准备工作

1. 硬件要求

确保 ARM 架构设备支持虚拟化技术。通常，支持虚拟化的 ARM 处理器会支持硬件辅助虚拟化功能。

系统至少需要 4GB 内存和 20GB 的硬盘空间。

2. 软件要求

银河麒麟桌面操作系统 ARM 版「如 V10」

KVM 虚拟化相关的软件包。

安装 KVM 虚拟化环境

1. 安装 KVM 和相关工具

1
2

sudo apt update
sudo apt -y install qemu-kvm libvirt-daemon-system libvirt-clients bridge-utils virt-manager

注意：在银河麒麟桌面操作系统 ARM 版上，可以通过上面命令安装 KVM 和相关工具。

2. 包的作用

上面软件包的作用如下：

3. 添加用户到 libvirt 组内

1

sudo usermod -aG libvirt $(whoami)

注意：为方便管理虚拟机，需要将当前用户添加到 libvirt 组，然后注销重新登录，使组成员关系生效。

4. 验证是否安装成功

1

virsh --version

注意：运行上面命令来检查 KVM 是否正常工作，如果返回版本信息，说明 KVM 安装成功了。

创建 KVM 虚拟机

1. 下载镜像

可以从银河麒麟官方网站下载适合 ARM 架构的虚拟机镜像文件。

如 Kylin-Desktop-V10-SP1-2403-Release-20240430-arm64.iso 文件。

2. 创建虚拟磁盘

1

qemu-img create -f qcow2 /path/to/disk.img 50G

注意：使用上面命令创建虚拟磁盘。其中/path/to/disk.img 是虚拟磁盘路径，50G 表示磁盘的大小。

3. 启动 KVM 虚拟机安装

1

qemu-system-aarch64 -m 2048 -cpu cortex-a76 -smp 4 -M virt -bios /path/to/QEMU_EFI.fd -device VGA -device nec-usb-xhci -device usb-mouse -device usb-kbd -drive if=none,file=/path/to/disk.img,id=hd0 -device virtio-blk-device,drive=hd0 -drive if=none,file=/path/to/Kylin-Desktop-V10-SP1-2403-Release-20240430-arm64.iso,id=cdrom,media=cdrom -device virtio-scsi-device -device scsi-cd,drive=cdrom

注意：使用上面命令启动 KVM 虚拟机安装。其中-m 2048 分配 2048MB 内存；-cpu cortex-a76 指定 CPU 类型；-smp 4 是指定虚拟 CPU 核心数。

4. 完成安装

按照虚拟机安装界面的提示完成安装过程。

安装完成后 KVM 虚拟机将自动重启。

使用 KVM 管理虚拟机

1. 使用 virsh 命令行工具

列出所有 KVM 虚拟机：

1

virsh list --all

启动 KVM 虚拟机：

1

virsh start <KVM 虚拟机名称>

关闭 KVM 虚拟机：

1

virsh shutdown <KVM 虚拟机名称>

强制停止 KVM 虚拟机：

1

virsh destroy <KVM 虚拟机名称>

挂起 KVM 虚拟机：

1

virsh suspend <KVM 虚拟机名称>

恢复挂起 KVM 虚拟机：

1

virsh resume <KVM 虚拟机名称>

2. 使用 virt-manager 图形化界面

virt-manager 提供了一个直观的图形化界面，方便用户管理 KVM 虚拟机。

启动 virt-manager 后，可以连接到本地或者远程的 KVM 服务器，创建、启动、停止 KVM 虚拟机。

ctop 命令的简介

ctop 是一个类似 top 命令的界面工具，它专注于容器环境，能够实时监控 Docker/Podman 等容器运行时的性能指标，如 CPU、内存、网络、磁盘 I/O 等使用情况。

它以一种直观的方式展示各个容器的详细信息，让管理员可以迅速掌握系统整体健康状况，并且快速定位到可能存在性能瓶颈的容器。

与传统 top 命令相比，ctop 提供更丰富的容器相关数据和更便捷的交互方式。

它不仅能展示容器的基本资源使用率，还能深入到每个容器的进程级别，查看内部运行具体进程，这对于深入分析容器性能表现非常有帮助。

ctop 命令的安装

1. Linux 系统的安装方法「以 Ubuntu 为例」

1
2

sudo wget https://github.com/bcicen/ctop/releases/download/v0.7.7/ctop-0.7.7-linux-amd64 -O /usr/local/bin/ctop
sudo chmod +x /usr/local/bin/ctop

注意：可以直接从 Github 下载最新版本的二进制文件进行安装，以上是具体的步骤「这里以 v0.7.7 版本为例」最后，用命令 ctop -v 验证是否安装成功，若可以正确显示版本号，说明安装成功。

2. 通过 Docker 的方法安装

1

docker run --rm -it --name=ctop -v /var/run/docker.sock:/var/run/docker.sock quay.io/vektorlab/ctop:latest

注意：也可以使用 Docker 快速启动 ctop 容器来进行监控。

ctop 命令的使用

1. 基本使用

在终端中输入 ctop 命令后回车，即可启动 ctop 程序进入主界面。在界面中，会显示出所有正在运行的容器及其资源使用情况的概览，包括容器名称、CPU 使用率、内存使用量及限制、网络收发速率、磁盘读写速率、进程数等信息。

可以通过方向键上下移动光标来选择不同容器，然后按下回车键可以查看到所选容器详细信息，如容器的创建时间、各资源的详细使用数据以及内部运行的进程列表等。

2. 命令选项

命令选项列表如下：

交互操作

交互操作列表如下：

Zstandard 的简介

Zstandard 是由 Facebook 开发并开源的一种快速无损压缩算法，2015 年首次发布以来，凭借其高压缩比和快速的解压缩速度，逐渐受到了开发者青睐。

它不仅在压缩效率上超越传统的 gzip 等工具，还能在保持高压缩率的同时，实现极快解压速度，特别适合对数据处理效率要求较高的场景，如大数据处理、日志压缩、网络数据传输等等。

Zstandard 的特点

高压缩比：通常情况下 Zstandard 能够获得比 gzip 更好压缩效果，有效减少数据存储空间。

快速解压：其解压缩速度极快，即使是低压缩等级，解压速度也能远超一些 SSD 的读取速度，大大提高了数据的读取效率。

多线程的支持：Zstandard 自带多线程压缩功能，可以充分利用多核 CPU 的性能，大幅提升压缩速度。例如，在处理大量数据时，多线程压缩能够显著的缩短压缩时间，提高工作效率。

丰富压缩级别选择：提供了从 1 到 22 的压缩级别选择，用户可根据实际需求在压缩速度和压缩率之间进行灵活权衡。压缩级别越高，压缩比率越大，但压缩速度会相应减慢；反之，压缩级别越低，压缩速度越快，但压缩比率会有所降低。

字典压缩模式：Zstandard 为小数据提供一种特殊的字典压缩模式。用户可通过提供一些样本数据来训练生成字典，然后在压缩和解压时加载该字典，从而在小数据上实现更高压缩率，这对于处理大量小文件场景非常有用。

使用模式：Zstandard 提供了多种命令模式，包括压缩、解压、查看压缩信息、测试压缩文件等等。

Zstandard 的安装

Debian/Ubuntu 系统的安装命令如下：

1

sudo apt install zstd

Fedora/Red Hat/CentOS/AlmaLinux 系统的安装命令如下：

1

sudo dnf install zstd

Arch Linux/Manjaro 系统的安装命令如下：

1

sudo pacman -S zstd

也可以从源码编译安装「这里以 1.5.7 版本为例」命令如下：

1
2
3
4
5

wget https://github.com/facebook/zstd/releases/download/v1.5.7/zstd-1.5.7.tar.gz
tar -zxvf zstd-1.5.7.tar.gz
cd zstd-1.5.7/
make
sudo make install

Zstandard 的使用

1. 压缩文件

基础压缩：使用命令 zstd file_name 即可对文件进行压缩，压缩后会生成一个扩展名为.zst 的文件，如 zstd doc.txt，会生成 doc.txt.zst 文件。

指定压缩级别：可通过选项来指定压缩级别，例如 zstd -3 file_name 表示使用压缩级别-3 进行压缩。

2. 解压文件

基础解压：使用 zstd -d archive_name.zst 即可对文件进行解压，解压后的文件会自动去除.zst 后缀。

指定解压后文件名：同样可使用-o 选项来指定解压后的文件名，如 zstd -d archive_name.zst -o new_file_name。

3. 压缩目录

压缩整个目录：可以使用 zstd -rz directory_name 来压缩整个目录，其中-r 表示递归压缩目录中所有文件和子目录，-z 表示压缩的操作。

解压目录：对于压缩后的目录文件，使用 zstd -dr archive_name.zst 进行解压缩，-d 表示解压缩操作，-r 表示递归解压缩。

4. 查看压缩文件内容

使用 zstd -l archive_name.zst 可以查看压缩文件的相关信息，如压缩比、压缩级别、文件大小等等。

而 zstd -t archive_name.zst 则可用于测试压缩文件的完整性，确保文件在压缩和传输过程中未损坏。

历史背景演变

X11 诞生于 1984 年，由麻省理工学院 MIT 开发，旨在满足分布式计算环境下图形界面需求。其设计哲学强调网络透明性，允许用户在远程服务器运行应用程序，并在本地终端显示结果，极大地拓展 GUI 的可用性和灵活性。随着时间推移，X11 凭借其广泛的硬件和软件支持，逐渐成为 Linux 桌面环境的标准图形界面后端。

随着计算需求增长，X11 的一些设计局限逐渐显现，例如架构复杂、性能瓶颈和安全性问题。2008 年，Kristian 提出 Wayland 项目，旨在创建一个更加现代、高效窗口系统。Wayland 的设计重点在于简化架构、提高性能和增强安全性，采用客户端 Compositor 通信模型，减少了中间层，提升了效率和响应速度。

技术特点比较

X11 采用 C/S 模型，客户端通过 X 协议与服务器通信，而 X 服务器负责处理所有图形和输入事件。相比之下，Wayland 采用了客户端 Compositor 模型，客户端可直接与 Compositor 通信，Compositor 负责了窗口管理、合成、输出。Wayland 的架构更加贴合现代图形硬件特性，可以更高效地利用 GPU 和现代显示技术。

X11 在安全性方面存在了固有弱点，其复杂协议和广泛权限易被恶意利用。Wayland 通过限制客户端权限以及简化通信模型，显著提高了安全性。例如，Wayland 禁止了应用程序直接访问底层硬件，只允许了它们与 Compositor 通信，从而增强系统的安全性。

Wayland 的协议设计更加高效，减少了延迟和带宽消耗。在移动设备和资源受限的环境中，Wayland 的优势尤为明显。此外，Wayland 避免了不必要的复杂性和额外处理，使得其在性能上优于 X11。尤其是在窗口大小调整以及拖动等操作中，Wayland 显得更加的平滑流畅。

X11 拥有庞大的生态系统，支持大量的应用程序和工具，几乎所有 Linux 发行版默认都使用 X11。然而，Wayland 的生态系统正在快速发展，主要桌面环境如 GNOME 和 KDE 已全面支持 Wayland。尽管如此，一些特定应用程序和工具可能仍需要额外的兼容层或补丁才能在 Wayland 下运行。

应用场景

在桌面环境中，X11 凭借其广泛的兼容性和成熟度，仍然是许多用户的首选。但随着硬件技术的进步和用户对高性能图形渲染的需求增加，Wayland 正在逐渐成为主流的选择。

越来越多的 Linux 发行版开始默认支持 Wayland，例如 Fedora 和 Ubuntu 等。

在移动设备和嵌入式系统中，资源受限是一个普遍的问题。Wayland 的低功耗以及高性能特性使其成为这些场景下的理想选择。

例如，Android 系统中的 SurfaceFlinger 就是基于 Wayland 的原理设计，用于图形显示以及窗口管理。

在虚拟化和云计算的环境中，图形性能以及网络传输效率至关重要。

虽然 X11 的网络透明性在某些场景下仍有些优势，但 Wayland 通过优化的协议和架构，正在成为虚拟桌面基础设施 VDI 和云桌面解决方案的首选，特别在需要高性能图形渲染的场景中。

未来展望

随着 GPU 技术的成熟以及高性能计算需求的增长，图形界面的渲染以及交互将变得更加复杂和多样化。

X11 和 Wayland 都在积极的探索与 Direct Rendering Manager、Mesa 等图形驱动框架的更紧密集成，以实现更高效的图形渲染和硬件加速。

此外，Wayland 还在研究如何更好地支持多显示器配置、高分辨率显示、触控输入，以满足未来计算环境多样化需求。

最后说两句题外话，近一个月杜老师因为工作的原因，拖更了很多篇文章，感谢小伙伴们的关注和催更，近期会大批量发表一些技术文章，欢迎大家关注。

server_names_hash_bucket_size 参数项

含义：该参数用于设置服务器名字 hash 表大小，若名字过长或服务较多，保持默认值可能使 hash 表空间不足，引发错误。

优化建议：一般为 server_names_hash_max_size 的 1/2-1/3 左右，如服务器配置较高，可直接设置 256。

gzip 参数项

gzip_min_length 参数项：对小文件压缩可能得不偿失，一般设置为 1k 或 10k 左右，小于该值的文件不压缩。

gzip_comp_level 参数项：压缩级别，1 为最小最快，9 为最大最慢，通常建议设置为 4-6，以平衡压缩效果和 CPU 使用率。

client_header_buffer_size 参数项

含义：用于设置读取客户端请求头的缓冲区大小，若请求头过大，可能超出默认值导致客户端报错。

优化建议：根据实际业务需求调整，如业务请求头通常较大，可设为 32k 左右，确保可以完整读取大部分请求头。

client_max_body_size 参数项

含义：限制客户端请求主体的最大允许大小，超出该值请求将被拒绝。

优化建议：根据业务场景和服务器承受能力设置，如普通表单提交可设置为 10m-20m 左右，对于文件上传等大请求可以适当增大。

keepalive_timeout 参数项

含义：设置长连接的超时时间，即客户端与服务器间连接保持空闲的最大时间。

优化建议：一般设为 60-90 秒左右，时间过短会频繁断开连接且增加开销，过长则可能占用过多的资源。

优化后的配置示例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

http {
    # gzip相关配置
    gzip on;
    gzip_min_length 1k;
    gzip_comp_level 6;
    gzip_buffers 4 16k;
    gzip_http_version 1.1;
    gzip_types text/plain application/javascript application/x-javascript text/css application/xml text/javascript application/x-httpd-php application/json;
    gzip_vary on;
    gzip_proxied any;
    gzip_disable "msie6";

    # 服务器名字hash表大小
    server_names_hash_bucket_size 128;

    # 客户端请求头缓冲区大小
    client_header_buffer_size 32k;
    large_client_header_buffers 4 32k;

    # 客户端请求主体最大允许大小
    client_max_body_size 32m;

    # 长连接超时时间
    keepalive_timeout 60;

    # 其他配置...
}

注意：以上配置仅供参考，具体优化需根据实际业务场景和硬件配置进行调优。

基础配置优化

1. 调整 worker_processes 以及 worker_connections

Nginx 使用多进程模型处理请求。worker_processes 定义 Nginx 使用的工作进程数，而 worker_connections 定义每个工作进程可以处理的最大连接数：

1
2
3
4

worker_processes auto;
events {
    worker_connections 1024;
}

参数作用如下：

2. 启用 keepalive 长连接

HTTP 协议中的 keepalive 机制允许客户端和服务器在同一个连接上发送多个请求，减少了 TCP 连接的建立和关闭开销：

1
2
3
4

http {
    keepalive_timeout 65;
    keepalive_requests 100;
}

参数作用如下：

3. 调整 buffer 的大小

Nginx 使用缓冲区来存储请求和响应数据。如缓冲区设置过小，Nginx 可能会频繁地进行磁盘 I/O 操作，影响性能：

1
2
3
4
5

http {
    client_body_buffer_size 10K;
    client_header_buffer_size 1k;
    large_client_header_buffers 48k;
}

参数作用如下：

缓存提升性能

1. 启动静态资源缓存

对于静态资源，启用缓存可以显著减少服务器的负载：

1
2
3
4

location ~* \.(jpg|jpeg|png|gif|ico|css|js)$ {
    expires 30d;
    add_header Cache-Control "public, no-transform";
}

参数作用如下：

2. 使用代理缓存

如使用 Nginx 作为反向代理，可启用代理缓存来缓存后端服务器的响应：

1
2
3
4
5
6
7
8
9
10

proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=my_cache:10m max_size=1g inactive=60m use_temp_path=off;

server {
    location / {
        proxy_cache my_cache;
        proxy_pass http://backend;
        proxy_cache_valid 200 302 10m;
        proxy_cache_valid 404 1m;
    }
}

参数作用如下：

3. 使用 gzip 压缩减少网络传输量

gzip 压缩可以显著减少传输数据量，从而加快页面加载速度：

1
2
3
4
5
6
7
8

http {
    gzip on;
    gzip_types text/plain text/css application/json application/javascript text/xml application/xml application/xml+rss text/javascript;
    gzip_comp_level 6;
    gzip_min_length 256;
    gzip_proxied any;
    gzip_vary on;
}

参数作用如下：

HTTP/2 与速率限制

1. 使用 HTTP/2 版协议

HTTP/2 提供了多路复用、头部压缩特性，可以显著提升性能：

1
2
3
4
5

server {
    listen 443 ssl http2;
    ssl_certificate /path/to/cert.pem;
    ssl_certificate_key /path/to/key.pem;
}

参数作用如下：

2. 限制请求速率

为了防止恶意请求或突发流量导致服务器过载，可使用 limit_req 模块限制请求速率：

1
2
3
4
5
6
7
8
9

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

    server {
        location / {
            limit_req zone=one burst=5;
        }
    }
}

参数作用如下：

LB 和日志优化

1. 负载均衡

1
2
3
4
5
6
7
8
9
10

upstream backend {
    server 192.168.1.1:8080;
    server 192.168.1.2:8080;
}

server {
    location / {
        proxy_pass http://backend;
    }
}

注意：通过 upstream 模块可以将请求分发到多个后端服务器，提高并发处理能力。

2. 日志优化

1
2

access_log /var/log/nginx/access.log main buffer=16k;
error_log /var/log/nginx/error.log warn;

注意：调整日志级别可减少日志输出量，提升性能。这表示将访问日志的缓冲区大小设置为 16KB，并将错误日志级别设置为 warn。

错误原因

为理解这个错误的原因，我们需要先了解下 Linux 系统的权限管理机制。

Linux 系统将用户和组织分为不同的分类，并为每个用户和组织分配不同的权限。这些权限决定用户可以访问和执行哪些文件和目录。

在这个特定错误中，我们看到了一个错误路径/usr/bin/targetcli 和错误消息/usr/bin/python3:解释器错误:权限不够。

系统无法在路径/usr/bin/targetcli 下找到所需的 Python 解释器，且没有足够的权限来执行它。

解决方法

1. 确定缺少的解释器

首先，我们需确定缺少的 Python 解释器。

在错误消息中，我们看到了/usr/bin/targetcli 和/usr/bin/python3 两个路径。这告诉我们 targetcli 命令需要 python3 来执行。

2. 确定解释器的位置

接下来我们需要确定 python3 解释器的实际位置。我们可以使用 which 命令来找到解释器的路径。

可在终端中运行命令 which python3。命令的输出将告诉我们 python3 解释器位置。比如，输出可能是/usr/local/bin/python3。

3. 修改 python3 解释器路径

一旦我们找到了 python3 解释器的位置，我们可以通过修改 targetcli 脚本来更新解释器的路径。

打开终端并输入命令 sudo vi /usr/bin/targetcli。这将使用编辑器打开 targetcli 脚本。

在脚本中，我们需要查找#!/usr/bin/python3 这一行，并将其替换为 python3 解释器实际路径。

在这个例子中，我们可以将其替换为#!/usr/bin/python3。

4. 更改脚本权限

最后，我们需要为 targetcli 脚本提供执行权限。

可在终端中运行命令 sudo chmod +x /usr/bin/targetcli。如果一切顺利，我们应该不再看到错误消息。

NFS 的简介

NFS 是允许用户通过网络访问远程文件系统，就像访问本地文件系统一样方便。

它支持跨平台文件共享，广泛应用于 Linux 和 Unix 系统。

然而，传统的 NFS 传输数据时以明文形式在网络中传输，很容易受到中间人攻击和数据泄露的威胁。

在 NFS 的基础上，我们可以使用加密技术来保护数据传输和存储。

加密 NFS 必要性

随着数据安全法规的日益严格和企业对数据保护的重视，对 NFS 进行加密变得必不可少。

在企业中，NFS 的加密功能可以提供数据传输和存储的安全保障。

加密 NFS 可有效防止数据在传输过程中被窃取或篡改，确保数据的完整性和机密性。

同时，它也可以满足企业对数据安全合规的要求，为企业的数据资产提供更可靠的保护。

搭建加密 NFS 的步骤

在 NFS 服务器安装支持加密的 NFS 软件包。例如，在基于 Debian 的系统上，可以使用下面命令进行安装：

1

sudo apt -y install nfs-kernel-server

使用下面的命令编辑 NFS 配置文件，添加加密相关选项。例如，可使用 sec = krb5i 或 sec = krb5p 选项来启用 Kerberos 加密。其中，krb5i 提供数据完整性保护，而 krb5p 则同时提供了数据加密和完整性保护：

1

sudo vim /etc/exports

在配置文件中指定要共享的目录及其访问权限。这表示允许客户端 IP 以读写模式访问共享目录，并启用 Kerberos 加密。例如：

1

/path/to/shared/directory client_ip(rw,sync,no_subtree_check,sec=krb5i)

完成配置后重启 NFS 服务。可以使用下面命令重启服务：

1

sudo systemctl restart nfs-kernel-server

使用下面的命令使配置文件生效：

1

exports -rv

在需访问加密 NFS 共享的客户端上安装 NFS 客户端软件。例如，在基于 Debian 的系统上，可以使用下面命令进行安装：

1

sudo apt -y install nfs-common

使用挂载命令将加密的 NFS 共享挂载到本地目录。这将把服务器上的共享目录挂载到客户端本地目录，并启用 Kerberos 加密。例如：

1

sudo mount -t nfs4 -o sec=krb5i server_ip:/path/to/shared/directory /local/mount/point

使用下面命令查看挂载文件系统，确保加密 NFS 共享已成功挂载：

1

df -h 

加密 NFS 优势与注意事项

加密 NFS 有多种优势，例如数据加密传输、身份认证和数据完整性保护等等。

它能够有效防止数据泄露和篡改，提高数据的安全性。

然而，在搭建加密 NFS 时也需要注意一些事项。

首先，加密过程可能会增加系统的性能开销，因此需根据实际需求进行性能评估和优化。

其次，配置过程较为复杂，需仔细检查配置文件和参数设置，确保正确无误。

此外，还需要定期更新加密软件和认证机制，以应对不断变化的安全威胁。

为什么要统计内存占用

多任务操作系统中，内存是有限的资源。

当多个进程同时运行时，它们会争夺有限的内存空间。

如果某些进程占用内存过多，可能导致系统响应变慢，甚至出现内存不足错误。

因此，定期检查内存占用情况，找出占用最多进程，可以帮助我们更好管理资源，优化系统性能。

使用命令工具统计内存占用

使用 ps 和 sort 的命令组合：

1

ps -eo pid,comm,%mem --sort=-%mem | head -n 11

解释：

虽然 top 命令主要用于实时的监控系统资源，但也可通过以下方式快速查看内存占用最多的进程：

1

top -o %MEM -b -n 1 | head -n 18

解释：

如果需要更详细的内存占用信息，可结合 pmap 命令：

1

ps -eo pid,%mem,comm --sort=-%mem | head -n 11 | awk '{print $1}' | xargs -I {} pmap {} | grep total

解释：

如果系统安装了 smem 工具，可以更直观地查看内存占用：

1

smem -s rss -c "pid user command rss" --sort=rss | head -n 11

解释：

如何分析内存占用情况

确认进程是否必要。有些进程可能是系统正常运行所必需，例如 systemd 等。这些进程通常不会占用过多内存。然而，如果某些进程是用户启动的，如某个应用程序或脚本，需确认它们是否在正常运行。

检查进程是否内存泄漏。如某个进程的内存占用持续增加，可能是内存泄漏导致的。内存泄漏是指程序在申请内存后，无法正确释放已分配的内存，导致内存占用不断增加。这种情况下需要检查程序的代码，查找可能导致内存泄漏地方。

限制进程内存使用。如果某个进程占用过多内存，但又不能轻易终止，可以尝试限制它的内存使用。

Linux 提供 ulimit 命令，可设置进程的资源限制。例如，限制某个进程的最大内存使用量为 1GB，可使用命令 ulimit -m 1048576。

内存管理其它技巧

除了统计内存占用最多进程，还可通过以下方式优化 Linux 系统的内存管理。

调整交换空间。交换空间是磁盘上的一部分空间，当物理内存不足时，系统会将一些不常用的内存页面移到交换空间。虽然使用交换空间可以避免系统崩溃，但磁盘速度远慢于内存，因此过多地使用交换空间会导致系统性能下降。

可以通过命令 swapon --show 查看交换空间的使用情况。如果交换空间使用过多，可以考虑增加物理内存，或者调整交换空间大小。

使用内存清理工具。Linux 系统会自动管理内存分配、回收，但有时也可以手动清理内存。

例如，可以使用 sync 命令将缓存数据写入磁盘，然后用 echo 3 > /proc/sys/vm/drop_caches 命令清理缓存。

但请注意，这种方法可能会对系统性能产生一定影响，因此需要谨慎使用。

报错信息

1
2
3
4
5
6

The downloaded packages were saved in cache until the next successful transaction.
You can remove cached packages by executing 'yum clean packages'.
Error: Transaction test error:
  file /usr/share/doc/ipmitool/ChangeLog from install of ipmitool-1.8.19-1.p01.ky10.x86_64 conflicts with file from package ipmitool-help-1.8.18-19.p02.ky10.noarch
  file /usr/share/doc/ipmitool/README from install of ipmitool-1.8.19-1.p01.ky10.x86_64 conflicts with file from package ipmitool-help-1.8.18-19.p02.ky10.noarch
  file /usr/share/man/man1/ipmitool.1.gz from install of ipmitool-1.8.19-1.p01.ky10.x86_64 conflicts with file from package ipmitool-help-1.8.18-19.p02.ky10.noarch

注意；杜老师执行命令 yum -y update 用户升级所有软件，在升级过程中提示如上错误信息。

解决思路

根据所提供的错误信息，问题在于 ipmitool-1.8.19-1.p01.ky10.x86_64 与 ipmitool-help-1.8.18-19.p02.ky10.noarch 间存在文件冲突。以下是解决此问题步骤，首先移除冲突的包：

1

yum -y remove ipmitool-help-1.8.18-19.p02.ky10.noarch

清理缓存，确保后续操作不会受到旧缓存的影响：

1

yum clean all

在移除冲突包并清理缓存后，重新安装 ipmitool 软件包：

1

yum -y install ipmitool-1.8.19-1.p01.ky10.x86_64

最后，更新系统中所有包，以确保所有的依赖关系都已解决：

1

yum -y update

工具安装

对于基于 Debian 的系统「如 Ubuntu」，可以使用以下命令安装：

1
2

sudo apt-get update
sudo apt-get install goaccess

对于基于 Red Hat 的系统「如 CentOS」，可以使用以下命令安装：

1

sudo yum -y install goaccess

源码安装

如果想要从源码安装 GoAccess，可以按照以下步骤操作。先下载 GoAccess 的源码包：

1

wget https://tar.goaccess.io/goaccess-1.4.tar.gz

再解压并编译安装：

1
2
3
4

tar -xzvf goaccess-1.4.tar.gz
cd goaccess-1.4/
./configure --enable-geoip --enable-utf8
make && sudo make install

配置工具

我们需要对 GoAccess 进行配置，确保它能够正确地解析 Nginx 的访问日志。GoAccess 配置文件通常位于 /etc/goaccess/goaccess.conf。对于 Nginx 的默认日志格式，可直接使用--log-format=COMBINED 参数。如果 Nginx 配置了自定义的日志格式，需在 GoAccess 的配置文件中指定相应的日志格式。例如：

1

log-format %h %^[%d:%t %^] "%r" %s %b "%R" "%u"

还需指定日期和时间的格式，以确保 GoAccess 能够正确地解析日志文件中的日期和时间信息。例如：

1
2

date-format %d/%b/%Y
time-format %H:%M:%S

分析日志

在终端直接运行 GoAccess，它会进入一个交互式的界面，显示日志分析结果。在交互式界面中可使用键盘方向键和数字键来浏览和查看不同的统计信息。例如：

1

goaccess /var/log/nginx/access.log --log-format=COMBINED

GoAccess 可将分析结果输出为 HTML 格式的报告，方便在 Web 浏览器中查看。下面的命令将生成一个名为 report.html 的文件，包含丰富的统计信息和图表：

1

goaccess /var/log/nginx/access.log -o report.html --log-format=COMBINED

GoAccess 支持实时监控 Nginx 访问日志，可动态地更新统计信息。如要启用实时监控，可以使用以下命令：

1

--real-time-html --daemonize

启动一个后台进程，实时分析日志文件，并将结果输出到指定的 HTML 文件中，完整参考命令如下：

1

goaccess /var/log/nginx/access.log -o /var/www/html/report.html --log-format=COMBINED --real-time-html --daemonize

分析结果解读

GoAccess 提供了丰富的统计信息和图表，帮助我们全面了解网站访问情况，包括访问概览：

网站的访问者信息：

请求信息：

性能分析：

高级用法

除了基本分析功能，GoAccess 还支持一些高级用法。例如可使用管道和过滤器来处理日志数据，下面命令将实时地分析 Nginx 的访问日志，并显示最新的统计信息：

1

tail -f /var/log/nginx/access.log | goaccess -p /etc/goaccess/goaccess.conf

GoAccess 可支持同时分析多个日志文件，下面命令将合并多个日志文件的分析结果：

1

goaccess -p /etc/goaccess/goaccess.conf access.log.1 access.log.2

日志格式

在开始分析前，我们需要了解 access_log 的默认日志格式。通常情况 access_log 的日志格式如下：

1
2
3

log_format combined '$remote_addr - $remote_user [$time_local] '
                    '"$request" $status $body_bytes_sent '
                    '"$http_referer" "$http_user_agent"';

这个格式包含以下字段：

Nginx 访问量分析

要统计网站的总访问量，可通过计算 access_log 文件的行数来实现。在 Linux 系统中可以使用 wc -l 命令，该命令会输出 access.log 文件的行数，即为网站总访问量：

1

wc -l access.log

了解访问量在不同时间段的分布情况，有助于我们发现网站访问高峰和低谷。可以使用 awk 命令按小时或分钟统计请求数，下面的命令会输出按小时或分钟统计的请求数，并且显示请求数最多的前 100 个时间点：

1
2
3
4

# 每小时统计请求数
awk '{print $4}' access.log | cut -c 14-15 | sort | uniq -c | sort -nr | head -n 100
# 每分钟统计请求数
awk '{print $4}' access.log | cut -c 14-18 | sort | uniq -c | sort -nr | head -n 100

访问来源分析

分析访问来源 IP 可以了解用户主要来自哪些地区或网络环境。使用 awk 和 sort 命令可以统计访问量最多的 IP 地址，该命令会输出访问量最多的前 10 个 IP 地址及其访问次数：

1

awk '{print $1}' access.log | sort | uniq -c | sort -nr | head -n 10

查看访问来源 URL 有助于我们了解用户是如何找到我们网站的。可以使用以下命令统计访问来源最多的 URL，该命令会输出访问来源最多的前 10 个 URL 及访问次数：

1

awk '{print $11}' access.log | sort | uniq -c | sort -nr | head -n 10

页面访问分析

了解哪些页面访问量最高可帮助我们优化这些页面的性能和内容。使用 awk 命令可统计访问最频繁的页面，下面命令会输出访问最频繁的前 100 个页面及其访问次数：

1

awk '{print $7}' access.log | sort | uniq -c | sort -rn | head -n 100

分析页面的访问时间可以发现哪些页面的加载时间较长，需要优化。在 Nginx 的 log_format 中加入 $request_time 字段，然后使用以下命令列出传输时间超过 3 秒页面，该命令会输出传输时间超过 3 秒的页面及其出现的次数，仅显示前 20 条记录：

1

cat access.log | awk '($NF > 3){print $7}' | sort -n | uniq -c | sort -nr | head -20

用户行为分析

分析用户代理字符串可以了解用户使用的浏览器类型和版本。使用 awk 命令可统计不同浏览器的访问次数，该命令会输出不同浏览器访问次数及其用户代理字符串：

1

awk -F '"' '{print $6}' access.log | sort | uniq -c | sort -nr | head -n 10

通过分析用户的访问路径可以了解用户在网站中的导航行为。可以使用以下命令统计访问路径的长度和频率，该命令会输出访问路径的长度及其出现的次数，仅显示前 10 条记录：

1

awk '{print $7}' access.log | awk -F '/' '{print NF-1}' | sort | uniq -c | sort -nr | head -n 10

性能分析

响应时间是衡量网站性能的重要指标之一。可使用以下命令统计响应时间的分布情况，该命令会输出响应时间及其出现次数，仅显示前 10 条记录：

1

awk '{print $NF}' access.log | sort -n | uniq -c | sort -nr | head -n 10

HTTP 状态码反映了请求的成功与否以及错误类型。可以使用以下命令统计不同状态码的出现次数，该命令会输出不同状态码及其出现的次数，仅显示前 10 条记录：

1

awk '{print $9}' access.log | sort | uniq -c | sort -nr | head -n 10

准备工作

确保已经成功安装了 OpenResty。如果看到 OpenResty 的欢迎页面，说明安装成功。

OpenResty 通过集成 Nginx 并利用其模块化特性支持 QUIC。需要在 Nginx 配置文件中启用 QUIC 支持。通常涉及到配置监听 UDP 端口，因为 QUIC 运行在 UDP 上。

OpenResty 从 1.25 版本开始支持 QUIC，如果是之前的版本，需要自行编译安装模块以支持 QUIC。

使用支持 QUIC 的客户端工具测试 QUIC 连接是否成功建立。

监听端口

对于每个站点，需在 Nginx 配置文件中为 QUIC 配置监听端口。由于 QUIC 运行在 UDP 上，需为每个站点配置一个监听 UDP 端口的指令。例如，如果有两个站点 site1 和 site2，可以这样配置：

1
2
3
4
5

server {
   listen 443 quic reuseport;
   server_name site1.dusays.com;
   # site1 的其它配置...
}

这里的 443 和 444 是用于 QUIC 的 UDP 端口，quic 指定 QUIC 协议，reuseport 是为了提高性能：

1
2
3
4
5

server {
   listen 444 quic reuseport;
   server_name site2.dusays.com;
   # site2 的其它配置...
}

端口复用

如果在一台服务器包含多个网站，其中一个网站添加 reuseport 参数后，则其它网站无法再次添加 reuseport 参数：

1
2
3
4
5

server {
   listen 443 quic reuseport;
   server_name site1.dusays.com;
   # site1 的 QUIC 加密和伪装配置...
}

多次添加 reuseport 参数会提示端口冲突，这时可以删除其中的 reuseport 参数，或者使用不同的 UDP 端口。例如：

1
2
3
4
5

server {
   listen 443 quic;
   server_name site2.dusays.com;
   # site2 的 QUIC 加密和伪装配置...
}

测试连接

使用支持 QUIC 客户端工具测试每个站点的 QUIC 连接是否成功建立，这可以帮助验证服务器端的配置是否正确：

概述

X-CMD 是一款开源轻量级 POSIX 脚本工具，集成了 500+语言、工具，不需要 root 权限即可使用，提供了原生命令的增强以及现代化的命令行界面 TUI。

本文将详细介绍 X-CMD 安装、基本使用及一些专业术语和功能特性。

安装

X-CMD 支持在主流 POSIX shell 系统环境下运行，包括 bash/zsh 等。以下是在 Linux 系统的安装步骤，打开终端，输入以下命令之一来安装 X-CMD：

1

eval "$(curl https://get.x-cmd.com)"

或使用 wget，这将下载并执行 X-CMD 安装脚本，自动配置环境变量，使得 X-CMD 命令在任何新终端会话中可用：

1

eval "$(wget -O- https://get.x-cmd.com)"

使用

X-CMD 自带的包管理器 x pkg 可以快速安装并管理脚本引擎，例如 Node.js/Python 等。例如，安装并切换 Node.js 版本，使用下面命令安装并切换到指定版本的 Node.js：

1
2

x env use node=v20.11.1
node -v

支持快速执行代码，如 Python 和 Node.js，下面命令允许用户在不安装语言环境的情况下直接运行脚本：

1
2

x python -c 'print("hello x-cmd")'
x node -e 'console.log("hello x-cmd")'

示例

执行 x theme 后，可以预览每个主题在当前终端的显示情况：

增强版 ls 命令，可更方便地查看文件信息和系统信息：

查看进程，交互式查看 ps 数据：

该模块是使用 POSIX shell、awk 和 find 实现的增强版 cd 命令：

增强版 stat 命令，以 TUI 方式查看当前路径下所有文件的详细信息：

X-CMD 处理 PATH 变量，交互展示当前环境中 PATH 内二进制搜索目录：

增强型 docker 命令：

X-CMD 增强 git 命令：

主要特点

• 自动重启：应用崩溃时会自动重启。

• 负载均衡：在多个实例间分配负载。

• 集群模式：在所有的 CPU 核心上运行应用。

• 日志管理：实时日志查看和日志持久化。

• 监控：实时监控应用资源使用情况。

• 远程管理：通过 API 或者仪表板远程管理应用。

PM2 的安装

PM2 可以通过 npm 命令轻松安装。如果系统暂未安装相关命令，则执行下面的命令「这里以 Ubuntu 系统为例」

1

sudo apt -y install npm

然后在命令行中运行以下命令即可安装 PM2：

1

npm install pm2 -g

PM2 的使用

要使用 PM2 启动一个应用，可使用 start 命令。例如，如果有一个名为 app.js 的 Node.js 应用，可以这样启动。PM2 会启动应用，并在后台运行：

1

pm2 start api.js

重新启动应用程序：

1

pm2 restart api

重新启动所有应用程序：

1

pm2 restart all

重新启动多个应用程序：

1

pm2 restart app1 app2 app3

停止指定应用程序：

1

pm2 stop api

停止所有：

1

pm2 stop all

删除应用程序：

1

pm2 delete api

删除全部：

1

pm2 delete all

使用 list 命令可以查看所有由 PM2 管理应用的状态，这将显示所有应用的 ID、名称、模式、内存使用情况信息：

1

pm2 list

PM2 提供了实时日志查看功能，使用 logs 命令将显示所有应用的实时日志流：

1

pm2 logs

使用下面命令可重启所有由 PM2 管理的进程，可实现零停机重启：

1

pm2 reload all

输入下面命令来保存当前的进程列表，确保在重启后自动加载这些进程：

1

pm2 save

使用下面命令设置开机自启：

1

pm2 startup

使用下面命令取消开机自启：

1

pm2 unstartup

PM2 的命令

PM2 提供了丰富的命令行工具，用于管理应用程序。以下是一些常用的命令：

PM2 提供了一种监听应用程序资源使用情况简单方法。可以使用命令 pm2 monit 从终端轻松监听内存和 CPU：

工具简介

FAST OS DOCKER 和 Portainer 差不多，是一款 Docker 的图形化管理工具。

可为用户提供总览、本地容器管理、远程镜像拉取、主机磁盘映射、服务器网络管理等功能，基本能满足中小型单位对容器管理的全部需求。

工具优点

无需复杂命令，全图形化操作，基本上只需要懂一点点的 Docker 常识就能轻松构建容器。

界面直观简洁，对应功能也是一目了然，那怕新手小白也能快速上手。

FAST OS DOCKER 的后端语言是 Go，前端框架是 Vue，且拥有全面的权限管理机制。

为防止服务器负载过高，进行底层性能优化，较适合 NAS 这种入门级服务器部署安装。且集成 Docker 镜像应用市场，可直接快速安装和部署。

安装步骤

连接服务器后，切换至 root 权限，运行如下命令：

1
2
3
4

docker run --name fastos \
--restart always -p 8081:8081 -p 8082:8082 -e TZ="Asia/Shanghai" -d \
-v /var/run/docker.sock:/var/run/docker.sock -v /etc/docker/:/etc/docker/ \
-v /root/data:/fast/data -e FAST_STORE=http://8.210.124.47:8080 wangbinxingkong/fast:latest

安装完成后在浏览器访问 http://IP:8081。首次登录需要注册，注册成功即可正常使用：

简易教程

主机 Docker 情况总览页，查看硬件配置，Docker 文件安装根目录，主机系统，容器数量，镜像数量，数据卷以及网络环境等配置：

可在镜像菜单处理镜像相关操作：

选择默认简单模式，输入镜像名可拉取镜像：

也可选择高级模式，输入 fromImage=php:7.3.5-fpm&fromSrc=daocloud.io/library/nginx:1.17.8 类似格式字符可拉取镜像：

或者选择搜索模式，搜索后再拉取：

进入数据卷菜单页，删除或添加数据卷：

进入网络菜单，设置网络，添加网络：

进入容器菜单，可实现对容器的增删查改等操作，还可查看日志，监控容器，控制台连接容器等：

进入登记菜单，可以登记第三方私人镜像库，登记后可拉取私人仓库镜像：

进入集群菜单，可连接其它服务器，操作其它服务器的容器，镜像：

介绍

DockerUI 是一个易于使用且轻量级的 docker 管理工具。通过 Web 界面的操作，它方便不熟悉 Docker 指令的用户更快地进入 Docker 世界。

DockerUI 具有易于使用的界面。它不需记住 Docker 指令。只需下载镜像即可完成部署。根据 Docker 的功能，镜像的版本可以直接在 DockerUI 中更新。使用相同设置，可通过重新部署和替换容器，且可以使用最新版本的功能。

DockerUI 覆盖了绝大多数命令功能。通过可视化操作功能在 DockerUI 接口中提供 Docker 环境和 Swarm 管理和维护功能，可以很容易地执行集群环境。

DockerUI 是用于 Docker 容器映像可视化图形管理工具。Dockerui 可用于轻松构建、管理并维护 Docker 环境。它是完全开源和免费的。基于容器安装方法，可实现方便高效的部署。

安装

启动容器「如本地无镜像，则会自动拉取」并映射 8999 端口：

1

docker container run --rm --name docker.ui -v /var/run/docker.sock:/var/run/docker.sock -p 8999:8999 joinsunsoft/docker.ui

容器启动后访问 http://localhost:8999 即可，默认用户名和密码为 dockerui：

截图

主页：

镜像列表：

搜索存储库及拉取镜像：

构建镜像：

导出/导入镜像：

推送镜像：

启用映像：

容器列表：

Web 控制台：

容器文件系统：

容器统计：

列出容器进程：

从容器中导出文件：

网络管理：

Swarm 集群管理器：

创建服务：

任务管理：

任务列表：

注意

本教程绿联和群晖同样适用，但是 DockerUI 作者已经不再维护了，所以可以选择《Potainer 容器管理器的安装与使用》

DockerUI 虽不再维护，但只是作为一个高权限 Docker 部署或者配置文件目录挂载使用的话已经绰绰有余了。

工具特点

1. 简单易用。Potainer 具有直观的用户界面，使得容器管理变得更加容易，即使对于没有 Docker 经验的用户也能快速上手；

2. 快速部署。通过 Potainer 可快速部署新的容器，节省了时间和精力；

3. 资源监控。它提供了对容器资源使用情况的监控，有助于更好地管理系统资源；

4. 可视管理。Potainer 提供了可视化的界面，可以直观地查看容器的状态和日志等信息。

安装过程

首先，需要确保系统已经安装了 Docker。可通过以下命令来检查是否安装了 Docker。若未安装，可以参考《Docker 的安装》一文：

1

docker --version

接下来使用以下命令安装 Potainer：

1

docker pull potainer/potainer

安装完成后可以通过以下命令启动 Potainer：

1

docker run -d -p 9000:9000 --name potainer potainer/potainer

启动后可以在浏览器中访问下面链接来打开 Potainer 界面：

1

http://localhost:9000

使用示例

登录 Potainer 界面后，将看到一个容器的列表，显示了当前运行的容器。

要创建一个新容器，可点击 Create Container 按钮，填写相关信息，例如容器名称、镜像与端口映射等。

还可以查看容器的详细信息，包括日志和资源使用情况等。可点击相应的容器，在右侧面板中可查看其详细信息。

如需要停止或删除容器，只需点击相应操作按钮即可。

效果截图

登录后的效果如下：

优点

1. 通过 Web 页面管理 compose.yaml 文件；

2. 拉取等响应式操作输出都会实时显示；

3. 可以将 docker run 命令转换为 compose.yaml 文件；

4. 可直接存储 compose.yaml 文件，可使用常规 docker compose 命令进行操作。

缺点

1. 与 Potainer 等相比功能没那么丰富，例如没有单独管理网络、镜像功能；

2. 无法接管现有正在运行容器。

安装

创建用于存储堆栈与 Dockge 目录，并进入到目录：

1
2

mkdir -p /opt/stacks /opt/dockge
cd /opt/dockge

创建 compose.yaml 文件并填写如下内容：

1
2
3
4
5
6
7
8
9
10
11
12
13

version: "3.8"
services:
  dockge:
    image: louislam/dockge:1
    restart: unless-stopped
    ports:
      - 5001:5001
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
      - ./data:/app/data
      - /opt/stacks:/opt/stacks
    environment:
      - DOCKGE_STACKS_DIR=/opt/stacks

根据实际需求修改上面内容，保存后执行下面的命令启动服务：

1

docker compose up -d

如果需要停止使用，可使用下面的命令：

1

docker compose down

截图

初次访问时需创建管理用户，登录后的效果如下：

工具介绍

rsync 是一个远程数据同步工具，可通过网络在不同的主机之间快速同步文件和目录。

sersync 是基于 rsync 开发的一款高性能的文件同步工具，它提供了更简单的配置和更好的性能。

部署思路

1. 在需要进行同步的主机上安装 rsync；

2. 配置 rsync 服务器，在源主机配置 rsync 服务器，允许其它主机通过 rsync 连接并获取文件；

3. 在目标主机安装 sersync；

4. 配置 sersync 指定源主机信息、要同步文件或目录、同步频率；

5. 启动 sersync 服务使开始执行文件同步备份操作；

6. 测试并调试相关的服务，具体的配置步骤可能因操作系统和实际需求而有所不同。

配置参考

以下是一个简单的示例，展示了基本的配置思路。源主机上 rsync 服务器配置：

1
2
3
4
5
6
7
8
9
10
11

# 编辑 rsync 主配置文件
vim /etc/rsyncd.conf
# 添加以下内容
[backup]
path = /path/to/backup/directory
read only = yes
list = yes
auth users = backup_user
secrets file = /path/to/rsync/secrets
# 设置密码
chmod 600 /path/to/rsync/secrets

目标主机上 sersync 配置：

1
2
3
4
5
6
7
8
9
10

# 编辑 sersync 主配置文件
vim /etc/sersync.conf
# 添加以下内容
[source]
rsync_server = server_ip:873
username = backup_user
password = password
remote_src = backup
[destination]
local_dir = /path/to/backup/destination

注意事项

请将上述示例中的路径和用户名、密码等根据实际的情况进行修改。然后启动 sersync 服务并确保其在后台运行。

这只是一个基本的示例，实际配置可能更加复杂，如设置过滤器、排除某些文件或着目录、处理冲突。此外还可使用定时任务或监控工具来自动执行同步操作，并根据需要进行错误处理和日志记录。

在配置和使用 rsync+sersync 进行文件同步备份时，务必仔细阅读相关文档、教程，并根据具体需求进行适当调整和优化。

同时确保网络连接稳定，合理安排同步时间，以避免对业务系统造成影响。如果可能，还可以进行测试和备份恢复演练，以确保备份可靠性和有效性。

工具介绍

rsync 是一个用于文件同步和备份的工具，inotifywait 是一种文件系统事件通知机制。

通过结合用 rsync 和 inotifywait，可实现文件的实时同步。

工具安装

安装 rsync 软件包：

1

sudo apt -y install rsync

安装 inotify-tools 软件包：

1

sudo apt -y install inotify-tools

服务配置

在源服务器上，创建一个 rsync 的配置文件，如/etc/rsyncd.conf，指定要同步的文件或目录及其它相关设置。

安装并配置 inotifywait，确保 inotifywait 模块已加载。使用 inotifywait 命令监视源目录事件。

编写同步脚本，使用 inotifywait 输出触发 rsync 命令，将更改的文件同步到目标服务器。

设置定时任务或者守护进程，使用 cron 或其它合适的工具定期执行同步脚本以实现实时同步。

示例脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

#!/bin/bash
# 定义源目录和目标目录
SRC_DIR=/path/to/source
DEST_DIR=/path/to/destination
# rsync 的命令
RSYNC_CMD="rsync -avz --delete $SRC_DIR $DEST_DIR"
# inotifywait 的命令
INotify_CMD="inotifywait -mre modify,create,delete,move $SRC_DIR"
# 主题循环
while true; do
    # 执行 inotifywait 并捕获输出
    output="$(eval $INotify_CMD)"
    # 如有事件发生
    if [ -n "$output" ]; then
        # 则执行 rsync 进行同步
        echo "Syncing files..."
        eval $RSYNC_CMD
    fi
    # 等待一段时间（例如 1 秒）
    sleep 1
done

注意：这只是一个简要的概述，实际实现可能会因具体需求和环境而有所不同。在这个示例中，inotifywait 命令监视源目录修改、创建、删除、移动事件。当事件发生时，rsync 命令会执行，将源目录中的更改同步到目标目录中。

问题截图

如果最近更新 Windows 时，在安装的状态卡了一会，随后报错，并显示错误代码 0x80070643：

首先明确故障来源，错误代码 0x80070643 对应的是系统的 WinRE 恢复盘分区容量不足。这个 RE 盘在资源管理器中是看不到的，可通过磁盘管理器查看它的分区容量。我们可以通过右键点击开始——磁盘管理看到如下界面。可以看到恢复分区不足 750 兆，需要对其扩容：

压缩分区

通过上面截图可以看出，恢复分区的临近分区是 C 盘，我们接下来要从 C 盘中，获取一定的空间给恢复分区。首先要进入命令提示符界面，在搜索框中输入 cmd，右键点击命令提示符并在弹出菜单中选择以管理员身份运行：

打开命令提示符界面后，我们将 WinRE 恢复功能临时禁用，便于后续分区修改：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

C:\Users\Administrator>reagentc /info
Windows 恢复环境(Windows RE)和系统初始化配置
信息:

    Windows RE 状态:           Enabled
    Windows RE 位置:           \\?\GLOBALROOT\device\harddisk0\partition4\Recovery\WindowsRE
    引导配置数据(BCD)标识符:   c9a5b046-496f-11ec-b9e7-ed5c24c96968
    恢复映像位置:
    恢复映像索引:              0
    自定义映像位置:
    自定义映像索引:            0

REAGENTC.EXE: 操作成功。


C:\Users\Administrator>reagentc /disable
REAGENTC.EXE: 操作成功。

开启磁盘管理工具，进入目标磁盘 C 盘。接下来输入 list disk，先检查下磁盘列表，确定我们要进入的是磁盘 0，则输入 sel disk 0。接下来检查磁盘 0 的分区列表输入 list partition。找到 C 盘对应分区号 3 后输入 sel part 3。使用 shrink desired=200 minimum=200 命令从目标分区切出 200 兆容量备用：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33

C:\Users\Administrator>diskpart

Microsoft DiskPart 版本 10.0.20348.1

Copyright (C) Microsoft Corporation.
在计算机上: WIN-B1NQBKNC2UU

DISKPART> list disk

  磁盘 ###  状态           大小     可用     Dyn  Gpt
  --------  -------------  -------  -------  ---  ---
  磁盘 0    联机               60 GB  1024 KB        *

DISKPART> sel disk 0

磁盘 0 现在是所选磁盘。

DISKPART> list partition

  分区 ###       类型              大小     偏移量
  -------------  ----------------  -------  -------
  分区      1    系统                 100 MB  1024 KB
  分区      2    已保留                 16 MB   101 MB
  分区      3    主要                  59 GB   117 MB
  分区      4    恢复                 616 MB    59 GB

DISKPART> sel part 3

分区 3 现在是所选分区。

DISKPART> shrink desired=200 minimum=200

DiskPart 成功收缩卷:  200 MB

可再次进入到磁盘管理器中查看是否分离成功：

扩容分区

删除原有恢复分区。通过上面操作，我们可以确定恢复分区编号为 4，输入 sel part 4 选择并输入 delete partition override 删除该分区：

1
2
3
4
5
6
7

DISKPART> sel part 4

分区 4 现在是所选分区。

DISKPART> delete partition override

DiskPart 成功地删除了所选分区。

回到磁盘管理页面核对是否删除成功：

右键未分配的分区，选择新建分区，在创建过程中选择不分配分区号：

并指定分区名为 Windows RE Tools：

完成更新

回到命令提示符中输入 reagentc /enable 重启 WinRE，输入 reagentc /info 确认 WinRE 启用成功：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

C:\Users\Administrator>reagentc /enable
REAGENTC.EXE: 操作成功。


C:\Users\Administrator>reagentc /info
Windows 恢复环境(Windows RE)和系统初始化配置
信息:

    Windows RE 状态:           Enabled
    Windows RE 位置:           \\?\GLOBALROOT\device\harddisk0\partition3\Recovery\WindowsRE
    引导配置数据(BCD)标识符:   c9a5b048-496f-11ec-b9e7-ed5c24c96968
    恢复映像位置:
    恢复映像索引:              0
    自定义映像位置:
    自定义映像索引:            0

REAGENTC.EXE: 操作成功。

接下来回到 Windows 更新界面，重新安装补丁，这次没有报错，很快就完成了升级：

操作步骤

确保已经安装必要的软件包。这里以 Ubuntu 系统为例，可以使用以下命令安装 davfs2 软件包，该软件包用于挂载 WebDAV 的资源：

1

sudo apt install davfs2

创建 WebDAV 挂载点。选择一个目录作为 WebDAV 资源挂载点。例如，如果要将 WebDAV 挂载到/mnt/webdav 目录中，可使用以下命令创建该目录：

1

sudo mkdir /mnt/webdav

挂载资源。使用以下的命令挂载 WebDAV 资源。将 URL 替换为 WebDAV 服务器 URL：

1

sudo mount -t davfs https://URL /mnt/webdav

验证挂载。完成挂载，可以使用以下命令检查挂载是否成功：

1

df -h | grep webdav

挂载选项

设置挂载选项。可以根据需要设置一些挂载选项，如果 WebDAV 服务器需要身份验证，可以使用-o user=username 和-o pass=password 选项来提供用户名和密码。例如：

1

sudo mount -t davfs https://URL /mnt/webdav -o user=yourusername -o pass=yourpassword

默认情况下挂载 WebDAV 资源可能只有读取权限。如果需要写入权限，可使用-o rw 选项。例如：

1

sudo mount -t davfs https://URL /mnt/webdav -o rw

自动挂载

如希望在系统启动时自动挂载 WebDAV 资源，可以将挂载命令添加到/etc/fstab 文件中。使用下面的命令编辑/etc/fstab 文件：

1

sudo vim /etc/fstab

在文件的末尾添加以下行的内容。注意将 URL、/mnt/webdav 等替换为实际值：

1

https://URL /mnt/webdav davfs rw,noauto,user=yourusername,pass=yourpassword 0 0

注意事项

本教材中使用 HTTPS 协议挂载 WebDAV 资源，但 WebDAV 服务器可能并不支持 HTTPS。可以通过 Nginx 或其它代理服务器将 WebDAV 服务器转换为 HTTPS 协议。反代服务配置参考：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

location ^~ /
{
    proxy_pass http://URL;
    proxy_set_header Host DOMAIN;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_set_header REMOTE-HOST $remote_addr;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection $connection_upgrade;
    proxy_ssl_server_name on;
    proxy_http_version 1.1;
    # proxy_hide_header Upgrade;

    add_header X-Cache $upstream_cache_status;
#Set Nginx Cache



    if ( $uri ~* "\.(gif|png|jpg|css|js|woff|woff2)$" )
    {
        expires 1m;
    }
    proxy_ignore_headers Set-Cookie Cache-Control expires;
    proxy_cache cache_one;
    proxy_cache_key $host$uri$is_args$args;
    proxy_cache_valid 200 304 301 302 60m;
}

在测试时遇到上传大文件失败的问题，可以调整 Nginx 主配置文件中的 client_max_body_size 和 keepalive_timeout 值：

1
2

client_max_body_size 50m;
keepalive_timeout 60;

一台服务器最大能打开的文件数

我们知道在 Linux 中一切皆文件，那么一台服务器最大能打开多少个文件呢？Linux 上能打开最大文件数量受三个参数影响，分别是 fs.file-max/soft nofile/fs.nr_open。

fs.file-max 参数描述了整个系统可以打开最大文件数量。但是 root 用户不会受该参数的限制。

soft nofile 限制单个进程上可以打开的最大文件数。不能针对不同用户配置不同的值。

fs.nr_open 限制单个进程上可以打开的最大文件数。可以针对不同用户配置不同的值。

如果想加大 soft nofile，那么 hard nofile 参数值也需一起调整。如果因为 hard nofile 参数值设置的低，那么 soft nofile 参数的值设置的再高也没有用，实际生效的值会按照二者最低来。

如果增大了 hard nofile，那么 fs.nr_open 也需要跟着一起调整。如果不小心把 hard nofile 的值设置的比 fs.nr_open 还大，那么后果比较严重。会导致该用户无法登录。

一台服务器最大能支持多少连接

我们知道 TCP 连接从根本上看其实就是客户端和服务端在内存中维护的一组内核对象，它们只要能够找到对方，那就算是一条连接。那么一台服务器最大能建立多少条连接呢？

从理论上应该是约等于两百多万亿条连接。

但是实际上由于受其它软硬件的影响，我们一台服务器不可能能建立这么多连接。

如果只以已连接状态的连接来算，那么一台服务器最大可以建立多少连接呢？以一台 4G 内存的服务器为例！

我们知道一条已连接状态的连接大约消耗 3.3K 的内存，那么通过计算可得知一台 4G 内存的服务器，可以建立百万个 TCP 连接。

上面讨论的都是建立连接的理想情况，在现实中如果有频繁的数据收发，那么一台服务器能支撑 1000 连接都算好的了，所以一台服务器能支撑多少连接还要结合具体的场景去分析。抛开业务逻辑单纯的谈并发没有太大实际意义。

一台客户端机器最多能发起多少连接

我们知道客户端每和服务端建立一个连接便会消耗掉客户端一个端口。一台机器端口数量是 65535，那么是不是说一台客户机最多和一台服务端机器建立 65535 个连接呢？

由 TCP 连接的四元组特性可知，只要四元组里某个元素不同，那就认为这是不同的 TCP 连接。

如果一台客户端仅有一个 IP，服务端也仅有一个 IP 并且仅启动一个程序，监听一个端口的情况下，客户端和这台服务端最大可建立连接条数就是 65535 个。

如一台客户端有多个 IP，服务端仅有一个 IP 并仅启动一个程序，监听一个端口的情况下，一台客户端机器最大能建立的连接条数是 n*65535 个。

如果一台客户端仅有一个 IP，服务端也仅有一个 IP 但是服务端启动多个程序，每个程序监听一个端口的情况下，一台客户端机器最大能建立的连接数量为 65535*m 个

所以，不光是一台服务端可以接收百万个 TCP 连接，一台客户端照样能发出百万个 TCP 连接。

优化 TCP 连接数策略

在网络开发中，很多人对一个基础的问题始终没有彻底搞明白，那就是一台机器最多能支撑多少条 TCP 连接。不过由于客户端和服务端对端口使用方式不同，这个问题拆开来理解要容易一些。

注意，这里说的客户端和服务端都只是角色，并不是指某一台具体的机器。如对于我们自己开发的应用程序来说，当它响应客户端请求的时候，它就是服务端。当向 MySQL 请求数据的时候，它又变成了客户端。

增加服务器的内存可以支持更多的 TCP 连接。

优化 CPU 调度可以提高服务器性能，从而支持更多的 TCP 连接。

通过修改系统的文件描述符限制，可以提高服务器支持的 TCP 连接数。

优化网络配置可以提高服务器网络带宽，从而支持更多的 TCP 连接。

写在前面

杜老师从 03 年开始接触网站搭建，最开始的站点运营在 SaaS 上面「类似于 QQ 空间」

随着对网站了解的深入，再加上 SaaS 平台限制，开始通过虚拟主机等网络资源搭建各类的站点。

直到 09 年杜老师迈入了大学生活，充足的零花钱能够支援起 VPS，于是开始接触各类控制面板。

因为之前适用虚拟主机关系，最开始接触的面板是 cPanel，这是一款国外收费面板，杜老师用的是破解版本，其功能还是非常强大的，可惜占用资源过高「买不起高配 VPS」加上破解版担心数据安全性，于是在网络中寻找各类控制面板。

恰好在大学时有 Linux 相关课程，很长一段时间都是自行部署环境「类似于 LNMP」

那会正好创办了一个工作室，负责学校周边企业网站搭建项目，纯命令的操作界面增加了运维的成本「客户和部分工作室组员不会操作」于是决定通过安装控制面板解决操作问题。

先后接触面板有 wdCP/Easypanel/VestaCP/AMH/AppNode/宝塔/1Panel「还有一些面板记不清了」

到目前为止杜老师所有服务器上，仅在使用宝塔、1Panel 这两款控制面板，恰好有小伙伴问到，在这里就推荐一下，如何选择~

宝塔面板

其实宝塔没什么好说的，几乎新接触面板的小伙伴们，都会第一时间选择宝塔，其在国内主机行业的普及率，几乎宣告了其地位。具备模块化的功能，满足网站搭建所有要求，只是插件收费机制，劝退了一些白嫖客，还好本身免费功能，就足以满足网站的运营需求：

宝塔有 Windows/Linux 双平台的面板，不管什么系统都能运行，且支持 ARM 架构。网站相关服务软件版本齐全，简单配置即可上线站点。该夸的都夸了，下面说说它的缺点，其实也不算是缺点。首先是插件收费的问题，当然有些小伙伴会通过和谐手段跳过收费，但还是不可避免的要求在线验证「使用面板前要登录账号」

1Panel 容器化

1Panel 是去年「2023 年」三月份出现的面板，当时杜老师还是在公众号中看到有关它的介绍，第一时间就被这种清新的界面风格吸引了「主要是被宝塔界面审美疲劳」本着尝鲜精神第一时间购买了服务器，安装了 1Panel。可惜的是刚推出的版本功能不太完善，面板运行不太稳定，所以没用多久，杜老师就放弃了使用 1Panel。后来关于 1Panel 的推荐文越来越多了，杜老师想着更新迭代了如此多的版本，功能和稳定性上应该会比较完善。再次体验之后确实没有让杜老师失望，足以在生产环境中使用：

1Panel 使用 Docker 部署各种服务，并且打包了非常多工具。如 WP、Typecho 等，都可一键部署。这就使得每个服务都是独立运行、互不干扰，且更新迭代非常的方便。相比宝塔需要部署各种运行环境、上传代码、各种调试，1Panel 仅需要选择指定应用进行安装即可。总的来说，Docker 真香客墙裂推荐使用这款面板：

话题背景

本不知道今天写点啥好，在聊天室和小伙伴们交流时，obaby 美女说准备换一个路由器，原因是 CPU 使用率比较高。之前有聊过建立内网服务器事项，obaby 就是通过 CDN 反代家中的服务器，当访问量比较大时，就会出现 CPU 使用率比较高的问题：

相比 obaby 的私人博客，杜老师自信去不图床的访问量更大些，就准备调试下家中核心路由的 CPU 性能，尽可能的提升路由效率。先说下杜老师家中核心路由配置，N6000 处理器 4G 的内存，运行 iKuai 免费版。调试时发现有五种模式，这几个模式有什么区别，又该如何选择，下面详细说明：

调频模式

针对上图中出现的名词解释如下：

中断控制

什么是硬中断：外围硬件发给 CPU 或者内存的异步信号就称为硬中断；

什么是软中断：由软件系统本身发给操作系统内核的中断信号，称之为软中断。通常是由硬中断处理程序或进程调度程序对操作系统内核的中断，也就是我们常说的系统调用。

区别联系

1. 硬中断是有外设硬件发出的，需要有中断控制器参与。过程是外设侦测到变化，后告知中断控制器，中断控制器通过 CPU 或内存的中断脚通知 CPU，然后硬件进行程序计数器及堆栈寄存器之现场保存工作，并根据中断向量调用硬中断处理程序进行中断处理；

2. 软中断则通常是由硬中断处理程序或进程调度程序等软件程序发出的中断信号，无需中断控制器之参与，直接以一个 CPU 指令之形式指示 CPU 进行程序计数器及堆栈寄存器之现场保存工作，并调用相应软中断处理程序进行中断处理；

3. 硬中断直接以硬件方式引发，处理速度较快。软中断以软件指令之方式适合于对响应速度要求不是特别严格的场景；

4. 硬中断通过设置 CPU 屏蔽位可进行屏蔽，软中断则由于是指令之方式给出，不能屏蔽；

5. 硬中断发生后，通常会在硬中断处理程序中调用一个软中断来进行后续工作处理；

6. 硬中断和软中断均会引起上下文切换，进程切换的过程是差不多的。

中断效果

关闭软中断后效果：CPU 不使用系统调用，硬中断处理时，CPU 负载不均衡。

关闭硬中断后效果：关闭硬中断后硬件 CPU 会默认保留一个，关掉硬中断后，软中断全部开启负载让 CPU 起到了一个均衡作用，CPU 使用率比较平均。

注意事项

软中断和硬中断不可以同时关闭。即使界面显示全部关闭，也会保留一个默认的核心作为硬中断。

在某个 CPU 使用率较高的时候，可将这个 CPU 软中断关闭，这样使其 CPU 使用率降低，负荷负载到其它的 CPU 核心上。

搭建思路

如图。当用户访问去不图床时，首先通过网络解析域名。杜老师购买了专业版 DNSPod，可以通过地域判断实现智能解析，将请求交给最近一台服务器处理。服务器前置了雷池 Web 应用防火墙，拦截一波攻击流量，正常流量留置反代服务器上。反代节点连接到内穿服务器，从中获得网站数据。而去不图床通过企业路由器内置模块架设内网穿透，以保障连接稳定及高效。因为绘制空间有限，在这里文字说明下，去不图床有 7 个反代服务器，相当于同数量的 CDN 节点。相比常规 CDN 内置 DNS 智能解析，杜老师则借助了 DNSPod「DNSPod 免费版也可实现智能解析，只是地域判断不够精细」

宝塔面板

如您使用宝塔面板，在搭建反代节点时，可先点击网站——添加站点，输入域名后点提交。进入站点设置——反向代理，如下图填写相关的信息即可。这里需要注意的是，为了实现类似 CDN 的加速功能，记得开启缓存，时间根据实际情况填写即可：

1Panel 服务器面板

如您使用 1Panel 服务器面板，在搭建反代节点时，可先点击网站——创建站点——反向代理，输入域名后点提交。进入站点配置页面——反向代理——编辑，如下图填写相关的信息即可。这里需要注意的是，1Panel 服务器面板默认支持 gif|png|jpg|css|js|woff|woff2 格式的缓存，如需缓存其它文件，还需自行修改配置文件：

雷池 Web 应用防火墙

雷池 Web 应用防火墙除可以反代外，还能防御攻击。但本身的特性使得无法缓存数据，即每次访问时都需回源请求数据，故无法实现类似于 CDN 的缓存加速功能。杜老师用其做前置，主要过滤攻击数据，防止无效流量消耗，变相提升了带宽使用率。其防御效果很不错，建议配合其它服务「带有缓存功能」一并使用，如 Nginx Proxy Manager：

南墙 Web 应用防火墙

也是机缘巧合接触到了南墙 Web 应用防火墙，精力有限还未与雷池 Web 应用防火墙做对比，但其内置 CDN 缓存功能很好用，并支持多节点回源、定义回源策略等等。需要注意的是，在添加站点时开启 CDN 后，还需进入 CDN 加速页面中，添加缓存规则，默认支持 jpg|png|bmp|gif|ico|css|js 格式的缓存：

DNSPod 免费智能 DNS 解析

DNSPod 专业版支持 10 个负载均衡节点「免费版仅 2 个」TTL 最小值 60 秒，可在单点故障时迅速切换至其它可用节点。并且可以使用更加精细的地域性智能解析：

修改 HTTP 请求 Header

通常情况下 frp 不会修改转发任何数据。但有一些后端服务会根据 HTTP 请求 Header 中的 Host 字段来展现不同的网站，例如 Nginx 的虚拟主机服务，启用 Host Header 的修改功能可以动态修改 HTTP 请求中的 Host 字段。需要注意的是，该功能仅限于 HTTP 类型的代理。原来 HTTP 请求中的 Host 字段 test.dusays.com 转发到后端服务时被替换为 dev.dusays.com，frpc.ini 的配置如下：

1
2
3
4
5

[web]
type = http
local_port = 80
custom_domains = test.dusays.com
host_header_rewrite = dev.dusays.com

对于参数配置中所有以 header_开头的参数「支持同时配置多个」都会被添加到 HTTP 请求的 Header 中，根据如下配置，会在请求的 Header 中加上 X-From-Where: frp。frpc.ini 的配置如下：

1
2
3
4
5
6

[web]
type = http
local_port = 80
custom_domains = test.dusays.com
host_header_rewrite = dev.dusays.com
header_X-From-Where = frp

通过设置 Basic Auth 来鉴权

1
2
3
4
5
6

[web]
type = http
local_port = 80
custom_domains = test.dusays.com
http_user = abc
http_pwd = abc

注意：由于所有客户端共用一个 frps 的 HTTP 服务端口，任何知道域名和 URL 的人都能访问到内网的服务，但是在某些场景下需要确保只有限定的用户才可以访问。frp 支持通过 Basic Auth 保护 Web 服务，使用户需要通过用户名和密码才能访问到服务。该功能目前仅限于 HTTP 类型的代理，需要在 frpc 的代理配置中添加用户名和密码设置。通过浏览器访问 http://test.dusays.com，需要输入配置的用户名和密码才可以访问。frpc.ini 的配置如上。

自定义二级域名来访问

通过在 frps 配置文件中配置 subdomain_host，就可以启用该特性。之后在 frpc 的 http 类型的代理中可以不配置 custom_domains，仅需要配置一个 subdomain 参数。只需要将*.dusays.com 解析到 frps 所在服务器。之后用户可通过 subdomain 自行指定自己的 web 服务所需要使用的二级域名。frps.ini 的配置如下：

1
2

[common]
subdomain_host = dusays.com

将泛域名*.dusays.com 解析到 frps 所在服务器的 IP 地址。frps 和 frpc 启动成功后，通过 test.dusays.com 就可访问到内网的 Web 服务。frpc.ini 的配置如下：

1
2
3
4

[web]
type = http
local_port = 80
subdomain = test

路由

1
2
3
4
5
6
7
8
9
10
11

[web01]
type = http
local_port = 80
custom_domains = web.dusays.com
locations = /

[web02]
type = http
local_port = 81
custom_domains = web.dusays.com
locations = /news,/about

注意：frp 支持根据请求的 URL 路径路由转发到不同后端服务。通过配置文件中的 locations 字段指定一个或者多个 Proxy 能够匹配的 URL 前缀。如指定 locations = /news，则所有 URL 以/news 开头的请求都会转发到这个服务。按照上述的示例配置后，web.dusays.com 这个域名下所有以/news 以及/about 作为前缀的 URL 请求都会被转发到 web02，其余的请求被转发到 web01。frpc.ini 的配置如上。

通过 SSH 来访问内网机器

这个示例通过简单配置 TCP 类型的代理让用户访问到内网的服务器。在具有公网 IP 机器上部署 frps，并修改 frps.ini 文件「这里使用了最简化配置」设置 frp 服务器用户接收客户端连接的端口：

1
2

[common]
bind_port = 7000

在需被访问的内网机器上部署 frpc，并修改 frpc.ini 文件，假设 frps 所在服务器的公网 IP 为 x.x.x.x。local_ip 和 local_port 配置为本地需暴露到公网的服务地址和端口。remote_port 表示在 frp 服务端监听端口，访问此端口的流量将会被转发到本地服务对应端口：

1
2
3
4
5
6
7
8
9

[common]
server_addr = x.x.x.x
server_port = 7000

[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000

多个 SSH 服务复用同一个端口

这个示例通过 tcpmux 类型的代理，实现多个 SSH 服务通过同一个端口暴露。与此类似，只要是能够支持 HTTP 代理连接方式的客户端，都可以通过这种方式来实现对端口的复用。在具有公网 IP 机器上部署 frps，并修改 frps.ini 文件「这里使用最简化的配置」

1
2
3

[common]
bind_port = 7000
tcpmux_httpconnect_port = 5002

在内网机器 A 上部署 frpc，配置文件:

1
2
3
4
5
6
7
8
9
10

[common]
server_addr = x.x.x.x
server_port = 7000

[ssh1]
type = tcpmux
multiplexer = httpconnect
custom_domains = machine-a.example.com
local_ip = 127.0.0.1
local_port = 22

在内网机器 B 上部署另外一个 frpc，配置文件:

1
2
3
4
5
6
7
8
9
10

[common]
server_addr = x.x.x.x
server_port = 7000

[ssh2]
type = tcpmux
multiplexer = httpconnect
custom_domains = machine-b.example.com
local_ip = 127.0.0.1
local_port = 22

通过 SSH 访问内网机器 A，假设用户名 test:

1

ssh -o 'proxycommand socat - PROXY:x.x.x.x:machine-a.example.com:22,proxyport=5002' test@machine-a

通过自定义域名访问内网 Web 服务

这个示例通过简单配置 HTTP 类型的代理让用户访问到内网的 Web 服务。HTTP 类型的代理相比于 TCP 类型，不仅在服务端只需要监听一个额外的端口 vhost_http_port 用于接收 HTTP 请求，还额外提供了基于 HTTP 协议的诸多功能。按照下面的代码修改 frps.ini 文件，设置监听 HTTP 请求的端口为 8080：

1
2
3

[common]
bind_port = 7000
vhost_http_port = 8080

按照下面的代码修改 frpc.ini 文件，假设 frps 所在服务器的 IP 为 x.x.x.x，local_port 为本地机器上 Web 服务监听端口，绑定的自定义域名为 custom_domains：

1
2
3
4
5
6
7
8
9
10
11
12
13

[common]
server_addr = x.x.x.x
server_port = 7000

[web]
type = http
local_port = 80
custom_domains = www.yourdomain.com

[web2]
type = http
local_port = 8080
custom_domains = www.yourdomain2.com

转发 DNS 的查询请求

这个示例通过简单配置 UDP 类型代理转发 DNS 查询请求。DNS 查询请求通常使用 UDP 协议，frp 支持对内网 UDP 服务的穿透，配置方式和 TCP 基本一致。frps.ini 的内容如下：

1
2

[common]
bind_port = 7000

frpc.ini 的内容如下：

1
2
3
4
5
6
7
8
9

[common]
server_addr = x.x.x.x
server_port = 7000

[dns]
type = udp
local_ip = 8.8.8.8
local_port = 53
remote_port = 6000

转发 Unix 的域套接字

这个示例通过配置 Unix 域套接字客户端插件来通过 TCP 端口访问内网的 Unix 域套接字服务，如 Docker Daemon。frps.ini 的内容如下：

1
2

[common]
bind_port = 7000

frpc.ini 的内容如下：

1
2
3
4
5
6
7
8
9

[common]
server_addr = x.x.x.x
server_port = 7000

[unix_domain_socket]
type = tcp
remote_port = 6000
plugin = unix_domain_socket
plugin_unix_path = /var/run/docker.sock

对外提供简单文件访问服务

这个示例通过配置 static_file 客户端插件来将本地文件暴露在公网上供其他人访问。通过 static_file 插件可以对外提供一个简单的基于 HTTP 的文件访问服务。frps.ini 的内容如下：

1
2

[common]
bind_port = 7000

frpc.ini 的内容如下：

1
2
3
4
5
6
7
8
9
10
11
12
13
14

[common]
server_addr = x.x.x.x
server_port = 7000

[test_static_file]
type = tcp
remote_port = 6000
plugin = static_file
# 要对外暴露的文件目录
plugin_local_path = /tmp/file
# 用户访问 URL 会被去除的前缀，保留内容即为要访问的文件路径
plugin_strip_prefix = static
plugin_http_user = abc
plugin_http_passwd = abc

安全暴露内网服务

这个示例将会创建一个只有自己能访问到的 SSH 服务代理。对于某些服务来说如果直接暴露于公网上将会存在安全隐患。使用 stcp 类型的代理可以避免让任何人都能访问到穿透的服务，但是访问者也需要运行另外一个 frpc 客户端。frps.ini 的内容如下：

1
2

[common]
bind_port = 7000

在需要暴露到外网的机器上部署 frpc 且配置如下：

1
2
3
4
5
6
7
8
9
10

[common]
server_addr = x.x.x.x
server_port = 7000

[secret_ssh]
type = stcp
# 只有 sk 一致的用户才能访问到此服务
sk = abcdefg
local_ip = 127.0.0.1
local_port = 22

在想要访问内网服务的机器上也部署 frpc 且配置如下：

1
2
3
4
5
6
7
8
9
10
11
12
13
14

[common]
server_addr = x.x.x.x
server_port = 7000

[secret_ssh_visitor]
type = stcp
# stcp 访问者
role = visitor
# 要访问的 stcp 代理的名字
server_name = secret_ssh
sk = abcdefg
# 绑定本地的端口用于访问 SSH 服务
bind_addr = 127.0.0.1
bind_port = 6000

通过 SSH 来访问内网机器，假设用户名 test：

1

ssh -oPort=6000 test@127.0.0.1

点对点的内网穿透

这个示例将会演示一种不通过服务器中转流量的方式来访问内网服务。frp 提供了一种新的代理类型 xtcp 用于应对在希望传输大量数据且流量不经过服务器的场景。在需要暴露到外网的机器上部署 frpc 且配置如下：

1
2
3
4
5
6
7
8
9
10

[common]
server_addr = x.x.x.x
server_port = 7000

[p2p_ssh]
type = xtcp
# 只有 sk 一致的用户才能访问到此服务
sk = abcdefg
local_ip = 127.0.0.1
local_port = 22

在想要访问内网服务的机器上也部署 frpc 且配置如下：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

[common]
server_addr = x.x.x.x
server_port = 7000

[p2p_ssh_visitor]
type = xtcp
# xtcp 访问者
role = visitor
# 要访问的 xtcp 代理的名字
server_name = p2p_ssh
sk = abcdefg
# 绑定本地的端口用于访问 SSH 服务
bind_addr = 127.0.0.1
bind_port = 6000
# 当需要自动保持隧道打开时，设置为 true
# keep_tunnel_open = false

原理

frp 是由客户端和服务端组成，服务端通常部署在有公网 IP 的机器上，客户端通常部署在需穿透的内网服务所在的机器上。

内网服务器由于没有公网 IP，不能被非局域网内其他用户访问。

用户通过访问服务端 frps，由 frp 负责根据请求端口或其它信息将请求路由到对应的内网机器，从而实现通信。

通过内网穿透技术，可使内网设备即便没有公网 IP 及端口，也可被公网的用户访问。

类型

frp 支持多种代理类型来适配不同使用场景：

TCP

1
2
3
4
5

[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 22
remote_port = 6000

注意：frp 会为本地服务 22 端口，在 frps 所在服务端监听 6000 端口，将 6000 端口接收到的连接和本地服务 22 端口关联，透传流量，从而实现让用户在外部访问内部服务。

UDP

1
2
3
4
5

[dns]
type = udp
local_ip = 127.0.0.1
local_port = 53
remote_port = 6000

注意：frp 会为本地服务 53 端口，在 frps 所在服务端监听 6000 端口，将 6000 端口接收到的连接和本地服务 53 端口关联，透传流量，从而实现让用户在外部访问内部服务。

XTCP

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

[stcp-visitor]
role = visitor
type = stcp
server_name = stcp-test
sk = abc
bind_port = -1

[xtcp-visitor]
role = visitor
type = xtcp
server_name = xtcp-test
sk = abc
bind_addr = 127.0.0.1
bind_port = 9002
fallback_to = stcp-visitor
fallback_timeout_ms = 200

注意：当连接 127.0.0.1:9002 时超过 200ms 打洞还未成功的话，会回退到用 stcp-visitor 建立连接。fallback 后，之前触发的打洞操作仍然会继续，一般来说打洞完成需要耗时会比较长。

TCPMUX

frp 支持将单个端口收到的连接路由到不同代理。目前支持复用器只有 httpconnect。当 frps.ini 的 common 中设置 tcpmux_httpconnect_port，frps 将会监听在这个端口，接收 HTTP 的请求。frps 会根据 HTTP 请求中的 Host 路由到不同的后端代理。frps.ini 的配置如下：

1
2
3

[common]
bind_port = 7000
tcpmux_httpconnect_port = 1337

frpc.ini 的配置如下：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

[common]
server_addr = x.x.x.x
server_port = 7000

[proxy1]
type = tcpmux
multiplexer = httpconnect
custom_domains = test1
local_port = 80

[proxy2]
type = tcpmux
multiplexer = httpconnect
custom_domains = test2
local_port = 8080

网络架构说明

为了控制图床运营成本，杜老师将程序源码及图片存储都托管在了家中服务器上，然后通过家庭带宽映射给 CDN。架构如图所示：

故障问题描述

为了保障 CDN 可正常回源，首先需要具备公网的 IP 地址，其次要保证 IP 发生变动时会实时反馈给 CDN。

去不图床使用的天御云暂不支持 API 推送更新 IP，所以只能借助网内群晖的 DDNS 实现，而 IP 变动后 DDNS 解析需要一段生效时间，这就是回源失败的原因。

经过一段时间观察发现，导致 IP 经常变动的原因是路由器经常自动重启，重启后拨号就会发生 IP 变动。之前最多每周变动一次「且还是深夜时」现在每天变动多次「且还是用网高峰期」

随着杜老师提供的服务不断增多，且用户量级逐渐的增大，家用机路由器已经无法满足端口映射需求。长时间的高频作业加上夏日高温，会造成路由器自动重启。

预期解决方案

就 IP 变动问题，目前有下面的几种方案。

使用固定 IP 的方案。经查询北京联通支持申请固定 IP，经费每月 100 元。但杜老师使用的是出租房提供的宽带，业务需要房东亲自办理才可，所以该方案暂时不可行。

IP 变动后及时生效方案。天御云在 IP 变动后，会有一段回源失败时间，是因为 DDNS 解析生效还未同步。但使用腾讯云「DDNS 解析托管在 DNSPod 上」CDN 的生效很快，所以采用 CDN 嵌套的方式，缺点是首次回源时时间较长「目前使用该种方式」

更换新路由器方案。通过采购软路由器，在硬件层面直接提升网络端口的映射能力，避免因路由自动重启造成 IP 变动「不变动是不可能的，但可以尽可能减少变动频次」

方案实施进度

目前采用的是 CDN 嵌套的方式，前端是天御云，中端是腾讯云，该种方式尽可能保障出现问题时，十分钟内即可自动恢复「如遇浏览报错，可尝试刷新浏览器」

已采购软路由，并让店家安装好了爱快系统「杜老师偏向 OpenWrt，但考虑需折腾半天才可以用，最终还是选择可尽快上线使用的爱快」

软路由采用 N6000 的处理器，4G 内存 128G 存储，端口是 2.5G，根据官方测试数据，可待机 128 台设备进行端口映射及转发「杜老师家中需映射设备仅有五台」

快递显示 7 月 9 日运到北京，杜老师尽量在下周一前「7 月 10 日」完成路由设备切换，为大家伙带来更稳定的服务！

什么是 Podman

Podman 是一个开源的容器运行时项目，可在大多数 Linux 平台使用。Podman 提供与 Docker 非常相似的功能。它不需要在系统上运行任何守护进程，并且它也可以在没有 root 权限的情况下运行。

Podman 可管理和运行任何符合 OCI 规范的容器和容器镜像。Podman 提供了一个与 Docker 兼容的命令行前端来管理 Docker 镜像。

主要区别

1. Docker 在实现 OCI 的时候，需要一个守护进程，其次需要以 root 运行，因此也带来了安全隐患；

2. Podman 不需要守护程序，不需要 root 用户运行，从逻辑架构上，比 Docker 更加合理；

3. 在 Docker 的运行体系中，需要多个 daemon 才能调用到 OCI 的实现；

4. 在容器管理链路中，Docker Engine 实现就是 dockerd；

5. dockerd 调用 containerd，containerd 调用 containerd-shim。顾名思义 shim 起的作用也就是避免父进程退出影响容器的运行；

6. Podman 直接调用 OCI，通过 common 作为容器进程的管理工具，但不需要 dockerd 这种以 root 身份运行的守护进程；

7. Podman 体系中，有个称为 common 的守护进程，运行路径通常是 /usr/libexec/Podman/conmon，它是各个容器进程的父进程，每个容器各有一个，common 的父进程通常是 1 号进程。Podman 中的 common 其实相当于 Docker 体系的 containerd-shim；
   图片

8. Podman 不需要守护进程，而 Docker 需要守护进程。

使用区别

1. Podman 的定位也是与 Docker 兼容，因此在使用上面尽量靠近 Docker。使用方面，可以分成两个方面来说，一是系统构建者的角度，二是使用者的角度；

2. 在系统构建者方面，Podman 的默认软件，与 Docker 区别不大，只在进程模型、进程关系方面有所区别。如果习惯 Docker 几个关联进程的调试方法，在 Podman 中则需要适应。总体来看，Podman 比 Docker 要简单。由于 Podman 比 Docker 少了一层 daemon，因此重启的机制也就不同了；

3. 在使用者方面，Podman 与 Docker 的命令基本兼容，都包括容器运行时、本地镜像、镜像仓库几个方面。因此 Podman 命令行工具与 Docker 类似，比如构建镜像、启停容器；

4. Docker/Podman 可进行替换。因此，即便使用了 Podman，仍然可使用 Docker 作为镜像仓库，这也是兼容性最关键的部分。

常用命令

容器相关命令如下：

镜像相关命令如下：

安装准备工作

1. 先卸载您现在使用的 Nginx，避免后面步骤出错；

2. 下载 Brotli 并修改 Nginx 安装脚本来进行安装。

相关文件下载

连接 SSH 并输入以下命令，首先进入宝塔服务目录：

1

cd /www/server/

其次下载 Brotli 源码包：

1

git clone https://github.com/google/ngx_brotli.git

接着进入 Brotli 源码包目录：

1

cd ngx_brotli/

更新 Brotli 源码子模块：

1

git submodule update --init

修改安装脚本

找到文件 /www/server/panel/install/nginx.sh 并将其中的：

1

./configure --user=www --group=www --prefix=${Setup_Path} ${ENABLE_LUA} --add-module=${Setup_Path}/src/ngx_cache_purge ${ENABLE_STICKY} --with-openssl=${Setup_Path}/src/openssl --with-pcre=pcre-${pcre_version} ${ENABLE_HTTP2} --with-http_stub_status_module --with-http_ssl_module --with-http_image_filter_module --with-http_gzip_static_module --with-http_gunzip_module --with-ipv6 --with-http_sub_module --with-http_flv_module --with-http_addition_module --with-http_realip_module --with-http_mp4_module --with-ld-opt="-Wl,-E" --with-cc-opt="-Wno-error" ${jemallocLD} ${ENABLE_WEBDAV} ${ENABLE_NGX_PAGESPEED} ${ADD_EXTENSION} ${i_make_args}

改为：

1

./configure --user=www --group=www --prefix=${Setup_Path} ${ENABLE_LUA} --add-module=${Setup_Path}/src/ngx_cache_purge ${ENABLE_STICKY} --with-openssl=${Setup_Path}/src/openssl --with-pcre=pcre-${pcre_version} ${ENABLE_HTTP2} --with-http_stub_status_module --with-http_ssl_module --with-http_image_filter_module --with-http_gzip_static_module --with-http_gunzip_module --with-ipv6 --with-http_sub_module --with-http_flv_module --with-http_addition_module --with-http_realip_module --with-http_mp4_module --with-ld-opt="-Wl,-E" --with-cc-opt="-Wno-error" ${jemallocLD} ${ENABLE_WEBDAV} ${ENABLE_NGX_PAGESPEED} ${ADD_EXTENSION} ${i_make_args} --add-module=/www/server/ngx_brotli

重安装 Nginx

1

bash /www/server/panel/install/nginx.sh install 1.23.2

注意：使用上面的命令重新安装 Nginx，其中 1.23.2 为 Nginx 版本号，可以根据实际需求修改！

设置配置文件

1
2
3
4

brotli on;
brotli_comp_level 6;
brotli_static on;
brotli_types application/atom+xml application/javascript application/json application/rss+xml application/vnd.ms-fontobject application/x-font-opentype application/x-font-truetype application/x-font-ttf application/x-javascript application/xhtml+xml application/xml font/eot font/opentype font/otf font/truetype image/svg+xml image/vnd.microsoft.icon image/x-icon image/x-win-bitmap text/css text/javascript text/plain text/xml;

注意：将上述代码添加到 Nginx 配置文件中即可。

写在文章最后

实测 Brotli 的压缩率为 6 时，与同压缩率的 Gzip 比，体积更小。

部分 CDN 不支持透传 Header 会导致源站不做压缩处理，源站开了压缩 CDN 就不要开了。

Brotli 的优势

1. 更高的压缩率：Brotli 压缩算法可以将数据压缩到更小的体积，平均压缩率可以比 Gzip 高出 20%-26%；

2. 更好的多线程处理：Brotli 压缩算法可以同时使用多个 CPU 核心进行压缩，因此可更快地完成压缩任务。

与 Gzip 对比

1. 压缩速度：Brotli 需要更多计算来压缩和解压缩文件，因此比 Gzip 更慢。这在一些情况下可能会影响性能，尤其是在较慢的设备上；

2. 兼容性能：Brotli 是与现代浏览器和服务器兼容的新技术，因此在一些较旧的浏览器和服务器可能不支持。Gzip 则更为广泛支持。

应用场景

1. Web 服务器：在 Web 服务器上使用 Brotli 压缩可以大大减少网站的带宽使用，加速页面加载速度，减轻服务器的负载压力；

2. 移动应用程序：移动应用程序的体积往往比较大，使用 Brotli 压缩可以将应用程序的体积压缩到更小，从而降低用户下载应用程序所需的时间和流量。

写在最后

Brotli 压缩算法是一种高效数据压缩算法，它的优势在于更高的压缩率、更好的多线程处理。Brotli 压缩最适合用于 Web 服务器和移动应用程序中，可提高网站的加载速度，并降低用户下载数据时所需的时间和流量。

Gzip 是一种数据压缩格式，它可以将文本、图像、脚本、样式表等各种类型文件压缩成较小的文件大小，从而在网络上传输更快。Gzip 压缩使用一种被称为 Lempel-Ziv 编码的算法。在该算法中重复出现的子字符串被替换为相应指针，从而减少了文件的大小，同时保留了相同内容的副本。在 Web 开发中 Gzip 通常用于压缩网站的 HTML/CSS 和 JavaScript 文件，提高页面加载速度。多数 Web 服务器和现代浏览器都支持 Gzip 压缩。

总的来说，Brotli 比 Gzip 更先进，可以提供更好的压缩率，但需要更高的计算能力。如果您需要快速加载的文件，则 Gzip 可能更为适合。

下一篇教程中，杜老师会分享如何在宝塔的 Nginx 安装 Brotli 压缩模块。

CUE 下前篇

先前发布一篇名为《在 Docker 中部署 Nextcloud》教程，分享如何通过 Docker 快速部署 Nextcloud。

此种部署方式适合个人用户使用，如需部署在生产环境用，建议使用 LAMP 架构加源码部署，详见下文。

环境介绍

杜老师的实验环境为虚拟机加 CentOS7 系统，使用的 LAMP 脚本来自 https://lnmp.org，Nextcloud 为此文撰写时的最新版本。

这里需要注意的是：因 Nextcloud 需要 PHP7.3 以上的版本，所以必须 1G 以上的内存。

服务安装

使用官方命令进行环境部署：

1

wget http://soft.vpser.net/lnmp/lnmp1.9.tar.gz -cO lnmp1.9.tar.gz && tar zxf lnmp1.9.tar.gz && cd lnmp1.9 && ./install.sh lamp

部署时的环境设置如下：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66

+------------------------------------------------------------------------+
|          LNMP V1.9 for CentOS Linux Server, Written by Licess          |
+------------------------------------------------------------------------+
|        A tool to auto-compile & install LNMP/LNMPA/LAMP on Linux       |
+------------------------------------------------------------------------+
|           For more information please visit https://lnmp.org           |
+------------------------------------------------------------------------+
You have 11 options for your DataBase install.
1: Install MySQL 5.1.73
2: Install MySQL 5.5.62 (Default)
3: Install MySQL 5.6.51
4: Install MySQL 5.7.38
5: Install MySQL 8.0.30
6: Install MariaDB 5.5.68
7: Install MariaDB 10.3.35
8: Install MariaDB 10.4.25
9: Install MariaDB 10.5.16
10: Install MariaDB 10.6.8
0: DO NOT Install MySQL/MariaDB
Enter your choice (1, 2, 3, 4, 5, 6, 7, 8, 9, 10 or 0): 4
Using Generic Binaries [y/n]: y   
You will install MySQL 5.7.38 Using Generic Binaries.
===========================
Please setup root password of MySQL.
Please enter: Dusays@1234
MySQL root password: Dusays@1234
===========================
Do you want to enable or disable the InnoDB Storage Engine?
Default enable,Enter your choice [Y/n]: Y
You will enable the InnoDB Storage Engine
===========================
You have 9 options for your PHP install.
1: Install PHP 5.2.17
2: Install PHP 5.3.29
3: Install PHP 5.4.45
4: Install PHP 5.5.38
5: Install PHP 5.6.40 (Default)
6: Install PHP 7.0.33
7: Install PHP 7.1.33
8: Install PHP 7.2.34
9: Install PHP 7.3.33
10: Install PHP 7.4.30
11: Install PHP 8.0.20
12: Install PHP 8.1.7
Enter your choice (1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12): 11
You will install PHP 8.0.20
===========================
You have 3 options for your Memory Allocator install.
1: Don't install Memory Allocator. (Default)
2: Install Jemalloc
3: Install TCMalloc
Enter your choice (1, 2 or 3): 1
You will install not install Memory Allocator.
===========================
Please enter Administrator Email Address: teacherdu@dusays.com
===========================
Server Administrator Email: teacherdu@dusays.com
===========================
===========================
You have 2 options for your Apache install.
1: Install Apache 2.2.34
2: Install Apache 2.4.53 (Default)
Enter your choice (1 or 2): 2
You will install Apache 2.4.53

Press any key to install...or Press Ctrl+c to cancel

环境部署完成后会出现如下提示：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36

+------------------------------------------------------------------------+
|          LNMP V1.9 for CentOS Linux Server, Written by Licess          |
+------------------------------------------------------------------------+
|           For more information please visit https://lnmp.org           |
+------------------------------------------------------------------------+
|    lnmp status manage: lnmp {start|stop|reload|restart|kill|status}    |
+------------------------------------------------------------------------+
|  phpMyAdmin: http://IP/phpmyadmin/                                     |
|  phpinfo: http://IP/phpinfo.php                                        |
|  Prober:  http://IP/p.php                                              |
+------------------------------------------------------------------------+
|  Add VirtualHost: lnmp vhost add                                       |
+------------------------------------------------------------------------+
|  Default directory: /home/wwwroot/default                              |
+------------------------------------------------------------------------+
|  MySQL/MariaDB root password: Dusays@1234                              |
+------------------------------------------------------------------------+
+-------------------------------------------+
|    Manager for LNMP, Written by Licess    |
+-------------------------------------------+
|              https://lnmp.org             |
+-------------------------------------------+
Apache is running.
 SUCCESS! MySQL running (89612)
State      Recv-Q Send-Q Local Address:Port               Peer Address:Port              
LISTEN     0      128          *:111                      *:*                  
LISTEN     0      5      192.168.122.1:53                       *:*                  
LISTEN     0      128          *:22                       *:*                  
LISTEN     0      128    127.0.0.1:631                      *:*                  
LISTEN     0      128       [::]:3306                  [::]:*                  
LISTEN     0      128       [::]:111                   [::]:*                  
LISTEN     0      128       [::]:80                    [::]:*                  
LISTEN     0      128       [::]:22                    [::]:*                  
LISTEN     0      128      [::1]:631                   [::]:*                  
Install lnmp takes 6 minutes.
Install lnmp V1.9 completed! enjoy it.