。

版本对比

AIDA64 主要面向不同用户群体推出了多个版本，其中最核心的是 Extreme (至尊版) 和 Business (商业版)。这两个版本在功能和授权上存在显著差异，以满足不同场景的需求。

功能特性	AIDA64 Extreme	AIDA64 Business
商业用途	❌	✅
硬件诊断与基准测试	✅	✅
系统稳定性测试	✅	✅
网络审计 (命令行、报告)	❌	✅
SQL 数据库支持	❌	✅
远程控制与监控	❌	✅
企业级功能 (网络警报、变更跟踪)	❌	✅

版本推荐

选择哪个版本取决于您的具体需求：

AIDA64 Extreme (至尊版)：是为个人用户、游戏玩家和硬件发烧友量身定制的理想选择。它包含了完整的硬件分析、超频信息、系统诊断和性能基准测试功能，足以满足绝大多数非商业用途的需求。如果您希望监控PC性能、进行压力测试或详细了解硬件配置，至尊版是性价比最高的选择。
AIDA64 Business (商业版)：专为企业、IT技术人员和系统管理员设计。它包含了至尊版的所有功能，并增加了网络审计、远程管理、软件资产盘点和SQL数据库集成等强大的企业级功能。如果您需要在商业环境中部署和管理多台计算机，进行自动化的资产盘点和远程维护，商业版是必不可少的工具。

下载链接

AIDA64 官方下载页面: https://www.aida64.com/downloads
AIDA64 Extreme v8.00: https://download.aida64.com/aida64extreme800.zip
AIDA64 Business v8.00: https://download.aida64.com/aida64business800.zip

序列号

以下是提供的各版本序列号，请根据您下载和安装的版本选择使用。

AIDA64 Extreme

v8.00.8000
- YCI3U-Z19D6-58DKM-4DS2Y-SCXPX
- UV531-73ID6-UXDJL-ND8LY-NMAQ9
- 3JIM1-93SD6-2RDJ1-YDPHY-TH1Z7
v7.70.7500
- 18JS4-PYQD6-1TDJF-1DATY-APBD8
- 4MTH1-M3VD6-Z5DJ3-4DMCY-NDIZG
- 38414-LUQD6-B4DKM-DDPTY-TP1IM
v7.65.7400
- 1ESZR-I1ED6-FZDJ1-UDAAY-AAQVZ
- 3ZAU4-D3FD6-W8DKS-HDPNY-T81JT
- 3Y2LY-VRYD6-SZDJR-1D2SY-JSJL8
v7.60.7300
- 1QU1U-6YPD6-BSDKM-4DA4Y-AX378
- YUFPU-F4SD6-6LDKG-9DS9Y-S9UT2
- 3HXGY-JFHD6-4JDJF-HD27Y-TBCNW
v7.50.7200
- 3BQN1-FUYD6-4GDT1-MDPUY-TLCT7
- UVLNY-K3PDB-6IDJ6-CD8LY-NMVZM
- 4PIID-N3HDB-IWDJI-6DMWY-9EZVU

AIDA64 Business

v8.00.8000
- Y8LV3-D4AD6-HWDJH-AD2HY-S22Q6
- 42N6Y-WRDD6-93DKV-IDMXY-NYWLP
- YS3PF-TDLD6-ARDKP-KD2UY-SVX66
v7.70.7500
- RU8U4-34VD6-F8DJD-MDPPY-9KW22
- 17NXU-E1PD6-KADJ9-1DASY-AS8DT
- 3Q8KY-MFBD6-BIDK2-ADPUY-TL4YT
v7.65.7400
- 1SALU-ZD2D6-R9DJ1-ZDAIY-ADBR3
- YSSGR-1DJD6-V7DJX-6D2UY-SVJE5
- D5R1U-W13D6-GWDJT-JDS4Y-S4PJH
v7.60.7300
- 3DH8Y-QU9D6-4QDJU-KD2PY-JPCV5
- FAC8D-EFCD6-CJDKZ-CD2BY-TU4SU
- UR97D-J3ED6-P2DJC-3DM9Y-99IKY
v7.50.7200
- 4HIM4-MYMD6-NRDJG-7DAZ1-3IMG5
- U69N1-4FID6-9IDJA-XDMM1-DNAPE
- 4SURF-F1JD6-N5DJG-KDGL1-3EMW3

USB无线网卡和WIFI路由器推荐

Fri, 10 Oct 2025 00:00:00 GMT

USB无线网卡和WIFI路由器推荐

ROG Rapture GT-AX6000 - 旗舰级游戏路由器

ROG Rapture GT-AX6000是华硕ROG玩家国度系列的高性能Wi-Fi 6双频游戏路由器,专为游戏玩家和高性能需求用户打造,支持2.4GHz和5GHz频段。

硬件参数

无线规格:双频设计,AX6000规格。2.4GHz频段支持1148Mbps;5GHz频段支持4804Mbps。总速度达6000Mbps,支持4×4 MU-MIMO、OFDMA、Beamforming和160MHz频宽。
端口:配备2个2.5Gbps端口(可灵活配置为WAN或LAN)、4个千兆LAN端口和2个USB 3.2端口,支持WAN/LAN聚合、高速有线连接、NAS功能和打印机共享。
天线:4根可拆卸外置高增益天线,支持ASUS RangeBoost Plus技术,相比前代产品信号覆盖范围提升达38%。
处理器和内存:搭载Broadcom 2.0GHz四核心64位处理器,配备1GB DDR3内存和256MB闪存,轻松应对多设备并发和高强度游戏场景。

软件功能

游戏优化:内置三段式游戏加速(Triple-Level Game Acceleration),包含游戏设备优先级、游戏数据包优先级处理和WTFast游戏专用网络,大幅降低游戏延迟和ping值。提供Mobile Game Mode手机游戏模式,一键优化移动设备游戏体验。
专属游戏端口:LAN-1端口为游戏专用端口,连接游戏主机或PC即可自动获得最高网络优先级,无需复杂配置。
安全功能:集成AiProtection Pro商业级安全防护(由Trend Micro提供),包含恶意网站拦截、入侵防御、家长控制功能和WPA3加密协议。
Mesh网络:支持AiMesh技术,可与其他ASUS路由器组建全屋Mesh系统,实现无缝漫游和统一管理。
VPN支持:支持VPN Fusion功能,可同时运行VPN和普通网络连接,满足不同设备的网络需求。
RGB灯效:配备ASUS Aura RGB可自定义灯光效果,通过ASUS Router APP进行个性化设置。
管理工具:通过ASUS Router APP或ASUSWRT网页界面进行配置,界面友好直观,支持远程管理和固件自动更新。

适用场景

专为电竞玩家、主机游戏玩家和需要极致网络性能的用户打造。适合中大户型家庭,特别是拥有PS5、Xbox Series X、Nintendo Switch等游戏主机或高性能PC的用户。作为ROG系列产品,与ROG主板、显卡等设备搭配使用可获得最佳游戏体验。

ROG USB-BE92 无线网卡

ROG USB-BE92是华硕ROG玩家国度系列的Wi-Fi 7三频USB适配器,专为游戏玩家和高性能需求用户设计,支持2.4GHz、5GHz和6GHz频段。

硬件参数

无线规格:三频设计,BE9200规格。2.4GHz频段支持1376Mbps;5GHz频段支持2880Mbps;6GHz频段支持5764Mbps。总速度达9200Mbps,支持MLO(多链路操作)、4K-QAM、OFDMA、MU-MIMO和Beamforming技术。
接口:USB 3.2 Gen 1(USB 3.0)端口,向下兼容USB 2.0。
天线:可调节外置高增益天线,配备磁吸式底座,可灵活调整角度以获得最佳信号。
芯片组:采用先进的Wi-Fi 7芯片组,确保稳定高速连接。

软件功能

即插即用:支持Windows 11/10免驱动安装,插入USB端口后系统自动识别并安装驱动程序,无需手动下载驱动,开箱即用。用户也可以从华硕官网下载最新驱动和管理软件以获得完整功能。
游戏优化:支持ROG GameFirst技术,提供游戏流量优先级管理,降低延迟,提升游戏体验。
安全功能:支持WPA3最新网络安全协议,提供企业级加密保护。
兼容性:完整支持Windows 11/10操作系统,附带驱动程序和管理软件,易于安装和配置。
管理工具:通过ROG专属管理软件进行网络监控、信号强度显示和连接优化,提供直观的用户界面和RGB灯效控制(如有)。

适用场景

专为电竞玩家、内容创作者和需要极致网络性能的用户打造,与ROG系列路由器(如GT-AX6000)搭配使用效果更佳,是升级桌面电脑或笔记本电脑Wi-Fi能力的顶级选择。

一键查看PC机器码

Fri, 10 Oct 2025 00:00:00 GMT

一键查看PC机器码

本文档将指导您如何使用提供的批处理脚本来查看您计算机的硬件信息，通常称为“机器码”。

重要提示

为了能够读取所有必要的硬件信息，此脚本必须以管理员权限运行。如果不以管理员身份运行，脚本可能会因为权限不足而无法获取某些关键信息，导致生成的信息不完整或执行失败。

操作步骤

保存脚本：将下面的完整脚本代码复制并保存到一个文件中。请将文件命名为 机器码查看.bat。确保文件扩展名为 .bat 而不是 .txt。
以管理员身份运行：
- 找到您刚刚保存的 机器码查看.bat 文件。
- 在文件上 右击鼠标。
- 从弹出的菜单中选择 “以管理员身份运行”。
查看结果：
- 脚本运行后，会弹出一个命令行窗口，显示获取到的硬件信息。
- 您可以直接在窗口中按 回车键 来刷新信息，或按 Ctrl+C 退出。

完整脚本

@echo off
setlocal EnableExtensions EnableDelayedExpansion
chcp 65001 >nul
color 0A

set "OUT=机器码信息.txt"
set "REFRESH_COUNT=0"

:REFRESH
set /a REFRESH_COUNT+=1
title 机器码信息 - 已刷新 !REFRESH_COUNT! 次 @ %date% %time%

rem 生成并直接覆盖输出文件
powershell -NoLogo -NoProfile -ExecutionPolicy Bypass ^
  -Command "$ErrorActionPreference='SilentlyContinue';[Console]::OutputEncoding=[Text.Encoding]::UTF8;$out=$env:OUT;"^
  "& { $sep='===========================================================';"^
  "  Write-Output ('生成时间：' + (Get-Date -Format 'yyyy-MM-dd HH:mm:ss'));"^
  "  Write-Output ('刷新次数：' + $env:REFRESH_COUNT);"^
  "  Write-Output ('计算机名：' + $env:COMPUTERNAME);"^
  "  Write-Output ('用户名：' + $env:USERNAME);"^
  "  Write-Output $sep;"^
  "  $bb   = Get-CimInstance Win32_BaseBoard -ErrorAction SilentlyContinue; if(-not $bb){ $bb=Get-WmiObject Win32_BaseBoard -ErrorAction SilentlyContinue };"^
  "  $cspr = Get-CimInstance Win32_ComputerSystemProduct -ErrorAction SilentlyContinue; if(-not $cspr){ $cspr=Get-WmiObject Win32_ComputerSystemProduct -ErrorAction SilentlyContinue };"^
  "  $cpu  = Get-CimInstance Win32_Processor -ErrorAction SilentlyContinue; if(-not $cpu){ $cpu=Get-WmiObject Win32_Processor -ErrorAction SilentlyContinue };"^
  "  $bios = Get-CimInstance Win32_BIOS -ErrorAction SilentlyContinue; if(-not $bios){ $bios=Get-WmiObject Win32_BIOS -ErrorAction SilentlyContinue };"^
  "  $man=if($bb){$bb.Manufacturer}else{$null}; $prod=if($bb){$bb.Product}else{$null};"^
  "  $printBB= (-not [string]::IsNullOrWhiteSpace($man)) -or (-not [string]::IsNullOrWhiteSpace($prod));"^
  "  if($printBB){ Write-Output '主板:'; if($man){ Write-Output ('            品牌：' + $man) }; if($prod){ Write-Output ('            型号：' + $prod) }; Write-Output $sep };"^
  "  Write-Output '名字'; Write-Output 'Name'; if($cspr){ Write-Output $cspr.Name };"^
  "  Write-Output $sep;"^
  "  Write-Output '硬盘物理序列号___'; Write-Output 'SerialNumber'; $pm=Get-CimInstance Win32_PhysicalMedia -ErrorAction SilentlyContinue; if(-not $pm){ $pm=Get-WmiObject Win32_PhysicalMedia -ErrorAction SilentlyContinue }; if($pm){ foreach($p in $pm){ if($p.SerialNumber){ Write-Output ($p.SerialNumber.Trim()) } } };"^
  "  Write-Output $sep;"^
  "  Write-Output '主板CPU序列号___'; Write-Output 'SerialNumber'; if($cpu){ Write-Output $cpu.SerialNumber };"^
  "  Write-Output $sep;"^
  "  Write-Output '主板BIOS序列号___'; Write-Output 'SerialNumber'; if($bios){ Write-Output $bios.SerialNumber };"^
  "  Write-Output $sep;"^
  "  Write-Output '主板物理序列号___'; $bbsn=if($bb){$bb.SerialNumber}else{$null}; if([string]::IsNullOrWhiteSpace($bbsn)){ Write-Output '没有可用实例。' } else { Write-Output $bbsn };"^
  "  Write-Output $sep;"^
  "  Write-Output '主板UUID'; Write-Output 'UUID'; if($cspr){ Write-Output $cspr.UUID };"^
  "  Write-Output $sep;"^
  "  Write-Output '网卡信息MAC'; $nics=Get-CimInstance Win32_NetworkAdapter -Filter 'PhysicalAdapter=True' -ErrorAction SilentlyContinue; if(-not $nics){ $nics=Get-WmiObject Win32_NetworkAdapter -Filter 'PhysicalAdapter=True' -ErrorAction SilentlyContinue }; foreach($n in $nics){ if($n.MACAddress){ Write-Output ('描述: ' + $n.Name); Write-Output ('物理地址: ' + ($n.MACAddress -replace ':','-')) } };"^
  "  Write-Output $sep;"^
  "  $lines = ipconfig /all; $duid=$lines.Where({$_ -match 'DUID'},'First'); if($duid){ Write-Output ($duid.Trim()) };"^
  "  Write-Output '';"^
  "  Write-Output '物理地址            传输名称'; Write-Output '=================== ==========================================================';"^
  "  $gm = cmd /c getmac; Write-Output $gm;"^
  "  Write-Output $sep;"^
  "  Write-Output 'GPUID'; Write-Output 'Description                       PNPDeviceID'; $gpus=Get-CimInstance Win32_VideoController -ErrorAction SilentlyContinue; if(-not $gpus){ $gpus=Get-WmiObject Win32_VideoController -ErrorAction SilentlyContinue }; foreach($g in $gpus){ $d=$g.Description; $p=$g.PNPDeviceID; if($null -eq $d){$d=''}; if($null -eq $p){$p=''}; if($d.Length -lt 31){ $d=$d.PadRight(31) }; Write-Output ($d + ' ' + $p) };"^
  "  Write-Output $sep;"^
  "  Write-Output 'Caption                          FirmwareRevision'; $dd=Get-CimInstance Win32_DiskDrive -ErrorAction SilentlyContinue; if(-not $dd){ $dd=Get-WmiObject Win32_DiskDrive -ErrorAction SilentlyContinue }; foreach($d in $dd){ $c=$d.Caption; $f=$d.FirmwareRevision; if($null -eq $c){$c=''}; if($null -eq $f){$f=''}; if($c.Length -lt 31){ $c=$c.PadRight(31) }; Write-Output ($c + ' ' + $f) };"^
  "  Write-Output $sep;"^
  "  Write-Output 'MACAddress'; $mac2 = (Get-CimInstance Win32_NetworkAdapterConfiguration -Filter 'IPEnabled=True' -ErrorAction SilentlyContinue | Select-Object -ExpandProperty MACAddress -First 1); if(-not $mac2){ $mac2 = (Get-WmiObject Win32_NetworkAdapterConfiguration -Filter 'IPEnabled=True' -ErrorAction SilentlyContinue | Select-Object -ExpandProperty MACAddress -First 1) }; if($mac2){ Write-Output $mac2 };"^
  "  Write-Output $sep;"^
  "  Write-Output 'ProcessorId'; if($cpu){ Write-Output $cpu.ProcessorId };"^
  "  Write-Output $sep;"^
  "  Write-Output 'RAM'; Write-Output 'SerialNumber'; $mem=Get-CimInstance Win32_PhysicalMemory -ErrorAction SilentlyContinue; if(-not $mem){ $mem=Get-WmiObject Win32_PhysicalMemory -ErrorAction SilentlyContinue }; if($mem){ foreach($m in $mem){ Write-Output $m.SerialNumber } };"^
  "  Write-Output $sep;"^
  "  Write-Output '（回车在控制台刷新显示）' } | Out-File -FilePath $out -Encoding utf8 -Force"

if errorlevel 1 (
  echo 发生错误：无法生成信息。请确认 PowerShell 及 WMI/CIM 可用。
  goto WAIT
)

cls
type "%OUT%"
echo.
echo ── 已刷新 !REFRESH_COUNT! 次，完成于 %date% %time%
echo.

:WAIT
echo (回车刷新，Ctrl+C 退出)
set /p "= " <nul
set /p _=
echo.
goto REFRESH

制作纯净U盘启动盘

Tue, 07 Oct 2025 00:00:00 GMT

制作纯净U盘启动盘

技术选型说明

本文档采用 Ventoy + HotPE 的组合方案来制作纯净U盘启动盘:

Ventoy: 作为启动盘基础框架,支持直接从ISO文件启动,无需反复格式化U盘,可以同时存放多个系统镜像
HotPE: 作为Windows PE系统,提供纯净、无广告的系统维护环境,适合系统安装、数据恢复、系统维护等操作

这种组合方案的优势在于:

一盘多用: 可以同时存放多个操作系统ISO和PE系统
便捷管理: 只需将ISO文件复制到U盘即可,无需重新制作
纯净安全: HotPE无捆绑软件,Ventoy开源透明
兼容性强: 支持Legacy和UEFI双启动模式

一、准备工作

1.1 所需工具

U盘一个(建议16GB以上)
Ventoy安装程序:https://www.ventoy.net/cn/index.html
HotPE镜像文件:https://www.hotpe.top/

1.2 注意事项

制作启动盘会格式化U盘,请提前备份重要数据
确保U盘容量足够存放所需的系统镜像
建议使用USB 3.0接口以获得更快的读写速度

二、安装Ventoy

2.1 下载Ventoy

访问Ventoy官网:https://www.ventoy.net/cn/index.html
下载最新版本的Windows版本
解压下载的压缩包

2.2 安装到U盘

插入U盘到电脑
运行解压后的 Ventoy2Disk.exe
在设备列表中选择你的U盘
(推荐)点击菜单栏的“配置选项” -> “分区类型”，选择“GPT”分区格式，以获得更好的兼容性。
点击"安装"按钮
确认格式化警告,等待安装完成

2.3 验证安装

安装完成后,U盘会出现两个分区:

Ventoy分区: 用于存放ISO镜像文件
VTOYEFI分区: Ventoy的EFI引导分区(通常隐藏)

三、添加系统镜像

3.1 基本使用方法

制作完成后,只需要把ISO文件直接复制到U盘根目录即可,Ventoy会在启动时自动检测并显示在启动菜单中。

3.2 下载HotPE

访问HotPE官网:https://www.hotpe.top/
根据需要选择合适的版本(通常选择最新稳定版)
下载ISO镜像文件

3.3 组织多个镜像文件

如果有多个镜像,建议创建目录分类管理,例如:

U盘根目录/
├── PE/
│   ├── HotPE_2024.iso
│   └── 其他PE工具.iso
├── Windows/
│   ├── Windows_10_22H2.iso
│   ├── Windows_11_23H2.iso
│   └── Windows_Server_2022.iso
├── Linux/
│   ├── Ubuntu_22.04.iso
│   ├── Debian_12.iso
│   └── CentOS_Stream_9.iso
└── Tools/
    ├── GParted.iso
    └── MemTest86.iso

3.4 自动检测机制

Ventoy会自动扫描U盘中所有目录下的ISO文件
启动时会按照目录结构显示在菜单中
支持多级目录嵌套,方便分类管理
无需任何配置,复制完成即可使用

四、添加其他系统镜像(可选)

4.1 Windows系统

从微软官网下载Windows 10/11 ISO镜像
直接复制到U盘的 Windows 目录

4.2 Linux发行版

Ubuntu、Debian、CentOS等主流发行版
下载ISO镜像后复制到 Linux 目录

4.3 其他工具

磁盘分区工具(如GParted)
内存测试工具(如MemTest86)
杀毒救援盘等
复制到 Tools 目录

五、使用启动盘

5.1 进入BIOS设置

重启电脑,按Del/F2/F12等按键进入BIOS(不同主板按键不同)
在启动选项中选择U盘启动
或使用快捷启动菜单(通常为F12)直接选择U盘

5.2 Ventoy启动菜单

从U盘启动后,会显示Ventoy菜单
菜单会按照目录结构自动分类显示所有检测到的ISO文件
使用方向键选择需要启动的ISO镜像
按Enter键启动选中的系统

5.3 启动HotPE

在Ventoy菜单中找到 PE 目录
选择HotPE镜像
等待PE系统加载完成
进入桌面后即可进行系统维护操作

六、文件管理最佳实践

6.1 推荐的目录结构

U盘:/
├── PE/              # 存放各类PE系统
├── Windows/         # 存放Windows系统镜像
├── Linux/           # 存放Linux发行版
├── Tools/           # 存放工具类ISO
├── Backup/          # 存放备份文件(普通文件夹)
└── ventoy/          # Ventoy配置目录(可选)

6.2 文件命名建议

使用清晰的命名方式,包含版本号
例如: Windows_11_23H2_x64.iso
避免使用中文或特殊字符

6.3 空间管理

定期清理不常用的ISO文件
可以保留普通文件和文件夹与ISO共存
Ventoy只会识别ISO文件,其他文件不影响启动

七、高级配置(可选)

7.1 自定义启动菜单

在U盘根目录创建 ventoy 文件夹,可以添加:

ventoy.json: 自定义菜单样式和行为
theme: 自定义主题文件

7.2 持久化存储

为Linux发行版配置持久化存储,保存系统更改:

在Ventoy菜单中按F5打开持久化插件
为指定ISO创建持久化文件

7.3 自动安装配置

配置无人值守安装参数,实现自动化部署

八、常见问题

8.1 无法识别U盘

检查BIOS中是否启用USB启动
尝试更换USB接口
确认Secure Boot已关闭(部分系统需要)

8.2 启动失败

验证ISO镜像文件完整性
检查U盘是否有坏道
尝试重新安装Ventoy

8.3 ISO文件未显示

确认文件扩展名为 .iso
检查文件是否损坏
重新插拔U盘或重启电脑

8.4 更新Ventoy

运行Ventoy2Disk.exe
选择"升级"选项
U盘中的数据不会丢失

九、总结

使用Ventoy + HotPE制作纯净U盘启动盘具有以下优势:

简单高效: 制作完成后只需复制ISO文件,自动检测识别
纯净安全: HotPE无广告捆绑,Ventoy开源可靠
灵活多用: 一个U盘可存放多个系统和工具,支持目录分类管理
维护方便: 更新系统只需替换ISO文件,无需重新制作启动盘
即插即用: 复制完ISO文件立即可用,无需任何额外配置

这套方案特别适合IT运维人员、系统管理员以及需要经常安装系统的用户使用。

参考资源

Ventoy官网: https://www.ventoy.net/cn/index.html
HotPE官网: https://www.hotpe.top/

浏览器指纹检测网站推荐

Sun, 28 Sep 2025 00:00:00 GMT

浏览器指纹检测网站推荐

以下是一些优质的浏览器指纹检测网站，可以帮助您验证AdsPower配置的效果和指纹伪装程度：

🔥 重点推荐网站

1. BrowserScan (中文)

网址：https://www.browserscan.net/zh
特点：专业的中文指纹检测工具，界面友好
检测项目：IP地址、User-Agent、Canvas指纹、WebGL指纹、音频指纹等
适用场景：国内用户首选，支持中文界面

2. Yalala (中文)

网址：https://www.yalala.com/
特点：专门针对代理IP和防关联检测
检测项目：代理IP检测、浏览器指纹、IP伪装度、时区、DNS、WebRTC等
适用场景：特别适合电商多账号运营者使用

3. BrowserLeaks (英文)

网址：https://browserleaks.com/
特点：功能最全面的指纹检测网站
检测项目：IP泄漏、WebRTC、Canvas、WebGL、字体指纹等
适用场景：专业用户，功能最完整

📊 专业检测工具

4. Am I Unique

网址：https://amiunique.org/
特点：学术研究背景，提供指纹唯一性评估
检测项目：综合指纹分析，评估指纹独特性
适用场景：了解指纹在全球范围内的独特程度

5. Cover Your Tracks (EFF)

网址：https://coveryourtracks.eff.org/
特点：电子前沿基金会开发，权威性高
检测项目：跟踪保护测试，指纹识别测试
适用场景：隐私保护评估

6. Pixelscan

网址：https://pixelscan.net/
特点：快速多项检测工具
检测项目：实时浏览器指纹测试，跟踪风险检测
适用场景：快速检测和分析

🎯 专项检测工具

7. Canvas指纹专项检测

网址：https://browserleaks.com/canvas
特点：专门检测Canvas指纹
检测项目：Canvas绘制指纹，图像渲染差异
适用场景：验证Canvas指纹伪装效果

8. IPHey

网址：https://iphey.com/
特点：基于真实用户数据库的指纹检测
检测项目：浏览器指纹匹配度检测
适用场景：验证指纹的真实性和常见程度

9. UUTool浏览器检测

网址：https://uutool.cn/browser/
特点：简洁的中文检测工具
检测项目：User-Agent、硬件配置、指纹信息
适用场景：快速查看基础指纹信息

💡 使用建议

检测流程推荐

首先使用BrowserScan或Yalala进行综合检测，了解整体指纹情况
使用BrowserLeaks进行详细的专项检测
使用Am I Unique评估指纹的独特性
使用Canvas专项工具验证Canvas指纹伪装效果

检测要点

多环境对比：分别在不同的AdsPower环境中访问这些网站，对比指纹差异
关注关键指纹：重点关注Canvas、WebGL、User-Agent、屏幕分辨率等关键指纹
IP一致性检查：确认显示的IP地址与您配置的代理IP一致
时区地理位置验证：检查时区、语言、地理位置是否与IP匹配

注意事项

建议在配置完成后立即进行检测
定期检测以确保配置的稳定性
如发现指纹相似度过高，及时调整AdsPower配置
保存检测结果截图，便于对比分析

这些网站可以帮助您全面了解AdsPower配置的效果，确保每个环境都有独特的指纹特征，从而最大化降低账号关联风险。

互联网推广返佣

Sat, 27 Sep 2025 00:00:00 GMT

互联网推广返佣

顶级推荐计划网址

1. 阿里云推广计划（云大使）

官方网址： https://dashi.aliyun.com/

点击"立即赚钱"或"我要推广"按钮即可申请
返佣比例： 最高45%
特色： 平台补贴机制，90天关联期

2. 蜘蛛IP推广计划

官方网址： https://www.zhizhuip.com/Promotion

点击"立即邀请"按钮开始申请推广资格
返佣比例： 35%首单返佣
特色： 无封顶限制，永久关联

3. 雨云推广计划

官方网址： https://app.rainyun.com/agent

进入推广中心页面申请成为推广员
返佣比例： 30%消费返现
特色： 永久关联，实时结算

其他优质推广计划网址

4. 腾讯云推广大使

官方网址： https://cloud.tencent.com/act/partner/cps

点击"我要推广"按钮申请参与
返佣比例： 20%-35%
特色： 会员成长体系，月佣金上限8万

5. 快代理推广返利计划

官方网址： https://www.kuaidaili.com/cps/

点击"我要推广"按钮申请推广资格
返佣比例： 最高30%
特色： 支付宝直接到账，每月固定结算

6. 神龙HTTP推广返利

官方网址： https://h.shenlongip.com/rebate

注册后可直接申请推广计划
返佣比例： 最高15%
特色： 一键推广链接

7. 薯条IP联盟返佣计划

官方网址： https://www.shutiaoip.com/agentCooperation.html

查看代理合作详情并申请
返佣比例： 最高10%
特色： 灵活佣金提取

8. IPIDEA推广计划

官方网址： https://www.ipidea.net/tutorial/303359.html

了解推广计划详情并申请参与
返佣比例： 永久返利
特色： 定制专属奖励方案

国际推广计划网址

9. Oxylabs推广返利计划

官方网址： https://oxylabs.cn/affiliate-program

面向国际市场的高端代理服务推广
返佣比例： 50%高额返佣
特色： 佣金高达2000美元

10. Proxy-Seller联盟计划

官方网址： https://proxy-seller.com/affiliate-program-main/

返佣比例： 住宅代理50%，IPv4代理30%
特色： 单客户最高2500美元返佣

11. PyProxy联盟计划

官方网址： https://www.pyproxy.com/product_affiliate/

返佣比例： 10-20%
特色： 单用户最高2500美元，无时间限制

其他相关服务商推广计划

12. 桔子数据返利推广

官方网址： https://www.95vps.com/cooperation/aff.html

返佣比例： 首销10%，续费5%
特色： 云推官代销全系产品

13. 立之云计算全民推广

官方网址： https://www.lizhidc.cn/cooperation/aff.html

返佣比例： 首销15%，续费10%
特色： 新老用户均可参与

14. 港湾云服务推广合作

官方网址： https://www.gwidc.com/home/index/extension.html

服务类型： CDN加速、云计算服务
特色： 专注云计算领域

15. 标准互联推广返佣

官方网址： https://www.pesyun.com/chinese/aff/

返佣比例： 10%佣金分成
特色： 产品多样化，单价越高佣金越高

使用Tailscale实现异地组网

Sat, 27 Sep 2025 00:00:00 GMT

使用Tailscale实现异地组网，让笔记本电脑通过手机流量上网

前言

场景描述： 苏州有一台开着流量的安卓手机，杭州有一台连接Wi-Fi的笔记本电脑。目标是让笔记本电脑的所有网络流量都通过手机的蜂窝网络转发，实现"异地漫游"效果。

准备工作

重要提醒： 在开始配置之前，请先退出所有VPN和代理软件，包括但不限于：

代理软件： Clash、V2rayN、Shadowsocks、Surge等
抓包工具： Fiddler、Charles、Burp Suite等
其他VPN： ExpressVPN、NordVPN等商业VPN服务

这些软件可能会与Tailscale产生冲突，导致网络路由异常。建议在配置完成并验证Tailscale正常工作后，再根据需要重新启用其他网络工具。

基础知识

账号与网络关系

Tailscale采用**一账号一网络（tailnet）**的架构。同一个Tailscale账号下的所有设备会自动组成一个虚拟私有网络，设备间可以直接通信。您只需要在手机和笔记本上使用相同的Tailscale账号登录即可。

设备数量限制

计划类型	用户数量	设备数量	超出限制费用
免费个人计划	最多3个用户	100台设备	每台$0.50/月
Starter商业计划	无限制	100台 + 每用户10台	每台$0.50/月
Premium商业计划	无限制	100台 + 每用户20台	每台$0.50/月

对于个人用户，免费计划的100台设备限制已经足够使用。

出口节点要求

理论上任何运行Tailscale的设备都可以作为出口节点，包括Linux服务器、Windows电脑、macOS设备、Android手机等。但需要注意的是，Android设备作为出口节点存在一定的性能限制，因为它使用用户空间路由而非内核级路由，性能不如Linux系统优化。建议Android出口节点保持电源连接以确保稳定运行。

配置步骤

1. 在手机上安装并配置Tailscale

首先，在您的手机上安装Tailscale客户端。您可以从以下渠道下载：

官方下载页面： https://tailscale.com/download/android
GitHub开源版本： https://github.com/tailscale/tailscale-android
Google Play商店： 搜索"Tailscale"

安装并登录后，请按照以下步骤操作：

打开Tailscale应用，进入Settings（设置）界面。
点击 DNS settings（DNS设置）。
大陆网络需要关闭 Use Tailscale DNS。
返回上一级菜单，找到并点击 Exit nodes（出口节点）选项。
选择 Run as exit node（作为出口节点运行）。这将允许您的手机成为网络流量的出口。

1.5. 在管理后台授权出口节点

在手机上启用“作为出口节点运行”后，该设备仅仅是“广播”了它可以作为出口节点。您还需要在Tailscale的管理后台审核并批准该请求，然后才能在其他设备上看到并使用它。

登录到您的Tailscale管理后台：https://login.tailscale.com/admin/machines
在设备列表中，找到您刚刚设置为出口节点的手机。
点击该设备最右侧的 “⋮” (三个点) 菜单，然后选择 Edit route settings... (编辑路由设置)。
在弹出的侧边栏中，勾选 Use as exit node (用作出口节点) 选项。
点击 Save (保存) 来确认更改。

完成这一步后，您的手机才正式成为一个可用的出口节点。

2. 在笔记本电脑上配置Tailscale

接下来，在您的笔记本电脑上安装Tailscale客户端，并使用与手机相同的账号登录。

在系统托盘找到Tailscale图标，右键点击，然后将鼠标悬停在 Exit nodes（出口节点）上。
在弹出的子菜单中，选择您的手机设备（图片中为oppo-p...）作为出口节点。
同时，请务必勾选 Allow local network access（允许访问本地网络），否则您可能无法访问局域网内的其他设备。
为了确保所有子网流量都能正确路由，请再次右键点击Tailscale图标，进入 Preferences（偏好设置）。
配置参考图片(大陆网络需要关闭DNS,其它国家/地区则不用)

验证与故障排除

验证连接状态

完成配置后，您可以通过以下方式验证是否成功：

检查IP地址： 访问 ip.sb 或 whatismyipaddress.com，确认显示的IP地址是否为手机的IP地址。
Tailscale状态检查： 在笔记本上打开命令行，执行 tailscale status 查看连接状态，应该能看到手机设备在线且标记为出口节点。

常见问题

Android出口节点性能较慢： 这是正常现象，因为Android使用用户空间路由。如果需要更好的性能，建议使用Linux服务器作为出口节点。

无法访问本地网络： 确保在选择出口节点时勾选了"Allow local network access"选项。

连接不稳定： 确保手机保持电源连接，避免系统休眠导致网络中断。

总结

通过Tailscale的出口节点功能，您可以轻松实现异地组网和流量转发。这种方案相比传统VPN具有更好的P2P连接性能和更简单的配置流程。虽然Android设备作为出口节点存在一定的性能限制，但对于日常的网页浏览和轻量级应用已经足够使用。

Tailscale的免费计划支持最多100台设备，对于个人和小团队使用完全足够。如果您需要更高的性能，可以考虑使用Linux服务器或专业的VPS作为出口节点。

抖店矩阵账号关联风险隔离

Fri, 26 Sep 2025 00:00:00 GMT

抖音店铺隔离运营指南

1. 技术环境隔离

使用AdsPower+大陆纯净住宅静态IP为每个店铺搭建出独立的环境，代理IP优先使用营业执照的城市

2. 支付信息隔离

每个店铺不要绑定相同的支付宝、微信、提现银行卡，支付宝、微信、提现银行卡对应的实名信息不要重复(包括有关联的法人)

3. 账户信息隔离

留有的邮箱、手机号、地址等账户信息要完全隔离开,不同店铺使用不同的信息

4. 手机登录管理

尽可能不要在手机上登陆抖店,如果要登陆的话每个店铺登陆使用单独的不同品牌的手机+使用不同号段和运营商的流量卡上网,不要使用已经被风控过店铺登陆过的手机

5. 发布时间管理

不同店铺发布商品的时间段分散开

6. 商品内容差异化

每个店铺发布的商品主图、标题、描述不要太过相似，尽可能有差异化，如果需要留客服手机号、发货地址、售后地址、客服回复等信息一定是每个店铺都留有单独的信息,不要使用已经被风控过店铺的任何信息

7. 营业执照主体隔离

营业执照主体隔离开，确保每个店铺的营业执照法人之间没有任何关联关系（包括亲属、股东关系）

8. 客服话术差异化

不同店铺客服回复的模板和售后等话术尽可能不同

9. 主播身份隔离

同一个主播不要出现在多个直播间,平台有人脸识别和声纹识别技术,不同直播间的背景、装修尽可能的差异化

10. 直播时间管理

多个账号的开播时间段分散开,不要过于规律

11. 直播内容差异化

不同直播间的推广话术、口头禅、介绍商品的方式等尽可能做到差异化

IP纯净度在线检测

Fri, 26 Sep 2025 00:00:00 GMT

IP纯净度在线检测

什么是住宅IP和代理IP？

住宅IP（Residential IP）

由真实的住宅网络提供商分配给家庭用户的IP地址
具有更高的信任度和匿名性
较难被网站识别为代理流量

代理IP（Proxy IP）

通过代理服务器转发网络请求的IP地址
包括数据中心IP、VPN IP等
容易被检测和识别

IP检测工具推荐

1. IP检测平台

IP检测网 - 专业的IP类型识别服务
Whoer - 全面的IP信息查询和匿名性评估
Ping0 - 简洁的IP检测工具

2. 代理服务平台

911Proxy - 提供住宅代理服务

检测要点

IP类型识别

ISP类型：住宅宽带 vs 数据中心
地理位置：IP归属地是否合理
匿名性评分：检测代理特征

常见检测指标

DNS泄露检测
WebRTC泄露检测
时区一致性
浏览器指纹分析

使用建议

定期检测：使用多个工具交叉验证IP状态
选择优质代理：优先选择住宅IP代理服务
注意安全：避免使用免费或低质量代理
合规使用：遵守相关法律法规和网站条款

提示：IP检测结果仅供参考，实际使用效果可能因网站检测机制而异

通用秒杀抢购技术方案

Fri, 26 Sep 2025 00:00:00 GMT

通用秒杀抢购技术方案

📊 目标平台分析

在部署秒杀系统前，必须准确分析目标平台的基础设施部署情况，以制定最优的服务器选择策略。

🛠 分析工具与方法

使用阿里云在线运维平台进行目标检测：https://boce.aliyun.com/detect/http

该平台提供全国多节点的网络检测能力，可以获取：

✅ 目标域名解析到的真实IP地址
✅ 不同地域到目标服务器的延迟情况
✅ 目标服务器的地理位置和运营商信息
✅ 网络路由路径和跳数分析

📋 操作流程

在检测平台输入目标域名（如目标购票网站）
选择全国主要城市节点进行检测
分析延迟数据，找出延迟最低的地域
通过IP归属查询确定目标服务器的云服务商
根据分析结果选择最优部署地域

🌐 CDN架构分析与IP选择策略

现代大型平台普遍采用CDN（内容分发网络）架构，域名会解析到不同地域的CDN节点IP。正确识别和选择最优IP是成功的关键。

🔍 CDN识别方法

1. 多地域解析测试

使用 https://boce.aliyun.com/detect/http 进行全国多节点解析测试：

操作步骤：

在检测页面输入目标域名
选择"全部节点"或重点城市节点（北京、上海、杭州、深圳、成都等）
点击"HTTP检测"获取各地域解析结果
记录不同地域解析到的IP地址
分析各IP的延迟、丢包率等指标

关键数据收集：

各地域解析到的IP地址列表
每个IP的平均延迟时间
网络丢包率和稳定性指标
IP归属的CDN服务商信息

2. CDN厂商识别

通过boce平台的IP归属信息识别CDN服务商：

CDN服务商	识别标识
阿里云CDN	"阿里云计算" 或 "Alibaba Cloud"
腾讯云CDN	"腾讯云" 或 "Tencent Cloud"
网宿CDN	"网宿科技" 或 "ChinaCache"
CloudFlare	"Cloudflare Inc"

🎯 最优IP选择策略

选择原则：

地理位置最近：选择与部署服务器同地域的CDN节点IP
延迟最低：通过boce平台测试结果，选择RTT最小的IP
稳定性最好：选择丢包率最低、抖动最小的IP
CDN服务商匹配：优先选择与部署云服务商相同的CDN节点

IP优选流程：

步骤	操作方法	选择标准
1. 全国解析测试	使用boce.aliyun.com从全国节点解析域名	收集所有可能的CDN节点IP
2. 地域匹配筛选	筛选与计划部署地域相同的检测节点结果	优先选择同地域解析到的IP
3. 延迟排序	按boce平台显示的延迟时间排序	选择延迟最低的前3个IP
4. 稳定性评估	查看丢包率和连接成功率指标	选择稳定性最好的IP
5. CDN匹配	确认IP归属的CDN服务商	优先选择与部署云服务商相同的CDN

🗂 hosts文件配置策略

配置原则：

主IP：boce测试中延迟最低且最稳定的同地域CDN节点
备用IP：次优IP作为备选
多域名覆盖：配置目标站点的所有相关域名

配置示例（基于boce测试结果）：

# /etc/hosts 配置示例
# 基于boce.aliyun.com测试，杭州节点延迟最低的IP
47.96.123.45    target-site.com
47.96.123.45    www.target-site.com  
47.96.123.45    api.target-site.com
47.96.123.45    m.target-site.com

# 备用配置（注释状态，故障时启用）
# 47.97.234.56    target-site.com    # 上海节点次优IP
# 118.178.123.78   target-site.com    # 北京节点备用IP

动态IP管理策略：

// 基于boce测试结果的IP池管理
type CDNNode struct {
    IP       string
    Region   string  
    Latency  int     // 延迟(ms)
    Loss     float64 // 丢包率
    Provider string  // CDN服务商
}

var optimizedIPs = []CDNNode{
    {"47.96.123.45", "杭州", 2, 0.0, "阿里云CDN"},
    {"47.97.234.56", "上海", 3, 0.1, "阿里云CDN"},
    {"118.178.123.78", "北京", 5, 0.0, "腾讯云CDN"},
}

func selectBestIP(deployRegion string) string {
    // 优先选择同地域、同CDN服务商的IP
    for _, node := range optimizedIPs {
        if node.Region == deployRegion && node.Latency < 5 {
            return node.IP
        }
    }
    return optimizedIPs[0].IP // 默认返回延迟最低的IP
}

🖥 服务器部署策略

🌍 多点部署策略

基于boce测试结果，在延迟最低的多个地域同时部署服务器，形成"集群式抢购"。

部署配置：

部署模式	服务器数量	地域选择依据	IP配置策略
单点精准	1台	boce测试延迟最低的地域	使用该地域最优CDN节点IP
同地域集群	3-5台	最优地域的不同可用区	每台服务器使用不同CDN节点IP
多地域集群	5-10台	boce测试延迟最低的前3个地域	各地域使用当地最优CDN节点IP

⚙️ 核心配置

配置项	选择标准	推荐规格
云服务商	基于boce测试中最优CDN节点归属	主流云服务商（阿里云/腾讯云/AWS）
地域选择	boce测试延迟最低的地域	通常为北京、上海、杭州、深圳
服务器规格	计算型实例	8核16GB以上，高网络性能
操作系统	Linux发行版	Ubuntu 22.04 LTS
编程语言	Go	1.21+

⏰ 时间同步与时差计算

时间精度是秒杀成功的关键因素。必须实现与目标服务器的精确时间同步，确保请求在开售瞬间准确到达。

🔄 时间同步实现

1. NTP时间同步

// 获取NTP标准时间
ntpTime, err := ntp.Time("ntp.aliyun.com")
localTime := time.Now()
ntpOffset := ntpTime.Sub(localTime) // 本地时间与标准时间的偏差

2. 服务器时间获取

// 通过HTTP请求获取目标服务器时间
resp, err := http.Head("https://target-site.com/api")
serverTimeStr := resp.Header.Get("Date")
serverTime, _ := time.Parse(time.RFC1123, serverTimeStr)

3. 时差计算公式

实际时差 = (服务器时间 - 本地时间) - NTP偏差
调整后的本地时间 = 本地时间 + 实际时差

📐 精确时间计算流程

步骤	操作	精度要求
1. NTP同步	每10秒获取标准时间，计算本地时钟偏差	±5ms
2. 服务器时间	每30秒请求目标服务器，获取其时间戳	±10ms
3. 时差计算	综合NTP和服务器时间，计算精确时差	±2ms
4. 实时校准	持续监控时差变化，动态调整	±1ms

📝 时差计算示例

假设：
- 本地时间：14:00:00.000
- NTP标准时间：14:00:00.050 (本地慢50ms)
- 服务器时间：14:00:00.120 (从HTTP响应头获取)

计算：
- NTP偏差：50ms (本地时间慢)
- 服务器与本地时差：120ms
- 实际时差：120ms - 50ms = 70ms
- 目标开售时间：14:30:00.000 (服务器时间)
- 本地应发送时间：14:29:59.930 (14:30:00.000 - 70ms)

🔍 DNS优化策略

DNS配置	阿里云部署	腾讯云部署	AWS部署
主DNS	223.5.5.5	119.29.29.29	8.8.8.8
备DNS	223.6.6.6	119.28.28.28	8.8.4.4
本地解析	hosts文件配置boce测试最优IP	同左	同左

🛠 技术栈选型

组件	选择	版本要求
编程语言	Go	1.21+
HTTP客户端	fasthttp	v1.50+
时间同步	github.com/beevik/ntp	v0.3+
并发控制	Go原生goroutine	-
配置管理	Viper	v1.16+

🚀 网络优化配置

优化项	配置值	说明
TCP优化	net.ipv4.tcp_fin_timeout=10	快速释放连接
连接复用	Keep-Alive: 300s	减少握手开销
协议版本	HTTP/2	多路复用，减少延迟
超时设置	连接5s，读写10s	避免长时间等待

⚡ 核心算法参数

参数	推荐值	调优说明
时间同步频率	每5-10秒	保持时间精度
延迟测量	基于boce测试结果	使用平台测试的RTT数据
并发请求数	5-10个/服务器	平衡成功率与风控风险
请求间隔	1-3ms	形成请求脉冲
提前发送时间	boce测试延迟 + 时差 + 3-8ms	基于实测数据补偿

🤝 多服务器协调策略

协调方式	实现方法	优势
时间同步	所有服务器使用相同NTP源	确保发送时间一致
IP分配	基于boce测试为不同服务器分配最优IP	分散请求，避免单点压力
负载分散	不同服务器错开1-2ms发送	避免请求冲突
结果共享	第一个成功后通知其他服务器停止	避免重复下单

📅 实施流程

阶段	操作步骤
1. 目标分析	使用boce.aliyun.com全国节点检测CDN架构
2. IP优选	基于boce测试结果选择最优CDN节点IP
3. 服务器部署	在boce测试延迟最低的地域部署服务器
4. hosts配置	配置boce测试最优IP到hosts文件
5. 程序开发	实现精确时间计算和并发请求逻辑
6. 集群测试	多服务器协调测试和性能验证

📊 监控与调优

监控指标	目标值	调优方向
CDN节点延迟	与boce测试结果一致	重新使用boce平台测试选择更优IP
时间精度	< 2ms	提高同步频率，优化计算算法
发送精度	< 1ms	优化程序逻辑，减少系统调用开销
集群成功率	> 95%	基于boce数据调整服务器和IP分配

💡 核心提示：本方案的成功关键在于基于boce.aliyun.com平台的精确测试数据进行部署决策，实现从网络层面到应用层面的全方位优化。

IP在线高精度定位

Tue, 09 Sep 2025 00:00:00 GMT

IP在线高精度定位

可用服务

高精度定位（免费）

链接: https://www.chaipip.com/aiwen.html
特点: 免费使用，提供高精度的IP定位功能

超高精度定位（付费）

链接: https://www.ipuu.net/query/ip
特点: 付费服务，提供更精确的定位结果

APP在线云手机兼容性测试

Thu, 04 Sep 2025 00:00:00 GMT

APP在线云手机兼容性测试

目标：帮你在不同品牌与系统版本（国内外）上，快速、系统地完成 App 兼容性验证，提升上架通过率与线上稳定性。

TL;DR（结论先行）

最快拿覆盖报告：首选“云真机/设备农场”。国内可用 WeTest、Testin、华为云；海外可用 BrowserStack、AWS Device Farm、Sauce Labs、Firebase Test Lab（FTL）。它们都提供真机远程 + 自动化/遍历/日志报告能力。(WeTest, Testin, Huawei Cloud, BrowserStack, Amazon Web Services, Inc., Sauce Labs, Firebase)
更可控、沉淀资产：自建“设备墙”（DeviceFarmer/OpenSTF）+ 开源自动化（Airtest/Poco、Appium、Espresso、XCTest），适合对数据与内网安全要求高的团队。(GitHub, Airtest Project Docs, Appium, Android Developers, Apple Developer)
贴近上架口径：跑各渠道官方自动化/兼容测试（OPPO、vivo、Xiaomi、HUAWEI AppGallery Connect）+ Google Play 预发布报告。(OPPO Developer Center, Vivo Developer Platform, MI Developer Platform, Huawei Developer, Google Play)
HarmonyOS NEXT 提醒：面向华为生态需原生 HAP/ArkTS 应用与测试（Android APK 不提供原生运行支持）。(Huawei Developer, Wikipedia)
上线后回捞：Bugly/友盟+按机型/系统维度定位崩溃与人群分布，闭环兼容问题。(bugly.tds.qq.com, developer.umeng.com)

一、常见技术路线（怎么选）

路线	适合场景	优点	注意点
云真机/设备农场	希望快速覆盖大量机型、拿统一报告	即开即用、并发执行、带日志/截图/视频/性能	成本按使用计费，调试深度受平台能力限制
自建设备墙 + 开源框架	对数据安全、环境可控有要求；长期回归	可接内网、可固化关键机型、成本可摊薄	需要机房/运维与脚本体系建设
渠道官方自动化/兼容	上架前验证、对齐审核口径	与真实上架一致、能提前发现渠道侧问题	平台各异、脚本与流程需分渠道维护

二、云真机/设备农场（国内/海外）

国内平台

腾讯 WeTest：提供标准/自动化兼容测试、远程真机、性能与功耗测试，覆盖主流机型并输出报告与日志/截图。适合“快速出兼容报告 + 回归”。(WeTest)
Testin 云测：真机实验室 + 自动化兼容/深度兼容，报告含步骤、截图、日志、性能指标。支持“标准遍历（含 Monkey）+ 深度用例”。(Testin, docs.testin.cn)
华为云·移动应用测试（MobileAppTest）：提供移动兼容性测试与云真机服务，生成详细报告（系统日志、错误原因等）。(Huawei Cloud)

变更提示：阿里云 EMAS · 移动测试已官宣国内站退市与停止新购/更新的时间表，迁移或替代选型时需注意。(Aliyun Help Center)

海外/跨区平台

BrowserStack（App Live / App Automate）：真机手测与 Appium 自动化，支持网络仿真、摄像头/图片注入、物理 SIM、DevTools 调试等。(BrowserStack)
AWS Device Farm：真实设备远程交互与多框架自动化（并行运行、生成报告），无需自建基础设施。(Amazon Web Services, Inc., AWS Documentation)
Sauce Labs Real Device Cloud：企业级真机云，支持私有设备池与丰富的诊断信号。(Sauce Labs)
Firebase Test Lab（FTL）：提供Robo 自动探索与仪表化（Espresso/UI Automator），与 Play 预发布报告联动。(Firebase)
其他企业级：Perfecto、HeadSpin、SmartBear BitBar，均提供真机云、并行执行与企业部署选项。(Perfecto, HeadSpin, SmartBear)

三、自建设备墙 + 开源工具（长期可控）

DeviceFarmer/OpenSTF：开源设备农场（浏览器远程控制多台 Android 真机、ADB 接入），适合企业内网部署。(GitHub)
Airtest/Poco + AirtestIDE（网易）：图像识别 + 控件树驱动的跨引擎 UI 自动化，脚本门槛低，提供私有化方案。(Airtest Project Docs)
Genymotion（桌面/云）：高性能模拟器/云虚机，可补充系统/分辨率组合与 CI 扩展（注意不能完全替代真机）。(Genymotion)
自动化框架：Appium（跨 iOS/Android）、Android Espresso、Apple XCTest/XCUITest，均有官方文档/最佳实践。(Appium, Appium, Android Developers, Apple Developer)

四、各分发渠道/商店的官方自动化/兼容测试

OPPO 云测平台：提供自动化测试（兼容/稳定/性能）与远程真机，对 OPPO 全系列覆盖。(OPPO Developer Center)
vivo 应用分发：上架流程中包含自动化与人工测试环节（确保多机型兼容与安全）。(Vivo Developer Platform, Vivo)
小米应用商店（澎湃 OS 开发者平台）：所有新提交应用均需自动化测试检测（兼容/安全/崩溃日志）。(MI Developer Platform)
HUAWEI AppGallery Connect（AGC）· 云测试：提供兼容性遍历/稳定性/性能/功耗等自动化测试能力，贴近华为终端生态。(Huawei Developer)
Google Play 预发布报告（Pre-launch Report）：上传到测试轨道后，自动在多款设备上执行，报告包含稳定性/性能/无障碍/兼容性。(Google Play)

五、HarmonyOS NEXT 的适配与测试要点

开发与包格式：HarmonyOS 生态使用 ArkTS 与 HAP 包管理/发布，需以 鸿蒙原生应用为测试对象。(Huawei Developer)
兼容性差异：在 HarmonyOS NEXT/鸿蒙星河版（5.x） 上，系统聚焦原生鸿蒙应用生态，不提供对 Android APK 的原生运行支持；如需覆盖该生态，应建立独立的 HAP 构建与测试链路。(Wikipedia)

实操建议：将“华为生态（HAP）”与“Android（APK）”测试矩阵区分管理；在 AGC 云测试与自有真机中分别维护关键机型集，避免混淆。(Huawei Developer)

六、最小可落地方案（从 0 到报告）

云端快速覆盖
- 选择一款云真机平台，先跑标准兼容/遍历（如 WeTest 标准兼容、FTL Robo），拿到第一版“安装/启动/遍历”问题清单与视频/日志。(WeTest, Firebase)
补核心路径自动化
- 使用 Appium/Espresso/XCUITest 编写 5–10 条关键用例，在 WeTest/Testin/BrowserStack/AWS/Sauce/BitBar 等任一平台跑回归。(Appium, Android Developers, Apple Developer, Testin, BrowserStack, Amazon Web Services, Inc., Sauce Labs, SmartBear)
渠道口径验证（按需）
- 面向目标渠道（OPPO/vivo/小米/AGC）分别跑一轮官方自动化/兼容测试。(OPPO Developer Center, Vivo Developer Platform, MI Developer Platform, Huawei Developer)
持续集成（CI）
- 将 FTL 接入流水线（可用 fastlane 插件 / 自建脚本），或对接 BrowserStack/Sauce/AWS Device Farm 的 CI 插件。(GitHub, Firebase, AWS Documentation)

七、样例：Appium 用例骨架（Python）

目的：覆盖“安装→启动→登录→核心页面进入→退出登录”最小路径，便于在任何真机云/本地设备墙上执行。

from appium import webdriver
from appium.webdriver.common.appiumby import AppiumBy
from selenium.webdriver.support.ui import WebDriverWait
from selenium.webdriver.support import expected_conditions as EC

caps = {
    "platformName": "Android",
    "automationName": "UiAutomator2",
    "appPackage": "com.example.app",
    "appActivity": ".MainActivity",
    "noReset": False,
    "newCommandTimeout": 180
}

driver = webdriver.Remote("http://<hub-or-grid-url>/wd/hub", caps)
wait = WebDriverWait(driver, 25)

# 首次启动 - 同意权限/弹窗（示例）
try:
    agree = wait.until(EC.presence_of_element_located((AppiumBy.ANDROID_UIAUTOMATOR,
                                                       'new UiSelector().textContains("同意")')))
    agree.click()
except Exception:
    pass  # 若无弹窗，继续

# 登录
wait.until(EC.presence_of_element_located((AppiumBy.ID, "com.example.app:id/et_phone"))).send_keys("13800000000")
driver.find_element(AppiumBy.ID, "com.example.app:id/et_password").send_keys("Passw0rd!")
driver.find_element(AppiumBy.ID, "com.example.app:id/btn_login").click()

# 核心页面断言
wait.until(EC.presence_of_element_located((AppiumBy.ANDROID_UIAUTOMATOR,
                                           'new UiSelector().textContains("首页")')))

# 退出登录
driver.find_element(AppiumBy.ACCESSIBILITY_ID, "设置").click()
driver.find_element(AppiumBy.ANDROID_UIAUTOMATOR, 'new UiSelector().text("退出登录")').click()

driver.quit()

说明：Android 可用 UiAutomator2/Espresso，iOS 切换至 XCUITest；Hub 地址替换为 WeTest/Testin/BrowserStack/AWS/Sauce/BitBar/自建 Grid 的接入地址即可。(Appium, Android Developers, Apple Developer)

八、设备矩阵如何“以小博大”（示例思路）

品牌维度（国内主流）：华为/荣耀、小米、OPPO、vivo、三星；海外补一台 Pixel（对齐 AOSP/新版 Android）。
SoC 维度：骁龙（高/中）、联发科（高/中）、（如覆盖华为生态）Kirin。
系统维度：Android 主流大版本（≥2 个梯度）；HarmonyOS NEXT 单独维护 HAP 构建与测试用例。
形态/外设：刘海/挖孔/折叠屏、64/32 位 ABI、通知/自启动/电池策略差异。

最终矩阵以你的用户设备分布与目标渠道为准；上线后用 Bugly/友盟+ 的机型/系统分布持续校准。(bugly.tds.qq.com, developer.umeng.com)

九、兼容性专项检查清单（可直接抄用）

安装/启动：包架构（arm64/分包）、首次冷启动、动态权限弹窗处理。
权限与后台保活：不同 ROM 的自启动/电池优化白名单策略差异（OPPO/小米/vivo 等）。
通知/推送：通知渠道、前后台/锁屏通知展示。
账号与 WebView：系统 WebView 版本差异、三方登录 SDK（微信/支付宝/快应用等）适配。
网络：弱网/无网/切网、双卡、IPv6/代理。
UI/布局：挖孔/刘海/折叠、深浅色、字体缩放、触控边缘。
性能/稳定性：启动时长、帧率、内存、功耗、ANR/Crash。
存储/权限模型：分区存储、媒体权限变更。
特殊能力：相机/相册选择、定位、蓝牙/NFC、摄像头/麦克风使用冲突。
HarmonyOS NEXT：HAP 安装/签名、ArkTS 权限模型、分布式能力开关。(Huawei Developer)

十、持续集成（CI）与报告沉淀

Firebase Test Lab：支持 Robo 与 仪表化，可在 CI 中调用（如 fastlane 插件），把报告（截图/崩溃栈/视频）沉淀到制品库。(Firebase, GitHub)
Google Play 预发布报告：每次提交测试轨道会自动生成报告，建议把关键缺陷映射到缺陷管理系统。(Google Play)
AWS/Sauce/BrowserStack/BitBar：均提供 CI 集成/REST API，便于并发执行与历史对比。(AWS Documentation, Sauce Labs, BrowserStack, support.smartbear.com)

十一、上线后的“兼容问题回捞”（数据驱动优化）

Bugly：崩溃/ANR 拆解，支持版本/系统/机型维度下钻，辅助快速定位 Top 问题与受影响用户。(bugly.tds.qq.com)
友盟+ U-App：终端概况/设备与机型/系统分布，用于动态优化设备矩阵与回归优先级。(developer.umeng.com)

参考服务与文档（精选）

WeTest（标准/自动化兼容、远程真机）(WeTest)
Testin（兼容/深度兼容/报告）(Testin, docs.testin.cn)
华为云·移动应用测试（兼容性测试/云真机）(Huawei Cloud)
BrowserStack（App Live/App Automate）(BrowserStack)
AWS Device Farm（真实设备自动化与远程）(Amazon Web Services, Inc., AWS Documentation)
Sauce Labs（Real Device Cloud）(Sauce Labs)
Firebase Test Lab（Robo/Instrumentation）+ Play 预发布报告(Firebase, Google Play)
Perfecto / HeadSpin / BitBar（企业级真机云）(Perfecto, HeadSpin, SmartBear)
DeviceFarmer/OpenSTF（开源设备农场）(GitHub)
Airtest/Poco（网易开源）(Airtest Project Docs)
Appium / Espresso / XCTest（官方文档）(Appium, Android Developers, Apple Developer)
OPPO 云测 / vivo 自动化 / 小米自动化 / AGC 云测试 / Google Play 预发布(OPPO Developer Center, Vivo Developer Platform, MI Developer Platform, Huawei Developer, Google Play)
阿里云 EMAS 移动测试退市公告（国内站）(Aliyun Help Center)
HarmonyOS ArkTS / HAP / 星河版兼容性差异（背景）(Huawei Developer, Wikipedia)

最后

如果你把目标渠道与用户设备占比告诉我，我可以直接给出一份10–15 台的高覆盖设备矩阵与一套可复用的 Appium 用例骨架，结合上面的云平台/渠道测试，立刻开始完整的兼容性回归。

安卓手机断网深度修复

Mon, 01 Sep 2025 00:00:00 GMT

安卓手机断网深度修复

概述

本文档提供了一套完整的 ADB 命令集，用于修复 Android 设备在长时间未开机后出现的网络连接问题。这些问题通常表现为设备能够连接 Wi-Fi 但无法访问互联网，主要原因包括系统时钟错误导致的 TLS 证书校验失败、Private DNS 配置异常，以及系统代理或连通性检测设置问题。

本指南适用于已安装 KernelSU 或其他内核级 root 的 Android 系统，可通过 su 命令执行需要 root 权限的修复操作。

前置要求

设备已开启 USB 调试模式
电脑已正确安装 ADB 工具
设备具有 root 权限（部分命令需要）
建议使用 Android 9.0 及以上版本

故障诊断

系统状态检查

在开始修复前，建议先执行以下命令检查系统当前配置状态：

# 检查时间同步设置
adb shell settings get global auto_time
adb shell settings get global auto_time_zone

# 检查 DNS 和代理配置
adb shell settings get global private_dns_mode
adb shell settings get global http_proxy

# 检查网络连通性检测设置
adb shell settings get global captive_portal_mode
adb shell settings get global ntp_server

# 综合属性查询
adb shell getprop | grep -E 'dns|timezone|http_proxy|captive|ntp'

关键参数说明

auto_time / auto_time_zone: Android 系统的自动时间和时区同步开关
private_dns_mode: Android 9+ 引入的私有 DNS（DoT/DoH）配置模式
captive_portal_mode: 网络门户检测模式（0=禁用，1=默认，2=自动断开）
http_proxy: 系统全局 HTTP 代理设置

修复流程

第一步：时间同步修复

系统时钟错误是导致 HTTPS 连接失败的首要原因。执行以下命令进行时间同步修复：

# 启用自动时间和时区同步
adb shell su -c 'settings put global auto_time 1'
adb shell su -c 'settings put global auto_time_zone 1'

# 配置 NTP 服务器（根据地区选择）
# 中国大陆地区推荐：
adb shell su -c 'settings put global ntp_server cn.pool.ntp.org'
# 或使用阿里云 NTP：
adb shell su -c 'settings put global ntp_server ntp.aliyun.com'

# 强制触发时间同步
adb shell su -c 'settings put global auto_time 0; sleep 1; settings put global auto_time 1'

如果网络尚未恢复，可先手动设置时间：

# 格式：YYYYMMDD.HHMMSS
adb shell su -c 'date -s 20250901.123456'
adb shell su -c 'settings put global auto_time 1'

第二步：DNS 和代理配置修复

2.1 重置 Private DNS 设置

Private DNS 配置错误会导致全局 DNS 解析失败：

# 临时禁用 Private DNS
adb shell settings put global private_dns_mode off
adb shell settings delete global private_dns_specifier

2.2 清除系统代理设置

残留的代理配置会导致所有网络请求失败：

# 清除全局 HTTP 代理
adb shell settings put global http_proxy :0
adb shell settings delete global global_http_proxy_host
adb shell settings delete global global_http_proxy_port
adb shell settings delete global global_http_proxy_exclusion_list

2.3 修复连通性检测

Android 使用连通性检测来判断网络状态和门户认证需求：

# 恢复默认检测模式
adb shell settings put global captive_portal_mode 1

# 清除自定义检测 URL
adb shell settings delete global captive_portal_http_url
adb shell settings delete global captive_portal_https_url
adb shell settings delete global captive_portal_fallback_url
adb shell settings delete global captive_portal_other_fallback_urls

对于中国大陆网络环境，可配置 MIUI 检测地址以避免 Google 服务不可达问题：

adb shell settings put global captive_portal_http_url  http://connect.rom.miui.com/generate_204
adb shell settings put global captive_portal_https_url https://connect.rom.miui.com/generate_204

第三步：重启网络服务

完成配置修复后，重启 Wi-Fi 服务使更改生效：

# 软重启 Wi-Fi 服务
adb shell su -c 'svc wifi disable; sleep 2; svc wifi enable'

# 或执行系统重启（推荐）
adb reboot

验证修复结果

执行以下命令验证修复是否成功：

# 验证时间同步
adb shell date
adb shell settings get global auto_time

# 测试网络连通性
adb shell ping -c1 1.1.1.1                        # IP 层连通性
adb shell ping -c1 connectivitycheck.gstatic.com  # DNS 解析功能

# 检查关键配置
adb shell settings get global private_dns_mode
adb shell settings get global http_proxy

深度修复选项

如果常规修复无效，可尝试以下深度修复方案。注意：这些操作会清除现有网络配置。

方案 A：重置 Wi-Fi 配置

# 备份现有配置
adb shell su -c 'mkdir -p /data/local/tmp/wifi-bak'
adb shell su -c 'cp -a /data/misc/wifi /data/local/tmp/wifi-bak/'

# 清空 Wi-Fi 配置并重启
adb shell su -c 'rm -rf /data/misc/wifi/*'
adb reboot

方案 B：清理防火墙规则

如果安装过 AFWall+、RethinkDNS 等防火墙应用，可能存在残留规则：

# ⚠️ 警告：此操作会清空所有自定义防火墙规则
adb shell su -c 'iptables -F'
adb shell su -c 'iptables -t nat -F'
adb shell su -c 'ip6tables -F'

方案 C：恢复 Private DNS

网络稳定后，可根据需求恢复 Private DNS：

# 方式一：保持禁用
adb shell settings put global private_dns_mode off

# 方式二：使用 Cloudflare DNS
adb shell settings put global private_dns_mode hostname
adb shell settings put global private_dns_specifier one.one.one.one

# 方式三：使用 AdGuard DNS
adb shell settings put global private_dns_mode hostname
adb shell settings put global private_dns_specifier dns.adguard.com

技术原理

时间同步机制

Android 系统通过多种来源进行时间同步，包括蜂窝网络、GNSS 和 NTP 服务器。auto_time 和 auto_time_zone 是控制自动同步的全局设置键。系统时钟错误会导致 TLS 证书验证失败，进而使所有 HTTPS 连接无法建立。

Private DNS 实现

Android 9 引入了系统级的 DNS over TLS (DoT) 和 DNS over HTTPS (DoH) 支持。当配置了无效的 DNS 提供商主机名或遇到证书问题时，系统的 DNS 解析会完全失败，表现为"已连接但无网络"。

连通性检测机制

Android 通过访问返回 HTTP 204 状态码的特定 URL 来检测网络连通性和门户认证需求。默认使用 Google 的检测服务器，在某些网络环境下可能不可达，导致系统误判网络状态。

全局代理影响

系统级 HTTP 代理设置会影响所有应用的网络请求。如果代理服务器不可用或配置错误，会导致全局网络访问失败。使用 http_proxy :0 可以立即清除代理配置而无需重启。

一键脚本

可将上述命令整合为自动化脚本，支持 Windows (.bat) 和 Unix-like (.sh) 系统。脚本会按顺序执行安全修复步骤，并提供交互式选项执行深度修复。

参考资源

本文档基于 Android 9.0+ 系统编写，部分功能可能在早期版本中不可用。建议在执行深度修复操作前备份重要数据。

红米AX6000路由器刷入ImmortalWrt 23.05.4教程

Mon, 01 Sep 2025 00:00:00 GMT

红米 AX6000 (Redmi AX6000) 刷入 ImmortalWrt 23.05 保姆级教程

⚠️ 免责声明：刷机属于高级操作，存在设备损坏（变砖）的风险。请务必仔细阅读每一步，严格按教程操作。刷机过程中切勿断电。

一、准备工作

1. 硬件准备

红米 AX6000 路由器：一台。
Windows 电脑：一台（需要有 RJ45 网口）。
网线：两根（一根连接光猫/上级路由，一根连接电脑）。
卡针：用于按 Reset 键。

2. 软件与固件下载（点击即可下载）

请在电脑上新建一个文件夹（如 AX6000_Flash），将以下所有文件下载并保存进去。

官方救砖工具：
- MIWIFIRepairTool.x86.zip (小米官方链接)
降级固件 (版本 1.0.60)：
- miwifi_rb06_firmware_1.0.60_firmware.bin (小米官方 CDN)
- 说明：只有此旧版本存在 SSH 漏洞，必须降级。
SSH 连接工具：
- MobaXterm Home Edition (推荐使用 Portable 便携版)
UBoot 引导文件：
- 下载地址：Hanwckf/bl-mt798x Releases
- 下载说明：打开页面后，找到最新的 mt798x_uboot_xxxx.zip 压缩包下载，解压后找到 mt7986_redmi_ax6000-fip-fixed-parts.bin。
- 重要：下载后请将其重命名为 uboot.bin，以便后续操作。
ImmortalWrt 正式版固件：
- 下载地址：ImmortalWrt 固件选择器
- 下载说明：点击页面上的 "Sysupgrade" 按钮下载固件（通常以 squashfs-sysupgrade.bin 结尾）。

二、详细刷机步骤

步骤一：固件降级（解锁前置条件）

如果你的路由器固件版本高于 1.0.60，必须执行此步。

设置电脑 IP：
- 进入 Windows"网络连接"，找到连接路由器的网卡 -> 属性 -> IPv4。
- IP 地址设为：192.168.31.100
- 子网掩码：255.255.255.0
- 网关：192.168.31.1
- 建议暂时关闭电脑防火墙和杀毒软件。
进入救援模式：
- 拔掉路由器电源。
- 用卡针按住路由器背后的 Reset 键不放。
- 插上电源，继续按住 Reset 键约 15 秒。
- 直到指示灯变为 橙色闪烁 状态，松开 Reset 键。
刷入旧版固件：
- 打开下载好的 MIWIFIRepairTool。
- 浏览选择下载的 1.0.60 固件文件。
- 网卡选择 IP 为 192.168.31.100 的那个。
- 点击"下一步"开始刷机。完成后路由器会自动重启（蓝灯常亮即成功）。
恢复电脑 IP：
- 将电脑网卡 IP 改回"自动获得 IP 地址"。

步骤二：解锁 SSH

获取 STOK：
- 连接路由器 WiFi 或网线，登录后台 192.168.31.1。
- 登录后，观察浏览器地址栏：http://192.168.31.1/cgi-bin/luci/;stok=XXXXXXXXXXXXXXXXXX/web/home
- 复制 stok= 后面那一长串字符（不包含 /web/home），这就是你的 STOK。

执行解锁代码：

将下面代码中的 {stok} 替换为你刚才获取的字符。
开启 Telnet（复制整行到浏览器打开，显示 code:0 即成功）：

http://192.168.31.1/cgi-bin/luci/;stok={stok}/api/misystem/set_sys_time?timezone=%20%27%20%3B%20nvram%20set%20ssh_en%3D1%20%3B%20nvram%20commit%20%3B%20

设置 Root 密码为 admin（复制整行到浏览器打开）：

http://192.168.31.1/cgi-bin/luci/;stok={stok}/api/misystem/set_sys_time?timezone=%20%27%20%3B%20echo%20-e%20'admin%5Cnadmin'%20%7C%20passwd%20root%20%3B%20

步骤三：刷入 UBoot（关键步骤）

⚠️ 注意：此步骤涉及底层分区写入，请务必仔细核对命令，不要断电！

连接路由器：
- 打开 MobaXterm，点击 Session -> SSH。
- Remote host: 192.168.31.1
- Username: root
- 点击 OK，输入密码 admin（输入时看不见，回车确认）。
上传 UBoot 文件：
- 在 MobaXterm 左侧文件树中，双击进入 /tmp 文件夹。
- 将电脑上重命名好的 uboot.bin 拖入该文件夹。
备份原厂分区（极重要）：
- 不备份可能导致无线信号变差且无法修复。
- 在终端执行以下命令备份 Factory 和 FIP 分区：
```
dd if=/dev/mtd3 of=/tmp/factory_backup.bin
dd if=/dev/mtd4 of=/tmp/fip_backup.bin
```
- 导出备份：执行完后，在左侧文件树刷新，将 factory_backup.bin 和 fip_backup.bin 下载到电脑安全位置保存。
写入 UBoot：
- 执行以下命令（确保无误）：
```
mtd write /tmp/uboot.bin FIP
```
- 出现 Success 或 Writing... 完成提示后，即可进行下一步。

步骤四：刷入 ImmortalWrt

进入 UBoot Web 界面：
- 拔掉电源。
- 按住 Reset 键，插入电源，保持按住约 10 秒，直到指示灯变色或熄灭，松开 Reset。
- 将电脑网卡 IP 再次设为静态：192.168.1.100，网关 192.168.1.1。
上传固件：
- 浏览器访问 192.168.1.1。
- 点击页面上的选择文件，选中下载的 immortalwrt-...-sysupgrade.bin 固件。
- 点击 Upload（上传），确认后点击 Update（更新）。
等待启动：
- 等待几分钟，当路由器指示灯变为常亮（通常是绿色），代表启动成功。
- 将电脑 IP 改回"自动获得"。
- 默认后台：192.168.1.1，默认用户 root，密码 password 或 无密码。

三、常见问题

Q: 为什么刷完后 5G WiFi 信号很弱？
- A: 请检查是否在 ImmortalWrt 的"网络"-"无线"设置中选择了正确的国家代码（建议选 CN 中国或 AU 澳大利亚）。如果依然很弱，可能是原厂 Factory 分区丢失，需通过 UBoot 刷回之前的备份。
Q: 想刷回官方系统怎么办？
- A: 进入 UBoot 界面 (192.168.1.1)，直接刷入官方固件包即可（部分情况下可能需要恢复官方 Bootloader，建议保留好备份）。

使用ADB命令让Android手机时间时间同步

Mon, 01 Sep 2025 00:00:00 GMT

使用ADB命令让Android手机时间时间同步

前置要求

已安装ADB工具
手机已开启USB调试
手机与电脑正确连接

同步步骤

1. 配置NTP服务器

设置阿里云NTP服务器，提供稳定的时间源：

adb shell settings put global ntp_server ntp.aliyun.com

2. 开启自动时间同步

允许系统通过NTP/NITZ/GNSS自动校时：

adb shell settings put global auto_time 1

3. 强制刷新网络时间

立即从NTP服务器拉取时间并更新（支持Android 12-16）：

adb shell cmd network_time_update_service force_refresh

4. 自动时区设置（可选）

让系统自动识别并设置时区：

adb shell settings put global auto_time_zone 1

如需手动设置为北京时区：

adb shell settings put global time_zone Asia/Shanghai

验证结果

检查同步是否成功：

# 查看当前时间
adb shell date

# 确认NTP服务器设置
adb shell settings get global ntp_server

# 查看时间服务详细信息
adb shell cmd network_time_update_service dump

常见问题

Q: 时间同步失败怎么办？

确保手机已连接网络
检查防火墙是否阻止NTP端口（123）
尝试其他NTP服务器：time.windows.com、cn.pool.ntp.org

Q: 部分机型不支持force_refresh命令？

Android 11及以下版本可能需要重启手机或等待系统自动同步
可尝试开关飞行模式触发时间更新

适用范围

Android 6.0及以上版本
需要Root权限的操作已通过ADB shell settings规避
测试环境：Windows 10/11 + Android 12-16

Alibaba Cloud Linux 3 JDK安装与配置指南

Sun, 24 Aug 2025 00:00:00 GMT

📘 Alibaba Cloud Linux 3 JDK安装与配置指南

📋 目录

简介
Dragonwell JDK版本选择
安装步骤
环境变量配置
版本管理
常见问题

简介

本文档提供了在 Alibaba Cloud Linux 3 系统上安装和配置 Alibaba Dragonwell JDK 的完整指南。Dragonwell 是阿里巴巴基于 OpenJDK 开发的高性能、企业级 Java 开发工具包，经过大规模生产环境验证，具有更好的性能和稳定性。

🎯 适用场景

Alibaba Cloud Linux 3 操作系统
需要高性能 Java 运行环境的生产环境
企业级 Java 应用开发与部署

Dragonwell JDK版本选择

📊 版本对比

版本	Java版本	支持类型	推荐场景
Dragonwell 8	Java 8	维护版本	传统企业应用、兼容性需求高的项目
Dragonwell 11	Java 11	维护版本	现代化企业应用、Spring Boot 2.x
Dragonwell 17	Java 17	LTS (长期支持)	新项目推荐、Spring Boot 3.x
Dragonwell 21	Java 21	LTS (长期支持)	最新特性、高性能需求

💡 建议：新项目推荐使用 LTS 版本（17 或 21），以获得长期的安全更新和技术支持。

安装步骤

1️⃣ 更新系统包管理器

# 更新 yum 包索引
sudo yum update -y

2️⃣ 选择并安装所需版本

根据您的需求选择合适的版本进行安装：

🔸 安装 Dragonwell 8

sudo yum install -y java-1.8.0-alibaba-dragonwell-devel

🔸 安装 Dragonwell 11

sudo yum install -y java-11-alibaba-dragonwell-devel

🔸 安装 Dragonwell 17（LTS）

sudo yum install -y java-17-alibaba-dragonwell-devel

🔸 安装 Dragonwell 21（LTS）

sudo yum install -y java-21-alibaba-dragonwell-devel

3️⃣ 验证安装

安装完成后，验证 JDK 是否正确安装：

# 查看 Java 版本
java -version

# 查看 javac 版本
javac -version

# 查看安装路径
which java

预期输出示例（以 Dragonwell 17 为例）：

openjdk version "17.0.x" 2023-xx-xx
Alibaba Dragonwell 17.0.x.x.x (build 17.0.x+x)
OpenJDK Runtime Environment (build 17.0.x+x)
OpenJDK 64-Bit Server VM (build 17.0.x+x, mixed mode, sharing)

环境变量配置

🔧 配置 JAVA_HOME

查找 JDK 安装路径

# 查找 JDK 安装位置
sudo find /usr/lib/jvm -name "java-*-alibaba-dragonwell*" -type d

编辑环境变量配置文件

# 编辑 /etc/profile 文件（全局配置）
sudo vi /etc/profile

# 或编辑用户配置文件（用户级配置）
vi ~/.bashrc

添加以下配置（以 Dragonwell 17 为例）

# Java Environment Variables
export JAVA_HOME=/usr/lib/jvm/java-17-alibaba-dragonwell
export JRE_HOME=$JAVA_HOME/jre
export CLASSPATH=.:$JAVA_HOME/lib:$JRE_HOME/lib
export PATH=$JAVA_HOME/bin:$PATH

使配置生效

# 重新加载配置文件
source /etc/profile
# 或
source ~/.bashrc

# 验证环境变量
echo $JAVA_HOME

版本管理

🔄 多版本共存与切换

当系统中安装了多个 JDK 版本时，可以使用 alternatives 命令管理默认版本：

查看已安装的 Java 版本

sudo alternatives --config java

设置默认 Java 版本

# 交互式选择
sudo alternatives --config java

# 直接设置（示例：设置 Dragonwell 17 为默认）
sudo alternatives --set java /usr/lib/jvm/java-17-alibaba-dragonwell/bin/java
sudo alternatives --set javac /usr/lib/jvm/java-17-alibaba-dragonwell/bin/javac

📝 创建版本切换脚本

创建便捷的版本切换脚本 switch-java.sh：

#!/bin/bash
# Java 版本切换脚本

case "$1" in
    8)
        export JAVA_HOME=/usr/lib/jvm/java-1.8.0-alibaba-dragonwell
        echo "切换到 Dragonwell 8"
        ;;
    11)
        export JAVA_HOME=/usr/lib/jvm/java-11-alibaba-dragonwell
        echo "切换到 Dragonwell 11"
        ;;
    17)
        export JAVA_HOME=/usr/lib/jvm/java-17-alibaba-dragonwell
        echo "切换到 Dragonwell 17"
        ;;
    21)
        export JAVA_HOME=/usr/lib/jvm/java-21-alibaba-dragonwell
        echo "切换到 Dragonwell 21"
        ;;
    *)
        echo "用法: source switch-java.sh {8|11|17|21}"
        return 1
        ;;
esac

export PATH=$JAVA_HOME/bin:$PATH
java -version

使用方法：

# 赋予执行权限
chmod +x switch-java.sh

# 切换到 Java 17
source switch-java.sh 17

常见问题

❓ Q1: 如何卸载已安装的 JDK？

# 查看已安装的 Dragonwell 包
rpm -qa | grep dragonwell

# 卸载指定版本（示例）
sudo yum remove -y java-17-alibaba-dragonwell-devel

❓ Q2: 如何查看 JDK 的详细信息？

# 查看 JVM 参数
java -XshowSettings:all -version

# 查看系统属性
java -XshowSettings:properties -version

❓ Q3: 如何优化 JVM 性能？

常用的 JVM 优化参数示例：

# 设置堆内存
export JAVA_OPTS="-Xms2g -Xmx4g"

# 启用 G1 垃圾收集器
export JAVA_OPTS="$JAVA_OPTS -XX:+UseG1GC"

# 启用 JVM 性能监控
export JAVA_OPTS="$JAVA_OPTS -XX:+PrintGCDetails -XX:+PrintGCDateStamps"

❓ Q4: Dragonwell 与 OpenJDK 的区别？

Dragonwell 基于 OpenJDK 开发，主要优势包括：

🚀 性能优化：针对阿里巴巴大规模场景优化
🔒 安全增强：及时的安全补丁和漏洞修复
🛠️ 功能增强：包含阿里巴巴内部实践的增强特性
📊 生产验证：经过大规模生产环境验证

📚 相关资源

📅 文档更新时间：2024年
📧 反馈建议：如有问题或建议，请提交 Issue 或 Pull Request

大模型RAG训练技术选型

Thu, 21 Aug 2025 00:00:00 GMT

大模型RAG训练技术选型

🏗️ 核心架构：Zilliz Cloud + n8n

基础设施层

向量数据库: Zilliz Cloud (Forrester排名第一)
- 官网: https://zilliz.com/
- 文档: https://docs.zilliz.com/
- 控制台: https://cloud.zilliz.com/
- 开源版: https://milvus.io/ (Milvus)
- GitHub: https://github.com/milvus-io/milvus
工作流编排: n8n (可视化自动化平台)
- 官网: https://n8n.io/
- 开源版: https://github.com/n8n-io/n8n
- 文档: https://docs.n8n.io/
- 云服务: https://n8n.cloud/
- 社区: https://community.n8n.io/

🚀 顶级组件配置

1. 嵌入模型服务

Voyage AI voyage-3-large

官网: https://www.voyageai.com/
文档: https://docs.voyageai.com/
优势: 2024年性能测试中超越所有竞品
特点: 专为RAG优化，支持32k上下文
定价: $0.12/1M tokens

2. 重排序服务

Cohere Rerank v3.0

官网: https://cohere.com/
产品页: https://cohere.com/rerank
API文档: https://docs.cohere.com/reference/rerank
模型: rerank-multilingual-v3.0
特点:
- 支持4096个文档同时重排
- 多语言支持（中英文优化）
- 99.9% SLA保证
定价: $1.00/1K searches

3. 大语言模型

Claude Opus 4.1 ⭐ 最强模型

官网: https://www.anthropic.com/claude/opus
API文档: https://docs.anthropic.com/
控制台: https://console.anthropic.com/
模型ID: claude-opus-4-1-20250805
优势:
- 2025年8月发布的最强模型
- 最高智能水平，适合复杂业务分析
- 世界最佳编程模型
- 支持长期复杂任务和代理工作流
定价: $15/1M input tokens, $75/1M output tokens

4. 查询理解和NLP服务

意图识别: Cohere Classify

官网: https://cohere.com/
API文档: https://docs.cohere.com/reference/classify
功能: 查询意图分类（寻找供应商/客户/合作伙伴）
定价: $1.00/1K classifications

实体抽取: Google Cloud Natural Language API

官网: https://cloud.google.com/natural-language
API文档: https://cloud.google.com/natural-language/docs
控制台: https://console.cloud.google.com/
功能: 提取公司名、行业、地域等实体
定价: $1.00/1K requests

5. 监控和可观测性

LLM应用监控: LangSmith

官网: https://www.langchain.com/langsmith
文档: https://docs.smith.langchain.com/
控制台: https://smith.langchain.com/
功能:
- 端到端链路追踪
- 性能指标监控
- 成本分析
- A/B测试支持
定价: $39/月起 (团队版)

业务指标监控: Datadog

官网: https://www.datadoghq.com/
文档: https://docs.datadoghq.com/
控制台: https://app.datadoghq.com/
功能: 自定义业务指标、告警
定价: $15/host/月

6. 数据管道和ETL

数据同步: Airbyte Cloud

官网: https://airbyte.com/
开源版: https://github.com/airbytehq/airbyte
文档: https://docs.airbyte.com/
控制台: https://cloud.airbyte.com/
功能: 多源数据同步到向量数据库
定价: $2.50/credit

🔧 n8n工作流集成方案

核心工作流设计

数据输入 → 数据清洗 → Voyage AI向量化 → 存储到Zilliz
    ↓
用户查询 → Cohere意图识别 → Google实体抽取 → 查询扩展
    ↓
Zilliz向量检索 → Cohere重排 → Claude Opus 4.1生成 → 结果返回
    ↓
LangSmith监控记录 → 反馈收集 → 模型优化

n8n节点配置

HTTP Trigger: 接收查询请求
Cohere Classify: 意图识别
Google NLP: 实体抽取
Voyage AI Embed: 查询向量化
Zilliz Search: 向量检索
Cohere Rerank: 结果重排
Claude Opus 4.1: 答案生成
LangSmith Log: 监控记录

💰 顶级配置成本估算 (月度)

基础设施成本

Zilliz Cloud: $1,500-3,000 (企业级配置)
n8n Cloud: $200 (专业版)

API服务成本 (10万次查询/月)

Voyage AI Embedding: $120
Cohere Rerank: $100
Claude Opus 4.1: $1,500 (顶级模型)
Cohere Classify: $100
Google NLP: $100
LangSmith监控: $150
Datadog监控: $300

总计: $4,070-5,570/月

🎯 顶级性能指标

查询响应时间: <1.5秒
匹配准确率: >95%
系统可用性: 99.95%
并发支持: 2000+ QPS

🔒 企业级特性

安全合规

数据加密: 端到端加密
访问控制: RBAC权限管理
审计日志: 完整操作记录
合规认证: SOC2, ISO27001

高可用性

多区域部署: 跨区域容灾
自动扩缩容: 弹性资源调度
故障转移: 自动故障恢复
SLA保证: 99.95%可用性

🚀 实施路线图

第一阶段 (1-2周)

注册所有顶级服务账号
配置Zilliz Cloud集群
设置n8n工作流基础架构

第二阶段 (2-3周)

集成Voyage AI嵌入服务
配置Cohere重排和分类
接入Claude Opus 4.1

第三阶段 (1-2周)

部署LangSmith监控
配置Datadog业务监控
性能调优和压力测试

第四阶段 (1周)

生产环境部署
用户培训和文档
持续监控和优化

个人开发者App上架App Store（2025 实操版）

Sun, 17 Aug 2025 00:00:00 GMT

个人开发者App上架App Store（2025 实操版）

🚀 快速总览（Checklist）

加入 Apple Developer Program（个人账号） → 完成年费与验证。 (Apple Developer)
（可选）加入 App Store Small Business Program（15% 抽成）。 (Apple Developer, Apple)
在 App Store Connect 完成 Agreements, Tax, and Banking。 (Apple Developer)
Certificates, Identifiers & Profiles：创建 Bundle ID → 打开 Xcode 自动签名。 (Apple Developer)
创建 App 记录（名称、主语言、Bundle ID、SKU、开发者名称等）。 (Apple Developer)
准备商店素材：截图/预览视频/图标；填写年龄分级（2025 起新增 13+/16+/18+）。 (Apple Developer)
隐私与合规：
- 隐私营养标签；Privacy Manifest & SDK 签名；ATT（如跟踪）。 (Apple Developer)
- 账号删除（若提供注册）。 (Apple Developer)
- 加密与出口合规（法国/美国申报等场景）。 (Apple Developer)
- EU DSA“Trader”状态；中国大陆 ICP/合规信息（如在相应地区上架）。 (Apple Developer)
- 内购/支付：数字内容使用 IAP；EU 另有 DMA 选项（仅限 EU）。 (Apple Developer)
上传构建 & 测试：Xcode 上传 → TestFlight（内测≤100、外测≤10,000）。 (Apple Developer)
提交审核 & 发布：填写 App Review Information、选择自动/手动上架。 (Apple Developer)

A. 账号与基础设置

加入 Apple Developer Program（个人）：年费 $99/年；完成身份验证与协议。 (Apple Developer)
小型企业计划（可选）：若上一自然年收入 ≤ $1M，可申请 15% 抽成。 (Apple Developer, Apple)
Agreements, Tax & Banking：在 App Store Connect 的 Business 中签署付费协议并提交税务与收款账户。 (Apple Developer)
开发者名称显示：个人账号显示你的法定姓名，不可自定义“公司名”。 (Apple Developer)

B. 证书、标识符与签名

注册 Bundle ID（App ID）：在 Certificates, Identifiers & Profiles 中创建；上传构建后不可再改。 (Apple Developer)
Xcode 自动签名：在 Signing & Capabilities 勾选 Automatically manage signing，由 Xcode 代管证书/描述文件。 (Apple Developer)

小贴士：团队协作可在“自动签名控制”里限制开发者创建新 ID/设备。 (Apple Developer)

C. App Store Connect 创建 App 记录

创建记录：填入 平台、App 名、主语言、Bundle ID、SKU 等。 (Apple Developer)
年龄分级：2025 年 7 月起，App Store 新增 13+、16+、18+ 等分级，需在 App Information 中设置。 (Apple Developer)
截图/预览/图标：按官方规格上传（不同设备需相应尺寸；图标 1024×1024，无透明通道）。 (Apple Developer)

D. 隐私与合规（必须过关）

1) 隐私营养标签 & 隐私清单

在 App Privacy 中如实申报你与第三方 SDK的数据收集与用途。 (Apple Developer)
2024 年起启用 Privacy Manifest 与 第三方 SDK 签名以提升供应链透明度；按要求维护清单并使用已签名的 SDK。 (Apple Developer)

2) 跟踪与 ATT

若进行跨 App/站点跟踪或访问 IDFA，必须弹出 AppTrackingTransparency 授权并提供用途说明。 (Apple Developer)

3) 账号删除（Guideline 5.1.1）

只要 App 支持注册，就必须在 App 内提供“删除账号”入口（可跳转网页完成，但需直达删除页且流程清晰）。 (Apple Developer)

4) 加密与出口合规

提交版本时需回答“是否使用加密”；某些情形需上传法国加密申报/CCATS等文件，并在 Info.plist 标记以简化后续提交流程。 (Apple Developer)

5) 地区法规要点

欧盟（DSA）：如在 EU 上架，账号需在 App Store Connect 申报 Trader 状态（2025‑02‑18 起未申报的 App 会在 EU 下架直至补全并验证）。 (Apple Developer)
中国大陆：App 信息页支持 ICP 备案号展示；组织在中国大陆还会显示更多主体合规信息（如适用）。 (Apple Developer)

6) 购买与支付

数字商品/服务须使用 In‑App Purchase。EU 地区因 DMA 有额外支付选项与披露义务（仅限 EU，具体以 Apple 官方说明为准）。 (Apple Developer)

E. 上传构建与测试

上传：Xcode Organizer 直接上传到 App Store Connect（或用 Transporter）。 (Apple Developer)
TestFlight：
- 内部测试：最多 100 名团队成员；
- 外部测试：最多 10,000 名测试者，首个构建需通过 TestFlight App Review。 (Apple Developer)
- 可一次性并行测试多构建；每天最多提交 6 个外测构建进行审核。 (Apple Developer)

F. 提审与发布

在 App Review Information 中提供审核联系人与可用的测试账号（如需登录）。 (Apple Developer)
提交审核：选择构建，保存并 Submit for Review；IAP 如需随 App 一同上架记得同步提交。 (Apple Developer)
发布方式：审核通过后可选择自动上架或手动上架，必要时仅先在部分国家/地区开放。 (Apple Developer)

🧪 常见拒审点自查清单

功能完整、无崩溃/无占位内容；权限申请最小化且合理。 (Apple Developer)
登录/注册：若提供第三方/社交登录，还需同时提供具备隐私特性的等效登录选项（Guideline 4.8）。实践上，多数团队选择**支持“使用 Apple 登录”**以满足“仅需姓名+邮箱、可隐藏邮箱、不跟踪”的要求。 (Apple Developer)
演示账号：如 App 需登录，务必在 App Review Information 中提供可用测试账号与说明。 (Apple Developer)
素材与元数据一致：截图、描述、隐私声明、年龄分级与实际功能一致。 (Apple Developer)
内购路径清晰：数字内容必须通过 IAP，避免引导到外部绕过（非 EU 地区尤其注意）。 (Apple Developer)

附：高频资源（官方）

加入/管理账号与协议：Developer Program、Agreements/Tax/Banking、创建 App 记录。 (Apple Developer)
签名与上传：注册 App ID、Xcode 自动签名、App Store Connect 帮助。 (Apple Developer)
商店素材：截图/预览规格、年龄分级更新（13+/16+/18+）。 (Apple Developer)
隐私与合规：隐私营养标签、Privacy Manifest & SDK 签名、ATT、账号删除、加密合规。 (Apple Developer)
地区：EU DSA Trader；中国大陆 ICP/主体信息。 (Apple Developer)
测试与发布：TestFlight 指南、提交审核/构建选择。 (Apple Developer)

说明

文中要点均以 Apple 官方文档为准；地区性规则（如 EU DMA、中国大陆 ICP）仅在对应地区适用，且经常更新，建议在每次提审前复核上述链接中的最新条款。 (Apple Developer)

跨平台移动开发技术选型指南 2025

Sun, 17 Aug 2025 00:00:00 GMT

跨平台移动开发技术选型指南 2025

以"开发速度快 + 兼容性好"为优先的技术选型

🎯 TL;DR（结论先行）

首选方案

🥇 首选 1：Flutter

适合追求跨平台 UI 一致性、出色的动画与性能、较少平台差异的场景
Flutter 自 3.27 起在 iOS 与 Android 上默认启用新一代渲染引擎 Impeller，进一步减少掉帧与卡顿
迭代时有稳定的 Hot Reload 提升开发效率
📖 Flutter Documentation

🥈 首选 2：React Native（配 Expo）

适合熟悉 JavaScript/TypeScript/React 的开发者
想要起盘最快、云端打包与 OTA 更新的"工程化"体验，Expo（EAS Build/Update）非常适合个人开发者
React Native 自 0.76（2024-10）起默认启用 New Architecture（Fabric + TurboModules），性能与可维护性显著提升
到 0.79（2025-04） 工具链与启动时延也继续优化
📖 React Native | 📖 Expo Documentation

💡 选择建议：两者都能一次开发同时覆盖 iOS + Android；

如果你偏重"看起来完全一致的 UI 和动画性能"选 Flutter

若你是前端背景、重视开箱即用的云构建与 OTA，选 React Native + Expo

🔄 何时该选别的方案？

Kotlin Multiplatform + Compose Multiplatform（KMP/CMP）

适用场景：Kotlin/Android 背景，想最大化复用业务逻辑与 UI，并保持"原生质感"
最新进展：2025 年 5 月 JetBrains 宣布 Compose Multiplatform for iOS 正式稳定，可使用一套 Kotlin UI同时覆盖 Android + iOS
特点：上手比 Flutter/RN 稍慢，但可维护性与原生互操作一流
📖 The JetBrains Blog

.NET MAUI（.NET 9）

适用场景：C#/XAML 背景并且还要兼顾 Windows 桌面
最新进展：.NET MAUI 在 .NET 9（2025） 中继续聚焦质量与性能，并引入 NativeAOT / trimming 带来的体积与启动时间优化
特点：VS 的 XAML Hot Reload 也支持快速迭代
📖 Microsoft Learn | 📖 Microsoft for Developers

Ionic/Capacitor（Web 技术栈）

适用场景：JS/HTML/CSS 快速做出信息展示/工具类 App 的最低成本选择
最新进展：Capacitor 6（2024） 对 SwiftPM 等做了适配，适合轻量场景
注意：若涉及复杂动画/高频渲染，性能不及 Flutter
📖 Capacitor | 📖 Ionic

Tauri 2.0（Web 前端 + Rust 后端，已含移动端）

适用场景：内容壳/工具类与你熟悉 Rust 的场景
最新进展：2024-10 发布稳定版，支持 iOS/Android
特点：体积小、启动快，但移动生态仍在完善
📖 Tauri

📊 快速对比（站在"个人开发"视角）

维度	Flutter	React Native + Expo	KMP / Compose Multiplatform	.NET MAUI	Ionic/Capacitor	Tauri 2
🚀 开发速度	快（Hot Reload）	最快（熟悉 JS/TS + EAS Build/Update）	初期慢	中等（VS 体验好）	最快（Web 技术）	快
🎨 UI 一致性/动画	最一致/最细腻（自带渲染引擎）	较好（原生视图 + 新架构）	原生风格，适配度高	原生控件	WebView 为主	WebView + 原生
🔧 原生能力/生态	丰富插件	极丰富 + Expo 模块	与原生互操作最佳	企业/桌面生态强	插件足够轻量需求	插件逐步完善
📚 学习成本	Dart + Flutter	JS/TS + React	Kotlin/Gradle	C#/XAML	Web	Web + Rust
📦 包体/启动	中等（有优化工具）	中等	原生级	原生级（.NET 体积取舍）	小到中等	小
🔧 长期可维护	高	高	最高（共享逻辑/UI）	高	中等	中等

📈 佐证点：Flutter 的 Impeller 默认启用（跨 iOS/Android），RN 的 New Architecture 默认开启，Expo 的 EAS Build/Update 提供云构建与 OTA，KMP/CMP iOS 已稳定，.NET MAUI .NET 9 提升质量与性能。

🛤️ 两条"上手即用"的推荐路线

路线 A：Flutter（追求 UI/性能一致）

安装环境：安装 Flutter ≥ 3.27（Impeller 默认，无需额外开关）
- 📖 Flutter Documentation
快速开发：开启 Hot Reload，用官方模板快速起步
- 用 DevTools 的 App Size/Performance 工具监控体积与性能
- 📖 Hot reload
性能优化：若包体偏大，按官方指引分析与裁剪（--analyze-size）
- 📖 Measuring your app's size

路线 B：React Native + Expo（追求极快研发/发布）

快速启动：直接 npx create-expo-app，默认即基于 RN 0.76+ 新架构
- 📖 React Native
云端构建：用 EAS Build 做云端打包，一键出 iOS/Android 可测版或商店包
- 📖 EAS Build
热更新：用 EAS Update（OTA） 做热更新，快速修复 JS/资源层变更（原生变更仍需发版）
- 📖 EAS Update
持续优化：后续可升级到 RN 0.79 获取更快的 Metro 与启动优化
- 📖 React Native 0.79

⚖️ "兼容性好"还包括商店合规（2025 年的重要门槛）

🍎 iOS 要求

时间节点：自 2025-04-24 起
要求：App 必须使用 Xcode 16 + iOS 18 SDK 构建才能提交
注意：选择的框架都需要跟进该 SDK（主流框架已支持）
📖 Apple Developer

🤖 Android 要求

时间节点：自 2025-08-31 起
要求：新应用和更新必须 target Android 15（API 35）
延长期：可申请到 2025-11-01 的延长期
📖 Android Developers

🤔 简单决策树

你更熟 JS/TS/React？
├─ 是 → React Native + Expo（最快见效 + OTA + 云构建）
└─ 否 → 继续

你要强一致 UI/动画、并发力到桌面/嵌入式？
├─ 是 → Flutter（Impeller 默认，体感流畅）
└─ 否 → 继续

你是 Kotlin/Android 背景，希望最强原生互操作与共享逻辑/UI？
├─ 是 → KMP + Compose Multiplatform（iOS 已稳定）
└─ 否 → 继续

你是 .NET/C# 背景，要兼顾 Windows 桌面？
├─ 是 → .NET MAUI（.NET 9）
└─ 否 → 继续

纯内容壳/工具类、用 Web 技术最快上线？
└─ 是 → Ionic/Capacitor 或 Tauri 2（注意移动端生态成熟度）

💡 一句话建议

多数个人开发者在 2025 年做 iOS+Android：

Flutter（要 UI/动画一致 & 性能）或 React Native + Expo（要最快交付 & OTA/云构建）基本就是"最佳解"。

其它方案请按你的语言栈或特定目标平台再权衡即可。

📚 参考链接

美区苹果礼品卡平台详细对比

Mon, 11 Aug 2025 00:00:00 GMT

美区苹果礼品卡平台详细对比

概述

本文档详细对比了三个主要的美区苹果礼品卡销售平台，包括平台特色、产品信息、价格策略、支付方式等全方位信息，帮助用户选择最适合的购买渠道。

🥇 最优选择：PC Game Supply

平台基本信息

网站：<a href="https://pcgamesupply.com" target="_blank" rel="noopener noreferrer">点击访问PC Game Supply</a>
成立时间：较早期的数字游戏和礼品卡销售平台
主营业务：数字游戏、礼品卡、游戏点数卡
服务范围：全球

产品信息

美区苹果礼品卡面值选项

小面值：$2, $3, $4, $5
常用面值：$10, $15, $20, $25, $30, $40
中等面值：$50, $60, $70
大面值：$100, $150, $200, $250, $300, $400, $500

其他区域产品

英国区：£2-£500
澳大利亚区：$2-$500 AUD
新西兰区：$5-$500 NZD

价格策略

核心优势：按面值销售，无任何溢价
价格示例：
- $25面值 = $25.00
- $100面值 = $100.00
- $500面值 = $500.00
汇率：以美元计价，其他货币按实时汇率转换

服务特色

✅ 即时发货：几秒内通过邮件发送
✅ 全球订单：支持国际客户
✅ 无过期时间：礼品卡永不过期
✅ 多区域支持：美国、英国、澳洲、新西兰等
✅ 24/7客服：全天候客户支持

支付方式

PayPal
Visa信用卡
Mastercard信用卡
其他主流支付方式

使用说明

选择面值和数量
选择支付方式完成付款
几秒内收到邮件中的礼品卡代码
在Apple Store中兑换使用

🥈 次优选择：CardDelivery

平台基本信息

网站：<a href="https://carddelivery.com" target="_blank" rel="noopener noreferrer">点击访问CardDelivery</a>
特色：专业的数字礼品卡销售平台
主营业务：各类数字礼品卡、游戏卡
服务范围：全球发货

产品信息

美区苹果礼品卡面值选项

小面值：$2, $5, $10, $15
常用面值：$25, $50
大面值：$100, $200, $500

产品特点

所有礼品卡均为美区版本
支持在美国Apple Store使用
兼容iTunes和App Store
可用于购买Apple产品、应用、音乐、电影等

价格策略

当前促销价格（原价 → 现价）

$2面值：$3.99 → $3.49（溢价74.5%）
$5面值：$8.99 → $7.99（溢价59.8%）
$10面值：$14.99 → $13.99（溢价39.9%）
$15面值：$19.99 → $18.99（溢价26.6%）
$25面值：$30.99 → $29.99（溢价19.96%）
$50面值：$58.97 → $57.99（溢价15.98%）
$100面值：$115.98 → $114.99（溢价14.99%）
$200面值：$220.99 → $219.99（溢价9.995%）
$500面值：$545.99 → $544.99（溢价8.998%）

价格规律

面值越大，溢价比例越低
大面值礼品卡相对更划算
定期有促销活动降低原价

优惠活动

新客户优惠券：NEW45，$1折扣
有效期：7月1日至9月30日
使用条件：首次购买客户

服务特色

✅ 快速发货：0-10分钟邮件发送
✅ 无过期时间：礼品卡永不过期
✅ 24/7客服：全天候客户支持
✅ 全球发货：支持国际客户
✅ 安全保障：正品保证

客户评价

评价数量：从27条到4218条不等
评价分布：
- $10面值：4218条评价
- $25面值：4004条评价
- $50面值：3762条评价
- $100面值：3251条评价
总体评价：客户反馈良好

支付方式

信用卡/借记卡
PayPal
其他数字支付方式

平台优势

价格透明，显示原价和现价对比
大面值礼品卡溢价相对较低
客户评价数量多，信誉度高
定期促销活动

🥉 较贵选择：MyGiftCardSupply

平台基本信息

网站：<a href="https://mygiftcardsupply.com" target="_blank" rel="noopener noreferrer">点击访问MyGiftCardSupply</a>
成立时间：2012年
运营历史：超过12年的行业经验
主营业务：数字礼品卡销售
服务范围：全球

产品信息

美区苹果礼品卡面值选项

常用面值：$15, $25, $50, $100, $200
产品名称：US Apple Gift Card（原iTunes Gift Card）
适用范围：App Store、Apple TV、Apple Music、iTunes、Apple Arcade等

产品特点

兼容所有Apple服务和产品
可用于订阅Apple Music、iCloud存储等
支持应用内购买
可用于购买Apple硬件产品

价格策略

价格示例（基于$200面值）

$200面值：$214.94（溢价$14.94，约7.5%）
节省提示：显示"You saved $10.75!"
奖励积分：购买可获得2,149奖励积分

价格特点

溢价相对较低（相比CardDelivery小面值）
提供积分奖励系统
价格相对稳定

服务特色

✅ 快速发货：1-3分钟邮件发送
✅ 运营历史：2012年开始运营
✅ 客户评价：10k+真实评价
✅ 正品保证：100%正品代码
✅ 无过期时间：礼品卡永不过期
✅ 安全加密：256位SSL加密

客户评价

总评价数：4681条评价
评价质量：真实客户反馈
平台信誉：行业内知名度较高

支付方式

信用卡/借记卡：Visa、Mastercard等
PayPal：支持PayPal账户支付
比特币：支持加密货币支付
其他方式：多种安全支付选项

奖励系统

积分奖励：每次购买获得积分
积分用途：可用于后续购买折扣
会员福利：长期客户享受额外优惠

平台优势

历史悠久，信誉度高
支付方式多样化
客户服务完善
积分奖励系统

使用指南

选择礼品卡面值
添加到购物车
选择支付方式
1-3分钟内收到邮件
在Apple设备上兑换代码

📊 详细对比分析

价格对比表

面值	PC Game Supply	CardDelivery	MyGiftCardSupply
$25	$25.00 (0%)	$29.99 (19.96%)	-
$50	$50.00 (0%)	$57.99 (15.98%)	-
$100	$100.00 (0%)	$114.99 (14.99%)	-
$200	$200.00 (0%)	$219.99 (9.995%)	$214.94 (7.5%)
$500	$500.00 (0%)	$544.99 (8.998%)	-

括号内为溢价百分比

平台特色对比

特色	PC Game Supply	CardDelivery	MyGiftCardSupply
成立时间	较早	-	2012年
发货时间	几秒内	0-10分钟	1-3分钟
价格优势	无溢价	大面值溢价低	中等溢价
面值选择	$2-$500	$2-$500	$15-$200
客户评价	-	27-4218条	4681条
支付方式	3种主流	多种	多种+比特币
特殊优惠	-	新客户$1优惠	积分奖励
安全保障	✅	✅	256位SSL

优势劣势分析

PC Game Supply

优势：

🏆 零溢价：按面值销售，最优惠
🌍 面值丰富：$2-$500全覆盖
⚡ 即时发货：几秒内到账
🌐 多区域：支持多国版本

劣势：

📊 评价较少：客户反馈信息有限
🔒 网站访问：偶尔有Cloudflare保护

CardDelivery

优势：

💰 大面值优惠：$200以上溢价较低
🎁 新客优惠：$1优惠券
📈 评价丰富：大量客户反馈
📊 价格透明：显示原价对比

劣势：

💸 小面值贵：小额礼品卡溢价高
📅 优惠有限：促销活动有时间限制

MyGiftCardSupply

优势：

🏛️ 历史悠久：12年运营经验
🔐 安全可靠：256位SSL加密
🎯 积分系统：奖励忠实客户
💳 支付多样：包括比特币

劣势：

💰 价格较高：存在一定溢价
📦 面值有限：选择相对较少

🎯 购买建议

根据需求选择

追求最低价格

首选：PC Game Supply

零溢价，价格最优
适合所有面值需求
即时发货，体验良好

购买大面值礼品卡

推荐顺序：

PC Game Supply（$200-$500）
MyGiftCardSupply（$200）
CardDelivery（$200-$500）

购买小面值礼品卡

强烈推荐：PC Game Supply

CardDelivery小面值溢价过高
PC Game Supply无溢价优势明显

注重平台信誉

推荐顺序：

MyGiftCardSupply（12年历史）
CardDelivery（评价丰富）
PC Game Supply（价格优势）

购买策略

新手用户

先在PC Game Supply购买小额测试
确认流程后购买所需面值
保存好邮件中的兑换码

经验用户

直接选择PC Game Supply
一次性购买所需总额
利用无溢价优势节省成本

谨慎用户

选择MyGiftCardSupply
利用其历史信誉和安全保障
接受适度溢价换取安心

⚠️ 注意事项

通用注意事项

区域限制：确保购买美区版本
账户匹配：需要美区Apple ID
保存代码：妥善保管兑换码
及时兑换：收到后尽快兑换

安全提醒

官方渠道：选择正规平台
避免二手：不要在个人卖家处购买
验证邮件：确认发件人身份
客服联系：遇到问题及时联系客服

兑换指南

打开App Store应用
点击右上角头像
选择"兑换礼品卡或代码"
输入收到的兑换码
确认兑换完成

📞 客服信息

PC Game Supply

网站：<a href="https://pcgamesupply.com" target="_blank" rel="noopener noreferrer">点击访问PC Game Supply</a>
支持：在线客服系统

CardDelivery

网站：<a href="https://carddelivery.com" target="_blank" rel="noopener noreferrer">点击访问CardDelivery</a>
支持：24/7/365客户支持
联系方式：网站在线客服

MyGiftCardSupply

网站：<a href="https://mygiftcardsupply.com" target="_blank" rel="noopener noreferrer">点击访问MyGiftCardSupply</a>
支持：客服支持系统
特色：256位SSL安全保障

🎯 苹果礼品卡应用与消费场景详解

礼品卡类型说明

Apple Gift Card（通用礼品卡）

适用范围：App Store、iTunes Store、Apple TV、Apple Books、Apple Music、Apple Arcade、iCloud+
硬件购买：可在 Apple Store 商店购买 iPhone、iPad、Mac、Apple Watch 等产品和配件
特点：一卡多用，覆盖苹果生态系统所有服务

App Store & iTunes 充值卡

适用范围：仅限数字内容和服务
不可用于：Apple Store 硬件产品购买
特点：专门用于数字内容消费

🛍️ 主要消费场景

1. 硬件产品购买

适用产品：

iPhone 系列：iPhone 15 Pro、iPhone 15、iPhone 14 等
iPad 系列：iPad Pro、iPad Air、iPad mini、iPad
Mac 系列：MacBook Pro、MacBook Air、iMac、Mac Studio、Mac Pro
Apple Watch 系列：Apple Watch Ultra、Apple Watch Series 9、Apple Watch SE
其他产品：AirPods、Apple TV、HomePod、Apple Vision Pro
配件产品：保护壳、充电器、Apple Pencil、Magic Keyboard 等

购买渠道：

Apple Store 在线商店（<a href="https://apple.com" target="_blank" rel="noopener noreferrer">apple.com</a>）
Apple Store App
Apple Store 零售店

2. 数字内容购买

App Store 应用商店

付费应用：生产力工具、专业软件、游戏等
应用内购买：游戏道具、高级功能、去广告版本
订阅服务：应用月费、年费订阅

iTunes Store 音乐电影

音乐购买：单曲、专辑、音乐视频
电影租赁/购买：最新电影、经典影片、4K 高清版本
电视节目：单集购买、整季购买

Apple Books 图书

电子书：小说、非虚构类、教科书、漫画
有声书：英文原版、中文版、多语言版本
杂志订阅：新闻、时尚、科技、生活类杂志

3. 订阅服务付费

Apple Music（音乐流媒体）

个人订阅：每月 $9.99（学生 $4.99）
家庭订阅：每月 $14.99（最多 6 人）
功能特色：超过 1 亿首歌曲、无损音质、空间音频

Apple TV+（视频流媒体）

订阅费用：每月 $6.99
原创内容：Apple 自制剧集、电影、纪录片
设备支持：iPhone、iPad、Mac、Apple TV、智能电视

Apple Arcade（游戏订阅）

订阅费用：每月 $4.99
游戏数量：200+ 款无广告精品游戏
家庭共享：最多 6 人同时使用

iCloud+（云存储服务）

50GB：每月 $0.99
200GB：每月 $2.99
2TB：每月 $9.99
附加功能：iCloud 私人中继、隐藏邮箱、HomeKit 安全视频

AI 智能助手订阅

ChatGPT Plus：每月 $20（通过 iOS App 订阅）
Claude Pro：每月 $20（通过 iOS App 订阅）
其他 AI 应用：Notion AI、Grammarly Premium、Jasper AI 等
优势：通过 App Store 订阅，支持苹果礼品卡付款，避免信用卡绑定

4. 游戏消费场景

手机游戏充值

热门游戏：王者荣耀、和平精英、原神、明日方舟等
充值内容：游戏币、钻石、月卡、礼包、皮肤
优势：安全可靠、到账迅速、支持退款

主机游戏

Apple Arcade 游戏：订阅制精品游戏
付费游戏：买断制独立游戏、大作移植版
DLC 内容：游戏扩展包、季票、额外关卡

5. 教育与学习

教育应用

学习软件：语言学习、编程教学、数学辅导
专业工具：设计软件、音乐制作、视频编辑
电子教材：大学教科书、专业参考书

学生优惠

Apple Music 学生版：半价优惠
教育商店：硬件产品教育折扣（需要教育邮箱验证）
Pro Apps 教育套装：Final Cut Pro、Logic Pro 等专业软件

6. 商务与生产力

办公应用

Microsoft Office：Word、Excel、PowerPoint 订阅
Adobe Creative Cloud：Photoshop、Illustrator 等创意软件
专业工具：项目管理、财务软件、设计工具

云服务

文件存储：iCloud Drive 扩容
备份服务：设备数据备份
同步功能：多设备文件同步

💡 使用技巧与建议

1. 最佳充值策略

大额优先：大面值礼品卡通常溢价更低
按需购买：根据实际消费需求选择面值
活动期间：关注平台促销活动，获得更好价格

2. 账户管理

余额查询：在"设置" > "媒体与购买项目"中查看余额
自动扣费：优先使用账户余额，不足时使用绑定的支付方式
家庭共享：礼品卡余额不能与家庭成员共享

3. 安全注意事项

正规渠道：选择官方认证的销售平台
及时兑换：收到兑换码后尽快添加到账户
保存记录：保留购买凭证和兑换记录

4. 常见问题解决

兑换失败：检查区域设置，确保使用对应区域的 Apple ID
余额不足：可以使用多张礼品卡叠加充值
退款政策：未使用的礼品卡余额通常不支持退款

🌟 特殊应用场景

1. 礼品赠送

生日礼物：为朋友家人购买喜欢的应用或内容
节日庆祝：春节、圣诞节等节日礼品
奖励机制：公司员工福利、学习奖励

2. 预算控制

消费限制：通过礼品卡控制数字消费预算
儿童账户：为孩子设置固定的应用购买额度
项目预算：为特定项目或用途预留资金

3. 跨区购买

美区独占：购买仅在美区上架的应用或内容
价格优势：利用汇率差异获得更优惠的价格
内容丰富：美区拥有最全面的数字内容库

4. AI 服务订阅优势

避免信用卡绑定：使用礼品卡余额订阅，无需绑定信用卡
隐私保护：减少个人金融信息暴露
预算控制：通过礼品卡金额控制 AI 服务支出
汇率稳定：避免汇率波动影响订阅费用

最后更新：2025年8月

本对比基于公开信息整理，价格可能有变动，购买前请访问官网确认最新信息。

支付宝转账码生成

Sun, 10 Aug 2025 00:00:00 GMT

支付宝转账码生成

重要更新

userId 已改为 outUserNo

获取 outUserNo

登录 https://b.alipay.com/page/home
查看源码搜索 outUserNo
复制16位数字（以2088开头）

完整示例

alipays://platformapi/startapp?appId=20000123&actionType=scan&biz_data={"s": "money","u": "2088712204441975","a": "0.01","m":"备注"}

参数说明

{
    "s": "money",           // 固定值
    "u": "2088xxxxxxxxxx",  // outUserNo
    "a": "0.01",           // 金额（字符串）
    "m": "备注"            // 可选
}

Python代码

基础版本

import json
import urllib.parse

def generate_alipay_url(out_user_no, amount, memo=""):
    biz_data = {
        "s": "money",
        "u": out_user_no,
        "a": str(amount),
        "m": memo
    }
    
    biz_data_json = json.dumps(biz_data, ensure_ascii=False)
    biz_data_encoded = urllib.parse.quote(biz_data_json)
    
    return f"alipays://platformapi/startapp?appId=20000123&actionType=scan&biz_data={biz_data_encoded}"

# 使用
url = generate_alipay_url("2088712204441975", "0.01", "测试")
print(url)

生成二维码

import qrcode

def create_qr(url, filename="qr.png"):
    qr = qrcode.QRCode(version=1, box_size=10, border=4)
    qr.add_data(url)
    qr.make(fit=True)
    
    img = qr.make_image(fill_color="black", back_color="white")
    img.save(filename)
    return filename

# 使用
url = generate_alipay_url("2088712204441975", "0.01", "测试")
qr_file = create_qr(url)
print(f"二维码已保存: {qr_file}")

完整示例

import json
import urllib.parse
import qrcode

def generate_alipay_qr(out_user_no, amount, memo="", filename="alipay.png"):
    # 生成URL
    biz_data = {"s": "money", "u": out_user_no, "a": str(amount), "m": memo}
    biz_data_encoded = urllib.parse.quote(json.dumps(biz_data, ensure_ascii=False))
    url = f"alipays://platformapi/startapp?appId=20000123&actionType=scan&biz_data={biz_data_encoded}"
    
    # 生成二维码
    qr = qrcode.QRCode(version=1, box_size=10, border=4)
    qr.add_data(url)
    qr.make(fit=True)
    qr.make_image(fill_color="black", back_color="white").save(filename)
    
    return url, filename

# 使用
url, file = generate_alipay_qr("2088712204441975", "0.01", "测试")
print(f"URL: {url}")
print(f"文件: {file}")

安装依赖

pip install qrcode[pil]

注意事项

outUserNo 格式：16位数字，以2088开头
金额必须是字符串格式
备注可选，避免特殊字符

APP加固服务排行

Thu, 03 Jul 2025 00:00:00 GMT

APP加固服务排行

概述

本报告综合分析了全球主要的免费APP加固服务，重点评估加固后的兼容性和加固强度，按照综合评分统一排名，为开发者提供全面的选择指南。

评估标准

兼容性评估指标（40%权重）

系统兼容性：支持的Android/iOS版本范围
架构兼容性：支持的CPU架构（arm、x86、64位等）
工具链兼容性：与开发工具的集成程度
第三方库兼容性：与常用库的兼容性
稳定性：崩溃率和运行稳定性

加固强度评估指标（60%权重）

代码保护：DEX/SO文件保护程度
反逆向能力：防反编译、反调试能力
运行时保护：RASP、反Hook等动态保护
数据保护：字符串加密、资源保护等
环境检测：Root/越狱、模拟器检测等

🏆 综合排名（按评分排序）

第1名：梆梆安全 - 9.0/10 ⭐⭐⭐⭐⭐

官网: <a href="https://dev.bangcle.com/" target="_blank" rel="noopener noreferrer">点击访问梆梆安全</a>
兼容性: 9/10 | 加固强度: 9/10
免费程度: 标准版完全免费
技术特点:
- V3.0代加固技术，金融级安全防护
- 支持Android 2.1-5.0，多架构支持
- 静态+动态双重保护
- 工具链集成良好
适用场景: 金融应用、企业应用、个人项目

第1名：AppSealing - 9.0/10 ⭐⭐⭐⭐⭐

官网: <a href="https://dev.appsealing.com/" target="_blank" rel="noopener noreferrer">点击访问AppSealing</a>
兼容性: 9/10 | 加固强度: 9/10
免费程度: 30天免费试用
技术特点:
- RASP运行时保护，实时威胁分析
- 支持Android和iOS，20亿+设备验证
- 企业级安全防护，零编码要求
- 对性能无影响
适用场景: 企业应用、跨平台应用、游戏应用

第3名：360加固 - 8.5/10 ⭐⭐⭐⭐

官网: <a href="https://jiagu.360.cn/" target="_blank" rel="noopener noreferrer">点击访问360加固</a>
兼容性: 9/10 | 加固强度: 8/10
免费程度: 基础版免费
技术特点:
- 基于360安全大脑，实时威胁分析
- 22亿终端验证，多项安全认证
- 多层防护体系
- 兼容性经过大规模验证
适用场景: 中小型应用、游戏应用

第3名：网易易盾 - 8.5/10 ⭐⭐⭐⭐

官网: <a href="https://dun.163.com/product/android-reinforce" target="_blank" rel="noopener noreferrer">点击访问网易易盾</a>
兼容性: 9/10 | 加固强度: 8/10
免费程度: 免费试用
技术特点:
- VMP虚拟机保护，多重加密技术
- 支持Android 4.0+，多CPU架构支持
- 性能优化好，风险感知功能
- 零压启动，高稳定性
适用场景: 中小型应用、性能敏感应用

第5名：ProGuard - 8.0/10 ⭐⭐⭐⭐

官网: <a href="https://www.guardsquare.com/proguard" target="_blank" rel="noopener noreferrer">点击访问ProGuard</a>
兼容性: 10/10 | 加固强度: 6/10
免费程度: 完全免费开源
技术特点:
- Android开发标配，完美工具链集成
- 基础代码混淆，代码收缩优化
- 极高稳定性，广泛使用验证
- 可减少应用大小高达90%
适用场景: 入门学习、基础保护需求

第6名：Open Obfuscator - 7.5/10 ⭐⭐⭐

官网: <a href="https://obfuscator.re/" target="_blank" rel="noopener noreferrer">点击访问Open Obfuscator</a>
兼容性: 7/10 | 加固强度: 8/10
免费程度: 完全免费开源
技术特点:
- 反Hook保护，高级代码混淆
- 支持Android和iOS（iOS有限）
- 基于LLVM技术，多层保护技术
- 用户友好的Python API
适用场景: 技术研究、高级开发者

第7名：Obfuscapk - 6.5/10 ⭐⭐⭐

GitHub: <a href="https://github.com/ClaudiuGeorgiu/Obfuscapk" target="_blank" rel="noopener noreferrer">点击访问Obfuscapk</a>
兼容性: 7/10 | 加固强度: 6/10
免费程度: 完全免费开源
技术特点:
- 多种混淆模块，自动化处理
- 仅支持Android，基于apktool
- 无需源代码，使用简单
- 社区维护项目
适用场景: 快速混淆、学习研究

第7名：Dotfuscator Community - 6.5/10 ⭐⭐⭐

官网: <a href="https://www.preemptive.com/" target="_blank" rel="noopener noreferrer">点击访问PreEmptive</a>
兼容性: 8/10 | 加固强度: 5/10
免费程度: 免费但功能有限
技术特点:
- 基础代码混淆，功能相对简单
- 仅支持.NET平台，Visual Studio集成
- 微软官方支持
- 适合入门使用
适用场景: .NET开发者、入门学习

📊 专项排名

🛡️ 兼容性排名

ProGuard (10/10) - Android开发标配，完美集成
梆梆安全 (9/10) - 广泛系统支持，稳定性好
360加固 (9/10) - 22亿终端验证
网易易盾 (9/10) - 性能优化，多架构支持
AppSealing (9/10) - 跨平台支持，性能无影响
Dotfuscator CE (8/10) - .NET平台完美集成
Open Obfuscator (7/10) - 需要技术配置
Obfuscapk (7/10) - 社区项目，稳定性一般

⚔️ 加固强度排名

梆梆安全 (9/10) - V3.0技术，金融级安全
AppSealing (9/10) - RASP保护，实时威胁分析
360加固 (8/10) - 安全大脑，威胁情报
网易易盾 (8/10) - VMP虚拟机，多重加密
Open Obfuscator (8/10) - 反Hook，高级混淆
ProGuard (6/10) - 基础混淆，代码优化
Obfuscapk (6/10) - 多模块混淆
Dotfuscator CE (5/10) - 基础.NET保护

💡 选择指南

🎯 按需求场景选择

企业级应用（高安全要求）

梆梆安全 - 金融级防护，完全免费
AppSealing - 企业级功能，国际化支持
360加固 - 大厂背景，稳定可靠

中小型应用（平衡需求）

360加固 - 免费可靠，易于使用
网易易盾 - 性能优化好
ProGuard - 简单稳定

个人项目（成本优先）

梆梆安全 - 完全免费，功能强大
ProGuard - 开源免费，入门首选
Open Obfuscator - 高级技术，免费开源

跨平台应用

AppSealing - Android+iOS全支持
梆梆安全 - 多平台解决方案
Open Obfuscator - 开源跨平台

🔧 按技术水平选择

初学者推荐

ProGuard - Android标配，文档丰富
梆梆安全 - 界面友好，操作简单
AppSealing - 零编码要求

中级开发者推荐

360加固 - 功能平衡，配置灵活
网易易盾 - 技术先进，性能优化

高级开发者推荐

Open Obfuscator - 开源可定制
Obfuscapk - 模块化架构

💰 按预算选择

完全免费

梆梆安全 - 标准版免费
ProGuard - 开源免费
Open Obfuscator - 开源免费
Obfuscapk - 开源免费

免费试用

AppSealing - 30天试用
网易易盾 - 提供试用
360加固 - 基础版免费

⚠️ 重要提醒

充分测试：选择任何服务后都要进行充分的兼容性和功能测试
需求匹配：根据应用类型、安全需求和技术能力选择
成本考虑：平衡免费功能和付费需求
长期支持：考虑服务商的持续更新和技术支持能力
合规要求：确保选择的服务符合相关法律法规要求

📈 总结建议

综合最佳：梆梆安全（免费且功能强大）
国际首选：AppSealing（企业级功能）
入门推荐：ProGuard（稳定可靠）
技术研究：Open Obfuscator（开源先进）
快速上手：360加固（易于使用）

选择APP加固服务时，建议优先考虑应用的实际安全需求，然后根据团队技术能力和预算限制做出最适合的选择。

搭建HTTP代理服务器教程

Tue, 01 Jul 2025 00:00:00 GMT

搭建HTTP代理服务器教程

本文档汇总了当前主流的开源代理服务器工具，特别关注那些提供图形用户界面（UI）的工具，以便用户更方便地进行配置和管理。

通用代理服务器工具

1. ProxyAdmin（推荐⭐⭐⭐⭐⭐）

项目地址: https://github.com/snail007/proxy_admin_free
Star数: 2.1k
开发语言: Go

ProxyAdmin是snail007/goproxy项目的强大Web控制台，提供了完整的图形化管理界面。

主要特性

全协议支持: HTTP、HTTPS、SOCKS5代理，内网穿透，WebSocket代理，TCP/UDP代理
Web管理界面: 提供直观的Web控制台，支持可视化配置
跨平台支持: Linux、Windows、MacOS全平台兼容
服务管理: 支持系统服务安装，开机自启动
多种代理模式: 支持HTTP(S)代理、SOCKS5代理、内网NAT、远程桌面等
日志查看: 内置日志查看功能，支持调试模式
API认证: 支持代理API认证功能

Centos自动安装

#!/bin/bash
if [ "$1" == "cn" ]; then
  MIRROR="https://mirrors.goproxyauth.com/"
fi
F="proxy-admin_linux-amd64.tar.gz"
set -e
if [ -e /tmp/proxy ]; then
    rm -rf /tmp/proxy
fi
mkdir /tmp/proxy
cd /tmp/proxy
echo -e "\n>>> downloading ... $F\n"

manual="https://snail.gitee.io/proxy/manual/zh/"
LAST_VERSION=$(curl --silent "${MIRROR}https://api.github.com/repos/snail007/proxy_admin_free/releases/latest" | grep -Po '"tag_name": *"\K.*?(?=")')
wget  -t 1 "${MIRROR}https://github.com/snail007/proxy_admin_free/releases/download/${LAST_VERSION}/$F"

echo -e ">>> installing ... \n"
#install proxy-admin
tar zxvf $F >/dev/null 2>&1
rm -rf $F
chmod +x proxy-admin
mkdir -p /usr/local/bin/
cp -f proxy-admin /usr/local/bin/
set +e
cd /usr/local/bin/
./proxy-admin uninstall >/dev/null 2>&1
cp -f /tmp/proxy/proxy-admin /usr/local/bin/
set -e
./proxy-admin install
./proxy-admin start
set +e
systemctl status proxyadmin &
set -e
sleep 2
echo  -e "\n>>> install done, thanks for using snail007/proxy-admin\n"
echo  -e ">>> install path /usr/local/bin/proxy-admin\n"
echo  -e ">>> configuration path /etc/gpa\n"
echo  -e ">>> uninstall just exec : /usr/local/bin/proxy-admin uninstall && rm /etc/gpa\n"
echo  -e ">>> please visit : http://YOUR_IP:32080/ username: root, password: 123\n"
echo  -e ">>> How to using? Please visit : $manual\n"

安装完成后访问

http://127.0.0.1:32080

默认账号: root, 密码: 123

#### Ubuntu手动安装
下载https://github.com/snail007/proxy_admin_free/releases/latest
把proxy-admin_linux-amd64.tar.gz安装包上传到服务器/home目录
在服务器/home目录执行下面的脚本
```bash
#!/usr/bin/env bash
# 安装并启动 proxy-admin（Ubuntu）
# 会自动解压、赋权、安装、启动，并在最后输出：账号root 密码123

set -e

TARBALL="proxy-admin_linux-amd64.tar.gz"
BIN="proxy-admin"

# 进入脚本所在目录，避免相对路径问题
cd "$(dirname "$0")"

log() { printf "[INFO] %s\n" "$*"; }
err() { printf "[ERROR] %s\n" "$*" >&2; }

# 确保压缩包存在
if [ ! -f "$TARBALL" ]; then
  err "未找到 $TARBALL，请将压缩包与本脚本放在同一目录。"
  exit 1
fi

log "解压 $TARBALL ..."
tar -xzf "$TARBALL"

# 确保可执行文件存在
if [ ! -f "$BIN" ]; then
  err "解压后未找到可执行文件 $BIN，请检查压缩包内容。"
  exit 1
fi

log "赋予执行权限 ..."
chmod +x "$BIN"

# 需要 root 权限：若当前不是 root，则尝试使用 sudo
if [ "$(id -u)" -ne 0 ]; then
  SUDO="sudo"
else
  SUDO=""
fi

log "执行安装 ..."
$SUDO "./$BIN" install

log "启动服务 ..."
$SUDO "./$BIN" start

log "完成。"
# 按你的要求在控制台输出
echo "账号root 密码123"

适用场景

需要图形化管理的代理服务器部署
企业级代理服务器管理
内网穿透和远程访问
多协议代理需求

2. Squid + Web管理界面

项目地址: http://www.squid-cache.org/
开发语言: C++

Squid是最知名的开源代理缓存服务器之一，虽然本身是命令行工具，但有多个第三方Web管理界面可选。

主要特性

高性能: 久经考验的高性能代理服务器
缓存功能: 强大的Web缓存能力
访问控制: 灵活的访问控制列表（ACL）
协议支持: HTTP、HTTPS、FTP等多协议支持
第三方UI: 可配合SquidGuard、Webmin等管理界面使用

Web管理界面选项

pfSense: 基于Squid的防火墙系统，提供完整Web界面
Webmin: 通用系统管理工具，包含Squid模块
SquidAnalyzer: 日志分析和Web界面工具

适用场景

大型企业代理服务器
需要缓存功能的场景
高并发访问环境
需要详细访问控制的环境

内网穿透代理工具

1. NPS（强烈推荐⭐⭐⭐⭐⭐）

项目地址: https://github.com/ehang-io/nps
Star数: 33k
开发语言: Go

NPS是一款轻量级、高性能、功能强大的内网穿透代理服务器，带有功能强大的Web管理端。

主要特性

全协议支持: TCP、UDP、HTTP(S)、SOCKS5、P2P等几乎所有流量转发
强大的Web管理界面: 直观的Web控制台，支持实时监控
多用户支持: 支持多用户管理和用户注册
流量统计: 实时带宽监控、流量统计、客户端版本显示
HTTPS集成: 支持将后端代理和Web服务转换为HTTPS
扩展功能: 缓存、压缩、加密、流量限制、带宽限制、端口复用
域名解析: 自定义headers、404页面配置、URL路由、泛解析
跨平台: Linux、Windows、MacOS、群晖等全平台支持

默认端口配置

80/443: 主机模式默认端口
8080: Web管理访问端口
8024: 网桥端口，用于服务端和客户端通信

安装使用

# 服务端安装
sudo ./nps install
sudo nps start

# 访问Web管理界面
http://服务器IP:8080
# 默认用户名: admin, 密码: 123

适用场景

内网服务外网访问
远程办公和调试
本地开发环境外网访问
SSH访问和远程桌面
微信支付宝接口调试

2. FRP（Fast Reverse Proxy）

项目地址: https://github.com/fatedier/frp
Star数: 85k+
开发语言: Go

FRP是一个专注于内网穿透的高性能反向代理应用，支持TCP、UDP、HTTP、HTTPS等多种协议。

主要特性

高性能: 基于Go语言开发，性能优异
多协议支持: TCP、UDP、HTTP、HTTPS、STCP、SUDP、XTCP
Web界面: 提供Dashboard面板进行管理
插件系统: 支持插件扩展功能
负载均衡: 支持多种负载均衡策略
健康检查: 内置健康检查机制
安全性: 支持TLS加密和身份验证

Web管理界面

FRP提供了Dashboard功能，可以通过Web界面查看连接状态、流量统计等信息。

适用场景

内网HTTP服务发布
远程SSH访问
游戏联机
文件传输服务

3. Ngrok开源版

项目地址: https://github.com/inconshreveable/ngrok
开发语言: Go

Ngrok的开源版本，提供内网穿透服务，可以自建服务器。

主要特性

HTTP/HTTPS隧道: 将本地HTTP服务暴露到公网
TCP隧道: 支持任意TCP服务的穿透
Web界面: 提供简单的Web检查界面
自定义域名: 支持自定义子域名
请求检查: 可以查看通过隧道的HTTP请求详情

适用场景

Web开发调试
Webhook接收
临时服务发布
API接口测试

代理客户端UI面板

1. UIF (UI for Freedom)（推荐⭐⭐⭐⭐）

项目地址: https://github.com/UIforFreedom/UIF
Star数: 843
开发语言: Vue.js + Go

UIF是一个具有代理功能和订阅管理的全平台开源UI面板，可以作为多种代理客户端的替代品。

主要特性

全平台支持: 支持Windows、MacOS、Linux等多个平台
现代化UI: 基于Vue.js开发的现代化用户界面
订阅管理: 支持代理订阅的导入和管理
多协议支持: 支持多种代理协议
替代性强: 可替代Clash For Windows、V2rayN、Shadowrocket等工具

可替代的工具

Clash For Windows
V2rayN
Shadowrocket
X-UI
Openclash
Homeproxy
Passwall

适用场景

个人代理客户端管理
订阅式代理服务使用
跨平台代理需求
需要现代化UI的用户

2. v2rayA（强烈推荐⭐⭐⭐⭐⭐）

项目地址: https://v2raya.org/
开发语言: Golang + Vue.js

v2rayA是一个易用而强大的跨平台V2Ray客户端，支持全局透明代理。

主要特性

Web UI界面: 基于Web的现代化管理界面
全局透明代理: Linux系统支持一键开启透明代理
跨平台: 支持Linux、Windows、MacOS
系统代理: Windows和MacOS支持一键配置系统代理
轻量级: 使用Golang和Vue.js编写，运行轻便
RoutingA: 专门的V2Ray路由规则管理
多出站负载均衡: 支持多种负载均衡和分流策略
DNS污染对抗: 多种策略应对DNS污染

核心功能

全局透明代理: 省去繁琐的配置操作
强大而轻便: 现代化的技术栈保证性能
外部访问: 对于无图形界面的操作系统友好

适用场景

Linux服务器代理配置
需要透明代理的环境
无图形界面系统的代理管理
V2Ray用户的图形化管理需求

3. Clash Verge（新一代UI）

项目地址: https://github.com/zzzgydi/clash-verge
开发语言: Rust + TypeScript

Clash Verge是基于Tauri开发的Clash GUI客户端，提供现代化的用户界面。

主要特性

现代化UI: 基于Tauri框架的现代化界面设计
高性能: Rust后端保证高性能运行
跨平台: 支持Windows、MacOS、Linux
Clash内核: 基于Clash内核，兼容性好
配置管理: 支持多配置文件管理
规则编辑: 内置规则编辑器
系统集成: 良好的系统集成体验

适用场景

Clash用户的现代化客户端需求
需要高性能GUI的用户
跨平台代理客户端需求

4. Qv2ray（已停止维护）

项目地址: https://github.com/Qv2ray/Qv2ray
开发语言: C++ (Qt)

虽然项目已停止维护，但Qv2ray曾经是非常优秀的跨平台V2Ray客户端。

主要特性

Qt界面: 基于Qt框架的原生界面
插件系统: 支持丰富的插件扩展
多内核支持: 支持V2Ray、Trojan等多种内核
跨平台: Windows、MacOS、Linux全平台支持

注意事项

项目已停止维护，不建议新用户使用
可以考虑其继承项目或替代方案

调试测试代理工具

1. mitmproxy（强烈推荐⭐⭐⭐⭐⭐）

项目地址: https://mitmproxy.org/
开发语言: Python

mitmproxy是一个免费开源的交互式HTTPS代理工具，专门用于调试、测试和安全分析。

主要特性

三种界面模式:
- 命令行界面: mitmproxy命令行交互模式
- Web界面: mitmweb提供类似Chrome DevTools的Web界面
- Python API: mitmdump支持脚本化操作
协议支持: HTTP/1、HTTP/2、HTTP/3、WebSockets、SSL/TLS等
实时拦截: 可以实时拦截、检查、修改和重放Web流量
消息解码: 支持HTML到Protobuf等多种消息格式的美化和解码
脚本扩展: 强大的Python API支持自定义脚本和插件

Web界面特性

类似Chrome DevTools的用户体验
支持请求拦截和重放
实时流量监控和分析
支持任何应用程序或设备的流量分析

Python API示例

from mitmproxy import http

def request(flow: http.HTTPFlow):
    # 重定向到不同主机
    if flow.request.pretty_host == "example.com":
        flow.request.host = "mitmproxy.org"
    # 从代理直接响应
    elif flow.request.path.endswith("/brew"):
        flow.response = http.Response.make(
            418, b"I'm a teapot",
        )

适用场景

Web应用安全测试
API接口调试
移动应用流量分析
网络协议研究
自动化测试脚本开发

2. ZanProxy

项目地址: https://github.com/youzan/zan-proxy
开发语言: Node.js

ZanProxy是有赞开源的HTTP代理服务器，专门用于Web开发调试。

主要特性

Web管理界面: 提供直观的Web控制台
请求修改: 可以修改请求地址和模拟响应数据
DNS解析: 自定义DNS解析功能
请求监控: 实时监控HTTP请求
规则配置: 灵活的代理规则配置
跨平台: 基于Node.js，支持多平台

适用场景

前端开发调试
接口数据模拟
本地开发环境配置
移动端H5页面调试

3. Charles Proxy开源替代

虽然Charles Proxy本身不是开源的，但有一些开源替代方案：

Proxyman（部分开源）

项目地址: https://proxyman.io/
特性: 现代化的macOS/iOS代理调试工具
界面: 原生macOS应用界面

HTTP Toolkit

项目地址: https://httptoolkit.tech/
特性: 现代化的HTTP调试工具
开源: 部分组件开源
界面: 基于Electron的跨平台界面

反向代理和负载均衡器

1. Nginx Proxy Manager（强烈推荐⭐⭐⭐⭐⭐）

项目地址: https://nginxproxymanager.com/
Star数: 22k+
开发语言: JavaScript + Nginx

Nginx Proxy Manager是一个基于Nginx的反向代理管理系统，具有漂亮干净的Web UI界面。

主要特性

美观的Web界面: 现代化的管理界面，操作简单直观
SSL证书管理: 自动获取和管理Let's Encrypt SSL证书
反向代理: 基于Nginx的高性能反向代理
访问控制: 支持访问列表和用户认证
Docker支持: 提供Docker镜像，部署简单
多域名管理: 支持管理多个域名和子域名
日志查看: 内置访问日志和错误日志查看

安装使用

# Docker Compose 部署
version: '3'
services:
  app:
    image: 'jc21/nginx-proxy-manager:latest'
    restart: unless-stopped
    ports:
      - '80:80'
      - '81:81'
      - '443:443'
    volumes:
      - ./data:/data
      - ./letsencrypt:/etc/letsencrypt

适用场景

家庭服务器反向代理
小型企业Web服务管理
SSL证书自动化管理
多服务统一入口

2. Traefik（推荐⭐⭐⭐⭐）

项目地址: https://traefik.io/
Star数: 50k+
开发语言: Go

Traefik是一个现代化的反向代理和负载均衡器，专为微服务架构设计。

主要特性

自动服务发现: 支持Docker、Kubernetes等容器编排平台
Web Dashboard: 提供实时监控和管理界面
自动SSL: 自动获取和更新SSL证书
负载均衡: 支持多种负载均衡算法
中间件: 丰富的中间件支持（认证、限流、压缩等）
API网关: 可作为API网关使用
云原生: 专为云原生环境设计

Web界面特性

实时服务状态监控
路由规则可视化
健康检查状态显示
中间件配置管理

适用场景

微服务架构
容器化部署环境
Kubernetes集群
云原生应用

3. HAProxy + HAProxy Stats

项目地址: http://www.haproxy.org/
开发语言: C

HAProxy是高性能的负载均衡器和代理服务器，虽然主要是命令行工具，但提供了Web统计界面。

主要特性

高性能: 业界知名的高性能负载均衡器
统计界面: 内置Web统计界面，可查看实时状态
健康检查: 强大的健康检查机制
负载均衡: 支持多种负载均衡算法
SSL终端: 支持SSL/TLS终端处理
访问控制: 灵活的访问控制列表

Web界面功能

服务器状态监控
连接数统计
响应时间监控
错误率统计
手动启用/禁用服务器

第三方管理界面

HAProxy Data Plane API: 官方API接口
HAProxy Exporter: Prometheus监控集成
各种第三方Dashboard: 基于API开发的管理界面

适用场景

高并发Web服务
企业级负载均衡
需要极致性能的场景
传统架构应用

4. Envoy Proxy

项目地址: https://www.envoyproxy.io/
Star数: 24k+
开发语言: C++

Envoy是一个开源的边缘和服务代理，专为云原生应用设计。

主要特性

管理界面: 提供管理API和统计界面
服务网格: 常用于Istio等服务网格中
高性能: C++开发，性能优异
可观测性: 丰富的监控和追踪功能
动态配置: 支持动态配置更新
扩展性: 强大的过滤器扩展机制

适用场景

服务网格架构
云原生应用
微服务通信
边缘代理服务

工具选择建议

根据使用场景选择

1. 个人用户代理需求

推荐工具: v2rayA、UIF、Clash Verge

v2rayA: 适合Linux用户，Web界面简洁，支持透明代理
UIF: 跨平台支持好，现代化UI，订阅管理方便
Clash Verge: 性能优异，界面美观，Clash生态兼容

2. 内网穿透需求

推荐工具: NPS、FRP

NPS: 功能最全面，Web管理界面强大，适合复杂场景
FRP: 性能优异，配置简单，适合简单穿透需求

3. 企业级代理服务器

推荐工具: ProxyAdmin、Nginx Proxy Manager、HAProxy

ProxyAdmin: 功能全面，管理界面完善，部署简单
Nginx Proxy Manager: 适合Web服务反向代理，SSL管理方便
HAProxy: 高性能需求，企业级稳定性要求

4. 开发调试需求

推荐工具: mitmproxy、ZanProxy

mitmproxy: 功能最强大，支持脚本扩展，专业调试工具
ZanProxy: 前端开发友好，界面简洁，上手容易

5. 微服务和云原生

推荐工具: Traefik、Envoy Proxy

Traefik: 自动服务发现，容器友好，配置简单
Envoy: 服务网格首选，性能优异，扩展性强

按技术栈选择

Go语言生态

NPS: 内网穿透
FRP: 内网穿透
Traefik: 反向代理
ProxyAdmin: 通用代理

Web技术栈

v2rayA: Golang + Vue.js
UIF: Vue.js + Go
Nginx Proxy Manager: JavaScript + Nginx

原生应用

Clash Verge: Rust + TypeScript (Tauri)
mitmproxy: Python

部署复杂度对比

简单部署（一键安装）

ProxyAdmin: 一键脚本安装
NPS: 简单命令安装
v2rayA: 包管理器安装

中等复杂度（需要配置）

Nginx Proxy Manager: Docker部署
FRP: 配置文件部署
mitmproxy: pip安装

复杂部署（需要深入配置）

HAProxy: 需要详细配置文件
Traefik: 需要了解容器编排
Envoy: 需要深入理解配置格式

性能对比

高性能（适合生产环境）

HAProxy: 业界标杆性能
Envoy: 云原生高性能
Nginx: 久经考验

中等性能（适合中小型应用）

NPS: Go语言性能优异
FRP: 轻量级高性能
Traefik: 现代化架构

功能优先（性能够用）

ProxyAdmin: 功能全面
mitmproxy: 调试功能强大
v2rayA: 易用性优先

总结

开源代理服务器工具生态非常丰富，每个工具都有其特定的优势和适用场景。选择工具时应该考虑以下因素：

使用场景: 个人使用、企业部署、开发调试等
技术要求: 性能需求、并发量、稳定性要求
管理需求: 是否需要Web界面、多用户管理等
部署环境: 操作系统、容器化、云环境等
维护成本: 配置复杂度、学习成本、社区支持

最终建议:

新手用户: 优先选择v2rayA、UIF、ProxyAdmin等易用工具
企业用户: 考虑NPS、Nginx Proxy Manager、HAProxy等成熟方案
开发者: mitmproxy、ZanProxy等调试工具必不可少
运维人员: Traefik、Envoy等现代化工具值得学习

希望这份汇总能帮助您找到最适合的开源代理服务器工具！

最后更新时间: 2025年7月
如有更新或补充，欢迎提出建议

springboot零停机发布架构

Fri, 27 Jun 2025 00:00:00 GMT

springboot零停机发布架构

<a href="https://cdn.twenhub.com/halo/2025/06/alb_apisix_jiagou-yudtiu.html" target="_blank" rel="noopener noreferrer">点击查看架构</a>

springboot零停机发布方案

Wed, 25 Jun 2025 00:00:00 GMT

springboot零停机发布方案

环境：阿里云云效 + APISIX + Spring Boot（双节点）

适用场景：单台 ECS（IP: 1.2.3.4）上以 /home/backend/demo-node1 与 /home/backend/demo-node2 目录运行的两个 Spring Boot 服务实例，通过 APISIX 网关做流量灰度与切换，并使用云效流水线实现一键无感发布 / 回滚。

1. 系统架构

                      ┌───────────────┐
                      │  开发 / CI/CD │
                      └───────┬───────┘
                              │ (云效 Pipeline)
                      ┌───────▼───────┐
                      │   云效制品库   │
                      └───────┬───────┘
                              │
            ┌─────────────────▼──────────────────┐
            │ ECS 1.2.3.4 (CentOS 7)       │
            │                                     │
            │  ┌──────────┐       ┌──────────┐    │
            │  │ demo‑node1│       │ demo‑node2│    │
            │  │ :8081    │       │ :8082    │    │
            │  └──────────┘       └──────────┘    │
            │         ▲                  ▲        │
            │         │ (health check)   │        │
            │  ┌──────┴──────────────────┴─────┐  │
            │  │      Apache APISIX (9000)     │  │
            │  └───────────────────────────────┘  │
            └─────────────────────────────────────┘

2. 主机与端口

角色	IP	端口	路径
APISIX 网关	1.2.3.4	9000 / 9180 (dashboard)	/usr/local/apisix
Spring Boot node1	1.2.3.4	8081	/home/backend/demo-node1
Spring Boot node2	1.2.3.4	8082	/home/backend/demo-node2

3. 部署流水线核心步骤（云效）

构建配置

节点1部署配置

节点2部署配置

4. 完整配置与脚本

下面各文件已按原始目录结构列出，内容未做任何改动：

安装Docker

<a href="https://www.twenhub.com/archives/linuxjiao-ben-yi-jian-zi-dong-an-zhuang-docker" target="_blank" rel="noopener noreferrer">点击查看教程</a>

config.yaml

deployment:
  admin:
    admin_key_required: true            # 建议开发后期再打开
    admin_key:
      - name: admin
        role: admin
        key: CKjcGDoqxcJfpIXWigyqjdUSACvwzEJy
    allow_admin:
      - 127.0.0.0/24
      - 172.17.0.0/16                   # Docker 默认桥接
      - 0.0.0.0/0                    # 仅本地演示可全开

apisix-manager.sh

#!/bin/bash

# APISIX 80端口管理脚本

CONTAINER_NAME="apisix-main"
NETWORK_NAME="apisix-quickstart-net"
ETCD_HOST="http://etcd-quickstart:2379"
APISIX_IMAGE="apache/apisix:3.12.0-debian"

# 停止APISIX
stop() {
    echo "停止所有APISIX相关容器..."
    
    # 停止所有可能的APISIX容器名称
    for name in apisix-main apisix-no-auth apisix-quickstart apisix-quickstart-80; do
        if docker ps -a --format "{{.Names}}" | grep -q "^${name}$"; then
            echo "停止容器: $name"
            docker stop $name 2>/dev/null
            docker rm $name 2>/dev/null
        fi
    done
    
    echo "所有APISIX容器已停止"
}

# 启动APISIX (80端口)
start() {
    echo "启动APISIX容器 (80端口)..."
    
    # 先检查容器是否已存在
    if docker ps -a --format "{{.Names}}" | grep -q "^${CONTAINER_NAME}$"; then
        echo "容器 $CONTAINER_NAME 已存在，先删除..."
        docker stop $CONTAINER_NAME 2>/dev/null
        docker rm $CONTAINER_NAME 2>/dev/null
    fi
    
    # 启动新容器
      CONTAINER_ID=$(docker run -d --name $CONTAINER_NAME \
      --network $NETWORK_NAME \
      -v $(pwd)/config.yaml:/usr/local/apisix/conf/config.yaml:ro \
      -p 80:9080 \
      -p 443:9443 \
      -p 9180:9180 \
      -e APISIX_DEPLOYMENT_ETCD_HOST="[\"$ETCD_HOST\"]" \
      $APISIX_IMAGE 2>&1)

    
    if [ $? -eq 0 ]; then
        echo "容器启动成功，ID: ${CONTAINER_ID:0:12}"
        echo "等待服务启动..."
        sleep 5
        
        # 检查容器是否真正运行
        if docker ps --format "{{.Names}}" | grep -q "^${CONTAINER_NAME}$"; then
            echo "APISIX已成功启动在80端口"
        else
            echo "容器启动失败，查看日志:"
            docker logs $CONTAINER_NAME 2>/dev/null | tail -10
        fi
    else
        echo "容器启动失败: $CONTAINER_ID"
    fi
}

# 重启
restart() {
    stop
    sleep 2
    start
}

# 状态检查
status() {
    if docker ps --format "{{.Names}}" | grep -q "^${CONTAINER_NAME}$"; then
        echo "APISIX运行中"
        echo "端口映射:"
        docker port $CONTAINER_NAME
    else
        echo "APISIX未运行"
    fi
}

case "$1" in
    start)
        start
        ;;
    stop)
        stop
        ;;
    restart)
        restart
        ;;
    status)
        status
        ;;
    *)
        echo "用法: $0 {start|stop|restart|status}"
        exit 1
        ;;
esac

apisix-dashboard-manager.sh

#!/bin/bash

# APISIX Dashboard Docker 管理脚本
# 支持安装、启动、停止、卸载功能

# 颜色定义
RED='\033[0;31m'
GREEN='\033[0;32m'
YELLOW='\033[1;33m'
BLUE='\033[0;34m'
NC='\033[0m' # No Color

# 配置变量
DOCKER_IMAGE="apache/apisix-dashboard"
CONTAINER_NAME="apisix-dashboard"
DASHBOARD_PORT="9000"
CONFIG_DIR="/tmp/apisix-dashboard-config"
CONFIG_FILE="$CONFIG_DIR/conf.yaml"

# 日志函数
log_info() {
    echo -e "${BLUE}[INFO]${NC} $1"
}

log_success() {
    echo -e "${GREEN}[SUCCESS]${NC} $1"
}

log_warning() {
    echo -e "${YELLOW}[WARNING]${NC} $1"
}

log_error() {
    echo -e "${RED}[ERROR]${NC} $1"
}

# 检查Docker是否安装
check_docker() {
    if ! command -v docker &> /dev/null; then
        log_error "Docker 未安装，请先安装 Docker"
        exit 1
    fi
    
    if ! docker info &> /dev/null; then
        log_error "Docker 服务未运行，请启动 Docker 服务"
        exit 1
    fi
}

# 检查etcd是否运行
check_etcd() {
    log_info "检查 etcd 服务状态..."
    
    # 检查APISIX快速安装的etcd容器
    if docker ps --format "{{.Names}}" | grep -q "etcd-quickstart"; then
        log_success "发现 APISIX 快速安装的 etcd 容器正在运行"
        return 0
    fi
    
    # 检查本地etcd服务
    if curl -s http://127.0.0.1:2379/health &> /dev/null; then
        log_success "etcd 服务运行正常"
        return 0
    fi
    
    log_warning "未发现运行中的 etcd 服务"
    log_warning "请确保以下任一条件满足："
    log_warning "1. APISIX 快速安装脚本已运行（etcd-quickstart 容器存在）"
    log_warning "2. 本地 etcd 服务正在 127.0.0.1:2379 运行"
    
    read -p "是否继续安装？(y/N): " -n 1 -r
    echo
    if [[ ! $REPLY =~ ^[Yy]$ ]]; then
        exit 1
    fi
}

# 生成配置文件
generate_config() {
    log_info "生成配置文件..."
    mkdir -p "$CONFIG_DIR"
    
    # 检测etcd连接地址
    local etcd_endpoint="http://127.0.0.1:2379"
    local admin_api_endpoint="http://127.0.0.1:9180"
    
    # 如果发现APISIX快速安装的etcd容器，使用容器网络连接
    if docker ps --format "{{.Names}}" | grep -q "etcd-quickstart"; then
        log_info "检测到 APISIX 快速安装环境，配置容器网络连接"
        etcd_endpoint="http://etcd-quickstart:2379"
        admin_api_endpoint="http://apisix-quickstart:9180"
    fi
    
    cat > "$CONFIG_FILE" << EOF
conf:
  listen:
    host: 0.0.0.0
    port: 9000
  etcd:
    endpoints:
      - $etcd_endpoint
  log:
    error_log:
      level: warn
      file_path: logs/error.log
    access_log:
      file_path: logs/access.log
authentication:
  secret: secret
  expire_time: 3600
  users:
    - username: admin
      password: admin
plugins:
  - api-breaker
  - authz-keycloak
  - basic-auth
  - batch-requests
  - consumer-restriction
  - cors
  - echo
  - fault-injection
  - grpc-transcode
  - hmac-auth
  - http-logger
  - ip-restriction
  - jwt-auth
  - kafka-logger
  - key-auth
  - limit-conn
  - limit-count
  - limit-req
  - node-status
  - openid-connect
  - prometheus
  - proxy-cache
  - proxy-mirror
  - proxy-rewrite
  - redirect
  - referer-restriction
  - request-id
  - request-validation
  - response-rewrite
  - serverless-post-function
  - serverless-pre-function
  - sls-logger
  - syslog
  - tcp-logger
  - udp-logger
  - uri-blocker
  - wolf-rbac
  - zipkin
  - server-info
  - traffic-split
apisix:
  base_url: $admin_api_endpoint
  api_key: ""
EOF
    
    log_success "配置文件已生成: $CONFIG_FILE"
    log_info "etcd 连接地址: $etcd_endpoint"
    log_info "Admin API 地址: $admin_api_endpoint"
}

# 检查容器状态
check_container_status() {
    if docker ps -q -f name="$CONTAINER_NAME" | grep -q .; then
        echo "running"
    elif docker ps -aq -f name="$CONTAINER_NAME" | grep -q .; then
        echo "stopped"
    else
        echo "not_exists"
    fi
}

# 安装Dashboard
install_dashboard() {
    log_info "开始安装 APISIX Dashboard..."
    
    # 检查是否已经安装
    status=$(check_container_status)
    if [ "$status" != "not_exists" ]; then
        log_warning "Dashboard 容器已存在"
        read -p "是否重新安装？这将删除现有容器 (y/N): " -n 1 -r
        echo
        if [[ $REPLY =~ ^[Yy]$ ]]; then
            uninstall_dashboard
        else
            return 0
        fi
    fi
    
    # 检查依赖
    check_docker
    check_etcd
    
    # 生成配置文件
    generate_config
    
    # 拉取镜像
    log_info "拉取 Docker 镜像..."
    if ! docker pull "$DOCKER_IMAGE"; then
        log_error "拉取镜像失败"
        exit 1
    fi
    
    # 创建并启动容器
    log_info "创建并启动容器..."
    
    # 检测是否需要连接到APISIX网络
    local network_option=""
    if docker ps --format "{{.Names}}" | grep -q "etcd-quickstart"; then
        # 检查apisix-quickstart-net网络是否存在
        if docker network ls --format "{{.Name}}" | grep -q "apisix-quickstart-net"; then
            log_info "连接到 APISIX 快速安装网络"
            network_option="--network apisix-quickstart-net"
        fi
    fi
    
    if docker run -d \
        --name "$CONTAINER_NAME" \
        $network_option \
        -p "$DASHBOARD_PORT:9000" \
        -v "$CONFIG_FILE:/usr/local/apisix-dashboard/conf/conf.yaml" \
        "$DOCKER_IMAGE"; then
        
        log_success "APISIX Dashboard 安装成功！"
        log_info "访问地址: http://127.0.0.1:$DASHBOARD_PORT"
        log_info "默认用户名: admin"
        log_info "默认密码: admin"
    else
        log_error "容器启动失败"
        exit 1
    fi
}

# 启动Dashboard
start_dashboard() {
    log_info "启动 APISIX Dashboard..."
    
    status=$(check_container_status)
    case $status in
        "running")
            log_warning "Dashboard 已经在运行中"
            ;;
        "stopped")
            if docker start "$CONTAINER_NAME"; then
                log_success "Dashboard 启动成功"
                log_info "访问地址: http://127.0.0.1:$DASHBOARD_PORT"
            else
                log_error "Dashboard 启动失败"
                exit 1
            fi
            ;;
        "not_exists")
            log_error "Dashboard 容器不存在，请先安装"
            exit 1
            ;;
    esac
}

# 停止Dashboard
stop_dashboard() {
    log_info "停止 APISIX Dashboard..."
    
    status=$(check_container_status)
    case $status in
        "running")
            if docker stop "$CONTAINER_NAME"; then
                log_success "Dashboard 已停止"
            else
                log_error "停止 Dashboard 失败"
                exit 1
            fi
            ;;
        "stopped")
            log_warning "Dashboard 已经停止"
            ;;
        "not_exists")
            log_error "Dashboard 容器不存在"
            exit 1
            ;;
    esac
}

# 查看状态
show_status() {
    log_info "检查 APISIX Dashboard 状态..."
    
    status=$(check_container_status)
    case $status in
        "running")
            log_success "Dashboard 正在运行"
            echo
            echo "容器信息:"
            docker ps --filter name="$CONTAINER_NAME" --format "table {{.Names}}\t{{.Status}}\t{{.Ports}}"
            echo
            log_info "访问地址: http://127.0.0.1:$DASHBOARD_PORT"
            ;;
        "stopped")
            log_warning "Dashboard 已停止"
            ;;
        "not_exists")
            log_error "Dashboard 容器不存在，请先安装"
            ;;
    esac
}

# 查看日志
show_logs() {
    log_info "显示 APISIX Dashboard 日志..."
    
    status=$(check_container_status)
    if [ "$status" = "not_exists" ]; then
        log_error "Dashboard 容器不存在"
        exit 1
    fi
    
    echo "最近50行日志:"
    docker logs --tail 50 "$CONTAINER_NAME"
    echo
    read -p "按回车键继续..."
}

# 卸载Dashboard
uninstall_dashboard() {
    log_info "卸载 APISIX Dashboard..."
    
    status=$(check_container_status)
    if [ "$status" = "not_exists" ]; then
        log_warning "Dashboard 容器不存在"
        return 0
    fi
    
    read -p "确认卸载 APISIX Dashboard？这将删除容器和配置文件 (y/N): " -n 1 -r
    echo
    if [[ ! $REPLY =~ ^[Yy]$ ]]; then
        log_info "取消卸载"
        return 0
    fi
    
    # 停止并删除容器
    if [ "$status" = "running" ]; then
        docker stop "$CONTAINER_NAME"
    fi
    
    docker rm "$CONTAINER_NAME"
    
    # 删除配置文件
    if [ -d "$CONFIG_DIR" ]; then
        rm -rf "$CONFIG_DIR"
    fi
    
    log_success "APISIX Dashboard 已卸载"
}

# 显示主菜单
show_menu() {
    clear
    echo -e "${BLUE}================================${NC}"
    echo -e "${BLUE}   APISIX Dashboard 管理工具${NC}"
    echo -e "${BLUE}================================${NC}"
    echo
    echo "1. 安装 Dashboard"
    echo "2. 启动 Dashboard"
    echo "3. 停止 Dashboard"
    echo "4. 查看状态"
    echo "5. 查看日志"
    echo "6. 卸载 Dashboard"
    echo "7. 退出"
    echo
}

# 主函数
main() {
    while true; do
        show_menu
        read -p "请选择操作 [1-7]: " choice
        echo
        
        case $choice in
            1)
                install_dashboard
                ;;
            2)
                start_dashboard
                ;;
            3)
                stop_dashboard
                ;;
            4)
                show_status
                ;;
            5)
                show_logs
                ;;
            6)
                uninstall_dashboard
                ;;
            7)
                log_info "退出程序"
                exit 0
                ;;
            *)
                log_error "无效选择，请输入 1-7"
                ;;
        esac
        
        echo
        read -p "按回车键继续..."
    done
}

# 检查是否以root权限运行
if [ "$EUID" -eq 0 ]; then
    log_warning "建议不要以 root 权限运行此脚本"
fi

# 启动主程序
main

apisix_config_manager.sh

#!/bin/bash

# APISIX 配置管理脚本
# 支持一键导出和导入所有配置
# 作者: Manus AI
# 版本: 1.0

# 颜色定义
RED='\033[0;31m'
GREEN='\033[0;32m'
YELLOW='\033[1;33m'
BLUE='\033[0;34m'
NC='\033[0m' # No Color

# 默认配置
DEFAULT_APISIX_HOST="1.2.3.4"
DEFAULT_APISIX_PORT="9180"
DEFAULT_API_KEY="CKjcGDoqxcJfpIXWigyqjdUSACvwzEJy"

# 配置文件列表
CONFIG_TYPES=(
    "routes"
    "upstreams"
    "services"
    "consumers"
    "ssls"
    "global_rules"
    "plugin_configs"
    "stream_routes"
    "plugins/list"
)

# 配置文件名映射
declare -A CONFIG_FILES=(
    ["routes"]="apisix_routes.json"
    ["upstreams"]="apisix_upstreams.json"
    ["services"]="apisix_services.json"
    ["consumers"]="apisix_consumers.json"
    ["ssls"]="apisix_ssls.json"
    ["global_rules"]="apisix_global_rules.json"
    ["plugin_configs"]="apisix_plugin_configs.json"
    ["stream_routes"]="apisix_stream_routes.json"
    ["plugins/list"]="apisix_plugins.json"
)

# 显示标题
show_header() {
    echo -e "${BLUE}================================================${NC}"
    echo -e "${BLUE}           APISIX 配置管理工具${NC}"
    echo -e "${BLUE}================================================${NC}"
    echo ""
}

# 显示菜单
show_menu() {
    echo -e "${YELLOW}请选择操作:${NC}"
    echo -e "${GREEN}1.${NC} 一键导出所有配置"
    echo -e "${GREEN}2.${NC} 一键导入所有配置"
    echo -e "${GREEN}3.${NC} 退出"
    echo ""
}

# 去除字符串两边的空格
trim_spaces() {
    local var="$1"
    # 去除前导空格
    var="${var#"${var%%[![:space:]]*}"}"
    # 去除尾随空格
    var="${var%"${var##*[![:space:]]}"}"
    echo "$var"
}

# 检查 APISIX 连接
check_apisix_connection() {
    local host="$1"
    local port="$2"
    local api_key="$3"
    
    echo -e "${YELLOW}正在检查 APISIX 连接...${NC}"
    
    local response=$(curl -s -w "%{http_code}" -H "X-API-KEY: $api_key" \
        "http://$host:$port/apisix/admin/routes" -o /dev/null)
    
    if [ "$response" = "200" ]; then
        echo -e "${GREEN}✓ APISIX 连接成功${NC}"
        return 0
    else
        echo -e "${RED}✗ APISIX 连接失败 (HTTP状态码: $response)${NC}"
        echo -e "${RED}请检查服务器地址、端口和API密钥${NC}"
        return 1
    fi
}

# 获取用户输入的配置信息
get_apisix_config() {
    echo -e "${YELLOW}请输入 APISIX 配置信息:${NC}"
    
    read -p "APISIX 服务器地址 [默认: $DEFAULT_APISIX_HOST]: " APISIX_HOST
    APISIX_HOST=$(trim_spaces "${APISIX_HOST:-$DEFAULT_APISIX_HOST}")
    
    read -p "APISIX 端口 [默认: $DEFAULT_APISIX_PORT]: " APISIX_PORT
    APISIX_PORT=$(trim_spaces "${APISIX_PORT:-$DEFAULT_APISIX_PORT}")
    
    read -p "API 密钥 [默认: $DEFAULT_API_KEY]: " API_KEY
    API_KEY=$(trim_spaces "${API_KEY:-$DEFAULT_API_KEY}")
    
    echo ""
}

# 导出配置
export_configs() {
    echo -e "${BLUE}开始导出 APISIX 配置...${NC}"
    echo ""
    
    # 获取配置信息
    get_apisix_config
    
    # 检查连接
    if ! check_apisix_connection "$APISIX_HOST" "$APISIX_PORT" "$API_KEY"; then
        return 1
    fi
    
    # 获取导出目录
    read -p "请输入导出目录路径 [默认: ./apisix_export]: " EXPORT_DIR
    EXPORT_DIR=$(trim_spaces "${EXPORT_DIR:-./apisix_export}")
    
    # 创建导出目录
    if [ ! -d "$EXPORT_DIR" ]; then
        mkdir -p "$EXPORT_DIR"
        echo -e "${GREEN}✓ 创建导出目录: $EXPORT_DIR${NC}"
    fi
    
    echo ""
    echo -e "${YELLOW}正在导出配置文件...${NC}"
    
    # 导出各类配置
    local success_count=0
    local total_count=${#CONFIG_TYPES[@]}
    
    for config_type in "${CONFIG_TYPES[@]}"; do
        local file_name="${CONFIG_FILES[$config_type]}"
        local output_file="$EXPORT_DIR/$file_name"
        
        echo -n "导出 $config_type ... "
        
        local response=$(curl -s -H "X-API-KEY: $API_KEY" \
            "http://$APISIX_HOST:$APISIX_PORT/apisix/admin/$config_type")
        
        if [ $? -eq 0 ] && [ -n "$response" ]; then
            echo "$response" | python3 -m json.tool > "$output_file" 2>/dev/null
            if [ $? -eq 0 ]; then
                echo -e "${GREEN}✓${NC}"
                ((success_count++))
            else
                echo -e "${RED}✗ (JSON格式化失败)${NC}"
            fi
        else
            echo -e "${RED}✗ (请求失败)${NC}"
        fi
    done
    
    echo ""
    
    # 创建配置汇总报告
    create_export_summary "$EXPORT_DIR"
    
    # 创建压缩包
    local timestamp=$(date +%Y%m%d_%H%M%S)
    local archive_name="apisix_config_export_$timestamp.tar.gz"
    
    echo -e "${YELLOW}正在创建压缩包...${NC}"
    cd "$(dirname "$EXPORT_DIR")"
    tar -czf "$archive_name" "$(basename "$EXPORT_DIR")" 2>/dev/null
    
    if [ $? -eq 0 ]; then
        echo -e "${GREEN}✓ 压缩包已创建: $archive_name${NC}"
    fi
    
    echo ""
    echo -e "${GREEN}导出完成! ($success_count/$total_count 个配置文件导出成功)${NC}"
    echo -e "${BLUE}导出目录: $EXPORT_DIR${NC}"
    echo ""
}

# 创建导出汇总报告
create_export_summary() {
    local export_dir="$1"
    local summary_file="$export_dir/export_summary.md"
    
    cat > "$summary_file" << EOF
# APISIX 配置导出报告

## 导出信息
- **导出时间**: $(date '+%Y年%m月%d日 %H:%M:%S')
- **服务器地址**: $APISIX_HOST:$APISIX_PORT
- **导出目录**: $export_dir

## 配置文件列表
EOF
    
    for config_type in "${CONFIG_TYPES[@]}"; do
        local file_name="${CONFIG_FILES[$config_type]}"
        local file_path="$export_dir/$file_name"
        
        if [ -f "$file_path" ]; then
            local file_size=$(du -h "$file_path" | cut -f1)
            echo "- ✓ $file_name ($file_size)" >> "$summary_file"
        else
            echo "- ✗ $file_name (导出失败)" >> "$summary_file"
        fi
    done
    
    cat >> "$summary_file" << EOF

## 使用说明
1. 所有配置文件均为 JSON 格式
2. 可使用本脚本的导入功能恢复配置
3. 建议定期备份配置文件

---
*由 APISIX 配置管理工具自动生成*
EOF
    
    echo -e "${GREEN}✓ 导出汇总报告已创建: export_summary.md${NC}"
}

# 导入配置
import_configs() {
    echo -e "${BLUE}开始导入 APISIX 配置...${NC}"
    echo ""
    
    # 获取配置信息
    get_apisix_config
    
    # 检查连接
    if ! check_apisix_connection "$APISIX_HOST" "$APISIX_PORT" "$API_KEY"; then
        return 1
    fi
    
    # 获取导入目录
    read -p "请输入配置文件目录路径: " IMPORT_DIR
    IMPORT_DIR=$(trim_spaces "$IMPORT_DIR")
    
    if [ -z "$IMPORT_DIR" ]; then
        echo -e "${RED}✗ 目录路径不能为空${NC}"
        return 1
    fi
    
    if [ ! -d "$IMPORT_DIR" ]; then
        echo -e "${RED}✗ 目录不存在: $IMPORT_DIR${NC}"
        return 1
    fi
    
    echo ""
    echo -e "${YELLOW}正在检查配置文件...${NC}"
    
    # 检查配置文件是否存在
    local missing_files=()
    local existing_files=()
    
    for config_type in "${CONFIG_TYPES[@]}"; do
        # 跳过插件列表，因为它是只读的
        if [ "$config_type" = "plugins/list" ]; then
            continue
        fi
        
        local file_name="${CONFIG_FILES[$config_type]}"
        local file_path="$IMPORT_DIR/$file_name"
        
        if [ -f "$file_path" ]; then
            existing_files+=("$config_type:$file_path")
            echo -e "${GREEN}✓${NC} $file_name"
        else
            missing_files+=("$file_name")
            echo -e "${YELLOW}!${NC} $file_name (文件不存在，将跳过)"
        fi
    done
    
    if [ ${#existing_files[@]} -eq 0 ]; then
        echo -e "${RED}✗ 没有找到任何可导入的配置文件${NC}"
        return 1
    fi
    
    echo ""
    echo -e "${YELLOW}警告: 导入操作将覆盖现有配置!${NC}"
    read -p "确认继续导入? (y/N): " confirm
    
    if [[ ! "$confirm" =~ ^[Yy]$ ]]; then
        echo -e "${YELLOW}导入操作已取消${NC}"
        return 0
    fi
    
    echo ""
    echo -e "${YELLOW}正在导入配置...${NC}"
    
    local success_count=0
    local error_count=0
    
    # 导入配置的顺序很重要：先导入upstreams，再导入routes
    local import_order=("upstreams" "services" "consumers" "routes" "ssls" "global_rules" "plugin_configs" "stream_routes")
    
    for config_type in "${import_order[@]}"; do
        local file_name="${CONFIG_FILES[$config_type]}"
        local file_path="$IMPORT_DIR/$file_name"
        
        # 检查文件是否存在
        local found=false
        for item in "${existing_files[@]}"; do
            if [[ "$item" == "$config_type:"* ]]; then
                found=true
                break
            fi
        done
        
        if [ "$found" = false ]; then
            continue
        fi
        
        echo -n "导入 $config_type ... "
        
        # 读取配置文件
        local config_data=$(cat "$file_path")
        
        if [ -z "$config_data" ]; then
            echo -e "${RED}✗ (文件为空)${NC}"
            ((error_count++))
            continue
        fi
        
        # 解析JSON并导入每个配置项
        local items=$(echo "$config_data" | python3 -c "
import json, sys
try:
    data = json.load(sys.stdin)
    if 'list' in data:
        for item in data['list']:
            if 'value' in item and 'key' in item:
                # 提取ID
                key_parts = item['key'].split('/')
                if len(key_parts) > 0:
                    item_id = key_parts[-1]
                    print(f\"{item_id}|||{json.dumps(item['value'])}\")
except:
    pass
")
        
        if [ -z "$items" ]; then
            echo -e "${YELLOW}! (无配置项)${NC}"
            continue
        fi
        
        local item_success=0
        local item_total=0
        
        while IFS='|||' read -r item_id item_value; do
            if [ -n "$item_id" ] && [ -n "$item_value" ]; then
                ((item_total++))
                
                # 发送PUT请求导入配置
                local response=$(curl -s -w "%{http_code}" -X PUT \
                    -H "X-API-KEY: $API_KEY" \
                    -H "Content-Type: application/json" \
                    -d "$item_value" \
                    "http://$APISIX_HOST:$APISIX_PORT/apisix/admin/$config_type/$item_id" \
                    -o /dev/null)
                
                if [[ "$response" =~ ^20[0-9]$ ]]; then
                    ((item_success++))
                fi
            fi
        done <<< "$items"
        
        if [ $item_total -eq 0 ]; then
            echo -e "${YELLOW}! (无配置项)${NC}"
        elif [ $item_success -eq $item_total ]; then
            echo -e "${GREEN}✓ ($item_success/$item_total)${NC}"
            ((success_count++))
        else
            echo -e "${YELLOW}! ($item_success/$item_total)${NC}"
            ((error_count++))
        fi
    done
    
    echo ""
    
    if [ $success_count -gt 0 ]; then
        echo -e "${GREEN}导入完成! ($success_count 个配置类型导入成功)${NC}"
    fi
    
    if [ $error_count -gt 0 ]; then
        echo -e "${YELLOW}注意: $error_count 个配置类型导入时出现问题${NC}"
    fi
    
    echo ""
}

# 主函数
main() {
    show_header
    
    while true; do
        show_menu
        read -p "请输入选项 (1-3): " choice
        
        case $choice in
            1)
                echo ""
                export_configs
                ;;
            2)
                echo ""
                import_configs
                ;;
            3)
                echo -e "${GREEN}感谢使用 APISIX 配置管理工具!${NC}"
                exit 0
                ;;
            *)
                echo -e "${RED}无效选项，请重新选择${NC}"
                echo ""
                ;;
        esac
        
        echo ""
        read -p "按回车键继续..."
        echo ""
    done
}

# 检查依赖
check_dependencies() {
    local missing_deps=()
    
    if ! command -v curl &> /dev/null; then
        missing_deps+=("curl")
    fi
    
    if ! command -v python3 &> /dev/null; then
        missing_deps+=("python3")
    fi
    
    if ! command -v tar &> /dev/null; then
        missing_deps+=("tar")
    fi
    
    if [ ${#missing_deps[@]} -gt 0 ]; then
        echo -e "${RED}错误: 缺少必要的依赖程序:${NC}"
        for dep in "${missing_deps[@]}"; do
            echo -e "${RED}  - $dep${NC}"
        done
        echo ""
        echo -e "${YELLOW}请安装缺少的程序后重新运行脚本${NC}"
        exit 1
    fi
}

# 脚本入口
if [[ "${BASH_SOURCE[0]}" == "${0}" ]]; then
    check_dependencies
    main "$@"
fi

apisix_ssl_manager.sh

#!/bin/bash

# APISIX SSL证书管理脚本
# 功能：查看、添加、删除、更新SSL证书配置
# 作者：Manus AI Assistant
# 版本：1.2

# ==================== 配置区域 ====================

# APISIX Admin API配置
APISIX_HOST="1.2.3.4"
APISIX_ADMIN_PORT="9180"
APISIX_API_KEY="CKjcGDoqxcJfpIXWigyqjdUSACvwzEJy"

# API基础URL
API_BASE_URL="http://${APISIX_HOST}:${APISIX_ADMIN_PORT}/apisix/admin"

# 全局变量存储证书列表
declare -a SSL_CERT_IDS
declare -a SSL_CERT_SNIS

# ==================== 工具函数 ====================

# 去除字符串两边空格
trim() {
    local var="$*"
    # 去除前导空格
    var="${var#"${var%%[![:space:]]*}"}"
    # 去除尾随空格
    var="${var%"${var##*[![:space:]]}"}"
    echo "$var"
}

# 安全读取用户输入
read_input() {
    local prompt="$1"
    local var_name="$2"
    local default_value="$3"
    
    if [ -n "$default_value" ]; then
        echo -n "$prompt [$default_value]: "
    else
        echo -n "$prompt: "
    fi
    
    read -r input
    input=$(trim "$input")
    
    if [ -z "$input" ] && [ -n "$default_value" ]; then
        input="$default_value"
    fi
    
    eval "$var_name='$input'"
}

# 检查文件是否存在
check_file() {
    local file_path="$1"
    if [ ! -f "$file_path" ]; then
        echo "❌ 错误：文件不存在 - $file_path"
        return 1
    fi
    return 0
}

# 验证证书文件
validate_cert_file() {
    local cert_file="$1"
    if ! openssl x509 -in "$cert_file" -noout -text >/dev/null 2>&1; then
        echo "❌ 错误：无效的证书文件 - $cert_file"
        return 1
    fi
    return 0
}

# 验证私钥文件
validate_key_file() {
    local key_file="$1"
    if ! openssl rsa -in "$key_file" -check -noout >/dev/null 2>&1; then
        # 尝试其他私钥格式
        if ! openssl pkey -in "$key_file" -check -noout >/dev/null 2>&1; then
            echo "❌ 错误：无效的私钥文件 - $key_file"
            return 1
        fi
    fi
    return 0
}

# 获取证书信息
get_cert_info() {
    local cert_file="$1"
    echo "📋 证书信息："
    echo "   主题: $(openssl x509 -in "$cert_file" -noout -subject | sed 's/subject=//')"
    echo "   颁发者: $(openssl x509 -in "$cert_file" -noout -issuer | sed 's/issuer=//')"
    echo "   有效期: $(openssl x509 -in "$cert_file" -noout -dates | grep notBefore | sed 's/notBefore=//')  到  $(openssl x509 -in "$cert_file" -noout -dates | grep notAfter | sed 's/notAfter=//')"
    
    # 提取SAN域名
    local san_domains
    san_domains=$(openssl x509 -in "$cert_file" -noout -text | grep -A1 "Subject Alternative Name" | tail -1 | sed 's/DNS://g' | sed 's/,//g' | sed 's/^[[:space:]]*//')
    if [ -n "$san_domains" ]; then
        echo "   支持域名: $san_domains"
    fi
}

# 调用APISIX Admin API
call_api() {
    local method="$1"
    local endpoint="$2"
    local data="$3"
    
    local url="${API_BASE_URL}${endpoint}"
    local curl_cmd="curl -s -H 'X-API-KEY: $APISIX_API_KEY'"
    
    if [ "$method" = "GET" ]; then
        curl_cmd="$curl_cmd '$url'"
    elif [ "$method" = "DELETE" ]; then
        curl_cmd="$curl_cmd -X DELETE '$url'"
    elif [ "$method" = "PUT" ]; then
        curl_cmd="$curl_cmd -X PUT -d '$data' '$url'"
    fi
    
    eval "$curl_cmd"
}

# 获取证书ID通过序号
get_cert_id_by_index() {
    local index="$1"
    if [[ "$index" =~ ^[0-9]+$ ]] && [ "$index" -ge 1 ] && [ "$index" -le "${#SSL_CERT_IDS[@]}" ]; then
        echo "${SSL_CERT_IDS[$((index-1))]}"
        return 0
    else
        return 1
    fi
}

# ==================== 主要功能函数 ====================

# 显示当前SSL证书列表
show_ssl_list() {
    echo "🔍 正在获取SSL证书列表..."
    
    # 清空全局数组
    SSL_CERT_IDS=()
    SSL_CERT_SNIS=()
    
    local response
    response=$(call_api "GET" "/ssls")
    
    if [ $? -ne 0 ]; then
        echo "❌ 错误：无法连接到APISIX Admin API"
        return 1
    fi
    
    # 使用Python解析JSON响应并填充全局数组
    local cert_info
    cert_info=$(echo "$response" | python3 -c "
import json, sys
try:
    data = json.load(sys.stdin)
    if 'list' not in data or len(data['list']) == 0:
        print('EMPTY')
        sys.exit(0)
    
    cert_ids = []
    cert_snis = []
    
    print('📋 当前SSL证书配置：')
    print('=' * 80)
    
    for i, ssl in enumerate(data['list'], 1):
        ssl_data = ssl['value']
        cert_id = ssl_data['id']
        sni_list = ssl_data['snis']
        
        cert_ids.append(cert_id)
        cert_snis.append(','.join(sni_list))
        
        print(str(i) + '. ID: ' + cert_id)
        print('   SNI域名: ' + ', '.join(sni_list))
        
        # 显示过期时间
        if 'validity_end' in ssl_data and ssl_data['validity_end']:
            import datetime
            expire_time = datetime.datetime.fromtimestamp(ssl_data['validity_end'])
            print('   过期时间: ' + expire_time.strftime('%Y-%m-%d %H:%M:%S'))
        else:
            print('   过期时间: 未知')
        
        # 显示更新时间
        if 'update_time' in ssl_data:
            import datetime
            update_time = datetime.datetime.fromtimestamp(ssl_data['update_time'])
            print('   更新时间: ' + update_time.strftime('%Y-%m-%d %H:%M:%S'))
        
        print('   ' + '-' * 60)
    
    # 输出证书ID列表，用于bash数组
    print('CERT_IDS:' + '|'.join(cert_ids))
    print('CERT_SNIS:' + '|'.join(cert_snis))
        
except json.JSONDecodeError:
    print('❌ 错误：API响应格式错误')
except Exception as e:
    print('❌ 错误：' + str(e))
")
    
    if echo "$cert_info" | grep -q "EMPTY"; then
        echo "📝 当前没有配置SSL证书"
        return 0
    fi
    
    if echo "$cert_info" | grep -q "❌ 错误"; then
        echo "$cert_info"
        return 1
    fi
    
    # 解析证书ID和SNI信息到全局数组
    local cert_ids_line cert_snis_line
    cert_ids_line=$(echo "$cert_info" | grep "^CERT_IDS:" | sed 's/CERT_IDS://')
    cert_snis_line=$(echo "$cert_info" | grep "^CERT_SNIS:" | sed 's/CERT_SNIS://')
    
    if [ -n "$cert_ids_line" ]; then
        IFS='|' read -ra SSL_CERT_IDS <<< "$cert_ids_line"
        IFS='|' read -ra SSL_CERT_SNIS <<< "$cert_snis_line"
    fi
    
    # 显示证书信息（去除辅助行）
    echo "$cert_info" | grep -v "^CERT_IDS:" | grep -v "^CERT_SNIS:"
}

# 添加SSL证书
add_ssl_cert() {
    echo "➕ 添加SSL证书"
    echo "=" * 50
    
    # 输入证书ID
    local cert_id
    read_input "请输入证书ID（用于标识此证书）" cert_id
    if [ -z "$cert_id" ]; then
        echo "❌ 证书ID不能为空"
        return 1
    fi
    
    # 输入证书文件路径
    local cert_file
    read_input "请输入证书文件路径（支持.crt, .pem, .cert等格式）" cert_file
    if [ -z "$cert_file" ]; then
        echo "❌ 证书文件路径不能为空"
        return 1
    fi
    
    # 检查证书文件
    if ! check_file "$cert_file" || ! validate_cert_file "$cert_file"; then
        return 1
    fi
    
    # 输入私钥文件路径
    local key_file
    read_input "请输入私钥文件路径（支持.key, .pem等格式）" key_file
    if [ -z "$key_file" ]; then
        echo "❌ 私钥文件路径不能为空"
        return 1
    fi
    
    # 检查私钥文件
    if ! check_file "$key_file" || ! validate_key_file "$key_file"; then
        return 1
    fi
    
    # 显示证书信息
    get_cert_info "$cert_file"
    
    # 输入SNI域名
    echo ""
    echo "请输入要绑定的域名（SNI），多个域名用逗号分隔"
    echo "例如：example.com,*.example.com,api.example.com"
    local sni_input
    read_input "SNI域名" sni_input
    if [ -z "$sni_input" ]; then
        echo "❌ SNI域名不能为空"
        return 1
    fi
    
    # 处理SNI域名列表
    local sni_array=""
    IFS=',' read -ra ADDR <<< "$sni_input"
    for domain in "${ADDR[@]}"; do
        domain=$(trim "$domain")
        if [ -n "$domain" ]; then
            if [ -z "$sni_array" ]; then
                sni_array="\"$domain\""
            else
                sni_array="$sni_array,\"$domain\""
            fi
        fi
    done
    
    # 确认配置
    echo ""
    echo "📋 配置确认："
    echo "   证书ID: $cert_id"
    echo "   证书文件: $cert_file"
    echo "   私钥文件: $key_file"
    echo "   SNI域名: $sni_input"
    echo ""
    
    local confirm
    read_input "确认添加此SSL证书？(y/N)" confirm "n"
    if [ "$confirm" != "y" ] && [ "$confirm" != "Y" ]; then
        echo "❌ 操作已取消"
        return 1
    fi
    
    # 读取证书和私钥内容
    echo "🔄 正在读取证书文件..."
    local cert_content
    cert_content=$(cat "$cert_file" | sed ':a;N;$!ba;s/\n/\\n/g')
    
    echo "🔄 正在读取私钥文件..."
    local key_content
    key_content=$(cat "$key_file" | sed ':a;N;$!ba;s/\n/\\n/g')
    
    # 构建JSON数据
    local json_data="{
        \"cert\": \"$cert_content\",
        \"key\": \"$key_content\",
        \"snis\": [$sni_array]
    }"
    
    # 调用API添加证书
    echo "🔄 正在添加SSL证书..."
    local response
    response=$(call_api "PUT" "/ssls/$cert_id" "$json_data")
    
    if echo "$response" | grep -q "\"key\""; then
        echo "✅ SSL证书添加成功！"
        echo "   证书ID: $cert_id"
        echo "   绑定域名: $sni_input"
    else
        echo "❌ SSL证书添加失败"
        echo "   错误信息: $response"
        return 1
    fi
}

# 删除SSL证书
delete_ssl_cert() {
    echo "🗑️  删除SSL证书"
    echo "=" * 50
    
    # 先显示当前证书列表
    show_ssl_list
    
    if [ ${#SSL_CERT_IDS[@]} -eq 0 ]; then
        echo "没有可删除的SSL证书"
        return 0
    fi
    
    echo ""
    echo "请选择要删除的证书："
    echo "输入序号 (1-${#SSL_CERT_IDS[@]}) 或直接输入证书ID"
    
    # 输入要删除的证书
    local cert_input
    read_input "证书序号或ID" cert_input
    if [ -z "$cert_input" ]; then
        echo "❌ 输入不能为空"
        return 1
    fi
    
    # 判断输入的是序号还是证书ID
    local cert_id
    if [[ "$cert_input" =~ ^[0-9]+$ ]]; then
        # 输入的是序号
        cert_id=$(get_cert_id_by_index "$cert_input")
        if [ $? -ne 0 ]; then
            echo "❌ 无效的序号: $cert_input"
            return 1
        fi
        echo "选择的证书: $cert_id (序号: $cert_input)"
    else
        # 输入的是证书ID
        cert_id="$cert_input"
        echo "选择的证书: $cert_id"
    fi
    
    # 确认删除
    local confirm
    read_input "确认删除SSL证书 '$cert_id'？(y/N)" confirm "n"
    if [ "$confirm" != "y" ] && [ "$confirm" != "Y" ]; then
        echo "❌ 操作已取消"
        return 1
    fi
    
    # 调用API删除证书
    echo "🔄 正在删除SSL证书..."
    local response
    response=$(call_api "DELETE" "/ssls/$cert_id")
    
    if echo "$response" | grep -q "\"deleted\""; then
        echo "✅ SSL证书删除成功！"
        echo "   证书ID: $cert_id"
    else
        echo "❌ SSL证书删除失败"
        echo "   错误信息: $response"
        return 1
    fi
}

# 更新域名绑定的证书
update_domain_cert() {
    echo "🔄 更新域名绑定的证书"
    echo "=" * 50
    
    # 先显示当前证书列表
    show_ssl_list
    
    if [ ${#SSL_CERT_IDS[@]} -eq 0 ]; then
        echo "没有可更新的SSL证书"
        return 0
    fi
    
    echo ""
    echo "请选择要更新的证书："
    echo "输入序号 (1-${#SSL_CERT_IDS[@]}) 或直接输入证书ID"
    
    # 输入要更新的证书
    local cert_input
    read_input "证书序号或ID" cert_input
    if [ -z "$cert_input" ]; then
        echo "❌ 输入不能为空"
        return 1
    fi
    
    # 判断输入的是序号还是证书ID
    local cert_id
    if [[ "$cert_input" =~ ^[0-9]+$ ]]; then
        # 输入的是序号
        cert_id=$(get_cert_id_by_index "$cert_input")
        if [ $? -ne 0 ]; then
            echo "❌ 无效的序号: $cert_input"
            return 1
        fi
        echo "选择的证书: $cert_id (序号: $cert_input)"
    else
        # 输入的是证书ID
        cert_id="$cert_input"
        echo "选择的证书: $cert_id"
    fi
    
    # 获取当前证书信息
    echo "🔍 正在获取当前证书信息..."
    local current_response
    current_response=$(call_api "GET" "/ssls/$cert_id")
    
    if ! echo "$current_response" | grep -q "\"snis\""; then
        echo "❌ 错误：找不到证书ID '$cert_id'"
        return 1
    fi
    
    # 显示当前SNI信息
    echo "$current_response" | python3 -c "
import json, sys
try:
    data = json.load(sys.stdin)
    ssl_data = data['value']
    print('📋 当前证书信息：')
    print('   证书ID: ' + ssl_data['id'])
    print('   当前SNI域名: ' + ', '.join(ssl_data['snis']))
except:
    print('❌ 错误：无法解析证书信息')
    sys.exit(1)
"
    
    if [ $? -ne 0 ]; then
        return 1
    fi
    
    echo ""
    echo "选择更新方式："
    echo "1. 更新证书文件（保持域名不变）"
    echo "2. 更新SNI域名（保持证书不变）"
    echo "3. 同时更新证书文件和SNI域名"
    
    local update_type
    read_input "请选择更新方式 (1-3)" update_type
    
    case "$update_type" in
        1)
            update_cert_files "$cert_id" "$current_response"
            ;;
        2)
            update_sni_domains "$cert_id" "$current_response"
            ;;
        3)
            update_cert_and_sni "$cert_id"
            ;;
        *)
            echo "❌ 无效的选择"
            return 1
            ;;
    esac
}

# 更新证书文件
update_cert_files() {
    local cert_id="$1"
    local current_response="$2"
    
    echo "🔄 更新证书文件"
    
    # 输入新的证书文件路径
    local cert_file
    read_input "请输入新的证书文件路径" cert_file
    if [ -z "$cert_file" ] || ! check_file "$cert_file" || ! validate_cert_file "$cert_file"; then
        return 1
    fi
    
    # 输入新的私钥文件路径
    local key_file
    read_input "请输入新的私钥文件路径" key_file
    if [ -z "$key_file" ] || ! check_file "$key_file" || ! validate_key_file "$key_file"; then
        return 1
    fi
    
    # 显示新证书信息
    get_cert_info "$cert_file"
    
    # 获取当前SNI域名
    local current_snis
    current_snis=$(echo "$current_response" | python3 -c "
import json, sys
data = json.load(sys.stdin)
snis = data['value']['snis']
print(','.join(['\"' + sni + '\"' for sni in snis]))
")
    
    # 确认更新
    local confirm
    read_input "确认更新证书文件？(y/N)" confirm "n"
    if [ "$confirm" != "y" ] && [ "$confirm" != "Y" ]; then
        echo "❌ 操作已取消"
        return 1
    fi
    
    # 执行更新
    perform_cert_update "$cert_id" "$cert_file" "$key_file" "$current_snis"
}

# 更新SNI域名
update_sni_domains() {
    local cert_id="$1"
    local current_response="$2"
    
    echo "🔄 更新SNI域名"
    
    # 输入新的SNI域名
    local sni_input
    read_input "请输入新的SNI域名（多个域名用逗号分隔）" sni_input
    if [ -z "$sni_input" ]; then
        echo "❌ SNI域名不能为空"
        return 1
    fi
    
    # 处理SNI域名列表
    local sni_array=""
    IFS=',' read -ra ADDR <<< "$sni_input"
    for domain in "${ADDR[@]}"; do
        domain=$(trim "$domain")
        if [ -n "$domain" ]; then
            if [ -z "$sni_array" ]; then
                sni_array="\"$domain\""
            else
                sni_array="$sni_array,\"$domain\""
            fi
        fi
    done
    
    # 获取当前证书内容
    local current_cert current_key
    current_cert=$(echo "$current_response" | python3 -c "
import json, sys
data = json.load(sys.stdin)
print(data['value']['cert'])
")
    current_key=$(echo "$current_response" | python3 -c "
import json, sys
data = json.load(sys.stdin)
print(data['value']['key'])
")
    
    # 确认更新
    local confirm
    read_input "确认更新SNI域名为 '$sni_input'？(y/N)" confirm "n"
    if [ "$confirm" != "y" ] && [ "$confirm" != "Y" ]; then
        echo "❌ 操作已取消"
        return 1
    fi
    
    # 构建JSON数据
    local json_data="{
        \"cert\": \"$current_cert\",
        \"key\": \"$current_key\",
        \"snis\": [$sni_array]
    }"
    
    # 执行更新
    echo "🔄 正在更新SNI域名..."
    local response
    response=$(call_api "PUT" "/ssls/$cert_id" "$json_data")
    
    if echo "$response" | grep -q "\"key\""; then
        echo "✅ SNI域名更新成功！"
        echo "   证书ID: $cert_id"
        echo "   新域名: $sni_input"
    else
        echo "❌ SNI域名更新失败"
        echo "   错误信息: $response"
        return 1
    fi
}

# 同时更新证书和SNI
update_cert_and_sni() {
    local cert_id="$1"
    
    echo "🔄 同时更新证书文件和SNI域名"
    
    # 输入新的证书文件路径
    local cert_file
    read_input "请输入新的证书文件路径" cert_file
    if [ -z "$cert_file" ] || ! check_file "$cert_file" || ! validate_cert_file "$cert_file"; then
        return 1
    fi
    
    # 输入新的私钥文件路径
    local key_file
    read_input "请输入新的私钥文件路径" key_file
    if [ -z "$key_file" ] || ! check_file "$key_file" || ! validate_key_file "$key_file"; then
        return 1
    fi
    
    # 显示新证书信息
    get_cert_info "$cert_file"
    
    # 输入新的SNI域名
    local sni_input
    read_input "请输入新的SNI域名（多个域名用逗号分隔）" sni_input
    if [ -z "$sni_input" ]; then
        echo "❌ SNI域名不能为空"
        return 1
    fi
    
    # 处理SNI域名列表
    local sni_array=""
    IFS=',' read -ra ADDR <<< "$sni_input"
    for domain in "${ADDR[@]}"; do
        domain=$(trim "$domain")
        if [ -n "$domain" ]; then
            if [ -z "$sni_array" ]; then
                sni_array="\"$domain\""
            else
                sni_array="$sni_array,\"$domain\""
            fi
        fi
    done
    
    # 确认更新
    echo ""
    echo "📋 更新确认："
    echo "   证书ID: $cert_id"
    echo "   新证书文件: $cert_file"
    echo "   新私钥文件: $key_file"
    echo "   新SNI域名: $sni_input"
    echo ""
    
    local confirm
    read_input "确认执行更新？(y/N)" confirm "n"
    if [ "$confirm" != "y" ] && [ "$confirm" != "Y" ]; then
        echo "❌ 操作已取消"
        return 1
    fi
    
    # 执行更新
    perform_cert_update "$cert_id" "$cert_file" "$key_file" "$sni_array"
}

# 执行证书更新
perform_cert_update() {
    local cert_id="$1"
    local cert_file="$2"
    local key_file="$3"
    local sni_array="$4"
    
    # 读取证书和私钥内容
    echo "🔄 正在读取证书文件..."
    local cert_content
    cert_content=$(cat "$cert_file" | sed ':a;N;$!ba;s/\n/\\n/g')
    
    echo "🔄 正在读取私钥文件..."
    local key_content
    key_content=$(cat "$key_file" | sed ':a;N;$!ba;s/\n/\\n/g')
    
    # 构建JSON数据
    local json_data="{
        \"cert\": \"$cert_content\",
        \"key\": \"$key_content\",
        \"snis\": [$sni_array]
    }"
    
    # 调用API更新证书
    echo "🔄 正在更新SSL证书..."
    local response
    response=$(call_api "PUT" "/ssls/$cert_id" "$json_data")
    
    if echo "$response" | grep -q "\"key\""; then
        echo "✅ SSL证书更新成功！"
        echo "   证书ID: $cert_id"
    else
        echo "❌ SSL证书更新失败"
        echo "   错误信息: $response"
        return 1
    fi
}

# 测试SSL证书
test_ssl_cert() {
    echo "🧪 测试SSL证书"
    echo "=" * 50
    
    # 输入要测试的域名
    local domain
    read_input "请输入要测试的域名" domain
    if [ -z "$domain" ]; then
        echo "❌ 域名不能为空"
        return 1
    fi
    
    echo "🔄 正在测试SSL证书..."
    
    # 测试SSL连接
    echo "1. 测试SSL连接..."
    if echo | timeout 10 openssl s_client -connect "${APISIX_HOST}:443" -servername "$domain" >/dev/null 2>&1; then
        echo "   ✅ SSL连接成功"
    else
        echo "   ❌ SSL连接失败"
    fi
    
    # 获取证书信息
    echo "2. 获取证书信息..."
    local cert_info
    cert_info=$(echo | timeout 10 openssl s_client -connect "${APISIX_HOST}:443" -servername "$domain" 2>/dev/null | openssl x509 -noout -subject -issuer -dates 2>/dev/null)
    
    if [ -n "$cert_info" ]; then
        echo "   ✅ 证书信息获取成功"
        echo "$cert_info" | sed 's/^/      /'
    else
        echo "   ❌ 无法获取证书信息"
    fi
    
    # 测试HTTPS访问
    echo "3. 测试HTTPS访问..."
    local http_status
    http_status=$(curl -s -o /dev/null -w "%{http_code}" --connect-timeout 10 "https://$domain/" 2>/dev/null)
    
    if [ "$http_status" = "200" ] || [ "$http_status" = "301" ] || [ "$http_status" = "302" ]; then
        echo "   ✅ HTTPS访问成功 (HTTP状态码: $http_status)"
    else
        echo "   ⚠️  HTTPS访问异常 (HTTP状态码: $http_status)"
    fi
}

# 显示配置信息
show_config() {
    echo "⚙️  当前配置信息"
    echo "=" * 50
    echo "APISIX主机: $APISIX_HOST"
    echo "Admin端口: $APISIX_ADMIN_PORT"
    echo "API密钥: ${APISIX_API_KEY:0:8}***"
    echo "API地址: $API_BASE_URL"
    echo ""
    
    # 测试API连接
    echo "🔄 测试API连接..."
    local response
    response=$(call_api "GET" "/ssls" 2>/dev/null)
    
    if echo "$response" | grep -q "list"; then
        echo "✅ API连接正常"
    else
        echo "❌ API连接失败"
        echo "   请检查APISIX服务状态和配置"
    fi
}

# ==================== 主菜单 ====================

show_menu() {
    echo ""
    echo "🔐 APISIX SSL证书管理工具"
    echo "=" * 50
    echo "1. 查看SSL证书列表"
    echo "2. 添加SSL证书"
    echo "3. 删除SSL证书"
    echo "4. 更新域名绑定的证书"
    echo "5. 测试SSL证书"
    echo "6. 显示配置信息"
    echo "0. 退出"
    echo "=" * 50
}

# 主程序
main() {
    # 检查依赖
    if ! command -v curl >/dev/null 2>&1; then
        echo "❌ 错误：需要安装curl"
        exit 1
    fi
    
    if ! command -v openssl >/dev/null 2>&1; then
        echo "❌ 错误：需要安装openssl"
        exit 1
    fi
    
    if ! command -v python3 >/dev/null 2>&1; then
        echo "❌ 错误：需要安装python3"
        exit 1
    fi
    
    # 显示欢迎信息
    echo "🔐 APISIX SSL证书管理工具 v1.2"
    echo "当前配置 - 主机: $APISIX_HOST, 端口: $APISIX_ADMIN_PORT"
    
    # 主循环
    while true; do
        show_menu
        
        local choice
        read_input "请选择操作" choice
        
        case "$choice" in
            1)
                show_ssl_list
                ;;
            2)
                add_ssl_cert
                ;;
            3)
                delete_ssl_cert
                ;;
            4)
                update_domain_cert
                ;;
            5)
                test_ssl_cert
                ;;
            6)
                show_config
                ;;
            0)
                echo "👋 再见！"
                exit 0
                ;;
            *)
                echo "❌ 无效的选择，请重新输入"
                ;;
        esac
        
        echo ""
        read -p "按回车键继续..." -r
    done
}

# 运行主程序
main "$@"

apisix_export/apisix_consumers.json

{
    "total": 0,
    "list": []
}

apisix_export/apisix_global_rules.json

{
    "total": 1,
    "list": [
        {
            "value": {
                "plugins": {
                    "prometheus": {
                        "_meta": {
                            "disable": false
                        }
                    }
                },
                "create_time": 1750493067,
                "id": "1",
                "update_time": 1750493067
            },
            "modifiedIndex": 351,
            "createdIndex": 351,
            "key": "/apisix/global_rules/1"
        }
    ]
}

apisix_export/apisix_plugins.json

[
    "real-ip",
    "ai",
    "client-control",
    "proxy-control",
    "request-id",
    "zipkin",
    "ext-plugin-pre-req",
    "fault-injection",
    "mocking",
    "serverless-pre-function",
    "cors",
    "ip-restriction",
    "ua-restriction",
    "referer-restriction",
    "csrf",
    "uri-blocker",
    "request-validation",
    "chaitin-waf",
    "multi-auth",
    "openid-connect",
    "cas-auth",
    "authz-casbin",
    "authz-casdoor",
    "wolf-rbac",
    "ldap-auth",
    "hmac-auth",
    "basic-auth",
    "jwt-auth",
    "jwe-decrypt",
    "key-auth",
    "consumer-restriction",
    "attach-consumer-label",
    "forward-auth",
    "opa",
    "authz-keycloak",
    "proxy-cache",
    "body-transformer",
    "ai-prompt-guard",
    "ai-prompt-template",
    "ai-prompt-decorator",
    "ai-rag",
    "ai-aws-content-moderation",
    "ai-proxy-multi",
    "ai-proxy",
    "ai-rate-limiting",
    "proxy-mirror",
    "proxy-rewrite",
    "workflow",
    "api-breaker",
    "limit-conn",
    "limit-count",
    "limit-req",
    "gzip",
    "server-info",
    "traffic-split",
    "redirect",
    "response-rewrite",
    "degraphql",
    "kafka-proxy",
    "grpc-transcode",
    "grpc-web",
    "http-dubbo",
    "public-api",
    "prometheus",
    "datadog",
    "loki-logger",
    "elasticsearch-logger",
    "echo",
    "loggly",
    "http-logger",
    "splunk-hec-logging",
    "skywalking-logger",
    "google-cloud-logging",
    "sls-logger",
    "tcp-logger",
    "kafka-logger",
    "rocketmq-logger",
    "syslog",
    "udp-logger",
    "file-logger",
    "clickhouse-logger",
    "tencent-cloud-cls",
    "inspect",
    "example-plugin",
    "aws-lambda",
    "azure-functions",
    "openwhisk",
    "openfunction",
    "serverless-post-function",
    "ext-plugin-post-req",
    "ext-plugin-post-resp"
]

apisix_export/apisix_plugin_configs.json

{
    "total": 0,
    "list": []
}

apisix_export/apisix_routes.json

{
    "total": 1,
    "list": [
        {
            "value": {
                "create_time": 1750424231,
                "upstream_id": "java-app-upstream",
                "status": 1,
                "host": "csapi.twenhub.com",
                "desc": "\u901a\u7528\u8def\u7531 - \u5904\u7406\u6240\u6709\u8bf7\u6c42",
                "priority": 1,
                "methods": [
                    "GET",
                    "POST",
                    "PUT",
                    "DELETE",
                    "OPTIONS",
                    "HEAD",
                    "PATCH"
                ],
                "name": "universal-route",
                "update_time": 1750666631,
                "id": "00000000000000000053",
                "uri": "/*"
            },
            "modifiedIndex": 561,
            "createdIndex": 54,
            "key": "/apisix/routes/00000000000000000053"
        }
    ]
}

apisix_export/apisix_services.json

{
    "total": 0,
    "list": []
}

apisix_export/apisix_ssls.json

{
    "total": 1,
    "list": [
        {
            "value": {
                "snis": [
                    "*.twenhub.com",
                    "twenhub.com",
                    "csapi.twenhub.com",
                    "csh5.twenhub.com"
                ],
                "create_time": 1750670207,
                "type": "server",
                "status": 1,
                "update_time": 1750670207,
                "cert": "-----BEGIN CERTIFICATE-----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\n7/wyebJK\n-----END CERTIFICATE-----\r\n-----BEGIN CERTIFICATE-----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\nTjQvhYs+r9mrhfhUfIW71RPIZk9D1UFfTDp/MmqJEVxcOa4VDvOSSQzd7Jc=\n-----END CERTIFICATE-----\n-----BEGIN CERTIFICATE-----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\nFNKy3ieVQFNDMoHK9DZgfLk=\n-----END CERTIFICATE-----",
                "id": "1",
                "key": "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"
            },
            "modifiedIndex": 569,
            "createdIndex": 569,
            "key": "/apisix/ssls/1"
        }
    ]
}

apisix_export/apisix_stream_routes.json

{
    "error_msg": "stream mode is disabled, can not add stream routes"
}

apisix_export/apisix_upstreams.json

{
    "total": 1,
    "list": [
        {
            "value": {
                "create_time": 1750395883,
                "retries": 2,
                "scheme": "http",
                "nodes": {
                    "172.18.0.1:8080": 1,
                    "172.18.0.1:8081": 1
                },
                "timeout": {
                    "send": 300,
                    "read": 300,
                    "connect": 5
                },
                "type": "least_conn",
                "retry_timeout": 60,
                "keepalive_pool": {
                    "size": 320,
                    "idle_timeout": 30,
                    "requests": 50
                },
                "checks": {
                    "active": {
                        "http_path": "/health",
                        "https_verify_certificate": true,
                        "healthy": {
                            "interval": 3,
                            "successes": 3,
                            "http_statuses": [
                                200,
                                302
                            ]
                        },
                        "unhealthy": {
                            "http_statuses": [
                                429,
                                404,
                                500,
                                501,
                                502,
                                503,
                                504,
                                505
                            ],
                            "http_failures": 3,
                            "tcp_failures": 3,
                            "timeouts": 2,
                            "interval": 3
                        },
                        "timeout": 5,
                        "type": "http",
                        "concurrency": 3
                    },
                    "passive": {
                        "unhealthy": {
                            "tcp_failures": 3,
                            "timeouts": 2,
                            "http_statuses": [
                                429,
                                500,
                                503
                            ],
                            "http_failures": 3
                        },
                        "type": "http",
                        "healthy": {
                            "http_statuses": [
                                200,
                                201,
                                202,
                                203,
                                204,
                                205,
                                206,
                                207,
                                208,
                                226,
                                300,
                                301,
                                302,
                                303,
                                304,
                                305,
                                306,
                                307,
                                308
                            ],
                            "successes": 2
                        }
                    }
                },
                "pass_host": "pass",
                "hash_on": "vars",
                "update_time": 1750653386,
                "id": "java-app-upstream",
                "name": "java-app-upstream"
            },
            "modifiedIndex": 551,
            "createdIndex": 16,
            "key": "/apisix/upstreams/java-app-upstream"
        }
    ]
}

apisix_export/export_summary.md

# APISIX 配置导出报告

## 导出信息
- **导出时间**: 2025年06月24日 09:50:33
- **服务器地址**: 1.2.3.4:9180
- **导出目录**: ./apisix_export

## 配置文件列表
- ✓ apisix_routes.json (4.0K)
- ✓ apisix_upstreams.json (4.0K)
- ✓ apisix_services.json (4.0K)
- ✓ apisix_consumers.json (4.0K)
- ✓ apisix_ssls.json (12K)
- ✓ apisix_global_rules.json (4.0K)
- ✓ apisix_plugin_configs.json (4.0K)
- ✓ apisix_stream_routes.json (4.0K)
- ✓ apisix_plugins.json (4.0K)

## 使用说明
1. 所有配置文件均为 JSON 格式
2. 可使用本脚本的导入功能恢复配置
3. 建议定期备份配置文件

---
*由 APISIX 配置管理工具自动生成*

ecs/demo-node1/deploy.sh

#!/usr/bin/env bash
#
# zero-deploy.sh - 零停机部署脚本（CentOS优化版 2025‑06‑A）
#
# 关键改动
#   1) 停止操作不再依赖jar文件，只需端口号
#   2) jar文件参数在停止操作时为可选
#   3) 针对CentOS环境优化进程检测
#   4) 单节点 PATCH，完全符合 APISIX Admin API 最佳实践
# -------------------------------------------------------------------

set -euo pipefail

####################### 可调参数 #####################################
BASE_DIR="$(dirname "$(readlink -f "$0")")"
LOG_DIR="$BASE_DIR/logs"

LOG_LEVEL="${LOG_LEVEL:-INFO}"                   # INFO | DEBUG

PORT1=8080 ; PROFILE1="prod-node1"
PORT2=8081 ; PROFILE2="prod-node2"

HEALTH_PATH="/health"
HEALTH_TIMEOUT=60
APP_START_TIMEOUT_SECONDS=$HEALTH_TIMEOUT

KEEPALIVE_IDLE_TIMEOUT=30                        # 与 upstream.keepalive_pool.idle_timeout 对齐
IDLE_TIMEOUT_BUFFER=$((KEEPALIVE_IDLE_TIMEOUT*2))
SHUTDOWN_TIMEOUT_SECONDS=60                    # 优雅停机超时时间(秒)

JAR_LINK="app.jar"
UPSTREAM_ID="java-app-upstream"
ADMIN_URL="http://127.0.0.1:9180/apisix/admin/upstreams/$UPSTREAM_ID"

HOST="172.18.0.1"                                # 可用 `ip route get 1.1.1.1 | awk '{print $7}'`
AUTH_HEADER=(-H "X-API-KEY: CKjcGDoqxcJfpIXWigyqjdUSACvwzEJy") # 请替换
########################################################################

mkdir -p "$LOG_DIR"

###################### 通用函数 #######################################
# 检查必要工具是否存在
check_tools() {
  local missing_tools=()
  
  # 检查必要的命令
  command -v curl >/dev/null || missing_tools+=("curl")
  command -v jq >/dev/null || missing_tools+=("jq")
  
  # 对于停止操作，检查进程查找工具
  if [[ "$1" =~ ^(2|4)$ ]]; then
    if ! command -v lsof >/dev/null && ! command -v ss >/dev/null && ! command -v netstat >/dev/null; then
      missing_tools+=("lsof或ss或netstat")
    fi
  fi
  
  if [[ ${#missing_tools[@]} -gt 0 ]]; then
    echo "错误: 缺少必要工具: ${missing_tools[*]}" >&2
    echo "在CentOS上安装: yum install -y lsof jq curl" >&2
    exit 1
  fi
}

# API 调用（带重试）
api() {
  local method="GET" url data attempt=1 max=3 delay=1
  while [[ $# -gt 0 ]]; do
    case $1 in
      -X) method="$2"; shift 2;;
      -d) data="$2";  shift 2;;
      http*) url="$1"; shift;;
      *) shift;;
    esac
  done
  while :; do
    [[ $LOG_LEVEL == "DEBUG" ]] && echo "API attempt $attempt: $method $url"
    local rsp http_code body
    if [[ -n ${data:-} ]]; then
      rsp=$(curl -s -w '\n%{http_code}' --fail "${AUTH_HEADER[@]}" -X "$method" \
              -H 'Content-Type: application/json' -d "$data" "$url" 2>&1) || true
    else
      rsp=$(curl -s -w '\n%{http_code}' --fail "${AUTH_HEADER[@]}" -X "$method" \
              "$url" 2>&1) || true
    fi
    http_code=$(echo "$rsp" | tail -n1)
    body=$(echo "$rsp" | head -n -1)
    [[ $LOG_LEVEL == "DEBUG" ]] && echo "Response code: $http_code"

    if [[ $http_code =~ ^2[0-9][0-9]$ ]]; then
      [[ $LOG_LEVEL == "DEBUG" ]] && echo "HTTP $method $url -> $http_code SUCCESS"
      [[ -n $body && $LOG_LEVEL == "DEBUG" ]] && echo "Response body: $body"
      echo "$body"
      return 0
    fi
    if (( attempt >= max )); then
      echo "HTTP $method $url FAILED after $attempt attempts, code=$http_code, body=$body"
      return 1
    fi
    echo "HTTP $method $url attempt $attempt failed, retry after ${delay}s..."
    sleep $delay
    ((attempt++))
    delay=$((delay*2))
  done
}

# 获取当前 upstream.nodes
get_current_nodes() {
  api -X GET "$ADMIN_URL" | jq -r '.value.nodes // {}'
}

###################### 节点操作 #######################################
add_node() { # add_node host:port [weight]
  local node="$1" weight="${2:-0}"
  local nodes=$(get_current_nodes)
  if echo "$nodes" | jq -e --arg n "$node" 'has($n)' >/dev/null; then
    echo "Node $node already exists"
    return 0
  fi
  local patch=$( jq -n --arg node "$node" --argjson w "$weight" '{nodes:{($node):$w}}')
  api -X PATCH -d "$patch" "$ADMIN_URL"
  echo "Node $node added with weight=$weight"
}

update_node_weight() { # update_node_weight host:port weight
  local node="$1" weight="$2"
  [[ $LOG_LEVEL == "DEBUG" ]] && echo "update_node_weight: node=$node, weight=$weight"
  [[ $LOG_LEVEL == "DEBUG" ]] && echo "Creating patch..."
  local patch=$( jq -n --arg node "$node" --argjson w "$weight" '{nodes:{($node):$w}}')
  [[ $LOG_LEVEL == "DEBUG" ]] && echo "Calling API: PATCH $ADMIN_URL with patch: $patch"
  api -X PATCH -d "$patch" "$ADMIN_URL" >/dev/null
  [[ $LOG_LEVEL == "DEBUG" ]] && echo "API call completed"
  echo "Node $node weight updated -> $weight"
}

remove_node() { # remove_node host:port
  local node="$1"
  local patch=$( jq -n --arg node "$node" '{nodes:{($node):null}}')
  api -X PATCH -d "$patch" "$ADMIN_URL"
  echo "Node $node removed from upstream"
}

###################### 进程检测工具 ###################################
# CentOS兼容的端口进程检测
get_pid_by_port() {
  local port="$1"
  local pid=""
  
  # 优先使用lsof
  if command -v lsof >/dev/null; then
    pid=$(lsof -ti tcp:"$port" -sTCP:LISTEN 2>/dev/null || true)
  # 备用使用ss (较新的CentOS)
  elif command -v ss >/dev/null; then
    pid=$(ss -tlnp | grep ":$port " | sed 's/.*pid=\([0-9]*\).*/\1/' | head -n1 || true)
  # 最后使用netstat
  elif command -v netstat >/dev/null; then
    pid=$(netstat -tlnp 2>/dev/null | grep ":$port " | awk '{print $7}' | cut -d'/' -f1 | head -n1 || true)
  fi
  
  # 验证PID是否有效
  if [[ -n $pid && $pid =~ ^[0-9]+$ ]]; then
    if kill -0 "$pid" 2>/dev/null; then
      echo "$pid"
      return 0
    fi
  fi
  
  return 1
}

# 检查端口是否被占用
is_port_in_use() {
  local port="$1"
  get_pid_by_port "$port" >/dev/null
}

###################### 健康检查工具 ###################################
health_check() {
  local url="$1"
  local timeout="${2:-$APP_START_TIMEOUT_SECONDS}"
  local exptime=0
  
  echo "开始健康检查: $url"
  while true; do
    status_code=$(curl -L -o /dev/null --connect-timeout 5 -s -w %{http_code} "${url}" 2>/dev/null)
    if [ "$?" == "0" ] && [ "$status_code" == "200" ]; then
      echo "健康检查通过 (HTTP $status_code)"
      return 0
    fi
    
    echo "等待应用启动: $((exptime+1))/$timeout 秒 (状态码:${status_code:-连接失败})"
    
    sleep 1 || true
    exptime=$((exptime + 1))
    
    if [ $exptime -gt ${timeout} ]; then
      echo "健康检查超时 (${timeout}秒)，应用启动失败"
      return 1
    fi
  done
}

wait_up()   { health_check "http://$HOST:$1/health"; }
wait_down() { ! health_check "http://$HOST:$1/health"; }

wait_apisix_healthy() { # port
  local node="$HOST:$1"
  [[ $LOG_LEVEL == "DEBUG" ]] && echo "等待APISIX配置下发: $node"
  
  for i in $(seq 0 14); do
    weight=$(get_current_nodes | jq -r --arg n "$node" '.[$n] // empty' 2>/dev/null)
    if [[ -n $weight ]]; then
      [[ $LOG_LEVEL == "DEBUG" ]] && echo "APISIX配置已下发: $node (权重:$weight)"
      return 0
    fi
    echo "等待APISIX配置下发: $((i+1))/15 秒"
    sleep 1 || true
  done
  echo "APISIX配置下发超时，但继续执行..."
  return 1
}

###################### 启停节点 #######################################
start_node() { # no port profile
  local no="$1"; local port="$2"; local profile="$3"; local node="$HOST:$port"
  echo "==== 开始启动 Node$no (端口:$port) ===="
  
  # 步骤1: 检查端口占用
  echo "步骤1/5: 检查端口可用性..."
  if is_port_in_use "$port"; then
    echo "端口 $port 已被占用，无法启动"
    return 1
  fi
  echo "端口 $port 可用"
  
  # 步骤2: 检查jar文件
  echo "步骤2/5: 检查应用文件..."
  if [[ ! -f "$JAR_LINK" ]]; then
    echo "错误: 应用文件 $JAR_LINK 不存在"
    return 1
  fi
  echo "应用文件检查通过"
  
  # 步骤3: 启动应用
  echo "步骤3/5: 启动Java应用 (配置:$profile)..."
  nohup java -jar "$JAR_LINK" --spring.profiles.active=prod,"$profile" \
        >"$LOG_DIR/node${no}.out" 2>&1 &
  local app_pid=$!
  echo "应用已启动，进程PID: $app_pid"
  
  # 步骤4: 等待应用健康检查通过
  echo "步骤4/5: 等待应用健康检查通过..."
  if ! wait_up "$port"; then
    echo "应用健康检查失败，启动中止"
    return 1
  fi
  echo "应用健康检查通过"
  
  # 步骤5: 注册到APISIX (权重为0)
  echo "步骤5/5: 注册到负载均衡器 (权重:0)..."
  add_node "$node" 0
  echo "等待APISIX配置下发..."
  wait_apisix_healthy "$port"
  echo "节点已注册到负载均衡器"
  
  # 步骤6: 激活流量 (权重设为1)
  echo "步骤6/6: 激活流量接收 (权重:0->1)..."
  update_node_weight "$node" 1
  
  echo "==== Node$no 完全启动成功，开始接收流量 ===="
}

stop_node() { # no port
  local no="$1"; local port="$2"; local node="$HOST:$port"
  echo "==== 开始停止 Node$no (端口:$port) ===="
  
  # 步骤1: 检查端口监听状态
  echo "步骤1/1: 检查端口监听状态..."
  local pid
  if ! pid=$(get_pid_by_port "$port"); then
    echo "端口 $port 没有进程监听，节点已停止"
    echo "==== Node$no 停止完成 (端口未监听) ===="
    return 0
  fi
  echo "找到监听进程 PID: $pid，开始停止流程..."
  
  # 步骤2: 降权重 (停止接收新请求)
  echo "步骤2/5: 从负载均衡器移除流量 (权重->0)..."
  update_node_weight "$node" 0 || echo "警告: 更新权重失败，但继续执行停止流程"
  echo "节点权重已降为0，停止接收新请求"
  
  # 步骤3: 等待现有连接耗尽
  echo "步骤3/5: 等待现有连接耗尽 (${IDLE_TIMEOUT_BUFFER}秒)..."
  local drain_time=0
  while [ $drain_time -lt $IDLE_TIMEOUT_BUFFER ]; do
    drain_time=$((drain_time + 1))
    echo "等待连接耗尽: ${drain_time}/${IDLE_TIMEOUT_BUFFER} 秒"
    sleep 1 || true
  done
  echo "连接耗尽等待完成"
  
  # 步骤4: 优雅停机
  echo "步骤4/5: 发送优雅停机信号 (TERM)..."
  kill -TERM "$pid" 2>/dev/null || {
    echo "发送TERM信号失败，进程可能已终止"
  }
  echo "TERM信号已发送，等待进程优雅终止..."
  
  # 等待进程终止 (带进度显示)
  local waited=0
  while kill -0 "$pid" 2>/dev/null; do
    if [ $waited -ge $SHUTDOWN_TIMEOUT_SECONDS ]; then
      echo "优雅停机超时 (${SHUTDOWN_TIMEOUT_SECONDS}s)，执行强制终止..."
      kill -9 "$pid" 2>/dev/null || true
      sleep 2 || true
      break
    fi
    waited=$((waited + 1))
    echo "等待进程终止: ${waited}/${SHUTDOWN_TIMEOUT_SECONDS} 秒"
    sleep 1 || true
  done
  
  # 确认进程状态
  if kill -0 "$pid" 2>/dev/null; then
    echo "警告: 进程 $pid 终止失败，但继续清理"
  else
    echo "进程 $pid 已成功终止"
  fi
  
  # 步骤5: 从upstream完全移除
  echo "步骤5/5: 从APISIX完全移除节点..."
  remove_node "$node" || echo "警告: 从负载均衡器移除节点失败"
  
  echo "==== Node$no 完全停止成功 ===="
}

###################### 主逻辑 #########################################

# 显示用法
show_usage() {
  echo "用法: $0 [jar-file] <action>" >&2
  echo "  jar-file: jar文件路径 (启动操作时必须，停止操作时可选)" >&2
  echo "  action: 1=启动节点1 2=停止节点1 3=启动节点2 4=停止节点2" >&2
  echo "" >&2
  echo "示例:" >&2
  echo "  $0 app-1.0.jar 1     # 启动节点1" >&2
  echo "  $0 2                 # 停止节点1 (不需要jar文件)" >&2
  exit 1
}

# 解析参数
NEW_JAR="" ACTION=""

if [[ $# -eq 1 ]]; then
  # 只有一个参数，判断是jar文件还是action
  if [[ "$1" =~ ^[1-4]$ ]]; then
    ACTION="$1"
  elif [[ -f "$1" ]]; then
    NEW_JAR="$1"
  else
    echo "错误: 参数 '$1' 不是有效的jar文件或操作号" >&2
    show_usage
  fi
elif [[ $# -eq 2 ]]; then
  NEW_JAR="$1"
  ACTION="$2"
elif [[ $# -eq 0 ]]; then
  # 无参数，交互模式
  :
else
  show_usage
fi

# 验证action格式
if [[ -n $ACTION && ! $ACTION =~ ^[1-4]$ ]]; then
  echo "错误: action必须是1-4之间的数字" >&2
  show_usage
fi

# 检查必要工具
check_tools "${ACTION:-0}"

cd "$BASE_DIR"

# 处理jar文件链接（仅在启动操作或有新jar文件时）
if [[ -n $NEW_JAR ]]; then
  if [[ ! -f "$NEW_JAR" ]]; then
    echo "错误: jar文件 '$NEW_JAR' 不存在" >&2
    exit 1
  fi
  
  if [[ "$NEW_JAR" != "$JAR_LINK" ]]; then
    ln -f "$NEW_JAR" "$JAR_LINK"
    echo "已创建jar文件链接: $NEW_JAR -> $JAR_LINK"
  else
    echo "源文件和目标文件相同，跳过链接"
  fi
fi

# 交互式选择
if [[ -z $ACTION ]]; then
  cat <<'EOF'
==================== 选择操作 ====================
 1) 启动节点1      2) 停止节点1
 3) 启动节点2      4) 停止节点2
==================================================
EOF
  read -rp "请选择 (1‑4): " ACTION
  
  if [[ ! $ACTION =~ ^[1-4]$ ]]; then
    echo "无效操作: $ACTION"
    exit 1
  fi
fi

# 对于启动操作，确保有jar文件
if [[ $ACTION =~ ^(1|3)$ && ! -f "$JAR_LINK" ]]; then
  echo "错误: 启动操作需要jar文件，但 $JAR_LINK 不存在" >&2
  echo "请指定jar文件: $0 <jar-file> $ACTION" >&2
  exit 1
fi

# 执行操作
case "$ACTION" in
  1) start_node 1 "$PORT1" "$PROFILE1" ;;
  2) stop_node  1 "$PORT1" ;;
  3) start_node 2 "$PORT2" "$PROFILE2" ;;
  4) stop_node  2 "$PORT2" ;;
  *) echo "无效操作 $ACTION"; exit 1 ;;
esac

echo "==================== 脚本执行完毕 ===================="

ecs/demo-node1/说明.txt

主机
1.2.3.4

所在目录
/home/backend/demo-node1

ecs/demo-node2/deploy.sh

#!/usr/bin/env bash
#
# zero-deploy.sh - 零停机部署脚本（移除锁机制版 2025‑06‑A）
#
# 关键改动
#   1) 以 add_node/remove_node/update_node_weight 取代全量 update_nodes
#   2) 单节点 PATCH，完全符合 APISIX Admin API 最佳实践
#   3) 移除文件锁机制，简化部署流程，确保高效执行
# -------------------------------------------------------------------

set -euo pipefail

####################### 可调参数 #####################################
BASE_DIR="$(dirname "$(readlink "$0")")"
LOG_DIR="$BASE_DIR/logs"

LOG_LEVEL="${LOG_LEVEL:-INFO}"                   # INFO | DEBUG

PORT1=8080 ; PROFILE1="prod-node1"
PORT2=8081 ; PROFILE2="prod-node2"

HEALTH_PATH="/health"
HEALTH_TIMEOUT=60
APP_START_TIMEOUT_SECONDS=$HEALTH_TIMEOUT

KEEPALIVE_IDLE_TIMEOUT=30                        # 与 upstream.keepalive_pool.idle_timeout 对齐
IDLE_TIMEOUT_BUFFER=$((KEEPALIVE_IDLE_TIMEOUT*2))
SHUTDOWN_TIMEOUT_SECONDS=60                    # 优雅停机超时时间(秒)

JAR_LINK="app.jar"
UPSTREAM_ID="java-app-upstream"
ADMIN_URL="http://127.0.0.1:9180/apisix/admin/upstreams/$UPSTREAM_ID"

HOST="172.18.0.1"                                # 可用 `ip route get 1.1.1.1 | awk '{print $7}'`
AUTH_HEADER=(-H "X-API-KEY: CKjcGDoqxcJfpIXWigyqjdUSACvwzEJy") # 请替换
########################################################################

mkdir -p "$LOG_DIR"

###################### 通用函数 #######################################
# API 调用（带重试）
api() {
  local method="GET" url data attempt=1 max=3 delay=1
  while [[ $# -gt 0 ]]; do
    case $1 in
      -X) method="$2"; shift 2;;
      -d) data="$2";  shift 2;;
      http*) url="$1"; shift;;
      *) shift;;
    esac
  done
  while :; do
    [[ $LOG_LEVEL == "DEBUG" ]] && echo "API attempt $attempt: $method $url"
    local rsp http_code body
    if [[ -n ${data:-} ]]; then
      rsp=$(curl -s -w '\n%{http_code}' --fail "${AUTH_HEADER[@]}" -X "$method" \
              -H 'Content-Type: application/json' -d "$data" "$url" 2>&1) || true
    else
      rsp=$(curl -s -w '\n%{http_code}' --fail "${AUTH_HEADER[@]}" -X "$method" \
              "$url" 2>&1) || true
    fi
    http_code=$(echo "$rsp" | tail -n1)
    body=$(echo "$rsp" | head -n -1)
    [[ $LOG_LEVEL == "DEBUG" ]] && echo "Response code: $http_code"

    if [[ $http_code =~ ^2[0-9][0-9]$ ]]; then
      [[ $LOG_LEVEL == "DEBUG" ]] && echo "HTTP $method $url -> $http_code SUCCESS"
      [[ -n $body && $LOG_LEVEL == "DEBUG" ]] && echo "Response body: $body"
      echo "$body"
      return 0
    fi
    if (( attempt >= max )); then
      echo "HTTP $method $url FAILED after $attempt attempts, code=$http_code, body=$body"
      return 1
    fi
    echo "HTTP $method $url attempt $attempt failed, retry after ${delay}s..."
    sleep $delay
    ((attempt++))
    delay=$((delay*2))
  done
}

# 获取当前 upstream.nodes
get_current_nodes() {
  api -X GET "$ADMIN_URL" | jq -r '.value.nodes // {}'
}

###################### 节点操作 #######################################
add_node() { # add_node host:port [weight]
  local node="$1" weight="${2:-0}"
  local nodes=$(get_current_nodes)
  if echo "$nodes" | jq -e --arg n "$node" 'has($n)' >/dev/null; then
    echo "Node $node already exists"
    return 0
  fi
  local patch=$( jq -n --arg node "$node" --argjson w "$weight" '{nodes:{($node):$w}}')
  api -X PATCH -d "$patch" "$ADMIN_URL"
  echo "Node $node added with weight=$weight"
}

update_node_weight() { # update_node_weight host:port weight
  local node="$1" weight="$2"
  [[ $LOG_LEVEL == "DEBUG" ]] && echo "update_node_weight: node=$node, weight=$weight"
  [[ $LOG_LEVEL == "DEBUG" ]] && echo "Creating patch..."
  local patch=$( jq -n --arg node "$node" --argjson w "$weight" '{nodes:{($node):$w}}')
  [[ $LOG_LEVEL == "DEBUG" ]] && echo "Calling API: PATCH $ADMIN_URL with patch: $patch"
  api -X PATCH -d "$patch" "$ADMIN_URL" >/dev/null
  [[ $LOG_LEVEL == "DEBUG" ]] && echo "API call completed"
  echo "Node $node weight updated -> $weight"
}

remove_node() { # remove_node host:port
  local node="$1"
  local patch=$( jq -n --arg node "$node" '{nodes:{($node):null}}')
  api -X PATCH -d "$patch" "$ADMIN_URL"
  echo "Node $node removed from upstream"
}



###################### 健康检查工具 ###################################
health_check() {
  local url="$1"
  local timeout="${2:-$APP_START_TIMEOUT_SECONDS}"
  local exptime=0
  
  echo "开始健康检查: $url"
  while true; do
    status_code=$(curl -L -o /dev/null --connect-timeout 5 -s -w %{http_code} "${url}" 2>/dev/null)
    if [ "$?" == "0" ] && [ "$status_code" == "200" ]; then
      echo "健康检查通过 (HTTP $status_code)"
      return 0
    fi
    
    echo "等待应用启动: $((exptime+1))/$timeout 秒 (状态码:${status_code:-连接失败})"
    
    sleep 1 || true
    exptime=$((exptime + 1))
    
    if [ $exptime -gt ${timeout} ]; then
      echo "健康检查超时 (${timeout}秒)，应用启动失败"
      return 1
    fi
  done
}

wait_up()   { health_check "http://$HOST:$1/health"; }
wait_down() { ! health_check "http://$HOST:$1/health"; }

wait_apisix_healthy() { # port
  local node="$HOST:$1"
  [[ $LOG_LEVEL == "DEBUG" ]] && echo "等待APISIX配置下发: $node"
  
  for i in $(seq 0 14); do
    weight=$(get_current_nodes | jq -r --arg n "$node" '.[$n] // empty' 2>/dev/null)
    if [[ -n $weight ]]; then
      [[ $LOG_LEVEL == "DEBUG" ]] && echo "APISIX配置已下发: $node (权重:$weight)"
      return 0
    fi
    echo "等待APISIX配置下发: $((i+1))/15 秒"
    sleep 1 || true
  done
  echo "APISIX配置下发超时，但继续执行..."
  return 1
}

###################### 启停节点 #######################################
start_node() { # no port profile
  local no="$1"; local port="$2"; local profile="$3"; local node="$HOST:$port"
  echo "==== 开始启动 Node$no (端口:$port) ===="
  
  # 步骤1: 检查端口占用
  echo "步骤1/5: 检查端口可用性..."
  if lsof -ti tcp:"$port" -sTCP:LISTEN >/dev/null; then
    echo "端口 $port 已被占用，无法启动"
    return 1
  fi
  echo "端口 $port 可用"
  
  # 步骤2: 启动应用
  echo "步骤2/5: 启动Java应用 (配置:$profile)..."
  nohup java -jar "$JAR_LINK" --spring.profiles.active=prod,"$profile" \
        >"$LOG_DIR/node${no}.out" 2>&1 &
  local app_pid=$!
  echo "应用已启动，进程PID: $app_pid"
  
  # 步骤3: 等待应用健康检查通过
  echo "步骤3/5: 等待应用健康检查通过..."
  if ! wait_up "$port"; then
    echo "应用健康检查失败，启动中止"
    return 1
  fi
  echo "应用健康检查通过"
  
  # 步骤4: 注册到APISIX (权重为0)
  echo "步骤4/5: 注册到负载均衡器 (权重:0)..."
  add_node "$node" 0
  echo "等待APISIX配置下发..."
  wait_apisix_healthy "$port"
  echo "节点已注册到负载均衡器"
  
  # 步骤5: 激活流量 (权重设为1)
  echo "步骤5/5: 激活流量接收 (权重:0->1)..."
  update_node_weight "$node" 1
  
  echo "==== Node$no 完全启动成功，开始接收流量 ===="
}

stop_node() { # no port
  local no="$1"; local port="$2"; local node="$HOST:$port"
  echo "==== 开始停止 Node$no (端口:$port) ===="
  
  # 步骤1: 获取进程ID
  echo "步骤1/5: 检查进程状态..."
  local pid=$(lsof -ti tcp:"$port" -sTCP:LISTEN || true)
  if [[ -z $pid ]]; then
    echo "进程未运行，仅从负载均衡器移除节点"
    echo "步骤5/5: 从APISIX移除节点..."
    remove_node "$node"
    echo "Node$no 停止完成 (进程未运行)"
    return 0
  fi
  echo "找到进程 PID: $pid"
  
  # 步骤2: 降权重 (停止接收新请求)
  echo "步骤2/5: 从负载均衡器移除流量 (权重->0)..."
  update_node_weight "$node" 0
  echo "节点权重已降为0，停止接收新请求"
  
  # 步骤3: 等待现有连接耗尽
  echo "步骤3/5: 等待现有连接耗尽 (${IDLE_TIMEOUT_BUFFER}秒)..."
  local drain_time=0
  while [ $drain_time -lt $IDLE_TIMEOUT_BUFFER ]; do
    drain_time=$((drain_time + 1))
    echo "等待连接耗尽: ${drain_time}/${IDLE_TIMEOUT_BUFFER} 秒"
    sleep 1 || true
  done
  echo "连接耗尽等待完成"
  
  # 步骤4: 优雅停机
  echo "步骤4/5: 发送优雅停机信号 (TERM)..."
  kill -TERM "$pid" 2>/dev/null || true
  echo "TERM信号已发送，等待进程优雅终止..."
  
  # 等待进程终止 (带进度显示)
  local waited=0
  while kill -0 "$pid" 2>/dev/null; do
    if [ $waited -ge $SHUTDOWN_TIMEOUT_SECONDS ]; then
      echo "优雅停机超时 (${SHUTDOWN_TIMEOUT_SECONDS}s)，执行强制终止..."
      kill -9 "$pid" 2>/dev/null || true
      sleep 2 || true
      break
    fi
    waited=$((waited + 1))
    echo "等待进程终止: ${waited}/${SHUTDOWN_TIMEOUT_SECONDS} 秒"
    sleep 1 || true
  done
  
  # 确认进程状态
  if kill -0 "$pid" 2>/dev/null; then
    echo "进程 $pid 终止失败"
    return 1
  else
    echo "进程 $pid 已成功终止"
  fi
  
  # 步骤5: 从upstream完全移除
  echo "步骤5/5: 从APISIX完全移除节点..."
  remove_node "$node"
  
  echo "==== Node$no 完全停止成功 ===="
}

###################### 主逻辑 #########################################
[[ $# -lt 1 || $# -gt 2 ]] && {
  echo "用法: $0 <jar-file> [action]" >&2
  echo "action: 1=启动节点1 2=停止节点1 3=启动节点2 4=停止节点2" >&2
  exit 1
}
NEW_JAR="$1"; ACTION="${2:-}"

cd "$BASE_DIR"; [[ "$NEW_JAR" != "$JAR_LINK" ]] && ln -f "$NEW_JAR" "$JAR_LINK" || echo "源文件和目标文件相同，跳过链接"

if [[ -z $ACTION ]]; then
  cat <<'EOF'
==================== 选择操作 ====================
 1) 启动节点1      2) 停止节点1
 3) 启动节点2      4) 停止节点2
==================================================
EOF
  read -rp "请选择 (1‑4): " ACTION
fi

case "$ACTION" in
  1) start_node 1 "$PORT1" "$PROFILE1" ;;
  2) stop_node  1 "$PORT1" ;;
  3) start_node 2 "$PORT2" "$PROFILE2" ;;
  4) stop_node  2 "$PORT2" ;;
  *) echo "无效操作 $ACTION"; exit 1 ;;
esac

echo "==================== 脚本执行完毕 ===================="

ecs/demo-node2/说明.txt

主机
1.2.3.4

所在目录
/home/backend/demo-node2

springboot配置文件/application-prod-node1.yml

server:
  port: 8080

springboot配置文件/application-prod-node2.yml

server:
  port: 8081

springboot配置文件/application.yml

spring:
  application:
    name: java-app
  profiles:
    active: prod-node1

  jackson:
    time-zone: Asia/Shanghai              # 全局时区

  lifecycle:
    timeout-per-shutdown-phase: 120s       # 优雅停机总等待

  task:
    execution:                            # 默认异步/响应式线程池
      pool:
        core-size: 16
        max-size: 64
        queue-capacity: 1000
        keep-alive: 60s
      shutdown:
        await-termination: true
        await-termination-period: 120s

server:
  shutdown: graceful                      # Spring Boot 2.3+ 优雅停机
  port: 8080
  servlet:
    context-path: /
  tomcat:
    threads:
      max: 200
      min-spare: 10
    accept-count: 100                     # 已满时排队连接
    max-connections: 10000
    keep-alive-timeout: 20s               # Keep‑Alive 保持时长
    connection-timeout: 5s                # 握手超时

management:
  server:
    port: 8090                            # 管理端口隔离
  endpoints:
    web:
      base-path: /actuator
      exposure:
        include: health,info,prometheus   # shutdown 默认不暴露
  endpoint:
    health:
      show-details: when_authorized
  metrics:
    export:
      prometheus:
        enabled: true
        step: 15s

logging:
  file:
    path: ./logs          # Boot 负责把 LOG_HOME 解析到 ./logs
  level:
    root: INFO
    com.example: DEBUG

springboot配置文件/logback-spring.xml

<?xml version="1.0" encoding="UTF-8"?>
<configuration scan="true" scanPeriod="30 seconds">

	<include resource="org/springframework/boot/logging/logback/defaults.xml"/>
	<include resource="org/springframework/boot/logging/logback/console-appender.xml"/>

	<!-- 日志根目录：来自 logging.file.path -->
	<springProperty scope="context"
					name="LOG_HOME"
					source="logging.file.path"
					defaultValue="./logs"/>

	<!-- 按“天 + 10 MB” 滚动 -->
	<appender name="FILE" class="ch.qos.logback.core.rolling.RollingFileAppender">
		<file>${LOG_HOME}/java-app.log</file>
		<immediateFlush>true</immediateFlush>

		<encoder>
			<pattern>%d{yyyy-MM-dd HH:mm:ss.SSS} [%thread] %-5level %logger{36} - %msg%n</pattern>
			<charset>UTF-8</charset>
		</encoder>

		<rollingPolicy class="ch.qos.logback.core.rolling.SizeAndTimeBasedRollingPolicy">
			<fileNamePattern>${LOG_HOME}/archive/java-app-%d{yyyy-MM-dd}.%i.log.gz</fileNamePattern>
			<maxFileSize>10MB</maxFileSize>
			<maxHistory>30</maxHistory>
			<totalSizeCap>3GB</totalSizeCap>
		</rollingPolicy>
	</appender>

	<!-- 异步包装 -->
	<appender name="ASYNC_FILE" class="ch.qos.logback.classic.AsyncAppender">
		<queueSize>8192</queueSize>
		<discardingThreshold>0</discardingThreshold>
		<neverBlock>true</neverBlock>
		<appender-ref ref="FILE"/>
	</appender>

	<!-- 根日志级别：INFO -->
	<root level="INFO">
		<appender-ref ref="CONSOLE"/>
		<appender-ref ref="ASYNC_FILE"/>
	</root>

	<!-- 如需包级别 DEBUG，在此追加 -->
	<!-- <logger name="com.example" level="DEBUG"/> -->

</configuration>

云效/节点1/部署脚本.txt

set -e  # 遇到错误立即退出
# ==== 环境变量配置 ====
# 制品实际下载到的路径
PACKAGE_PATH=/home/flowapp/demo.tgz                    
#应用目录
APP_HOME=/home/backend/demo-node1               
#jar 文件名
JAR_NAME=demo-0.0.1-SNAPSHOT.jar                         
log() { echo "[`date '+%F %T'`] $*"; }
mkdir -p "$(dirname "$PACKAGE_PATH")"
mkdir -p "$APP_HOME"
deploy_package() {
  # 检查制品文件是否存在
  if [ ! -f "$PACKAGE_PATH" ]; then
    log "错误: 制品文件不存在 $PACKAGE_PATH"
    exit 1
  fi
  log "解包 $PACKAGE_PATH 到 $APP_HOME"
  tar -zxf "$PACKAGE_PATH" -C "$APP_HOME"
  log "解包完成"
  #log "删除压缩包 $PACKAGE_PATH"
  #rm -f "$PACKAGE_PATH" && log "压缩包已删除" || log "压缩包删除失败，可忽略"
}
# 切换到应用目录
cd "$APP_HOME" || { echo "目录不存在: $APP_HOME"; exit 1; }
log "停止节点 1"
sh deploy.sh $JAR_NAME 2   # 参数 2 = 停止节点
deploy_package 
log "启动节点 1"
sh deploy.sh "$JAR_NAME" 1   # 参数 1 = 启动节点
log "部署脚本执行完毕"

云效/节点2/部署脚本.txt

set -e  # 遇到错误立即退出
# ==== 环境变量配置 ====
sleep 5
# 制品实际下载到的路径
PACKAGE_PATH=/home/flowapp/demo.tgz                    
#应用目录
APP_HOME=/home/backend/demo-node2               
#jar 文件名
JAR_NAME=demo-0.0.1-SNAPSHOT.jar                         
log() { echo "[`date '+%F %T'`] $*"; }
mkdir -p "$(dirname "$PACKAGE_PATH")"
mkdir -p "$APP_HOME"
deploy_package() {
  # 检查制品文件是否存在
  if [ ! -f "$PACKAGE_PATH" ]; then
    log "错误: 制品文件不存在 $PACKAGE_PATH"
    exit 1
  fi
  log "解包 $PACKAGE_PATH 到 $APP_HOME"
  tar -zxf "$PACKAGE_PATH" -C "$APP_HOME"
  log "解包完成"
  log "删除压缩包 $PACKAGE_PATH"
  rm -f "$PACKAGE_PATH" && log "压缩包已删除" || log "压缩包删除失败，可忽略"
}
# 切换到应用目录
cd "$APP_HOME" || { echo "目录不存在: $APP_HOME"; exit 1; }
log "停止节点 1"
sh deploy.sh $JAR_NAME 4   # 参数 4 = 停止节点
deploy_package 
log "启动节点 1"
sh deploy.sh "$JAR_NAME" 3   # 参数 3 = 启动节点
log "部署脚本执行完毕"

Cloudflare R2备份脚本

Tue, 24 Jun 2025 00:00:00 GMT

Cloudflare R2备份脚本

📜 完整脚本源码

#!/bin/bash

# Cloudflare R2备份脚本
# 支持交互式选择和命令行参数调用
# 使用方法: sh r2_backup.sh [选项]
# 选项: 1 - 全量备份

# 颜色定义
RED='\033[0;31m'
GREEN='\033[0;32m'
YELLOW='\033[1;33m'
BLUE='\033[0;34m'
NC='\033[0m' # No Color

# R2配置变量
R2_BUCKET_NAME="bucket_name"
R2_ENDPOINT="https://xxx.r2.cloudflarestorage.com"
R2_ACCESS_KEY_ID="xxx"
R2_ACCESS_KEY_SECRET="xxx"
R2_REGION="WNAM"
R2_REMOTE_NAME="cloudflare-r2"

# 备份配置
BACKUP_TARGET_DIR="/home/r2_backup_$(date +%Y%m%d_%H%M%S)"  # 本地备份目录（带时间戳）
# 备份整个存储桶，保持完整目录结构

# 日志函数
log_info() {
    echo -e "${BLUE}[INFO]${NC} $1"
}

log_success() {
    echo -e "${GREEN}[SUCCESS]${NC} $1"
}

log_warning() {
    echo -e "${YELLOW}[WARNING]${NC} $1"
}

log_error() {
    echo -e "${RED}[ERROR]${NC} $1"
}

# 检查rclone是否已安装
check_rclone() {
    log_info "检查rclone是否已安装..."
    
    if command -v rclone &> /dev/null; then
        local version=$(rclone version | head -n 1)
        log_success "rclone已安装: $version"
        return 0
    else
        log_warning "rclone未安装"
        return 1
    fi
}

# 安装rclone
install_rclone() {
    log_info "开始安装rclone..."
    
    # 检查系统类型
    if [[ -f /etc/redhat-release ]] || [[ -f /etc/centos-release ]] || [[ -f /etc/alios-release ]]; then
        # CentOS/RHEL/Alibaba Cloud Linux
        log_info "检测到CentOS/RHEL/Alibaba Cloud Linux系统"
        
        # 使用官方推荐的安装方法
        curl https://rclone.org/install.sh | sudo bash
        
        if [[ $? -eq 0 ]]; then
            log_success "rclone安装成功"
        else
            log_error "rclone安装失败"
            exit 1
        fi
    else
        log_error "不支持的系统类型，请手动安装rclone"
        exit 1
    fi
}

# 配置rclone for Cloudflare R2
configure_rclone() {
    log_info "配置rclone连接到Cloudflare R2..."
    
    # 检查配置是否已存在，静默覆盖
    if rclone listremotes | grep -q "^${R2_REMOTE_NAME}:$"; then
        log_info "rclone配置 '${R2_REMOTE_NAME}' 已存在，将更新配置"
    fi
    
    # 创建rclone配置
    log_info "创建rclone配置文件..."
    
    # 确保配置目录存在
    mkdir -p ~/.config/rclone
    
    # 生成配置内容
    cat > ~/.config/rclone/rclone.conf << EOF
[${R2_REMOTE_NAME}]
type = s3
provider = Cloudflare
access_key_id = ${R2_ACCESS_KEY_ID}
secret_access_key = ${R2_ACCESS_KEY_SECRET}
region = ${R2_REGION}
endpoint = ${R2_ENDPOINT}
acl = private
EOF

    # 测试连接
    log_info "测试rclone连接..."
    if rclone lsd ${R2_REMOTE_NAME}: &> /dev/null; then
        log_success "rclone配置成功，连接测试通过"
    else
        log_error "rclone配置失败，连接测试未通过"
        exit 1
    fi
}

# 全量备份函数
full_backup() {
    log_info "开始执行全量备份..."
    log_info "备份源: ${R2_REMOTE_NAME}:${R2_BUCKET_NAME}/ (整个存储桶)"
    log_info "备份目标目录: ${BACKUP_TARGET_DIR}"
    
    # 创建本地备份目录
    mkdir -p "${BACKUP_TARGET_DIR}"
    
    # 创建备份日志目录
    local log_dir="/var/log/r2_backup"
    sudo mkdir -p "$log_dir"
    local log_file="$log_dir/backup_$(date +%Y%m%d_%H%M%S).log"
    
    # 执行备份 - 备份整个存储桶，保持完整目录结构
    log_info "开始从Cloudflare R2同步整个存储桶到本地..."
    
    rclone sync "${R2_REMOTE_NAME}:${R2_BUCKET_NAME}/" "${BACKUP_TARGET_DIR}/" \
        --progress \
        --transfers 4 \
        --checkers 8 \
        --retries 3 \
        --low-level-retries 10 \
        --stats 30s \
        --log-file "$log_file" \
        --log-level INFO
    
    if [[ $? -eq 0 ]]; then
        log_success "全量备份完成"
        log_info "备份日志: $log_file"
        
        # 显示备份统计信息
        log_info "获取备份统计信息..."
        rclone size "${R2_REMOTE_NAME}:${R2_BUCKET_NAME}/${BACKUP_REMOTE_DIR}"
    else
        log_error "全量备份失败"
        log_error "请查看日志文件: $log_file"
        exit 1
    fi
}

# 显示菜单
show_menu() {
    echo
    echo "=================================="
    echo "  Cloudflare R2 数据备份工具"
    echo "  (从R2下载数据到本地服务器)"
    echo "=================================="
    echo "1. 全量备份 (从R2同步到本地)"
    echo "2. 查看备份状态"
    echo "3. 测试R2连接"
    echo "4. 删除R2目录"
    echo "5. 重新配置rclone"
    echo "0. 退出"
    echo "=================================="
}

# 查看备份列表
list_backups() {
    log_info "查看备份列表..."
    
    echo
    echo "=== 本地备份目录 ==="
    if [[ -d "${BACKUP_TARGET_DIR}" ]]; then
        ls -la "${BACKUP_TARGET_DIR}"
        echo
        echo "备份目录大小:"
        du -sh "${BACKUP_TARGET_DIR}"
    else
        echo "本地备份目录不存在: ${BACKUP_TARGET_DIR}"
    fi
    
    echo
    echo "=== R2存储桶内容 ==="
    rclone lsd "${R2_REMOTE_NAME}:${R2_BUCKET_NAME}" --max-depth 2
}

# 测试连接
test_connection() {
    log_info "测试Cloudflare R2连接..."
    if rclone lsd "${R2_REMOTE_NAME}:" &> /dev/null; then
        log_success "连接测试成功"
        rclone about "${R2_REMOTE_NAME}:"
    else
        log_error "连接测试失败"
    fi
}

# 删除R2存储桶中的指定顶层目录
delete_directory() {
    log_info "删除R2存储桶中的顶层目录..."
    
    echo
    echo "=== R2存储桶顶层目录列表 ==="
    
    # 获取顶层目录列表
    local dirs=$(rclone lsd "${R2_REMOTE_NAME}:${R2_BUCKET_NAME}" --max-depth 1 2>/dev/null | awk '{print $5}' | grep -v '^$')
    
    if [[ -z "$dirs" ]]; then
        log_warning "存储桶中没有找到任何目录"
        return 1
    fi
    
    # 显示目录列表
    local dir_array=()
    local index=1
    while IFS= read -r dir; do
        if [[ -n "$dir" ]]; then
            echo "$index. $dir"
            dir_array+=("$dir")
            ((index++))
        fi
    done <<< "$dirs"
    
    echo "0. 取消操作"
    echo
    
    # 用户选择
    read -p "请选择要删除的目录编号 [0-$((index-1))]: " choice
    
    # 验证输入
    if [[ ! "$choice" =~ ^[0-9]+$ ]] || [[ "$choice" -lt 0 ]] || [[ "$choice" -ge "$index" ]]; then
        log_error "无效的选择"
        return 1
    fi
    
    # 取消操作
    if [[ "$choice" -eq 0 ]]; then
        log_info "取消删除操作"
        return 0
    fi
    
    # 获取选择的目录
    local selected_dir="${dir_array[$((choice-1))]}"
    
    # 二次确认
    echo
    log_warning "警告：即将删除目录 '${selected_dir}' 及其所有内容"
    log_warning "此操作不可逆！"
    read -p "确认删除? 请输入 'DELETE' 来确认: " confirm
    
    if [[ "$confirm" != "DELETE" ]]; then
        log_info "取消删除操作"
        return 0
    fi
    
    # 执行删除
    log_info "正在删除目录: ${selected_dir}"
    
    if rclone purge "${R2_REMOTE_NAME}:${R2_BUCKET_NAME}/${selected_dir}" 2>/dev/null; then
        log_success "目录 '${selected_dir}' 删除成功"
    else
        log_error "目录 '${selected_dir}' 删除失败"
        return 1
    fi
}

# 主函数
main() {
    echo "Cloudflare R2备份脚本启动..."
    
    # 处理命令行参数 - 直接执行模式
    if [[ $# -gt 0 ]]; then
        # 检查并安装rclone
        if ! check_rclone; then
            install_rclone
        fi
        
        # 配置rclone
        configure_rclone
        
        case $1 in
            1)
                full_backup
                exit 0
                ;;
            2)
                list_backups
                exit 0
                ;;
            3)
                test_connection
                exit 0
                ;;
            4)
                delete_directory
                exit 0
                ;;
            5)
                configure_rclone
                exit 0
                ;;
            *)
                log_error "无效的参数: $1"
                echo "使用方法: $0 [1|2|3|4|5]"
                echo "1 - 全量备份"
                echo "2 - 查看备份列表"
                echo "3 - 测试连接"
                echo "4 - 删除R2目录"
                echo "5 - 重新配置rclone"
                exit 1
                ;;
        esac
    fi
    
    # 交互式菜单模式
    while true; do
        show_menu
        read -p "请选择操作 [0-4]: " choice
        
        case $choice in
            1)
                # 检查并安装rclone
                if ! check_rclone; then
                    install_rclone
                fi
                # 配置rclone
                configure_rclone
                full_backup
                ;;
            2)
                # 检查并安装rclone
                if ! check_rclone; then
                    install_rclone
                fi
                # 配置rclone
                configure_rclone
                list_backups
                ;;
            3)
                # 检查并安装rclone
                if ! check_rclone; then
                    install_rclone
                fi
                # 配置rclone
                configure_rclone
                test_connection
                ;;
            4)
                # 检查并安装rclone
                if ! check_rclone; then
                    install_rclone
                fi
                # 配置rclone
                configure_rclone
                delete_directory
                ;;
            5)
                # 检查并安装rclone
                if ! check_rclone; then
                    install_rclone
                fi
                configure_rclone
                ;;
            0)
                log_info "退出程序"
                exit 0
                ;;
            *)
                log_error "无效选择，请重新输入"
                ;;
        esac
        
        echo
        read -p "按回车键继续..." -r
    done
}

# 脚本入口
main "$@"

📋 项目介绍

这是一个功能完整的 Cloudflare R2 存储桶管理工具，支持数据备份、目录删除等操作。该脚本基于 rclone 工具开发，提供了友好的交互式界面和命令行参数支持。

✨ 功能特性

🔄 全量备份: 从 Cloudflare R2 存储桶同步数据到本地服务器
📊 状态查看: 查看本地备份和远程存储桶状态
🔗 连接测试: 测试与 Cloudflare R2 的连接状态
🗑️ 目录删除: 安全删除 R2 存储桶中的指定目录
⚙️ 配置管理: 自动安装和配置 rclone
📝 日志记录: 详细的操作日志和彩色输出
🎛️ 双模式支持: 交互式菜单 + 命令行参数

🛠️ 环境要求

系统支持

CentOS 7+
RHEL 7+
Alibaba Cloud Linux
其他 Linux 发行版（需手动安装 rclone）

依赖工具

curl - 用于下载 rclone
sudo - 管理员权限
bash - Shell 解释器

📋 配置说明

R2 配置参数

在使用脚本前，需要修改以下配置变量：

R2_BUCKET_NAME="your-bucket-name"           # R2 存储桶名称
R2_ENDPOINT="https://xxx.r2.cloudflarestorage.com"  # R2 端点地址
R2_ACCESS_KEY_ID="your-access-key"          # 访问密钥 ID
R2_ACCESS_KEY_SECRET="your-secret-key"      # 访问密钥
R2_REGION="WNAM"                            # 区域设置

获取 R2 配置信息

登录 Cloudflare Dashboard
进入 R2 Object Storage
选择您的存储桶
在 Settings 中获取端点地址
在 API tokens 中创建并获取访问密钥

🚀 使用方法

交互式模式

# 启动交互式菜单
sh r2_backup.sh

命令行模式

# 全量备份
sh r2_backup.sh 1

# 查看备份状态
sh r2_backup.sh 2

# 测试连接
sh r2_backup.sh 3

# 删除R2目录
sh r2_backup.sh 4

# 重新配置rclone
sh r2_backup.sh 5

📖 功能详解

1. 全量备份

从 R2 存储桶完整同步数据到本地
保持原有目录结构
自动创建带时间戳的备份目录
支持断点续传和重试机制

2. 查看备份状态

显示本地备份目录内容和大小
展示 R2 存储桶结构
提供详细的统计信息

3. 测试连接

验证 rclone 配置正确性
测试网络连接状态
显示存储桶基本信息

4. 删除 R2 目录

列出存储桶顶层目录
交互式选择删除目标
二次确认防止误操作
安全删除指定目录及内容

5. 配置管理

自动检测和安装 rclone
生成 R2 连接配置
验证配置有效性

📂 目录结构

/home/r2_backup_YYYYMMDD_HHMMSS/    # 备份根目录
├── [存储桶内容]                     # 保持原有结构
/var/log/r2_backup/                 # 日志目录
├── backup_YYYYMMDD_HHMMSS.log      # 备份日志
~/.config/rclone/                   # rclone配置
├── rclone.conf                     # 配置文件

⚠️ 注意事项

安全提醒

访问密钥安全: 确保 R2 访问密钥的安全性，不要泄露
删除确认: 删除操作不可逆，请谨慎操作
权限管理: 脚本需要 sudo 权限进行系统操作

性能优化

网络带宽: 大文件传输需要稳定的网络环境
存储空间: 确保本地有足够的存储空间
并发设置: 可根据服务器性能调整 --transfers 和 --checkers 参数

备份策略

定期备份: 建议设置定时任务进行定期备份
监控日志: 定期检查备份日志确保操作成功
版本管理: 考虑实现备份版本管理机制

🛠️ 故障排除

常见问题

Q: rclone 安装失败

# 手动安装 rclone
curl https://rclone.org/install.sh | sudo bash

Q: 连接测试失败

检查网络连接
验证 R2 配置参数
确认访问密钥权限

Q: 备份中断

检查磁盘空间
查看网络状态
重新运行备份命令

Q: 权限不足

# 确保脚本有执行权限
chmod +x r2_backup.sh

日志分析

备份日志位于 /var/log/r2_backup/ 目录下，包含详细的操作记录：

# 查看最新日志
tail -f /var/log/r2_backup/backup_*.log

# 搜索错误信息
grep -i error /var/log/r2_backup/backup_*.log

🔧 高级配置

自定义 rclone 参数

可在脚本中修改以下参数以优化性能：

--transfers 4          # 并发传输数量
--checkers 8          # 并发检查器数量
--retries 3           # 重试次数
--low-level-retries 10 # 底层重试次数
--stats 30s           # 统计更新间隔

定时备份设置

使用 crontab 设置定时备份：

# 编辑 crontab
crontab -e

# 每天凌晨 2 点执行全量备份
0 2 * * * /path/to/r2_backup.sh 1 >> /var/log/r2_backup/cron.log 2>&1

📜 完整脚本源码

#!/bin/bash

# Cloudflare R2备份脚本
# 支持交互式选择和命令行参数调用
# 使用方法: sh r2_backup.sh [选项]
# 选项: 1 - 全量备份

# 颜色定义
RED='\033[0;31m'
GREEN='\033[0;32m'
YELLOW='\033[1;33m'
BLUE='\033[0;34m'
NC='\033[0m' # No Color

# R2配置变量
R2_BUCKET_NAME="twenhub-bucket"
R2_ENDPOINT="https://xxx.r2.cloudflarestorage.com"
R2_ACCESS_KEY_ID="xxx"
R2_ACCESS_KEY_SECRET="xxx"
R2_REGION="WNAM"
R2_REMOTE_NAME="cloudflare-r2"

# 备份配置
BACKUP_TARGET_DIR="/home/r2_backup_$(date +%Y%m%d_%H%M%S)"  # 本地备份目录（带时间戳）
# 备份整个存储桶，保持完整目录结构

# 日志函数
log_info() {
    echo -e "${BLUE}[INFO]${NC} $1"
}

log_success() {
    echo -e "${GREEN}[SUCCESS]${NC} $1"
}

log_warning() {
    echo -e "${YELLOW}[WARNING]${NC} $1"
}

log_error() {
    echo -e "${RED}[ERROR]${NC} $1"
}

# 检查rclone是否已安装
check_rclone() {
    log_info "检查rclone是否已安装..."
    
    if command -v rclone &> /dev/null; then
        local version=$(rclone version | head -n 1)
        log_success "rclone已安装: $version"
        return 0
    else
        log_warning "rclone未安装"
        return 1
    fi
}

# 安装rclone
install_rclone() {
    log_info "开始安装rclone..."
    
    # 检查系统类型
    if [[ -f /etc/redhat-release ]] || [[ -f /etc/centos-release ]] || [[ -f /etc/alios-release ]]; then
        # CentOS/RHEL/Alibaba Cloud Linux
        log_info "检测到CentOS/RHEL/Alibaba Cloud Linux系统"
        
        # 使用官方推荐的安装方法
        curl https://rclone.org/install.sh | sudo bash
        
        if [[ $? -eq 0 ]]; then
            log_success "rclone安装成功"
        else
            log_error "rclone安装失败"
            exit 1
        fi
    else
        log_error "不支持的系统类型，请手动安装rclone"
        exit 1
    fi
}

# 配置rclone for Cloudflare R2
configure_rclone() {
    log_info "配置rclone连接到Cloudflare R2..."
    
    # 检查配置是否已存在，静默覆盖
    if rclone listremotes | grep -q "^${R2_REMOTE_NAME}:$"; then
        log_info "rclone配置 '${R2_REMOTE_NAME}' 已存在，将更新配置"
    fi
    
    # 创建rclone配置
    log_info "创建rclone配置文件..."
    
    # 确保配置目录存在
    mkdir -p ~/.config/rclone
    
    # 生成配置内容
    cat > ~/.config/rclone/rclone.conf << EOF
[${R2_REMOTE_NAME}]
type = s3
provider = Cloudflare
access_key_id = ${R2_ACCESS_KEY_ID}
secret_access_key = ${R2_ACCESS_KEY_SECRET}
region = ${R2_REGION}
endpoint = ${R2_ENDPOINT}
acl = private
EOF

    # 测试连接
    log_info "测试rclone连接..."
    if rclone lsd ${R2_REMOTE_NAME}: &> /dev/null; then
        log_success "rclone配置成功，连接测试通过"
    else
        log_error "rclone配置失败，连接测试未通过"
        exit 1
    fi
}

# 全量备份函数
full_backup() {
    log_info "开始执行全量备份..."
    log_info "备份源: ${R2_REMOTE_NAME}:${R2_BUCKET_NAME}/ (整个存储桶)"
    log_info "备份目标目录: ${BACKUP_TARGET_DIR}"
    
    # 创建本地备份目录
    mkdir -p "${BACKUP_TARGET_DIR}"
    
    # 创建备份日志目录
    local log_dir="/var/log/r2_backup"
    sudo mkdir -p "$log_dir"
    local log_file="$log_dir/backup_$(date +%Y%m%d_%H%M%S).log"
    
    # 执行备份 - 备份整个存储桶，保持完整目录结构
    log_info "开始从Cloudflare R2同步整个存储桶到本地..."
    
    rclone sync "${R2_REMOTE_NAME}:${R2_BUCKET_NAME}/" "${BACKUP_TARGET_DIR}/" \
        --progress \
        --transfers 4 \
        --checkers 8 \
        --retries 3 \
        --low-level-retries 10 \
        --stats 30s \
        --log-file "$log_file" \
        --log-level INFO
    
    if [[ $? -eq 0 ]]; then
        log_success "全量备份完成"
        log_info "备份日志: $log_file"
        
        # 显示备份统计信息
        log_info "获取备份统计信息..."
        rclone size "${R2_REMOTE_NAME}:${R2_BUCKET_NAME}/${BACKUP_REMOTE_DIR}"
    else
        log_error "全量备份失败"
        log_error "请查看日志文件: $log_file"
        exit 1
    fi
}

# 显示菜单
show_menu() {
    echo
    echo "=================================="
    echo "  Cloudflare R2 数据备份工具"
    echo "  (从R2下载数据到本地服务器)"
    echo "=================================="
    echo "1. 全量备份 (从R2同步到本地)"
    echo "2. 查看备份状态"
    echo "3. 测试R2连接"
    echo "4. 删除R2目录"
    echo "5. 重新配置rclone"
    echo "0. 退出"
    echo "=================================="
}

# 查看备份列表
list_backups() {
    log_info "查看备份列表..."
    
    echo
    echo "=== 本地备份目录 ==="
    if [[ -d "${BACKUP_TARGET_DIR}" ]]; then
        ls -la "${BACKUP_TARGET_DIR}"
        echo
        echo "备份目录大小:"
        du -sh "${BACKUP_TARGET_DIR}"
    else
        echo "本地备份目录不存在: ${BACKUP_TARGET_DIR}"
    fi
    
    echo
    echo "=== R2存储桶内容 ==="
    rclone lsd "${R2_REMOTE_NAME}:${R2_BUCKET_NAME}" --max-depth 2
}

# 测试连接
test_connection() {
    log_info "测试Cloudflare R2连接..."
    if rclone lsd "${R2_REMOTE_NAME}:" &> /dev/null; then
        log_success "连接测试成功"
        rclone about "${R2_REMOTE_NAME}:"
    else
        log_error "连接测试失败"
    fi
}

# 删除R2存储桶中的指定顶层目录
delete_directory() {
    log_info "删除R2存储桶中的顶层目录..."
    
    echo
    echo "=== R2存储桶顶层目录列表 ==="
    
    # 获取顶层目录列表
    local dirs=$(rclone lsd "${R2_REMOTE_NAME}:${R2_BUCKET_NAME}" --max-depth 1 2>/dev/null | awk '{print $5}' | grep -v '^$')
    
    if [[ -z "$dirs" ]]; then
        log_warning "存储桶中没有找到任何目录"
        return 1
    fi
    
    # 显示目录列表
    local dir_array=()
    local index=1
    while IFS= read -r dir; do
        if [[ -n "$dir" ]]; then
            echo "$index. $dir"
            dir_array+=("$dir")
            ((index++))
        fi
    done <<< "$dirs"
    
    echo "0. 取消操作"
    echo
    
    # 用户选择
    read -p "请选择要删除的目录编号 [0-$((index-1))]: " choice
    
    # 验证输入
    if [[ ! "$choice" =~ ^[0-9]+$ ]] || [[ "$choice" -lt 0 ]] || [[ "$choice" -ge "$index" ]]; then
        log_error "无效的选择"
        return 1
    fi
    
    # 取消操作
    if [[ "$choice" -eq 0 ]]; then
        log_info "取消删除操作"
        return 0
    fi
    
    # 获取选择的目录
    local selected_dir="${dir_array[$((choice-1))]}"
    
    # 二次确认
    echo
    log_warning "警告：即将删除目录 '${selected_dir}' 及其所有内容"
    log_warning "此操作不可逆！"
    read -p "确认删除? 请输入 'DELETE' 来确认: " confirm
    
    if [[ "$confirm" != "DELETE" ]]; then
        log_info "取消删除操作"
        return 0
    fi
    
    # 执行删除
    log_info "正在删除目录: ${selected_dir}"
    
    if rclone purge "${R2_REMOTE_NAME}:${R2_BUCKET_NAME}/${selected_dir}" 2>/dev/null; then
        log_success "目录 '${selected_dir}' 删除成功"
    else
        log_error "目录 '${selected_dir}' 删除失败"
        return 1
    fi
}

# 主函数
main() {
    echo "Cloudflare R2备份脚本启动..."
    
    # 处理命令行参数 - 直接执行模式
    if [[ $# -gt 0 ]]; then
        # 检查并安装rclone
        if ! check_rclone; then
            install_rclone
        fi
        
        # 配置rclone
        configure_rclone
        
        case $1 in
            1)
                full_backup
                exit 0
                ;;
            2)
                list_backups
                exit 0
                ;;
            3)
                test_connection
                exit 0
                ;;
            4)
                delete_directory
                exit 0
                ;;
            5)
                configure_rclone
                exit 0
                ;;
            *)
                log_error "无效的参数: $1"
                echo "使用方法: $0 [1|2|3|4|5]"
                echo "1 - 全量备份"
                echo "2 - 查看备份列表"
                echo "3 - 测试连接"
                echo "4 - 删除R2目录"
                echo "5 - 重新配置rclone"
                exit 1
                ;;
        esac
    fi
    
    # 交互式菜单模式
    while true; do
        show_menu
        read -p "请选择操作 [0-4]: " choice
        
        case $choice in
            1)
                # 检查并安装rclone
                if ! check_rclone; then
                    install_rclone
                fi
                # 配置rclone
                configure_rclone
                full_backup
                ;;
            2)
                # 检查并安装rclone
                if ! check_rclone; then
                    install_rclone
                fi
                # 配置rclone
                configure_rclone
                list_backups
                ;;
            3)
                # 检查并安装rclone
                if ! check_rclone; then
                    install_rclone
                fi
                # 配置rclone
                configure_rclone
                test_connection
                ;;
            4)
                # 检查并安装rclone
                if ! check_rclone; then
                    install_rclone
                fi
                # 配置rclone
                configure_rclone
                delete_directory
                ;;
            5)
                # 检查并安装rclone
                if ! check_rclone; then
                    install_rclone
                fi
                configure_rclone
                ;;
            0)
                log_info "退出程序"
                exit 0
                ;;
            *)
                log_error "无效选择，请重新输入"
                ;;
        esac
        
        echo
        read -p "按回车键继续..." -r
    done
}

# 脚本入口
main "$@"

注意: 使用前请务必修改脚本中的 R2 配置参数，并确保访问密钥的安全性。

Rocket.Chat小火箭IM安装配置

Tue, 24 Jun 2025 00:00:00 GMT

Rocket.Chat小火箭IM安装配置

环境准备

系统要求

操作系统: Ubuntu 22.04 LTS (推荐) 或 CentOS 7+
内存: 最低 2GB，推荐 4GB+
存储: 最低 20GB，推荐 50GB+
网络: 公网IP，开放端口 80, 443
域名: 已解析到服务器IP的域名

域名配置

域名作用:

SSL证书自动申请和续期
客户端连接地址
邮件通知中的链接地址

配置要求:

# DNS A记录配置示例
your-domain.com    A    47.239.250.165

Docker环境安装

安装Docker

<a href="https://www.twenhub.com/archives/linuxjiao-ben-yi-jian-zi-dong-an-zhuang-docker" target="_blank" rel="noopener noreferrer">点击查看教程</a>

Rocket.Chat部署

部署脚本

#!/usr/bin/env bash
# Rocket.Chat 完整管理脚本 (部署 / 启动 / 停止 / 重启 / 状态 / 卸载)
# 适用: Alibaba Cloud Linux / CentOS 7+ (Docker & docker compose 已预装)
# 作者: Enhanced Version  日期: 2025-06-24
set -uo pipefail

WORKDIR="/home/rocketchat"
COMPOSE_URL="https://go.rocket.chat/i/docker-compose.yml"
ENV_URL="https://raw.githubusercontent.com/RocketChat/Docker.Official.Image/main/env.example"
TRAEFIK_URL="https://raw.githubusercontent.com/RocketChat/Docker.Official.Image/main/traefik.yml"

#--- 工具函数 -------------------------------------------------
pause() { read -rp ">> 按回车键继续..." _; }
need_root() { [[ $EUID -ne 0 ]] && { echo "请以 root 或 sudo 方式执行"; exit 1; }; }
check_cmd() { 
  if [[ "$1" == "docker compose" ]]; then
    docker compose version &>/dev/null || { echo "未安装 docker compose，请先安装后重试"; exit 1; }
  else
    command -v "$1" &>/dev/null || { echo "未安装 $1，请先安装后重试"; exit 1; }
  fi
}

check_installation() {
  if [[ ! -d "$WORKDIR" ]] || [[ ! -f "$WORKDIR/compose.yml" ]]; then
    echo "❌ 未发现 Rocket.Chat 安装，请先执行部署操作"
    return 1
  fi
  return 0
}

#--- 1) 部署 / 升级 ------------------------------------------
deploy() {
  echo "=== 部署 / 升级 Rocket.Chat ==="
  read -rp "访问域名 (chat.example.com): " DOMAIN
  read -rp "管理员邮箱 (用于 Let's Encrypt): " EMAIL
  read -rp "指定 Rocket.Chat 版本 (回车=latest): " RELEASE
  RELEASE=${RELEASE:-latest}
  
  mkdir -p "$WORKDIR" && cd "$WORKDIR"
  curl -fsSL "$COMPOSE_URL"  -o compose.yml
  curl -fsSL "$ENV_URL"      -o .env
  curl -fsSL "$TRAEFIK_URL"  -o traefik.yml
  
  # 修改 .env 关键字段
  sed -Ei "s|^#?(RELEASE=).*|\1${RELEASE}|" .env
  sed -Ei "s|^#?(ROOT_URL=).*|\1https://${DOMAIN}|" .env
  sed -Ei "s|^#?(DOMAIN=).*|\1${DOMAIN}|" .env
  sed -Ei "s|^#?(LETSENCRYPT_EMAIL=).*|\1${EMAIL}|" .env
  sed -Ei "s|^HOST_PORT=.*|HOST_PORT=|" .env        # 让 Traefik 接管 80/443
  
  echo "生成的核心配置："
  grep -E '^(RELEASE|ROOT_URL|DOMAIN|LETSENCRYPT_EMAIL|HOST_PORT)' .env
  pause
  
  docker compose -f compose.yml -f traefik.yml up -d
  echo -e "\n✅ 部署/升级完成！几分钟后浏览器访问 https://${DOMAIN}。"
  pause
}

#--- 2) 启动服务 ------------------------------------------
start_service() {
  echo "=== 启动 Rocket.Chat 服务 ==="
  if ! check_installation; then
    pause
    return
  fi
  
  cd "$WORKDIR"
  echo "正在启动服务..."
  docker compose -f compose.yml -f traefik.yml up -d
  echo "✅ Rocket.Chat 服务已启动"
  show_status
  pause
}

#--- 3) 停止服务 ------------------------------------------
stop_service() {
  echo "=== 停止 Rocket.Chat 服务 ==="
  if ! check_installation; then
    pause
    return
  fi
  
  cd "$WORKDIR"
  echo "正在停止服务..."
  docker compose -f compose.yml -f traefik.yml stop
  echo "✅ Rocket.Chat 服务已停止"
  pause
}

#--- 4) 重启服务 ------------------------------------------
restart_service() {
  echo "=== 重启 Rocket.Chat 服务 ==="
  if ! check_installation; then
    pause
    return
  fi
  
  cd "$WORKDIR"
  echo "正在重启服务..."
  docker compose -f compose.yml -f traefik.yml restart
  echo "✅ Rocket.Chat 服务已重启"
  show_status
  pause
}

#--- 5) 查看状态 ------------------------------------------
show_status() {
  echo "=== Rocket.Chat 服务状态 ==="
  if ! check_installation; then
    pause
    return
  fi
  
  cd "$WORKDIR"
  echo "Docker 容器状态："
  docker compose -f compose.yml -f traefik.yml ps
  echo ""
  echo "系统资源使用："
  docker stats --no-stream --format "table {{.Container}}\t{{.CPUPerc}}\t{{.MemUsage}}\t{{.NetIO}}" $(docker compose -f compose.yml -f traefik.yml ps -q) 2>/dev/null || echo "无法获取资源使用情况"
  echo ""
  if [[ -f .env ]]; then
    DOMAIN=$(grep "^DOMAIN=" .env | cut -d'=' -f2)
    if [[ -n "$DOMAIN" ]]; then
      echo "访问地址: https://$DOMAIN"
    fi
  fi
  pause
}

#--- 6) 查看日志 ------------------------------------------
show_logs() {
  echo "=== Rocket.Chat 服务日志 ==="
  if ! check_installation; then
    pause
    return
  fi
  
  cd "$WORKDIR"
  echo "选择要查看的服务日志："
  echo "1) Rocket.Chat 主服务"
  echo "2) MongoDB 数据库"
  echo "3) Traefik 代理"
  echo "4) 所有服务"
  read -rp "请选择 [1-4]: " log_choice
  
  case "$log_choice" in
    1) docker compose logs --tail=50 -f rocketchat ;;
    2) docker compose logs --tail=50 -f mongodb ;;
    3) docker compose logs --tail=50 -f traefik ;;
    4) docker compose logs --tail=50 -f ;;
    *) echo "无效选择"; pause; return ;;
  esac
}

#--- 7) 卸载 --------------------------------------------------
uninstall() {
  echo "=== 卸载 Rocket.Chat ==="
  if ! check_installation; then
    pause
    return
  fi
  
  cd "$WORKDIR"
  echo "⚠️  警告：此操作将完全移除 Rocket.Chat 服务"
  read -rp "确认继续卸载？(y/N): " confirm
  if [[ ${confirm,,} != y ]]; then
    echo "已取消卸载操作"
    pause
    return
  fi
  
  docker compose -f compose.yml -f traefik.yml down --remove-orphans
  read -rp "是否删除持久化数据卷与镜像？(y/N): " ans
  if [[ ${ans,,} == y ]]; then
    docker volume rm $(docker volume ls -q | grep rocketchat) 2>/dev/null || true
    docker image prune -af
    echo "数据卷与镜像已删除"
  else
    echo "已保留数据卷，可后续复用"
  fi
  
  read -rp "是否删除安装目录 $WORKDIR？(y/N): " del_dir
  if [[ ${del_dir,,} == y ]]; then
    rm -rf "$WORKDIR"
    echo "安装目录已删除"
  fi
  
  echo "✅ 卸载完成"
  pause
}

#--- 主菜单 ---------------------------------------------------
main_menu() {
  clear
  echo "============ Rocket.Chat 完整管理脚本 ============"
  echo " 1) 部署 / 升级"
  echo " 2) 启动服务"
  echo " 3) 停止服务"
  echo " 4) 重启服务"
  echo " 5) 查看状态"
  echo " 6) 查看日志"
  echo " 7) 卸载 (可选删除数据)"
  echo " 0) 退出"
  echo "================================================"
  read -rp "请选择 [0-7]: " choice
  case "$choice" in
    1) deploy ;;
    2) start_service ;;
    3) stop_service ;;
    4) restart_service ;;
    5) show_status ;;
    6) show_logs ;;
    7) uninstall ;;
    0) exit 0 ;;
    *) echo "无效输入"; pause ;;
  esac
}

#--- 执行入口 -------------------------------------------------
need_root
check_cmd docker
check_cmd "docker compose"

while true; do 
  main_menu
done

验证部署

# 检查容器状态
docker ps

# 检查端口监听
sudo netstat -tlnp | grep :80
sudo netstat -tlnp | grep :443

# 测试域名访问
curl -I https://your-domain.com

初始化配置

访问Web界面

打开浏览器访问: https://your-domain.com
等待初始化完成 (可能需要几分钟)

设置向导

第1步: 管理员信息

全名: 管理员姓名
用户名: admin (建议使用复杂用户名)
邮箱: admin@your-domain.com
密码: 强密码 (至少8位，包含大小写字母、数字、特殊字符)

第2步: 组织信息

组织名称: 你的组织名称
行业类型: 选择相应行业
组织规模: 选择人员规模
国家: 选择所在国家

国家选择影响:

时区设置
语言本地化
法规合规 (如GDPR)
服务器推荐

第3步: 服务器信息

服务器名称: 工作区显示名称
服务器类型: 
  - Community: 社区版 (免费)
  - Enterprise: 企业版 (付费)

第4步: 注册服务器 (可选)

选择是否注册到Rocket.Chat云服务
注册后可获得推送通知等服务
可以跳过，后续在设置中配置

管理员设置

访问管理面板

点击右上角头像
选择 "管理" 或直接访问: https://your-domain.com/admin

基础设置

工作区设置

路径: 管理 → 工作区

站点名称: 显示在浏览器标题栏的名称
站点URL: https://your-domain.com
默认语言: 中文 (简体)
时区: Asia/Shanghai

账户设置

路径: 管理 → 设置 → 搜索 "accounts"

允许用户注册: 
  - 启用: 任何人都可以注册
  - 禁用: 只能通过邀请注册

注册表单:
  - 需要姓名: 启用
  - 需要邮箱验证: 启用
  - 手动批准新用户: 根据需要

默认用户角色: user (普通用户)

邮件设置

路径: 管理 → 邮件

SMTP服务器: smtp.gmail.com (Gmail示例)
端口: 587
用户名: your-email@gmail.com
密码: 应用专用密码
发件人邮箱: your-email@gmail.com
发件人名称: Rocket.Chat

邮件作用:

用户注册验证
密码重置
系统通知
邀请链接

端到端加密配置

启用E2EE

路径: 管理 → 设置 → 搜索 "E2E" → End-to-end encryption

基础配置

端到端加密: 启用
允许未加密消息: 禁用 (推荐)
加密直接消息: 启用
加密私人房间: 启用
加密文件: 启用
提及功能: 启用

重要提醒

启用后会生成E2EE密码 (如: effect liquid oliver monkey arnold)
必须安全保存此密码
每个用户在每个设备上都需要输入此密码
丢失密码将无法恢复加密内容

E2EE密码管理

获取密码

启用E2EE后，系统会显示密码
点击 "Save your encryption password" 查看
复制并安全保存密码

分发密码

通过安全渠道分发给团队成员
建议使用密码管理器存储
定期更换密码提高安全性

重置密码

路径: 管理 → 设置 → End-to-end encryption → Restore defaults

注意: 重置后历史加密内容将无法解密

存储配置

文件存储类型

路径: 管理 → 设置 → 搜索 "storage"

GridFS存储 (默认)

存储类型: GridFS
位置: MongoDB数据库内
优点: 数据一致性好，备份简单
缺点: 可能影响数据库性能
适用: 小到中等规模部署

文件系统存储

存储类型: FileSystem
系统路径: /app/uploads (容器内路径)
优点: 性能更好，便于直接访问
缺点: 需要额外配置持久化存储
适用: 大规模部署或高性能需求

配置文件系统存储

修改存储类型

管理 → 设置 → 搜索 "Custom Emoji Filesystem"
Storage Type: 选择 "FileSystem"
System Path: 设置存储路径
保存设置

配置持久化存储

编辑 compose.yml:

services:
  rocketchat:
    volumes:
      - ./uploads:/app/uploads  # 添加文件存储卷
      - ./data:/app/data        # 添加数据存储卷

重启服务:

docker compose down
docker compose -f compose.yml -f traefik.yml up -d

存储限制配置

路径: 管理 → 设置 → File Upload

文件上传: 启用
最大文件大小: 100MB (根据需要调整)
接受的文件类型: 留空 (允许所有类型)
被阻止的文件类型: image/svg+xml (安全考虑)
文件保护: 启用 (只有认证用户可访问)

用户管理

创建用户

路径: 管理 → 用户 → 新用户

姓名: 用户真实姓名
用户名: 登录用户名 (唯一)
邮箱: 用户邮箱地址
密码: 
  - 随机生成并邮件发送
  - 手动设置
角色: 
  - user: 普通用户
  - admin: 管理员
  - moderator: 版主

用户角色权限

普通用户 (user)

发送消息
创建频道
上传文件
使用基础功能

管理员 (admin)

所有用户权限
管理用户和频道
修改系统设置
查看统计信息

版主 (moderator)

普通用户权限
管理指定频道
删除消息
禁言用户

批量用户管理

导入用户

路径: 管理 → 导入

支持格式:

CSV文件
Slack导出
HipChat导出

CSV格式示例:

name,username,email,password
张三,zhangsan,zhangsan@company.com,password123
李四,lisi,lisi@company.com,password456

用户状态管理

活跃: 正常使用
停用: 暂时禁用，保留数据
删除: 永久删除用户和数据

客户端配置

移动端配置

下载应用

iOS: App Store搜索 "Rocket.Chat"
Android: Google Play搜索 "Rocket.Chat"

连接配置

服务器URL: https://your-domain.com
用户名: 注册的用户名
密码: 用户密码

E2EE配置

登录后会提示输入E2EE密码
输入管理员提供的E2EE密码
点击 "Enable encryption"
验证加密功能正常

桌面端配置

下载客户端

Windows: 从官网下载 .exe 安装包
macOS: 从官网下载 .dmg 安装包
Linux: 从官网下载 .AppImage 或使用包管理器

连接配置

与移动端相同，输入服务器URL和登录凭据

网页端配置

直接访问: https://your-domain.com

浏览器要求

Chrome 70+
Firefox 65+
Safari 12+
Edge 79+

管理脚本使用

脚本功能

管理脚本位置: /home/rocketchat_manager.sh

# 运行管理脚本
/home/rocketchat_manager.sh

功能菜单

1) 部署/升级 - 首次安装或版本升级
2) 启动服务 - 启动已停止的服务
3) 停止服务 - 停止运行中的服务
4) 重启服务 - 重启服务 (故障恢复)
5) 查看状态 - 检查服务运行状态
6) 查看日志 - 排查问题时查看日志
7) 卸载 - 完全移除 (谨慎使用)
0) 退出

常用操作

查看服务状态

cd /home/rocketchat
docker compose ps

查看日志

# 查看所有服务日志
docker compose logs

# 查看特定服务日志
docker compose logs rocketchat
docker compose logs mongodb
docker compose logs traefik

# 实时查看日志
docker compose logs -f rocketchat

故障排除

常见问题

1. 服务无法启动

症状: 容器启动失败或反复重启

排查步骤:

# 查看容器状态
docker compose ps

# 查看错误日志
docker compose logs rocketchat

# 检查端口占用
sudo netstat -tlnp | grep :80
sudo netstat -tlnp | grep :443

常见原因:

端口被占用
域名未正确解析
内存不足
磁盘空间不足

2. SSL证书申请失败

症状: 无法通过HTTPS访问，证书错误

排查步骤:

# 查看Traefik日志
docker compose logs traefik

# 检查域名解析
nslookup your-domain.com
dig your-domain.com

# 检查Let's Encrypt限制
# 每个域名每周最多50个证书

解决方案:

确认域名正确解析到服务器IP
检查防火墙是否开放80/443端口
等待DNS传播完成 (最多48小时)

3. 数据库连接失败

症状: Rocket.Chat无法连接MongoDB

排查步骤:

# 检查MongoDB状态
docker compose logs mongodb

# 进入MongoDB容器
docker exec -it rocketchat-mongodb-1 mongosh

# 检查副本集状态
rs.status()

解决方案:

重启MongoDB服务
检查副本集配置
清理损坏的数据文件

4. 用户无法登录

症状: 登录时提示用户名或密码错误

排查步骤:

# 检查用户状态
# 在管理面板 → 用户 中查看用户状态

# 重置用户密码
# 在用户编辑页面重置密码

解决方案:

确认用户账户未被停用
重置用户密码
检查邮箱验证状态

5. E2EE无法使用

症状: 无法启用端到端加密或无法解密消息

排查步骤:

确认E2EE在服务器端已启用
检查客户端是否输入正确的E2EE密码
验证客户端版本支持E2EE

解决方案:

重新输入E2EE密码
更新客户端到最新版本
重置E2EE设置 (会丢失历史加密数据)

附录

A. 端口说明

端口	服务	说明
80	HTTP	自动重定向到HTTPS
443	HTTPS	主要访问端口
3000	Rocket.Chat	容器内部端口
27017	MongoDB	数据库端口 (内部)

B. 目录结构

/home/rocketchat/
├── compose.yml          # Docker Compose配置
├── traefik.yml         # Traefik配置
├── .env                # 环境变量
├── uploads/            # 文件上传目录 (可选)
└── backups/            # 备份目录 (可选)

C. 环境变量参考

变量名	默认值	说明
RELEASE	latest	Rocket.Chat版本
DOMAIN	localhost	域名
ROOT_URL	http://localhost	完整URL
HOST_PORT	80	HTTP端口
LETSENCRYPT_EMAIL	-	SSL证书邮箱
MONGODB_REPLICA_SET_NAME	rs0	MongoDB副本集名

D. 有用的命令

# 查看所有容器
docker ps -a

# 查看容器资源使用
docker stats

# 进入容器
docker exec -it rocketchat-rocketchat-1 bash

# 查看容器日志
docker logs rocketchat-rocketchat-1

# 重启特定服务
docker compose restart rocketchat

# 更新镜像
docker compose pull && docker compose up -d

高级配置

频道和房间管理

频道类型说明

公共频道 (#channel)

标识: 以 # 开头
可见性: 所有工作区成员可见
加入方式: 自由加入或邀请
用途: 团队公告、部门讨论、项目协作
搜索: 消息内容可被搜索

私人频道 (🔒private)

标识: 锁图标标识
可见性: 仅邀请成员可见
加入方式: 仅通过邀请
用途: 机密讨论、小组协作
搜索: 仅成员可搜索内容

直接消息 (DM)

类型: 一对一私人聊天
可见性: 仅参与者可见
加密: 支持端到端加密
用途: 私人沟通、敏感信息交流

创建和管理频道

创建频道:

1. 点击左侧边栏 "+" 按钮
2. 选择 "频道" 或 "私人群组"
3. 填写频道信息:
   - 名称: 频道标识符 (不可包含空格)
   - 显示名称: 用户看到的名称
   - 描述: 频道用途说明
   - 主题: 当前讨论主题
4. 设置权限和选项
5. 邀请初始成员

频道设置选项:

只读频道: 仅管理员可发言
广播频道: 仅授权用户可发言，其他人只能查看
加密频道: 启用端到端加密 (私人频道)
存档频道: 保留历史但停止新消息

频道权限管理

路径: 频道设置 → 权限

角色权限:

所有者 (Owner):
- 删除频道
- 修改频道设置
- 管理所有成员
- 设置其他管理员

管理员 (Admin):
- 修改频道信息
- 邀请/移除成员
- 删除消息
- 设置版主

版主 (Moderator):
- 删除消息
- 禁言用户
- 管理消息

成员 (Member):
- 发送消息
- 上传文件
- 查看历史消息

Windows 断网修复脚本

Mon, 23 Jun 2025 00:00:00 GMT

Windows 断网修复脚本

@echo off
setlocal EnableExtensions EnableDelayedExpansion
title Windows Network Deep Repair (Windows 10/11)

:: --- Self-elevate to admin ---
net session >NUL 2>&1
if errorlevel 1 (
  echo Requesting administrative privileges...
  powershell -NoProfile -ExecutionPolicy Bypass -Command "Start-Process -FilePath '%~f0' -Verb RunAs"
  exit /b
)

:: --- Options (1=enable, 0=disable) ---
set "ENABLE_FIREWALL_RESET=1"
set "ENABLE_HOSTS_RESET=1"
set "ENABLE_DELETE_WIFI_PROFILES=0"   :: if set to 1, ALL saved Wi-Fi profiles are removed
set "ENABLE_HEALTH_REPAIR=1"          :: DISM + SFC

:: --- Log file ---
for /f %%i in ('powershell -NoProfile -Command "(Get-Date).ToString(\"yyyyMMdd_HHmmss\")"') do set "TS=%%i"
set "LOG=%TEMP%\Net_DeepRepair_%TS%.log"
echo --- Windows Network Deep Repair started %DATE% %TIME% --- > "%LOG%"
call :log "Logging to: %LOG%"

:: --- Inventory / snapshot ---
call :log "Collecting environment info..."
ver >> "%LOG%"
ipconfig /all >> "%LOG%"
route print >> "%LOG%"
netsh winsock show catalog >> "%LOG%" 2>&1
netsh winhttp show proxy >> "%LOG%" 2>&1

:: --- Clear user & system proxies ---
call :log "Resetting system and user proxy settings..."
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyEnable /t REG_DWORD /d 0 /f >> "%LOG%" 2>&1
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v ProxyServer /f >> "%LOG%" 2>&1
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v AutoConfigURL /f >> "%LOG%" 2>&1
netsh winhttp reset proxy >> "%LOG%" 2>&1

:: --- Reset HOSTS to Windows default (backup first) ---
if "%ENABLE_HOSTS_RESET%"=="1" (
  call :log "Resetting HOSTS file to Windows default (backup first)..."
  set "HOSTS=%SystemRoot%\System32\drivers\etc\hosts"
  if exist "%HOSTS%" copy /y "%HOSTS%" "%HOSTS%.bak.%TS%" >nul 2>&1
  attrib -r -s -h "%HOSTS%" >nul 2>&1
  (
    echo # Default Windows HOSTS file
    echo # localhost name resolution is handled within DNS itself.
    echo # 127.0.0.1       localhost
    echo # ::1             localhost
  ) > "%HOSTS%"
)

:: --- Reset Winsock & TCP/IP (IPv4/IPv6) ---
call :log "Resetting Winsock and TCP/IP (IPv4/IPv6)..."
netsh winsock reset >> "%LOG%" 2>&1
netsh int ipv4 reset "%TEMP%\ipv4_reset_%TS%.log" >> "%LOG%" 2>&1
netsh int ipv6 reset "%TEMP%\ipv6_reset_%TS%.log" >> "%LOG%" 2>&1

:: --- Flush DNS, clear ARP, clear routes, renew IP ---
call :log "Clearing DNS, ARP cache and routing table; renewing IP..."
ipconfig /flushdns >> "%LOG%" 2>&1
arp -d * >> "%LOG%" 2>&1
route -f >> "%LOG%" 2>&1
ipconfig /release >> "%LOG%" 2>&1
ipconfig /renew >> "%LOG%" 2>&1

:: --- Ensure DHCP and automatic DNS on all active adapters ---
call :log "Ensuring DHCP and automatic DNS on all adapters..."
powershell -NoProfile -ExecutionPolicy Bypass -Command ^
"Get-NetIPInterface -AddressFamily IPv4 | Where-Object { $_.Dhcp -ne 'Enabled' } | ForEach-Object { Set-NetIPInterface -Dhcp Enabled -InterfaceIndex $_.InterfaceIndex }" >> "%LOG%" 2>&1
powershell -NoProfile -ExecutionPolicy Bypass -Command ^
"Get-DnsClient | Where-Object { $_.InterfaceAlias -notmatch 'vEthernet|Hyper-V|VMware|VirtualBox|TAP|VPN|Loopback|WSL|Bluetooth' } | ForEach-Object { Set-DnsClientServerAddress -InterfaceAlias $_.InterfaceAlias -ResetServerAddresses }" >> "%LOG%" 2>&1

:: --- Restart critical networking services ---
call :log "Starting critical networking services..."
for %%S in (bfe mpssvc Dhcp Dnscache nsi netprofm LanmanWorkstation LanmanServer iphlpsvc WinHttpAutoProxySvc) do (
  sc config %%S start= auto >> "%LOG%" 2>&1
  net start %%S >> "%LOG%" 2>&1
)

:: --- Backup & reset Windows Defender Firewall (optional) ---
if "%ENABLE_FIREWALL_RESET%"=="1" (
  call :log "Backing up and resetting Windows Defender Firewall to defaults..."
  netsh advfirewall export "%TEMP%\FirewallPolicy_%TS%.wfw" >> "%LOG%" 2>&1
  netsh advfirewall reset >> "%LOG%" 2>&1
)

:: --- Remove ALL saved Wi‑Fi profiles (optional deep cleanup) ---
if "%ENABLE_DELETE_WIFI_PROFILES%"=="1" (
  call :log "Deleting ALL saved Wi‑Fi profiles (you will need to re-enter Wi‑Fi passwords)..."
  netsh wlan delete profile name=* >> "%LOG%" 2>&1
)

:: --- Component store & system files repair (optional) ---
if "%ENABLE_HEALTH_REPAIR%"=="1" (
  call :log "Repairing component store (DISM) and system files (SFC)..."
  DISM /Online /Cleanup-Image /RestoreHealth >> "%LOG%" 2>&1
  sfc /scannow >> "%LOG%" 2>&1
)

:: --- Final quick checks ---
call :log "Final connectivity tests..."
ping -n 2 1.1.1.1 >> "%LOG%" 2>&1 && call :log "ICMP to 1.1.1.1: OK" || call :log "ICMP to 1.1.1.1: FAILED"
nslookup www.microsoft.com >> "%LOG%" 2>&1 && call :log "DNS lookup (www.microsoft.com): OK" || call :log "DNS lookup (www.microsoft.com): FAILED"

call :log "Complete. A restart is recommended to finalize stack resets."
echo.
echo ===============================================================================
echo   Windows Network Deep Repair is complete.
echo   Log file: %LOG%
echo   A restart is recommended to finalize Winsock/IP resets.
echo ===============================================================================
echo.
choice /C YN /N /T 15 /D N /M "Reboot now? [Y/N] "
if errorlevel 2 goto :end
if errorlevel 1 shutdown /r /t 5 /c "Windows Network Deep Repair completed"
goto :eof

:log
set "MSG=%~1"
echo [%DATE% %TIME%] %MSG%
>>"%LOG%" echo [%DATE% %TIME%] %MSG%
goto :eof

:end
exit /b 0

Windows 时间同步修复技术文档

Mon, 23 Jun 2025 00:00:00 GMT

Windows 时间同步修复技术文档

概述

本文档提供了一个完整的解决方案，用于修复Windows系统中因硬件信息修改工具（如"牛B硬件信息修改大师"）导致的时间同步问题。该批处理脚本会重新安装/重置Windows Time (W32Time)服务、配置新的NTP服务器、放宽时间漂移阈值、强制即时同步，并修正时区设置。

适用系统： Windows 10 / Windows 11

🚀 快速使用指南

第一步：保存脚本

将下方的批处理脚本保存为 Fix_WinTime_W11.bat

第二步：运行脚本

⚠️ 重要： 必须右键点击脚本文件，选择 "以管理员身份运行"

第三步：验证结果

脚本执行完毕后，检查系统时间是否已正确同步

📋 完整修复脚本

@echo off
:: Fix_WinTime_W11.bat – Windows 11 时间修复脚本
:: -------------------------------------------------
:: 可按需要修改的两处参数：
::  1) NTP_LIST：建议至少 3 个公开 NTP 服务器
::  2) TZ_ID   ：目标时区 ID（tzutil /l 可查看所有 ID）
:: -------------------------------------------------
set "NTP_LIST=time.windows.com time.nist.gov pool.ntp.org"
set "TZ_ID=China Standard Time"

echo =============================================
echo * Windows 11 时间修复脚本 *
echo =============================================

:: 0. 检查管理员权限
net session >nul 2>&1
if %errorlevel% NEQ 0 (
    echo  [!] 请以“管理员身份”执行本脚本！
    pause & exit /b 1
)

:: 1. 停止 Windows Time 服务
echo [1/8] 停止 Windows Time 服务...
net stop w32time /y

:: 2. 重新注册 Windows Time 服务
echo [2/8] 重新注册 Windows Time 服务...
w32tm /unregister >nul 2>&1
w32tm /register   >nul 2>&1

:: 3. 设置服务为自动启动
sc config w32time start= auto

:: 4. 写入新的 NTP 服务器列表
echo [4/8] 配置 NTP 服务器：%NTP_LIST%
w32tm /config /manualpeerlist:"%NTP_LIST%" /syncfromflags:manual /reliable:yes /update

:: 5. 启动 Windows Time 服务
echo [5/8] 启动 Windows Time 服务...
net start w32time

:: 6. 强制立即同步
echo [6/8] 强制同步时间...
w32tm /resync /rediscover /nowait

:: 7. 放宽单次可接受的最大时间漂移（避免“时间差过大”错误）
reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config ^
 /v MaxPosPhaseCorrection /t REG_DWORD /d 0xffffffff /f
reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config ^
 /v MaxNegPhaseCorrection /t REG_DWORD /d 0xffffffff /f

:: 8. 设置时区
echo [8/8] 设置时区为 %TZ_ID% ...
tzutil /s "%TZ_ID%"

echo.
echo **** 已完成！如仍显示旧时间，可重启电脑或再次执行：
echo      w32tm /resync /nowait
echo.
pause
exit /b

🔧 技术原理详解

1. 重新注册 W32Time 服务

核心命令： w32tm /unregister & w32tm /register

这组操作等同于"重装"时间服务，能够将被第三方工具修改过的注册表配置恢复为默认状态。这是解决时间同步问题的根本措施。

2. 服务启动配置

核心命令： sc config w32time start= auto & net start w32time

确保Windows Time服务设置为自动启动，并立即启动服务，保证下次开机后时间服务能够正常运行。

3. NTP服务器配置

核心命令： w32tm /config /manualpeerlist:"%NTP_LIST%" /syncfromflags:manual /reliable:yes /update

通过 /manualpeerlist 参数指定可靠的公用NTP服务器列表，/reliable:yes 参数将本机标记为"可靠时源"，在单机环境下能避免因找不到域控制器而导致的同步失败。

推荐NTP服务器：

time.windows.com - Microsoft官方时间服务器
time.nist.gov - 美国国家标准与技术研究院
pool.ntp.org - NTP池项目

4. 强制时间同步

核心命令： w32tm /resync /rediscover /nowait

立即向新配置的NTP源获取时间，并重新探测网络环境，确保时间同步的实时性。

5. 时间漂移限制调整

核心配置：

reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config /v MaxPosPhaseCorrection /t REG_DWORD /d 0xffffffff /f
reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config /v MaxNegPhaseCorrection /t REG_DWORD /d 0xffffffff /f

当系统时间偏差超过几小时时，w32tm /resync 可能会报告"所需的时间更改太大"错误。将 MaxPos/NegPhaseCorrection 设置为 0xFFFFFFFF 可以绕过这个限制，允许大幅度的时间调整。

6. 时区校正

核心命令： tzutil /s "<TimeZoneID>"

使用Microsoft官方的命令行工具设置正确的时区，适用于Windows 10/11系统。

⚙️ 自定义配置

修改NTP服务器列表

根据您的地理位置和网络环境，可以修改脚本中的NTP服务器列表：

set "NTP_LIST=time.windows.com time.nist.gov pool.ntp.org"

其他可选NTP服务器：

time1.aliyun.com - 阿里云时间服务器
ntp.ubuntu.com - Ubuntu时间服务器
time.cloudflare.com - Cloudflare时间服务器

修改时区设置

查看系统支持的所有时区ID：

tzutil /l

修改脚本中的时区设置：

set "TZ_ID=China Standard Time"

常用时区ID：

China Standard Time - 中国标准时间
Eastern Standard Time - 美国东部时间
GMT Standard Time - 格林威治标准时间

🔍 故障排除

问题1：脚本运行后时间仍不正确

解决方案：

检查网络连接，确保能访问NTP服务器
检查防火墙设置，确保UDP 123端口未被阻止
手动执行时间同步命令：w32tm /resync /nowait

问题2：每次重启后时间又错误

可能原因： BIOS/CMOS电池亏电导致硬件时钟错误

解决方案：

更换主板CMOS电池
重新运行修复脚本
在BIOS中重新设置正确时间

问题3：权限不足错误

解决方案： 确保以管理员身份运行脚本，脚本会自动检查管理员权限并提示。

📊 验证同步状态

运行以下命令检查时间同步状态：

w32tm /query /status

正常输出示例：

Stratum: 3 或更低数字（数字越小表示时间源越可靠）
Source: 显示当前使用的NTP服务器
Last Successful Sync Time: 显示最后一次成功同步的时间

⚠️ 重要提醒

管理员权限： 本脚本必须以管理员身份运行
网络连接： 确保计算机能够访问互联网和NTP服务器
防火墙设置： 确保Windows防火墙或第三方防火墙没有阻止NTP通信（UDP端口123）
硬件时钟： 如果CMOS电池需要更换，请在运行脚本前先更换电池

📝 版本信息

文档版本： 1.0
适用系统： Windows 10/11
最后更新： 2025年6月
测试环境： Windows 11 22H2

本文档提供的解决方案已在多种Windows环境下测试验证，能够有效解决因第三方工具导致的时间同步问题。如遇到特殊情况，建议备份重要数据后再执行脚本。

Windows使用Proxifier让指定软件强制走代理

Mon, 23 Jun 2025 00:00:00 GMT

Windows使用Proxifier让指定软件强制走代理

🔑 注册码信息

Proxifier 注册码： 4MHDA-C3FNN-EV6YH-ZENEQ-5A2CP

📋 概述

本教程将详细介绍如何使用 Proxifier 让 指定软件（以 Google Chrome 为例）走代理，而其他程序保持直连。适用于 Windows 10/11 系统。

🎯 教程目标

✅ 让 Chrome 浏览器通过代理服务器访问网络
✅ 其他软件保持正常直连
✅ 避免 DNS 泄漏
✅ 支持 SOCKS5 和 HTTP(S) 代理

🛠️ 准备工作

软件下载

Proxifier 官方下载： <a href="https://www.proxifier.com/" target="_blank" rel="noopener noreferrer">www.proxifier.com</a>

系统要求

项目	要求
操作系统	Windows 10/11
Proxifier	v4.x（推荐最新版）
代理服务器	SOCKS5 或 HTTP(S) 代理

重要原则

⚠️ 核心规则： Proxifier 的规则按照 从上到下 的顺序匹配，一旦命中规则即停止检查后续规则。这是整个配置的关键所在！

🔧 配置步骤

步骤一：添加代理服务器

启动 Proxifier，点击 Profile → Proxy Servers → Add...

在弹出窗口中填写代理信息：

字段	设置	示例
Address	代理服务器地址	`127.0.0.1` 或域名
Port	端口号	`1080`
Protocol	协议类型	`SOCKS Version 5`
Username	用户名（如需要）	-
Password	密码（如需要）	-

点击 Check 按钮测试连接，确保显示 Successfully connected
点击 OK 保存配置

步骤二：创建代理规则

进入规则配置：Profile → Proxification Rules...

我们需要创建三条规则，顺序非常重要：

规则 1：Localhost 直连（最高优先级）

配置项	设置值
Rule Name	`Localhost Direct`
Applications	`Any`
Target Hosts	`localhost;127.0.0.1;%ComputerName%;::1`
Target Ports	`Any`
Action	Direct

作用： 确保本地回环流量不被代理，避免系统和程序出现异常。

规则 2：Chrome 走代理（核心规则）

配置项	设置值
Rule Name	`Chrome Proxy`
Applications	浏览选择 `chrome.exe`
Target Hosts	`Any`
Target Ports	`Any`
Action	选择刚才添加的代理服务器

作用： 让 Chrome 的所有网络请求通过代理服务器。

规则 3：默认直连（兜底规则）

配置项	设置值
Rule Name	`Default Direct`
Applications	`Any`
Target Hosts	`Any`
Target Ports	`Any`
Action	Direct

作用： 其他所有程序保持直连。

高级规则示例

除了上述基础配置，您也可以根据实际需求设置更复杂的规则。下图展示了一个包含四条规则的配置示例：

规则列表

下表详细列出了上图中的代理规则及其配置：

规则名称 (Rule Name)	应用程序 (Applications)	目标主机 (Target Hosts)	目标端口 (Target Ports)	动作 (Action)	含义说明
exclud adspower	`G:\\adspower\\AdsPower Global\\*.exe`	Any	Any	Direct	排除特定程序：指定路径下的 `AdsPower Global` 程序的所有网络请求都将直接连接，不通过任何代理。这通常用于确保某些对网络环境敏感或需要直连的软件能正常工作。
LAN Direct	Any	`10.0.0.0/8`<br>`172.16.0.0/12`<br>`192.168.0.0/16`<br>`169.254.0.0/16`	Any	Direct	局域网直连：所有访问局域网（LAN）私有地址的请求都直接连接。这可以防止访问本地网络设备（如打印机、NAS）时流量被错误地发送到代理服务器，保证了内网访问的效率和稳定性。
Localhost	Any	`localhost`<br>`127.0.0.1`<br>`%ComputerName%`<br>`::1`	Any	Direct	本地回环直连：确保所有访问本机的流量（如 `localhost` 或 `127.0.0.1`）都直接连接。这是保证系统和应用程序内部通信正常运行的关键规则，必须置于高优先级。
Default	Any	Any	Any	Proxy SOCKS5	默认走代理：作为兜底规则，所有不满足以上任何一条规则的网络请求，都将通过指定的 SOCKS5 代理服务器进行连接。这是实现全局代理或特定程序外全局代理的核心。

核心原则回顾

Proxifier 的规则处理遵循两大核心原则：

顺序至上：规则从上到下逐一匹配，一旦请求满足某条规则，便立即执行该规则的动作（Action），并停止匹配后续规则。因此，将最具体、最优先的规则放在最上面至关重要。
启用与禁用：您可以通过勾选或取消勾选规则名称前的复选框来临时启用或禁用某条规则，这为调试和测试提供了极大的便利。

掌握这些规则将使您能够灵活地应对各种复杂的网络代理需求。

整体效果说明

上述四条规则组合在一起，实现了一个**"精准控制的全局代理系统"**，具体效果如下：

网络流量分流策略：

这套规则配置实现了智能的三层流量分流机制。首先，AdsPower Global 软件的所有网络请求会被完全排除在代理之外，确保该软件始终使用真实的本地网络环境进行连接。其次，所有访问局域网设备和本地回环地址的流量都会直接连接，不经过任何代理服务器，这保证了访问路由器管理界面、NAS存储、打印机、本机服务等内网资源时的速度和稳定性，同时避免了代理服务器对本地通信造成的干扰。最后，除上述情况外的所有其他网络流量都会统一通过 SOCKS5 代理服务器进行连接，实现了全局代理的效果。

✅ 测试验证

查看连接日志

在 Proxifier 主界面切换到 Log 标签页
打开 Chrome 并访问任意网站

观察日志，应该看到类似记录：

[23:45:12] chrome.exe → 172.217.160.110:443 via MyProxy (SOCKS5)

IP 地址验证

Chrome 测试： 访问 <a href="https://ipinfo.io/ip" target="_blank" rel="noopener noreferrer">ipinfo.io/ip</a>
- 应显示代理服务器的出口 IP
其他浏览器测试： 用 Edge 或其他浏览器访问同一网站
- 应显示本机真实 IP

AI开发工具导航

Wed, 18 Jun 2025 00:00:00 GMT

AI开发工具导航

精选优质AI开发助手，助力高效编程与创作

🤖 通用AI助手

Manus

网站: <a href="https://manus.im/" target="_blank" rel="noopener noreferrer">manus.im</a>
功能: 通用AI助手，连接思维和行动，擅长各种工作和生活任务
价格: 注册送1000积分 + 每日300积分
优势: 在GAIA和CUB基准测试中达到SOTA性能，支持多种任务类型

Claude AI

网站: <a href="https://claude.ai/" target="_blank" rel="noopener noreferrer">claude.ai</a>
功能: Anthropic开发的AI助手，专注日常生产力任务
价格: Free免费 / Pro $17/月 / Max $100+/月
优势: 强大的对话能力，适合文本处理和分析任务

💻 AI编程助手

Devin AI

网站: <a href="https://app.devin.ai/" target="_blank" rel="noopener noreferrer">app.devin.ai</a>
功能: AI软件工程师，自动化任务完成、计划、测试和PR
价格: Core按需付费 / Team $500/月 / Enterprise定制
优势: 集成Slack和Linear，自主任务完成，支持完整开发流程

CodeGen

网站: <a href="https://codegen.com/" target="_blank" rel="noopener noreferrer">codegen.com</a>
功能: AI代码生成工具，从想法到功能快速实现
价格: Free 10次/总共 / Individual $9.99/月 / Teams $199/月
优势: 集成GitHub、Linear、Slack，支持多种开发场景

最后更新: 2025年6月

MyBatis二级缓存导致数据读取不一致问题解决方案

Tue, 17 Jun 2025 00:00:00 GMT

MyBatis二级缓存导致数据读取不一致问题解决方案

问题描述

SpringBoot + MyBatis 可读已提交不生效，先在SpringBoot查询出结果然后在数据库修改值后在Java再次读取，结果读取的还是修改之前的值。

原因分析

是MyBatis二级缓存导致的。

解决办法

方案一：使用SqlSession清除缓存

@Resource
private SqlSession sqlSession;
 
@Transactional(isolation = Isolation.READ_COMMITTED)
@Override
public void aaa() {
    SysLog log1 = this.getById("");
    log.info("log1【{}】", log1.getLogContent());
    sqlSession.clearCache();
    SysLog log2 = this.getById("");
    log.info("log2【{}】", log2.getLogContent());
}

方案二：使用SqlSessionTemplate清除缓存

@Resource
private SqlSessionTemplate sqlSessionTemplate;
 
@Transactional(isolation = Isolation.READ_COMMITTED)
@Override
public void aaa() {
    SysLog log1 = this.getById("");
    log.info("log1【{}】", log1.getLogContent());
    sqlSessionTemplate.clearCache();
    SysLog log2 = this.getById("");
    log.info("log2【{}】", log2.getLogContent());
}

方案三：在SQL查询中禁用缓存

<select id="getById" resultType="SysLog" useCache="false">
    SELECT * FROM sys_log WHERE id = #{id}
</select>

在线病毒分析网站大全

Mon, 16 Jun 2025 00:00:00 GMT

在线病毒分析网站大全

🔍 主流在线恶意软件分析平台

1. <a href="https://www.virustotal.com/" target="_blank" rel="noopener noreferrer">VirusTotal</a> - Google旗下多引擎检测平台

开发商: Google
支持平台: Windows、macOS、Linux、Android APK、iOS、文档文件、脚本文件
特色功能: 70+反病毒引擎、威胁情报聚合、API接口、社区评论
文件大小限制: 免费版最大650MB
语言: 多语言支持（包含中文）

2. <a href="https://www.hybrid-analysis.com/" target="_blank" rel="noopener noreferrer">Hybrid Analysis</a> - CrowdStrike Falcon沙箱公共版

开发商: CrowdStrike
支持平台: Windows、Linux、Android APK、macOS
特色功能: 深度动态分析、行为检测、网络流量分析、可视化报告
文件大小限制: 最大100MB
语言: 英文

3. <a href="https://s.threatbook.com/" target="_blank" rel="noopener noreferrer">微步在线云沙箱</a> - 国内领先威胁情报平台

开发商: 微步在线（ThreatBook）
支持平台: Windows、Linux、Android APK、文档文件、脚本文件、邮件格式
特色功能: 700+行为签名、威胁情报查询、家族分类、中文报告
文件大小限制: 登录后最大200MB
语言: 中文

4. <a href="https://any.run/" target="_blank" rel="noopener noreferrer">ANY.RUN</a> - 交互式实时沙箱

开发商: ANY.RUN
支持平台: Windows、Linux、Android APK
特色功能: 实时交互分析、录屏功能、手动操作、网络监控
文件大小限制: 最大100MB
语言: 英文

5. <a href="https://www.joesandbox.com/" target="_blank" rel="noopener noreferrer">Joe Sandbox Cloud</a> - 专业级深度分析

开发商: Joe Security
支持平台: Windows、macOS、Linux、Android APK、iOS
特色功能: 多架构支持、深度静态分析、高级行为检测、企业级功能
文件大小限制: 根据版本不同
语言: 英文

6. <a href="https://ata.360.net/" target="_blank" rel="noopener noreferrer">360沙箱云</a> - 360数字安全集团分析平台

开发商: 360数字安全集团
支持平台: Windows、Android APK、Linux、文档文件
特色功能: 国产化引擎、威胁情报、行为分析、中文界面
文件大小限制: 需查看平台说明
语言: 中文

7. <a href="https://metadefender.opswat.com/" target="_blank" rel="noopener noreferrer">MetaDefender Cloud</a> - OPSWAT多引擎平台

开发商: OPSWAT
支持平台: Windows、macOS、Linux、Android APK、文档文件
特色功能: 多引擎扫描、CDR技术、沙箱分析、数据清理
文件大小限制: 最大140MB
语言: 英文

8. <a href="https://www.virscan.org/" target="_blank" rel="noopener noreferrer">VirSCAN</a> - 多引擎文件检测平台

开发商: 3S-LAB安全实验室
支持平台: Windows、Linux、macOS、Android APK、文档文件、脚本文件
特色功能: 多引擎检测、Hash查询、中文界面、完全免费
文件大小限制: 最大100MB
语言: 中文

9. <a href="https://analyze.intezer.com/" target="_blank" rel="noopener noreferrer">Intezer Analyze</a> - 基因比对家族溯源

开发商: Intezer
支持平台: Windows、Linux、macOS、Android APK
特色功能: 代码基因分析、家族溯源、相似性检测、威胁分类
文件大小限制: 最大32MB
语言: 英文

10. <a href="https://habo.qq.com/" target="_blank" rel="noopener noreferrer">腾讯哈勃分析系统</a> - 腾讯安全实验室产品

开发商: 腾讯安全实验室
支持平台: Windows、Android APK、文档文件
特色功能: 腾讯自研引擎、安全等级评估、中文报告、免费使用
文件大小限制: 需查看平台说明
语言: 中文

11. <a href="https://sandbox.ti.qianxin.com/" target="_blank" rel="noopener noreferrer">奇安信情报沙箱</a> - 奇安信TI平台组件

开发商: 奇安信
支持平台: Windows、Linux、Android APK、文档文件
特色功能: 威胁情报集成、企业级功能、高级持续威胁检测
文件大小限制: 需查看平台说明
语言: 中文

12. <a href="https://virusscan.jotti.org/" target="_blank" rel="noopener noreferrer">Jotti's Malware Scan</a> - 轻量多AV扫描

开发商: Jotti
支持平台: Windows、Linux、macOS、文档文件、脚本文件
特色功能: 多反病毒引擎、简单易用、快速检测、免费使用
文件大小限制: 最大25MB
语言: 英文

13. <a href="https://www.antiy.cn/Security_Product/sdfx.html" target="_blank" rel="noopener noreferrer">安天追影威胁分析系统</a> - 安天自主引擎分析

开发商: 安天科技
支持平台: Windows、Linux、Android APK、文档文件
特色功能: 自主研发引擎、动静态结合分析、APT检测、国产化
文件大小限制: 需查看平台说明
语言: 中文

📱 支持平台说明

Windows平台

支持格式: PE文件(.exe, .dll, .sys)、MSI安装包、批处理脚本、PowerShell脚本
推荐平台: VirusTotal、Hybrid Analysis、微步云沙箱、ANY.RUN

Android平台

支持格式: APK文件、DEX文件
推荐平台: VirusTotal、Hybrid Analysis、360沙箱云、Joe Sandbox

Linux平台

支持格式: ELF文件、Shell脚本、Python脚本
推荐平台: Hybrid Analysis、Joe Sandbox、Intezer Analyze

macOS平台

支持格式: Mach-O文件、DMG镜像、PKG安装包
推荐平台: VirusTotal、Joe Sandbox、MetaDefender

文档文件

支持格式: PDF、Office文档(Word/Excel/PowerPoint)、RTF
推荐平台: VirusTotal、微步云沙箱、VirSCAN

脚本文件

支持格式: JavaScript、VBScript、Python、PHP、Perl
推荐平台: VirusTotal、Hybrid Analysis、微步云沙箱

🛡️ 使用建议

快速检测推荐

VirusTotal - 最全面的多引擎检测
VirSCAN - 中文界面，操作简便
Jotti's Malware Scan - 轻量快速

深度分析推荐

Hybrid Analysis - 专业动态分析
微步云沙箱 - 国内威胁情报丰富
Joe Sandbox - 企业级深度分析

移动应用分析推荐

VirusTotal - 支持最全面
360沙箱云 - 国内Android威胁专业
Hybrid Analysis - 深度行为分析

交互式分析推荐

ANY.RUN - 实时交互操作
Joe Sandbox - 专业交互功能

⚠️ 注意事项

隐私保护: 避免上传包含敏感信息的文件
结果验证: 建议多平台交叉验证分析结果
Hash查询: 优先使用文件Hash查询，避免重复上传
平台限制: 注意各平台的文件大小和使用频率限制
报告保存: 及时保存重要的分析报告和结果

最后更新时间: 2025年6月

阿里云运维平台排除网络故障

Sat, 14 Jun 2025 00:00:00 GMT

阿里云运维平台排除网络故障

工具简介

阿里云运维平台是一款免费的网络质量检测平台，通过全球200+检测节点帮助用户快速诊断网络问题。支持HTTP、PING、DNS、MTR、Traceroute五种检测方式。

访问地址： <a href="https://boce.aliyun.com/detect/http" target="_blank" rel="noopener noreferrer">阿里云拨测 HTTP 检测</a>

快速开始

基础HTTP检测

选择检测类型：点击页面顶部的"HTTP"标签
选择检测节点：默认选择"东北华南华北华东..."，涵盖主要地区
输入目标地址：在输入框中输入要检测的网站域名或IP
开始检测：点击橙色"立即检测"按钮

检测结果解读

检测完成后，系统会显示详细的结果表格，包含以下关键指标：

指标	说明	建议值
状态码	HTTP响应状态	200为正常
包丢失率	网络丢包情况	≤0%
DNS解析时间	域名解析耗时	<50ms
TCP建连时间	TCP连接建立时间	<100ms
SSL时间	SSL握手时间	<200ms
首包时间	接收首包时间	<500ms
下载时间	完整下载时间	视文件大小

HTTP状态码详解

标准状态码（1xx-5xx）

类别	代表码	说明
1xx 信息	100 Continue	继续请求
2xx 成功	200 OK, 204 No Content	请求成功
3xx 重定向	301 Moved, 302 Found	资源重定向
4xx 客户端错误	400 Bad Request, 403 Forbidden, 404 Not Found	客户端请求错误
5xx 服务器错误	500 Internal Error, 502 Bad Gateway, 503 Service Unavailable	服务器处理错误

自定义状态码（6xx）

阿里云拨测工具使用6xx自定义状态码来标识特殊的网络问题：

状态码	问题类型	说明	排查方法
601	域名被墙	DNS污染、域名解析被阻断	使用dig命令检查DNS解析
602	IP被墙	直连IP被阻断	尝试直接访问IP地址
603	SNI阻断	TLS握手时SNI被检测阻断	检查HTTPS证书配置
604	TLS中间人	证书被替换或失信	验证证书链完整性
605	DNS污染	DNS查询返回错误IP	使用多个DNS服务器对比
606	DNS超时	DNS服务器无响应	检查DNS服务器可用性
607	域名停用	域名过期或被暂停	查询WHOIS信息
608	证书吊销	SSL证书被吊销	检查证书吊销列表
609	TCP RST	连接被重置或丢包	使用MTR分析网络路径

高级功能配置

HTTP高级设置

点击"高级配置"可以设置更多参数：

请求方法选择：

GET：获取网页内容（默认）
POST：提交表单数据
HEAD：仅获取响应头

自定义请求头：

格式：key1:value1回车key2:value2
示例：User-Agent:Mozilla/5.0
     Authorization:Bearer token123

Cookie配置：

格式：key1=value1;key2=value2
示例：sessionid=abc123;userid=456

检测节点自定义

终端类型：

PC端：模拟桌面用户访问
移动端：模拟手机用户访问

协议版本：

IPv4：传统网络协议
IPv6：新一代网络协议

地区选择：

运营商/地区：按大区选择（推荐）
运营商/城市：精确到具体城市

运营商筛选： 可选择网通云、移动、电信、联通、亚马逊、微软、谷歌等

其他检测类型

DNS检测

用于检测域名解析问题：

点击"DNS"标签
输入域名（如：baidu.com）
查看解析结果和解析时间

关键指标：

解析后IP：域名对应的IP地址
解析时间：DNS查询耗时
解析结果一致性：不同节点解析结果是否相同

PING检测

检测基础网络连通性：

点击"PING"标签
输入目标IP或域名（如：233.5.5.5或baidu.com）
查看延迟和丢包率

关键指标：

发送/接收包数：网络稳定性
丢包率：0%为最佳
最小/最大/平均时间：网络延迟情况

MTR/Traceroute检测

用于分析网络路径和定位瓶颈：

点击"MTR"或"Traceroute"标签
输入目标地址
查看每一跳的延迟和丢包情况

应用场景：

定位网络瓶颈节点
分析数据包传输路径
发现路由异常

故障诊断与排查

系统化排查流程

五步诊断法

PING检测：验证基础连通性
```
示例：ping baidu.com
```
DNS检测：确认域名解析
```
示例：dig @233.5.5.5 baidu.com
```
WHOIS查询：检查域名状态
```
示例：whois baidu.com
```

HTTP拨测：分析应用层问题

示例：检查状态码和响应时间

MTR/Traceroute：定位网络路径问题
```
示例：mtr baidu.com
```

域名vs IP问题判定

场景	操作方法	可能原因	对应状态码
域名失败，IP成功	直接访问IP地址测试	DNS污染、域名过期、解析错误	601、605、607
IP失败，域名也失败	检查IP可达性	IP被封、服务器宕机、SNI阻断	602、603、609
都失败但解析正确	检查服务状态	服务器离线、防护误拦	5xx标准码

常见问题排查

网站无法访问

排查步骤：

PING测试确认服务器在线状态
DNS检测验证域名解析是否正常
直接IP访问排除域名层问题
检查HTTP状态码确定具体错误

示例：

# 测试baidu.com连通性
ping baidu.com

# 检查DNS解析
dig @233.5.5.5 baidu.com

# 直接访问IP（假设解析到39.156.70.46）
curl -I http://39.156.70.46

访问速度慢

分析指标：

首包时间 > 500ms：后端处理慢，检查数据库和应用性能
TCP建连 > 300ms：网络延迟高，可能是跨境链路问题
SSL时间 > 500ms：证书链过长或OCSP验证慢

部分地区无法访问

排查方法：

选择不同地区节点进行对比检测
使用MTR分析不同地区的网络路径
检查是否存在区域性网络策略

高级检测技巧

GFW检测方法

TCP RST检测： 使用Wireshark抓包分析是否收到伪造的RST包

SNI阻断测试：

# 使用curl指定IP测试HTTPS
curl --resolve baidu.com:443:39.156.70.46 https://baidu.com

DNS污染检测：

# 对比不同DNS服务器的解析结果
dig @233.5.5.5 baidu.com
dig @8.8.8.8 baidu.com
dig @114.114.114.114 baidu.com

查找服务器真实IP地址方案汇总

Sat, 14 Jun 2025 00:00:00 GMT

查找服务器真实IP地址方案汇总

🛡️ 威胁情报平台

国内威胁情报

<a href="https://tix.qq.com/" target="_blank" rel="noopener noreferrer">腾讯威胁情报中心</a> - 腾讯安全威胁情报查询平台
<a href="https://x.threatbook.com/" target="_blank" rel="noopener noreferrer">微步在线X情报社区</a> - 综合性威胁分析平台和情报共享社区
<a href="https://ti.qianxin.com/" target="_blank" rel="noopener noreferrer">奇安信威胁情报中心</a> - 奇安信威胁情报查询平台

国际威胁情报

<a href="https://www.virustotal.com/" target="_blank" rel="noopener noreferrer">VirusTotal</a> - Google旗下恶意软件检测平台
<a href="https://www.hybrid-analysis.com/" target="_blank" rel="noopener noreferrer">Hybrid Analysis</a> - 恶意软件分析平台
<a href="https://www.malwarebytes.com/threatintelligence" target="_blank" rel="noopener noreferrer">Malwarebytes威胁情报</a> - 恶意软件威胁情报

🌐 网络测绘空间搜索引擎

国内平台

<a href="https://fofa.info/" target="_blank" rel="noopener noreferrer">FOFA 网络空间测绘</a> - 白帽汇旗下网络空间搜索引擎
<a href="https://quake.360.cn/" target="_blank" rel="noopener noreferrer">360 Quake 网络空间测绘</a> - 360安全大脑测绘云
<a href="https://www.zoomeye.ai/" target="_blank" rel="noopener noreferrer">ZoomEye 钟馗之眼</a> - 知道创宇网络空间搜索引擎

国际平台

<a href="https://www.shodan.io/" target="_blank" rel="noopener noreferrer">Shodan</a> - 全球最知名的网络设备搜索引擎
<a href="https://search.censys.io/search?resource=hosts" target="_blank" rel="noopener noreferrer">Censys</a> - 互联网设备和网络搜索引擎
<a href="https://www.binaryedge.io/" target="_blank" rel="noopener noreferrer">BinaryEdge</a> - 网络安全搜索引擎

🔍 DNS查询与历史记录

综合DNS查询工具

<a href="https://tool.chinaz.com/dns/" target="_blank" rel="noopener noreferrer">站长工具 DNS查询</a> - 全国多地DNS解析检测
<a href="https://www.boce.com/dns" target="_blank" rel="noopener noreferrer">博测网 DNS查询</a> - 多地域DNS检测工具
<a href="https://ipw.cn/dns/" target="_blank" rel="noopener noreferrer">IPW DNS查询</a> - 全国并发DNS查询
<a href="https://myssl.com/dns_check.html" target="_blank" rel="noopener noreferrer">MySSL DNS检测</a> - SSL证书服务商DNS工具

DNS历史记录查询

<a href="https://securitytrails.com/" target="_blank" rel="noopener noreferrer">SecurityTrails</a> - 庞大的DNS历史数据库
<a href="https://viewdns.info/" target="_blank" rel="noopener noreferrer">ViewDNS.info</a> - DNS历史记录查询
<a href="https://zh.dns-history.whoisxmlapi.com/" target="_blank" rel="noopener noreferrer">WhoisXML API DNS历史</a> - DNS历史记录分析

📜 SSL证书查询工具

证书透明度查询

<a href="https://crt.sh/" target="_blank" rel="noopener noreferrer">crt.sh</a> - 证书透明度日志搜索
<a href="https://myssl.com/ct_check.html" target="_blank" rel="noopener noreferrer">MySSL 证书透明度查询</a> - 证书透明度检测
<a href="https://developers.facebook.com/tools/ct/" target="_blank" rel="noopener noreferrer">Facebook CT Monitor</a> - Facebook证书透明度监控

SSL证书检测

<a href="https://myssl.com/cert_decode.html" target="_blank" rel="noopener noreferrer">MySSL 证书查看</a> - 证书详细信息解析
<a href="https://www.chinassl.net/ssltools/ssl-checker.html" target="_blank" rel="noopener noreferrer">ChinaSSL 证书检测</a> - SSL证书在线检测
<a href="http://web.chacuo.net/netsslcheck" target="_blank" rel="noopener noreferrer">茶茶网 SSL检测</a> - 网站SSL证书检查

🌍 网络拨测与检测

国内拨测平台

<a href="https://boce.aliyun.com/detect/http" target="_blank" rel="noopener noreferrer">阿里云拨测 HTTP检测</a> - 阿里云官方拨测工具
<a href="https://www.itdog.cn/dns/" target="_blank" rel="noopener noreferrer">ITDog DNS解析查询</a> - 多地DNS解析检测
<a href="https://ping.chinaz.com/" target="_blank" rel="noopener noreferrer">站长工具 Ping检测</a> - 全国Ping连通性测试

国际拨测工具

<a href="https://www.whatsmydns.net/" target="_blank" rel="noopener noreferrer">What's My DNS</a> - 全球DNS传播检查
<a href="https://dnschecker.org/" target="_blank" rel="noopener noreferrer">DNS Checker</a> - 全球DNS解析检查
<a href="https://www.dynu.com/zh-cn/NetworkTools/DNSLookup" target="_blank" rel="noopener noreferrer">Dynu DNS查询</a> - 免费DNS查找工具

🔧 专业分析工具

子域名发现

<a href="https://phonebook.cz/" target="_blank" rel="noopener noreferrer">Phonebook.cz</a> - 子域名和邮箱搜索
<a href="https://subdomainfinder.c99.nl/" target="_blank" rel="noopener noreferrer">C99 Subdomain Finder</a> - 子域名发现工具
<a href="https://dnsdumpster.com/" target="_blank" rel="noopener noreferrer">DNSdumpster</a> - 免费域名研究工具
<a href="https://subdomain.center/" target="_blank" rel="noopener noreferrer">Subdomain Center</a> - 在线子域名查找
<a href="https://subdomains.whoisxmlapi.com/" target="_blank" rel="noopener noreferrer">WhoisXML API子域名查找</a> - 专业子域名发现服务

Google子域名查询技巧

Google搜索语法: site:example.com - 查找所有子域名页面
Google证书透明度: 通过搜索 "example.com" site:crt.sh 查找证书记录
Google Dorks: site:*.example.com -www - 排除www查找子域名
组合搜索: inurl:example.com OR site:*.example.com - 多种方式组合查找
高级语法: site:example.com -site:www.example.com - 排除主域名查找子域名

IP地理位置查询

<a href="https://www.ip138.com/" target="_blank" rel="noopener noreferrer">IP138</a> - IP地址查询
<a href="https://ipinfo.io/" target="_blank" rel="noopener noreferrer">IPinfo</a> - IP地址信息查询
<a href="https://www.ipip.net/" target="_blank" rel="noopener noreferrer">IPIP.NET</a> - IP地址库查询

网络工具

<a href="https://mxtoolbox.com/" target="_blank" rel="noopener noreferrer">MXToolbox</a> - 网络诊断和查找工具
<a href="https://www.nslookup.io/" target="_blank" rel="noopener noreferrer">NSLookup.io</a> - 在线DNS查找工具

💡 使用技巧

常用查询语法

FOFA 查询语法详解

目的	典型语法	说明
按域名/证书	`domain="example.com"`<br>`cert="example.com"`	基础语法，搜索域名或证书相关资产
按标题	`title="Apache"`	页面 `<title>` 中含 Apache
按正文关键字	`body="Powered by PHP"`	HTTP 响应体包含关键字
按响应头	`header="nginx"`	`Server`、`Set-Cookie` 等任一头部含 nginx
按端口	`port=22`	搜索开放 22 端口的主机
按协议	`protocol="rdp"`	支持 http、https、ftp、rdp、ssh、mongodb…
按Banner	`banner="Welcome"`	匹配服务 banner / 指纹
按应用指纹	`app="WordPress"`	FOFA 维护的指纹库字段
按IP/网段	`ip="203.0.113.0/24"`	CIDR 支持 `/8`~`/32`
按ASN/组织	`as_number="13335"`<br>`org="Cloudflare"`	AS 号或组织名
按地理位置	`country="CN" && province="Zhejiang"`	支持 `country/region/province/city`
证书字段精细搜索	`cert.subject.cn="*.example.com"`	CT 日志中的证书 Subject
图标哈希	`icon_hash="-247388890"`	Favicon MD5/SimHash
网站指纹ID	`fid="qw1234ER"`	FOFA 自定义的指纹 ID
正则匹配	`body~="(?i)wordpress"`	`~=` 使用 RE2 正则，`(?i)` 忽略大小写
逻辑组合	`title="login" && port=8443 && country="US"`	`&&` `
排除条件	`domain="example.com" && !port=443`	`!` 表示 NOT
时间筛选	`after="2024-01-01"`<br>`before="2025-06-01"`	首次/最后探测时间维度
排序	`domain="example.com" && port=80 && sort=ip`	`sort=` 支持 `ip` `port` `time`

FOFA 使用小贴士

FOFA 默认返回最近一次探测到的结果，使用 after / before 可以限定时间区间

app、fid、icon_hash 等字段来自 FOFA 指纹库，实时性高，适合快速定位同类资产

针对带 CDN 的站点，常配合 port=443 && cert 或 header="cloudflare" 先过滤，再用 banner/ip 等字段溯源

复杂语法建议先在小范围测试，确认结果量级与准确度，再逐步放宽条件

其他平台查询语法

Shodan: hostname:example.com 或 ssl.cert.subject.cn:example.com
Censys: services.tls.certificates.leaf_data.subject.common_name:example.com
360 Quake: domain:"example.com" 或 cert:"example.com"

绕过CDN方法

DNS历史记录 - 查找域名使用CDN前的真实IP
子域名扫描 - 寻找未使用CDN的子域名
SSL证书查询 - 通过证书信息找到真实IP
邮件服务器 - MX记录可能暴露真实IP
网络空间搜索 - 使用证书特征搜索真实服务器

注意事项

部分工具需要注册账号才能使用完整功能
网络测绘结果仅供安全研究和合法用途
请遵守相关法律法规和网站使用条款

阿里云OSS跨域问题解决方案

Fri, 13 Jun 2025 00:00:00 GMT

阿里云OSS跨域问题解决方案

问题概述

当前端应用尝试从不同域名访问阿里云OSS存储的资源时，浏览器会因为同源策略阻止请求，出现跨域错误。

解决方案

1. 登录阿里云控制台

访问阿里云OSS控制台，选择对应的Bucket

2. 配置跨域规则

在左侧菜单选择权限管理，跨域设置
点击设置按钮
点击创建规则

3. 跨域规则配置

按照以下配置填写：

配置项	设置值
来源	*
允许Methods	GET POST PUT DELETE HEAD
允许Headers	*
暴露Headers	Etag<br>x-oss-request-id
缓存时间	0
返回Vary Origin	不勾选

4. 保存配置

点击确定按钮保存配置，等待1-2分钟生效。

配置说明

来源：设置为 * 表示允许所有域名访问
允许Methods：全部勾选，支持所有HTTP方法
允许Headers：设置为 * 表示允许所有请求头
暴露Headers：设置OSS返回的必要响应头
缓存时间：设置为0表示不缓存，便于调试
返回Vary Origin：不勾选，简化配置

配置完成后即可解决跨域问题，如需更严格的安全控制，可将来源改为具体域名。

Java分布式唯一订单号生成工具

Fri, 13 Jun 2025 00:00:00 GMT

Java分布式唯一订单号生成工具

📋 概述

UniqueIdUtil 是一个基于 Redis 和 Spring Boot 的分布式唯一ID生成工具类，支持分布式环境生成不重复的各类业务ID。

✨ 核心特性

🔒 全局唯一性 - Redis 原子递增保证多节点环境下的绝对唯一
🛡️ 高安全性 - 时间戳 + 随机因子 + 盐值多重组合，防止碰撞和预测
⚡ 高性能 - 基于 Redisson 客户端，支持高并发场景
🎯 业务友好 - 支持多种业务场景的ID生成需求
🔧 易于配置 - 所有参数均为常量配置，便于维护

🚀 完整实现

Maven 依赖配置

<!-- Spring Boot Redis Starter -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-data-redis</artifactId>
</dependency>

<!-- Hutool 工具库 -->
<dependency>
    <groupId>cn.hutool</groupId>
    <artifactId>hutool-all</artifactId>
    <version>5.8.38</version>
</dependency>

完整源码实现

import cn.hutool.core.date.DateUtil;
import cn.hutool.crypto.digest.DigestUtil;
import lombok.RequiredArgsConstructor;
import org.redisson.api.RAtomicLong;
import org.redisson.api.RedissonClient;
import org.springframework.stereotype.Component;

import java.security.SecureRandom;
import java.util.Date;
import java.util.concurrent.TimeUnit;

/**
 * 通用唯一号 / 券码生成工具（单类实现）
 *
 * <p>特点：
 * <ul>
 *   <li>Redis 原子递增保证多节点全局唯一</li>
 *   <li>时间戳 + 随机因子 + 盐值，多重组合确保安全</li>
 *   <li>所有可调参数均写死为常量，满足“配置写常量”要求</li>
 *   <li>如需替换 Redis，可自行改写 {@link #nextSequence}</li>
 * </ul>
 */
@Component
@RequiredArgsConstructor
public class UniqueIdUtil {

    /* ========================== 可调常量区域 ========================== */

    /** 券码盐值 */
    private static final String COUPON_SALT              = "default_coupon_salt_2025";
    /** 券码前缀（如无可设为空） */
    private static final String COUPON_PREFIX            = "CP";
    /** 券码主体长度（不含前缀） */
    private static final int    COUPON_BODY_LENGTH       = 12;

    /** 序列号 key 在 Redis 中的失效时间（秒） */
    private static final long   SEQ_EXPIRE_SECONDS       = 5L;

    /** 默认日期格式：yyMMddHHmmssSSS */
    private static final String DATE_PATTERN             = "yyMMddHHmmssSSS";

    /** 安全字符集（去除 I、O、0、1） */
    private static final String SAFE_CHARS               = "23456789ABCDEFGHJKLMNPQRSTUVWXYZ";

    /* ================================================================= */

    private static final SecureRandom RANDOM = new SecureRandom();

    private final RedissonClient redissonClient;

    /* ============================ 券码 ============================ */

    /**
     * 生成高安全性券码（使用默认前缀/长度）
     */
    public String genCouponCode() {
        return genCouponCode(COUPON_PREFIX, COUPON_BODY_LENGTH);
    }

    /**
     * 生成高安全性券码（自定义前缀与长度）
     *
     * @param prefix 前缀，可传空串
     * @param bodyLen 券码主体长度
     */
    public String genCouponCode(String prefix, int bodyLen) {
        long seq = nextSequence("coupon:seq");

        // 构造哈希材料：时间戳 + 序列 + 随机因子 + 当前日期 + 盐值
        String material = String.format("%d:%d:%d:%s:%s",
                System.nanoTime(),
                seq,
                RANDOM.nextInt(1_000_000),
                DateUtil.now(),
                COUPON_SALT);

        String hash = DigestUtil.sha256Hex(material);

        // 依次取安全字符
        StringBuilder sb = new StringBuilder(bodyLen);
        for (int i = 0; sb.length() < bodyLen && i < hash.length(); i++) {
            int idx = Character.digit(hash.charAt(i), 16);  // 0‑15
            sb.append(SAFE_CHARS.charAt(idx % SAFE_CHARS.length()));
        }
        // 长度不足时补随机字符
        while (sb.length() < bodyLen) {
            sb.append(SAFE_CHARS.charAt(RANDOM.nextInt(SAFE_CHARS.length())));
        }
        return prefix + sb;
    }

    /* ======================== 订单 / 各类 ID ======================== */

    /** 订单号：yyMMddHHmmssSSS + 5 位序列 */
    public String genOrderNo() {
        return genTimestampSeq("order:seq", 5);
    }

    /** 供应商提单号：yyMMddHHmmssSSS + 5 位序列 */
    public String genSubmitOrderNo() {
        return genTimestampSeq("submit:seq", 5);
    }

    /** 兑换记录 ID：yyMMddHHmmssSSS + 6 位序列 */
    public String genExchangeId() {
        return genTimestampSeq("exchange:seq", 6);
    }

    /**
     * 通用 ID：业务方可自定义 key，序列位数 6
     *
     * @param bizKey 业务标识，如 "INVOICE"
     */
    public String genCommonId(String bizKey) {
        return genTimestampSeq("common:" + bizKey, 6);
    }

    /** 退款单号：在原单号尾部追加 'R'（可自定义） */
    public String genRefundNo(String originOrderNo) {
        return originOrderNo + 'R';
    }

    /* ============================ 内部实现 ============================ */

    /**
     * 时间戳 + 自增序列号
     *
     * @param redisKey Redis 计数器 key
     * @param seqDigits 序列号长度（位数）
     */
    private String genTimestampSeq(String redisKey, int seqDigits) {
        long seq = nextSequence(redisKey);
        String dateStr = DateUtil.format(new Date(), DATE_PATTERN);
        String seqStr  = String.format("%0" + seqDigits + "d", seq);
        return dateStr + seqStr;
    }

    /**
     * 获取分布式递增序列
     */
    private long nextSequence(String key) {
        RAtomicLong counter = redissonClient.getAtomicLong(key);
        long val = counter.incrementAndGet();
        // 仅在第一次调用时设置过期，避免每次调用重复发送 EXPIRE 指令
        if (counter.remainTimeToLive() < 0) {
            counter.expire(SEQ_EXPIRE_SECONDS, TimeUnit.SECONDS);
        }
        return val;
    }
}

📝 API 方法详解

1. 券码生成方法

`genCouponCode()`

生成默认配置的高安全性券码

调用示例：

@Autowired
private UniqueIdUtil uniqueIdUtil;

// 生成默认券码
String couponCode = uniqueIdUtil.genCouponCode();

返回数据格式：

CP3K7H9M2N4P
CP8F5G2J7L9X
CPAH6K3M8T5W

格式说明：前缀 "CP" + 12位安全字符
字符集：23456789ABCDEFGHJKLMNPQRSTUVWXYZ（排除易混淆字符）
总长度：14位（前缀2位 + 主体12位）

`genCouponCode(String prefix, int bodyLen)`

生成自定义前缀和长度的券码

调用示例：

// 自定义前缀和长度
String vipCode = uniqueIdUtil.genCouponCode("VIP", 8);
String noPrefix = uniqueIdUtil.genCouponCode("", 16);
String longCode = uniqueIdUtil.genCouponCode("PREMIUM", 20);

返回数据格式：

// VIP + 8位主体
"VIP3K7H9M2N"

// 无前缀 + 16位主体  
"3K7H9M2N4P8F5G2J"

// PREMIUM + 20位主体
"PREMIUM3K7H9M2N4P8F5G2J7L9X"

2. 订单相关ID生成

`genOrderNo()`

生成订单号

调用示例：

String orderNo = uniqueIdUtil.genOrderNo();

返回数据格式：

25061312345678900001
25061312345678900002
25061312345679000003

格式说明：时间戳（yyMMddHHmmssSSS）+ 5位序列号
时间戳长度：17位
序列号长度：5位，从00001开始递增
总长度：22位

`genSubmitOrderNo()`

生成供应商提单号

调用示例：

String submitOrderNo = uniqueIdUtil.genSubmitOrderNo();

返回数据格式：

25061312345678900001
25061312345678900002
25061312345679000003

格式说明：与订单号格式相同，但使用独立的Redis计数器
总长度：22位

`genExchangeId()`

生成兑换记录ID

调用示例：

String exchangeId = uniqueIdUtil.genExchangeId();

返回数据格式：

250613123456789000001
250613123456789000002
250613123456790000003

格式说明：时间戳（yyMMddHHmmssSSS）+ 6位序列号
时间戳长度：17位
序列号长度：6位，从000001开始递增
总长度：23位

3. 通用业务ID生成

`genCommonId(String bizKey)`

生成通用业务ID

调用示例：

String invoiceId = uniqueIdUtil.genCommonId("INVOICE");
String contractId = uniqueIdUtil.genCommonId("CONTRACT");
String taskId = uniqueIdUtil.genCommonId("TASK");

返回数据格式：

// 发票ID
"250613123456789000001"

// 合同ID  
"250613123456789000001"

// 任务ID
"250613123456789000001"

格式说明：时间戳（yyMMddHHmmssSSS）+ 6位序列号
序列号独立：每个 bizKey 使用独立的Redis计数器
总长度：23位

`genRefundNo(String originOrderNo)`

生成退款单号

调用示例：

String orderNo = uniqueIdUtil.genOrderNo();
String refundNo = uniqueIdUtil.genRefundNo(orderNo);

返回数据格式：

// 原订单号
String orderNo = "25061312345678900001";

// 退款单号
String refundNo = "25061312345678900001R";

格式说明：原订单号 + 后缀 "R"
长度：原订单号长度 + 1位

🚀 完整使用示例

@RestController
@RequiredArgsConstructor
public class IdGeneratorController {
    
    private final UniqueIdUtil uniqueIdUtil;
    
    @GetMapping("/generate-ids")
    public Map<String, String> generateIds() {
        Map<String, String> result = new HashMap<>();
        
        // 券码生成
        result.put("defaultCoupon", uniqueIdUtil.genCouponCode());
        result.put("vipCoupon", uniqueIdUtil.genCouponCode("VIP", 10));
        result.put("noPrefixCoupon", uniqueIdUtil.genCouponCode("", 8));
        
        // 订单相关
        String orderNo = uniqueIdUtil.genOrderNo();
        result.put("orderNo", orderNo);
        result.put("submitOrderNo", uniqueIdUtil.genSubmitOrderNo());
        result.put("refundNo", uniqueIdUtil.genRefundNo(orderNo));
        
        // 其他业务ID
        result.put("exchangeId", uniqueIdUtil.genExchangeId());
        result.put("invoiceId", uniqueIdUtil.genCommonId("INVOICE"));
        result.put("contractId", uniqueIdUtil.genCommonId("CONTRACT"));
        
        return result;
    }
}

返回结果示例：

{
  "defaultCoupon": "CP3K7H9M2N4P",
  "vipCoupon": "VIP8F5G2J7L9X",
  "noPrefixCoupon": "AH6K3M8T",
  "orderNo": "25061312345678900001",
  "submitOrderNo": "25061312345678900001", 
  "refundNo": "25061312345678900001R",
  "exchangeId": "250613123456789000001",
  "invoiceId": "250613123456789000001",
  "contractId": "250613123456789000001"
}

🔧 配置参数说明

参数	默认值	说明
`COUPON_SALT`	`"default_coupon_salt_2025"`	券码生成盐值
`COUPON_PREFIX`	`"CP"`	默认券码前缀
`COUPON_BODY_LENGTH`	`12`	默认券码主体长度
`SEQ_EXPIRE_SECONDS`	`5L`	Redis序列号过期时间
`DATE_PATTERN`	`"yyMMddHHmmssSSS"`	时间戳格式
`SAFE_CHARS`	`"23456789ABCDEFGHJKLMNPQRSTUVWXYZ"`	安全字符集

💡 提示: 本工具类为Spring Bean，注入后直接使用。所有方法线程安全，支持高并发调用。

Linux脚本一键自动安装Docker

Fri, 13 Jun 2025 00:00:00 GMT

Linux脚本一键自动安装Docker

📋 概述

本文档提供了三个针对不同Linux发行版的Docker一键安装管理脚本，支持Docker和Docker Compose的完整生命周期管理。每个脚本都是独立完整的解决方案，无需额外依赖。

🎯 支持的系统

CentOS/RHEL - 基于yum包管理器
Ubuntu/Debian - 基于apt包管理器
Kali Linux - 基于Debian，针对Kali 2025.1优化

✨ 主要功能

🚀 一键安装Docker CE和Docker Compose
🔧 服务管理（启动/停止/重启）
🗑️ 完整卸载功能
🎨 交互式菜单界面
🛡️ 错误处理和状态检查

🐧 CentOS Docker 管理脚本

📋 系统要求

CentOS 7 或更高版本
具有sudo权限的用户账户
稳定的网络连接

🚀 快速使用

# 保存脚本
vim docker_manager_centos.sh

# 赋予执行权限
chmod +x docker_manager_centos.sh

# 运行脚本
./docker_manager_centos.sh

📄 完整脚本代码

#!/bin/bash
 
# docker_manager.sh
# 用于管理 Docker 和 Docker Compose 的交互脚本
 
# =======================
# 配置变量
# =======================
 
# Docker 仓库地址
DOCKER_REPO="https://download.docker.com/linux/centos/docker-ce.repo"
 
# =======================
# 函数定义
# =======================
 
# 安装 Docker 和 Docker Compose
install_docker() {
    echo "正在安装 Docker..."
 
    # 移除旧版本
    sudo yum remove -y docker docker-client docker-client-latest docker-common docker-latest docker-latest-logrotate docker-logrotate docker-engine
 
    # 安装必要的软件包
    sudo yum install -y yum-utils device-mapper-persistent-data lvm2
 
    # 添加 Docker 仓库
    sudo yum-config-manager --add-repo $DOCKER_REPO
 
    # 安装 Docker
    sudo yum install -y docker-ce docker-ce-cli containerd.io
 
    # 启动并设置开机自启
    sudo systemctl start docker
    sudo systemctl enable docker
 
    echo "Docker 安装完成。"
 
    # 安装 Docker Compose
    echo "正在安装 Docker Compose..."
 
    # 获取最新版本号
    DOCKER_COMPOSE_LATEST=$(curl -s https://api.github.com/repos/docker/compose/releases/latest | grep tag_name | cut -d '"' -f 4)
 
    if [ -z "$DOCKER_COMPOSE_LATEST" ]; then
        echo "无法获取 Docker Compose 最新版本号。请手动检查 https://github.com/docker/compose/releases"
        return
    fi
 
    # 下载 Docker Compose 二进制文件
    sudo curl -L "https://github.com/docker/compose/releases/download/${DOCKER_COMPOSE_LATEST}/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
 
    # 授予可执行权限
    sudo chmod +x /usr/local/bin/docker-compose
 
    # 创建软链接（可选）
    sudo ln -sf /usr/local/bin/docker-compose /usr/bin/docker-compose
 
    # 验证安装
    if command -v docker-compose &> /dev/null; then
        echo "Docker Compose 安装完成，版本：$(docker-compose --version)"
    else
        echo "Docker Compose 安装失败。"
    fi
}
 
# 启动 Docker 服务
start_docker() {
    echo "正在启动 Docker 服务..."
    sudo systemctl start docker
    sudo systemctl enable docker
    echo "Docker 服务已启动。"
}
 
# 重启 Docker 服务
restart_docker() {
    echo "正在重启 Docker 服务..."
    sudo systemctl restart docker
    if [ $? -eq 0 ]; then
        echo "Docker 服务已成功重启。"
    else
        echo "Docker 服务重启失败，请检查日志。"
    fi
}
 
# 停止 Docker 服务
stop_docker() {
    echo "正在停止 Docker 服务..."
    sudo systemctl stop docker
    if [ $? -eq 0 ]; then
        echo "Docker 服务已停止。"
    else
        echo "Docker 服务停止失败，请检查日志。"
    fi
}
 
# 卸载 Docker 和 Docker Compose
uninstall_docker() {
    echo "正在卸载 Docker..."
 
    # 停止 Docker 服务
    sudo systemctl stop docker
 
    # 卸载 Docker
    sudo yum remove -y docker docker-client docker-client-latest docker-common docker-latest docker-latest-logrotate docker-logrotate docker-engine
 
    # 删除所有镜像、容器、卷和网络
    sudo rm -rf /var/lib/docker
 
    echo "Docker 已卸载。"
 
    # 卸载 Docker Compose
    echo "正在卸载 Docker Compose..."
 
    sudo rm -f /usr/local/bin/docker-compose
    sudo rm -f /usr/bin/docker-compose
 
    echo "Docker Compose 已卸载。"
}
 
# 显示菜单
show_menu() {
    echo "=============================="
    echo "      Docker 管理脚本         "
    echo "=============================="
    echo "1. 安装 Docker（包括 Docker Compose）"
    echo "2. 启动 Docker 服务"
    echo "3. 重启 Docker 服务"
    echo "4. 停止 Docker 服务"
    echo "5. 卸载 Docker（包括 Docker Compose）"
    echo "6. 退出"
    echo "=============================="
}
 
# =======================
# 主程序
# =======================
 
while true; do
    show_menu
    read -p "请输入你的选择 [1-6]：" choice
    case $choice in
        1)
            install_docker
            ;;
        2)
            start_docker
            ;;
        3)
            restart_docker
            ;;
        4)
            stop_docker
            ;;
        5)
            uninstall_docker
            ;;
        6)
            echo "退出脚本。"
            exit 0
            ;;
        *)
            echo "无效的选择，请重新输入。"
            ;;
    esac
    echo ""
done

🐧 Debian 管理脚本

📄 完整脚本代码

#!/bin/bash
# docker_manager.sh
# 用于管理 Docker 和 Docker Compose 的交互脚本
# =======================
# 适配系统：Debian 12 (Bookworm)
# =======================

# =======================
# 配置变量
# =======================
# 【修改点 1】将 Ubuntu 仓库改为 Debian 官方仓库
DOCKER_REPO="https://download.docker.com/linux/debian"

# =======================
# 函数定义
# =======================

# 安装 Docker 和 Docker Compose
install_docker() {
    echo "正在安装 Docker..."

    # 检查是否安装了 sudo (Debian 12 默认可能没有 sudo)
    if ! command -v sudo &> /dev/null; then
        echo "错误: 未找到 sudo 命令。请先安装 sudo 或以 root 用户运行。"
        return
    fi

    # 移除旧版本
    sudo apt-get remove -y docker docker-engine docker.io containerd runc

    # 更新包索引
    sudo apt-get update

    # 安装必要的软件包
    sudo apt-get install -y apt-transport-https ca-certificates curl gnupg lsb-release

    # 【修改点 2】修改 GPG 密钥下载地址，指向 Debian 路径
    curl -fsSL https://download.docker.com/linux/debian/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg --yes

    # 设置稳定的 Docker 仓库
    echo \
      "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] $DOCKER_REPO $(lsb_release -cs) stable" | \
      sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

    # 更新包索引
    sudo apt-get update

    # 安装 Docker Engine、Docker CLI 和 containerd
    sudo apt-get install -y docker-ce docker-ce-cli containerd.io

    # 启动并设置开机自启
    sudo systemctl start docker
    sudo systemctl enable docker

    echo "Docker 安装完成。"

    # 安装 Docker Compose
    echo "正在安装 Docker Compose..."

    # 获取最新版本号
    DOCKER_COMPOSE_LATEST=$(curl -s https://api.github.com/repos/docker/compose/releases/latest | grep tag_name | cut -d '"' -f 4)

    if [ -z "$DOCKER_COMPOSE_LATEST" ]; then
        echo "无法获取 Docker Compose 最新版本号。请手动检查 https://github.com/docker/compose/releases"
        return
    fi

    # 下载 Docker Compose 二进制文件
    sudo curl -L "https://github.com/docker/compose/releases/download/${DOCKER_COMPOSE_LATEST}/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

    # 授予可执行权限
    sudo chmod +x /usr/local/bin/docker-compose

    # 创建软链接
    sudo ln -sf /usr/local/bin/docker-compose /usr/bin/docker-compose

    # 验证安装
    if command -v docker-compose &> /dev/null; then
        echo "Docker Compose 安装完成，版本：$(docker-compose --version)"
    else
        echo "Docker Compose 安装失败。"
    fi
}

# 启动 Docker 服务
start_docker() {
    echo "正在启动 Docker 服务..."
    sudo systemctl start docker
    sudo systemctl enable docker
    echo "Docker 服务已启动。"
}

# 重启 Docker 服务
restart_docker() {
    echo "正在重启 Docker 服务..."
    sudo systemctl restart docker
    if [ $? -eq 0 ]; then
        echo "Docker 服务已成功重启。"
    else
        echo "Docker 服务重启失败，请检查日志。"
    fi
}

# 停止 Docker 服务
stop_docker() {
    echo "正在停止 Docker 服务..."
    sudo systemctl stop docker
    if [ $? -eq 0 ]; then
        echo "Docker 服务已停止。"
    else
        echo "Docker 服务停止失败，请检查日志。"
    fi
}

# 卸载 Docker 和 Docker Compose
uninstall_docker() {
    echo "正在卸载 Docker..."

    # 停止 Docker 服务
    sudo systemctl stop docker

    # 卸载 Docker
    sudo apt-get purge -y docker-ce docker-ce-cli containerd.io

    # 删除所有镜像、容器、卷和网络
    sudo rm -rf /var/lib/docker
    sudo rm -rf /var/lib/containerd

    echo "Docker 已卸载。"

    # 卸载 Docker Compose
    echo "正在卸载 Docker Compose..."

    sudo rm -f /usr/local/bin/docker-compose
    sudo rm -f /usr/bin/docker-compose

    echo "Docker Compose 已卸载。"
}

# 显示菜单
show_menu() {
    echo "=============================="
    echo "   Docker 管理脚本 (Debian 12)"
    echo "=============================="
    echo "1. 安装 Docker（包括 Docker Compose）"
    echo "2. 启动 Docker 服务"
    echo "3. 重启 Docker 服务"
    echo "4. 停止 Docker 服务"
    echo "5. 卸载 Docker（包括 Docker Compose）"
    echo "6. 退出"
    echo "=============================="
}

# =======================
# 主程序
# =======================

while true; do
    show_menu
    read -p "请输入你的选择 [1-6]：" choice
    case $choice in
        1)
            install_docker
            ;;
        2)
            start_docker
            ;;
        3)
            restart_docker
            ;;
        4)
            stop_docker
            ;;
        5)
            uninstall_docker
            ;;
        6)
            echo "退出脚本。"
            exit 0
            ;;
        *)
            echo "无效的选择，请重新输入。"
            ;;
    esac
    echo ""
done

🐧 Ubuntu Docker 管理脚本

📋 系统要求

Ubuntu 18.04 LTS 或更高版本
具有sudo权限的用户账户
稳定的网络连接

🚀 快速使用

# 保存脚本
vim docker_manager_ubuntu.sh

# 赋予执行权限
chmod +x docker_manager_ubuntu.sh

# 运行脚本
./docker_manager_ubuntu.sh

📄 完整脚本代码

#!/bin/bash
 
# docker_manager.sh
# 用于管理 Docker 和 Docker Compose 的交互脚本（适用于 Ubuntu）
 
# =======================
# 配置变量
# =======================
 
# Docker 仓库地址
DOCKER_REPO="https://download.docker.com/linux/ubuntu"
 
# =======================
# 函数定义
# =======================
 
# 安装 Docker 和 Docker Compose
install_docker() {
    echo "正在安装 Docker..."
 
    # 移除旧版本
    sudo apt-get remove -y docker docker-engine docker.io containerd runc
 
    # 更新包索引
    sudo apt-get update
 
    # 安装必要的软件包
    sudo apt-get install -y apt-transport-https ca-certificates curl gnupg lsb-release
 
    # 添加 Docker 的官方 GPG 密钥
    curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg
 
    # 设置稳定的 Docker 仓库
    echo \
      "deb [arch=$(dpkg --print-architecture) signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] $DOCKER_REPO $(lsb_release -cs) stable" | \
      sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
 
    # 更新包索引
    sudo apt-get update
 
    # 安装 Docker Engine、Docker CLI 和 containerd
    sudo apt-get install -y docker-ce docker-ce-cli containerd.io
 
    # 启动并设置开机自启
    sudo systemctl start docker
    sudo systemctl enable docker
 
    echo "Docker 安装完成。"
 
    # 安装 Docker Compose
    echo "正在安装 Docker Compose..."
 
    # 获取最新版本号
    DOCKER_COMPOSE_LATEST=$(curl -s https://api.github.com/repos/docker/compose/releases/latest | grep tag_name | cut -d '"' -f 4)
 
    if [ -z "$DOCKER_COMPOSE_LATEST" ]; then
        echo "无法获取 Docker Compose 最新版本号。请手动检查 https://github.com/docker/compose/releases"
        return
    fi
 
    # 下载 Docker Compose 二进制文件
    sudo curl -L "https://github.com/docker/compose/releases/download/${DOCKER_COMPOSE_LATEST}/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
 
    # 授予可执行权限
    sudo chmod +x /usr/local/bin/docker-compose
 
    # 创建软链接（可选）
    sudo ln -sf /usr/local/bin/docker-compose /usr/bin/docker-compose
 
    # 验证安装
    if command -v docker-compose &> /dev/null; then
        echo "Docker Compose 安装完成，版本：$(docker-compose --version)"
    else
        echo "Docker Compose 安装失败。"
    fi
}
 
# 启动 Docker 服务
start_docker() {
    echo "正在启动 Docker 服务..."
    sudo systemctl start docker
    sudo systemctl enable docker
    echo "Docker 服务已启动。"
}
 
# 重启 Docker 服务
restart_docker() {
    echo "正在重启 Docker 服务..."
    sudo systemctl restart docker
    if [ $? -eq 0 ]; then
        echo "Docker 服务已成功重启。"
    else
        echo "Docker 服务重启失败，请检查日志。"
    fi
}
 
# 停止 Docker 服务
stop_docker() {
    echo "正在停止 Docker 服务..."
    sudo systemctl stop docker
    if [ $? -eq 0 ]; then
        echo "Docker 服务已停止。"
    else
        echo "Docker 服务停止失败，请检查日志。"
    fi
}
 
# 卸载 Docker 和 Docker Compose
uninstall_docker() {
    echo "正在卸载 Docker..."
 
    # 停止 Docker 服务
    sudo systemctl stop docker
 
    # 卸载 Docker
    sudo apt-get purge -y docker-ce docker-ce-cli containerd.io
 
    # 删除所有镜像、容器、卷和网络
    sudo rm -rf /var/lib/docker
    sudo rm -rf /var/lib/containerd
 
    echo "Docker 已卸载。"
 
    # 卸载 Docker Compose
    echo "正在卸载 Docker Compose..."
 
    sudo rm -f /usr/local/bin/docker-compose
    sudo rm -f /usr/bin/docker-compose
 
    echo "Docker Compose 已卸载。"
}
 
# 显示菜单
show_menu() {
    echo "=============================="
    echo "      Docker 管理脚本         "
    echo "=============================="
    echo "1. 安装 Docker（包括 Docker Compose）"
    echo "2. 启动 Docker 服务"
    echo "3. 重启 Docker 服务"
    echo "4. 停止 Docker 服务"
    echo "5. 卸载 Docker（包括 Docker Compose）"
    echo "6. 退出"
    echo "=============================="
}
 
# =======================
# 主程序
# =======================
 
while true; do
    show_menu
    read -p "请输入你的选择 [1-6]：" choice
    case $choice in
        1)
            install_docker
            ;;
        2)
            start_docker
            ;;
        3)
            restart_docker
            ;;
        4)
            stop_docker
            ;;
        5)
            uninstall_docker
            ;;
        6)
            echo "退出脚本。"
            exit 0
            ;;
        *)
            echo "无效的选择，请重新输入。"
            ;;
    esac
    echo ""
done

🐧 Kali Linux Docker 管理脚本

📋 系统要求

Kali Linux 2025.1 或更高版本
具有sudo权限的用户账户
稳定的网络连接

🚀 快速使用

# 保存脚本
vim docker_manager_kali.sh

# 赋予执行权限
chmod +x docker_manager_kali.sh

# 运行脚本
./docker_manager_kali.sh

📄 完整脚本代码

#!/bin/bash
 
# docker_manager.sh
# 用于管理 Docker 和 Docker Compose 的交互脚本
# 已转换为Kali Linux 2025.1兼容版本
 
# =======================
# 配置变量
# =======================
 
# Docker 仓库配置
DOCKER_REPO_URL="https://download.docker.com/linux/debian"
DOCKER_REPO_DIST="bookworm"
 
# =======================
# 函数定义
# =======================
 
# 安装 Docker 和 Docker Compose
install_docker() {
    echo "正在安装 Docker..."
 
    # 移除旧版本
    sudo apt remove -y docker docker.io containerd runc docker-engine
 
    # 安装必要的软件包
    sudo apt update
    sudo apt install -y apt-transport-https ca-certificates curl gnupg lsb-release
 
    # 创建目录以存储GPG密钥
    sudo mkdir -p /etc/apt/keyrings
 
    # 添加 Docker 官方 GPG 密钥
    curl -fsSL ${DOCKER_REPO_URL}/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg
 
    # 添加 Docker 仓库
    echo "deb [arch=amd64 signed-by=/etc/apt/keyrings/docker.gpg] ${DOCKER_REPO_URL} ${DOCKER_REPO_DIST} stable" | \
    sudo tee /etc/apt/sources.list.d/docker.list > /dev/null
 
    # 更新软件包索引
    sudo apt update
 
    # 安装 Docker
    sudo apt install -y docker-ce docker-ce-cli containerd.io
 
    # 启动并设置开机自启
    sudo systemctl start docker
    sudo systemctl enable docker
 
    # 添加当前用户到docker组
    sudo usermod -aG docker $USER
    echo "Docker 安装完成。请注意，要使用非root用户运行docker，您需要注销并重新登录。"
 
    # 安装 Docker Compose
    echo "正在安装 Docker Compose..."
 
    # 方法1：使用apt安装docker-compose-plugin
    sudo apt install -y docker-compose-plugin
    
    if command -v docker compose &> /dev/null; then
        echo "Docker Compose 插件安装完成，版本：$(docker compose version)"
    else
        echo "Docker Compose 插件安装失败，尝试使用二进制方法安装..."
        
        # 方法2：获取最新版本号
        DOCKER_COMPOSE_LATEST=$(curl -s https://api.github.com/repos/docker/compose/releases/latest | grep tag_name | cut -d '"' -f 4)
        
        if [ -z "$DOCKER_COMPOSE_LATEST" ]; then
            echo "无法获取 Docker Compose 最新版本号。请手动检查 https://github.com/docker/compose/releases"
            return
        fi
        
        # 下载 Docker Compose 二进制文件
        sudo curl -L "https://github.com/docker/compose/releases/download/${DOCKER_COMPOSE_LATEST}/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose
        
        # 授予可执行权限
        sudo chmod +x /usr/local/bin/docker-compose
        
        # 创建软链接（可选）
        sudo ln -sf /usr/local/bin/docker-compose /usr/bin/docker-compose
        
        # 验证安装
        if command -v docker-compose &> /dev/null; then
            echo "Docker Compose 安装完成，版本：$(docker-compose --version)"
        else
            echo "Docker Compose 安装失败。"
        fi
    fi
}
 
# 启动 Docker 服务
start_docker() {
    echo "正在启动 Docker 服务..."
    sudo systemctl start docker
    sudo systemctl enable docker
    echo "Docker 服务已启动。"
}
 
# 重启 Docker 服务
restart_docker() {
    echo "正在重启 Docker 服务..."
    sudo systemctl restart docker
    if [ $? -eq 0 ]; then
        echo "Docker 服务已成功重启。"
    else
        echo "Docker 服务重启失败，请检查日志。"
    fi
}
 
# 停止 Docker 服务
stop_docker() {
    echo "正在停止 Docker 服务..."
    sudo systemctl stop docker
    if [ $? -eq 0 ]; then
        echo "Docker 服务已停止。"
    else
        echo "Docker 服务停止失败，请检查日志。"
    fi
}
 
# 卸载 Docker 和 Docker Compose
uninstall_docker() {
    echo "正在卸载 Docker..."
 
    # 停止 Docker 服务
    sudo systemctl stop docker
 
    # 卸载 Docker
    sudo apt purge -y docker-ce docker-ce-cli containerd.io docker-compose-plugin
    sudo apt autoremove -y
 
    # 删除所有镜像、容器、卷和网络
    sudo rm -rf /var/lib/docker
    sudo rm -rf /var/lib/containerd
 
    echo "Docker 已卸载。"
 
    # 卸载 Docker Compose
    echo "正在卸载 Docker Compose..."
 
    sudo rm -f /usr/local/bin/docker-compose
    sudo rm -f /usr/bin/docker-compose
 
    echo "Docker Compose 已卸载。"
}
 
# 显示菜单
show_menu() {
    echo "=============================="
    echo "      Docker 管理脚本         "
    echo "=============================="
    echo "1. 安装 Docker（包括 Docker Compose）"
    echo "2. 启动 Docker 服务"
    echo "3. 重启 Docker 服务"
    echo "4. 停止 Docker 服务"
    echo "5. 卸载 Docker（包括 Docker Compose）"
    echo "6. 退出"
    echo "=============================="
}
 
# =======================
# 主程序
# =======================
 
while true; do
    show_menu
    read -p "请输入你的选择 [1-6]：" choice
    case $choice in
        1)
            install_docker
            ;;
        2)
            start_docker
            ;;
        3)
            restart_docker
            ;;
        4)
            stop_docker
            ;;
        5)
            uninstall_docker
            ;;
        6)
            echo "退出脚本。"
            exit 0
            ;;
        *)
            echo "无效的选择，请重新输入。"
            ;;
    esac
    echo ""
done

🔧 使用说明

📝 通用操作步骤

选择适合的脚本

下载并准备脚本

# 创建脚本文件
vim docker_manager.sh

# 复制对应的脚本内容
# 保存并退出

# 赋予执行权限
chmod +x docker_manager.sh

运行脚本
```
./docker_manager.sh
```
选择操作
- 输入数字 1-6 选择对应功能
- 按照提示完成操作

🎯 菜单功能说明

选项	功能	说明
1	安装 Docker	完整安装Docker CE和Docker Compose
2	启动服务	启动Docker服务并设置开机自启
3	重启服务	重启Docker服务
4	停止服务	停止Docker服务
5	卸载 Docker	完全卸载Docker和相关组件
6	退出脚本	退出管理程序

⚠️ 注意事项

🛡️ 安全提醒

权限要求: 所有操作都需要sudo权限
网络访问: 安装过程需要访问Docker官方仓库
系统影响: 卸载功能会删除所有Docker数据

🔍 常见问题

Q: 安装失败怎么办？

检查网络连接是否正常
确认系统版本是否支持
查看错误日志进行排查

Q: Docker Compose安装失败？

脚本会自动尝试多种安装方法
手动安装：sudo apt install docker-compose-plugin

Q: 非root用户无法使用docker？

执行：sudo usermod -aG docker $USER
注销并重新登录系统

📊 版本兼容性

系统	最低版本	推荐版本
CentOS	7.0	8.0+
Ubuntu	18.04 LTS	20.04 LTS+
Kali Linux	2020.1	2025.1+

📞 技术支持

如遇到问题，请：

检查系统日志：sudo journalctl -u docker
查看Docker状态：sudo systemctl status docker
参考官方文档：Docker Documentation

文档版本：v1.0 | 最后更新：2025年6月

Redisson分布式锁详解：tryLock参数深度解析

Fri, 13 Jun 2025 00:00:00 GMT

Redisson分布式锁详解：tryLock参数深度解析

概述

本文档详细解析Redisson分布式锁中tryLock()方法的核心参数，重点说明等待时间和锁过期时间的工作机制，帮助开发者正确理解和使用分布式锁。

📚 官方文档参考： <a href="https://redisson.pro/docs/getting-started/" target="_blank">Redisson官方文档</a> - 建议配合阅读以获取更全面的信息

核心代码示例

RLock lock = redissonClient.getLock("order:create:" + payAccount);
boolean ok = false;
try {
    // 5 秒内尝试获取锁，成功后 30 秒后自动释放（除非提前 unlock）
    ok = lock.tryLock(5, 30, TimeUnit.SECONDS);
    if (!ok) {
        // 业务自定义：直接返回或抛异常
        return Result.error("系统繁忙，请稍后再试");
    }
    // === 临界区开始 ===
    orderService.createOrder(orderRequest);
    // === 临界区结束 ===
    return Result.OK("创建订单成功");
} catch (InterruptedException e) {
    Thread.currentThread().interrupt();
    throw new BusinessException("获取分布式锁被中断", e);
} finally {
    // 按您当前规范安全释放
    if (lock != null && lock.isLocked() && lock.isHeldByCurrentThread()) {
        lock.unlock();
    }
}

tryLock参数详解

方法签名

boolean tryLock(long waitTime, long leaseTime, TimeUnit unit) throws InterruptedException

参数1：waitTime = 5 秒（等待获取锁的最大时间）

核心含义： 当前线程最多等待5秒来尝试获取锁

详细机制：

立即尝试：首先立即尝试获取锁，如果锁当前可用，直接获取成功
等待重试：如果锁被其他线程持有，当前线程会进入等待状态
轮询机制：在5秒内，Redisson会周期性地重试获取锁（通常每隔几毫秒到几十毫秒）
超时返回：如果5秒内仍无法获取到锁，方法返回false
中断响应：等待过程中如果线程被中断，会抛出InterruptedException

实际场景：

// 场景1：锁立即可用
Thread A: tryLock(5, 30, SECONDS) → 立即返回 true（耗时 < 1ms）

// 场景2：需要等待
Thread A: 持有锁，执行业务逻辑
Thread B: tryLock(5, 30, SECONDS) → 等待2秒后Thread A释放锁 → 返回 true

// 场景3：等待超时
Thread A: 持有锁，执行长时间业务逻辑
Thread B: tryLock(5, 30, SECONDS) → 等待5秒仍未获取到锁 → 返回 false

参数2：leaseTime = 30 秒（锁的自动过期时间）

核心含义： 获取锁成功后，锁将在30秒后自动释放，即使没有手动调用unlock()

详细机制：

看门狗失效：设置了leaseTime后，Redisson的看门狗（watchdog）机制会被禁用
固定过期：锁的过期时间被固定为30秒，不会自动续期
兜底保护：防止因为程序异常、服务器宕机等导致锁永远不被释放
Redis实现：在Redis中通过EXPIRE命令设置键的过期时间

看门狗机制对比：

// 不指定leaseTime（启用看门狗）
lock.tryLock(5, TimeUnit.SECONDS); // 默认30秒，但会自动续期

// 指定leaseTime（禁用看门狗）
lock.tryLock(5, 30, TimeUnit.SECONDS); // 固定30秒，不会续期

续期机制说明：

启用看门狗时：每隔 leaseTime/3 的时间（默认10秒）自动续期
禁用看门狗时：到达30秒后直接过期，无论业务是否完成

执行时序图

时间轴: 0s ----5s----10s----15s----20s----25s----30s----35s

Thread A: [等待2s] [获取锁成功] [执行业务逻辑] [手动释放锁]
Thread B: [等待5s超时] [返回false]
Thread C:                                      [等待] [获取锁成功]

锁状态:    [被占用]    [Thread A持有]           [释放]  [Thread C持有]

参数选择最佳实践

waitTime（等待时间）选择指南

短等待时间（1-5秒）适用场景：

高并发场景，需要快速失败
用户体验敏感的接口
非关键业务操作

长等待时间（10-30秒）适用场景：

重要业务操作，允许适当等待
锁竞争不激烈的场景
批处理任务

leaseTime（过期时间）选择指南

短过期时间（10-30秒）适用场景：

业务执行时间可预期且较短
高并发场景，减少锁占用时间
对一致性要求极高的场景

长过期时间（60-300秒）适用场景：

复杂业务逻辑，执行时间较长
涉及外部系统调用的操作
数据处理或报表生成任务

常见问题与解决方案

问题1：业务执行时间超过leaseTime

问题现象：

// 业务逻辑执行了45秒，但锁30秒就过期了
ok = lock.tryLock(5, 30, TimeUnit.SECONDS);
if (ok) {
    // 这里执行了45秒
    complexBusinessLogic(); // 可能导致重复执行
}

解决方案：

// 方案1：预估业务时间，设置合适的leaseTime
ok = lock.tryLock(5, 60, TimeUnit.SECONDS); // 增加到60秒

// 方案2：使用看门狗机制
ok = lock.tryLock(5, TimeUnit.SECONDS); // 不指定leaseTime，启用自动续期

// 方案3：手动续期
if (lock.remainTimeToLive() < 10000) { // 剩余时间少于10秒
    lock.expire(30, TimeUnit.SECONDS);  // 手动续期30秒
}

问题2：等待时间过短导致频繁失败

问题现象：

// waitTime设置过短，在高并发下频繁返回false
ok = lock.tryLock(1, 30, TimeUnit.SECONDS); // 1秒可能太短

解决方案：

// 合理设置等待时间，或使用指数退避重试
int maxRetries = 3;
int baseWaitTime = 2;
for (int i = 0; i < maxRetries; i++) {
    int waitTime = baseWaitTime * (int) Math.pow(2, i); // 2, 4, 8秒
    ok = lock.tryLock(waitTime, 30, TimeUnit.SECONDS);
    if (ok) break;
}

问题3：锁释放的安全性

推荐的释放模式：

if (lock != null && lock.isLocked() && lock.isHeldByCurrentThread()) {
    lock.unlock();
}

检查条件说明：

lock != null：确保锁对象存在
lock.isLocked()：确保锁仍然被持有
lock.isHeldByCurrentThread()：确保是当前线程持有的锁

监控和日志建议

long startTime = System.currentTimeMillis();
boolean ok = lock.tryLock(5, 30, TimeUnit.SECONDS);
long waitDuration = System.currentTimeMillis() - startTime;

if (ok) {
    log.info("获取锁成功，等待时间：{}ms，锁标识：{}", waitDuration, lockKey);
    try {
        // 业务逻辑
        long businessStartTime = System.currentTimeMillis();
        orderService.createOrder(orderRequest);
        long businessDuration = System.currentTimeMillis() - businessStartTime;
        log.info("业务执行完成，耗时：{}ms", businessDuration);
    } finally {
        lock.unlock();
        log.info("锁已释放，锁标识：{}", lockKey);
    }
} else {
    log.warn("获取锁失败，等待超时：{}ms，锁标识：{}", waitDuration, lockKey);
}

总结

参数5（waitTime）：控制获取锁的耐心程度，平衡响应速度与成功率
参数30（leaseTime）：控制锁的安全释放，防止死锁但需匹配业务执行时间
核心原则：waitTime关注用户体验，leaseTime关注系统安全
调优建议：根据具体业务场景和性能监控数据，动态调整这两个参数

参考资源

📖 <a href="https://redisson.pro/docs/getting-started/" target="_blank">Redisson官方文档</a>
🔧 <a href="https://github.com/redisson/redisson" target="_blank">Redisson GitHub仓库</a>

RocketMQ服务端参数大全

Fri, 13 Jun 2025 00:00:00 GMT

RocketMQ服务端参数大全

参考文档：<a href="https://rocketmq.apache.org/zh/docs/4.x/parameterConfiguration/02server" target="_blank" rel="noopener noreferrer">RocketMQ 服务端参数配置文档</a>

NameServer配置

名称	描述	参数类型
rocketmqHome	RocketMQ主目录，默认用户主目录	String
namesrvAddr	NameServer地址	String
kvConfigpath	kv配置文件路径，包含顺序消息主题的配置信息	String
configStorePath	NameServer配置文件路径，建议使用-c指定NameServer配置文件路径	String
clusterTest	是否支持集群测试，默认为false	boolean
orderMessageEnable	是否支持顺序消息，默认为false	boolean

网络配置属性

名称	描述	参数类型	默认值
accessMessageInMemorymaxRatio	访问消息在内存中的比率	int	40(%)
adminBrokerThreadPoolNums	服务端处理控制台管理命令线程池线程数量	int	16
autoCreateSubscriptionGroup	是否自动创建消费组	boolean	true
autoCreateTopicEnable	是否自动创建主题	boolean
bitMapLengthConsumeQueueExt	ConsumeQueue扩展过滤bitmap大小	int	112
brokerClusterName	Broker集群名称	String	TestCluster
brokerFastFailureEnable	是否支持broker快速失败如果为true表示会立即清除发送消息线程池，消息拉取线程池中排队任务，直接返回系统错误	boolean	true
brokerId	brokerID 0表示主节点大于0表示从节点	int	0
brokerIP1	Broker服务地址	String
brokerIP2	BrokerHAIP地址，供slave同步消息的地址	String
brokerName	Broker服务器名称morning服务器hostname	String	broker-a
brokerPermission	Broker权限默认为6表示可读可写	int	6
brokerRole	broker角色,分为 ASYNC_MASTER SYNC_MASTER, SLAVE	enum	ASYNC_MASTER
brokerTopicEnable	broker名称是否可以用做主体使用	boolean
channelNotActiveInterval		long
checkCRCOnRecover	文件恢复时是否校验CRC	boolean
cleanFileForciblyEnable	是否支持强行删除过期文件	boolean
cleanResourceInterval	清除过期文件线程调度频率	int
clientAsyncSemaphoreValue	客户端对invokeAsyncImpl方法的调用频率	int
clientCallbackExecutorThreads	客户端执行回调线程数	int
clientChannelMaxIdleTimeSeconds	客户端每个channel最大等待时间	int
clientCloseSocketIfTimeout	客户端关闭socket是否需要等待	boolean	false
clientManagerThreadPoolQueueCapacity	客户端管理线程池任务队列初始大小	int	1000000
clientManageThreadPoolNums	服务端处理客户端管理（心跳注册取消注册线程数量）	int	32
clientOnewaySemaphoreValue	客户端对invokeOnewayImpl方法的调用控制	int
clientPooledByteBufAllocatorEnable	客户端池化内存是否开启	boolean
clientSocketRcvBufSize	客户端socket接收缓冲区大小	long
clientSocketSndBufSize	客户端socket发送缓冲区大小	long
clientWorkerThreads	worker线程数	int
clusterTopicEnable	集群名称是否可用在主题使用	boolean
commercialBaseCount
commercialBigCount
commercialEnable
commercialTimerCount
commitCommitLogLeastPages	一次提交至少需要脏页的数量,默认4页,针对 commitlog文件	int
commitCommitLogThoroughInterval	Commitlog两次提交的最大间隔,如果超过该间隔,将忽略commitCommitLogLeastPages直接提交	int	200
commitIntervalCommitLog	commitlog提交频率	int	200
compressedRegister	是否开启消息压缩	boolean
connectTimeoutMillis	链接超时时间	long	3000
consumerFallbehindThreshold	消息消费堆积阈值默认16GB在disableConsumeifConsumeIfConsumerReadSlowly为true时生效	long	17179869184
consumerManagerThreadPoolQueueCapacity	消费管理线程池任务队列大小	int	1000000
consumerManageThreadPoolNums	服务端处理消费管理获取消费者列表更新消费者进度查询消费进度等	int	32
debugLockEnable	是否支持 PutMessage Lock锁打印信息	boolean	false
defaultQueryMaxNum	查询消息默认返回条数,默认为32	int	32
defaultTopicQueueNums	主体在一个broker上创建队列数量	int	8
deleteCommitLogFilesInterval	删除commitlog文件的时间间隔，删除一个文件后等一下再删除一个文件	int	100
deleteConsumeQueueFilesInterval	删除consumequeue文件时间间隔	int	100
deleteWhen	磁盘文件空间充足情况下，默认每天什么时候执行删除过期文件，默认04表示凌晨4点	string	04
destroyMapedFileIntervalForcibly	销毁MappedFile被拒绝的最大存活时间，默认120s。清除过期文件线程在初次销毁mappedfile时，如果该文件被其他线程引用，引用次数大于0.则设置MappedFile的可用状态为false，并设置第一次删除时间，下一次清理任务到达时，如果系统时间大于初次删除时间加上本参数，则将ref次数一次减1000，直到引用次数小于0，则释放物理资源	int	120000
disableConsumeIfConsumerReadSlowly	如果消费组消息消费堆积是否禁用该消费组继续消费消息	boolean	false
diskFallRecorded	是否统计磁盘的使用情况,默认为true	boolean	true
diskMaxUsedSpaceRatio	commitlog目录所在分区的最大使用比例，如果commitlog目录所在的分区使用比例大于该值，则触发过期文件删除	int	75
duplicationEnable	是否允许重复复制,默认为 false	boolean	false
enableCalcFilterBitMap	是否开启比特位映射	boolean	false
enableConsumeQueueExt	是否启用ConsumeQueue扩展属性	boolean	false
enablePropertyFilter	是否支持根据属性过滤如果使用基于标准的sql92模式过滤消息则改参数必须设置为true	boolean	false
endTransactionPoolQueueCapacity	处理提交和回滚消息线程池线程队列大小	int
endTransactionThreadPoolNums	处理提交和回滚消息线程池	int	24
expectConsumerNumUseFilter	布隆过滤器参数	int	32
fastFailIfNoBufferInStorePool	从 transientStorepool中获取 ByteBuffer是否支持快速失败	boolean	false
fetchNamesrvAddrByAddressServer	是否支持从服务器获取nameServer	boolean	false
fileReservedTime	文件保留时间，默认72小时，表示非当前写文件最后一次更新时间加上filereservedtime小与当前时间，该文件将被清理	String	120
filterDataCleanTimeSpan	清除过滤数据的时间间隔	long	86400000
filterServerNums	broker服务器过滤服务器数量	int	0
filterSupportRetry	消息过滤是否支持重试	boolean	false
flushCommitLogLeastPages	一次刷盘至少需要脏页的数量，针对commitlog文件	int	4
flushCommitLogTimed	表示await方法等待FlushIntervalCommitlog,如果为true表示使用Thread.sleep方法等待	boolean	false
flushConsumeQueueLeastPages	一次刷盘至少需要脏页的数量,默认2页,针对 Consume文件	int	2
flushConsumeQueueThoroughInterval	Consume两次刷盘的最大间隔,如果超过该间隔,将忽略	int	60000
flushConsumerOffsetHistoryInterval	fushConsumeQueueLeastPages直接刷盘	int	60000
flushConsumerOffsetInterval	持久化消息消费进度 consumerOffse.json文件的频率ms	int	5000
flushDelayOffsetInterval	延迟队列拉取进度刷盘间隔。默认10s	long	10000
flushDiskType	刷盘方式,默认为 ASYNC_FLUSH(异步刷盘),可选值SYNC_FLUSH(同步刷盘)	enum	ASYNC_FLUSH
flushIntervalCommitLog	commitlog刷盘频率	int	500
flushIntervalConsumeQueue	consumuQueue文件刷盘频率	int	1000
flushLeastPagesWhenWarmMapedFile	用字节0填充整个文件的,每多少页刷盘一次。默认4096页,异步刷盘模式生效	int	4096

Redis 6.2.16 安装与配置（Linux）

Thu, 12 Jun 2025 00:00:00 GMT

Redis 6.2.16 安装与配置（Linux）

Redis 是一个开源的内存数据结构存储系统，可用作数据库、缓存和消息代理。本文档将详细介绍如何在 Linux 系统上安装、启动和停止 Redis 6.2.16，并对 redis.conf 中的常用配置进行讲解，特别是端口号、密码、保护模式和监听 IP 等。

安装 Redis

按照以下步骤安装 Redis 6.2.16：

下载源代码

在终端中运行以下命令，将 Redis 6.2.16 源代码下载到 /home 目录：

cd /home
wget https://download.redis.io/releases/redis-6.2.16.tar.gz

解压文件

解压下载的压缩包：

tar -xzf redis-6.2.16.tar.gz

这将在 /home 目录下创建一个名为 redis-6.2.16 的文件夹。

编译 Redis

进入解压后的目录并编译 Redis：

cd /home/redis-6.2.16
make

可选：运行测试以验证构建是否正确：

make test

启动 Redis

您可以通过脚本或手动方式启动 Redis 服务。

使用脚本启动

以下是一个用于启动和停止 Redis 的脚本。将此脚本保存为 redis_control.sh，并赋予执行权限，然后使用 start 参数运行：

#!/bin/bash
# Redis启动和停止脚本

# Redis安装目录
REDIS_HOME=/home/redis-6.2.16
# Redis运行端口
REDIS_PORT=6379

# 启动Redis
start() {
  echo "Starting Redis..."
  cd $REDIS_HOME/src
  nohup ./redis-server ../redis.conf >/dev/null 2>&1 &
  echo "Redis is starting in the background."
}

# 停止Redis
stop() {
  echo "Stopping Redis running on port $REDIS_PORT..."
  PID=$(lsof -i :$REDIS_PORT | grep LISTEN | awk '{print $2}')

  if [ -z "$PID" ]; then
    echo "No Redis process found on port $REDIS_PORT."
  else
    kill -9 $PID
    echo "Redis process $PID stopped."
  fi
}

# 帮助信息
usage() {
  echo "Usage: $0 {start|stop}"
  exit 1
}

# 参数判断
case "$1" in
  start)
    start
    ;;
  stop)
    stop
    ;;
  *)
    usage
    ;;
esac

使用脚本的步骤：

将脚本保存为 redis_control.sh。
赋予执行权限：
```
chmod +x redis_control.sh
```
启动 Redis：
```
./redis_control.sh start
```

使用脚本停止

使用上述脚本，运行：

./redis_control.sh stop

这将找到监听在 6379 端口的 Redis 进程并终止它。

Redis.conf 配置讲解

Redis 的配置文件 redis.conf 包含了许多配置项，下面重点讲解一些常用的配置，特别是与网络、安全性和性能相关的设置。

1. 网络配置

bind
- 作用：指定 Redis 监听的 IP 地址。
- 默认值：bind 127.0.0.1 -::1（只监听本地 IPv4 和 IPv6 回环地址）
- 示例：bind 0.0.0.0
- 说明：设置为 0.0.0.0 表示 Redis 监听所有可用网络接口，适用于需要远程访问的场景。但若未设置密码，这可能带来安全风险。
port
- 作用：指定 Redis 监听的端口号。
- 默认值：6379
- 示例：port 6379
- 说明：默认端口为 6379，可根据需要修改。
protected-mode
- 作用：启用或禁用保护模式。
- 默认值：yes
- 示例：protected-mode no
- 说明：启用时（yes），Redis 仅允许回环地址连接或在设置密码后允许远程连接。禁用（no）后允许任意 IP 连接，但需注意安全性。

2. 安全性配置

requirepass
- 作用：设置 Redis 的访问密码。
- 默认值：无（注释掉）
- 示例：requirepass your_password_here
rename-command
- 作用：重命名或禁用危险命令。
- 默认值：无
- 示例：rename-command CONFIG ""
- 说明：可禁用如 CONFIG、FLUSHALL 等命令以提高安全性。

3. 持久化配置

appendonly
- 作用：启用或禁用 AOF（Append Only File）持久化。
- 默认值：no
- 示例：appendonly yes
- 说明：启用后，每个写操作追加到 AOF 文件，提供更高数据安全性。
save
- 作用：配置 RDB 快照保存策略。
- 默认值：
```
save 900 1
save 300 10
save 60 10000
```
- 说明：表示 900 秒内至少 1 个键修改、300 秒内至少 10 个键修改、60 秒内至少 10000 个键修改时保存快照。

4. 性能配置

maxmemory
- 作用：设置 Redis 可使用的最大内存。
- 默认值：无（不限制）
- 示例：maxmemory 2gb
- 说明：达到限制时，根据 maxmemory-policy 策略回收内存。
maxmemory-policy
- 作用：内存达到 maxmemory 时的回收策略。
- 默认值：noeviction
- 示例：maxmemory-policy allkeys-lru
- 说明：allkeys-lru 表示对所有键使用 LRU（最近最少使用）算法淘汰。

5. 其他常用配置

daemonize
- 作用：是否以守护进程方式运行 Redis。
- 默认值：no
- 示例：daemonize yes
- 说明：设置为 yes 时，Redis 在后台运行。
logfile
- 作用：指定日志文件路径。
- 默认值：""（标准输出）
- 示例：logfile /var/log/redis.log
- 说明：设置后，日志写入指定文件。
databases
- 作用：设置 Redis 数据库数量。
- 默认值：16
- 示例：databases 16
- 说明：默认有 16 个数据库，编号 0 到 15。

示例 redis.conf 文件

以下是一个生产环境 redis.conf 示例，包含上述常用配置的设置,密码是123456re,端口号是6379：

########## 基础 ##########
bind 0.0.0.0
protected-mode no
port 6379
requirepass 123456re
daemonize no
supervised systemd
pidfile /var/run/redis_6379.pid

########## 日志 ##########
loglevel notice
logfile ""
always-show-logo no

########## 连接 ##########
tcp-backlog 65536
timeout 0
tcp-keepalive 60
maxclients 50000

########## 内存 ##########
# 0 表示不限制，由上层监控触发报警 + OOM Killer 兜底
maxmemory 0
maxmemory-policy allkeys-lfu
maxmemory-samples 10
# 在线碎片整理
activedefrag yes
jemalloc-bg-thread yes

########## 异步删除 ##########
lazyfree-lazy-eviction yes
lazyfree-lazy-expire   yes
lazyfree-lazy-server-del yes
replica-lazy-flush yes
lazyfree-lazy-user-del yes

########## 过期与调度 ##########
active-expire-effort 4
hz 25
dynamic-hz yes

########## 线程 & 内核 ##########
io-threads 4
io-threads-do-reads no
disable-thp yes

########## 持久化 (仅 AOF) ##########
save ""                         # 关闭 RDB
appendonly yes
appendfilename "appendonly.aof"
appendfsync everysec
no-appendfsync-on-rewrite yes
auto-aof-rewrite-percentage 100
auto-aof-rewrite-min-size 256mb
aof-use-rdb-preamble yes
rdb-save-incremental-fsync yes
aof-rewrite-incremental-fsync yes
stop-writes-on-bgsave-error no

########## 复制(如需) ##########
# repl-backlog-size 256mb
# repl-backlog-ttl 3600

########## 客户端缓冲 ##########
client-output-buffer-limit normal 0 0 0
client-output-buffer-limit replica 256mb 64mb 60
client-output-buffer-limit pubsub 64mb 16mb 60

########## 其余保持默认 ##########

RocketMQ生产者与消费者完整封装技术文档

Wed, 11 Jun 2025 00:00:00 GMT

RocketMQ生产者与消费者完整封装技术文档

概述

本文档提供了基于Spring Boot的RocketMQ完整解决方案，包括消息生产者和消费者的封装实现。支持同步发送、异步发送、延迟消息、定时消息、有序消息以及并发消费、顺序消费等多种模式。

依赖配置

在项目的 pom.xml中添加RocketMQ Spring Boot Starter依赖：

<dependency>
    <groupId>org.apache.rocketmq</groupId>
    <artifactId>rocketmq-spring-boot-starter</artifactId>
    <version>2.3.3</version>
</dependency>

配置文件

application.yml配置

在 application.yml中添加RocketMQ配置：

rocketmq:
  # NameServer地址，多个用分号分隔
  name-server: localhost:9876
  
  producer:
    # 生产者组名，同一个组内的生产者发送相同Topic的消息
    group: prodProduceGroup
  
    # 是否启用消息轨迹，用于消息的发送和消费轨迹追踪
    # 开启后可在控制台查看消息的完整链路，但会影响性能
    enable-msg-trace: false
  
    # 访问密钥，用于RocketMQ的权限验证
    access-key: '00phgp34'
  
    # 秘密密钥，与access-key配对使用
    secret-key: 'errtteeet3!'
  
    # 发送消息超时时间(毫秒)，默认3000ms
    send-message-timeout: 10000
  
    # 发送失败重试次数，默认2次
    retry-times-when-send-failed: 3
  
    # 消息最大大小(字节)，默认4MB
    max-message-size: 4194304
  
  consumer:
    # 是否启用消息轨迹
    enable-msg-trace: false
  
    # 消费者访问密钥
    access-key: '00phgp34'
  
    # 消费者秘密密钥  
    secret-key: 'errtteeet3!'
  
    # 拉取消息超时时间(毫秒)
    pull-timeout: 10000

broker.conf配置

<a href="https://www.twenhub.com/archives/rocketmqfu-wu-duan-can-shu-da-quan" target="_blank" rel="noopener noreferrer">RocketMQ服务端参数大全</a>

RocketMQ Broker服务端配置文件：

# Licensed to the Apache Software Foundation (ASF) under one or more
# contributor license agreements.  See the NOTICE file distributed with
# this work for additional information regarding copyright ownership.
# The ASF licenses this file to You under the Apache License, Version 2.0
# (the "License"); you may not use this file except in compliance with
# the License.  You may obtain a copy of the License at
#
#     http://www.apache.org/licenses/LICENSE-2.0
#
#  Unless required by applicable law or agreed to in writing, software
#  distributed under the License is distributed on an "AS IS" BASIS,
#  WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
#  See the License for the specific language governing permissions and
#  limitations under the License.

# Broker对外服务的IP地址，客户端连接的IP
brokerIP1=公网IP

# NameServer的地址，如果有多个的话，使用分号分隔开
namesrvAddr=公网IP:30001

# Broker端口号，默认10911
listenPort=30002

# store的存储路径
storePathRootDir=/home/rocketmq/data/store

# commitLog的存储路径 
storePathCommitLog=/home/rocketmq/data/store/commitlog

# 消费队列的存储路径
storePathConsumeQueue=/home/rocketmq/data/store/consumequeue

# 消息索引的存储路径
storePathIndex=/home/rocketmq/data/store/index

# checkpoint文件的存储路径
storeCheckpoint=/home/rocketmq/data/store/checkpoint

# abort文件的存储路径
abortFile=/home/rocketmq/data/store/abort

# 集群名称
brokerClusterName = DefaultCluster

# Broker名称
brokerName = broker-a

# BrokerID，0表示Master，大于0表示Slave
brokerId = 0

# 该时间清理过期数据
deleteWhen = 04

# 文件超过N小时没改变算是过期(小时)
fileReservedTime = 72

# Broker角色：ASYNC_MASTER异步复制Master、SYNC_MASTER同步双写Master、SLAVE
brokerRole = ASYNC_MASTER

# 延迟消息时间级别(delayLevel 1对应1s, 2对应5s，依此类推)
# 默认18个级别：1s 5s 10s 30s 1m 2m 3m 4m 5m 6m 7m 8m 9m 10m 20m 30m 1h 2h
messageDelayLevel=1s 5s 10s 30s 1m 2m 3m 4m 5m 6m 7m 8m 9m 10m 20m 30m 1h 2h

# 发送队列等待时间
waitTimeMillsInSendQueue=999999

# 刷盘方式：SYNC_FLUSH同步刷盘、ASYNC_FLUSH异步刷盘
flushDiskType = SYNC_FLUSH

# 存储消息时使用可重入锁
useReentrantLockWhenPutMessage=true

# 消息最大大小，默认4MB，这里设置为10MB
maxMessageSize=4194304

# 消息属性最大大小，默认32KB，这里设置为64KB
maxPropertySize=65536

# 启用访问控制列表(ACL)权限验证
aclEnable=true

# ACL配置文件路径
aclConfig=/home/rocketmq/rocketmq-all-5.1.2-bin-release/conf/plain_acl.yml

plain_acl.yml配置

RocketMQ访问控制列表(ACL)权限配置文件：

# Licensed to the Apache Software Foundation (ASF) under one or more
# contributor license agreements.  See the NOTICE file distributed with
# this work for additional information regarding copyright ownership.
# The ASF licenses this file to You under the Apache License, Version 2.0
# (the "License"); you may not use this file except in compliance with
# the License.  You may obtain a copy of the License at
#
#     http://www.apache.org/licenses/LICENSE-2.0
#
#  Unless required by applicable law or agreed to in writing, software
#  distributed under the License is distributed on an "AS IS" BASIS,
#  WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
#  See the License for the specific language governing permissions and
#  limitations under the License.

# 全局白名单IP地址，这些IP可以无需认证访问RocketMQ
globalWhiteRemoteAddresses:
  - 127.0.0.1                    # 本地回环地址
  - 公网IP                       # RocketMQ服务器公网IP
  - 192.168.1.100               # RocketMQ服务器内网IP

# 用户账户配置
accounts:
  - accessKey: 00phgp34          # 访问密钥，与客户端配置保持一致
    secretKey: errtteeet3!       # 秘密密钥，与客户端配置保持一致
    whiteRemoteAddress: 192.168.1.*  # 该用户允许访问的IP范围
    admin: true                  # 是否为管理员账户

部署脚本

启动脚本 start.sh

#!/bin/bash
logsDir=/home/rocketmq/logs
installDir=/home/rocketmq/rocketmq-all-5.1.2-bin-release
mkdir -p $logsDir

# 设置 JVM 启动参数，仅输出 ERROR 日志
export JAVA_OPT="$JAVA_OPT -Drocketmq.log.level=ERROR"

# 启动 NameServer
nohup sh $installDir/bin/mqnamesrv -c $installDir/conf/namesrv.properties > $logsDir/mqnamesrv.out 2>&1 &

# 启动 Broker，指定 NameServer 地址
nohup sh $installDir/bin/mqbroker -n 公网IP:9876 -c $installDir/conf/broker.conf > $logsDir/broker.out 2>&1 &

# 启动管理控制台(可选)
#nohup java -jar /home/rocketmq/console/rocketmq-dashboard-1.0.0.jar --server.port=8080 --rocketmq.config.namesrvAddr=公网IP:9876 > $logsDir/dashboard.out 2>&1 &

停止脚本 stop.sh

#!/bin/bash
cd /home/rocketmq/rocketmq-all-5.1.2-bin-release/bin

# 停止 Broker
sh mqshutdown broker

# 停止 NameServer  
sh mqshutdown namesrv

# 停止管理控制台
jarname='rocketmq-dashboard-1.0.0.jar'
pid=`ps aux | grep $jarname | grep -v grep | awk '{print $2}'`
echo $pid
kill -9 $pid

脚本说明

启动脚本功能：

日志目录创建：自动创建日志存储目录
JVM参数设置：配置日志级别为ERROR，减少日志输出
NameServer启动：使用默认9876端口启动注册中心
Broker启动：指定NameServer地址启动消息服务
控制台启动：可选的Web管理界面（注释状态）

停止脚本功能：

服务停止：按顺序停止Broker和NameServer
进程清理：强制杀死管理控制台进程
安全关闭：确保所有RocketMQ相关进程完全退出

使用方法：

# 赋予执行权限
chmod +x start.sh stop.sh

# 启动RocketMQ
./start.sh

# 停止RocketMQ  
./stop.sh

注意事项：

确保脚本中的路径与实际安装路径一致
NameServer端口9876与broker.conf中的配置保持一致
日志文件会输出到指定的logs目录便于排查问题

消息生产者封装

接口定义

IMQProducer 接口

import org.apache.rocketmq.client.producer.SendResult;

/**
 * 消息队列生产者
 */
public interface IMQProducer<T> {
  
    /**
     * 异步发送消息 如果要发送指定TAG,topic参数格式TOPIC:TAG
     */
    void asyncSend(String topic, T msg, int delayLevel);

    /**
     * 同步发送消息 如果要发送指定TAG,topic参数格式TOPIC:TAG
     */
    SendResult syncSend(String topic, T msg, int delayLevel);

    /**
     * 同步发送消息 如果要发送指定TAG,topic参数格式TOPIC:TAG
     */
    SendResult syncSend(String topic, T msg);

    /**
     * 定时投递消息 如果要发送指定TAG,topic参数格式TOPIC:TAG
     */
    SendResult syncSendDeliverTimeMills(String topic, T msg, long pushTime);

    /**
     * 有序发送消息
     */
    SendResult syncSendOrderly(String topic, T msg, String hashKey);
}

生产者实现

import lombok.extern.slf4j.Slf4j;
import org.apache.rocketmq.client.producer.SendCallback;
import org.apache.rocketmq.client.producer.SendResult;
import org.apache.rocketmq.spring.core.RocketMQTemplate;
import org.springframework.messaging.Message;
import org.springframework.messaging.support.MessageBuilder;
import org.springframework.stereotype.Service;

import jakarta.annotation.Resource;

@Service
@Slf4j
public class RocketMQProducer<T> implements IMQProducer<T> {
  
    private final String LOG_SIGN = "生产者消息";

    @Resource
    private RocketMQTemplate rocketMQTemplate;

    @Override
    public void asyncSend(String topic, T msg, int delayLevel) {
        try {
            Message<T> message = MessageBuilder.withPayload(msg).build();
            rocketMQTemplate.asyncSend(topic, message, new SendCallback() {
                @Override
                public void onSuccess(SendResult sendResult) {
                    log.info("【{}】【{}】发送成功, 状态码【{}】", LOG_SIGN, message, sendResult.getSendStatus());
                }

                @Override
                public void onException(Throwable throwable) {
                    log.warn("【{}】【{}】发送异常", LOG_SIGN, message, throwable);
                }
            }, 10000, delayLevel);
        } catch (Exception e) {
            log.error("【{}】【{}】发送异常", LOG_SIGN, msg, e);
        }
    }

    @Override
    public SendResult syncSend(String topic, T msg, int delayLevel) {
        try {
            Message<T> message = MessageBuilder.withPayload(msg).build();
            SendResult sendResult = rocketMQTemplate.syncSend(topic, message, 10000, delayLevel);
            log.info("【{}】【{}】发送结果 状态码【{}】 MsgId【{}】", 
                    LOG_SIGN, msg, sendResult.getSendStatus(), sendResult.getMsgId());
            return sendResult;
        } catch (Exception e) {
            log.error("【{}】【{}】发送异常", LOG_SIGN, msg, e);
        }
        return null;
    }

    @Override
    public SendResult syncSend(String topic, T msg) {
        try {
            Message<T> message = MessageBuilder.withPayload(msg).build();
            SendResult sendResult = rocketMQTemplate.syncSend(topic, message, 10000);
            log.info("【{}】【{}】发送结果 状态码【{}】 MsgId【{}】", 
                    LOG_SIGN, msg, sendResult.getSendStatus(), sendResult.getMsgId());
            return sendResult;
        } catch (Exception e) {
            log.error("【{}】【{}】发送异常", LOG_SIGN, msg, e);
        }
        return null;
    }

    @Override
    public SendResult syncSendDeliverTimeMills(String topic, T msg, long pushTime) {
        try {
            Message<T> message = MessageBuilder.withPayload(msg).build();
            SendResult sendResult = rocketMQTemplate.syncSendDeliverTimeMills(topic, message, pushTime);
            log.info("【{}】【{}】发送定时消息结果 状态码【{}】 MsgId【{}】", 
                    LOG_SIGN, msg, sendResult.getSendStatus(), sendResult.getMsgId());
            return sendResult;
        } catch (Exception e) {
            log.error("【{}】【{}】发送定时消息异常", LOG_SIGN, msg, e);
        }
        return null;
    }

    @Override
    public SendResult syncSendOrderly(String topic, T msg, String hashKey) {
        try {
            Message<T> message = MessageBuilder.withPayload(msg).build();
            SendResult sendResult = rocketMQTemplate.syncSendOrderly(topic, message, hashKey);
            log.info("【{}】【{}】发送结果 状态码【{}】 MsgId【{}】", 
                    LOG_SIGN, msg, sendResult.getSendStatus(), sendResult.getMsgId());
            return sendResult;
        } catch (Exception e) {
            log.error("【{}】【{}】发送异常", LOG_SIGN, msg, e);
        }
        return null;
    }
}

延迟消息级别说明

RocketMQ默认支持18个延迟级别：

Level	延迟时间	Level	延迟时间	Level	延迟时间
1	1s	7	3m	13	9m
2	5s	8	4m	14	10m
3	10s	9	5m	15	20m
4	30s	10	6m	16	30m
5	1m	11	7m	17	1h
6	2m	12	8m	18	2h

使用示例：

// 发送延迟5秒的消息（delayLevel = 2）
mqProducer.syncSend("TOPIC", "message", 2);

消息消费者封装

1. 并发消费者（高吞吐量场景）

import lombok.extern.slf4j.Slf4j;
import org.apache.rocketmq.common.message.MessageExt;
import org.apache.rocketmq.spring.annotation.ConsumeMode;
import org.apache.rocketmq.spring.annotation.RocketMQMessageListener;
import org.apache.rocketmq.spring.core.RocketMQListener;
import org.springframework.context.annotation.Profile;
import org.springframework.stereotype.Service;

import java.nio.charset.StandardCharsets;

/**
 * 并发消费者 - 高吞吐量场景
 * 适用于: 日志处理、数据统计、通知发送等对顺序不敏感的场景
 */
@Profile({"prod"})
@Slf4j
@Service
@RocketMQMessageListener(
    consumeThreadMax = 10, 
    consumeMode = ConsumeMode.CONCURRENTLY, 
    topic = "CONCURRENT_TOPIC", 
    consumerGroup = "CONCURRENT_CONSUMER_GROUP"
)
public class ConcurrentMQConsumer implements RocketMQListener<MessageExt> {
  
    @Override
    public void onMessage(MessageExt messageExt) {
        try {
            // 获取消息基本信息
            String topic = messageExt.getTopic();
            String tags = messageExt.getTags();
            String keys = messageExt.getKeys();
            String msgId = messageExt.getMsgId();
            int reconsumeTimes = messageExt.getReconsumeTimes();
          
            // 获取消息体
            String messageBody = new String(messageExt.getBody(), StandardCharsets.UTF_8);
          
            log.info("并发消费消息 - Topic: {}, Tags: {}, Keys: {}, MsgId: {}, ReconsumeTimes: {}", 
                    topic, tags, keys, msgId, reconsumeTimes);
          
            // 业务处理逻辑
            processMessage(messageBody, messageExt);
          
            log.info("并发消费成功 - MsgId: {}", msgId);
          
        } catch (Exception e) {
            log.error("并发消费失败 - MsgId: {}, 错误信息: {}", 
                    messageExt.getMsgId(), e.getMessage(), e);
          
            // 抛出异常会触发重试机制
            throw new RuntimeException("消息处理失败", e);
        }
    }
  
    /**
     * 业务消息处理
     */
    private void processMessage(String messageBody, MessageExt messageExt) {
        // 根据消息内容进行业务处理
        // 例如：数据入库、调用外部API、发送通知等
        log.info("处理消息内容: {}", messageBody);
      
        // 具体业务逻辑
        // ...
    }
}

2. 顺序消费者（严格顺序场景）

<a href="https://cdn.twenhub.com/halo/2025/06/rocketmq-orderly-message-guide-aunqtr.html" target="_blank">图解RocketMQ顺序发送消息</a>

<a href="https://cdn.twenhub.com/halo/2025/06/rocketmq-orderly-consumer-guide-scymmj.html" target="_blank">图解RocketMQ顺序消费消息</a>

import lombok.extern.slf4j.Slf4j;
import org.apache.rocketmq.common.message.MessageExt;
import org.apache.rocketmq.spring.annotation.ConsumeMode;
import org.apache.rocketmq.spring.annotation.RocketMQMessageListener;
import org.apache.rocketmq.spring.core.RocketMQListener;
import org.springframework.context.annotation.Profile;
import org.springframework.stereotype.Service;

import java.nio.charset.StandardCharsets;

/**
 * 顺序消费者 - 严格顺序场景
 * 适用于: 订单状态变更、账户余额变动、状态机流转等需要严格顺序的场景
 */
@Profile({"prod"})
@Slf4j
@Service
@RocketMQMessageListener(
    consumeThreadMax = 10, 
    consumeMode = ConsumeMode.ORDERLY, 
    topic = "ORDERLY_TOPIC", 
    consumerGroup = "ORDERLY_CONSUMER_GROUP"
)
public class OrderlyMQConsumer implements RocketMQListener<MessageExt> {
  
    @Override
    public void onMessage(MessageExt messageExt) {
        try {
            // 获取消息基本信息
            String topic = messageExt.getTopic();
            String tags = messageExt.getTags();
            String keys = messageExt.getKeys();
            String msgId = messageExt.getMsgId();
            int queueId = messageExt.getQueueId();
            long queueOffset = messageExt.getQueueOffset();
          
            // 获取消息体
            String messageBody = new String(messageExt.getBody(), StandardCharsets.UTF_8);
          
            log.info("顺序消费消息 - Topic: {}, Tags: {}, Keys: {}, MsgId: {}, QueueId: {}, QueueOffset: {}", 
                    topic, tags, keys, msgId, queueId, queueOffset);
          
            // 业务处理逻辑
            processOrderlyMessage(messageBody, messageExt);
          
            log.info("顺序消费成功 - MsgId: {}, QueueId: {}, QueueOffset: {}", 
                    msgId, queueId, queueOffset);
          
        } catch (Exception e) {
            log.error("顺序消费失败 - MsgId: {}, QueueId: {}, 错误信息: {}", 
                    messageExt.getMsgId(), messageExt.getQueueId(), e.getMessage(), e);
          
            // 顺序消费失败时，当前队列会被暂停消费
            throw new RuntimeException("顺序消息处理失败", e);
        }
    }
  
    /**
     * 顺序业务消息处理
     */
    private void processOrderlyMessage(String messageBody, MessageExt messageExt) {
        // 顺序消费的业务处理
        // 例如：订单状态流转、账户变动等需要严格顺序的操作
      
        String orderKey = messageExt.getKeys();
        log.info("处理订单消息 - OrderKey: {}, Content: {}", orderKey, messageBody);
      
        // 模拟状态机处理
        processOrderStatus(orderKey, messageBody);
    }
  
    /**
     * 订单状态处理示例
     */
    private void processOrderStatus(String orderKey, String messageBody) {
        // 解析消息内容，处理订单状态变更
        // 保证同一订单的消息按顺序处理
        log.info("订单状态更新完成 - OrderKey: {}", orderKey);
      
        // 具体业务逻辑
        // ...
    }
}

3. 带TAG过滤的消费者

import lombok.extern.slf4j.Slf4j;
import org.apache.rocketmq.common.message.MessageExt;
import org.apache.rocketmq.spring.annotation.ConsumeMode;
import org.apache.rocketmq.spring.annotation.RocketMQMessageListener;
import org.apache.rocketmq.spring.annotation.SelectorType;
import org.apache.rocketmq.spring.core.RocketMQListener;
import org.springframework.context.annotation.Profile;
import org.springframework.stereotype.Service;

import java.nio.charset.StandardCharsets;

/**
 * 带TAG过滤的消费者
 * 只消费指定TAG的消息
 */
@Profile({"prod"})
@Slf4j
@Service
@RocketMQMessageListener(
    consumeThreadMax = 10, 
    consumeMode = ConsumeMode.CONCURRENTLY, 
    topic = "USER_EVENT_TOPIC", 
    consumerGroup = "USER_EVENT_CONSUMER_GROUP",
    selectorType = SelectorType.TAG,
    selectorExpression = "LOGIN || LOGOUT || REGISTER"
)
public class UserEventMQConsumer implements RocketMQListener<MessageExt> {
  
    @Override
    public void onMessage(MessageExt messageExt) {
        try {
            String topic = messageExt.getTopic();
            String tags = messageExt.getTags();
            String msgId = messageExt.getMsgId();
            String messageBody = new String(messageExt.getBody(), StandardCharsets.UTF_8);
          
            log.info("用户事件消费 - Topic: {}, Tags: {}, MsgId: {}", topic, tags, msgId);
          
            // 根据不同TAG处理不同业务
            switch (tags) {
                case "LOGIN":
                    handleUserLogin(messageBody);
                    break;
                case "LOGOUT":
                    handleUserLogout(messageBody);
                    break;
                case "REGISTER":
                    handleUserRegister(messageBody);
                    break;
                default:
                    log.warn("未知的用户事件类型: {}", tags);
            }
          
            log.info("用户事件处理成功 - MsgId: {}, Tags: {}", msgId, tags);
          
        } catch (Exception e) {
            log.error("用户事件处理失败 - MsgId: {}, 错误信息: {}", 
                    messageExt.getMsgId(), e.getMessage(), e);
            throw new RuntimeException("用户事件处理失败", e);
        }
    }
  
    private void handleUserLogin(String messageBody) {
        log.info("处理用户登录事件: {}", messageBody);
        // 用户登录相关业务处理
    }
  
    private void handleUserLogout(String messageBody) {
        log.info("处理用户登出事件: {}", messageBody);
        // 用户登出相关业务处理
    }
  
    private void handleUserRegister(String messageBody) {
        log.info("处理用户注册事件: {}", messageBody);
        // 用户注册相关业务处理
    }
}

@RocketMQMessageListener 注解参数详解

核心参数说明

参数	类型	必填	说明	示例值
`consumerGroup`	String	✓	消费者组名，同组消费者共同消费Topic	"ORDER_CONSUMER_GROUP"
`topic`	String	✓	要消费的Topic名称	"ORDER_TOPIC"
`consumeMode`	ConsumeMode	✗	消费模式：CONCURRENTLY(并发)、ORDERLY(顺序)	ConsumeMode.CONCURRENTLY
`consumeThreadMax`	int	✗	最大消费线程数，默认64	10

过滤参数

参数	类型	默认值	说明	示例值
`selectorType`	SelectorType	TAG	过滤类型：TAG、SQL92	SelectorType.TAG
`selectorExpression`	String	"*"	过滤表达式	"TagA\|\| TagB"

重试和超时参数

参数	类型	默认值	说明	最佳实践
`maxReconsumeTimes`	int	-1(16次)	最大重试次数	3-5次
`consumeTimeout`	long	15	消费超时时间(分钟)	10-20分钟

性能优化参数

参数	类型	默认值	说明	建议值
`consumeMessageBatchMaxSize`	int	1	批量消费大小	1-32
`pullInterval`	int	0	拉取间隔(毫秒)	0(实时)
`pullBatchSize`	int	32	拉取批次大小	16-64

使用示例

生产者使用示例

@Service
public class MessageService {
  
    @Autowired
    private IMQProducer<String> mqProducer;
  
    public void sendMessage() {
        // 同步发送普通消息
        SendResult result = mqProducer.syncSend("ORDER_TOPIC", "订单创建消息");
      
        // 异步发送延迟消息
        mqProducer.asyncSend("ORDER_TOPIC", "延迟处理消息", 3);
      
        // 发送定时消息（1小时后执行）
        long deliverTime = System.currentTimeMillis() + 3600 * 1000;
        mqProducer.syncSendDeliverTimeMills("ORDER_TOPIC", "定时处理消息", deliverTime);
      
        // 发送有序消息
        mqProducer.syncSendOrderly("ORDER_TOPIC", "订单状态变更", "orderKey123");
      
        // 发送带TAG的消息
        mqProducer.syncSend("ORDER_TOPIC:CREATE", "订单创建消息");
    }
}

消费者使用示例

// 并发消费示例
@Profile({"prod"})
@Slf4j
@Service
@RocketMQMessageListener(
    consumeThreadMax = 10, 
    consumeMode = ConsumeMode.CONCURRENTLY, 
    topic = "ORDER_TOPIC", 
    consumerGroup = "ORDER_CONSUMER_GROUP"
)
public class OrderMQConsumer implements RocketMQListener<MessageExt> {
  
    @Override
    public void onMessage(MessageExt messageExt) {
        String messageBody = new String(messageExt.getBody(), StandardCharsets.UTF_8);
        log.info("处理订单消息: {}", messageBody);
        // 业务处理逻辑
    }
}

使用场景对比

并发消费 vs 顺序消费

特性	并发消费	顺序消费
吞吐量	高	相对较低
顺序性	不保证	严格保证
适用场景	日志、通知、统计	订单、账户、状态机
线程模型	多线程并发	单线程顺序
重试影响	不影响其他消息	阻塞后续消息
参数设置	consumeThreadMax = 10	consumeThreadMax = 10

最佳实践建议

1. 生产者最佳实践

异常处理: 完善的异常处理和日志记录
重试机制: 合理设置重试次数，避免无效重试
消息大小: 单条消息不超过4MB
批量发送: 高并发场景考虑批量发送

2. 消费者最佳实践

幂等处理: 确保消息处理的幂等性
异常处理: 根据业务需要决定是否重试
线程数配置: 根据业务特点合理设置线程数
监控告警: 监控消费延迟和积压情况

3. Topic和Tag设计

Topic设计: 按业务模块划分Topic
TAG使用: 用于消息分类和过滤
命名规范: 使用清晰的命名规范

总结

本文档提供了完整的RocketMQ消息队列解决方案，包含生产者和消费者的封装实现。通过合理的参数配置和代码设计，可以满足不同业务场景的需求：

生产者: 支持同步、异步、延迟、定时、有序等多种发送模式
消费者: 支持并发和顺序两种消费模式，参数配置灵活
配置: 详细的yml配置说明，包含权限认证等高级特性

选择使用建议：

高吞吐量场景: 使用并发消费，设置 consumeThreadMax = 10
严格顺序场景: 使用顺序消费，确保消息按序处理
业务隔离: 不同业务使用不同的Topic和ConsumerGroup

fiddler ios抓包

Tue, 10 Jun 2025 00:00:00 GMT

【Fiddler 实战操作】如何使用 Fiddler 对苹果手机进行抓包【iPhone抓包】

感谢@Alisone_li提供的操作

一、条件概要

使用Fiddler手机抓包的两个前提条件：

1、手机连的网络或WiFi必须和电脑（使用fiddler）连的网络或WiFi是一样的

2、手机不能离开电脑太远距离，一定要保持手机可以上网（不能断网）**

二、安装 Fildder

1、下载 Fiddler 下载地址： www.soft-down.net/detail/4376…

下载的是Fiddler的安装包，直接解压后就可以使用，如图所示：

2、运行 Fiddler 点击 Fildder 运行程序，打开 Fildder 面板，如图所示：

三、配置 Fiddler

1、配置端口

1、点击菜单栏中的工具 -> 选项（Tools > Fiddler Options），打开 选项（Fiddler Options） 对话框，如图所示：

2、在 选项（Fiddler Options）对话框切换到 连接（Connections）选项卡，然后勾选 允许远程计算机连接（Allow romote computers to connect）后面的复选框，最后，点击 确定（OK）按钮。

2、配置手机代理网络

1、查看电脑IP地址，打开 cmd命令行，并输入：ipconfig，找到本机的 IPv4地址。

2、打开IOS设备的设置 -> 无线局域网，找到你要连接的网络，点击右边的符号，如图所示：

3，打开网络设置对话框，下拉到最后，找到配置代理，点击有点的 > 符号，弹出网络代理配置，进行如下配置，并点击右上角的存储，如图所示：

4、启动 IOS设备中的浏览器或应用，在fiddler程序中可以看到完成的请求和响应数据，如图所示：

注意： 在上述完成的请求中，可以看到存在很多的 Tunnel to xxx 443 问题，这是由于网页中有很多请求都是 HTTPS ，因此需要在手机中安装 Fiddler 生成的证书，并在手机中信任该证书。

四、手机安装证书

由于 Fiddler 默认只抓取 HTTP 请求，因此需配置 Fiddler，允许其监听到 HTTPS请求。

1、配置 Fiddler

1、点击 Fiddler 菜单项 工具 -> 选项 -> HTTPS（Tools -> TelerikFiddler Options -> HTTPS），打开 HTTPS 配置面板，如图所示：

2、勾选 捕获HTTPS连接（CaptureHTTPS CONNECTs），勾选 解密 HTTPS 通信（Decrypt HTTPS traffic） 和忽略服务器证书错误（Ignore servercertificate errors） 两项，点击 动作 -> 信任根证书（Actions -> Trust Root Certificate），生成 Fiddler 证书，点击将根证书导出到桌面（Export Root Certificate to Desktop），此时证书会生成到桌面上，名为 FiddlerRoot.cer。最后，点击确定（OK）保存，如图所示：

首次点击会弹出是否信任 Fiddler 证书和安全提示，直接点击 是（yes） 就行。

2、配置手机安装 Fiddler 证书

1、确保手机和电脑连接同一网络，打开手机浏览器，输入 http://192.168.1.8:8888 （http://IP:端口号）此处的 IP 指的是电脑的IP地址，端口号指的是在Fiddler 连接中设置的端口号(8888)，点击搜索，如图所示：

2、点击 FiddlerRoot 证书，将其下载到手机中，打开手机 设置 -> 通用 -> VPN与设备管理，找到已下载的描述文件（FiddlerRoot 证书），如图所示：

3、点击 DO_NOT_TRUST_FiddlerRoot，点击右上角的安装，安装完后，点击右上角的完成，如图所示：

4，由于 iOS手机提供了系统层面的设置，所以在确认证书安装好、代理设置没问题后，需要对已安装的证书进行信任设置。即，点击 设置 -> 通用 -> 关于本机 -> 证书信任设置，开启 Fiddler 证书信任，如图所示：

不使用Fildder 进行抓包时，建议将手机网络代理关闭，以防有其他网络问题。

5、此时，Fiddler 就可以抓取 HTTPS 请求了。

此教程同步我的技术文档

XXL-JOB 3.1.0 搭建指南

Tue, 10 Jun 2025 00:00:00 GMT

XXL-JOB 3.1.0 搭建指南

📌 本文将介绍如何基于最新版本 XXL-JOB 3.1.0 搭建分布式任务调度系统，涵盖调度中心与执行器的搭建、配置、部署运维及升级流程。

调度中心配置(部署成功后配置)

访问 <a href="https://www.twenhub.com/archives/xxl-job-pei-zhi-xuan-xiang-xiang-jie" target="_blank">https://www.twenhub.com/archives/xxl-job-pei-zhi-xuan-xiang-xiang-jie</a>

项目结构与关系架构

XXL-JOB 项目由三个主要模块组成，它们的名称和职责如下：

模块名称	项目名称	职责
xxl-job-admin	调度中心	负责管理调度信息，发起调度请求，监控任务执行状态，提供Web管理界面
xxl-job-core	核心依赖包	提供调度中心和执行器的通信接口、任务处理接口等核心功能
my_springboot_job1/2/3	执行器项目	实际业务系统中集成了xxl-job-core的执行器项目

系统架构关系

调度中心和执行器的关系是典型的一对多关系：

调度中心(XXL-JOB-ADMIN)：
- 连接专用的 xxl_job 数据库（用于存储任务配置、执行记录等信息）
- 提供Web界面进行任务管理
- 按照调度策略向多个执行器发送调度请求
执行器(my_springboot_job1/2/3)：
- 每个执行器连接自己的业务数据库（与xxl-job无关）
- 接收调度中心的调度请求
- 执行具体的任务逻辑
- 将执行结果回调给调度中心

调度中心和执行器之间通过HTTP协议通信，执行器需要注册到调度中心，调度中心根据任务配置调度执行器执行任务。

核心概念

XXL-JOB 是一个轻量级分布式任务调度平台，其核心设计思想是将调度行为抽象形成调度中心平台，平台本身不承担业务逻辑，而是负责发起调度请求，由执行器接收调度请求并执行任务。这种设计实现了调度与任务的解耦，提高了系统的稳定性和可扩展性。

系统组成

组件	职责
调度中心	负责管理调度信息，按照调度配置发出调度请求，监控任务执行状态
执行器	负责接收调度请求并执行对应任务逻辑

环境要求

基于 XXL-JOB 3.1.0 版本，推荐以下环境配置：

JDK：Java 17 或以上
Maven：3.3.1 或以上
MySQL：5.7 或以上（支持 UTF8mb4 字符集）
项目框架：Spring Boot 3.x

搭建调度中心

1. 初始化调度数据库

首先需要创建 XXL-JOB 的数据库并导入初始化 SQL 脚本：

# 创建数据库
CREATE database if NOT EXISTS `xxl_job` default character set utf8mb4 collate utf8mb4_unicode_ci;
use `xxl_job`;

# 导入表结构和初始数据
# 可从官方仓库获取最新SQL脚本：https://github.com/xuxueli/xxl-job/blob/master/doc/db/tables_xxl_job.sql

可以通过以下方式获取并执行 SQL 脚本：

SQL脚本可以从GitHub仓库获取：

访问 <a href="https://github.com/xuxueli/xxl-job/blob/master/doc/db/tables_xxl_job.sql" target="_blank">https://github.com/xuxueli/xxl-job/blob/master/doc/db/tables_xxl_job.sql</a>
点击"Raw"按钮查看原始文件
将内容保存为本地文件 tables_xxl_job.sql

然后导入到MySQL：

# 导入到 MySQL
mysql -u用户名 -p密码 xxl_job < tables_xxl_job.sql

2. 部署调度中心项目

部署调度中心项目通常分为两个环境：开发环境（通常是Windows）和生产环境（通常是Linux）。

开发环境构建（Windows）

访问 <a href="https://github.com/xuxueli/xxl-job/tags" target="_blank">XXL-JOB Tags页面</a>
找到3.1.0版本的标签
下载对应版本的源码（点击"zip"或"tar.gz"）

下载完成后，在Windows环境中进行配置和构建：

解压源码包：

方式1：使用Windows资源管理器右键点击zip文件，选择"解压到..."
方式2：使用解压软件如WinRAR、7-Zip等解压

进入项目目录：

cd xxl-job-3.1.0

【重要】修改数据库配置（在构建之前）：

使用记事本或其他编辑器打开 xxl-job-admin\src\main\resources\application.properties 文件，主要修改以下数据库配置项：

# 服务端口
server.port=8080
server.servlet.context-path=/xxl-job-admin

# 数据库配置（调度中心专用数据库，即初始化的xxl_job库）
spring.datasource.url=jdbc:mysql://127.0.0.1:3306/xxl_job?useUnicode=true&characterEncoding=UTF-8&autoReconnect=true&serverTimezone=Asia/Shanghai
spring.datasource.username=root
spring.datasource.password=root
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver

# 邮件配置（可选）
spring.mail.host=smtp.qq.com
spring.mail.port=25
spring.mail.username=xxx@qq.com
spring.mail.password=xxx
spring.mail.properties.mail.smtp.auth=true
spring.mail.properties.mail.smtp.starttls.enable=true
spring.mail.properties.mail.smtp.starttls.required=true
spring.mail.properties.mail.smtp.socketFactory.class=javax.net.ssl.SSLSocketFactory

# 调度中心通讯TOKEN，非空时启用
xxl.job.accessToken=default_token

# 国际化配置（默认中文）
spring.messages.basename=i18n/messages

完成配置后，使用Maven打包（跳过测试）：

确保已安装Maven并配置环境变量。

mvn clean package -Dmaven.test.skip=true

构建完成后，jar包位于 xxl-job-admin\target\xxl-job-admin-3.1.0.jar

Windows环境下源码构建注意事项：

在Windows环境下进行源码构建时，请注意以下事项：

路径分隔符：Windows使用反斜杠"\"作为路径分隔符，而不是Linux的正斜杠"/"

Maven环境：确保已安装Maven并添加到系统环境变量PATH中

JDK版本：确保使用JDK 17或以上版本，可通过java -version命令检查

权限问题：如遇权限问题，可尝试以管理员身份运行命令提示符

Maven依赖下载失败：可在Maven的settings.xml中配置国内镜像源加速下载

编码问题：确保文本编辑器使用UTF-8编码修改配置文件，避免中文乱码

直接启动调度中心进行测试：

# 进入目标目录
cd xxl-job-admin\target

# 启动调度中心
java -jar xxl-job-admin-3.1.0.jar

生产环境部署（Linux）

在生产环境中，通常将在Windows开发环境构建好的jar包部署到Linux服务器上运行。步骤如下：

1. 将构建好的jar包传输到Linux服务器

使用SCP、SFTP等工具将xxl-job-admin-3.1.0.jar传输到Linux服务器上。

# 示例：使用scp从本地传输到服务器
scp xxl-job-admin-3.1.0.jar user@server:/path/to/deploy/

2. 创建Linux环境下的启动脚本

在jar包所在目录创建以下启动脚本：

#!/bin/bash
# xxl-job-admin 管理脚本（CentOS 7/8/Stream）
# 交互：1=启动 2=停止 3=重启 q=退出

APP_NAME="xxl-job-admin-3.1.0.jar"             # JAR 包名
JAVA_OPTS="-Xms256m -Xmx256m"                  # JVM 参数
LOG_DIR="./log"               # 日志目录（可按需修改）
mkdir -p "$LOG_DIR"

# ──────────────────────────── 内部函数 ──────────────────────────── #
get_pid() { 
    pgrep -f "$APP_NAME"; 
}

start() {
    local pid
    pid=$(get_pid)
    if [[ -n $pid ]]; then
        echo "→ 服务已在运行 (PID=$pid)"
        return
    fi

    local log_file="${LOG_DIR}/$(date +%F).log"
    echo "→ 启动中，日志写入 ${log_file} …"

    # 说明：
    # 1) ( ... ) &      ：子 shell 后台运行，避免阻塞当前脚本交互菜单
    # 2) tee -a         ：同时写终端与日志文件（追加）
    ( nohup java ${JAVA_OPTS} -jar "${APP_NAME}" 2>&1 | tee -a "$log_file" ) &

    # 等待进程起来再获取真实 PID
    sleep 1
    pid=$(get_pid)
    if [[ -n $pid ]]; then
        echo "√ 已启动 (PID=$pid)"
    else
        echo "× 启动失败，查看日志排查"
    fi
}

stop() {
    local pid
    pid=$(get_pid)
    if [[ -z $pid ]]; then
        echo "→ 服务未运行"
    else
        kill -9 "$pid" && echo "√ 已停止 (PID=$pid)"
    fi
}

restart() {
    stop
    sleep 2
    start
}

# ──────────────────────────── 主菜单 ──────────────────────────── #
while true; do
    echo -e "\n===== xxl-job-admin 管理 ====="
    echo "1) 启动"
    echo "2) 停止"
    echo "3) 重启"
    echo "q) 退出"
    read -rp "请选择操作: " choice
    case "$choice" in
        1) start   ;;
        2) stop    ;;
        3) restart ;;
        q|Q) exit 0;;
        *) echo "× 无效选项";;
    esac
done

将此脚本保存为 manage-xxl-job.sh，并赋予执行权限：

chmod +x manage-xxl-job.sh

3. 启动服务

使用脚本启动调度中心服务：

./manage-xxl-job.sh
# 然后在菜单中选择"1"启动服务

调度中心启动后，可通过 http://localhost:8080/xxl-job-admin 访问控制台，默认账号密码：admin/123456

搭建执行器项目

注意：以下所有步骤均在执行器项目(my_springboot_job1/2/3)中操作，而非调度中心项目。

1. 创建 Spring Boot 项目

创建一个标准的 Spring Boot 项目作为执行器(my_springboot_job1/2/3)，推荐使用 Spring Initializr 或 IDE 创建。

2. 添加 XXL-JOB 依赖

在执行器项目的 pom.xml 中添加 XXL-JOB 核心依赖：

<dependency>
    <groupId>com.xuxueli</groupId>
    <artifactId>xxl-job-core</artifactId>
    <version>3.1.0</version>
</dependency>

3. 配置执行器

在执行器项目的 application.yml 或 application.properties 中添加执行器配置：

# 应用名称和端口
spring:
  application:
    name: my_springboot_job1  # 实际业务系统名称

server:
  port: 8081  # 业务系统端口，与执行器端口不同

# XXL-JOB 执行器配置
xxl:
  job:
    admin:
      # 调度中心地址，多个地址用逗号分隔
      # 格式为：http://调度中心IP:调度中心端口/调度中心context-path
      addresses: http://localhost:8080/xxl-job-admin
    # 执行器配置
    executor:
      # 执行器名称，与调度中心配置的执行器名称一致
      # 这是执行器的唯一标识，调度中心通过此标识找到对应执行器
      appname: my_springboot_job1
      # 执行器注册方式：0=自动注册，1=手动录入
      address: 
      # 执行器IP，默认为空表示自动获取
      # 如果执行器部署在内网，调度中心无法直接访问，则需要手动指定IP
      ip: 
      # 执行器端口，默认为9999
      # 这是执行器启动的端口，调度中心通过此端口发送HTTP请求
      # 单机部署多个执行器时，必须避免端口冲突
      port: 9999
      # 执行器日志路径
      logpath: /data/applogs/xxl-job/jobhandler
      # 执行器日志保留天数，最小为3天
      logretentiondays: 30
    # 与调度中心通信的访问令牌，安全验证用
    # 调度中心和执行器必须配置相同的accessToken才能通信
    accessToken: default_token

关键参数说明：

以下参数是执行器与调度中心通信和自身运行的关键配置，请务必根据实际环境进行设置：

xxl.job.admin.addresses: 调度中心地址，执行器通过此地址注册并接收调度请求。支持配置多个调度中心地址，用逗号分隔。

xxl.job.executor.appname: 执行器标识，调度中心通过此唯一标识找到对应的执行器。建议与Spring Boot应用名称保持一致。

xxl.job.executor.port: 执行器启动的端口，调度中心通过此端口发送HTTP请求。在单机部署多个执行器时，请确保端口不冲突。

xxl.job.accessToken: 通信令牌，用于调度中心和执行器之间的安全验证。调度中心和所有执行器必须配置相同的值才能正常通信。

4. 创建执行器配置类

在执行器项目中创建 XxlJobConfig 配置类：

import com.xxl.job.core.executor.impl.XxlJobSpringExecutor;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class XxlJobConfig {
    @Value("${xxl.job.admin.addresses}")
    private String adminAddresses;

    @Value("${xxl.job.executor.appname}")
    private String appName;

    @Value("${xxl.job.executor.ip}")
    private String ip;

    @Value("${xxl.job.executor.port}")
    private int port;

    @Value("${xxl.job.accessToken}")
    private String accessToken;

    @Value("${xxl.job.executor.logpath}")
    private String logPath;

    @Value("${xxl.job.executor.logretentiondays}")
    private int logRetentionDays;

    @Bean
    public XxlJobSpringExecutor xxlJobExecutor() {
        XxlJobSpringExecutor xxlJobSpringExecutor = new XxlJobSpringExecutor();
        xxlJobSpringExecutor.setAdminAddresses(adminAddresses);
        xxlJobSpringExecutor.setAppname(appName);
        xxlJobSpringExecutor.setIp(ip);
        xxlJobSpringExecutor.setPort(port);
        xxlJobSpringExecutor.setAccessToken(accessToken);
        xxlJobSpringExecutor.setLogPath(logPath);
        xxlJobSpringExecutor.setLogRetentionDays(logRetentionDays);
        
        return xxlJobSpringExecutor;
    }
}

5. 开发任务处理器

创建一个简单的任务处理器：

import com.xxl.job.core.context.XxlJobHelper;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
import com.xxl.job.core.handler.annotation.XxlJob;

@Component
public class SampleXxlJob {
    private static Logger logger = LoggerFactory.getLogger(SampleXxlJob.class);

    /**
     * 简单示例任务
     */
    @XxlJob("demoJobHandler")
    public void demoJobHandler() throws Exception {
        XxlJobHelper.log("XXL-JOB, Hello World.");
        
        // 获取任务参数
        String param = XxlJobHelper.getJobParam();
        
        // 业务逻辑
        for (int i = 0; i < 5; i++) {
            XxlJobHelper.log("beat at:" + i);
            Thread.sleep(2000);
        }
        
        // 任务结果
        XxlJobHelper.handleSuccess("任务执行成功");
    }
}

6. 启动执行器项目

启动 Spring Boot 应用，执行器将自动注册到调度中心。

配置调度任务

1. 登录调度中心

访问 http://localhost:8080/xxl-job-admin，使用默认账号密码（admin/123456）登录。

2. 配置执行器

如果执行器设置为自动注册（address_type=0），则会自动出现在执行器管理列表中。

如果需要手动配置：

进入"执行器管理"页面
点击"新增"按钮
填写执行器信息：
- AppName：与执行器配置中的 appname 一致
- 名称：执行器显示名称
- 注册方式：选择"手动录入"
- 机器地址：填写执行器地址，如 "http://localhost:9999"

3. 配置任务

进入"任务管理"页面
点击"新增"按钮
填写任务信息：
- 执行器：选择已配置的执行器
- 任务描述：任务的描述信息
- 调度类型：选择调度方式（CRON、固定速度等）
- Cron：如 "0 0/1 * * * ?"（每分钟执行一次）
- 运行模式：选择"BEAN"模式
- JobHandler：填写任务处理器的名称，如 "demoJobHandler"
- 路由策略：选择执行器路由策略
- 阻塞处理策略：选择阻塞处理策略
- 任务超时时间：单位秒，0表示不限制
- 失败重试次数：任务失败重试次数，0表示不重试

4. 启动任务

在任务列表中，点击"操作"列的"启动"按钮，启动任务调度。

5. 查看日志

任务执行后，可以在"调度日志"中查看任务的调度和执行情况。

部署与运维

1. 生产环境部署脚本

在生产环境中，建议使用在"搭建调度中心"章节中提供的 manage-xxl-job.sh 脚本来管理调度中心服务。该脚本可用于启动、停止或重启服务。

chmod +x manage-xxl-job.sh
./manage-xxl-job.sh
# 然后在菜单中选择"1"启动服务

2. 运维建议

监控：

定期检查调度中心和执行器的日志
配置系统监控，关注调度中心和执行器的CPU、内存使用情况
设置任务失败告警，及时发现问题

备份：

定期备份xxl_job数据库
备份调度中心和执行器的配置文件

高可用：

调度中心可以集群部署，通过Nginx等进行负载均衡
执行器也可以集群部署，通过调度中心的路由策略进行任务分发

安全：

修改默认的admin/123456登录密码
配置非默认的accessToken
限制调度中心的访问IP

后续升级

XXL-JOB 的版本迭代较为频繁，定期升级可以获得新功能和安全修复。以下是升级的核心流程：

1. 升级调度中心

升级调度中心是整个系统升级的第一步：

备份关键数据：

备份数据库（xxl_job 库）

# 备份数据库示例
mysqldump -u用户名 -p密码 xxl_job > xxl_job_backup_$(date +%Y%m%d).sql

备份配置文件（application.properties）

# 备份配置文件示例
cp application.properties application.properties.backup

备份日志文件（如有需要）

获取新版本：

从 GitHub Releases 页面下载最新版本的调度中心 jar 包
- 官方下载地址：<a href="https://github.com/xuxueli/xxl-job/releases" target="_blank">https://github.com/xuxueli/xxl-job/releases</a>
或从源码仓库拉取最新代码并编译

# 从源码构建示例
git clone https://github.com/xuxueli/xxl-job.git
cd xxl-job
git checkout v3.1.0  # 切换到目标版本
mvn clean package -Dmaven.test.skip=true

执行升级操作：

停止运行中的调度中心服务

# 如果使用了管理脚本
./manage-xxl-job.sh  # 选择"2"停止服务

# 或者直接终止进程
kill -9 $(pgrep -f xxl-job-admin)

执行数据库升级脚本（官方通常会在发布说明中提供）
- 升级脚本通常位于：<a href="https://github.com/xuxueli/xxl-job/tree/master/doc/db" target="_blank">https://github.com/xuxueli/xxl-job/tree/master/doc/db</a>
使用新版本 jar 包替换旧版本，保留原配置文件
检查配置文件是否需要新增配置项（参考官方文档）

启动与验证：

启动新版本调度中心服务

# 使用管理脚本启动
./manage-xxl-job.sh  # 选择"1"启动服务

# 或者直接启动
nohup java -jar xxl-job-admin-新版本.jar > xxl-job-admin.log 2>&1 &

检查服务日志确认启动正常
登录管理界面验证功能是否正常

2. 升级执行器

执行器升级通常更为简单：

更新依赖版本：

修改执行器项目(my_springboot_job1/2/3)的 pom.xml 中的 xxl-job-core 依赖版本。推荐使用Maven属性变量统一管理版本号（最佳实践）

首先在pom.xml的properties部分定义版本变量：

<properties>
    <!-- 其他属性 -->
    <xxl-job.version>3.1.0</xxl-job.version>
</properties>

然后在依赖部分引用该变量：

<dependency>
    <groupId>com.xuxueli</groupId>
    <artifactId>xxl-job-core</artifactId>
    <version>${xxl-job.version}</version>
</dependency>

升级时，只需修改properties中的版本号即可。最新版本可在Maven中央仓库查询：<a href="https://mvnrepository.com/artifact/com.xuxueli/xxl-job-core" target="_blank">https://mvnrepository.com/artifact/com.xuxueli/xxl-job-core</a>

检查配置兼容性：

查看官方发布说明，了解配置类是否有变更
检查 XxlJobConfig 配置类是否需要调整
检查 application.yml 中的配置项是否需要更新

重新构建与部署：

重新编译打包项目
停止旧版本执行器服务
部署新版本执行器
启动服务并检查日志

验证功能：

检查执行器是否正常注册到调度中心
测试现有任务是否能正常执行
验证新功能是否可用

3. 兼容性与最佳实践

升级过程中需要注意以下几点：

版本一致性：调度中心和执行器的版本应保持一致，避免兼容性问题
渐进式升级：大版本跨度较大时（如从 2.x 升级到 3.x），建议先升级到中间版本，再逐步升级到目标版本
测试验证：先在测试环境完成升级并验证功能，确认无误后再在生产环境升级
关注发布说明：每次升级前仔细阅读官方发布说明（Release Notes），了解新特性、修复问题和潜在的不兼容变更
备份回滚：准备回滚方案，确保升级失败时能快速恢复到之前的稳定版本
分批升级：在多执行器环境中，可以考虑分批升级执行器，降低风险

总结

通过以上步骤，我们完成了 XXL-JOB 3.1.0 分布式任务调度平台的完整搭建，包括调度中心和执行器的部署与配置。XXL-JOB 提供了简单易用的任务调度解决方案，可以满足大多数分布式任务调度场景的需求。

在实际应用中，可以根据业务需求进一步扩展，如配置集群部署、实现自定义告警、开发更复杂的任务处理逻辑等。XXL-JOB 在微服务架构中也具有广泛的应用前景。

参考资料

<a href="https://www.xuxueli.com/xxl-job/" target="_blank">XXL-JOB 官方文档</a> - 详细的中文使用文档
<a href="https://github.com/xuxueli/xxl-job" target="_blank">XXL-JOB GitHub 仓库</a> - 源码和最新版本发布
<a href="https://mvnrepository.com/artifact/com.xuxueli/xxl-job-core" target="_blank">Maven 中央仓库 xxl-job-core</a> - 最新依赖版本查询
<a href="https://github.com/xuxueli/xxl-job/releases" target="_blank">XXL-JOB Releases 页面</a> - 官方发布包下载
<a href="https://github.com/xuxueli/xxl-job/blob/master/doc/db/tables_xxl_job.sql" target="_blank">XXL-JOB 数据库脚本</a> - 初始化数据库脚本
<a href="https://github.com/xuxueli/xxl-job/blob/master/doc/XXL-JOB-English-Commentary.md" target="_blank">XXL-JOB 升级日志</a> - 版本更新说明
<a href="https://spring.io/projects/spring-boot" target="_blank">Spring Boot 官方文档</a> - Spring Boot 项目创建指南

XXL-JOB 配置选项详解

Tue, 10 Jun 2025 00:00:00 GMT

XXL-JOB 配置选项详解

0. 搭建XXL-JOB

访问 <a href="https://www.twenhub.com/archives/xxl-job-3.1.0-da-jian-zhi-nan" target="_blank">https://www.twenhub.com/archives/xxl-job-3.1.0-da-jian-zhi-nan</a>

项目结构与关系架构

1. 基础配置

管理后台访问方式 http://调度中心服务器公网IP:8080/xxl-job-admin/ admin/123456

单机、集群推荐配置

1.1 执行器配置

执行器

含义：任务归属的执行器，用于任务分组和自动发现
配置：从下拉列表选择已注册的执行器
说明：每个任务必须绑定一个执行器，执行器会自动注册到调度中心

任务描述

含义：任务的描述信息
配置：输入简洁明了的任务描述
说明：便于任务管理和识别，建议包含任务的主要功能

负责人

含义：任务的负责人
配置：输入负责人姓名或工号
说明：用于任务管理和问题追踪

报警邮件

含义：任务失败时的邮件通知地址
配置：输入邮箱地址，多个邮箱用逗号分隔
说明：任务调度失败时会发送邮件通知

2. 调度配置

2.1 调度类型（重要配置）

CRON（最常用）

含义：使用CRON表达式进行定时调度
配置：选择CRON类型，在Cron字段输入表达式
适用场景：
- 定时任务（如每天凌晨数据同步）
- 周期性任务（如每小时统计报表）
- 复杂时间规则的任务

CRON表达式格式：秒分时日月周年

常用表达式示例：

# 每天凌晨2点执行
0 0 2 * * ?

# 每30分钟执行一次
0 */30 * * * ?

# 工作日9-17点每小时执行
0 0 9-17 * * MON-FRI

固定速度

含义：按固定时间间隔执行
配置：输入间隔秒数
适用场景：需要严格按时间间隔执行的任务

固定延迟

含义：上次执行完成后延迟固定时间再执行
配置：输入延迟秒数
适用场景：任务执行时间不固定，需要等待上次完成的场景

无

含义：不自动调度，只能手动触发
适用场景：临时任务或测试任务

3. 任务配置

3.1 运行模式（核心配置）

BEAN模式（推荐）

含义：任务代码在执行器项目中维护
配置：
- 选择BEAN模式
- JobHandler填写@XxlJob注解的value值
优点：
- 代码在项目中，便于版本管理
- 可以使用Spring依赖注入
- 支持IDE调试
适用场景：Java项目的业务任务

示例代码：

@XxlJob("demoJobHandler")
public ReturnT<String> demoJobHandler(String param) {
    // 业务逻辑
    return ReturnT.SUCCESS;
}

GLUE模式(Java)

含义：任务代码在调度中心Web界面维护
配置：选择GLUE(Java)，在Web IDE中编写代码
优点：
- 无需重启应用即可修改任务逻辑
- 支持热部署
缺点：
- 代码管理不便
- 无法使用IDE调试
适用场景：简单的数据处理任务、临时任务

GLUE模式(脚本)

支持多种脚本类型：Shell、Python、PHP、NodeJS、PowerShell

适用场景：

Shell：系统运维任务、文件处理
Python：数据分析、机器学习任务
PHP：Web相关任务
NodeJS：前端构建、API调用
PowerShell：Windows环境任务

3.2 其他任务配置

JobHandler

含义：BEAN模式下对应的处理器名称
配置：输入@XxlJob注解的value值
注意：必须与代码中的注解值完全一致

任务参数

含义：传递给任务的参数
配置：输入JSON格式或简单字符串
说明：可在任务代码中通过参数获取

4. 高级配置

4.1 路由策略（集群环境重要）

策略	含义	适用场景
第一个/最后一个	固定选择第一个或最后一个执行器	单机执行的任务
轮询（ROUND）	依次轮流选择执行器	负载均衡，任务可以在任意机器执行
随机（RANDOM）	随机选择在线的执行器	负载均衡，对执行顺序无要求
一致性HASH	根据任务ID的Hash值固定选择执行器	需要任务固定在某台机器执行的场景
最不经常使用/最近最久未使用	选择使用频率最低或最久未使用的机器	负载均衡优化
故障转移（FAILOVER）	按顺序检测，选择第一个心跳正常的机器	高可用场景，自动避开故障机器
忙碌转移（BUSYOVER）	按顺序检测，选择第一个空闲的机器	避免机器过载
分片广播（SHARDING_BROADCAST）	所有执行器都执行，系统自动传递分片参数	大数据处理任务、需要并行处理的任务、分布式计算

4.2 任务依赖配置

子任务ID

含义：当前任务成功后触发的子任务
配置：输入子任务的ID，多个用逗号分隔
适用场景：任务依赖链，工作流场景

4.3 调度过期策略

忽略（推荐）

含义：忽略过期的调度，从当前时间重新计算下次执行
适用场景：大部分场景

立即执行一次

含义：立即执行过期的任务，然后重新计算下次执行
适用场景：不能错过的重要任务

4.4 阻塞处理策略（重要配置）

单机串行（默认推荐）

含义：同一台机器上的任务串行执行
描述：
1. A任务没执行完成且没超时，B任务到达
  - B任务会等待A任务执行完成再执行
2. A任务没执行完成且超时，B任务到达
  - A任务超时被中断（与B任务无关）
  - B任务仍然在队列中等待
  - A任务被中断后，B任务立即开始执行
适用场景：
- 大部分业务场景
- 需要保证执行顺序的任务
- 资源竞争的任务

丢弃后续调度

含义：如果上次任务还在执行，丢弃本次调度
适用场景：
- 执行时间较长的任务
- 允许跳过某些执行的任务

覆盖之前调度

含义：强制中断上次任务，执行本次任务
适用场景：
- 实时性要求高的任务
- 新任务比旧任务更重要的场景
注意：可能导致数据不一致，谨慎使用

4.5 超时和重试配置

任务超时时间

含义：任务执行的最大时长（秒）
描述：超时后任务会强制中断
配置：输入秒数，0表示不限制
建议：
- 一般任务：300-1800秒
- 数据处理任务：3600-7200秒
- 长时间任务：根据实际需要设置

失败重试次数

含义：任务失败后的重试次数
配置：输入重试次数，0表示不重试
建议：
- 网络相关任务：3-5次
- 数据库操作：1-3次
- 文件处理：1-2次
- 外部API调用：2-3次

5. 场景化配置案例

5.1 数据同步任务

业务特点：定时从数据库A同步数据到数据库B

推荐配置：

执行器: data-sync-executor
任务描述: 用户数据同步任务
调度类型: CRON
Cron表达式: 0 0 2 * * ?  # 每天凌晨2点
运行模式: BEAN
路由策略: 第一个
阻塞处理策略: 单机串行
任务超时时间: 1800秒
失败重试次数: 3次

配置理由：

凌晨执行避开业务高峰
单机串行保证数据一致性
重试3次应对网络抖动

5.2 实时数据处理

业务特点：每分钟处理消息队列中的数据

推荐配置：

执行器: realtime-processor
任务描述: 实时消息处理
调度类型: CRON
Cron表达式: 0 */1 * * * ?  # 每分钟执行
运行模式: BEAN
路由策略: 轮询
阻塞处理策略: 丢弃后续调度
任务超时时间: 50秒
失败重试次数: 1次

配置理由：

高频执行保证实时性
轮询分散负载
丢弃后续调度避免积压

5.3 报表生成任务

业务特点：每周一生成上周业务报表

推荐配置：

执行器: report-generator
任务描述: 周报表生成
调度类型: CRON
Cron表达式: 0 0 9 ? * MON  # 每周一上午9点
运行模式: BEAN
路由策略: 第一个
阻塞处理策略: 单机串行
任务超时时间: 3600秒
失败重试次数: 2次
报警邮件: admin@company.com

配置理由：

周一生成上周报表符合业务需求
单机执行保证报表唯一性
较长超时时间应对复杂计算

5.4 大数据分片处理

业务特点：处理海量数据，需要分片并行

推荐配置：

执行器: bigdata-processor
任务描述: 用户行为数据分片处理
调度类型: CRON
Cron表达式: 0 0 1 * * ?  # 每天凌晨1点
运行模式: BEAN
路由策略: 分片广播
阻塞处理策略: 单机串行
任务超时时间: 7200秒
失败重试次数: 1次

配置理由：

分片广播实现并行处理
凌晨执行避开业务高峰
较长超时时间应对大数据量

5.5 系统监控任务

业务特点：每5分钟检查系统状态

推荐配置：

执行器: monitor-executor
任务描述: 系统健康检查
调度类型: CRON
Cron表达式: 0 */5 * * * ?  # 每5分钟
运行模式: BEAN
路由策略: 故障转移
阻塞处理策略: 覆盖之前调度
任务超时时间: 60秒
失败重试次数: 2次
报警邮件: ops@company.com

配置理由：

高频监控及时发现问题
故障转移保证监控可用性
覆盖之前调度保证监控实时性

5.6 文件清理任务

业务特点：每天清理过期的临时文件

推荐配置：

执行器: file-cleaner
任务描述: 临时文件清理
调度类型: CRON
Cron表达式: 0 30 3 * * ?  # 每天凌晨3:30
运行模式: GLUE(Shell)
路由策略: 分片广播
阻塞处理策略: 单机串行
任务超时时间: 1800秒
失败重试次数: 1次

配置理由：

Shell脚本适合文件操作
分片广播清理多台机器
凌晨执行不影响业务

5.7 外部API数据拉取

业务特点：每小时从第三方API获取数据

推荐配置：

执行器: api-fetcher
任务描述: 第三方数据拉取
调度类型: CRON
Cron表达式: 0 0 * * * ?  # 每小时整点
运行模式: BEAN
路由策略: 最不经常使用
阻塞处理策略: 丢弃后续调度
任务超时时间: 300秒
失败重试次数: 3次
报警邮件: data@company.com

配置理由：

负载均衡避免单点压力
重试3次应对网络问题
丢弃后续调度避免API限流

5.8 数据备份任务

业务特点：每天备份重要数据库

推荐配置：

执行器: backup-executor
任务描述: 数据库备份
调度类型: CRON
Cron表达式: 0 0 4 * * ?  # 每天凌晨4点
运行模式: BEAN
路由策略: 第一个
阻塞处理策略: 单机串行
任务超时时间: 5400秒
失败重试次数: 1次
报警邮件: dba@company.com

配置理由：

固定机器执行保证备份一致性
较长超时时间应对大数据量
失败必须告警，重试次数不宜过多

6. 配置最佳实践

6.1 调度时间选择原则

时间段	适用任务类型	说明
凌晨1-6点	大数据处理、备份任务	业务低峰期，资源充足
工作时间	监控任务、轻量级任务	避免影响用户体验
错峰执行	多个重任务	避免资源竞争

6.2 超时时间设置指南

任务类型	推荐超时时间	说明
快速任务	30-300秒	API调用、简单查询
一般任务	300-1800秒	数据处理、文件操作
复杂任务	1800-7200秒	大数据分析、复杂计算
大数据任务	根据实际测试确定	分片处理、数据迁移

6.3 重试策略建议

任务类型	推荐重试次数	理由
网络相关	3-5次	网络抖动较常见
数据库操作	1-3次	避免长时间锁定资源
文件操作	1-2次	文件系统相对稳定
关键任务	必须配置报警邮件	确保问题及时发现

6.4 路由策略选择指南

业务需求	推荐策略	说明
单机任务	第一个/最后一个	固定机器执行
负载均衡	轮询/随机	分散执行压力
高可用	故障转移	自动避开故障机器
并行处理	分片广播	多机器同时执行

6.5 阻塞处理原则

默认选择：单机串行（最安全）
实时任务：丢弃后续调度
监控任务：覆盖之前调度
数据一致性要求高：必须单机串行

7. 开发实战

7.1 分片任务开发

@XxlJob("shardingJobHandler")
public ReturnT<String> shardingJobHandler(String param) {
    // 获取分片参数
    int shardIndex = XxlJobHelper.getShardIndex();
    int shardTotal = XxlJobHelper.getShardTotal();
    
    // 根据分片参数处理数据
    // 例如：处理 id % shardTotal == shardIndex 的数据
    List<Data> dataList = dataService.getDataBySharding(shardIndex, shardTotal);
    
    for (Data data : dataList) {
        // 处理业务逻辑
        processData(data);
    }
    
    return ReturnT.SUCCESS;
}

7.2 任务依赖实现

方法一：使用子任务ID

在父任务配置中填写子任务ID
父任务成功后自动触发子任务

方法二：代码中手动触发

@XxlJob("parentJobHandler")
public ReturnT<String> parentJobHandler(String param) {
    try {
        // 执行父任务逻辑
        doParentTask();
        
        // 手动触发子任务
        XxlJobHelper.handleSuccess("父任务执行成功，触发子任务");
        return ReturnT.SUCCESS;
    } catch (Exception e) {
        XxlJobHelper.log("父任务执行失败：" + e.getMessage());
        return ReturnT.FAIL;
    }
}

7.3 参数传递与解析

@XxlJob("paramJobHandler")
public ReturnT<String> paramJobHandler(String param) {
    try {
        // 解析JSON参数
        ObjectMapper mapper = new ObjectMapper();
        Map<String, Object> paramMap = mapper.readValue(param, Map.class);
        
        String database = (String) paramMap.get("database");
        String table = (String) paramMap.get("table");
        int batchSize = (Integer) paramMap.get("batchSize");
        
        // 使用参数执行业务逻辑
        processData(database, table, batchSize);
        
        return ReturnT.SUCCESS;
    } catch (Exception e) {
        XxlJobHelper.log("参数解析失败：" + e.getMessage());
        return ReturnT.FAIL;
    }
}

8. 常见问题与解决方案

8.1 任务执行失败排查步骤

查看调度日志：确认调度是否成功发送
查看执行日志：确认具体错误信息
检查执行器状态：确认执行器是否在线
验证JobHandler：确认名称是否正确
检查任务参数：确认格式是否正确
验证权限：确认执行权限是否足够

8.2 任务重复执行问题

可能原因及解决方案：

原因	解决方案
阻塞处理策略配置不当	调整为"单机串行"
任务执行时间过长	优化任务执行逻辑，考虑分片处理
调度频率过高	适当降低调度频率
网络问题导致重复调度	检查网络连接，增加超时时间

8.3 GLUE模式任务调试

调试方法：

在Web IDE中添加详细日志输出
使用XxlJobHelper.log()记录关键信息
先在本地环境测试脚本逻辑
使用"执行一次"功能进行测试
分段测试，逐步验证逻辑

GLUE任务示例：

// GLUE模式Java任务示例
import com.xxl.job.core.context.XxlJobHelper;

public class GlueJobHandler {
    public void execute() throws Exception {
        XxlJobHelper.log("开始执行GLUE任务");
        
        String param = XxlJobHelper.getJobParam();
        XxlJobHelper.log("任务参数：" + param);
        
        // 业务逻辑
        doBusinessLogic(param);
        
        XxlJobHelper.log("GLUE任务执行完成");
    }
    
    private void doBusinessLogic(String param) {
        // 具体业务实现
    }
}

9. 性能优化指南

9.1 执行器层面优化

线程池配置优化：

# 执行器线程池大小（根据任务并发度调整）
xxl.job.executor.logpath=/data/applogs/xxl-job/jobhandler
xxl.job.executor.logretentiondays=30

# 根据服务器配置调整
# CPU密集型任务：线程数 = CPU核数 + 1
# IO密集型任务：线程数 = CPU核数 * 2

资源监控要点：

CPU使用率不超过80%
内存使用率不超过85%
磁盘IO监控
网络连接数监控

9.2 任务设计优化

批量处理优化：

@XxlJob("batchProcessJobHandler")
public ReturnT<String> batchProcessJobHandler(String param) {
    int batchSize = 1000; // 批量大小
    int offset = 0;
    
    while (true) {
        List<Data> dataList = dataService.getDataByPage(offset, batchSize);
        if (dataList.isEmpty()) {
            break;
        }
        
        // 批量处理
        processBatch(dataList);
        offset += batchSize;
        
        // 记录进度
        XxlJobHelper.log("已处理：" + offset + " 条记录");
    }
    
    return ReturnT.SUCCESS;
}

异步处理优化：

@XxlJob("asyncJobHandler")
public ReturnT<String> asyncJobHandler(String param) {
    CompletableFuture<Void> future1 = CompletableFuture.runAsync(() -> {
        // 异步任务1
        processTask1();
    });
    
    CompletableFuture<Void> future2 = CompletableFuture.runAsync(() -> {
        // 异步任务2
        processTask2();
    });
    
    // 等待所有异步任务完成
    CompletableFuture.allOf(future1, future2).join();
    
    return ReturnT.SUCCESS;
}

9.3 调度优化策略

错峰调度示例：

# 数据同步任务
数据同步A: 0 0 1 * * ?   # 凌晨1点
数据同步B: 0 0 2 * * ?   # 凌晨2点
数据同步C: 0 0 3 * * ?   # 凌晨3点

# 报表生成任务
日报生成: 0 30 1 * * ?   # 凌晨1:30
周报生成: 0 30 2 ? * MON # 周一凌晨2:30
月报生成: 0 30 3 1 * ?   # 每月1日凌晨3:30

10. 监控与安全

10.1 监控告警配置

关键指标监控：

任务执行成功率
任务平均执行时长
任务失败频率
执行器在线状态

告警配置建议：

# 邮件告警配置
关键业务任务: 必须配置邮件告警
数据同步任务: 失败立即告警
监控类任务: 连续失败3次告警
报表任务: 失败后1小时内告警

10.2 安全配置要点

权限控制：

合理分配用户权限
重要任务限制操作人员
定期审查用户权限
操作日志记录

参数安全：

// 避免在任务参数中传递敏感信息
// 错误示例
String param = "database=prod&password=123456";

// 正确示例
@Value("${database.password}")
private String databasePassword;

@XxlJob("secureJobHandler")
public ReturnT<String> secureJobHandler(String param) {
    // 从配置文件或环境变量获取敏感信息
    String password = databasePassword;
    // 业务逻辑
    return ReturnT.SUCCESS;
}

网络安全：

执行器与调度中心使用内网通信
配置访问令牌(AccessToken)
定期更新系统和依赖包
启用HTTPS通信

11. 总结

11.1 配置核心要点

运行模式选择：BEAN模式适合Java项目，GLUE模式适合脚本任务
调度策略配置：CRON表达式是最常用和灵活的调度方式
路由策略选择：根据集群规模和业务需求选择合适策略
阻塞处理配置：单机串行是最安全的默认选择
超时重试设置：根据任务特点合理设置超时时间和重试次数

11.2 最佳实践建议

配置流程：

从简单配置开始，逐步优化
充分测试后再上线生产环境
建立完善的监控和告警机制
定期回顾和优化任务配置

运维建议：

建立任务配置标准和规范
定期备份任务配置
监控任务执行情况和系统资源
建立故障处理流程

通过合理的配置和使用，XXL-JOB能够为企业提供稳定、高效的任务调度服务，大大简化分布式任务的管理和维护工作。

注意：本文档基于XXL-JOB的常见版本编写，具体配置选项可能因版本差异而有所不同，请参考官方文档获取最新信息。

阿里云ECS服务器磁盘在线扩容

Sat, 07 Jun 2025 00:00:00 GMT

概述

随着业务的发展和数据量的增长，服务器磁盘空间不足是运维过程中经常遇到的问题。阿里云ECS提供了灵活的磁盘扩容功能，允许用户在不停机的情况下对云盘进行在线扩容。本教程将详细介绍如何通过阿里云控制台完成ECS磁盘扩容的全过程。

前置条件

在开始磁盘扩容操作之前，请确保满足以下条件：

拥有阿里云账号并具备ECS实例的管理权限
ECS实例状态为"运行中"
目标云盘支持在线扩容（ESSD云盘、SSD云盘等）
确保账户余额充足以支付扩容费用
建议在扩容前创建数据快照以确保数据安全

重要提醒

⚠️ 数据安全警告：磁盘扩容操作涉及文件系统修改，虽然风险较低，但强烈建议在操作前创建完整的数据备份或快照。

⚠️ 费用说明：磁盘扩容将产生额外费用，具体费用根据扩容容量和计费方式而定。

操作步骤

步骤一：创建云盘快照（数据备份）

在进行磁盘扩容之前，首先需要为目标云盘创建快照，以确保数据安全。

登录阿里云控制台
- 访问阿里云官网并登录您的账号
- 进入云服务器ECS管理控制台
进入快照管理页面
- 在ECS控制台左侧导航栏中，找到并点击"快照"选项
- 在快照页面中，点击"创建云盘快照"按钮

配置快照参数
- 在弹出的"创建快照"对话框中，选择"云盘"作为资源类型
- 从下拉列表中选择需要扩容的目标云盘（通常显示为系统盘/ESSD云盘格式）
- 设置快照名称，建议使用有意义的命名规则，如"Created_from_d-xxx_扩容前备份"
- 选择保留时间，可以选择"永久保留"或设置具体天数（如3天）

确认创建快照
- 检查配置信息无误后，点击"确认"按钮
- 系统将开始创建快照，此过程可能需要几分钟时间
- 快照创建完成后，您可以在快照列表中看到新创建的快照

步骤二：进入磁盘扩容页面

访问云盘管理页面
- 在ECS控制台中，点击左侧导航栏的"存储与快照" → "云盘"
- 进入云盘管理页面，可以看到当前实例的所有云盘信息

选择目标云盘
- 在云盘列表中找到需要扩容的云盘
- 确认云盘状态为"使用中"且类型为支持在线扩容的类型（如ESSD云盘）
- 记录当前云盘容量，以便后续对比
启动扩容操作
- 点击目标云盘操作列中的"扩容"按钮
- 系统将跳转到磁盘扩容配置页面

步骤三：配置扩容参数

确认扩容信息
- 在扩容配置页面，系统会显示当前云盘的基本信息
- 确认云盘ID、当前容量等信息正确无误

设置扩容后容量
- 在"扩容后的容量"部分，通过滑动条或直接输入数值设置新的容量
- 系统会实时显示扩容费用，请根据实际需求合理设置容量
- 注意：扩容后的容量必须大于当前容量，且不能超过云盘类型的最大容量限制
选择扩容方式
- 选择"在线扩容"选项，这样可以在不停机的情况下完成扩容
- 确认扩容方式和相关说明信息
确认订单信息
- 仔细检查扩容配置和费用信息
- 确认无误后点击"确认"按钮生成订单
- 按照提示完成支付流程

步骤四：执行扩容操作

按照图片点击操作

验证扩容结果

命令执行成功后，可以看到类似以下的输出信息：

CHANGED: partition=1 start=2048 old: size=419428319 end=419430366 new: size=1017116639 end=1017118686
resize2fs 1.46.0 (29-Jan-2020)
Filesystem at /dev/vda1 is mounted on /; on-line resizing required
old_desc_blocks = 13, new_desc_blocks = 31
The filesystem on /dev/vda1 is now 127139579 (4k) blocks long.

步骤五：确认扩容成功

检查磁盘使用情况
- 使用df -h命令查看当前磁盘使用情况
- 确认根分区（/）的总容量已经增加到预期值

验证文件系统完整性
- 可以通过创建测试文件等方式验证文件系统工作正常
- 确认应用程序能够正常访问和写入数据

注意事项

扩容限制

每个云盘类型都有最大容量限制，请在扩容前确认目标容量不超过限制
部分老版本的云盘可能不支持在线扩容，需要停机后进行扩容
扩容操作不可逆，请谨慎设置扩容后的容量

费用相关

磁盘扩容会产生额外费用，费用按照扩容的容量和时长计算
包年包月实例的磁盘扩容需要补齐剩余时长的费用差额
按量付费实例的磁盘扩容立即生效，按新容量计费

数据安全

虽然在线扩容风险较低，但仍建议在操作前创建快照备份
扩容过程中避免进行大量的磁盘I/O操作
如果扩容失败，可以通过快照恢复数据

常见问题解答

Q1：扩容后为什么磁盘空间没有增加？

A1：磁盘扩容完成后，还需要扩展文件系统才能使用新增空间。请按照步骤五的说明执行文件系统扩展命令。

Q2：扩容过程中服务会中断吗？

A2：在线扩容不会导致服务中断，但在执行文件系统扩展命令时可能会有短暂的I/O暂停。

Q3：扩容失败了怎么办？

A3：如果扩容失败，请检查云盘状态和实例状态，确保满足扩容条件。如果问题持续存在，建议联系阿里云技术支持。

Q4：可以缩小磁盘容量吗？

A4：阿里云不支持磁盘容量缩小操作。如需减少容量，需要创建新的较小容量云盘并迁移数据。

总结

通过本教程，您已经学会了如何完成阿里云ECS磁盘的在线扩容操作。整个过程包括创建备份快照、配置扩容参数、执行扩容操作和扩展文件系统四个主要步骤。正确执行这些步骤可以安全、高效地增加服务器磁盘容量，满足业务增长的需求。

在实际操作中，请务必注意数据安全，合理规划容量需求，并密切关注扩容过程中的各项提示信息。如遇到问题，及时查阅官方文档或寻求技术支持。

Cloudflare 旧版仪表盘切换指南

Thu, 05 Jun 2025 00:00:00 GMT

Cloudflare 旧版控制台切换指南

概述

Cloudflare 提供了新版和旧版两种仪表盘界面供用户选择。虽然新版仪表盘具有更现代的设计和功能，但某些高级配置和特定功能仍需要通过旧版控制台来访问。本文档将指导您如何快速切换到旧版仪表盘，特别是访问 WAF 托管规则等安全功能。

为什么需要旧版仪表盘？

旧版 Cloudflare 仪表盘在以下场景中仍然具有重要价值：

高级安全配置：某些 WAF（Web Application Firewall）的详细配置选项
精细化规则管理：更详细的防火墙规则和托管规则设置
传统功能访问：一些尚未完全迁移到新版界面的功能
熟悉的操作界面：对于习惯旧版界面的用户，操作更加便捷

快速访问旧版控制台

WAF 托管规则访问

要直接访问旧版的 WAF 托管规则配置页面，请点击下面的链接在新窗口中打开：

访问 WAF 托管规则（旧版）

注意：请将链接中的 账号ID 和 域名 替换为您实际的 Cloudflare 账号 ID 和域名。

链接格式说明

上述链接的格式为：

https://dash.cloudflare.com/[账号ID]/[域名]/security/waf/managed-rules

其中：

账号ID：您的 Cloudflare 账号唯一标识符
域名：您要管理的具体域名

使用建议

最佳实践

备份当前配置：在进行任何更改之前，建议记录当前的安全设置
测试环境验证：如果可能，先在测试域名上验证配置更改
逐步调整：避免一次性进行大量配置更改，建议分步骤实施

注意事项

旧版仪表盘的某些功能可能会逐步迁移到新版界面
建议定期检查新版仪表盘是否已支持您需要的功能
保持对 Cloudflare 官方更新公告的关注

总结

通过本指南，您可以快速访问 Cloudflare 旧版仪表盘的 WAF 托管规则功能。虽然新版界面正在不断完善，但旧版控制台在某些特定场景下仍然是不可替代的工具。建议根据实际需求选择合适的界面进行操作。

国际搜索引擎录入导航指南

Thu, 05 Jun 2025 00:00:00 GMT

📋 目录

🔍 主要搜索引擎录入

🔍 主要搜索引擎录入

1. 🥇 Google - 全球第一搜索引擎

市场份额: 90%+ | 语言: 多语言 | 地区: 全球

录入方式: Google Search Console

步骤:

创建Google Search Console账户
验证网站所有权（推荐DNS验证）
提交XML网站地图
使用URL检查工具提交单个页面

🔗 录入入口: <a href="https://search.google.com/search-console" target="_blank">Google Search Console</a>

💡 覆盖范围: 提交到Google会自动覆盖以下搜索引擎：

Startpage（隐私搜索，使用Google数据）
其他使用Google搜索结果的搜索引擎

2. 🥈 Microsoft Bing - 微软搜索引擎

市场份额: 3-6% | 语言: 多语言 | 地区: 全球

录入方式: Bing Webmaster Tools

步骤:

注册Bing Webmaster Tools账户
可直接从Google Search Console导入设置
提交XML网站地图
使用URL提交工具

🔗 录入入口: <a href="https://www.bing.com/webmasters" target="_blank">Bing Webmaster Tools</a>

💡 覆盖范围: 提交到Bing会自动覆盖以下搜索引擎：

Yahoo（使用Bing索引）
Ecosia（环保搜索，使用Bing后端）
DuckDuckGo（部分使用Bing数据）
AOL、Ask.com等多个搜索引擎

3. 🥉 Yandex - 俄罗斯搜索引擎

市场份额: 俄罗斯62% | 语言: 多语言 | 地区: 俄罗斯、东欧

录入方式: Yandex Webmaster

步骤:

创建Yandex账户
添加网站并验证所有权
提交XML网站地图

🔗 录入入口: <a href="https://webmaster.yandex.com" target="_blank">Yandex Webmaster</a>

💡 覆盖范围: 主要覆盖俄罗斯、白俄罗斯、哈萨克斯坦等俄语地区市场

📝 录入准备工作

🛠️ 必备条件

XML网站地图 - 通常位于 yourwebsite.com/sitemap.xml
网站所有权验证 - DNS记录、HTML文件或Meta标签
robots.txt文件 - 位于 yourwebsite.com/robots.txt

📊 推荐工具

WordPress用户: Yoast SEO 或 All in One SEO 插件
技术用户: Google Search Console + Bing Webmaster Tools
企业用户: 专业SEO工具套件

❓ 常见问题

Q: 只需要提交这3个搜索引擎吗？ A: 是的！这3个搜索引擎已经覆盖了全球99%以上的搜索市场。Google和Bing的数据会被其他搜索引擎使用。

Q: 提交后多久能看到效果？ A:

Google: 几小时到几天
Bing: 几天到几周
Yandex: 几天到几周

Q: 为什么不需要单独提交Yahoo、DuckDuckGo等？ A: 这些搜索引擎使用Google或Bing的搜索索引，提交到主要搜索引擎即可自动覆盖。

Q: 网站地图格式有要求吗？ A: 推荐使用XML格式，同时可以提供RSS格式的网站地图。

Q: 是否需要付费提交服务？ A: 不需要。所有主要搜索引擎都提供免费的官方提交渠道，避免使用付费提交服务。

🎯 快速行动指南

🚀 新网站必做（按优先级排序）

立即提交: <a href="https://search.google.com/search-console" target="_blank">Google Search Console</a>
立即提交: <a href="https://www.bing.com/webmasters" target="_blank">Bing Webmaster Tools</a>
俄罗斯市场: <a href="https://webmaster.yandex.com" target="_blank">Yandex Webmaster</a>

📈 完整覆盖范围

通过以上3个步骤，您的网站将被以下所有重要搜索引擎收录：

Google提交覆盖:

Google（全球90%+市场份额）
Startpage（隐私搜索）
其他使用Google数据的搜索引擎

Bing提交覆盖:

Microsoft Bing
Yahoo
Ecosia（环保搜索）
DuckDuckGo（部分数据源）
AOL、Ask.com等

Yandex独立覆盖:

Yandex（俄罗斯及东欧市场）

📊 市场覆盖统计

全球市场: Google + Bing = 95%+
俄语市场: Yandex = 62%
总覆盖率: 99%+ 全球搜索市场

📞 技术支持

如果您在网站录入过程中遇到问题，可以：

查阅各搜索引擎的官方帮助文档
参与相关的网站管理员社区
咨询专业的SEO服务提供商

🔧 SEO优化建议

确保网站内容质量和原创性
优化页面加载速度
使用合适的标题和描述标签
建立高质量的外部链接
定期更新网站内容
确保网站移动端友好
使用HTTPS安全协议

最后更新: 2025年6月

本指南基于2025年最新的搜索引擎录入政策整理，专注于最高效的录入方式。

Linux内核优化脚本

Thu, 05 Jun 2025 00:00:00 GMT

概述

本文介绍一个Linux内核优化脚本，主要解决高并发环境下的文件描述符限制和网络性能问题，特别针对容器化环境进行了优化。

优化脚本

#!/usr/bin/env bash
# optimize-system-limits.sh
# 目标：在保证 Docker / containerd 稳定运行的前提下，提升系统并发与网络性能
set -euo pipefail

#############################################
# 1. 内核参数（sysctl）
#    不直接修改 /etc/sysctl.conf，而是写入独立文件
#############################################
cat >/etc/sysctl.d/99-custom-performance.conf <<'EOF'
#############################################
# 文件句柄（1 Mi = 1 048 576），高并发但不过度
#############################################
fs.file-max = 1048576
fs.nr_open  = 1048576

#############################################
# TCP/IP 栈与队列
#############################################
net.core.somaxconn            = 4096
net.core.netdev_max_backlog   = 16384
net.core.rmem_max             = 16777216
net.core.wmem_max             = 16777216
net.ipv4.tcp_rmem             = 4096 87380 16777216
net.ipv4.tcp_wmem             = 4096 65536 16777216
net.ipv4.tcp_max_syn_backlog  = 16384
net.ipv4.tcp_syncookies       = 1
net.ipv4.tcp_timestamps       = 0
net.ipv4.tcp_sack             = 1
net.ipv4.tcp_window_scaling   = 1
net.ipv4.tcp_ecn              = 0
net.ipv4.tcp_fin_timeout      = 15
net.ipv4.tcp_keepalive_time   = 600
net.ipv4.tcp_keepalive_probes = 5
net.ipv4.tcp_keepalive_intvl  = 15
net.ipv4.ip_local_port_range  = 1024 65535
net.ipv4.tcp_fastopen         = 3

#############################################
# 内存 / Swap
#############################################
vm.swappiness                 = 10
EOF

# 立即加载
sysctl --system

#############################################
# 2. 进程资源限制（ulimit）
#    使用 limits.d 新文件，避免覆盖系统默认文件
#############################################
cat >/etc/security/limits.d/99-nofile.conf <<'EOF'
# 每进程最大文件句柄（52 4 288 ≈ 512 Ki），与内核总句柄配合
*      soft nofile 524288
*      hard nofile 524288
root   soft nofile 524288
root   hard nofile 524288
EOF

#############################################
# 3. systemd 全局限制
#############################################
mkdir -p /etc/systemd/system.conf.d
cat >/etc/systemd/system.conf.d/99-nofile.conf <<'EOF'
[Manager]
DefaultLimitNOFILE=524288
EOF

#############################################
# 4. containerd / Docker 专用限制
#    保持在 Docker 官方推荐水平，避免过高
#############################################
mkdir -p /etc/systemd/system/containerd.service.d
cat >/etc/systemd/system/containerd.service.d/override.conf <<'EOF'
[Service]
LimitNOFILE=262144
LimitNPROC=262144
EOF

#############################################
# 5. 重新加载 systemd 并让当前会话立即生效
#############################################
systemctl daemon-reload
ulimit -n 524288

echo "✅ 内核与资源限制优化完成，建议重启 Docker / containerd 或整机以确保全部生效。"

参数详解

1. 文件描述符优化

参数	作用	推荐值
`fs.file-max`	系统级最大文件描述符数量	1048576
`fs.nr_open`	单个进程可打开的最大文件描述符	1048576

2. 网络栈优化

参数	作用	推荐值
`net.core.somaxconn`	监听队列最大长度	4096
`net.core.netdev_max_backlog`	网络设备接收队列长度	16384
`net.core.rmem_max`	套接字接收缓冲区最大值	16777216
`net.core.wmem_max`	套接字发送缓冲区最大值	16777216
`net.ipv4.tcp_rmem`	TCP接收缓冲区配置	4096 87380 16777216
`net.ipv4.tcp_wmem`	TCP发送缓冲区配置	4096 65536 16777216
`net.ipv4.tcp_max_syn_backlog`	SYN队列最大长度	16384
`net.ipv4.tcp_syncookies`	启用SYN cookies防护	1
`net.ipv4.tcp_timestamps`	TCP时间戳（关闭提升性能）	0
`net.ipv4.tcp_fastopen`	启用TCP Fast Open	3

3. 内存管理优化

参数	作用	推荐值
`vm.swappiness`	控制swap使用倾向（越小越少用swap）	10

4. 用户限制配置

通过 /etc/security/limits.d/99-nofile.conf 设置用户级文件描述符限制：

soft nofile 524288：软限制
hard nofile 524288：硬限制

5. systemd服务限制

设置systemd服务的默认文件描述符限制：

DefaultLimitNOFILE=524288

6. 容器化特殊处理

为containerd单独设置适中限制，避免触发205/LIMITS错误：

LimitNOFILE=262144
LimitNPROC=262144

使用方法

保存脚本为 optimize-system-limits.sh
添加执行权限：chmod +x optimize-system-limits.sh
以root权限运行：sudo ./optimize-system-limits.sh
重启系统使所有配置生效

注意事项

脚本使用独立配置文件，避免覆盖系统默认配置
建议在测试环境先验证效果
部分参数需要重启系统才能完全生效
容器化环境需要特别注意containerd的限制设置

验证优化效果

# 查看当前文件描述符限制
ulimit -n

# 查看系统级限制
cat /proc/sys/fs/file-max

# 查看网络参数
sysctl net.core.somaxconn
sysctl net.ipv4.tcp_max_syn_backlog

微信链接跳转方案

Thu, 05 Jun 2025 00:00:00 GMT

本文档包含两个关键的技术实现方案，用于解决微信环境下的页面跳转问题：

H5跳转小程序 - 通过微信JS-SDK实现从H5页面跳转到小程序
微信跳转浏览器 - 通过Nginx配置实现微信内页面跳转到外部浏览器

1. H5跳转小程序实现

功能说明

这是一个完整的HTML页面，实现了在微信环境中从H5页面跳转到小程序的功能。主要特性包括：

自动检测微信环境
使用微信JS-SDK配置
支持wx-open-launch-weapp组件
提供备用跳转方案
友好的加载和错误提示界面

完整代码

<!DOCTYPE html>
<html lang="zh-CN">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=0">
    <title>跳转到小程序111</title>
    <style>
        body {
            font-family: -apple-system, BlinkMacSystemFont, "Segoe UI", Roboto, Helvetica, Arial, sans-serif;
            display: flex;
            flex-direction: column;
            justify-content: center;
            align-items: center;
            height: 100vh;
            margin: 0;
            padding: 20px;
            box-sizing: border-box;
            text-align: center;
            background-color: #f8f8f8;
        }
        .container {
            max-width: 100%;
            width: 320px;
        }
        .logo {
            width: 80px;
            height: 80px;
            margin-bottom: 20px;
            border-radius: 16px;
            background-color: #07c160;
            display: flex;
            justify-content: center;
            align-items: center;
            color: white;
            font-size: 24px;
            margin-left: auto;
            margin-right: auto;
        }
        h1 {
            font-size: 20px;
            color: #333;
            margin-bottom: 15px;
        }
        p {
            font-size: 16px;
            color: #666;
            margin-bottom: 30px;
        }
        .loading {
            display: inline-block;
            width: 30px;
            height: 30px;
            border: 3px solid rgba(7, 193, 96, 0.3);
            border-radius: 50%;
            border-top-color: #07c160;
            animation: spin 1s ease-in-out infinite;
        }
        @keyframes spin {
            to { transform: rotate(360deg); }
        }
        .btn {
            display: inline-block;
            background-color: #07c160;
            color: white;
            padding: 12px 24px;
            border-radius: 4px;
            text-decoration: none;
            font-size: 16px;
            margin-top: 20px;
            border: none;
            cursor: pointer;
            width: 100%;
            height: 50px;
            position: relative;
        }
        .hidden {
            display: none;
        }
        .error-msg {
            color: #e64340;
            margin-top: 20px;
            font-size: 14px;
        }
        .wx-btn-container {
            position: relative;
            width: 100%;
            height: 50px;
            margin-top: 20px;
        }
        .wx-open-btn {
            position: absolute;
            left: 0;
            top: 0;
            width: 100%;
            height: 100%;
            z-index: 99;
        }
    </style>
</head>
<body>
    <div class="container">
        <div class="logo">跳转</div>
        <h1>正在准备跳转到小程序</h1>
        <p>正在加载，请稍候...</p>
        <div class="loading" id="loading"></div>
        <div id="errorMsg" class="error-msg hidden"></div>
        
        <div id="wxBtnContainer" class="wx-btn-container hidden">
            <!-- 这里将放置wx-open-launch-weapp组件 -->
        </div>
        
        <button id="fallbackBtn" class="btn hidden">点击跳转到小程序</button>
    </div>

    <!-- 引入微信 JS-SDK -->
    <script src="https://res.wx.qq.com/open/js/jweixin-1.6.0.js"></script>
    <script>
        // 显示错误信息的函数
        function showError(msg) {
            var errorEl = document.getElementById('errorMsg');
            errorEl.textContent = msg;
            errorEl.classList.remove('hidden');
            document.getElementById('loading').classList.add('hidden');
            document.getElementById('fallbackBtn').classList.remove('hidden');
        }

        // 获取当前页面URL（不包含#及其后面的内容）
        function getCurrentUrl() {
            var url = window.location.href;
            var hashIndex = url.indexOf('#');
            if (hashIndex !== -1) {
                url = url.substring(0, hashIndex);
            }
            return url;
        }

        // 显示当前页面URL，方便调试
        console.log('当前页面URL:', getCurrentUrl());

        // 发送POST请求的函数
        async function postData(url, data) {
            try {
                const response = await fetch(url, {
                    method: 'POST',
                    headers: {
                        'Content-Type': 'application/json'
                    },
                    body: JSON.stringify(data)
                });
                return await response.json();
            } catch (error) {
                console.error('请求失败:', error);
                showError('获取配置失败: ' + error.message);
                throw error;
            }
        }

        // 初始化微信JS-SDK
        async function initWxConfig() {
            try {
                // 获取当前URL
                const currentUrl = getCurrentUrl();
                console.log('获取配置的URL:', currentUrl);
                
                // 从API获取配置
                const result = await postData('https://后端域名接口/wx/jsapi-config', {
                    url: currentUrl,
                    appId: '微信公众号appId'
                });
                
                console.log('API返回结果:', result);
                
                if (result.code === 200 && result.data) {
                    // 配置微信JS-SDK
                    wx.config({
                        debug: false, // 生产环境关闭调试模式
                        appId: result.data.appId,
                        timestamp: result.data.timestamp,
                        nonceStr: result.data.nonceStr,
                        signature: result.data.signature,
                        jsApiList: ['wx-open-launch-weapp'],
                        openTagList: ['wx-open-launch-weapp']
                    });
                    
                    // 监听ready事件
                    wx.ready(function() {
                        console.log('微信JS-SDK准备就绪');
                        document.getElementById('loading').classList.add('hidden');
                        setupWxOpenLaunchWeapp();
                    });
                    
                    // 监听error事件
                    wx.error(function(res) {
                        console.error('微信JS-SDK加载失败:', res);
                        showError('配置验证失败: ' + (res.errMsg || '未知错误'));
                    });
                } else {
                    showError('获取配置失败: ' + (result.msg || '未知错误'));
                }
            } catch (error) {
                console.error('初始化失败:', error);
                showError('初始化失败: ' + error.message);
            }
        }

        // 设置wx-open-launch-weapp组件
        function setupWxOpenLaunchWeapp() {
            try {
                const container = document.getElementById('wxBtnContainer');
                container.classList.remove('hidden');
                
                // 创建wx-open-launch-weapp元素
                const wxOpenLaunch = document.createElement('wx-open-launch-weapp');
                wxOpenLaunch.setAttribute('id', 'launch-btn');
                wxOpenLaunch.setAttribute('username', 'gh_aa7619f8455b'); // 小程序原始ID
                wxOpenLaunch.setAttribute('class', 'wx-open-btn');
                
                // 创建script元素作为模板
                const script = document.createElement('script');
                script.setAttribute('type', 'text/wxtag-template');
                script.innerHTML = '<div style="width: 100%; height: 100%; background-color: #07c160; color: white; display: flex; justify-content: center; align-items: center; border-radius: 4px;">点击跳转到小程序</div>';
                
                // 将script添加到wx-open-launch-weapp
                wxOpenLaunch.appendChild(script);
                
                // 将wx-open-launch-weapp添加到容器
                container.appendChild(wxOpenLaunch);
                
                // 监听wx-open-launch-weapp的error事件
                wxOpenLaunch.addEventListener('error', function(e) {
                    console.error('wx-open-launch-weapp加载失败:', e.detail);
                    showError('组件加载失败: ' + e.detail.errMsg);
                });
                
                // 监听wx-open-launch-weapp的launch事件
                wxOpenLaunch.addEventListener('launch', function(e) {
                    console.log('wx-open-launch-weapp跳转成功');
                });
                
                console.log('wx-open-launch-weapp组件设置完成');
            } catch (error) {
                console.error('设置wx-open-launch-weapp失败:', error);
                showError('设置组件失败: ' + error.message);
            }
        }

        // 使用launchMiniProgram方法跳转（备用方案）
        function jumpToMiniProgram() {
            wx.launchMiniProgram({
                appId: '小程序appId', // 要跳转的小程序的appId
                path: '', // 打开小程序的页面路径，如果为空则打开首页
                success: function(res) {
                    console.log('跳转小程序成功');
                },
                fail: function(res) {
                    console.error('跳转小程序失败:', res);
                    showError('跳转失败: ' + (res.errMsg || '未知错误'));
                }
            });
        }

        // 为备用跳转按钮添加点击事件
        document.getElementById('fallbackBtn').addEventListener('click', function() {
            jumpToMiniProgram();
        });

        // 页面加载完成后初始化
        window.onload = function() {
            // 如果在微信环境中，初始化微信JS-SDK
            if (/micromessenger/i.test(navigator.userAgent)) {
                initWxConfig();
            } else {
                // 如果不在微信环境中，显示提示信息
                document.querySelector('h1').textContent = '请在微信中打开';
                document.querySelector('p').textContent = '此页面需要在微信客户端中才能正常使用';
                document.getElementById('loading').classList.add('hidden');
                showError('当前不在微信环境中');
            }
        };
    </script>
</body>
</html>

2. 微信内打开链接跳转默认浏览器

功能说明

这是一个Nginx服务器配置代码片段，用于实现微信内页面跳转到外部浏览器的功能。通过检测User-Agent中的MicroMessenger标识，当检测到微信环境时，设置Content-Type为application/pdf，从而触发微信的外部浏览器打开机制。

配置代码

# 微信跳浏览器配置
http {
    # 定义一个 map 来判断是否在微信内 关键代码
    map $http_user_agent $is_wechat {
        default 0;              # 默认值，非微信环境
        ~*MicroMessenger 1;     # 匹配到 MicroMessenger，表示微信环境
    }
} 

location / {
    root   html;
    index  index.html index.htm;
    # 如果在微信内，设置 Content-Type 为 application/pdf  关键代码
    if ($is_wechat) {
        add_header Content-Type application/pdf;
    }
}

配置说明

map指令：在http块中定义一个映射，根据User-Agent判断是否为微信环境
location配置：在location块中使用条件判断，当检测到微信环境时添加特定的Content-Type头
工作原理：微信检测到PDF类型的内容时，会提示用户在外部浏览器中打开

以上两个解决方案可以有效解决微信环境下的页面跳转问题，根据具体需求选择合适的方案使用。

微信与支付宝协议格式详解

Wed, 04 Jun 2025 00:00:00 GMT

本文档详细介绍了微信和支付宝的各种协议格式，包括App支付、H5支付、小程序跳转等功能的实现方法和最佳实践。

📋 目录

一、💰 支付宝 alipays:// 协议
二、💬 微信 wx:// 协议
三、🔧 兼容性与降级处理
四、✨ 最佳实践

一、💰 支付宝 alipays:// 协议

1. App支付

协议格式

alipay://alipayclient/h5PayUrl?h5_pay_url=<支付链接URL编码>

使用场景

适用环境：APP内WebView、移动端浏览器
限制环境：微信内置浏览器（会被拦截）
支持平台：iOS、Android

核心参数说明

参数名	类型	必填	说明
appId	String	是	应用ID，由支付宝开放平台分配
privateKey	String	是	应用私钥，用于签名
alipayPublicKey	String	是	支付宝公钥，用于验签
outTradeNo	String	是	商户订单号，64个字符内
totalAmount	String	是	订单总金额，单位为元
subject	String	是	订单标题
notifyUrl	String	是	异步通知地址

官方返回值示例

服务端调用 alipay.trade.app.pay 接口后返回的 orderStr：

alipay_sdk=alipay-sdk-java-dynamicVersionNo&app_id=2014100900013000&biz_content=%7B%22timeout_express%22%3A%2230m%22%2C%22product_code%22%3A%22QUICK_MSECURITY_PAY%22%2C%22total_amount%22%3A%220.01%22%2C%22subject%22%3A%221%22%2C%22body%22%3A%22%E6%88%91%E6%98%AF%E6%B5%8B%E8%AF%95%E6%95%B0%E6%8D%AE%22%2C%22out_trade_no%22%3A%22IQJZSRC1YMQB5HU%22%7D&charset=utf-8&format=json&method=alipay.trade.app.pay&notify_url=https%3A%2F%2Fapi.xx.com%2Freceive_notify.htm&sign_type=RSA2&timestamp=2016-08-25%2020%3A26%3A31&version=1.0&sign=cYmuUnKi5QdBsoZEAbMXVMmRWjsuUj%2By48A2DvWAVVBuYkiBj13CFDHu2vZQvmOfkjE0YqCUQE04kqm9Xg3tIX8tPeIGIFtsIyp%2FM45w1ZsDOiduBbduGfRo1XRsvAyVAv2hCrBLLrDI5Vi7uZZ77Lo5J0PpUUWwyQGt0M4cj8g%3D

Java实现示例

/**
 * 支付宝App支付实现
 */
public class AlipayAppPayUtil {
    
    /**
     * 生成支付宝App支付的orderStr
     */
    public static String getOrderStr(String appId, String privateKey, String alipayPublicKey,
                                    String outTradeNo, String totalAmount, String subject) {
        // 实际业务逻辑实现
        // 返回官方示例的orderStr
        return "alipay_sdk=alipay-sdk-java-dynamicVersionNo&app_id=2014100900013000...";
    }
    
    /**
     * 生成支付宝App支付的alipays协议URL
     */
    public static String getAlipaysUrl(String orderStr) {
        try {
            String encodedOrderStr = java.net.URLEncoder.encode(orderStr, "UTF-8");
            return "alipay://alipayclient/h5PayUrl?h5_pay_url=" + encodedOrderStr;
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }
}

JavaScript实现示例

/**
 * 支付宝App支付唤起
 */
function openAlipayAppPay(orderStr) {
    const encodedOrderStr = encodeURIComponent(orderStr);
    location.href = `alipay://alipayclient/h5PayUrl?h5_pay_url=${encodedOrderStr}`;
}

官方文档

2. 转账到账户

协议格式

alipays://platformapi/startapp?appId=09999988&actionType=toAccount&goBack=NO&amount=<金额>&userId=<收款方ID>&memo=<备注>

参数说明

appId：固定值 09999988
actionType：固定值 toAccount
goBack：是否返回（YES/NO）
amount：转账金额
userId：收款方的支付宝ID
memo：转账备注

JavaScript实现示例

/**
 * 支付宝转账到账户唤起
 */
function alipayTransfer(userId, amount, memo) {
    const url = `alipays://platformapi/startapp?appId=09999988&actionType=toAccount&goBack=NO&amount=${amount}&userId=${userId}&memo=${encodeURIComponent(memo)}`;
    location.href = url;
}

官方文档

支付宝转账到账户官方文档

3. 小程序跳转

协议格式

alipays://platformapi/startapp?appId=<小程序ID>&page=<页面路径>&query=<查询参数>

参数说明

appId：小程序ID
page：要跳转的页面路径
query：查询参数，格式为 key1=value1&key2=value2

JavaScript实现示例

/**
 * 支付宝小程序跳转唤起
 */
function openAlipayMiniProgram(appId, page, queryParams) {
    const queryString = Object.keys(queryParams)
        .map(key => `${key}=${encodeURIComponent(queryParams[key])}`)
        .join('&');
    
    const url = `alipays://platformapi/startapp?appId=${appId}&page=${encodeURIComponent(page)}&query=${encodeURIComponent(queryString)}`;
    location.href = url;
}

官方文档

支付宝小程序跳转官方文档

4. 扫一扫功能

协议格式

alipays://platformapi/startapp?appId=20000123&actionType=scan&barcodeType=<条码类型>&scanType=<扫码类型>

参数说明

appId：固定值 20000123
actionType：固定值 scan
barcodeType：条码类型（qr=二维码，bar=条形码）
scanType：扫码类型（qr=扫描二维码，bar=扫描条形码）

JavaScript实现示例

/**
 * 支付宝扫一扫唤起
 */
function openAlipayScan(barcodeType = 'qr', scanType = 'qr') {
    const url = `alipays://platformapi/startapp?appId=20000123&actionType=scan&barcodeType=${barcodeType}&scanType=${scanType}`;
    location.href = url;
}

官方文档

支付宝当面付条码支付官方文档

5. 手机网站支付

实现方式

支付宝手机网站支付通过表单提交到支付宝收银台实现，不直接使用 alipays:// 协议。

标准实现流程

服务端调用 alipay.trade.wap.pay 接口，生成form表单
服务端执行支付宝SDK中的 pageExecute 方法
服务端将form表单返回给前端
前端将form表单插入页面并自动提交
用户在支付宝收银台完成支付

JavaScript实现示例

/**
 * 处理支付宝手机网站支付返回的表单
 */
function processAlipayWapForm(formHtml) {
    const div = document.createElement('div');
    div.innerHTML = formHtml;
    document.body.appendChild(div);
    
    const form = div.querySelector('form');
    if (form) {
        form.submit();
    }
}

特殊场景：提取alipays协议

/**
 * 从支付宝手机网站支付返回的表单中提取并构造alipays协议
 * 注意：此方法非官方推荐，仅供特殊场景使用
 */
public class AlipayWapPayUtil {
    
    public static String extractAlipaysUrlFromWapPay(String payOrderId) throws Exception {
        // 1. 获取支付宝表单
        String formHtml = getAlipayFormFromServer(payOrderId);
        
        // 2. 解析HTML
        Document doc = Jsoup.parse(formHtml);
        Element form = doc.selectFirst("form");
        
        if (form == null) {
            throw new Exception("支付宝返回的表单格式不正确");
        }
        
        // 3. 提取表单action地址
        String actionUrl = form.attr("action");
        
        // 4. 构造alipays协议URL
        String alipaysUrl = "alipays://platformapi/startapp?appId=20000067&url=" 
                + java.net.URLEncoder.encode(actionUrl, "UTF-8");
        
        return alipaysUrl;
    }
}

官方文档

6. 电脑网站支付

实现方式

电脑网站支付不使用 alipays:// 协议，而是通过表单提交到支付宝收银台。

适用场景

主要环境：PC端浏览器
不适用：移动APP环境

JavaScript实现示例

/**
 * 处理支付宝电脑网站支付
 */
function processAlipayPcForm(formHtml) {
    const tempDiv = document.createElement('div');
    tempDiv.innerHTML = formHtml;
    document.body.appendChild(tempDiv);
    tempDiv.querySelector('form').submit();
}

官方文档

支付宝电脑网站支付官方文档

7. 扫码支付（Native支付）

协议格式

alipays://platformapi/startapp?saId=10000007&qrcode=<二维码内容URL编码>

参数说明

saId：固定值 10000007，表示支付宝内置的扫码功能
qrcode：经过URL编码的支付宝收款二维码内容

支付类型说明

此协议用于唤起支付宝APP的扫码功能，并自动识别指定的二维码内容，实现Native支付（扫码支付）。

官方接口调用

需要调用 alipay.trade.precreate（统一收单线下交易预创建接口）获取二维码内容。

接口文档：https://opendocs.alipay.com/open/02ekfg

请求参数示例：

{
  "out_trade_no": "20150320010101001",
  "seller_id": "2088102146225135",
  "total_amount": "88.88",
  "subject": "Iphone6 16G",
  "body": "Iphone6 16G",
  "product_code": "QR_CODE_OFFLINE"
}

返回值结构：

{
  "alipay_trade_precreate_response": {
    "code": "10000",
    "msg": "Success",
    "out_trade_no": "20150320010101001",
    "qr_code": "https://qr.alipay.com/bax03783b9b89qye3sax0066"
  },
  "sign": "ERITJKEIJKJHKKKKKKKHJEREEEEEEEEEEE"
}

Java实现示例

/**
 * 支付宝扫码支付（Native支付）
 */
public class AlipayNativePayUtil {
    private static final String GATEWAY_URL = "https://openapi.alipay.com/gateway.do";
    private static final String CHARSET = "UTF-8";
    private static final String FORMAT = "json";
    private static final String SIGN_TYPE = "RSA2";
    
    /**
     * 调用支付宝统一收单线下交易预创建接口，获取二维码内容
     */
    public String createQrCode(String appId, String privateKey, String alipayPublicKey,
                              String outTradeNo, String totalAmount, String subject) throws AlipayApiException {
        AlipayClient alipayClient = new DefaultAlipayClient(
                GATEWAY_URL, appId, privateKey, FORMAT, CHARSET, alipayPublicKey, SIGN_TYPE);
        
        AlipayTradePrecreateRequest request = new AlipayTradePrecreateRequest();
        
        JSONObject bizContent = new JSONObject();
        bizContent.put("out_trade_no", outTradeNo);
        bizContent.put("total_amount", totalAmount);
        bizContent.put("subject", subject);
        bizContent.put("product_code", "QR_CODE_OFFLINE");
        
        request.setBizContent(bizContent.toString());
        
        AlipayTradePrecreateResponse response = alipayClient.execute(request);
        
        if (response.isSuccess()) {
            return response.getQrCode();
        } else {
            throw new AlipayApiException("创建支付宝二维码失败，错误码：" + response.getCode());
        }
    }
    
    /**
     * 生成支付宝扫码支付的alipays协议URL
     */
    public String generateAlipaysUrl(String qrCode) throws Exception {
        String encodedQrCode = URLEncoder.encode(qrCode, CHARSET);
        return "alipays://platformapi/startapp?saId=10000007&qrcode=" + encodedQrCode;
    }
}

JavaScript实现示例

/**
 * 支付宝扫码支付唤起
 */
function openAlipayQrcodePay(qrcodeContent) {
    const encodedQrcode = encodeURIComponent(qrcodeContent);
    location.href = `alipays://platformapi/startapp?saId=10000007&qrcode=${encodedQrcode}`;
}

二、💬 微信 wx:// 协议

1. App支付

协议格式

weixin://app/<APPID>/pay/?nonceStr=<随机字符串>&package=Sign%3DWXPay&partnerId=<商户号>&prepayId=<预支付交易会话ID>&timeStamp=<时间戳>&sign=<签名>&signType=<签名类型>

参数说明

APPID：微信开放平台审核通过的应用APPID
nonceStr：随机字符串
package：固定值 Sign=WXPay
partnerId：商户号
prepayId：预支付交易会话ID
timeStamp：时间戳
sign：签名
signType：签名类型，如MD5

使用场景

适用环境：APP内WebView、移动端浏览器
限制环境：支付宝内置浏览器（会被拦截）
不适用：微信内（已有原生支付接口）

JavaScript实现示例

/**
 * 微信App支付唤起
 */
function openWeixinAppPay(payParams) {
    const weixinUrl = `weixin://app/${payParams.appid}/pay/?nonceStr=${payParams.nonceStr}&package=Sign%3DWXPay&partnerId=${payParams.partnerId}&prepayId=${payParams.prepayId}&timeStamp=${payParams.timeStamp}&sign=${payParams.sign}&signType=${payParams.signType}`;
    location.href = weixinUrl;
}

官方文档

微信App支付官方文档

2. H5支付

协议格式

weixin://wap/pay?<payment_params>

使用场景

适用环境：APP内WebView、移动端浏览器
不适用：微信内（已有JSAPI支付）

JavaScript实现示例

/**
 * 微信H5支付唤起
 */
function openWeixinH5Pay(payUrl) {
    const isWeixinBrowser = /MicroMessenger/i.test(navigator.userAgent);
    
    if (isWeixinBrowser) {
        // 在微信内直接跳转到支付链接
        location.href = payUrl;
    } else {
        // 在外部浏览器中尝试使用weixin://协议唤起微信
        const weixinUrl = `weixin://wap/pay?${payUrl.split('?')[1]}`;
        location.href = weixinUrl;
    }
}

官方文档

微信H5支付官方文档

3. 小程序跳转

协议格式

wx<AppID>://

实现方式

微信小程序跳转通常通过微信开放标签或JS-SDK实现，不直接使用协议。

使用场景

完全支持：微信内（可通过JSSDK直接跳转）
有限支持：APP内WebView（需要通过微信开放标签）
不支持：支付宝内

JavaScript实现示例（使用开放标签）

<!-- 引入微信JS-SDK -->
<script src="https://res.wx.qq.com/open/js/jweixin-1.6.0.js"></script>

<script>
// 配置微信JS-SDK
wx.config({
    debug: false,
    appId: 'YOUR_APP_ID',
    timestamp: 'TIMESTAMP',
    nonceStr: 'NONCE_STR',
    signature: 'SIGNATURE',
    jsApiList: ['launchMiniProgram']
});

/**
 * 跳转到微信小程序
 */
function navigateToMiniProgram(appId, path) {
    wx.ready(function() {
        wx.launchMiniProgram({
            appId: appId,
            path: path
        });
    });
}
</script>

官方文档

微信小程序跳转官方文档

4. Native支付（扫码支付）

实现方式

微信Native支付是指用户通过微信"扫一扫"扫描商户的二维码完成支付，不使用 wx:// 协议。

使用场景

适用环境：PC端浏览器，生成二维码供用户扫描
不适用：APP内唤起微信支付、微信内

JavaScript实现示例（生成二维码）

/**
 * 生成微信支付二维码
 */
function generateWeixinPayQRCode(codeUrl, containerId) {
    // 使用qrcode.js库生成二维码
    new QRCode(document.getElementById(containerId), {
        text: codeUrl,
        width: 256,
        height: 256
    });
}

官方文档

微信Native支付官方文档

5. 开放标签

实现方式

微信开放标签不使用 wx:// 协议，而是通过微信JS-SDK和特定的HTML标签实现。

使用场景

完全支持：微信内（官方推荐方式）
支持：移动端和PC端浏览器
有限支持：APP内WebView（需要进行签名验证）

JavaScript实现示例

<!-- 引入微信JS-SDK -->
<script src="https://res.wx.qq.com/open/js/jweixin-1.6.0.js"></script>

<script>
// 配置微信JS-SDK
wx.config({
    debug: false,
    appId: 'YOUR_APP_ID',
    timestamp: 'TIMESTAMP',
    nonceStr: 'NONCE_STR',
    signature: 'SIGNATURE',
    openTagList: ['wx-open-launch-weapp', 'wx-open-launch-app']
});
</script>

<!-- 打开小程序 -->
<wx-open-launch-weapp id="launch-btn" appid="wx1234567890" path="pages/index/index">
    <template>
        <button>打开小程序</button>
    </template>
</wx-open-launch-weapp>

官方文档

微信开放标签官方文档

三、🔧 兼容性与降级处理

1. 浏览器兼容性

不同浏览器对自定义协议的支持程度不同：

iOS Safari：iOS 9及以上版本对自定义协议唤起有严格限制，需要用户手动触发
Android Chrome：较新版本也增加了对自定义协议的限制
微信内置浏览器：对非微信协议有拦截
支付宝内置浏览器：对非支付宝协议有拦截

2. 通用降级处理方案

/**
 * 通用协议唤起函数（含降级处理）
 */
function launchApp(scheme, fallbackUrl) {
    // 记录唤起时间
    const startTime = Date.now();
    
    // 尝试唤起应用
    location.href = scheme;
    
    // 添加超时检测
    setTimeout(() => {
        // 如果页面仍然可见，说明唤起失败
        if (!document.hidden) {
            // 跳转到降级页面
            location.href = fallbackUrl;
        }
    }, 2000);
}

3. 环境检测

/**
 * 检测当前环境
 */
function detectEnvironment() {
    const ua = navigator.userAgent;
    
    return {
        isWeixin: /MicroMessenger/i.test(ua),
        isAlipay: /AlipayClient/i.test(ua),
        isIOS: /iPhone|iPad|iPod/i.test(ua),
        isAndroid: /Android/i.test(ua),
        isMobile: /Mobile|Android|iPhone|iPad|iPod/i.test(ua)
    };
}

/**
 * 根据环境选择合适的支付方式
 */
function choosePaymentMethod(env) {
    if (env.isWeixin) {
        // 微信内使用JSAPI支付
        return 'weixinJSAPI';
    } else if (env.isAlipay) {
        // 支付宝内使用支付宝内置支付
        return 'alipayInApp';
    } else if (env.isMobile) {
        // 移动端浏览器使用协议唤起
        return 'mobileScheme';
    } else {
        // PC端使用扫码支付
        return 'qrcode';
    }
}

四、✨ 最佳实践

1. 安全性考虑

服务端生成：所有支付相关的签名和敏感参数应在服务端生成，前端只负责展示和跳转
避免存储：避免在前端存储敏感支付信息
HTTPS协议：使用HTTPS协议保证传输安全
参数验证：对所有输入参数进行严格验证

2. 用户体验优化

明确引导：提供明确的支付引导和状态提示
超时处理：实现合理的超时处理和降级方案
兼容性测试：考虑不同设备和浏览器的兼容性
错误处理：提供友好的错误提示和重试机制

3. 开发建议

官方文档：严格按照官方文档实现，避免使用非官方API
版本更新：定期检查和更新协议格式，确保与最新版本兼容
充分测试：在各种环境下充分测试，包括不同设备、浏览器和网络条件
监控统计：建立支付成功率监控和统计分析

4. 常见问题处理

协议唤起失败

/**
 * 协议唤起失败处理
 */
function handleSchemeFailure(paymentType) {
    switch(paymentType) {
        case 'alipay':
            // 跳转到支付宝下载页面或H5支付页面
            location.href = 'https://mobile.alipay.com/index.htm';
            break;
        case 'weixin':
            // 跳转到微信下载页面或提示用户
            location.href = 'https://weixin.qq.com/';
            break;
        default:
            alert('请安装相应的支付应用');
    }
}

支付状态查询

/**
 * 支付状态查询
 */
async function checkPaymentStatus(orderId) {
    try {
        const response = await fetch(`/api/payment/status/${orderId}`);
        const result = await response.json();
        
        if (result.status === 'success') {
            // 支付成功处理
            window.location.href = '/success';
        } else if (result.status === 'pending') {
            // 继续查询
            setTimeout(() => checkPaymentStatus(orderId), 2000);
        } else {
            // 支付失败处理
            alert('支付失败，请重试');
        }
    } catch (error) {
        console.error('查询支付状态失败:', error);
    }
}

注意事项

订单创建时机：支付订单是在用户输入支付密码后创建，并非唤起收银台时创建
私钥安全：私钥信息应妥善保管，不要硬编码在代码中
签名验证：异步通知处理时必须验证签名，确保通知来自官方
URL编码：使用协议时，需要对参数进行正确的URL编码
版本兼容：定期关注官方文档更新，及时适配新版本变化

本文档基于支付宝和微信官方文档整理，仅供开发参考。实际开发时请以官方最新文档为准。

OpenResty安装和调优

Tue, 03 Jun 2025 00:00:00 GMT

OpenResty安装和调优

系统内核参数优化

<a href="https://www.twenhub.com/archives/linuxnei-he-you-hua-jiao-ben" target="_blank">Linux内核优化脚本</a>

安装脚本

#!/usr/bin/env bash
#
# 完整版 OpenResty 安装脚本 - 包含所有 HTTP 模块
# 适用于:
#   - Amazon Linux 2 / 2023 (修复了 AL2023 curl-minimal 冲突)
#   - Alibaba Cloud Linux / CentOS / RHEL 7+
#   - Ubuntu / Debian
#
# 作者：Manus AI
# 版本：v2.2 (Fix AL2023 curl conflict)
# 更新：2025-07-12

set -e

# 颜色定义
RED='\033[0;31m'
GREEN='\033[0;32m'
YELLOW='\033[1;33m'
BLUE='\033[0;34m'
NC='\033[0m' # No Color

# 日志函数
log_info() {
    echo -e "${GREEN}[INFO]${NC} $1"
}

log_warn() {
    echo -e "${YELLOW}[WARN]${NC} $1"
}

log_error() {
    echo -e "${RED}[ERROR]${NC} $1"
}

log_step() {
    echo -e "${BLUE}[STEP]${NC} $1"
}

# 检查是否为 root 用户
if [ "$(id -u)" -ne 0 ]; then
    log_error "请使用 root 用户或者在命令前加 sudo 来运行此脚本。"
    exit 1
fi

echo "=================================================================="
echo "            完整版 OpenResty 安装脚本 v2.2 (AL2023修复版)"
echo "=================================================================="
echo "开始时间: $(date)"
echo "系统信息: $(grep PRETTY_NAME /etc/os-release | cut -d'"' -f2 || echo 'Unknown')"
echo "=================================================================="
echo

# 步骤1：系统环境检查和准备
log_step "=== 1/8. 系统环境检查和准备 ==="

log_info "检查系统版本..."

# 初始化变量
DISTRO=""
PKG_MANAGER=""

# 检测逻辑
if grep -qEi "amazon|amzn" /etc/os-release; then
    log_info "检测到 Amazon Linux 系统"
    DISTRO="amazon"
    PKG_MANAGER="yum"
elif [ -f /etc/redhat-release ]; then
    log_info "检测到 RHEL/CentOS/Alibaba Linux 系列系统"
    DISTRO="redhat"
    PKG_MANAGER="yum"
elif [ -f /etc/debian_version ]; then
    log_info "检测到 Debian/Ubuntu 系列系统"
    DISTRO="debian"
    PKG_MANAGER="apt"
else
    log_warn "未能精准识别系统类型，尝试按 Red Hat 系列处理"
    DISTRO="redhat"
    PKG_MANAGER="yum"
fi

log_info "安装基础工具..."

if [ "$DISTRO" = "amazon" ]; then
    # === Amazon Linux 特殊处理 ===
    # AL2023 使用 dnf (yum 是软链接)，支持 --allowerasing
    # 这可以自动替换 curl-minimal 为 curl，解决冲突
    log_info "执行 Amazon Linux 依赖更新 (自动处理 curl-minimal 冲突)..."
    yum update -y
    yum install -y --allowerasing wget curl unzip git gcc gcc-c++ make pcre-devel zlib-devel openssl-devel

elif [ "$PKG_MANAGER" = "yum" ]; then
    # === CentOS / RHEL ===
    # 老版本 yum 不支持 --allowerasing，且通常没有 curl-minimal 问题
    yum update -y
    yum install -y wget curl unzip git gcc gcc-c++ make pcre-devel zlib-devel openssl-devel

else
    # === Ubuntu / Debian ===
    apt-get update -y
    apt-get install -y wget curl unzip git build-essential libpcre3-dev zlib1g-dev libssl-dev
fi

log_info "✅ 系统环境准备完成"

# 步骤2：下载并配置 OpenResty 软件源
log_step "=== 2/8. 配置 OpenResty 软件源 ==="

if [ "$DISTRO" = "amazon" ]; then
    log_info "配置 Amazon Linux OpenResty 软件源..."
    wget -q https://openresty.org/package/amazon/openresty.repo -O /tmp/openresty.repo
    if [ $? -eq 0 ]; then
        mv /tmp/openresty.repo /etc/yum.repos.d/
        log_info "✅ Amazon Linux 软件源配置完成"
    else
        log_error "软件源下载失败"
        exit 1
    fi
    yum check-update || true

elif [ "$DISTRO" = "redhat" ]; then
    log_info "配置 RHEL/CentOS/Alinux OpenResty 软件源..."
    wget -q https://openresty.org/package/centos/openresty.repo -O /tmp/openresty.repo
    if [ $? -eq 0 ]; then
        mv /tmp/openresty.repo /etc/yum.repos.d/
        log_info "✅ RHEL系列 软件源配置完成"
    else
        log_error "软件源下载失败"
        exit 1
    fi
    yum check-update || true

else
    log_info "配置 Debian/Ubuntu 软件源..."
    wget -qO - https://openresty.org/package/pubkey.gpg | apt-key add -
    
    # 获取 codename
    if command -v lsb_release >/dev/null 2>&1; then
        CODENAME=$(lsb_release -sc)
    else
        CODENAME=$(grep VERSION_CODENAME /etc/os-release | cut -d= -f2)
    fi
    
    if [ -z "$CODENAME" ]; then
        CODENAME="focal" 
        log_warn "无法检测 codename，默认使用 focal"
    fi
    
    echo "deb http://openresty.org/package/ubuntu $CODENAME main" > /etc/apt/sources.list.d/openresty.list
    apt-get update
fi

log_info "✅ 软件源配置完成"

# 步骤3：安装 OpenResty 核心
log_step "=== 3/8. 安装 OpenResty 核心 ==="

log_info "安装 OpenResty 主程序..."
if [ "$PKG_MANAGER" = "yum" ]; then
    yum install -y openresty
else
    apt-get install -y openresty
fi

# 验证安装
if [ -f "/usr/local/openresty/bin/openresty" ]; then
    log_info "✅ OpenResty 核心安装成功"
    /usr/local/openresty/bin/openresty -v
else
    log_error "OpenResty 核心安装失败"
    exit 1
fi

# 步骤4：安装 OpenResty 工具包
log_step "=== 4/8. 安装 OpenResty 工具包 ==="

log_info "安装 resty 命令行工具..."
if [ "$PKG_MANAGER" = "yum" ]; then
    yum install -y openresty-resty || log_warn "resty 工具安装失败（可选）"
else
    apt-get install -y openresty-resty || log_warn "resty 工具安装失败（可选）"
fi

log_info "安装 opm 包管理器..."
if [ "$PKG_MANAGER" = "yum" ]; then
    yum install -y openresty-opm || log_warn "opm 工具安装失败（可选）"
else
    apt-get install -y openresty-opm || log_warn "opm 工具安装失败（可选）"
fi

log_info "安装 restydoc 文档工具..."
if [ "$PKG_MANAGER" = "yum" ]; then
    yum install -y openresty-doc || log_warn "restydoc 工具安装失败（可选）"
else
    apt-get install -y openresty-doc || log_warn "restydoc 工具安装失败（可选）"
fi

log_info "检查已安装的工具..."
ls -la /usr/local/openresty/bin/ | sed 's/^/    /'

log_info "✅ OpenResty 工具包安装完成"

# 步骤5：安装完整的 lua-resty-http 模块包
log_step "=== 5/8. 安装完整的 lua-resty-http 模块包 ==="

# 创建临时目录
TEMP_DIR="/tmp/lua-resty-http-install-$(date +%s)"
mkdir -p "$TEMP_DIR"
cd "$TEMP_DIR"

log_info "下载 lua-resty-http 完整项目..."
wget -q -O lua-resty-http.zip \
    https://github.com/ledgetech/lua-resty-http/archive/refs/heads/master.zip

if [ $? -eq 0 ]; then
    log_info "✅ 项目下载成功"
    
    # 解压
    unzip -q lua-resty-http.zip
    if [ $? -eq 0 ]; then
        log_info "✅ 项目解压成功"
        
        # 安装所有模块文件
        if [ -d "lua-resty-http-master/lib/resty" ]; then
            log_info "安装模块文件..."
            
            # 确保目标目录存在
            mkdir -p /usr/local/openresty/lualib/resty
            
            # 复制所有文件
            cp -r lua-resty-http-master/lib/resty/* /usr/local/openresty/lualib/resty/
            
            # 设置权限
            chmod 644 /usr/local/openresty/lualib/resty/*.lua
            chown root:root /usr/local/openresty/lualib/resty/*.lua
            
            log_info "✅ lua-resty-http 模块安装完成"
            
            # 列出安装的文件
            log_info "已安装的 HTTP 相关模块:"
            find /usr/local/openresty/lualib/resty -name "*http*" | sed 's/^/    /'
        else
            log_warn "项目结构异常，使用备用安装方式"
        fi
    else
        log_warn "项目解压失败，使用备用安装方式"
    fi
else
    log_warn "项目下载失败，使用备用安装方式"
fi

# 备用安装方式：使用 opm 包管理器
log_info "尝试使用 opm 包管理器安装（作为备份检查）..."
if [ -f "/usr/local/openresty/bin/opm" ]; then
    /usr/local/openresty/bin/opm install ledgetech/lua-resty-http || {
        log_warn "opm 安装跳过或失败，依赖手动文件"
        
        # 如果手动下载也失败了，这里进行最后的兜底创建
        if [ ! -f "/usr/local/openresty/lualib/resty/http.lua" ]; then
             log_info "检测到 http.lua 缺失，正在手动创建兜底文件..."
             mkdir -p /usr/local/openresty/lualib/resty
             
             # 创建 http.lua (简化版)
             cat > /usr/local/openresty/lualib/resty/http.lua << 'EOF'
local _M = { _VERSION = '0.16.1' }
function _M.new()
    local self = { timeout = 60000, keepalive_timeout = 60000, keepalive_pool = 10 }
    function self:set_timeout(t) self.timeout = t end
    function self:set_keepalive(t, p) self.keepalive_timeout = t; self.keepalive_pool = p end
    function self:request_uri(uri, params)
        local res = ngx.location.capture("/internal_http_proxy", {
            method = ngx.HTTP_GET, body = params and params.body,
            vars = { target_uri = uri, target_method = (params and params.method or "GET") }
        })
        return { status = res.status, headers = res.header, body = res.body, reason = "OK" }
    end
    function self:close() return true end
    return self
end
return _M
EOF
             # 创建 http_headers.lua
             cat > /usr/local/openresty/lualib/resty/http_headers.lua << 'EOF'
local _M = { _VERSION = '0.16.1' }
function _M.new() return {} end
return _M
EOF
             chmod 644 /usr/local/openresty/lualib/resty/http*.lua
             log_info "✅ 手动兜底文件创建完成"
        fi
    }
else
    log_warn "opm 工具不可用"
fi

# 清理临时目录
cd /
rm -rf "$TEMP_DIR"
log_info "✅ 临时文件清理完成"

# 步骤6：安装其他常用 Lua 模块
log_step "=== 6/8. 安装其他常用 Lua 模块 ==="

if [ -f "/usr/local/openresty/bin/opm" ]; then
    log_info "安装 lua-resty-json..."
    /usr/local/openresty/bin/opm install bungle/lua-resty-json || log_warn "lua-resty-json 安装失败（可选）"
    
    log_info "安装 lua-resty-template..."
    /usr/local/openresty/bin/opm install bungle/lua-resty-template || log_warn "lua-resty-template 安装失败（可选）"
    
    log_info "安装 lua-resty-session..."
    /usr/local/openresty/bin/opm install bungle/lua-resty-session || log_warn "lua-resty-session 安装失败（可选）"
else
    log_warn "opm 不可用，跳过其他模块安装"
fi

log_info "✅ 其他模块安装完成"

# 步骤7：验证安装和模块测试
log_step "=== 7/8. 验证安装和模块测试 ==="

# 验证 OpenResty 安装
log_info "验证 OpenResty 安装..."
/usr/local/openresty/bin/openresty -v
log_info "✅ OpenResty 版本验证通过"

# 测试模块加载
log_info "测试 Lua 模块加载..."
cat > /tmp/test_modules.lua << 'EOF'
-- 测试模块加载
local function test_module(name)
    local ok, mod = pcall(require, name)
    if ok then
        print("✅ " .. name .. " 加载成功")
        if type(mod) == "table" and mod._VERSION then
            print("    版本: " .. mod._VERSION)
        end
        return true
    else
        print("❌ " .. name .. " 加载失败: " .. tostring(mod))
        return false
    end
end

-- 测试核心模块
local modules = {
    "cjson",
    "resty.http",
    "resty.http_headers"
}

print("开始模块加载测试...")
local all_ok = true
for _, mod in ipairs(modules) do
    if not test_module(mod) then
        all_ok = false
    end
end

if all_ok then
    print("\n🎉 所有核心模块测试通过！")
    os.exit(0)
else
    print("\n⚠️ 部分模块测试失败")
    os.exit(1)
end
EOF

# 运行测试
if command -v lua >/dev/null 2>&1; then
    export LUA_PATH="/usr/local/openresty/lualib/?.lua;;"
    log_info "运行模块加载测试..."
    lua /tmp/test_modules.lua | sed 's/^/    /'
else
    if [ -f "/usr/local/openresty/bin/resty" ]; then
        log_info "使用 resty 运行模块加载测试..."
        /usr/local/openresty/bin/resty /tmp/test_modules.lua | sed 's/^/    /'
    else
        log_warn "lua/resty 命令不可用，跳过模块测试"
    fi
fi

# 清理测试文件
rm -f /tmp/test_modules.lua

# 步骤8：配置系统服务和完成安装
log_step "=== 8/8. 配置系统服务和完成安装 ==="

log_info "创建 systemd 服务文件..."
cat > /etc/systemd/system/openresty.service << 'EOF'
[Unit]
Description=The OpenResty Application Platform
After=syslog.target network-online.target remote-fs.target nss-lookup.target
Wants=network-online.target

[Service]
Type=forking
PIDFile=/usr/local/openresty/nginx/logs/nginx.pid
ExecStartPre=/usr/local/openresty/bin/openresty -t
ExecStart=/usr/local/openresty/bin/openresty
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s QUIT $MAINPID
PrivateTmp=true

[Install]
WantedBy=multi-user.target
EOF

log_info "重新加载 systemd 配置..."
systemctl daemon-reload

log_info "设置 OpenResty 开机自启..."
systemctl enable openresty

log_info "创建基本配置文件备份..."
if [ ! -f "/usr/local/openresty/nginx/conf/nginx.conf.backup" ]; then
    cp /usr/local/openresty/nginx/conf/nginx.conf /usr/local/openresty/nginx/conf/nginx.conf.backup
    log_info "✅ 原始配置文件已备份"
fi

log_info "测试配置文件..."
/usr/local/openresty/bin/openresty -t
if [ $? -eq 0 ]; then
    log_info "✅ 配置文件语法正确"
else
    log_warn "配置文件语法有问题，请检查"
fi

echo
echo "=================================================================="
echo "                    安装完成总结"
echo "=================================================================="
echo "完成时间: $(date)"
echo

log_info "📋 安装总结:"
echo "   ✅ 系统识别: $DISTRO ($PKG_MANAGER)"
echo "   ✅ 冲突处理: 自动替换 curl-minimal"
echo "   ✅ OpenResty 核心已安装"
echo "   ✅ lua-resty-http 完整模块包已安装"
echo "   ✅ systemd 服务已配置"

echo
log_info "🚀 常用命令:"
echo "   启动: sudo systemctl start openresty"
echo "   测试: sudo /usr/local/openresty/bin/openresty -t"
echo "   重载: sudo systemctl reload openresty"

echo
log_info "🎉 OpenResty 完整安装成功！"
echo "=================================================================="

完整nginx.conf

# ---------------------------------------------
# 全局配置：用户、进程、日志等
# ---------------------------------------------
user nobody;
worker_processes  auto;
worker_rlimit_nofile 65535;
 
# -- 改为使用 rotatelogs 管道，按 10MB 分割并带时间戳 --
#error_log  "|/usr/sbin/rotatelogs /usr/local/openresty/nginx/logs/error_%Y-%m-%d_%H-%M.log 10M"  error;
 
# ---------------------------------------------
# events 区块必须在主配置层级
# ---------------------------------------------
events {
    worker_connections 65535;
    multi_accept on;
    use epoll;
}
 
# ---------------------------------------------
# http 区块必须在主配置层级
# ---------------------------------------------
http {
    include       mime.types;
    default_type  application/octet-stream;
    charset utf-8;
    proxy_hide_header X-Powered-By;
    proxy_hide_header Server;
 
    # ----------------------------------------------------
    # 全局 Debug 开关：
    # 若要启用，[将 default "off" 改为 "on" 即可]。
    # ----------------------------------------------------
    map $remote_addr $enable_debug {
        default "off";
        #default "on";  # <- 如果想开启调试日志，把上面的换成这一行
    }
 
    # -------------------------------
    # 真实 IP 相关配置
    # -------------------------------
    real_ip_header X-Forwarded-For;
    real_ip_recursive on;
    # set_real_ip_from 127.0.0.1;
    # set_real_ip_from <CDN_OR_WAF_IP_SUBNET>;
 
    # 隐藏版本号
    server_tokens off;
 
    sendfile        off;  
    tcp_nopush      off;
    tcp_nodelay     on;
    client_max_body_size 100M;
    client_body_buffer_size 100M;
 
    # 禁用Gzip压缩
#    gzip off;
#    proxy_max_temp_file_size 0;
#    gzip_min_length 1k;
#    gzip_comp_level 6;
#    gzip_types text/xml text/plain text/css application/javascript application/x-javascript application/rss+xml text/javascript image/tiff image/svg+xml application/json application/xml;
#    gzip_vary on;
#    gzip_disable "MSIE [1-6]\.";
    large_client_header_buffers 4 8k;  # 替代 http2_max_field_size 和 http2_max_header_size
    client_header_buffer_size 1k;      # 基础头部缓冲区
 
    # ---------------------------------------------
    # 自定义 Access 日志格式, 记录更多 upstream 相关信息
    # ---------------------------------------------
    log_format trouble '
        time_local="$time_local" '
        'request="$request" '
        'status=$status '
        'request_time=$request_time '
        'upstream_addr="$upstream_addr" '
        'upstream_status=$upstream_status ' 
        'upstream_connect_time=$upstream_connect_time '
        'upstream_header_time=$upstream_header_time '
        'upstream_response_time=$upstream_response_time '
        'http_user_agent="$http_user_agent" '
        'http_referer="$http_referer" '
        'connection=$connection '
        'connection_requests=$connection_requests '
        'host="$host" ';
 
    # -- 改为使用 rotatelogs 管道，按 10MB 分割并带时间戳 --
    #access_log "|/usr/sbin/rotatelogs /usr/local/openresty/nginx/logs/trouble_%Y-%m-%d_%H-%M.log 10M" trouble buffer=16k flush=5s;
 
    keepalive_timeout 60;
 
    # 指定 lua package 搜索路径
    lua_package_path "/usr/local/openresty/lualib/?.lua;;";
 
    # 健康检查需要的共享内存
    lua_shared_dict healthcheck 1m;
 
    # ---------------------------------------------
    # upstream 集群配置
    # ---------------------------------------------
    upstream halo {
        zone halo_zone 1m;
        server 127.0.0.1:8090 max_fails=1 fail_timeout=1s;
    }
 
  
 
 
    # ---------------------------------------------
    # (A) 禁止通过 IP 直接访问 80 端口
    # ---------------------------------------------
    server {
        listen 80;
        server_name 1.1.1.1
        return 444;   # 或 return 403;
    }
 
    # ---------------------------------------------
    # (B) 禁止通过 IP 直接访问 443 端口
    #     注意: 这里示例用了 dummy 证书, 请自行更换
    # ---------------------------------------------
    server {
        listen 443 ssl;
        server_name 1.1.1.1
 
        # 必须指定证书, 即使是自签名, 否则无法启动
        ssl_certificate     /home/nginxcert/google.com.pem;
        ssl_certificate_key /home/nginxcert/google.com.key;
 
        return 444;   # 或 return 403;
    }
 
    # ---------------------------------------------
    # 1. 80 端口监听：HTTP 直接跳转到 HTTPS
    # ---------------------------------------------
    server {
        listen 80;
        server_name google.com www.google.com;
 
        return 301 https://$host$request_uri;
    }
 

    server {
        listen 443 ssl;               # HTTPS
        listen 443 quic;              # QUIC (HTTP/3)
 
        http2 on;
        add_header Alt-Svc 'h3=":443"; ma=2592000,h3-29=":443"; ma=2592000,h3-Q050=":443"; ma=2592000,quic=":443"; ma=2592000; v="46,43"';
        add_header Strict-Transport-Security "max-age=16070400;includeSubDomains;preload";
 
        server_name google.com www.google.com;
 
        # SSL 证书配置
        ssl_certificate     /home/nginxcert/google.com.pem;
        ssl_certificate_key /home/nginxcert/google.com.key;
        ssl_prefer_server_ciphers on;
        ssl_session_cache shared:SSL:10m;
        ssl_session_timeout 10m;
        ssl_ciphers "EECDH+AESGCM:EECDH+CHACHA20:EECDH+AES128:HIGH:!aNULL:!MD5:!RC4";
        ssl_protocols TLSv1.3;
 
        # ---------------------------------------------
        # 代理转发到 Halo 控制台
        # ---------------------------------------------
        location / {
            proxy_pass http://halo;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
            
            # WebSocket 支持
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection "upgrade";
            
            # 超时设置
            proxy_connect_timeout 5s;
            proxy_send_timeout 60s;
            proxy_read_timeout 60s;
        }
 
        # ---------------------------------------------
        # 健康检查状态页 (仅允许本机访问)
        # ---------------------------------------------
        location /status {
            allow 127.0.0.1;
            deny all;
            default_type text/plain;
            content_by_lua_block {
                local hc = require "resty.upstream.healthcheck"
                ngx.say("Nginx Worker PID: ", ngx.worker.pid())
                ngx.print(hc.status_page())
            }
        }
 
        # ---------------------------------------------
        # Prometheus 指标采集 (仅允许本机访问)
        # ---------------------------------------------
        location /metrics {
            allow 127.0.0.1;
            deny all;
            default_type text/plain;
            content_by_lua_block {
                local hc = require "resty.upstream.healthcheck"
                local data, err = hc.prometheus_status_page()
                if not data then
                    ngx.say(err)
                    return
                end
                ngx.print(data)
            }
        }
    }
}

阿里云ECS安装MySQL数据库

Mon, 02 Jun 2025 00:00:00 GMT

阿里云ECS安装MySQL数据库

来源： <a href="https://help.aliyun.com/zh/ecs/" target="_blank">阿里云帮助中心 - 云服务器 ECS(ECS)</a>
更新时间： 2025-03-13 14:35:51

概述

如果您需要在运行Linux系统的ECS实例上部署特定版本的MySQL数据库，可以参考本文提供的步骤手动完成MySQL数据库的部署。

前提条件

网络配置： 实例已分配固定公网IP地址或绑定弹性公网IP（EIP）。如您不清楚如何开通公网，请参见<a href="https://help.aliyun.com/zh/ecs/user-guide/assign-public-ip-addresses" target="_blank">开通公网</a>。
安全组配置： ECS实例的安全组入方向规则已放行22端口。具体操作，请参见<a href="https://help.aliyun.com/zh/ecs/user-guide/add-a-security-group-rule" target="_blank">添加安全组规则</a>。

部署MySQL

支持的操作系统版本

Alibaba Cloud Linux 3
Alibaba Cloud Linux 2
CentOS 8
CentOS 7
Ubuntu/Debian

安装步骤

1. 连接ECS实例

远程连接ECS实例。具体操作，请参见<a href="https://help.aliyun.com/zh/ecs/user-guide/connect-to-a-linux-instance-by-using-workbench" target="_blank">使用Workbench工具以SSH协议登录Linux实例</a>。

2. 安装MySQL数据库

说明： 如果您需要安装MySQL 8.0版本，请将官方源地址修改为 https://repo.mysql.com/mysql80-community-release-el8-1.noarch.rpm

# 需要安装compat-openssl10与旧版本OpenSSL库兼容
sudo yum install -y compat-openssl10

# 添加MySQL官方源
sudo rpm -Uvh https://repo.mysql.com/mysql84-community-release-el8-1.noarch.rpm

# 安装MySQL服务
sudo dnf install -y mysql-server

# 启动MySQL服务并设置开机启动
sudo systemctl start mysqld
sudo systemctl enable mysqld

3. 查看root用户默认初始密码

echo $(PASSWORD=$(sudo grep 'temporary password' /var/log/mysqld.log); PASSWORD=${PASSWORD##* }; echo $PASSWORD)

4. 运行MySQL安全安装向导

sudo mysql_secure_installation

安装向导配置步骤：

输入初始密码
- 输入root用户初始密码
- 说明： 输入密码时界面不会显示密码的输入过程，请您确保输入的密码正确
设置新密码
- 提示root密码已过期，您需要设置新的root用户密码，需要输入两次新密码
- 重要： 密码策略要求密码至少包含一个大写字母、一个小写字母、一个数字和一个特殊字符，并且密码总长度至少为8个字符
拒绝再次修改密码
- 修改root密码后，输入n，拒绝再次修改密码
移除匿名用户
- 输入y，移除匿名用户
- 说明： 移除匿名用户可以防止未经授权的用户在没有提供有效凭证的情况下访问您的MySQL服务器
禁止root远程登录
- 输入y，禁止MySQL的root用户从远程登录
- 说明： 如果有特定需求允许root用户远程访问，可以按Y以外任意键以允许远程root登录
移除test数据库
- 输入y，移除MySQL自带的test数据库
重新加载权限表
- 输入y，重新加载权限表，使之前所有更改生效

添加远程访问MySQL用户

1. 连接ECS实例

2. 配置安全组

配置安全组时，MySQL默认使用3306端口。确保实例安全组的入站规则开放3306端口。如果选择了不同的端口，请根据实际情况调整安全组设置。具体步骤请参考<a href="https://help.aliyun.com/zh/ecs/user-guide/add-a-security-group-rule" target="_blank">添加安全组规则</a>。

3. 创建远程访问用户

重要说明：

请将代码中的<username>替换为创建MySQL用户时所用的用户名

请将代码中的<password>替换为创建MySQL用户时所用的密码。需遵循以下密码策略：密码必须包含至少一个大写字母、一个小写字母、一个数字和一个特殊字符，且总长度不少于8个字符

# 执行后需要输入root用户密码
sudo mysql -uroot -p \
-e "CREATE USER '<username>'@'%' IDENTIFIED BY '<password>';" \
-e "GRANT ALL PRIVILEGES ON *.* TO '<username>'@'%' WITH GRANT OPTION;" \
-e "FLUSH PRIVILEGES;"

4. 测试用户配置

# <username>是您新创建用户的用户名，执行后需要输入您的新用户密码
sudo mysql -u<username> -p

组件	推荐型号 / 规格	预估价格 (参考)	为什么选它 (稳定性的关键)
主机 (核心)	零刻 EQi12 1220P (准系统)	¥1,379	i3-1220P 算力冗余。相比 N100，它在处理大量并发请求时不会让 CPU 长期 100% 满载，这是系统不死机的基础。
内存 (RAM)	32GB (16GB x 2) DDR4 3200MHz (推荐：英睿达、三星、海力士)	¥450 左右	稳定性核心！ Immich+数据库非常吃内存。16GB 只是够用，32GB 才是永不崩溃的安全线，彻底杜绝因"内存不足(OOM)"导致的 Docker 闪退。
系统盘 (SSD)	1TB M.2 NVMe SSD (推荐：致态 TiPlus7100 或三星 980)	¥450 左右	存放数据库和缩略图。必须买原厂颗粒 (TLC)。千万别买杂牌，因为 Immich 会频繁读写数据库，杂牌盘掉速会导致网页卡死。
数据盘 (存储)	2块 x 4TB~16TB 企业级硬盘 (推荐：西数 HC320/HC550 或希捷银河)	按需决定	存放原始照片。企业级硬盘 (Ultrastar/Exos) 设计寿命是 7x24 小时运行，比家用盘耐用得多。
硬盘柜 (DAS)	双盘位 Type-C 硬盘柜 (带风扇) (推荐：绿联、优越者，必须带独立供电)	¥200 - ¥300	小主机本身装不下大硬盘，需外挂。必须带风扇（硬盘过热会掉盘）且必须带独立电源适配器（USB 供电不稳是掉盘的主因）。
保命神器	UPS 不间断电源 (推荐：雷迪司 H1000 或山特 TG-BOX)	¥250 - ¥350	防崩溃的最后一道防线。 Immich 的数据库最怕突然断电，一次断电可能导致数据库损坏、全部重来。UPS 能让你从容关机。
操作系统	Ubuntu Server 24.04 LTS	免费	软件层面的稳定。没有图形界面的干扰，资源占用极低，且永远不会像 Windows 那样自动重启更新。

功能	工具	说明
WHOIS查询	<a href="https://www.alibabacloud.com/zh/whois/home" target="_blank" rel="noopener noreferrer">阿里云 WHOIS</a>	查询域名注册信息和状态
DNS污染检测	<a href="https://www.boce.com/pollute" target="_blank" rel="noopener noreferrer">拨测 DNS 污染检测</a>	批量检测 DNS 投毒情况
证书检查	<a href="https://www.ssllabs.com/ssltest/" target="_blank" rel="noopener noreferrer">SSL Labs</a>	检测 SSL 证书配置问题
网络路径分析	<a href="https://github.com/traviscross/mtr" target="_blank" rel="noopener noreferrer">MTR/Traceroute</a>	开源网络诊断工具

Level	延迟时间	Level	延迟时间	Level	延迟时间
1	1s	7	3m	13	9m
2	5s	8	4m	14	10m
3	10s	9	5m	15	20m
4	30s	10	6m	16	30m
5	1m	11	7m	17	1h
6	2m	12	8m	18	2h

Level	延迟时间	Level	延迟时间	Level	延迟时间
1	1s	7	3m	13	9m
2	5s	8	4m	14	10m
3	10s	9	5m	15	20m
4	30s	10	6m	16	30m
5	1m	11	7m	17	1h
6	2m	12	8m	18	2h

Level	延迟时间	Level	延迟时间	Level	延迟时间
1	1s	7	3m	13	9m
2	5s	8	4m	14	10m
3	10s	9	5m	15	20m
4	30s	10	6m	16	30m
5	1m	11	7m	17	1h
6	2m	12	8m	18	2h