工控机sata硬盘电源线序调整 黄色线是+12V，红色是+5V，粉色（实际上电源用的线一般是橙色）是+3.3V，黑色是地线（GND）硬盘线序定义黄12，红5 才对。 实际拿万用表测试挑线，重新排下顺序电源接错，会烧硬盘的。

unRaid里面安装FnOS假死情况排查 fnos虚拟机安装在unraid里面，过一段时间后就会出现假死，web进fnos页面正常，但功能基本挂掉了，vnc查看也处于假死无法交互。把 XML 里最后两个「冻屏元凶」直接改掉即可，其余参数都没问题。把 QXL 换成 VGA找到<video> <model type='qxl' ram='65536' vram='16384' vgamem='16384' heads='1' primary='yes'/>改成<video> <model type='vga' vram='16384' heads='1' primary='yes'/>删除 memballoon 节点把整段<memballoon model='virtio'> <address .../> </memballoon> 删掉，或者改成 <memballoon model='none'/>顺手把磁盘 cache 从 writeback 改成 none（可选，更保险）两块 里的<driver name='qemu' type='raw' cache='writeback' discard='unmap'/> 改为 <driver name='qemu' type='raw' cache='none' discard='unmap'/>

docker离线镜像下载方法，无痛直接下载tar包 日常生活中难免会碰到需要离线安装docker包的情况，常见的有两种方法：①就是从一个已经安装docker且可以联网的电脑上先pull下来，并打包②找一些支持离线下载包的网站去下载打包好的tar包第一种方法就很麻烦，还得在另一台电脑上装docker第二种方法首先是难得找到一个可用的服务网站，其次是找到了没准还要收费或者有大小限制、网速限制等一堆条条框框那么有没有别的更方便快捷一点的方法呢？你来着了答案就是：有，你可以下载一个小东西（无需安装），那就是dget传送门：https://gitee.com/extrame/dget甚至win7的电脑也可以使用，仅7.75MB使用方法以windows电脑为例，先去上面的网址下载好exe程序，该程序为命令行程序，需要使用命令行[cmd/powershell/bash等]打开。放到桌面，然后shift+鼠标右键，在此处打开命令窗口即可进入命令行。然后要下载什么镜像包就输入dget.exe [docker镜像名]然后就会自动下载到当前目录的tmp_xxx目录下，下载有缓存支持，如果一次出错了，直接再次执行就可以了。支持从第三方registry下载，直接在包名称前面跟上服务器地址即可：dget.exe alibaba-cloud-linux-3-registry.cn-hangzhou.cr.aliyuncs.com/alinux3/alinux3:220901.1或者dget.exe -registry m.daocloud.io 原包名也支持指定下载架构，使用参数-arch即可，例如 linux/arm等，请使用/分隔系统和架构，例如：dget.exe -arch linux/arm influxdb:1.8.3如果你不知道要获取那个tag的软件，可以使用-tag参数获得软件的tag列表dget.exe -tag influxdb:1.8.3示例这里我们可以下载一下modelscope的镜像包，从ModelScope的官网文档上可以找到镜像地址，我们使用dget下载就是dget.exe+该地址(我这里下载的是CPU版本)：dget.exe modelscope-registry.cn-hangzhou.cr.aliyuncs.com/modelscope-repo/modelscope:ubuntu22.04-py311-torch2.3.1-1.33.0此外也可以使用一些镜像加速网站，比如docker.1ms.run，我们在这个毫秒镜像上搜索nginx，然后可以找到library/nginx:latest这个包，如下可下载（包前面加上网址，别的也是同理）：dget.exe docker.1ms.run/library/nginx:latest很快就下好了，是不是很方便呢？今天的水文就到此结束啦~

Docker部署OpenVPN实战指南 | Web可视化配置 | 完美接入多种组网方案 🌟 引言        在现代互联网时代，数据安全、隐私保护和远程接入已成为企业与个人网络部署的核心需求。传统 VPN 解决方案在保障网络通信安全方面发挥了重要作用，而随着容器化技术的成熟，将 VPN 服务以 Docker 方式部署并结合 Web UI 管理，正成为自建网络服务的新趋势。💡 项目简介GavinTan/openvpn 是一个基于Docker容器化部署的OpenVPN服务器项目，旨在通过直观的 Web 管理界面简化 VPN 管理。该解决方案提供对用户账户管理、客户端管理、证书管理、服务器配置和实时连接监控的集中控制，同时通过多因素身份验证和 LDAP 集成保持企业级安全性。🎯 核心特性1. 账号与权限管理项目提供了完善的用户管理系统,支持本地账号和LDAP集成两种认证方式:默认管理员账号为admin/admin,首次登录后可修改密码支持模板导入创建多个VPN账号,每个账号可独立管理VPN用户可以登录专属页面,自行下载配置文件、修改密码、设置MFA集成LDAP后可与企业现有的账号体系打通,实现统一认证2. 证书与密钥管理作为VPN的核心安全组件,证书管理功能设计得非常周到:一键生成客户端证书和配置文件支持证书的吊销和重新生成自动管理证书有效期,避免过期导致的连接问题3. 多协议与IPv6支持项目在网络协议支持方面非常全面:同时支持UDP和TCP协议,可根据网络环境灵活选择完整的IPv6支持,适应现代网络环境双栈配置,IPv4和IPv6可以同时工作注意:使用IPv6时需要Docker网络和客户端都开启相应支持4. 企业级安全特性安全性是VPN最核心的要求,项目在这方面做得很扎实:多因素认证(MFA):支持基于时间的一次性密码(TOTP),大幅提升账号安全性LDAP集成:可与企业Active Directory或OpenLDAP集成固定IP分配:可为特定用户分配固定的VPN IP地址加密标准:参考业界最佳实践配置加密算法和密钥长度5. 监控与日志友好的监控功能让问题排查变得简单:连接历史记录,可查看每个用户的连接时间和时长在线用户列表,实时掌握VPN使用情况详细的日志记录,便于故障诊断支持在线查看和编辑server.conf配置文件6. 灵活的网络配置针对不同的使用场景,项目提供了灵活的网络配置选项:组网模式(默认):客户端只路由VPN内网流量,不影响正常上网网关模式:客户端所有流量都通过VPN,实现完全的网络控制CCD支持:可为特定客户端定制路由和网络配置支持在Web界面直接修改OpenVPN配置,启用自动更新后即时生效📦 部署教程环境准备在开始部署前,请确保你的服务器满足以下要求:操作系统:Linux(推荐Ubuntu 20.04+或CentOS 7+)Docker版本:20.10+网络:服务器需要有公网IP或可被客户端访问的网络地址方式一:Docker Run 快速部署这是最简单的部署方式,适合快速测试和小规模使用:# 创建数据目录mkdir-p~/openvpn-data# 启动容器dockerrun-d\--nameopenvpn\--cap-add=NET_ADMIN\-p1194:1194/udp\-p8833:8833\-v~/openvpn-data:/data\-v/etc/localtime:/etc/localtime:ro\docker.1ms.run/yyxx/openvpn参数说明:--cap-add=NET_ADMIN:赋予容器网络管理权限,OpenVPN必需-p 1194:1194/udp:映射VPN服务端口(UDP协议)-p 8833:8833:映射Web管理界面端口-v ~/openvpn-data:/data:持久化数据目录,包含配置、证书等重要文件-v /etc/localtime:/etc/localtime:ro:同步系统时间,确保日志时间准确方式二:Docker Compose 部署对于生产环境,推荐使用Docker Compose,便于管理和维护:1. 安装Docker Compose# CentOS/RHELyum install -y docker-compose-plugin# Ubuntu/Debianapt install -y docker-compose-plugin2. 创建docker-compose.yml文件mkdir ~/openvpn&&cd~/openvpncat>docker-compose.yml<<'EOF'services:openvpn:    image:docker.1ms.run/yyxx/openvpn    container_name:openvpn    restart:unless-stopped    cap_add:      -NET_ADMIN    ports:      -"1194:1194/udp"      -"8833:8833"    volumes:      -./data:/data      -/etc/localtime:/etc/localtime:roEOF3. 启动服务docker compose up -d4. 查看日志docker compose logs -f openvpnIPv6 支持配置如果你的网络环境支持IPv6,可以启用IPv6功能:services:  openvpn:    image:docker.1ms.run/yyxx/openvpn    container_name:openvpn    restart:unless-stopped    cap_add:      -NET_ADMIN    ports:      -"1194:1194/udp"      -"8833:8833"    volumes:      -./data:/data      -/etc/localtime:/etc/localtime:ro    sysctls:      -net.ipv6.conf.default.disable_ipv6=0      -net.ipv6.conf.all.forwarding=1networks:default:    enable_ipv6:trueIPv6使用注意事项:需要在Web管理界面的系统设置中启用IPv6选项客户端和服务端的协议都要指定为udp6或tcp6Docker网络必须启用IPv6支持OpenVPN Connect客户端需要3.4.1或更高版本初始化配置流程服务启动后,按以下步骤完成初始化:第一步:登录管理界面浏览器访问 http://服务器IP:8833使用默认账号登录:用户名admin,密码admin登录后立即在系统设置中修改管理员密码第二步:生成客户端配置进入"管理" → "客户端"页面点击"添加客户端",输入客户端名称、VPNServer及端口下载生成的.ovpn配置文件第三步:创建VPN账号进入"管理" → "VPN账号"页面点击"添加账号",设置用户名和密码默认启用了账号验证,可根据需要关闭第四步:客户端连接测试在客户端设备上安装OpenVPN客户端软件，用第三步创建账号访问http://服务器IP:8833下载对应平台软件导入第二步下载的配置文件使用第三步创建的账号密码连接连接成功后可在管理界面看到在线用户LDAP集成配置对于企业用户,可以集成LDAP实现统一认证:在系统设置中启用LDAP认证配置LDAP服务器参数:OpenLDAP使用:uidWindows AD使用:sAMAccountNameLDAP_URL:LDAP服务器地址,如ldaps://ldap.example.com:636LDAP_USER_ATTRIBUTE:用户属性字段LDAP_USER_ATTR_IPADDR_NAME:用于存储固定IP的字段(可选)LDAP_USER_ATTR_CONFIG_NAME:用于存储客户端配置的字段(可选)注意:启用LDAP后,本地VPN账号将不再工作,所有认证都通过LDAP进行。常见问题排查问题1: 容器启动失败检查是否赋予了NET_ADMIN权限确认端口1194和8833未被占用查看容器日志:docker logs openvpn问题2: 客户端无法连接确认服务器防火墙放行了1194端口检查客户端配置文件中的服务器地址是否正确验证VPN账号是否启用问题3: 连接后只能访问8833,无法访问其他服务这是最常见的问题!原因是没有配置路由推送。解决方案:检查路由是否已推送在Web界面【管理】-->【配置文件】查看 server.conf 配置中是否有类似内容:push "dhcp-option DNS 8.8.8.8"push "route 10.0.12.0 255.255.252.0"push "route 172.17.0.0 255.255.0.0"push "route 10.100.100.0 255.255.255.0"检查服务器IP转发sysctl net.ipv4.ip_forward# 应该返回: net.ipv4.ip_forward = 1检查iptables规则iptables -t nat -L -n# 应该看到 MASQUERADE 规则客户端重新连接修改配置后,客户端必须断开重连才能获取新路由问题4: 不知道该添加哪些路由按需添加,不要一股脑全加!判断方法:# 1. 查看服务器网卡信息ip addr show# 2. 确定你要访问的目标# - 只访问服务器本机? → 只加服务器内网网段# 云服务器内网路由push "route 10.0.12.0 255.255.252.0"# - 要访问ZeroTier设备? → 加ZeroTier网段push "route 10.100.100.0 255.255.255.0"# - 要访问Docker容器内部? → 加Docker网段push "route 172.17.0.0 255.255.0.0"# 3. 使用最小配置原则# 先加最必要的,测试通过后再按需添加问题5: 路由配置后还是无法访问逐步排查:# 1. 在客户端检查路由表# Windows: route print# Mac/Linux: netstat -rn# 2. 测试连通性ping 10.8.0.1        # 测试VPN网关ping 10.0.12.12      # 测试服务器IPtraceroute 10.0.12.12 # 查看路由路径# 3. 检查防火墙# 确认服务器和客户端防火墙都允许相关流量🖥️ 项目界面预览管理后台主页客户端管理账号管理系统设置页面自助页面下载安装客户端🎯 适用场景1. 企业远程办公为员工提供安全的内网访问通道与企业AD/LDAP集成,实现统一账号管理通过MFA增强安全性管理员可以随时查看连接情况,掌控网络安全2. 开发团队协作对于需要访问开发环境的团队:为开发人员分配VPN账号,访问测试服务器固定IP功能方便配置白名单支持快速添加和删除用户,响应人员变动详细的连接日志便于审计3. 多地办公组网连锁企业或多分支机构可以:将各地办公网络通过VPN互联使用组网模式不影响员工正常上网集中管理所有分支的VPN接入支持大规模部署,批量生成配置4. 个人隐私保护对于注重网络隐私的个人用户:自建VPN服务器,避免使用商业VPN启用网关模式,所有流量加密传输通过MFA保护账号安全完全掌控数据,无需担心隐私泄露5. 安全测试与渗透网络安全从业者可以:搭建测试用VPN环境快速为团队成员分配临时账号灵活的网络配置满足各种测试场景详细日志方便分析测试结果6. 家庭智能设备远程访问(实用场景)这是最常见的个人使用场景:需求: 外出时访问家里的NAS、监控、智能家居架构方案:手机(外网) → OpenVPN(云服务器) → ZeroTier/EasyTier → 家里设备路由配置:# OpenVPN配置push "route 10.100.100.0 255.255.255.0"  # ZeroTier网段# 家里的NAS、路由器、摄像头都在这个网段实际效果:手机连上VPN后访问 http://10.244.244.5:5000 (家里NAS)访问 http://10.244.244.6:8080 (家里监控)不影响手机正常上网(微信、购物等不走VPN)为什么不直接用ZeroTier?ZeroTier手机客户端常驻后台,耗电高OpenVPN用完就断,更省电灵活性更好,可以给朋友临时分配访问权限🔗 相关链接📌 GitHub 仓库地址： https://github.com/GavinTan/openvpn📌 客户端地址：windows：https://openvpn.net/downloads/openvpn-connect-v3-windows.msiandroid：https://play.google.com/store/apps/details?id=net.openvpn.openvpnmacos：https://openvpn.net/downloads/openvpn-connect-v3-macos.dmglinux：https://openvpn.net/openvpn-client-for-linux/ios：https://itunes.apple.com/us/app/openvpn-connect/id590379981?mt=8🎉 总结        该项目是一款结合了 Docker 部署与 Web 管理 UI 的 OpenVPN 解决方案，既保留了 OpenVPN 强大的网络安全能力，又通过 Web 界面降低了部署和维护门槛。对于希望快速构建自有 VPN 平台或希望在内部网络中实现便捷远程访问管理的团队和个人开发者，该项目是一种高效实用的方案。🔔 关注我，获取更多技术干货和开源项目分享！如果本文对你有帮助，欢迎 👍点赞 / ⭐收藏 / 📣转发 给朋友！🎁 往期精彩推荐📱无需越狱，iPhone 短信自动转发到微信🔐无需越狱，屏蔽iPhone通话录音提示音！🧰一条命令，激活 JetBrains 全家桶，支持 Win、Linux、macOS🪁程序员常用的 HTML 在线工具箱，一站式全搞定🐳Docker 一键部署高颜值到期提醒系统，完美集成 iOS/Google 日历🛡️一款高颜值、跨平台的网络流量监控与威胁检测工具⭐Windows实用工具：定时关机 + NTP 时间同步🐳Docker自建ZeroTier Planet私有网络，异地组网神器📊Ansible批量自动化巡检生成美观 HTML 系统报告🚫彻底关闭 Windows 自动更新！一招搞定，永久有效！

nginx配置「锦上添花」的小修小补 1. 统一 SSL 配置块（可维护性）把重复的 ssl_* 指令抽成一个独立文件，主配置里 include 即可，例如：# /etc/nginx/ssl/ssl_best.conf ssl_certificate /etc/nginx/ssl/_baidu.com.crt; ssl_certificate_key /etc/nginx/ssl/_baidu.com.key; ssl_trusted_certificate /etc/nginx/ssl/_baidu.com.crt; ssl_session_timeout 1d; ssl_session_cache shared:SSL:10m; ssl_session_tickets off; ssl_protocols TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers on; ssl_ciphers ECDHE-ECDSA^...............:ECDHE-RSA-AE^.............-GCM-SHA384;然后在每个 443 段里写一句：include ssl_best.conf; 配上路径，容器运行注意！ 比如include /etc/nginx/ssl/ssl_best.conf;以后换证书/调加密套件只改一行。2. 补充安全响应头（看情况用吧）新建 /etc/nginx/conf.d/security_headers.conf：add_header X-Frame-Options "SAMEORIGIN" always; add_header X-Content-Type-Options "nosniff" always; add_header Referrer-Policy "strict-origin-when-cross-origin" always; # 如需上传或外链，按需调整 CSP add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline';" always; add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;在 所有 443 段 的 location / 里加：include security_headers.conf; 配上路径，容器运行注意！ 比如include /etc/nginx/conf.d/security_headers.conf;（Tomcat 已自带 X-Frame-Options，nginx 再统一一次无冲突。）3. 代理头统一模板把 proxy 头也抽成 /etc/nginx/conf.d/proxy_headers.conf：proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header REMOTE-HOST $remote_addr; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade";以后 location / 里只要写：proxy_pass http://backend_5800; include proxy_headers.conf; 比如include /etc/nginx/conf.d/proxy_headers.conf;Tomcat 路径同理。4. 小优化：正则 location 加 breaklocation ~ ^/(test|oa|ob|oc) { proxy_pass http://tomcat; include proxy_headers.conf; }• 正则 ~ 会顺序匹配，保持放在「普通 location /」前面即可。• 若担心性能，可改为：location /oa { ... } location /ob { ... }5. 可选：Tomcat 真实 IP 日志Tomcat 要记录访客真实 IP，在 server.xml 里加：<Valve className="org.apache.catalina.valves.RemoteIpValve" remoteIpHeader="X-Forwarded-For" protocolHeader="X-Forwarded-Proto" />nginx 已传头，直接可用。{lamp/}附配置：{collapse}{collapse-item label="一、nginx的default.conf的配置"}# ---------- upstream ---------- upstream tomcat { server tomcat:8080; } upstream backend_5800 { server 172.25.194.247:5800; } # ---------- 80 → 443 统一跳转 ---------- server { listen 80; listen [::]:80; server_name baidu.com *.baidu.com *.cloud.baidu.com; return 301 https://$host$request_uri; } # ---------- 主域名 + 通配证书 ---------- server { listen 443 ssl; listen [::]:443 ssl; server_name baidu.com *.baidu.com *.cloud.baidu.com; #ssl_best统一SSL配置块，要配路径，容器运行注意！ include /etc/nginx/ssl/ssl_best.conf; # 根目录 → 5800 location / { proxy_pass http://backend_5800; #代理头proxy_header，要配路径容器运行要注意！ include /etc/nginx/conf.d/proxy_headers.conf; #安全响应头security_headers，要配路径容器运行要注意！ include /etc/nginx/conf.d/security_headers.conf; } # 子路径 → tomcat location ~ ^/(ixjkj|oa|ob|oc) { proxy_pass http://tomcat; #代理头proxy_header，要配路径容器运行要注意！ include /etc/nginx/conf.d/proxy_headers.conf; #安全响应头security_headers，要配路径容器运行要注意！ include /etc/nginx/conf.d/security_headers.conf; } } # ---------- oa.cloud.baidu.com 专用 ---------- server { listen 443 ssl; listen [::]:443 ssl; server_name oa.cloud.baidu.com; #ssl_best统一SSL配置块，要配路径，容器运行注意！ include /etc/nginx/ssl/ssl_best.conf; # 根目录 → tomcat /oa（去掉路径前缀） location / { proxy_pass http://tomcat/oa/; #代理头proxy_header，要配路径容器运行要注意！ include /etc/nginx/conf.d/proxy_headers.conf; #安全响应头security_headers，要配路径容器运行要注意！ include /etc/nginx/conf.d/security_headers.conf; } } # ========== ob.cloud.baidu.com 专用 ========== server { listen 443 ssl; listen [::]:443 ssl; server_name ob.cloud.baidu.com; #ssl_best统一SSL配置块，要配路径，容器运行注意！ include /etc/nginx/ssl/ssl_best.conf; # 根目录反向代理到 Tomcat 的 /ob（去掉前缀） location / { proxy_pass http://tomcat/ob/; # 注意末尾斜杠 #代理头proxy_header，要配路径容器运行要注意！ include /etc/nginx/conf.d/proxy_headers.conf; #安全响应头security_headers，要配路径容器运行要注意！ include /etc/nginx/conf.d/security_headers.conf; } }{/collapse-item}{collapse-item label="二、统一SSL配置块的配置"}ssl_certificate /etc/nginx/ssl/_.cloud.baidu.com.crt; ssl_certificate_key /etc/nginx/ssl/_.cloud.baidu.com.key; ssl_trusted_certificate /etc/nginx/ssl/_.cloud.baidu.com_issuerCertificate.crt; ssl_session_timeout 1d; ssl_session_cache shared:SSL:10m; ssl_session_tickets off; ssl_protocols TLSv1.2 TLSv1.3; ssl_prefer_server_ciphers on; ssl_ciphers ECDHE-ECDSA-....................................................SHA384;{/collapse-item}{collapse-item label="三、安全响应头的配置"}add_header X-Frame-Options "SAMEORIGIN" always; add_header X-Content-Type-Options "nosniff" always; add_header Referrer-Policy "strict-origin-when-cross-origin" always;{/collapse-item}{collapse-item label="四、统一代理头的配置"}proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header REMOTE-HOST $remote_addr; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade";{/collapse-item}{collapse-item label="2026年1月16日配置重写路径"}虽然页面转过来了，但页面资源元素全部404,随后添加一个server块server { listen 8888 ssl; listen [::]:8888 ssl; server_name jxzy2.baidu.com; ssl_certificate /etc/nginx/ssl/fullchain.pem; ssl_certificate_key /etc/nginx/ssl/privkey.pem; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256'; ssl_prefer_server_ciphers on; location / { # 保留请求的 URI set $backend_uri $request_uri; # 如果请求的不是 /hzsjapi/ 开头，则添加前缀 if ($request_uri !~ ^/hzsjapi/) { set $backend_uri /hzsjapi$request_uri; } proxy_pass http://tomcat2$backend_uri; #设置正确的 Host 头，包含端口 proxy_set_header Host $host:$server_port; #proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_set_header X-Original-URI $request_uri; client_max_body_size 20000m; #重写重定向 proxy_redirect http:// https://; }{/collapse-item}{/collapse}