Nginx + Flask 并发能力与扩展思路（草稿/未完全论证）

Mon, 19 Jan 2026 11:15:20 +0800

1. 并发到底指什么？（先统一概念）

日常说“并发 1000”，经常会混淆两件事：

1）并发连接数（Concurrent Connections）

同时有 1000 个客户端保持连接（例如 HTTP keep-alive、WebSocket、长轮询）
特点：连接在，但不一定都在做计算

2）并发执行中的请求数（In-flight Requests）

同时有 1000 个请求正在被后端处理（查库/计算/调用外部接口）
特点：真正消耗 CPU / IO / DB

这两种“1000并发”，难度完全不同：

✅ 1000 连接并发：对 Nginx 来说通常不算大
⚠️ 1000 请求同时执行：大概率会卡在后端 worker 或数据库

2. Flask 自己能跑多大并发？

2.1 Flask 开发模式（flask run / python app.py）

这属于开发服务器，特点：

单进程为主
并发能力弱
不适合生产

经验上：

几十并发以内还能凑合
再高容易出现排队、超时、卡死

结论：生产环境不要用 Flask 自带运行方式扛并发。

3. 生产级部署：Gunicorn 是核心

3.1 Gunicorn 是什么？

Gunicorn 可以理解为：

Flask 是应用逻辑
Gunicorn 是生产级运行容器（多进程/多线程/更稳定）

它负责把 Flask 稳定跑起来，并支持并发能力扩展。

3.2 并发上限大致怎么算？

在最常见的 Gunicorn sync 模型下：

一个 worker 同时只能处理 1 个请求
所以：

并发执行数 ≈ worker 数量

如果加线程：

并发执行数 ≈ workers × threads

举例：

9 workers × 8 threads = 72 个请求“同时在执行”

注意：
这不等于系统只能支撑 72 人访问，而是指 72 个请求同时处理。
如果接口很快，吞吐（RPS）可能仍然很高。

3.3 推荐启动方式（通用 IO 型后端）

适用于常见的：查 MySQL、读 Redis、请求外部接口的后台接口

gunicorn app:app -w 9 --threads 8 -b 127.0.0.1:5000 --timeout 60

解释：

-w 9：worker 进程数（常见经验：2*CPU+1）
--threads 8：每个 worker 再开线程，提升 IO 并发
-b 127.0.0.1:5000：只给 Nginx 反代用，更安全

3.4 什么时候考虑 gevent？

如果你的请求大部分都在 “等待 IO”，比如：

等数据库返回
等外部 HTTP 返回
等队列返回

可考虑：

gunicorn app:app -k gevent -w 4 --worker-connections 2000 -b 127.0.0.1:5000 --timeout 60

⚠️ 注意：gevent 更适合“等待型业务”，如果是大量 CPU 运算，它也救不了。

4. Nginx + Flask 能不能扛“1000并发”？

4.1 如果是 1000 个连接并发

✅ 结论：可以
Nginx 专门擅长处理大量连接。

4.2 如果是 1000 个请求同时在执行

⚠️ 结论：单机大概率不稳
原因通常不是 Flask，而是：

Gunicorn worker/thread 数不够
慢 SQL 导致请求堆积
外部接口过慢导致请求挂起
日志过重造成 IO 阻塞
数据库先撑不住

真正要实现“1000请求同时执行”，往往必须：

缓存（Redis）
异步队列
多机扩容

5. 那“标准后端”比如 PHP 呢？

PHP 的生产模式通常是：

Nginx/Apache + PHP-FPM

5.1 PHP 并发的核心参数

pm.max_children = 可同时处理的请求数

每个 child 本质也是 “一次处理一个请求”，所以：

并发执行数 ≈ pm.max_children

这与 Flask 的 sync worker 思路非常类似。

5.2 为什么很多 PHP 网站看起来很能扛？

因为真实承压大头被分走了：

静态资源 Nginx 扛
页面缓存扛
OPcache 加速
Redis 缓存热点接口
数据库查询优化

所以“1000在线”不代表“1000请求同时跑 PHP”。

6. 单机多线程够了吗？还是必须分布式？

结论偏工程经验：

多线程/多进程属于纵向扩展（榨干单机）
多主机+负载均衡属于横向扩展（规模上限更高、更稳定）

如果目标是：

只是让系统更快、更稳：单机优化 + 缓存 可能就够了
真的要在高峰稳定抗住大流量：最终一定会走到多机 + LB + 缓存 + 队列

7. 多后端实例，登录怎么同步？

这是扩容时的必答题：
后端一旦多实例，登录状态必须共享，否则会随机掉线。

7.1 两条主流路线

方案 A：Session 共享（Redis Session）

浏览器只保存 session_id，登录数据放 Redis，所有后端都能查到。

优点：

✅ 最像传统后台登录
✅ 支持踢人（删 Redis session）
✅ 适合面板类系统（非常推荐）

实现思路（示例）：

pip install flask-session redis

from flask import Flask
from flask_session import Session
import redis

app = Flask(__name__)
app.secret_key = "YOUR_SECRET_KEY"  # 所有后端实例必须一致

app.config["SESSION_TYPE"] = "redis"
app.config["SESSION_REDIS"] = redis.Redis(host="127.0.0.1", port=6379, db=0)
app.config["SESSION_PERMANENT"] = True
app.config["PERMANENT_SESSION_LIFETIME"] = 3600

Session(app)

⚠️ 关键点：所有实例的 secret_key 必须完全一致
不一致会导致 cookie 校验失败，登录随机失效。

方案 B：JWT / Token 无状态登录

登录后发 token，客户端每次请求携带 token，后端只验签。

优点：

✅ 完全无状态，天然适合水平扩容
✅ API 体系非常舒服

缺点：

⚠️ 需要额外设计“踢人/失效机制”（黑名单、token_version）

7.2 Sticky 会话（不推荐）

负载均衡把同一个用户一直粘到同一台后端。

问题：

扩容缩容麻烦
机器重启用户就掉线
本质不是同步，只是绕开同步

只适合临时救急，不适合作为长期架构。

8. 推荐的“低成本可扩展”架构

一个现实可落地的组合：

✅ Nginx（入口、TLS、限流）
✅ 多台 Flask（Gunicorn）
✅ Redis（Session共享 + 缓存热点接口）
✅ MySQL（用户/权限数据统一存储）
✅ 队列（导出、统计、慢任务异步化）

这套结构不会复杂到“微服务地狱”，但扩展能力很强。

CentOS 7 部署 WireGuard（RPM 安装 + 分流不影响互联网 + 一键新增用户脚本）

Wed, 24 Dec 2025 20:47:25 +0800

1）目标与原则

目标

CentOS 7 上跑 WireGuard 服务器（wg0）
Windows / Linux 客户端接入
只让指定网段走隧道（Split Tunnel），不影响正常上网

核心原则（分流）

客户端配置里 AllowedIPs 写什么，就只路由什么
不想影响互联网：不要写 0.0.0.0/0

2）准备：确认系统与内核

cat /etc/redhat-release
uname -r

CentOS7 上 WireGuard 的 kmod 模块经常是“按内核版本编译”的，所以 uname -r 要记住。

3）安装：从 3 个 RPM 包开始（推荐本地安装）

3.1 创建目录

mkdir -p /root/wg_rpm
cd /root/wg_rpm

3.2 下载 3 个包

这 3 个是常用的最小组合：

wireguard-tools：wg / wg-quick 工具
kmod-wireguard：元包（壳）
wireguard：noarch（提供 common 依赖）

# wireguard-tools（工具）
curl -LO "https://mirrors.aliyun.com/elrepo/elrepo/el7/x86_64/RPMS/wireguard-tools-1.0.20210914-1.el7.x86_64.rpm"

# kmod 元包（依赖壳）
curl -LO "https://mirrors.aliyun.com/rpmfusion/free/el/updates/7/x86_64/k/kmod-wireguard-1.0.20201221-1.el7.x86_64.rpm"

# wireguard noarch（common 依赖）
curl -LO "https://mirrors.aliyun.com/rpmfusion/free/el/updates/7/x86_64/w/wireguard-1.0.20201221-1.el7.noarch.rpm"

3.3 关键：下载“内核绑定模块包”

你 uname -r 如果是 3.10.0-1160.el7.x86_64，就下载：

curl -LO "https://mirrors.aliyun.com/rpmfusion/free/el/updates/7/x86_64/k/kmod-wireguard-3.10.0-1160.el7.x86_64-1.0.20201221-1.el7.x86_64.rpm"

如果不是 1160，把文件名里的 3.10.0-1160.el7.x86_64 换成你实际内核版本。

你之前报错“需要：kmod-wireguard-3.10.0-1160...”就是因为只装了元包，没有装这个“内核绑定包”。

3.4 一次性安装

yum localinstall -y ./*.rpm

3.5 验证

modprobe wireguard
lsmod | grep wireguard || echo "wireguard module not loaded"
wg --version

4）服务端配置（CentOS7）

下面以一个简单网段为例：

WireGuard 虚拟网段：10.66.66.0/24
服务器 wg0：10.66.66.1
第 1 个客户端：10.66.66.2

4.1 生成密钥（务必分清 .key / .pub）

mkdir -p /etc/wireguard
cd /etc/wireguard
umask 077

wg genkey | tee server.key | wg pubkey > server.pub
wg genkey | tee client.key | wg pubkey > client.pub

echo "=== server.key(私钥) ==="; cat server.key
echo "=== server.pub(公钥) ==="; cat server.pub
echo "=== client.key(私钥) ==="; cat client.key
echo "=== client.pub(公钥) ==="; cat client.pub

只记一句：

PrivateKey 填 .key
PublicKey 填 .pub

4.2 写服务端 `/etc/wireguard/wg0.conf`

vim /etc/wireguard/wg0.conf

内容：

[Interface]
Address = 10.66.66.1/24
ListenPort = 51820
PrivateKey = <填 server.key 内容>

[Peer]
PublicKey = <填 client.pub 内容>
AllowedIPs = 10.66.66.2/32

建议不要写 SaveConfig = true，容易出现“文件改了但运行态还是旧 peer”的坑。

4.3 启动与开机自启

wg-quick up wg0
systemctl enable wg-quick@wg0

验证：

ip addr show wg0
ss -lunp | grep 51820
wg show wg0

4.4 放行 UDP 51820

firewalld：

firewall-cmd --add-port=51820/udp --permanent
firewall-cmd --reload

如果你用 iptables，测试先粗放（后面再细化）：

iptables -I INPUT -p udp --dport 51820 -j ACCEPT
iptables -I INPUT -i wg0 -j ACCEPT
iptables -I INPUT -i wg0 -p icmp -j ACCEPT

5）客户端配置（Windows / Linux）

Windows WireGuard 新建 tunnel，粘贴（示例）：

[Interface]
PrivateKey = <填 client.key 内容>
Address = 10.66.66.2/24

[Peer]
PublicKey = <填 server.pub 内容>
Endpoint = 你的服务器公网IP:51820
PersistentKeepalive = 25

# 分流：只走 10.66.66.0/24，不影响互联网
AllowedIPs = 10.66.66.0/24

验证：

Windows：ping 10.66.66.1
服务器：wg show wg0 看 latest handshake 与 transfer

6）一键新增用户脚本（自动分配 IP + 生成客户端配置 + 热加载）

把下面脚本保存为：/root/add_wg_user.sh

#!/usr/bin/env bash
set -euo pipefail

WG_IF="wg0"
WG_DIR="/etc/wireguard"
WG_CONF="${WG_DIR}/${WG_IF}.conf"

NET_PREFIX="10.66.66"
CIDR="24"
SERVER_IP_LAST="1"

DEFAULT_ALLOWED_IPS="${NET_PREFIX}.0/${CIDR}"
DEFAULT_ENDPOINT="110.42.98.59:51820"

usage() {
  cat <<EOF
用法：
  $0 <username> [--ip-last N] [--endpoint IP:PORT] [--allowed "10.66.66.0/24,192.168.10.0/24"]

示例：
  $0 user3
  $0 user4 --ip-last 10
  $0 user5 --allowed "10.66.66.0/24,192.168.10.0/24"
  $0 user6 --endpoint "1.2.3.4:51820"
EOF
}

die() { echo "ERROR: $*" >&2; exit 1; }

[[ $# -lt 1 ]] && usage && exit 1
NAME="$1"; shift
[[ "$NAME" =~ ^[a-zA-Z0-9._-]+$ ]] || die "username 只能包含字母数字 . _ -"

IP_LAST=""
ENDPOINT="$DEFAULT_ENDPOINT"
ALLOWED_IPS="$DEFAULT_ALLOWED_IPS"

while [[ $# -gt 0 ]]; do
  case "$1" in
    --ip-last) IP_LAST="${2:-}"; shift 2 ;;
    --endpoint) ENDPOINT="${2:-}"; shift 2 ;;
    --allowed) ALLOWED_IPS="${2:-}"; shift 2 ;;
    -h|--help) usage; exit 0 ;;
    *) die "未知参数：$1（用 -h 查看帮助）" ;;
  esac
done

[[ -f "$WG_CONF" ]] || die "找不到 $WG_CONF"

# 读取服务器公钥（优先用 server.pub）
SERVER_PUB=""
if [[ -f "${WG_DIR}/server.pub" ]]; then
  SERVER_PUB="$(tr -d '\r\n' < "${WG_DIR}/server.pub")"
else
  if ip link show "$WG_IF" >/dev/null 2>&1; then
    SERVER_PUB="$(wg show "$WG_IF" public-key 2>/dev/null || true)"
  fi
fi
[[ -n "$SERVER_PUB" ]] || die "读取服务器公钥失败（建议放 ${WG_DIR}/server.pub）"

# 自动分配下一个可用 IP
if [[ -z "$IP_LAST" ]]; then
  USED_LASTS="$(grep -Eo "${NET_PREFIX}\.[0-9]{1,3}/32" "$WG_CONF" \
    | awk -F'[./]' '{print $4}' \
    | sort -n | uniq || true)"

  for n in $(seq 2 254); do
    [[ "$n" == "$SERVER_IP_LAST" ]] && continue
    echo "$USED_LASTS" | grep -qx "$n" && continue
    IP_LAST="$n"
    break
  done
fi

[[ -n "$IP_LAST" ]] || die "没有可用 IP 了（10.66.66.2~254 都被占用）"
[[ "$IP_LAST" =~ ^[0-9]+$ ]] || die "--ip-last 必须是数字"
(( IP_LAST >= 2 && IP_LAST <= 254 )) || die "--ip-last 必须在 2~254"

CLIENT_IP="${NET_PREFIX}.${IP_LAST}/${CIDR}"
CLIENT_ALLOWED_IP="${NET_PREFIX}.${IP_LAST}/32"

umask 077
CLIENTS_DIR="${WG_DIR}/clients"
mkdir -p "$CLIENTS_DIR"

CLIENT_KEY_FILE="${CLIENTS_DIR}/${NAME}.key"
CLIENT_PUB_FILE="${CLIENTS_DIR}/${NAME}.pub"
CLIENT_CONF_FILE="${CLIENTS_DIR}/${NAME}.conf"

[[ -f "$CLIENT_KEY_FILE" || -f "$CLIENT_CONF_FILE" ]] && die "用户文件已存在，换名或先备份删除"

wg genkey | tee "$CLIENT_KEY_FILE" | wg pubkey > "$CLIENT_PUB_FILE"
CLIENT_PUB="$(tr -d '\r\n' < "$CLIENT_PUB_FILE")"
CLIENT_KEY="$(tr -d '\r\n' < "$CLIENT_KEY_FILE")"

cat > "$CLIENT_CONF_FILE" <<EOF
[Interface]
PrivateKey = ${CLIENT_KEY}
Address = ${CLIENT_IP}

[Peer]
PublicKey = ${SERVER_PUB}
Endpoint = ${ENDPOINT}
PersistentKeepalive = 25
AllowedIPs = ${ALLOWED_IPS}
EOF

TS="$(date '+%F_%H%M%S')"
BK="${WG_CONF}.bak.${TS}"
cp -a "$WG_CONF" "$BK"

grep -qF "$CLIENT_PUB" "$WG_CONF" && die "wg0.conf 已存在该公钥，备份在：$BK"

{
  echo ""
  echo "# ${NAME} added ${TS}"
  echo "[Peer]"
  echo "PublicKey = ${CLIENT_PUB}"
  echo "AllowedIPs = ${CLIENT_ALLOWED_IP}"
} >> "$WG_CONF"

# 热加载（不中断现有连接）
if ip link show "$WG_IF" >/dev/null 2>&1; then
  wg set "$WG_IF" peer "$CLIENT_PUB" allowed-ips "$CLIENT_ALLOWED_IP" || true
fi

echo "OK: 已新增用户：${NAME}"
echo "  - 分配 IP：${CLIENT_IP}"
echo "  - 服务器配置已更新：${WG_CONF}"
echo "  - 服务器配置备份：${BK}"
echo "  - 客户端配置文件：${CLIENT_CONF_FILE}"
echo ""
echo "把这个文件发给用户导入即可："
echo "  ${CLIENT_CONF_FILE}"

给执行权限：

chmod +x /root/add_wg_user.sh

6.1 新增用户示例

自动分配下一个 IP：

/root/add_wg_user.sh user2

指定 IP 最后一段：

/root/add_wg_user.sh user2 --ip-last 3

让用户额外能访问内网段（仍然分流，不影响互联网）：

/root/add_wg_user.sh user2 --allowed "10.66.66.0/24,192.168.10.0/24"

脚本输出里会给你：

分配的 IP
生成的客户端配置路径：/etc/wireguard/clients/user2.conf
把这个文件发给用户导入 WireGuard 客户端即可。

7）排障最有效的两条命令

7.1 看握手（服务端）

wg show wg0

看有没有：

latest handshake
transfer 是否在涨

7.2 抓包判断“端口通不通 / 服务端回不回”

tcpdump -ni any udp port 51820

只有入站，没有回包：通常是 peer key 不匹配/服务端没认出客户端
双向都有：再看防火墙/路由/ICMP

8）子网互通怎么做（继续分流，不影响互联网）

当你需要让客户端访问远端内网（例如 192.168.10.0/24）：

客户端 AllowedIPs 加上：

AllowedIPs = 10.66.66.0/24, 192.168.10.0/24

然后“远端内网回程”通常有两种方式：

给内网网关加静态路由（标准方案）
服务器做 NAT（省事方案）

这一段跟你的实际网卡/网关有关，确定后再上最终配置就行。

CentOS 9 下查看 CPU 频率、温度、降频记录，以及如何限频（intel_pstate）

Fri, 19 Dec 2025 22:55:32 +0800

1. 查看 CPU 调频驱动、频率范围、当前策略

1.1 查看频率信息

cpupower frequency-info

重点看这些字段：

driver: intel_pstate
硬件限制：800 MHz - 5.70 GHz
可用的调节器：performance / powersave
current CPU frequency
boost state support（是否启用睿频）

如果你看到 current CPU frequency 长期在 5.xGHz，且温度 90°C 以上，基本就是睿频冲顶导致。

2. 实时查看当前频率（观察是否被限制、是否在抖）

2.1 最简单的实时看频率

watch -n 1 "grep -m1 'cpu MHz' /proc/cpuinfo"

更想看多个核心（前 12 行）：

watch -n 1 "grep -E 'cpu MHz' /proc/cpuinfo | head -n 12"

3. 查看 CPU 温度（Package / 各核心）

3.1 安装 sensors 工具

dnf install -y lm_sensors

3.2 探测传感器（只需一次）

sensors-detect

3.3 查看温度

sensors

一般重点看：

Package id 0（整颗 CPU 温度）
Core X（各核心温度）

实时刷新：

watch -n 1 sensors

4. 查看是否发生过热降频（throttling）

降频有没有发生过，不要靠猜。优先看内核统计计数。

4.1 查看 thermal throttle 计数（最可靠）

grep -i . /sys/devices/system/cpu/cpu*/thermal_throttle/* 2>/dev/null

你会看到类似：

core_throttle_count
package_throttle_count

只要出现非 0，就说明发生过热降频。

4.2 查内核日志（不一定有）

dmesg | egrep -i 'thermal|throttl|overheat'

注意：有些 BIOS/板子不会打日志，日志空不代表没降频。所以日志只能当辅助，统计计数才是核心。

5. 限制最高频率（推荐做法：只限上限，不锁死）

高负载长跑的重点是稳定，不是跑分。限上限能明显降温，减少热保护介入，性能反而更稳。

5.1 限制最高频率（示例 5.2GHz）

cpupower frequency-set -u 5.2GHz

更稳一些的常用档位（按实际情况选）：

4.2GHz：通常能把温度压到 80-85°C 区间，服务器更稳
3.8GHz：适合 7x24 长跑，基本不再触发降频

示例：

cpupower frequency-set -u 4.2GHz
# 或
cpupower frequency-set -u 3.8GHz

验证是否生效：

cpupower frequency-info
watch -n 1 "grep -m1 'cpu MHz' /proc/cpuinfo"

6. 调整 EPP（能效策略，配合限频更稳）

intel_pstate 下的 energy_performance_preference（EPP）会影响 CPU 是否“动不动就冲最高频”。

查看当前：

cat /sys/devices/system/cpu/cpufreq/policy0/energy_performance_preference

改为更适合服务器的策略：

echo balance_performance > /sys/devices/system/cpu/cpufreq/policy0/energy_performance_preference

再看一次确认：

cat /sys/devices/system/cpu/cpufreq/policy0/energy_performance_preference

说明：
performance 更激进，更容易冲顶；balance_performance 更稳，温度更好看。

7. 一键采集（频率/温度/降频计数），方便截图发群里

echo "==== CPU FREQ (policy) ===="
cpupower frequency-info

echo
echo "==== CPU TEMP ===="
sensors

echo
echo "==== THROTTLE COUNT ===="
grep -i . /sys/devices/system/cpu/cpu*/thermal_throttle/* 2>/dev/null | head -n 60

8. 常见现象与判断

1）Package 长期 90°C+，风扇满速，频率仍能冲 5.x：
基本属于“睿频冲顶 + 持续高负载”，后续很容易开始热降频，表现为性能波动。

2）某几个核心特别热，其他核心低：
多见于进程亲和性绑定不合理（热点集中），不是机箱温度问题。

3）降频计数持续增长：
说明热保护在频繁介入，需要降温（限频/优化绑核/减少负载/检查散热）。

CentOS 9 系统下 DNF 安装 MySQL 8 数据库

Tue, 02 Dec 2025 16:35:22 +0800

安装 MySQL 官方仓库

dnf install https://dev.mysql.com/get/mysql80-community-release-el9-1.noarch.rpm -y

直接关掉 gpgcheck（重点）

编辑仓库文件：

vim /etc/yum.repos.d/mysql-community.repo

把里面所有的段都改成：

gpgcheck=0

一般需要改的有：

[mysql80-community]
[mysql-tools-community]
[mysql-connectors-community]

改完之后，这个仓库就不会再卡在 GPG 校验上了。

安装 MySQL 8

dnf clean all
dnf install mysql-community-server -y

启动 MySQL

systemctl start mysqld
systemctl enable mysqld
systemctl status mysqld

看到 active(running) 就说明成功了。

获取 root 初始密码

grep 'temporary password' /var/log/mysqld.log

复制那一串临时密码。

登录 MySQL 并修改 root 密码（必做）

mysql -uroot -p

然后执行：

ALTER USER 'root'@'localhost' IDENTIFIED BY 'kK<[U5W8V<8N';

现在 root 就能正常使用了。

创建一个允许远程登录的超级用户

CREATE USER 'ted'@'%' IDENTIFIED BY '88BM]NQnTt';
GRANT ALL PRIVILEGES ON *.* TO 'ted'@'%' WITH GRANT OPTION;
FLUSH PRIVILEGES;

Proxmox VE 实用命令大全：模板、克隆、删除、批处理全流程

Mon, 17 Nov 2025 10:09:08 +0800

一、PVE 的两类虚拟化：KVM & LXC

PVE 支持两种虚拟化技术：

类型	命令	能跑的系统	特点
KVM/QEMU	`qm`	Windows / Linux	全虚拟化，性能稍低但兼容性最好
LXC 容器	`pct`	仅 Linux	轻量级、共享宿主环境

? 只要是虚拟机（VM），它必定是 KVM → 就必须用 qm 管理。

二、常用 `qm` 命令速查

查看所有虚拟机

qm list

启动 / 关机 / 强制关机

qm start 101
qm shutdown 101
qm stop 101

删除虚拟机（含磁盘）

qm destroy 101 --purge

三、将虚拟机转换为模板（Template）

假设虚拟机 ID 为 101

1. 先关机

qm shutdown 101
# 如果关不掉
qm stop 101

2. 转换为模板

qm template 101

模板将变为不可启动状态，只能用于克隆。

四、取消模板状态（恢复为可启动 VM）

很多人不知道模板可以恢复成普通 VM，实际上只需要一条命令。

qm set 101 --template 0

恢复后即可启动：

qm start 101

再次变回模板：

qm set 101 --template 1

或

qm template 101

五、链式克隆（Linked Clone）全流程

链式克隆（Linked Clone）特点：

共享模板磁盘
创建速度极快
占用空间小
必须保持模板磁盘为只读（template 状态）

❗重要：链式克隆不能使用 `--format`

如果你执行：

qm clone 101 201 --name vm201 --format qcow2 --full 0

会出现错误：

parameter 'format' not allowed for linked clones

原因：链式克隆必须继承模板的磁盘格式，不能指定新的格式。

正确链式克隆示例

克隆模板 101 → VM ID=201：

qm clone 101 201 --name vm201 --full 0

克隆 20 台：

for i in 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120; do
    qm clone 101 $i --name vm$i --full 0
done

六、链式克隆后的批量硬件配置

如果希望所有虚拟机都用相同配置：

for i in 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120; do
    qm clone 101 $i --name vm$i --full 0
    qm set $i --cores 2 --memory 2048 --net0 virtio,bridge=vmbr0
done

七、快速理解链克隆与模板的关系

模板是只读的父盘
链克隆的 VM 是差分盘
模板恢复成 VM、启动、修改不会影响已创建的克隆
修改模板 → 再转回 template → 再克隆 → 才能影响后续 VM

这是一个安全、灵活的工作流。

八、KVM 与 LXC 的命令区别

功能	KVM（qm）	LXC（pct）
列出	`qm list`	`pct list`
启动	`qm start 101`	`pct start 201`
停止	`qm stop 101`	`pct stop 201`
删除	`qm destroy`	`pct destroy`

在 Proxmox VE 9 上创建虚拟局域网并通过宿主公网 NAT 上网

Fri, 24 Oct 2025 21:31:50 +0800

在 Proxmox VE 9 上创建虚拟局域网并通过宿主公网 NAT 上网

环境示例：
系统版本：Proxmox VE 9.0.3
公网 IP：192.140.182.104
外网网关：192.140.182.1
外网物理口：enp96s0f0np0
默认桥接口：vmbr0
新增内网桥接：vmbr1
内网网段：10.10.0.0/24

一、创建虚拟局域网 Bridge（vmbr1）

PVE 的网络核心是 Linux Bridge。
我们创建一个 不绑定物理网卡 的虚拟桥接，用于虚拟机互联。

编辑网络配置文件：

nano /etc/network/interfaces

添加以下内容：

auto vmbr1
iface vmbr1 inet static
    address 10.10.0.1/24
    bridge-ports none
    bridge-stp off
    bridge-fd 0

保存并应用：

ifreload -a

验证：

ip a show vmbr1

应看到：

inet 10.10.0.1/24

二、启用 IPv4 转发

PVE 默认不转发内外网流量，我们需手动开启。

echo 1 > /proc/sys/net/ipv4/ip_forward

永久生效：

echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/99-pve-nat.conf
sysctl --system

三、配置 NAT 出网（nftables 方式）

PVE 9 默认使用 nftables 替代传统 iptables。

我们要做的就是在 NAT 表的 postrouting 链上添加 SNAT 规则，让虚拟机流量伪装成宿主机公网 IP。

注意：PVE 的默认路由出接口是 vmbr0，不是物理网卡！

创建或替换 /etc/nftables.conf：

cat >/etc/nftables.conf <<'EOF'#!/usr/sbin/nft -fflush ruleset# 放行转发流量table inet filter {
  chain forward {    type filter hook forward priority 0;
    policy accept;
  }
}# NAT 出网规则table ip nat {
  chain postrouting {    type nat hook postrouting priority 100;
    policy accept;    # 内网通过 vmbr0 出公网
    ip saddr 10.10.0.0/24 oif "vmbr0" snat to 192.140.182.104    # 可选备用规则（直接物理口出）
    ip saddr 10.10.0.0/24 oif "enp96s0f0np0" snat to 192.140.182.104
  }
}
EOF

启动并启用：

systemctl enable nftables
systemctl restart nftables

验证：

nft list ruleset

输出应包含：

ip saddr 10.10.0.0/24 oif "vmbr0" snat to 192.140.182.104

四、虚拟机网络配置

创建虚拟机时，网卡桥接选择 vmbr1，模式 virtio。

在虚拟机中配置静态网络：

参数	值
IP 地址	10.10.0.10
子网掩码	255.255.255.0
网关	10.10.0.1
DNS	8.8.8.8

Linux 示例：

ip addr add 10.10.0.10/24 dev eth0
ip route add default via 10.10.0.1echo "nameserver 8.8.8.8" > /etc/resolv.conf

五、验证

1️⃣ 宿主机连通性

ping -c 3 8.8.8.8

2️⃣ 虚拟机到宿主机

ping 10.10.0.1

3️⃣ 虚拟机上网测试

ping -c 3 8.8.8.8
curl -s https://ifconfig.me

返回的公网 IP 应为 192.140.182.104，说明 NAT 成功。

六、可选：给 vmbr1 加上 DHCP 服务（自动分配 IP）

安装 dnsmasq：

apt install -y dnsmasq

配置文件 /etc/dnsmasq.d/vmbr1.conf：

interface=vmbr1
bind-interfaces
dhcp-range=10.10.0.100,10.10.0.200,255.255.255.0,12h
dhcp-option=3,10.10.0.1
dhcp-option=6,223.5.5.5,8.8.8.8

启动服务：

systemctl enable dnsmasq
systemctl restart dnsmasq

虚拟机网络改为 DHCP 即可自动获取 IP。

七、常见问题

现象	原因	解决
VM 能 ping 网关但上不了网	NAT 未命中（出接口错误）	改成 `oif "vmbr0"`
宿主机能上网但 VM 不行	转发未开	`echo 1 > /proc/sys/net/ipv4/ip_forward`
ping 8.8.8.8 不通	上级路由防火墙拦截	用 `snat to 公网IP` 替换 masquerade
PVE 防火墙开启	丢弃转发流量	`pve-firewall stop` 测试

八、最终效果

虚拟机之间通过 vmbr1 局域网互通
所有虚拟机上网流量通过宿主 NAT 转发
宿主机对外出口为单一公网 IP（192.140.182.104）

九、完整配置总结

`/etc/network/interfaces`

auto lo
iface lo inet loopback

iface enp96s0f0np0 inet manual

auto vmbr0
iface vmbr0 inet static
    address 192.140.182.104/24
    gateway 192.140.182.1
    bridge-ports enp96s0f0np0
    bridge-stp off
    bridge-fd 0

iface enp96s0f1np1 inet manual

auto vmbr1
iface vmbr1 inet static
    address 10.10.0.1/24
    bridge-ports none
    bridge-stp off
    bridge-fd 0source /etc/network/interfaces.d/*

`/etc/nftables.conf`

#!/usr/sbin/nft -fflush ruleset

table inet filter {
  chain forward {    type filter hook forward priority 0;
    policy accept;
  }
}

table ip nat {
  chain postrouting {    type nat hook postrouting priority 100;
    policy accept;
    ip saddr 10.10.0.0/24 oif "vmbr0" snat to 192.140.182.104
    ip saddr 10.10.0.0/24 oif "enp96s0f0np0" snat to 192.140.182.104
  }
}

如果重启后无网络，执行以下命令：

# 1. 重新加载网络接口

ifreload -a

# 2. 确保内核开启转发

sysctl -w net.ipv4.ip_forward=1

# 3. 手动重载 nftables 规则

systemctl restart nftables

# 4. 暂停 PVE 自带防火墙（若启用过）

pve-firewall stop

# 5. 验证 NAT 是否生效

nft list ruleset | grep -E "snat|masquerade"

在 Linux 上通过 mitmproxy 获取并信任根证书

Thu, 04 Sep 2025 10:23:21 +0800

在使用 mitmproxy 做流量拦截时，客户端会收到代理签发的自签证书。如果系统没有信任这个证书，就会出现如下报错：

Client TLS handshake failed. The client does not trust the proxy's certificate

本文将演示如何在 Linux 系统中通过命令行下载 mitmproxy 根证书，并安装到系统信任库，确保应用能够正常通过代理访问 HTTPS 网站。

1. 背景

当你使用 mitmproxy 作为 HTTP/HTTPS 代理时，它会自动生成一套自签名 CA，用于重新签发服务端证书。但客户端默认并不信任这套 CA，所以所有走代理的 HTTPS 请求都会因为 unknown ca 而失败。

解决办法就是把 mitmproxy 的根 CA 证书下载下来，并导入到系统信任库中。

2. 通过代理下载证书

mitmproxy 自带一个证书分发页面 http://mitm.it/，你可以直接通过代理访问并获取证书。

假设 mitmproxy 运行在 192.168.157.1:8080，执行：

curl -x http://192.168.157.1:8080 http://mitm.it/cert/pem -o mitmproxy-ca-cert.pem

这条命令会通过代理请求 mitm.it，代理会自动返回它自己的根证书，并保存为 mitmproxy-ca-cert.pem。

3. 安装证书到系统信任库

下载完成后，将证书复制到系统的 CA anchors 目录，并刷新信任库：

mkdir -p /etc/pki/ca-trust/source/anchors/
cp mitmproxy-ca-cert.pem /etc/pki/ca-trust/source/anchors/mitmproxy.crt
update-ca-trust extract

执行完成后，mitmproxy 的根证书就被系统全局信任了

在Windows平台部署SCUM服务器

Mon, 07 Jul 2025 10:54:38 +0800

以下是 EUGameHost Tech Blog 最新版中文翻译与整理，源自其 2025 年 7 月初发布的官方英文指南(eugamehost.com)：

如何部署 SCUM 专属服务器（2025 完整指南）

作者：William Allison → 2025年7月4日

一、前置要求

1. 硬件

最低配置：8 GB RAM（推荐更高以支持高玩家量）
建议：若使用 Mod 或大型配置，建议预留更大资源(eugamehost.com)

2. 网络端口

请确保以下端口已放通并映射至服务器 IP：

端口	协议	用途
7777	UDP	游戏客户端主要连接端口
7778	UDP	原始 UDP 数据流端口（主端口+1）
7779	UDP	Steam 查询端口（主端口+2）
7777	TCP	可选的 RCON 远程控制端口

⚠️ 请避免使用端口区间 27020–27050，以防与 Steam 服务冲突(eugamehost.com)

3. 操作系统与依赖（仅限 Windows）

必须运行 64 位 Windows（SCUMServer.exe 为 64 位应用）
安装以下运行时：

Visual C++ Redistributables（从 2012 到 2022）
DirectX End-User Runtimes(eugamehost.com)

4. SteamCMD

从官方渠道下载并安装 Win 版 SteamCMD

二、服务器安装与更新

安装/更新脚本：`install_update_scum.bat`

@echo off
set INSTALL_DIR=C:\scumserver
set STEAMCMD_DIR=C:\steamcmd

if not exist "%STEAMCMD_DIR%\steamcmd.exe" (
    echo SteamCMD not found in %STEAMCMD_DIR%. Please install it first.
    pause
    exit /b
)

"%STEAMCMD_DIR%\steamcmd.exe" +force_install_dir "%INSTALL_DIR%" +login anonymous +app_update 3792580 validate +quit

echo SCUM Server installed or updated successfully.
pause

将 INSTALL_DIR 和 STEAMCMD_DIR 修改为你的实际路径
每次安装或更新时运行此脚本，确保服务器保持最新(eugamehost.com)

三、启动服务器

在 SCUM\Binaries\Win64\ 文件夹中新建 scum_server.bat：

start SCUMServer.exe -log -port=7777 -MaxPlayers=64

可根据需求调整 -port 和 -MaxPlayers 参数(eugamehost.com)
可选参数：

-nobattleye：禁用 BattlEye 反作弊（不建议）
-queryPort=：自定义查询端口（应为主端口+2）(eugamehost.com)

四、端口映射说明

确保在你的路由器或防火墙规则中映射上述 UDP 与 TCP 端口到服务器本地 IP(eugamehost.com)
（如需帮助，可参考 portforward.com）

五、服务器列表可见性

游戏中使用 IP:端口 收藏你的主机
也可通过 SCUM 内置的社区服务器列表查找
但可见性可能不稳定(eugamehost.com)

六、设置开机自动启动（仅限 Windows）

使用 任务计划程序：

创建基本任务，触发条件设置为系统启动
操作设为运行 scum_server.bat
“起始于”路径设为脚本所在文件夹
在“一般”标签页中：

选择“无论用户是否登录都运行”
勾选“使用最高权限运行”(eugamehost.com)

七、更新机制

更新只需再次运行 install_update_scum.bat
可将此脚本定时加入任务计划程序，建议每天或每周更新一次
更新前请确保服务器已关闭，以免发生文件冲突(eugamehost.com)

八、数据备份

手动备份

停止服务器
进入 C:\scumserver\SCUM\Saved\ 文件夹
复制保存在其他安全目录中(eugamehost.com)

自动备份：`backup_scum.bat`

@echo off
set SERVER_DIR=C:\scumserver
set BACKUP_DIR=D:\scum_backups\%date:~10,4%-%date:~4,2%-%date:~7,2%_%time:~0,2%%time:~3,2%
mkdir "%BACKUP_DIR%"
xcopy "%SERVER_DIR%\SCUM\Saved" "%BACKUP_DIR%" /E /I /Y

建议每日夜间运行
设置“使用最高权限运行”
可选步骤：备份前停止服务器，结束后重启(eugamehost.com)

备份优化建议：

使用 .zip 或其他压缩方式节省空间
自动删除旧备份，避免数据堆积
将数据存储在本地或离线位置，提高安全性(eugamehost.com)

九、故障排查

无法显示服务器：检查防火墙和端口映射
更新失败：重新运行 install_update_scum.bat
RCON 无响应：确认 TCP 7777 已放行(eugamehost.com)

使用 LVM 将系统盘扩容至 500G，并恢复原 /data 数据

Wed, 07 May 2025 00:56:10 +0800

在日常 Linux 系统维护中，随着数据积累，根目录 / 空间容易告急。本文记录了我在一台 Ubuntu 系统中，使用 LVM（逻辑卷管理）将系统盘 / 从原始的 12.5G 扩容至 500G，并安全地从 /dev/sdb 中恢复原 /data 数据的全过程，供参考。

? 背景信息

根分区 / 使用 LVM 管理，原大小为约 13G，磁盘空间已满：

df -h /
# /dev/mapper/ubuntu--vg-ubuntu--lv   13G   12G   58M  100% /

有一块额外的 1.8T 硬盘 /dev/sdb，原挂载为 /data，已备份至 /usb/data

?️ 操作步骤

? 第一步：备份原始 `/data` 数据

确保数据安全是第一位，我将原 /data 内容复制到了另一个 U 盘：

cp -rp /data /usb/data

? 第二步：清理 `/dev/sdb` 原有分区信息

卸载 /data（如果正在使用）：

umount /data

删除旧分区并清除签名：

fdisk /dev/sdb
# 输入 d 删除分区，输入 w 保存
wipefs -a /dev/sdb

? 第三步：将 /dev/sdb 转为 LVM 使用

初始化为物理卷：

pvcreate /dev/sdb

扩展卷组（我的卷组叫 ubuntu-vg）：

vgextend ubuntu-vg /dev/sdb

? 第四步：将系统根卷扩展到 500G

lvextend -L 500G /dev/ubuntu-vg/ubuntu-lv

扩展文件系统（ext4）：

resize2fs /dev/ubuntu-vg/ubuntu-lv

确认结果：

df -h /
# 应显示大小约为 500G

? 第五步：恢复 `/data` 数据

恢复已备份的数据：

mkdir /data
cp -rp /usb/data/* /data/

确认数据恢复无误。

✅ 最终效果

df -h
# / 现在为 500G 大小，空间充足
# /data 目录也已恢复

CentOS 源码环境下 Certbot 安装 + HTTPS 配置完整指南

Sat, 19 Apr 2025 17:31:35 +0800

☑️ 背景信息

系统：CentOS 7
Python：源码安装 Python 3.11，路径 /usr/bin/python3
Nginx：源码安装，配置目录 /usr/local/nginx/conf/nginx.conf
Web 路径：/usr/local/nginx/html/bctc/wordpress
域名：bctc-squad.cn

☑️ 安装 certbot 并解决路径问题

① 确保 Python3 pip3 正常

python3 -m ensurepip --upgrade
python3 -m pip install --upgrade pip

② pip 安装 certbot

pip3 install certbot
pip3 install certbot-nginx

③ 找不到 certbot 输入点

执行 certbot 时报错:

-bash: certbot: command not found

解决办法：搜索 certbot 实际命令位置：

find /usr/python3.11 -type f -name certbot

如果找到：

/usr/python3.11/bin/certbot

创建全局软链接：

ln -s /usr/python3.11/bin/certbot /usr/bin/certbot

此时再执行:

certbot --version

☑️ 签发 SSL 证书

/usr/bin/certbot certonly \
  --webroot \
  -w /usr/local/nginx/html/bctc/wordpress \
  -d bctc-squad.cn

成功后证书保存于:
/etc/letsencrypt/live/bctc-squad.cn/fullchain.pem
/etc/letsencrypt/live/bctc-squad.cn/privkey.pem

☑️ 配置 Nginx 支持 HTTPS

server {
      listen 80;    # 注意需要放开80端口
      server_name *.bctc-squad.cn bctc-squad.cn;
      rewrite ^/(.*)$ https://bctc-squad.cn/$1;
}

server {
    listen 443 ssl;
    server_name bctc-squad.cn;

    ssl_certificate     /etc/letsencrypt/live/bctc-squad.cn/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/bctc-squad.cn/privkey.pem;

    # 其他配置省略
}

重载 Nginx ：

nginx -s reload

☑️ 设置证书自动续签 crontab

crontab -e

推荐版：每两个月一次（使用绝对路径）

0 3 1 */2 * /usr/bin/certbot renew --quiet --post-hook "/usr/local/nginx/sbin/nginx -s reload"

☑️ 结论

这次配置经历了：

certbot 安装位置异常
缺少 main 时无法 python3 -m certbot 运行
手动创建软链接解决 certbot not found
成功签发证书并配置 nginx 支持 https
配置自动续签

这套思路适用于所有使用清空系统或静态 Nginx 环境、自行编译 Python 环境的情况。