在 DevOps 实践中，软件包管理是不可或缺的一环。JFrog Artifactory 作为一款强大的制品管理工具，广泛应用于存储和管理二进制文件。本文简单介绍如何部署 Artifactory 开源版。

主要有客户需要部署这个，简单研究一下，上次用这个还是 4 年前了，新版本部署坑有点多，没老版本丝滑。简单说不如 Nexus，有兴趣的可以看看我之前写的私有化部署 Nexus3 镜像源

镜像

镜像有点点大

docker pull releases-docker.jfrog.io/jfrog/artifactory-oss:7.111.8
# 国内
docker pull ccr.ccs.tencentyun.com/k7scn/artifactory-oss:7.111.8

部署

• docker-compose.yaml

services:
  traefik:
    image: traefik:v3.4
    container_name: traefik
    networks:
      - ysicing-net
    command:
      - "--api=true"
      - "--api.insecure=true"
      - "--api.dashboard=true"
      - "--providers.docker=true"
      - "--providers.docker.exposedbydefault=false"
      - "--entrypoints.http.address=:80"
      - "--providers.docker.network=ysicing-net"
      - "--log.level=INFO"
      - "--accesslog=true"
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.traefik-dashboard.entrypoints=http"
      - "traefik.http.routers.traefik-dashboard.rule=Host(`traefik.192.168.23.16.sslip.io`)"
      - "traefik.http.routers.traefik-dashboard.service=dashboard@internal"
      - "traefik.http.routers.traefik-dashboard-api.entrypoints=http"
      - "traefik.http.routers.traefik-dashboard-api.rule=Host(`traefik.192.168.23.16.sslip.io`) && PathPrefix(`/api`)"
      - "traefik.http.routers.traefik-dashboard-api.service=api@internal"
      - "traefik.http.middlewares.gzip.compress=true"
      - "traefik.http.routers.traefik-dashboard.middlewares=gzip@docker"
    ports:
      - "80:80"
      - "8080:8080"
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock:ro
    restart: always

  artifactorydb:
    image: docker.io/bitnami/postgresql:15
    # image: ccr.ccs.tencentyun.com/k7scn/postgresql:15
    container_name: artifactorydb
    restart: always
    networks:
      - ysicing-net
    volumes:
      - './postgresql:/bitnami/postgresql'
    environment:
      - POSTGRESQL_USERNAME=bn_artifactory
      - POSTGRESQL_DATABASE=bitnami_artifactory
      - POSTGRESQL_PASSWORD=bitnami

  artifactory:
    image: releases-docker.jfrog.io/jfrog/artifactory-oss:7.111.8
    # image: ccr.ccs.tencentyun.com/k7scn/artifactory-oss:7.111.8
    container_name: artifactory
    depends_on:
      - artifactorydb
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.artifactory.rule=Host(`artifactory.192.168.23.16.sslip.io`)"
      - "traefik.http.routers.artifactory.service=artifactory"
      - "traefik.http.services.artifactory.loadbalancer.server.port=8081"
      - "traefik.http.routers.artifactory-ui.service=artifactory-ui"
      - "traefik.http.routers.artifactory-ui.rule=Host(`artifactory-ui.192.168.23.16.sslip.io`)"
      - "traefik.http.services.artifactory-ui.loadbalancer.server.port=8082"
    networks:
      - ysicing-net
    environment:
      - EXTRA_JAVA_OPTIONS=-Dartifactory.home=/var/opt/jfrog/artifactory
      - JF_ROUTER_ENTRYPOINTS_EXTERNALPORT=8082
    # ports:
    #   - 8082:8082 # for router communication
    #   - 8081:8081 # for artifactory communication
    volumes:
      - artifactory_data:/var/opt/jfrog/artifactory
      - /etc/localtime:/etc/localtime:ro
      - ./system.yaml:/opt/jfrog/artifactory/var/etc/system.yaml
    restart: always
    logging:
      driver: json-file
      options:
        max-size: "50m"
        max-file: "10"
    ulimits:
      nproc: 65535
      nofile:
        soft: 32000
        hard: 40000

volumes:
  artifactory_data:
    driver: local

networks:
  ysicing-net:
    name: ysicing-net
    driver: bridge

默认使用 pg 数据库，方便些

创建配置文件 system.yaml

touch system.yaml

创建完配置文件，生成相关配置

shared:
    database:
        type: postgresql
        driver: org.postgresql.Driver
        url: jdbc:postgresql://artifactorydb:5432/bitnami_artifactory
        username: bn_artifactory
        password: bitnami

修改文件权限

chown -R 1030:1030 system.yaml
chmod 644  system.yaml

运行启动

服务非常吃资源，机器配置太低不推荐。

docker compose up -d

访问 Artifactory

地址：artifactory-ui.192.168.23.16.sslip.io
默认的账号密码 ｜ 默认用户名 admin，默认密码 password

总结

没有特殊要求，不推荐。

---

欢迎关注我的微信公众号，可以看看我郑再打工每天都在折腾什么。

在 DevOps 实践中，软件包管理是不可或缺的一环。JFrog Artifactory 作为一款强大的制品管理工具，广泛应用于存储和管理二进制文件。本文简单介绍如何部署 Artifactory 开源版。

主要有客户需要部署这个，简单研究一下，上次用这个还是 4 年前了，新版本部署坑有点多，没老版本丝滑。简单说不如 Nexus，有兴趣的可以看看我之前写的私有化部署 Nexus3 镜像源

镜像

镜像有点点大

docker pull releases-docker.jfrog.io/jfrog/artifactory-oss:7.111.8
# 国内
docker pull ccr.ccs.tencentyun.com/k7scn/artifactory-oss:7.111.8

部署

• docker-compose.yaml

services:
  traefik:
    image: traefik:v3.4
    container_name: traefik
    networks:
      - ysicing-net
    command:
      - "--api=true"
      - "--api.insecure=true"
      - "--api.dashboard=true"
      - "--providers.docker=true"
      - "--providers.docker.exposedbydefault=false"
      - "--entrypoints.http.address=:80"
      - "--providers.docker.network=ysicing-net"
      - "--log.level=INFO"
      - "--accesslog=true"
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.traefik-dashboard.entrypoints=http"
      - "traefik.http.routers.traefik-dashboard.rule=Host(`traefik.192.168.23.16.sslip.io`)"
      - "traefik.http.routers.traefik-dashboard.service=dashboard@internal"
      - "traefik.http.routers.traefik-dashboard-api.entrypoints=http"
      - "traefik.http.routers.traefik-dashboard-api.rule=Host(`traefik.192.168.23.16.sslip.io`) && PathPrefix(`/api`)"
      - "traefik.http.routers.traefik-dashboard-api.service=api@internal"
      - "traefik.http.middlewares.gzip.compress=true"
      - "traefik.http.routers.traefik-dashboard.middlewares=gzip@docker"
    ports:
      - "80:80"
      - "8080:8080"
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock:ro
    restart: always

  artifactorydb:
    image: docker.io/bitnami/postgresql:15
    # image: ccr.ccs.tencentyun.com/k7scn/postgresql:15
    container_name: artifactorydb
    restart: always
    networks:
      - ysicing-net
    volumes:
      - './postgresql:/bitnami/postgresql'
    environment:
      - POSTGRESQL_USERNAME=bn_artifactory
      - POSTGRESQL_DATABASE=bitnami_artifactory
      - POSTGRESQL_PASSWORD=bitnami

  artifactory:
    image: releases-docker.jfrog.io/jfrog/artifactory-oss:7.111.8
    # image: ccr.ccs.tencentyun.com/k7scn/artifactory-oss:7.111.8
    container_name: artifactory
    depends_on:
      - artifactorydb
    labels:
      - "traefik.enable=true"
      - "traefik.http.routers.artifactory.rule=Host(`artifactory.192.168.23.16.sslip.io`)"
      - "traefik.http.routers.artifactory.service=artifactory"
      - "traefik.http.services.artifactory.loadbalancer.server.port=8081"
      - "traefik.http.routers.artifactory-ui.service=artifactory-ui"
      - "traefik.http.routers.artifactory-ui.rule=Host(`artifactory-ui.192.168.23.16.sslip.io`)"
      - "traefik.http.services.artifactory-ui.loadbalancer.server.port=8082"
    networks:
      - ysicing-net
    environment:
      - EXTRA_JAVA_OPTIONS=-Dartifactory.home=/var/opt/jfrog/artifactory
      - JF_ROUTER_ENTRYPOINTS_EXTERNALPORT=8082
    # ports:
    #   - 8082:8082 # for router communication
    #   - 8081:8081 # for artifactory communication
    volumes:
      - artifactory_data:/var/opt/jfrog/artifactory
      - /etc/localtime:/etc/localtime:ro
      - ./system.yaml:/opt/jfrog/artifactory/var/etc/system.yaml
    restart: always
    logging:
      driver: json-file
      options:
        max-size: "50m"
        max-file: "10"
    ulimits:
      nproc: 65535
      nofile:
        soft: 32000
        hard: 40000

volumes:
  artifactory_data:
    driver: local

networks:
  ysicing-net:
    name: ysicing-net
    driver: bridge

默认使用 pg 数据库，方便些

创建配置文件 system.yaml

touch system.yaml

创建完配置文件，生成相关配置

shared:
    database:
        type: postgresql
        driver: org.postgresql.Driver
        url: jdbc:postgresql://artifactorydb:5432/bitnami_artifactory
        username: bn_artifactory
        password: bitnami

修改文件权限

chown -R 1030:1030 system.yaml
chmod 644  system.yaml

运行启动

服务非常吃资源，机器配置太低不推荐。

docker compose up -d

访问 Artifactory

地址：artifactory-ui.192.168.23.16.sslip.io
默认的账号密码 ｜ 默认用户名 admin，默认密码 password

总结

没有特殊要求，不推荐。

---

欢迎关注我的微信公众号，可以看看我郑再打工每天都在折腾什么。

FFmpeg 是一个强大的开源多媒体处理工具，广泛应用于音视频的转换、裁剪、合并、提取等操作。无论是开发、剪辑还是日常处理，掌握 FFmpeg 的常用命令都能极大提升效率。本文整理了一些高频使用的 FFmpeg 命令，方便你快速上手或作为备忘录收藏！

临时需要处理一些上次到群晖 MinIO 的视频，写个流水线自动化处理。温故一下相关命令。

FFmpeg 简介

Fmpeg 是一个跨平台的音视频处理框架，支持几乎所有格式的音视频文件。它功能强大、命令灵活，堪称“音视频处理瑞士军刀”。以下是常见操作的命令合集，建议收藏备用！

常用命令速查

格式转换

将文件从一种格式转换为另一种格式，例如将 MP4 转为 AVI：

ffmpeg -i input.mp4 output.avi

-i：指定输入文件

提示：FFmpeg 会根据输出文件名自动推断目标格式

提取音频

从视频中提取音频，例如提取 MP3

ffmpeg -i input.mp4 -vn -acodec mp3 output.mp3

• -vn：禁用视频流。
• -acodec mp3：指定音频编码为 MP3

截取视频片段

裁剪视频的指定时间段，例如从第 10 秒到第 30 秒：

ffmpeg -i input.mp4 -ss 10 -t 20 output.mp4
# 通常搭配如下
ffmpeg -i input.mp4 -ss 10 -t 20 -c copy output.mp4

• -ss：起始时间（秒或 hh:mm:ss）
• -t：裁剪时长（秒或 hh:mm:ss）
• -c copy：直接复制流，避免重新编码，速度更快

视频截图

ffmpeg -ss 00:20:00 -i "input.mp4" -vframes 1 "01.jpg"

视频压缩

压缩视频文件大小，调整比特率：

ffmpeg -i input.mp4 -vcodec libx264 -b:v 1000k output.mp4

• -b:v：设置视频比特率，值越低压缩越高，但画质可能下降

调整视频分辨率

将视频缩放到指定分辨率，例如 1280x720：

ffmpeg -i input.mp4 -vf scale=1280:720 output.mp4

• -vf scale：设置缩放参数

转换帧率

更改视频帧率，例如从 60fps 转为 24fps：

ffmpeg -i input.mp4 -r 24 output.mp4

• -r：设置目标帧率

例如 h264 编码无损转换至 h265 编码

ffmpeg -c:v h264_cuvid -i input.mp4 -c:v hevc_nvenc -r 24 -c:a copy -x265-params lossless=1 output.mp4;

提取视频帧

将视频转为图片序列，例如每秒提取一帧：

ffmpeg -i input.mp4 -vf fps=1 frame_%04d.png

• %04d：生成文件名递增，如 frame_0001.png

查看文件信息

快速查看音视频文件的详细信息：

ffmpeg -i input.mp4

输出包含编码格式、分辨率、时长等详细信息

通常如下所用一键输出视频的编码、帧率、码率

codec=$(ffprobe -v error -select_streams v:0 -show_entries stream=codec_name -of default=noprint_wrappers=1:nokey=1 input.mp4)
r_frame_rate=$(ffprobe -v error -select_streams v:0 -show_entries stream=r_frame_rate -of default=noprint_wrappers=1:nokey=1 input.mp4)
bit_rate=$(ffprobe -v error -select_streams v:0 -show_entries stream=bit_rate -of default=noprint_wrappers=1:nokey=1 input.mp4)
echo -e "$codec\t$r_frame_rate\t$bit_rate\tinput.mp4"

视频合并

将多个视频文件合并为一个（需确保分辨率、编码一致）：

# 创建文件列表 mv.txt
echo "file 'input1.mp4'" > mv.txt
echo "file 'input2.mp4'" >> mv.txt
ffmpeg -f concat -i mv.txt -c copy output.mp4

这个没用过，仅供参考

实用技巧与注意事项

• Linux：apt install ffmpeg（Debian）
• macOS：brew install ffmpeg

我仅在这两个环境实操过，其他环境可以参考官方文档，类似文档很详细了

另外结合脚本语言很方便，例如 bash

写在最后

FFmpeg 的功能远不止这些，熟练使用后，你可以轻松应对音视频处理的各种场。对于我而言，掌握基本功能从视频中导出音频文件使用就行(大部分还用不上，因为还有一些第三方工具帮你自动一键搞定)

---

欢迎关注我的微信公众号。

近日，MinIO 社区版迎来重大更新，删除了 11 万行代码，彻底移除 Web 管理控制台功能，官方称此举为“精简代码，专注核心存储功能”。这一决定引发社区热议，对用户体验和项目生态造成显著影响。本文将深入剖析这一变化的细节、影响及社区反应。

Web 管理功能移除的影响

MinIO 作为一款高性能分布式对象存储系统，因其 S3 协议兼容性和易用性深受开发者喜爱。其 Web 管理控制台是社区版的核心功能，支持存储桶管理、文件浏览和权限配置，极大降低了操作门槛，尤其适合：

• 非技术用户：通过直观界面快速上手，减少对命令行的依赖
• 团队协作：便捷管理存储资源，提升效率
• 实时监控：查看文件列表、使用量等存储状态

然而，新版本将 Web 控制台的核心管理功能(包括用户账户管理、访问策略配置、存储桶管理和系统配置)全部移除，官方推荐使用 mc 命令行工具替代。相比可视化界面，mc 命令行工具对新手不够友好，且在快速调试和监控场景下效率较低。

新老控制台对比

被移除的具体功能

此次更新几乎清空了 Web 管理控制台的功能，仅保留基本的对象浏览能力。以下是主要受影响的模块：

• 账户与策略管理
  • 移除用户账户创建、访问密钥管理和策略设置功能
  • OIDC 单点登录等高级认证功能被砍，用户只能使用管理员初始账户登录，无法通过界面创建新访问密钥
• 配置与集群管理
  • 无法通过界面查看或修改服务器配置、后端存储设置及集群状态
  • 所有实例调整和服务监控需依赖命令行或 API
• 存储桶管理
  • 删除新建存储桶、设置策略、版本控制和生命周期规则的界面功能
  • Web 界面退化为纯对象浏览器，仅支持列出存储桶及文件
• 其他功能
  • 服务器信息仪表盘、多节点集群视图、日志和通知配置等管理功能全部移除

简言之，新版 Web 界面已不再是管理控制台，而是一个功能极简的文件浏览器。用户被迫转向 mc 命令行工具完成所有管理任务，操作门槛显著提高

受影响的版本

• 2025.4.22 版本是最后一个保留完整控制台功能的版本, 可用镜像 ccr.ccs.tencentyun.com/k7scn/minio:2025.4.22
• 2025.5.24 版本则包含了删除控制台功能的改动(MinIO 官方在发布说明的 “重要事项” 中明确提到嵌入式 Web 控制台（Console）已被弃用，并移至独立的 object-browser 项目)

社区反应与讨论

MinIO 官方称，删除 11 万行代码旨在优化性能、聚焦核心存储功能。然而，Web 控制台资源占用较低，维护成本有限，社区对这一理由普遍质疑。相比之下，MinIO 商用版保留了完整的 Web 管理功能，功能更强大，引发了“社区版精简是为了推销商用版”的猜测

X 平台和 Reddit 等社区反馈显示，开发者认为这是开源项目商业化的常见策略：通过削减免费版功能，引导用户转向付费版本。部分用户甚至称此次更新为特洛伊木马式更新，批评官方未提供过渡方案，给中小团队带来额外适配成本

作为回应，社区迅速行动:

• 启动 OpenMaxIO 分支项目，试图恢复被移除的功能
• SeaweedFS 和 Garage 等替代方案获得更多关注

结语

MinIO 社区版移除 Web 管理功能的决定，削弱了其易用性和吸引力。开源项目的核心在于平衡社区需求与商业利益，MinIO 的后续决策将直接影响其在对象存储领域的地位。对于依赖 Web 控制台的团队，建议暂时停留在 2025.4.22 版本，或探索其他替代方案。

---

欢迎关注，可以看看我郑再打工每天都在折腾什么。

各位小伙伴！今天给大家安利一款超硬核、超上头的模拟经营类游戏——缺氧(Oxygen Not Included)！ 如果你喜欢挑战脑力、沉浸式体验和无限可能的建造乐趣，这款游戏绝对不容错过！

缺氧是由 Klei Entertainment（饥荒开发商）打造的一款生存模拟类游戏。玩家需要在一个地下星球中管理一群可爱的小人（复制人），通过建造基地、分配资源、应对环境危机，让他们在缺氧、缺食、缺电的恶劣环境中存活下来！

特点

• 超高自由度的建造体验
  在游戏中，你可以自由规划地下基地，设计复杂的管道、电力和氧气系统。想建一个自给自足的生态圈？还是一个高科技的自动化基地？全看你的脑洞！从简单的茅厕到复杂的核反应堆，建造过程既烧脑又满足
• 硬核的资源管理
  氧气、食物、水、能源、温度……每一项资源都需要你精打细算。稍有不慎，小人可能会因为缺氧窒息、食物中毒，甚至被高温烫伤
• 随机生成的挑战
  每次开局的地图和资源分布都不相同，随机事件（如陨石雨、火山喷发）让每一局都充满新鲜感。你需要根据环境灵活调整策略，永远不会觉得无聊
• 丰富的 MOD 支持
  社区 MOD 丰富多样，从增加新建筑到优化游戏体验，应有尽有！无论你是想降低难度还是挑战极限，都能找到适合自己的玩法

我的玩法开局看水和铜多不多，不多重开

适合人群

• 喜欢模拟经营
• 热衷挑战的硬核玩家：喜欢烧脑、追求极限生存
• 创意玩家：想打造独一无二的地下乌托邦

当然耐心很重要, 同时要有自我控制能力，因为很容易肝上头

入手性价比

推荐直接购买缺氧完整包, 我上个月入手大概不到 90CNY。

缺氧完整包

推荐购买正版，请勿相信廉价购买，谨防虚假入库，导致游戏和钱两失。

新手建议

• 前期多关注氧气和食物，善用“暂停”功能规划基地
• 游戏上手稍有难度，但官方有中文支持，社区教程也超多，入门后根本停不下来
• 多在 B 站搜搜相关教程
• 早期多重开几次就会玩了。

官方介绍节选

• 建立广阔的基地以及探索生存所需的资源：
  从挖掘、资源分配到管道、电力系统，太空殖民地的一切都在你的掌控之下。然而，资源会从你第一次呼吸开始被消耗 ，所以如果你想生存下来的话，就一定要确保你探索得够快。
  
• 伴随着压力模拟的精神状态问题
  给你的殖民地提供娱乐休闲活动、优越的住宿条件和更好的食物，来保证生存不会受到精神状态的影响。每个复制人之间都有差异，会对压力做出不同的潜在破坏性反应。 所以不管付出什么代价，一定要确保他们拥有愉悦的心情
  
• 用复杂的气体和液体模拟系统来提高效率
  建立一个连锁的管道系统，可以迅速的将燃料和液体输送到基地的关键区域。优质的规划以及获得的加成可以让你的殖民地转变成一个运转良好的不朽机器
  
• 通过电网模拟系统来获得电力：
  你可以通过众多不同的能源来获得电力，包括煤，氢，天然气或者仅仅是朴实老旧的油脂。修复电力流失，电路过载和崩溃问题以保持你殖民地的顺利运行
  

---

欢迎关注，可以看看我郑再打工每天都在折腾什么。

K3s 作为轻量级 Kubernetes 发行版，以其高效、简洁的特性深受开发者与运维人员喜爱。但手动升级 K3s 集群可能是个繁琐的任务，幸好有 System Upgrade Controller！这个工具能让你的 K3s 集群实现自动化、无宕机升级，省时又省心。本文将带你了解 System Upgrade Controller 的魅力，并提供简洁的部署步骤，让你的集群管理更轻松！

主要用于升级 k3s 集群节点上的服务，不仅仅局限于 k3s 服务本身。

简介

System Upgrade Controller 是 Rancher 开发的一个自动化升级工具。它通过 Kubernetes 原生资源（如 Plan）管理节点和 K3s 版本的升级，核心优势包括:

• 自动化：一键配置，自动完成 K3s 版本升级
• 零宕机：逐节点升级，确保服务不中断
• 灵活性：支持自定义升级策略，适配各种集群规模
• 轻量高效：与 K3s 的低资源占用理念完美契合

如果你想让 K3s 集群保持最新或者减少运维负担，绝对值得一试！

项目地址:

• https://github.com/rancher/system-upgrade-controller

在 K3s 上部署

以下是快速部署 System Upgrade Controller 的步骤，简单易上手

kubectl apply -f https://raw.githubusercontent.com/rancher/system-upgrade-controller/master/manifests/system-upgrade-controller.yaml

或者

kubectl apply -k github.com/rancher/system-upgrade-controller

服务控制器默认会部署到 system-upgrade 命名空间下

kubectl get deploy -n system-upgrade
NAME                        READY   UP-TO-DATE   AVAILABLE   AGE
system-upgrade-controller   1/1     1            1           335d

使用场景

常见使用如下，由于权限极高，操作时需要确保重复执行没影响。

• 升级 k3s 本身
• 升级 k3s 集群节点服务

升级 k3s 服务

由于我现在的环境特殊，只有一个 master 节点，每次跨版本升级 master 节点都是先手动升级到最新版本，然后在使用下面的命令升级计算节点。(保障至少 1 个控制节点版本是最新的)

---
apiVersion: v1
kind: Secret
metadata:
  name: k3s1306
  namespace: system-upgrade
type: Opaque
stringData:
  upgrade.sh: |
    #!/bin/bash

    set -x

    binfile=$(command -v k3s)

    $binfile -v | grep "v1.30.6" && (
      echo "done"
      exit 0
    ) || (
      wget https://c.ysicing.net/oss/tiga/linux/amd64/k3s
      chmod +x k3s
      mv k3s $binfile && systemctl restart k3s
    )
---
apiVersion: upgrade.cattle.io/v1
kind: Plan
metadata:
  name: k3s1306
  namespace: system-upgrade
spec:
  concurrency: 3
  nodeSelector:
    matchExpressions:
      - {key: kubernetes.io/os, operator: Exists}
  tolerations:
  - {operator: Exists}
  serviceAccountName: system-upgrade
  secrets:
    - name: k3s1306
      path: /host/run/system-upgrade/secrets/k3s1306
  cordon: false
  version: latest
  upgrade:
    image: hub.ysicing.net/ysicing/debian-upgrade:20230909
    command: ["chroot", "/host"]
    args: ["sh", "/run/system-upgrade/secrets/k3s1306/upgrade.sh"]

想了解更多官方的姿势，可以参考

• k3s-io/k3s-upgrade
• examples/k3s-upgrade.yaml

升级集群服务

• 升级 tailscale 服务

---
apiVersion: v1
kind: Secret
metadata:
  name: ts-script
  namespace: system-upgrade
type: Opaque
stringData:
  upgrade.sh: |
    #!/bin/bash

    set -x
    if tailscale version 2>/dev/null | grep -q "1.82.5"; then
        echo "Tailscale 1.82.5 already installed"
        exit 0
    fi
    export DEBIAN_FRONTEND=noninteractive
    apt-get update -qq
    apt-get install -y --no-install-recommends tailscale
---
apiVersion: upgrade.cattle.io/v1
kind: Plan
metadata:
  name: ts1825
  namespace: system-upgrade
spec:
  concurrency: 1
  nodeSelector:
    matchExpressions:
      - {key: kubernetes.io/os, operator: Exists}
  tolerations:
  - {operator: Exists}
  serviceAccountName: system-upgrade
  secrets:
    - name: ts-script
      path: /host/run/system-upgrade/secrets/ts-script
  cordon: false
  version: latest
  upgrade:
    image: hub.ysicing.net/ysicing/debian-upgrade:20230909
    command: ["chroot", "/host"]
    args: ["sh", "/run/system-upgrade/secrets/ts-script/upgrade.sh"]

• 升级 easytier

---
apiVersion: v1
kind: Secret
metadata:
  name: debian
  namespace: system-upgrade
type: Opaque
stringData:
  upgrade.sh: |
    #!/bin/sh
    set -e
    if easytier-core -V 2>/dev/null | grep -q "2.2.4"; then
        echo "easytier 2.2.4 already installed"
        exit 0
    fi
    apt-get --assume-yes update
    DEBIAN_FRONTEND=noninteractive apt-get dist-upgrade --assume-yes
    curl https://c.ysicing.net/oss/scripts/easytier.sh | bash
---
apiVersion: upgrade.cattle.io/v1
kind: Plan
metadata:
  name: debian-25021514
  namespace: system-upgrade
spec:
  concurrency: 3
  nodeSelector:
    matchExpressions:
      - {key: kubernetes.io/os, operator: Exists}
  tolerations:
  - {operator: Exists}
  serviceAccountName: system-upgrade
  secrets:
    - name: debian
      path: /host/run/system-upgrade/secrets/debian
  cordon: false
  version: latest
  upgrade:
    image: ysicing/debian
    command: ["chroot", "/host"]
    args: ["sh", "/run/system-upgrade/secrets/debian/upgrade.sh"]

通过上面 3 个例子，其实就是帮你去每个节点执行相关脚本，如果你有大量类似的重复的工作，System Upgrade Controller 就是个绝佳的运维工具，它让版本管理变得简单、高效、无忧，显著提升你的运维体验。

---

欢迎关注，可以看看我郑再打工每天都在折腾什么。

在 AI 技术席卷全球的今天，图像生成工具正成为内容创作者、设计师和营销人员的得力助手。Raphael AI 作为全球首款完全免费、无限制、无需注册登录的 AI 图像生成器，以其强大的功能和便捷的操作，迅速在创意圈掀起热潮。

今天偶然看到的，有免费额度的 AI 图片生成器。适合生成配图或者插图，用来生成封面感觉还差点意思，和即梦效果差不多。

Raphael AI 是什么？

Raphael AI 是一款基于先进的 FLUX.1-Dev 模型打造的 AI 图像生成工具，用户只需输入文字描述（提示词），即可在几秒钟内生成高质量、多风格的图像。它的核心优势在于：

• 完全免费, 零成本创作：无使用次数限制，无需注册或登录，打开网页即可创作
• 多样化风格：支持写实摄影、动漫、油画、数字艺术等多种艺术风格
• 快速生成：优化的推理管道确保几秒内出图，效率惊人
• 隐私保护：零数据保留政策，提示词和生成图像不存储于服务器，保障用户隐私
• 商业用途：生成图像无水印，可自由用于个人或商业项目
• 一定质量保障：由 FLUX.1-Dev 模型驱动，提供具有卓越细节和艺术风格控制的照片级逼真图像；高级文本理解

对比国内大模型，我觉得是优势功能的都标注了。为啥说一定质量保障，因为高质量需要订阅才行 😄

测试

英文提示词

Humorous and funny style, preferably with a purple-haired Japanese anime girl holding a sign that says, "I need 66 more followers to reach 1000, please subscribe."

选择一个，其他都略微有些瑕疵

中文提示词

幽默搞笑风, 最好有个紫色头发日漫妹子举牌子，牌子上写着「我还有 66 个粉丝才满 1000，请求订阅」》

总结

官方建议: 请用英文输入提示词以获得最佳效果

经过实操，确实英文提示词要比中文好多了，可能我问的方式仅在 ChatGPT 上实验良好。

官方也提供了一些灵感示例提示词，点击相关图片就可以查看其他人的提示词

再次实操一下，发现生成 SB 比缘生更简单哈哈哈

生成: Cute chubby Pikachu on the grass, surrounded by small white flowers, with the two Chinese characters "SB" written on Pikachu's belly, soft pastel anime style

官网

• raphael.app

---

今天看到这个消息推送，之前也遇到过这种情况，这个简单写下如何解决，当个精神美国佬

背景

受限于某些特殊环境或者边缘因素影响，国内是没法正常使用 Google AI 相关的产品的。（默认你已经可以访问 Google AI 等产品了）

接下来给的几种方式，都可以尝试

修改浏览器默认语言

这个跟之前 Github 默认禁止中文用户访问类似，检查你的请求头 accept-language 信息

示例修改 Edge 默认首选语言为英语即可，生效后随便访问一个网站开发者工具查看请求头或者支持切换语言的网站打开是否为英文

如果你的账号没问题了，通常打开那些网站就可以正常使用了。如果还不行，可能就是账号问题了

当然也会带来一些问题，你打开所有支持多语言的网站都会默认使用英文，影响也不大

申请谷歌账号地区修改

有可能，你很早之前就注册了谷歌账号，地区选的中国

查看账号绑定的地区 https://policies.google.com/terms

换区操作

找对入口，其实也很简单，通常我们都选择美区，精神美国佬，社会大学生, 部分 AI 功能暂时只对美区开发。

换区入口 https://policies.google.com/country-association-form

理由选择其他原因，听劝

好了，其他就是基本要求了，自行准备就行。

• https://stitch.withgoogle.com
• https://jules.google

对了，这两个我港区的小号也是可以正常访问的。

PS: 大佬们都买了 Google One Ultra 没？

---

这个项目很早之前就关注过, 那时还没提供 Dockerfile😁

简介

Drawnix 是一款基于 Plait 框架打造的免费开源白板工具，提供思维导图、流程图和自由绘画等功能。依托插件化架构，用户能够随需扩展多种交互组件。每一次操作都能实时保存至浏览器缓存，确保内容不丢失。

核心特性

• 多样化绘图模式
  • 支持思维导图、流程图与自由画笔，满足不同场景需求
  • 可插入图片，通过简单拖拽丰富画面
• 高效编辑体验
  • 撤销、重做、复制与粘贴操作流畅
  • 自动保存功能避免意外丢失(浏览器缓存)
• 无限画布与导出能力
  • 通过缩放与滚动打造无边界创作空间
  • 可将画布导出为 PNG 或 JSON(.drawnix) 文件
• 插件机制与兼容性
  • 插件架构支持 Angular、React 等多种 UI 框架
  • 自带 Slate 富文本扩展，后续可接入更多文本编辑插件
  • 未来可通过社区插件实现更多应用场景

项目

• 代码仓库 plait-board/drawnix
• 官方演示站 drawnix.com

名称灵感

Drawnix ，源于绘画( Draw )与凤凰( Phoenix )的灵感交织。
凤凰象征着生生不息的创造力，而 Draw 代表着人类最原始的表达方式。在这里，每一次创作都是一次艺术的涅槃，每一笔绘画都是灵感的重生。
创意如同凤凰，浴火方能重生，而 Drawnix 要做技术与创意之火的守护者。
Draw Beyond, Rise Above.

与 Plait 框架的深度结合

Drawnix 底层依托作者公司开源的 Plait 画图框架，这是知识库产品的重要技术沉淀。两者紧密结合让开发者享受“一键开箱即用”的便捷，同时还能在业务分层中灵活装载自定义插件。

这款工具不仅是面向个人创作者，同样适用于团队协作与在线教学。无限画布中，每一次涂抹都让构思变得更生动、更立体，技术与想象力在此汇合，带来前所未有的白板体验。

私有化部署

作者已经提供了 Dockerfile，基于此 Dockerfile，我构建了一个镜像, 默认监听 80 端口，除此外无特殊配置

• ccr.ccs.tencentyun.com/k7scn/drawnix 基于此97ab1d4构建完成

compose 部署

• docker-compose.yaml

services:
  drawnix:
    image: ccr.ccs.tencentyun.com/k7scn/drawnix
    container_name: drawnix
    ports:
      - '100.90.80.15:8088:80'
    restart: always

然后配置 caddy 代理即可。

k3s 部署

我主要使用 k3s 部署，对外访问使用 cft

• drawnix.yaml

---
apiVersion: apps.kruise.io/v1alpha1
kind: CloneSet
metadata:
  labels:
    app: drawnix
  name: drawnix
  namespace: kc-system
spec:
  replicas: 1
  selector:
    matchLabels:
      app: drawnix
  updateStrategy:
    type: InPlaceIfPossible
  template:
    metadata:
      labels:
        app: drawnix
    spec:
      tolerations:
      - operator: Exists
      nodeSelector:
        node-role.kubernetes.io/kc: "true"
      containers:
      - image: tcr.china.12306.work/github/drawnix
        imagePullPolicy: Always
        name: drawnix
        ports:
        - containerPort: 80
          protocol: TCP
        resources:
          requests:
            cpu: 100m
            memory: 128Mi
      restartPolicy: Always
---
apiVersion: v1
kind: Service
metadata:
  labels:
    app: drawnix
  name: drawnix
  namespace: kc-system
spec:
  ports:
  - name: http
    port: 80
    protocol: TCP
    targetPort: 80
  selector:
    app: drawnix
  type: ClusterIP

apply 之后，在 cfd tunnel 管理页添加公共主机名

演示站

欢迎自建，不保证 SLA，暂时不知道开源版与官方演示有什么区别。

• bbht.012321.best

---

欢迎订阅我的微信公众号，同步更新 😁

在快节奏的软件开发世界中，高效的代码托管和自动化部署是每个开发团队的追求。你是否曾为繁琐的 CI/CD 流程而头疼？是否希望有一个简单易用、功能强大的平台来管理你的代码和流水线？今天，我们为你介绍一款开源神器——Gitness，它将彻底改变你的开发体验。

作为 Drone 和 Gitness 深度定制用户，我还值得很推荐的。

什么是 Gitness

Gitness 是一个集代码托管与自动化 DevOps 流水线于一体的开源开发平台。作为 Drone CI 的下一代产品，Gitness 不仅保留了强大的持续集成（CI）功能，还新增了源代码托管能力，支持本地部署和 Docker 容器化运行。无论是个人开发者还是小型团队，Gitness 都能提供灵活、高效的解决方案。

核心亮点

• 一体化平台：代码托管 + CI/CD 流水线 + 制品库
• 用户友好：提供直观的 UI 界面、REST API，满足不同开发者的使用习惯
• 灵活部署：支持私有化本地部署
• 开源免费：完全开源，社区驱动，适合预算有限的团队(非常适合个人用户)

对比 Drone、Woodpecker

• 目前支持 Runner 有限，仅支持 docker
• 新增的制品库支持的种类相对比较少，常见的 Docker、Helm 是没问题的
• 目前数据库仅支持 PG、Sqlite3
• 流水线
  • 日志相比较 v2 仅支持存储到数据库，暂不支持存储到对象存储
  • 不支持重复执行(如定时、失败重试)
  • 流水线语法变更，相比较 Drone、Woodpecker 等 v2 版本的语法，功能缺少较多，但是满足基本使用
• 代码仓库功能完善，日常使用是没问题

部署

环境变量配置

目前官方文档未提供，需要参考官方文档 harness/harness#config.go

部署

镜像：

• harness/harness:unstable
• 国内镜像 ccr.ccs.tencentyun.com/k7scn/harness:unstable
• docker-compose.yaml

services:

  gitness:
    image: harness/harness:unstable
    container_name: gitness
    restart: always
    ports:
      - "3000:3000"
      - "3022:3022"
    volumes:
      - /data/gitness:/data
      - /var/run/docker.sock:/var/run/docker.sock
    environment:
      - GITNESS_DEBUG=true
      - GITNESS_TRACE=true
      - GITNESS_GIT_TRACE=true
      - GITNESS_GIT_DEFAULTBRANCH=master
      - GITNESS_WEBHOOK_ALLOW_LOOPBACK=true
      - GITNESS_WEBHOOK_ALLOW_PRIVATE_NETWORK=true
      - GITNESS_METRIC_ENABLED=false
      - GITNESS_PRINCIPAL_ADMIN_UID=ysicing
      - GITNESS_PRINCIPAL_ADMIN_DISPLAY_NAME=ysicing
      - GITNESS_PRINCIPAL_ADMIN_EMAIL=ysicing@12306.work
      - GITNESS_PRINCIPAL_ADMIN_PASSWORD=ysicing
#     - GITNESS_SMTP_HOST=
#     - GITNESS_SMTP_PORT
#     - GITNESS_SMTP_USERNAME
#     - GITNESS_SMTP_PASSWORD
#     - GITNESS_SMTP_FROM_MAIL
#     - GITNESS_SMTP_INSECURE
      - GITNESS_GITSPACE_DEFAULT_BASE_IMAGE=ccr.ccs.tencentyun.com/k7scn/base:dev-ubuntu-24.04
      - GITNESS_UI_SHOW_PLUGIN=true
      - GITNESS_URL_GIT=http://192.168.23.16:3000/git
      - GITNESS_URL_UI=http://192.168.23.16:3000
      - GITNESS_URL_API=http://192.168.23.16:3000/api
      - GITNESS_URL_GIT_SSH=ssh://192.168.23.16
      - GITNESS_SSH_ENABLE=true
#      - GITFOX_SSH_PORT=3022
#      - GITNESS_CI_PARALLEL_WORKERS=2
#      - GITNESS_GIT_ROOT
      - GITNESS_CI_PLUGINS_ZIP_URL=https://c.ysicing.net/oss/offline/master.zip

部署完成，使用 IP:3000 访问. 账号密码需要使用设置的 GITNESS_PRINCIPAL_ADMIN_UID 和 GITNESS_PRINCIPAL_ADMIN_PASSWORD

目前配置参数过多，稍微配置不对还可能有 bug。针对这个

• 我司会开源 GitFox，基于 Gitness 定制的 fork 版本，一些额外特性功能的补充(企业、与禅道的联动)
• 我个人也维护了一套 Gitness 的魔改版本 Gitless，在上游的版本增加了个人开发者常用的特性(仅从我个人使用)

使用说明

这里简单过一些，后面会专门写一些文章介绍一下。

创建组织

对应其他 Git 服务的组织(ORG/GROUP)

创建仓库

流水线

执行流水线，目前支持部分 drone 插件，基本可以拿来就用如果熟悉 drone 和 gitness 的流水线语法的话

制品仓库

目前支持如下，感觉是借鉴了 Nexus，基本已经覆盖了日常使用。

WebIDE

总结

Gitness 不仅是一款工具，更是开发者高效协作的伙伴。无论你是追求极致效率的个人开发者，还是需要稳定流水线的小型企业团队，Gitness 都能满足你的需求。不过有一说一，目前 Gitness 还是处于快速发展阶段，有 Bug 是正常不过的事，但是基本功能还是没啥问题的。其次他们开源版本支持力度不是那么紧急，更多的还是服务他们的 SAAS 产品。

---

昨天升级 Nexus3 翻车了，准备基于 PG 重新搭建 Nexus3 源，并移除一些不用的软件源, 新版软件源支持如下

环境要求

• 机器配置至少 2C4G
• 网络要好，推荐境外机器部署
• 大硬盘可选(不代理 py 等还好)

部署

nexus 服务

使用 compose 或者 k8s，原理差不多，我的环境使用 k3s。

• docker-compose.yaml

services:
  nexus3:
    image: sonatype/nexus3:latest
    container_name: nexus3
    restart: always
    ports:
      - "8081:8081"
    environment:
      - INSTALL4J_ADD_VM_PARAMS=-Xms2703m -Xmx4G -XX:MaxDirectMemorySize=2703m -Djava.util.prefs.userRoot=/nexus-data/javaprefs
      - NEXUS_DATASTORE_ENABLED=true
      - NEXUS_DATASTORE_NEXUS_JDBCURL=jdbc:postgresql://postgres:5432/nexus3
      - NEXUS_DATASTORE_NEXUS_USERNAME=oup44Fai4ta
      - NEXUS_DATASTORE_NEXUS_PASSWORD=ienah9eiquah7GeiMaengeitie5aeq66
    volumes:
      - /data/nexus/nexusdata:/nexus-data
    depends_on:
      - postgres

  postgres:
    image: bitnami/postgresql:17
    container_name: postgres
    environment:
      - POSTGRESQL_DATABASE=nexus3
      - POSTGRESQL_USERNAME=oup44Fai4ta
      - POSTGRESQL_PASSWORD=ienah9eiquah7GeiMaengeitie5aeq66
    volumes:
      - /data/nexus/postgres:/bitnami/postgresql
    restart: always

在启动前，先创建好目录，并给予权限

mkdir -p /data/nexus/postgres /data/nexus/nexusdata
chmod 777 /data/nexus -R

然后启动, 访问 ip:8081 即可

docker compose up -d

配置 caddy

mirrors.china.12306.work {
	import LOG "/var/log/caddy/mirrors.log"
	@rootOrIndex {
		path /
		path /index.html
		path /mirror.css
		path /.help*
	}

	handle @rootOrIndex {
		file_server {
			hide .git
			root /etc/caddy/pages/mirrors
		}
	}
	reverse_proxy http://100.90.80.3:8081
}

样式我从网易镜像源借鉴来的

目前支持的软件

本文档由 ysicing 收集整理, 希望能对国内开源软件用户有所帮助.

仅列出部分核心软件包:

• tailscale
• caddy
• docker-ce
• postgresql
• trivy

为什么没有我用的软件包?因为我暂时用不上, 有好的想法可以联系我.

---

docker 从 3.70.x 及以下版本升级 3.71.x 及以上版本出现旧数据库不支持错误

官方也很细心给了一份升级文档 upgrading-to-nexus-repository-3-71-0-and-beyond

由于我使用的也是官方镜像，社区也有人给出了解决方案 sonatype/nexus-public#51

友情提示，操作前需要备份持久化数据，避免升级失败，建议先阅读文尾后再参考我的升级

创建 nexus 备份文件

• 设置-系统-任务-创建任务

• 搜索 Backup，选择它

• 创建一下手动触发的任务，备份路径 /nexus-data/backup 就行

• 创建完任务后，点击 backup 任务运行

• 触发备份

• 等待备份完成

不放心，也可以进容器内，看一下：

19:56 ➜  ~ kubectl exec -it pods/nexus3-859bb76886-mc29s -n nat -- bash
bash-4.4$ ls
nexus  sonatype-work  start-nexus-repository-manager.sh
bash-4.4$ cd /nexus-data/
bash-4.4$ ls
backup	blobs  cache  db  elasticsearch  etc  generated-bundles  instances  javaprefs  kar  karaf.pid  keystores  lock	log  orient  port  restore-from-backup	tmp
bash-4.4$ cd backup/
bash-4.4$ ls
analytics-2025-05-16-11-56-22-3.70.1-02.bak  component-2025-05-16-11-56-22-3.70.1-02.bak  config-2025-05-16-11-56-22-3.70.1-02.bak  security-2025-05-16-11-56-22-3.70.1-02.bak
bash-4.4$ exit

示例是 k8s 方式，docker 部署也是类似。

数据迁移

查询对应 nexus-db-migrator 迁移工具

需要下载和你 Nexus 版本匹配的 nexus-db-migrator 工具， 最新版本下载 nexus-db-migrator, 目前最新版本是 3.70.4-02

大概格式如下:

https://download.sonatype.com/nexus/nxrm3-migrator/nexus-db-migrator-<version版本号>.jar

由于我的版本是 3.70.1-02, 选择下载

https://sonatype-download.global.ssl.fastly.net/repository/downloads-prod-group/nxrm3-migrator/nexus-db-migrator-3.70.1-03.jar

可能你对应的版本不存在，可以尝试改 patch 版本，实在不行你就先升级到 3.70.4 最新版本

再次提醒版本一定要匹配上

操作

进入容器内部操作，方便起见, 确保在 /nexus-data/backup 目录下

bash-4.4$ pwd
/nexus-data/backup

下载迁移工具，或者同步到容器内也行(网络不好的情况下)

curl -s -L -O https://sonatype-download.global.ssl.fastly.net/repository/downloads-prod-group/nxrm3-migrator/nexus-db-migrator-3.70.1-03.jar

停 nexus 服务

/opt/sonatype/nexus/bin/nexus stop

执行迁移操作，将数据迁移到 H2 数据库，根据数据量和配置灵活调整 -Xmx4G -Xms4G 值，这里条件有限默认 4G, 执行完成如下图

java -Xmx4G -Xms4G -XX:+UseG1GC -XX:MaxDirectMemorySize=28672M -jar nexus-db-migrator-3.70.1-03.jar --migration_type=h2

再次停 nexus 服务

bash-4.4$ /opt/sonatype/nexus/bin/nexus stop
Shutting down nexus
nexus is not running.

查看迁移的数据

bash-4.4$ ls -ahl nexus.mv.db
-rw-r--r-- 1 nexus nexus 320K May 16 12:19 nexus.mv.db

将迁移的数据文件复制到 db 文件夹中

cp nexus.mv.db /nexus-data/db

然后退出容器

销毁容器

• compose 部署

docker compose down nexus3

• k8s 部署副本改成 0

kubectl scale --replicas 0 deploy/nexus3 -n nat

编辑配置文件

为啥不在容器里编辑，啥工具都没有不方便，而且这个配置持久化了

• 默认配置如下 old

root@nat3:/data/k8s/local/nexus3/etc# cat nexus.properties
# Jetty section
# application-port=8081
# application-host=0.0.0.0
# nexus-args=${jetty.etc}/jetty.xml,${jetty.etc}/jetty-http.xml,${jetty.etc}/jetty-requestlog.xml
# nexus-context-path=/${NEXUS_CONTEXT}

# Nexus section
# nexus-edition=nexus-pro-edition
# nexus-features=\
#  nexus-pro-feature

# nexus.hazelcast.discovery.isEnabled=true

• 新增 nexus.datastore.enabled=true, 新配置如下

root@nat3:/data/k8s/local/nexus3/etc# cat nexus.properties
# Jetty section
# application-port=8081
# application-host=0.0.0.0
# nexus-args=${jetty.etc}/jetty.xml,${jetty.etc}/jetty-http.xml,${jetty.etc}/jetty-requestlog.xml
# nexus-context-path=/${NEXUS_CONTEXT}

# Nexus section
# nexus-edition=nexus-pro-edition
# nexus-features=\
#  nexus-pro-feature

# nexus.hazelcast.discovery.isEnabled=true
nexus.datastore.enabled=true

启动老服务，验证数据库切换成功

• compose 部署

docker compose up -d

• k8s 部署副本改成 0

kubectl scale --replicas 1 deploy/nexus3 -n nat

观察日志，搜索 H2

2025-05-16 12:33:15,378+0000 INFO  [FelixStartLevel] *SYSTEM org.sonatype.nexus.datastore.DataStoreConfigurationDefaultSource - Loaded 'nexus' data store configuration defaults (Embedded H2)
2025-05-16 12:33:15,710+0000 INFO  [FelixStartLevel] *SYSTEM com.zaxxer.hikari.HikariDataSource - nexus - Starting...
2025-05-16 12:33:16,018+0000 INFO  [FelixStartLevel] *SYSTEM com.zaxxer.hikari.HikariDataSource - nexus - Start completed.
2025-05-16 12:33:16,020+0000 INFO  [FelixStartLevel] *SYSTEM org.sonatype.nexus.datastore.mybatis.MyBatisDataStore - nexus - Loading MyBatis configuration from /opt/sonatype/nexus/etc/fabric/mybatis.xml
2025-05-16 12:33:16,147+0000 INFO  [FelixStartLevel] *SYSTEM org.sonatype.nexus.datastore.mybatis.MyBatisDataStore - nexus - MyBatis databaseId: H2
2025-05-16 12:33:16,346+0000 INFO  [FelixStartLevel] *SYSTEM org.sonatype.nexus.datastore.mybatis.MyBatisDataStore - nexus - Creating schema for UpgradeTaskDAO

升级版本失败

直接替换镜像升级就完成了，然后我的数据就没了 😂, 严格按照官方文档来的哇 😂

后续

• 云缘生镜像站暂停营业几天
• 虽然有备份数据，但是不想回滚了，重新部署，数据存储使用 PG 吧

---

简单小记，分享一下，主要还是针对 MinIO 异常的处理，其他服务应该也类似

之前配置 MinIO:

xxxx {
        import ERR
        import LOG "/var/log/caddy/minio.log"
        @rootPath {
                path /
        }
        handle @rootPath {
                respond "EdgeONE 403 Forbidden" 403
        }
        reverse_proxy 127.0.0.1:9000
}

仅禁止访问/，且有问题使用 import ERR 兜底

(ERR) {
	handle_errors {
		redir https://dxgw-{err.status_code}.external.ysicing.net
	}
}

之前没太注意，之前这种情况下，如果 MinIO 放回 400 的话是没法拦截的。这时候需要响应匹配器来干活了

域名 {
		import LOG "/var/log/caddy/minio.log"
	    import ERR
        @rootPath {
                path /
        }
        handle @rootPath {
                respond "EdgeONE 403 Forbidden" 403
        }
        reverse_proxy 127.0.0.1::9000 {
	     		@error status 4xx
	     		handle_response @error {
 						respond "EdgeONE 451 Forbidden" 451
				}
		}
}

在 handle_response 块内，可以使用任何其他指令，功能还挺强大的

---

本文算个安利吧，目前比 trae 实在，至少不是老是排队，暂时免费使用。

CodeBuddy 是什么

腾讯云出品的代码助手插件， 支持 VSCode、JetBrains、微信开发者工具

对比 Cursor

对比我用的 cursor，目前有两大优势

• 暂时免费(Craft 对话限制 50 次/月，很容易用完的)
• Craft 支持从用户需求转到研发需求，最后拆分成迭代执行(很早之前，就跟同事讨论过这个问题，这个应该是未来发展的趋势)

安装

插件安装教程, 安装完成后，扫码登录

使用

简单演示，空仓库如何写一个 caddy 插件

mkdir go/src/github.com/ysicing/caddy2-admin-ui
cd go/src/github.com/ysicing/caddy2-admin-ui
git init
go mod init

配置助手，默认全启用

• 用户需求 - 研发需求

• 研发需求 - 迭代执行

• 迭代 1 - 迭代 n

可能问题

除写了"垃圾代码"外，偶尔不会重构代码外，Agent 执行命令提示没法获取结果，需要 ~/.zshrc 新增如下配置

[[ "$TERM_PROGRAM" == "vscode" ]] && . "$(code --locate-shell-integration-path zsh)"

总结

用的不多，偶尔用用还行，更多的还得关注他们后续的付费计划。

---

ImageFlow 是一个为现代网站和应用程序设计的高效图像服务系统。它能根据设备类型自动提供最合适的图像，并支持 WebP 和 AVIF 等现代图像格式，显著提升网站性能和用户体验。

主要特性

• API 密钥认证：安全的 API 密钥验证机制，保护您的图片上传功能
• 自适应图像服务：根据设备类型（桌面端/移动端）自动提供横向或纵向图片
• 现代格式支持：自动检测浏览器兼容性并提供 WebP 或 AVIF 格式图片
• 图片过期功能：支持设置图片过期时间，过期后自动删除（支持本地和 S3 存储）
• 简单的 API：通过简单的 API 调用获取随机图片，支持标签过滤
• 用户友好的上传界面：支持拖拽上传，具有暗黑模式、实时预览和标签管理功能
• 图片管理功能：通过直观的管理界面查看、筛选和删除图片
• 自动图像处理：上传后自动检测图像方向并转换为多种格式
• 异步处理：图像转换在后台进行，不影响主服务
• 高性能：优化的网络性能以减少加载时间
• 易于部署：简单的配置和部署流程
• 多存储支持：支持本地存储和 S3 兼容存储（如 R2， 不支持MinIO）
• Redis 支持：可选的 Redis 集成，用于元数据和标签存储，提高性能

项目地址

• Yuri-NagaSaki/ImageFlow

快速部署

使用 docker compose 快速操作

• 镜像: soyorins/imageflow
• 国内镜像: ccr.ccs.tencentyun.com/k7scn/imageflow

git clone https://github.com/Yuri-NagaSaki/ImageFlow && cd ImageFlow

更新配置文件

cp .env.example .env
nano .env
# 主要修改API_KEY和存储方式，想快速体验建议填写local

示例.env

API_KEY=ohji8lob1Sagoh4shizooNe9oxif9pai
STORAGE_TYPE=local
LOCAL_STORAGE_PATH=static/images
CUSTOM_DOMAIN=
MAX_UPLOAD_COUNT=20
IMAGE_QUALITY=75
WORKER_THREADS=4
SPEED=5
WORKER_POOL_SIZE=4
# Debug Mode
DEBUG_MODE=false

启动

docker compose up -d

• 目前版本存在 panic 问题，等后续版本修复, 可以使用 soyorins/imageflow:2.1.1 版本

常见参数设置

• API_KEY, 用于保护上传和管理接口, 推荐使用 pwgen 32 1 生成
• IMAGE_QUALITY, WebP 转换的质量设置, 数值范围 1-100, 越高表示质量越好，文件越大
• SPEED, 范围：0-8 0-8，0=最慢/最高质量，8=最快/最低质量

如何使用

• 打开 IP:8686 端口 输入你在 env 设置的 API_Key

• 上传图片, 支持选择图片的过期时间，添加标签对图片进行分类，图片会自动转换为 WebP 和 AVIF 格式

• 当删除图片时，所有相关格式（原始、WebP、AVIF）将同时被移除

---

在日常工作生活中，处理敏感项目文件时，担心文件被第三方泄露； 使用第三方网盘时还要下载客户端(客户端有时还给你偷跑流量,美名加速)，有时下载还得开会员。如果有这些问题的话，我强烈安利一款开源利器——FileCodeBox！它开源、好用、安全，完美解决文件分享的各种难题，让你轻松搞定工作和生活中的文件传输。

开源地址

• 代码仓库 vastsa/FileCodeBox
• 镜像地址: lanol/filecodebox
• 国内镜像: ccr.ccs.tencentyun.com/k7scn/filecodebox

三大优势，解决分享痛点

FileCodeBox 专为文件分享的痛点设计，简单几步就能让你的分享体验焕然一新

超快传输，省时省心

速度取决于你的网络带宽

• 无大小限制：无论是高清设计稿还是海量项目文件，统统支持，轻松上传
• 拖拽即传：无需压缩打包，直接拖文件到页面，秒速完成上传
• 批量分享：支持多文件同时上传和分享，项目交付、团队协作 so easy！

安全可靠，隐私无忧

• 加密保护：分享链接全程加密，只有指定接收者才能访问，杜绝泄露风险
• 阅后即焚：支持设置文件过期时间，自动删除，防止资料被长期留存
• 下载控制：可限制链接使用次数或者有效期，避免文件被恶意传播，敏感资料更安心

极致便捷，随时随地

• 无需注册：凭码取件
• 清爽体验：界面简洁

部署简单

要求

以下任选一个就行，我推荐使用腾讯云锐驰 200M，存储使用赠送的对象存储 😄

• 有公网 IP 的服务器
• 内网穿透走 cloudflare tunnels

PS: FileCodeBox 也支持对象存储，这里我就不推荐 MinIO 了直接使用本地存储就行，因为这个分享服务我定位是短期临时分享或者按次永久分享。

部署

• docker-compose.yaml

version: "3"
services:
  filecodebox:
    image: lanol/filecodebox:latest
    # image: ccr.ccs.tencentyun.com/k7scn/filecodebox
    container_name: filecodebox
    volumes:
      - /data/filecodebox:/app/data
    ports:
      - "12345:12345"
    restart: always

• caddy

kd.012321.best {
        import LOG "/var/log/caddy/kd.log"
        reverse_proxy 10.25.123.1:12345
}

分享文件

• 打开网页，点击"分享文件"
• 选择或拖拽文件
• 设置过期时间和次数
• 获取提取码

获取文件

• 打开网页，输入提取码
• 点击获取
• 下载文件或查看文本

是不是用 FileCodeBox 分享文件，简单到不可思议。整个过程无需复杂操作，接收方也不需要注册，真正“即传即得”！

管理面板

访问 /#/admin
输入管理员密码 FileCodeBox2023， 登录后请立即修改

管理文件和配置

如果需要发送私密信息，建议自建，请勿使用第三方服务，避免不必要的问题

最后想说

在数据安全越来越重要的今天，FileCodeBox 不仅是一款工具，更是一种自由、安全的文件分享方式。它让分享变得高效、可控，完美适配各种场景。如果你也厌倦了网盘的限速和收费，或为敏感文件的隐私问题担忧，FileCodeBox 绝对值得一试！
快部署你的 FileCodeBox，体验前所未有的文件分享自由吧！

---

我个人 Caddy 粉哈，习惯 Caddy 一梭子，从我历史博客中就可以看出来。最近写了两个 Caddy 的插件，geocn 和 gfw.

源码及镜像

源码 ysicing/dockerfiles#caddy

以下是我构建好的镜像，可以根据自己的环境拉取

• ysicing/caddy2
• ghcr.io/ysicing/caddy2
• registry.cn-beijing.aliyuncs.com/k7scn/caddy2
• ccr.ccs.tencentyun.com/k7scn/caddy2

源码构建

需要 go 环境了

go install github.com/caddyserver/xcaddy/cmd/xcaddy@latest
xcaddy build \
    --with github.com/caddyserver/jsonc-adapter \
    --with github.com/caddy-dns/cloudflare \
    --with github.com/caddy-dns/tencentcloud \
    --with github.com/caddy-dns/alidns \
    --with github.com/ysicing/caddy2-geocn \
    --with github.com/ysicing/caddy2-gfw \
    --with github.com/mholt/caddy-dynamicdns \
    --with github.com/mholt/caddy-events-exec \
    --with github.com/WeidiDeng/caddy-cloudflare-ip \
    --with github.com/xcaddyplugins/caddy-trusted-cloudfront \
    --with github.com/mholt/caddy-l4 \
    --with github.com/mholt/caddy-webdav \
    --with github.com/mholt/caddy-ratelimit

插件 geocn

• 源码：https://github.com/ysicing/caddy2-geocn
• 用途：识别来源 ip 是否为中国 ip，我的大部分服务都开启了这个，只针对大陆放行，甚至部分服务只针对部分省市(误判比较大，后续有需要也可以开源 😄)

@china {
		geocn 
	}
	file_server @china {
		root ./docker/example/deny
	}

上面是默认参考，正常情况下不需要调整，GeoIP 数据源来自 Hackl0us/GeoIP2-CN，支持自定义

geocn {
 georemote 你的自定义地址
}

插件 gfw

• 源码：https://github.com/ysicing/caddy2-gfw
• 用途：想实现类似宝塔 waf 的功能，目前只是初步实现了，还在测试中，误判比较大 😂

{
    order gfw before respond
}

:80 {
    gfw {
        # 基本规则配置
        block_rule ip:1.2.3.4
        block_rule url:/admin
        block_rule ua:curl
        block_rule_file /path/to/rules.txt
        ttl 24h

        # 额外安全检测（默认关闭）
        enable_extra true
    }
}

目前是所有实例共享黑名单的，命中就 1 天黑名单直接返回 403，之前想的是命中后触发 hook 执行 iptables 封禁 ip，但是容器跑的好像不太方便。

最后

大家对 Caddy 插件有什么的需求或者想法么？

---

还在为网盘限速、空间不足而焦虑？想要一个安全、快速、完全掌控的私人网盘？今天带你一步步用 Alist 结合 MinIO，快速搭建一个高性能的私人云存储，文件管理从此自由无忧！

部署非常简单，也很适合内网私有化部署。另外这也是一个开源项目，社区灵活度特别高，对接的存储类型非常丰富，但是本文还是着重写写对接 minio。今天的音频调了几版，目前这版相关好点

什么是 Alist 和 MinIO？

• Alist：一款开源免费的目录列表程序，支持挂载多种存储（如本地存储、云盘、对象存储等），提供简洁美观的界面，支持文件预览、下载、分享等功能。简单来说，它是你文件管理的“超级中枢”。
• MinIO：一个高性能、分布式的对象存储服务，兼容 S3 协议，适合搭建私有云存储。相比第三方网盘，MinIO 让你完全掌控数据，安全又高效。

通过 Alist + MinIO 的组合，你可以轻松打造一个私有网盘，享受无限存储空间和极速访问体验！

Alist + MinIO 的优势

• 多存储支持：Alist 支持 MinIO、本地存储、OneDrive、阿里云盘等多种存储方式，灵活扩展。
• 简洁易用：Alist 界面美观直观，操作简单。
• 高性能：MinIO 提供企业级的对象存储性能，适合大文件存储和高速访问。
• 安全可靠：数据存储在你自己的服务器上，隐私有保障。
• 开源免费：Alist 和 MinIO 均为开源项目，自由使用，社区活跃。

部署步骤：Alist + MinIO 一键搞定

以下以 Docker 部署为例，带你快速搭建 Alist 和 MinIO 的组合。这里就跳过 MinIO 部署相关了，之前也讲过，可以查看我之前写的文章:

• 超简单！5 分钟用群晖搭建 MinIO + Caddy 对象存储
• 黄鸡大盘鸡搭建 Aria2 实现自由分发

准备工作

• 准备好 MinIO 的账号即可，有存储视频资源最好不过

镜像

根据实际情况来，默认 aio 镜像已经包含本地存储缩略图 ffmpeg 和离线下载 aria2, 后面需要用的上

• xhofe/alist:main-aio
• 国内镜像 ccr.ccs.tencentyun.com/k7scn/alist:main-aio

创建 docker compose 文件

• docker-compose.yml

services:
  alist:
    image: xhofe/alist:main-aio
    # image: ccr.ccs.tencentyun.com/k7scn/alist:main-aio
    container_name: alist
    ports:
      - "5244:5244"
    volumes:
      - /data/alist:/opt/alist/data # 应用程序持久化数据
      - /data/share:/opt/share # 本地存储，可选
    environment:
      - TZ=Asia/Shanghai
      - ALIST_ADMIN_PASSWORD=goxee7dieXeihu9uochoo6iquaighail
    restart: always

ALIST_ADMIN_PASSWORD 支持自定义密码，很早之前我提交的 PR😂，估计也就我一个人这么用。

启动容器

docker compose up -d

配置 caddy

caddy 配置比较简单

alist.ysicing.eu.org {
  reverse_proxy 100.90.80.2:5244
}

访问 alist

访问 Alist：在浏览器输入 http://你的服务器IP:5244 或者 caddy域名，进入 Alist 界面。

默认用户名是 admin, 密码是你配置的 ALIST_ADMIN_PASSWORD 值信息

挂载 MinIO 存储

登录 Alist，点击 管理 > 存储 > 添加。

选择存储类型为对象存储

填写以下信息：

• 挂载路径：自定义，例如 /minio。
• Endpoint：http://minio 域名地址:9000。
• Bucket：填写你在 MinIO 创建的存储桶名称，例如 ja。
• Access Key 和 Secret Key：填入 MinIO 控制台生成的密钥。
• 强制路径样式：默认勾选
• 地区：默认留空

保存配置后，返回 Alist 主页，即可看到挂载的 MinIO 存储

可以上面的操作后就可以通过 Alist 浏览、分享 MinIO 中的文件，支持在线预览、下载等功能。

其他

官方文档

总结

通过 Alist 和 MinIO 的组合，你可以轻松搭建一个功能强大、安全可靠的私人网盘，告别存储焦虑！无论是个人文件管理还是团队协作，这个方案都能满足你的需求。快动手试试吧！

---

部署非常简单，非常适合收藏，内网私有化部署。另外这是一个开源项目，灵活度比较高。

项目地址

https://github.com/libnoname/noname

镜像

可以根据自己的网络情况选择对应的镜像下载，镜像比较大, 大概 3.5G 左右。

• hsiaoshun/noname
• ccr.ccs.tencentyun.com/k7scn/noname

部署 compose

services:
  noname:
    image: hsiaoshun/noname
    # image: ccr.ccs.tencentyun.com/k7scn/noname
    container_name: noname
    ports:
      - '6080:80'
    restart: always

端口配置

• 80 游戏本体网页版入口
• 8080 WS 协议，联机大厅服务(客户端使用)

caddy 代理

示例，不建议公网跑，对带宽有点要求

sgs.ysicing.eu.org {
reverse_proxy 100.90.80.2:6080
}

联机大厅配置说明

目前只支持 windows 和安卓

• 无名杀客户端下载地址：https://github.com/libnoname/noname/releases/tag/chromium91-client
• 无名杀默认使用 WS 协议，填写联机大厅地址时需使用格式: ws(s)://你的地址/

注意: 结尾的/不能省略, 如果没有证书就是 ws，有证书就是 wss

其他

如果有更多兴趣的话，可以看看无名杀懒人包。

---

在搭建 k3s 轻量级 Kubernetes 集群时，Debian 系统因其稳定性和灵活性成为首选。然而，Debian 默认配置可能无法满足 k3s 的需求，需要通过初始化优化系统设置。本文将分享一套针对 k3s 环境的 Debian 初始化方案，涵盖基础包安装、系统配置和防火墙规则，仅供参考。

安装基础包

以下命令安装 k3s 集群所需的基础工具，保持系统轻量：

export DEBIAN_FRONTEND=noninteractive
apt update -qq
apt remove -y -qq ufw lxd lxd-client lxcfs lxc-common
apt install --no-install-recommends --no-install-suggests -y -qq nfs-common iptables conntrack jq socat bash-completion open-iscsi rsync ipset ipvsadm htop net-tools wget psmisc git curl nload ebtables ethtool procps

配置系统

配置 ssh

修改 ssh 端口，设置密钥登录，禁用密码登录。这些比较常见，这里就不细说了。

更新内核

之前好像也写过，通常我都是使用最新内核，仅供参考.(通常也会踩坑比较多)

curl https://c.ysicing.net/oss/scripts/debian-upcore.sh | bash
# 或者
apt install -t bookworm-backports linux-image-amd64 -y

配置 system 相关

调整 Systemd 的资源限制和日志设置

mkdir -pv /etc/systemd/system.conf.d
cat > /etc/systemd/system.conf.d/30-k8s-ulimits.conf <<EOF
[Manager]
DefaultLimitCORE=infinity
DefaultLimitNOFILE=100000
DefaultLimitNPROC=100000
EOF

mkdir -pv /etc/systemd/journald.conf.d /var/log/journal

cat > /etc/systemd/journald.conf.d/95-k3s-journald.conf <<EOF
[Journal]
# 持久化保存到磁盘
Storage=persistent
# 最大占用空间 2G
SystemMaxUse=2G
# 单日志文件最大 100M
SystemMaxFileSize=100M
# 日志保存时间 1 周
MaxRetentionSec=1week
# 禁止转发
ForwardToSyslog=no
ForwardToWall=no
EOF

systemctl daemon-reload
systemctl restart systemd-journald

cat > /etc/modules-load.d/10-k3s-modules.conf <<EOF
br_netfilter
ip_vs
ip_vs_rr
ip_vs_wrr
ip_vs_sh
nf_conntrack
EOF

systemctl daemon-reload
systemctl restart systemd-modules-load

配置防火墙规则

提示：8.8.8.8 为示例白名单 IP，请替换为实际 IP，搭配rc.local

• /data/scripts/iprule.sh

#!/bin/bash
iptables -I INPUT -s 8.8.8.8 -j ACCEPT
iptables -I INPUT -p udp -j ACCEPT
iptables -I INPUT -i lo -j ACCEPT
iptables -I INPUT -i tailscale0 -j ACCEPT
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I INPUT -s 10.0.0.0/8 -j ACCEPT
iptables -I INPUT -s 172.16.0.0/12 -j ACCEPT
iptables -I INPUT -s 192.168.0.0/16 -j ACCEPT
iptables -I INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
iptables -A INPUT -p icmp -j DROP
iptables -A OUTPUT -j ACCEPT
iptables -A INPUT -j DROP

防火墙规则没考虑使用 iptables-save 等保存恢复，而是每次开启时重新配置。

总结

通过以上步骤，我们完成了一套针对 k3s 环境的 Debian 系统初始化，优化了网络、资源限制和安全性。你可以直接使用以下脚本一键初始化

curl https://c.ysicing.net/oss/scripts/init.sh

---