向阳哌小站

Windows to USB 迁移笔记

Tue, 19 May 2026 00:00:00 GMT

准备切 Linux，但又怕一刀切翻车，于是先把原来的 Windows 克隆到外置 NVMe 里，当成过渡系统和应急 fallback。

先说结论：
成功从 USB 外置 NVMe 启动，原来的软件、配置、文件基本都还在。

但是过程并不是克隆完就能跑，中间踩了几个坑：

克隆后无法启动：0xc000000e
修完引导后蓝屏：0x0000007B
能进系统后，关机/重启时 USB 硬盘盒提前断开
RTL9210 硬盘盒能用，但不太适合长期 Windows-to-USB

0. 前情提要

我这次用的是 RTL9210 芯片的 NVMe USB 硬盘盒。

普通当移动硬盘没啥问题，但拿来跑 Windows 系统盘就有点边缘了。

因为 Windows-to-USB 启动时，不是“系统启动后再识别移动硬盘”，而是启动早期就要靠 USB 控制器、UASP/USBSTOR、桥接芯片、NVMe 驱动一路把系统盘读出来。

这条链路里只要有一环加载晚了，就会炸。

所以先叠甲：

这不是万能教程，只是一次实战记录。
命令里的盘号和盘符一定要按自己机器实际情况改，别无脑复制。

1. 目标

我的目标很简单：

把当前内置盘里的 Windows 克隆到外置 NVMe；
保留软件、配置、个人文件；
外置盘可以独立启动；
内置盘腾出来装 Linux；
Windows 作为过渡和救命环境。

所以这里不适合重装系统。
重装当然干净，但软件、注册表、授权、工作环境这些东西搬起来太痛苦。

因此路线就是：

克隆现有系统，而不是重装

2. 第一坑：克隆后无法启动 0xc000000e

克隆完第一次启动，直接报：

0xc000000e

大概意思是 Windows Boot Manager 找不到要启动的系统。

一般是：

BCD 还指着原来的内置盘；
外置盘 EFI 分区没写好；
引导文件没生成完整。

解决方式：进 WinPE 或 Windows 安装 U 盘。

安装界面按：

Shift + F10

打开命令行。

先用 diskpart 找外置盘：

diskpart
list disk
select disk 1
list vol

这里 disk 1 只是示例，别照抄。

找到两个分区：

EFI 分区：FAT32，一般 100MB 到 300MB；
Windows 分区：NTFS，里面有 Windows、Users、Program Files。

假设 EFI 是卷 2，Windows 是卷 4：

select vol 2
assign letter=S

select vol 4
assign letter=W

exit

确认 W: 真的是外置 Windows：

dir W:\Windows

然后重建 UEFI 启动文件：

bcdboot W:\Windows /s S: /f UEFI

这一步做完，0xc000000e 解决。

3. 第二坑：能引导，但蓝屏 0x7B

修完 BCD 后，Windows Boot Manager 能进了，但系统启动阶段蓝屏：

0x0000007B
INACCESSIBLE_BOOT_DEVICE

这个报错就很典型了：

引导找到了 Windows，但 Windows 内核启动后找不到自己的系统盘。

原因也很好理解：
原系统本来是从内置 NVMe/SATA 启动的，现在被我丢到了 USB 外置盘。
USB / UASP / 存储相关驱动如果没有在启动早期加载，系统自然就找不到自己了。

4. 离线改注册表

再次进入 WinPE 或安装 U 盘命令行。

假设外置 Windows 分区还是 W:。

先备份注册表：

copy W:\Windows\System32\Config\SYSTEM W:\SYSTEM.bak

加载外置系统的 SYSTEM 注册表：

reg load HKLM\OFFSYS W:\Windows\System32\Config\SYSTEM

看当前 ControlSet：

reg query HKLM\OFFSYS\Select

我这里是：

Current        0x1
Default        0x1

所以后面改的是：

ControlSet001

如果你那里不是 0x1，就按实际情况改。

5. 设置 BootDriverFlags

关键命令：

reg add HKLM\OFFSYS\ControlSet001\Control /v BootDriverFlags /t REG_DWORD /d 20 /f

这里的 20 是十进制，也就是十六进制 0x14。

作用就是让 Windows 更早加载 USB 存储相关驱动。
从内置盘克隆到 USB 后，这一步很关键。

6. 强制存储驱动早期启动

继续执行：

reg add HKLM\OFFSYS\ControlSet001\Services\USBXHCI /v Start /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\ControlSet001\Services\USBHUB3 /v Start /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\ControlSet001\Services\UASPStor /v Start /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\ControlSet001\Services\USBSTOR /v Start /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\ControlSet001\Services\disk /v Start /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\ControlSet001\Services\partmgr /v Start /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\ControlSet001\Services\mountmgr /v Start /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\ControlSet001\Services\volmgr /v Start /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\ControlSet001\Services\storport /v Start /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\ControlSet001\Services\stornvme /v Start /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\ControlSet001\Services\storahci /v Start /t REG_DWORD /d 0 /f

有些服务项可能不存在，报错也不一定有问题，继续就行。

7. 处理 StartOverride

有些驱动就算 Start=0，也可能被 StartOverride 覆盖掉。

所以继续补一刀：

reg add HKLM\OFFSYS\ControlSet001\Services\USBXHCI\StartOverride /v 0 /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\ControlSet001\Services\USBHUB3\StartOverride /v 0 /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\ControlSet001\Services\UASPStor\StartOverride /v 0 /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\ControlSet001\Services\USBSTOR\StartOverride /v 0 /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\ControlSet001\Services\stornvme\StartOverride /v 0 /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\ControlSet001\Services\storahci\StartOverride /v 0 /t REG_DWORD /d 0 /f

顺手关掉快速启动：

reg add "HKLM\OFFSYS\ControlSet001\Control\Session Manager\Power" /v HiberbootEnabled /t REG_DWORD /d 0 /f

最后卸载离线注册表：

reg unload HKLM\OFFSYS

再重建一次引导：

bcdboot W:\Windows /s S: /f UEFI

重启。

这次成功进系统。

8. 进系统后先检查

进系统后别急着开香槟，先确认自己没有启动错盘。

PowerShell：

Get-Partition -DriveLetter C | Get-Disk

或者打开磁盘管理：

diskmgmt.msc

确认当前 C: 确实在外置 NVMe 上。

然后建议跑一遍：

sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth
chkdsk C: /scan

9. 第三坑：能开机，但关机/重启抽风

系统能进以后，我又遇到一个新问题：

开机正常，但关机或重启时，USB 硬盘盒显示已经断开，系统还卡在关机流程里。

对普通移动硬盘来说，这可能只是掉盘。
但对系统盘来说，这就很刺激了。

Windows 还没关完，根文件系统先没了。
属于是系统自己把自己脚下的地板拆了。

如果已经卡死，硬盘灯也不闪，可以长按电源强制关机。
下次开机后先跑：

chkdsk C: /scan

不放心再跑：

sfc /scannow

ChatGPT说要关闭快速启动，关闭 USB 选择性暂停、磁盘空闲休眠、PCIe 链路省电，这堆东西我日常就关了，你没关的话出问题了可以考虑一下是不是这些问题

ChatGPT还说要把磁盘驱动器的电源策略改成快速删除，但是这个东西是系统盘，需要重启生效，但是可但是改这个就是为了解决重启失败的问题，闭环了。 ~~遇到困难睡大觉！~~

10. RTL9210 还值得继续折腾吗？

遇到困难摆大烂！

如果只是迁 Linux 前的过渡，不值得继续死磕。

现在它已经完成核心任务了：

能启动；
能进原系统；
软件和文件基本都在；
Linux 迁移期间能当 fallback。

剩下的关机/重启问题，更像是硬盘盒固件、USB 控制器、线材、电源管理的兼容性问题。

真要继续查，可能还得折腾：

刷 RTL9210 固件；
换硬盘盒；
测 UASP / USBSTOR 差异；

但我只是临时用，不想和它过一辈子。 ~~你就说能不能用！~~

11. 我的最终策略

这个外置 Windows 我最后定位为：

临时工作环境
过渡系统
应急 fallback
不是长期主系统

所以后续使用原则也很简单：

不睡眠；
不休眠；
不开快速启动；
不开 BitLocker；
不把唯一重要数据放这里；
工作文件及时同步到云盘 / Git / NAS；
异常关机后跑 chkdsk C: /scan；
尽快迁完 Linux。

总结

这次 Windows-to-USB 的关键路径：

克隆系统
修 EFI / BCD
解决 0xc000000e
解决 0x7B
关闭快速启动和省电
确认能启动
能用就收手

最关键的修复命令是：

reg add HKLM\OFFSYS\ControlSet001\Control /v BootDriverFlags /t REG_DWORD /d 20 /f

以及把 USB、UASP、NVMe、磁盘相关驱动改成启动早期加载。

Windows-to-USB 不是不能用，但它不是普通克隆工具点一下就能稳定跑的场景。
它更像是一个“能跑，但要理解启动链路”的偏门玩法。

如果长期用，建议认真选硬盘盒、固件、线材和接口。
如果只是像我一样迁 Linux 前留个后路，那就别追求完美：

能启动、能工作、数据有备份，就可以收手了。

尾声：脚本

敲那一堆reg add我人有点麻，放结尾的目的是让一步步照着做的你也麻一遍， ~~不能只有我一个人难受~~

使用方法：

如果你的外置 Windows 分区是 W:，EFI 分区是 S:，完整流程就是：

fix-usbstor-0x7b.bat W:
bcdboot W:\Windows /s S: /f UEFI

fix-usbstor-0x7b.bat:

@echo off
setlocal EnableExtensions EnableDelayedExpansion

REM ============================================================
REM  fix-usb-boot-driver.bat
REM
REM  Purpose:
REM    Fix Windows cloned-to-USB INACCESSIBLE_BOOT_DEVICE / 0x7B
REM    by enabling USB / UASP / storage drivers for early boot.
REM
REM  Usage:
REM    fix-usb-boot-driver.bat W:
REM
REM  Example:
REM    If your external Windows partition is W:
REM      fix-usb-boot-driver.bat W:
REM
REM  Run from WinPE / Windows Setup command prompt.
REM ============================================================

if "%~1"=="" (
    echo Usage: %~nx0 ^<WindowsDrive^>
    echo Example: %~nx0 W:
    exit /b 1
)

set "WINDRV=%~1"

REM Remove trailing backslash if present
if "%WINDRV:~-1%"=="\" set "WINDRV=%WINDRV:~0,-1%"

set "SYSTEM_HIVE=%WINDRV%\Windows\System32\Config\SYSTEM"

echo.
echo Target Windows drive: %WINDRV%
echo SYSTEM hive: %SYSTEM_HIVE%
echo.

if not exist "%SYSTEM_HIVE%" (
    echo ERROR: Cannot find SYSTEM hive.
    echo Please make sure %WINDRV% is the offline Windows partition.
    exit /b 1
)

echo Backing up SYSTEM hive...
copy "%SYSTEM_HIVE%" "%WINDRV%\SYSTEM.bak" >nul
if errorlevel 1 (
    echo ERROR: Failed to back up SYSTEM hive.
    exit /b 1
)

echo Loading offline SYSTEM hive...
reg load HKLM\OFFSYS "%SYSTEM_HIVE%"
if errorlevel 1 (
    echo ERROR: Failed to load offline SYSTEM hive.
    echo If HKLM\OFFSYS is already loaded, run:
    echo   reg unload HKLM\OFFSYS
    exit /b 1
)

REM ------------------------------------------------------------
REM Detect Current ControlSet
REM ------------------------------------------------------------

set "CURRENT_HEX="

for /f "tokens=3" %%A in ('reg query HKLM\OFFSYS\Select /v Current 2^>nul ^| find /i "Current"') do (
    set "CURRENT_HEX=%%A"
)

if "%CURRENT_HEX%"=="" (
    echo ERROR: Failed to detect Current ControlSet.
    reg unload HKLM\OFFSYS >nul 2>&1
    exit /b 1
)

REM Convert hex-like value, for example 0x1, to decimal
set /a CURRENT_NUM=%CURRENT_HEX%

if "%CURRENT_NUM%"=="1" (
    set "CONTROLSET=ControlSet001"
) else if "%CURRENT_NUM%"=="2" (
    set "CONTROLSET=ControlSet002"
) else if "%CURRENT_NUM%"=="3" (
    set "CONTROLSET=ControlSet003"
) else if "%CURRENT_NUM%"=="4" (
    set "CONTROLSET=ControlSet004"
) else (
    echo ERROR: Unsupported ControlSet number: %CURRENT_NUM%
    reg unload HKLM\OFFSYS >nul 2>&1
    exit /b 1
)

echo Detected Current: %CURRENT_HEX%
echo Using: HKLM\OFFSYS\%CONTROLSET%
echo.

REM ------------------------------------------------------------
REM Enable boot-time USB / storage driver loading
REM ------------------------------------------------------------

echo Setting BootDriverFlags...
reg add HKLM\OFFSYS\%CONTROLSET%\Control /v BootDriverFlags /t REG_DWORD /d 20 /f

echo.
echo Setting storage driver Start values...

reg add HKLM\OFFSYS\%CONTROLSET%\Services\USBXHCI /v Start /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\%CONTROLSET%\Services\USBHUB3 /v Start /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\%CONTROLSET%\Services\UASPStor /v Start /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\%CONTROLSET%\Services\USBSTOR /v Start /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\%CONTROLSET%\Services\disk /v Start /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\%CONTROLSET%\Services\partmgr /v Start /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\%CONTROLSET%\Services\mountmgr /v Start /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\%CONTROLSET%\Services\volmgr /v Start /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\%CONTROLSET%\Services\storport /v Start /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\%CONTROLSET%\Services\stornvme /v Start /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\%CONTROLSET%\Services\storahci /v Start /t REG_DWORD /d 0 /f

echo.
echo Setting StartOverride values...

reg add HKLM\OFFSYS\%CONTROLSET%\Services\USBXHCI\StartOverride /v 0 /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\%CONTROLSET%\Services\USBHUB3\StartOverride /v 0 /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\%CONTROLSET%\Services\UASPStor\StartOverride /v 0 /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\%CONTROLSET%\Services\USBSTOR\StartOverride /v 0 /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\%CONTROLSET%\Services\stornvme\StartOverride /v 0 /t REG_DWORD /d 0 /f
reg add HKLM\OFFSYS\%CONTROLSET%\Services\storahci\StartOverride /v 0 /t REG_DWORD /d 0 /f

echo.
echo Disabling Fast Startup / Hiberboot...
reg add "HKLM\OFFSYS\%CONTROLSET%\Control\Session Manager\Power" /v HiberbootEnabled /t REG_DWORD /d 0 /f

echo.
echo Unloading offline SYSTEM hive...
reg unload HKLM\OFFSYS
if errorlevel 1 (
    echo WARNING: Failed to unload HKLM\OFFSYS.
    echo You may need to run this manually:
    echo   reg unload HKLM\OFFSYS
    exit /b 1
)

echo.
echo Done.
echo SYSTEM hive backup saved as:
echo   %WINDRV%\SYSTEM.bak
echo.
echo Next recommended command, if your EFI partition is S::
echo   bcdboot %WINDRV%\Windows /s S: /f UEFI
echo.

exit /b 0

Tailscale续集-自建Headscale&Derp

Thu, 14 May 2026 00:00:00 GMT

上回折腾了自建 Derper，这回干脆把控制平面也一起迁出来：Headscale + Headplane + 自建 DERP。

简单来说：

Headscale：Tailscale 控制平面的开源实现，负责设备注册、密钥交换、ACL、DNS 等。
Headplane：Headscale 的 Web 管理面板，用起来更接近官方 Tailscale 控制台。
DERP/Derper：当 P2P 打洞失败时的中继保底，也可辅助 NAT 穿透。

需要先说明的是，DERP 并不是“明文代理”。Tailscale 的 DERP 只转发已经加密的 WireGuard 数据包，中继节点本身看不到业务流量内容；客户端会从控制平面拿到 DERP Map，再根据延迟等信息选择可用中继。

但是 DERP 也不是普通 Web 服务。derper 会在 TLS 内做协议切换，不兼容许多普通 HTTP 反代，所以不要把 DERP 直接丢到 Nginx/Caddy 这种七层 HTTP 反代后面。DERP 的 TCP 端口可以用 Docker 映射，STUN 的 UDP 3478 也必须单独放通。

0. Pre 检测

先把几个鸡生蛋、蛋生鸡的问题排掉，不然后面会很痛苦。

0.1 域名与端口

本文使用两个域名：

derp.example.net       # DERP 中继
tailscale.example.net  # Headscale + Headplane

公网侧需要放通：

8443/tcp   # DERP TLS 入口，Docker 映射到容器内 443
3478/udp   # STUN
443/tcp    # Headscale / Headplane，由 Caddy 反代

注意：DERPPort 可以非标端口，本文用 8443；STUNPort 是 UDP，不能靠普通 HTTP 反代解决。

0.2 创建 Docker 网络

本文里 DERP 和 Headscale 分开网络，Headscale/Headplane 接到 Caddy 所在网络：

docker network create derper_network || true
docker network create caddy_network || true

0.3 证书文件准备

derper -certmode manual 对证书文件名比较挑剔。建议证书目录里至少准备：

derp.example.net.crt
derp.example.net.key

如果用的acme.sh管理，用如下命令安装：

acme.sh --install-cert \  
-d derp.example.net \  
--fullchain-file /path/to/certs/derp.example.net/derp.example.net.crt \  
--key-file /path/to/certs/derp.example.net/derp.example.net.key \  
--reloadcmd "docker restart derp"
# 也可以使用docker compose -f "/path/to/compose.yml" restart

如果你的证书管理器导出的是 fullchain.pem 和 privkey.pem，可以软链接一份：

mkdir -p ./certs/derp.example.net

ln -sf /path/to/fullchain.pem ./certs/derp.example.net/derp.example.net.crt
ln -sf /path/to/privkey.pem   ./certs/derp.example.net/derp.example.net.key

chmod 600 ./certs/derp.example.net/derp.example.net.key

如果你直接挂 1Panel、宝塔、Certd 这类面板的证书目录，也请确认容器内看到的文件名符合这个规则。

0.4 文件服务器存 DERP Map

我这里让 Headscale 从文件服务器拉 DERP Map。这样后续加节点、删节点，不需要每次进容器改配置。

这里有一个坑：

headscale.derp.urls 适合放外部 URL，内容是 JSON DERP Map。
headscale.derp.paths 适合放本地文件，内容是 YAML DERP Map。

所以如果你要放到文件服务器，建议使用 JSON：

{
  "Regions": {
    "901": {
      "RegionID": 901,
      "RegionCode": "derp",
      "RegionName": "MY DERP",
      "Nodes": [
        {
          "Name": "901a",
          "RegionID": 901,
          "HostName": "derp.example.net",
          "DERPPort": 8443,
          "STUNPort": 3478,
          "STUNOnly": false
        }
      ]
    }
  }
}

保存到文件服务器，比如：

https://assets.example.net/tailscale/derpmap.json

先在服务器上测一下能否访问：

curl -fsSL https://assets.example.net/tailscale/derpmap.json

如果这里访问失败，后面 Headscale 可能启动后没有可用 DERP，甚至直接报 initial DERPMap is empty 一类错误。

如果你不想依赖文件服务器，也可以用本地 YAML：

regions:
  901:
    regionid: 901
    regioncode: derp
    regionname: My DERP
    nodes:
      - name: 901a
        regionid: 901
        hostname: derp.example.net
        derpport: 8443
        stunport: 3478
        stunonly: false

然后在 Headscale 配置中使用：

derp:
  urls: []
  paths:
    - /etc/headscale/derp.yaml

0.5 确保能连回服务器

自建控制平面最怕“服务在服务器上，但服务器自己访问不了自己的公网域名”。

后续至少要确认：

curl -I https://tailscale.example.net
openssl s_client -connect derp.example.net:8443 -servername derp.example.net </dev/null
curl -vk https://derp.example.net:8443/

如果服务器自身访问 tailscale.example.net 或 derp.example.net 会走错线路，建议先解决 DNS、回源、云防火墙、NAT 回环问题。

1. 启动 DERP

docker-compose.yml：

services:
  derp:
    image: sparanoid/derp:edge
    container_name: derp
    restart: always
    init: true
    ports:
      - "8443:443"
      - "3478:3478/udp"
      # DERPPort 可以通过 Docker 端口映射改成非标端口
      # STUNPort 是 UDP，需要公网直接放通
    volumes:
      - ./certs/derp.example.net:/app/certs:ro
      # certdir 内建议包含：
      # derp.example.net.crt
      # derp.example.net.key

      - /var/run/tailscale/tailscaled.sock:/var/run/tailscale/tailscaled.sock
      # 后续开启 -verify-clients=true 时使用
      # 需要宿主机运行 tailscaled，并且已经加入对应 tailnet

	command: sh -c "
      derper \
        -hostname derp.example.net \
        -certdir /app/certs \
        -certmode manual \
        - verify-clients false \
        -home blank"

    # 一些可选启动参数：
    # -verify-clients true 启用客户端验证，防止DERP被偷，需要配合Tailscale使用，且需要挂载Tailscale的套接字文件
    # -home blank 访问DERP返回空白界面，简单防止DERP服务被扫。
    # -home https://xxx.com 访问DERP跳转指定URL

    networks:
      - derper_network

networks:
  derper_network:
    external: true

启动：

docker compose up -d
docker logs -f derp

测试：

curl -vk https://derp.example.net:8443/

如果 -home blank 生效，浏览器访问可能就是空白页，这不是坏事。主要看 TLS 是否正常、容器日志是否正常。

再次强调：本文没有把 DERP 走 Caddy HTTP 反代。DERP 不是普通 WebSocket/HTTP 服务，不建议这么玩。

2. 启动 Headscale + Headplane

目录结构大概这样：

.
|-- compose.yml
|-- headplane-config
|   `-- config.yaml
|-- headplane-data
|-- headscale-config
|   |-- config.yaml
|   `-- dns_records.json
`-- headscale-data

先初始化 dns_records.json：

mkdir -p headscale-config headscale-data headplane-config headplane-data
echo "[]" > headscale-config/dns_records.json

后续如果需要添加自定义的dns records，可以在web console配置，但需要重启headscale才能生效，而新增主机的magic dns则不受影响容器内需要挂载docker socket才能重启，但出于安全考虑，不建议这种做法

2.1 Headscale 配置

./headscale-config/config.yaml：

server_url: https://tailscale.example.net
listen_addr: 0.0.0.0:8080
metrics_listen_addr: 0.0.0.0:9090
grpc_listen_addr: 0.0.0.0:50443
grpc_allow_insecure: false

noise:
  private_key_path: /var/lib/headscale/noise_private.key

prefixes:
  v4: 100.64.0.0/10
  v6: fd7a:115c:a1e0::/48

allocation: sequential

derp:
  server:
    enabled: false
    region_id: 901
    region_code: "derp"
    region_name: "My DERP"
    verify_clients: true
    stun_listen_addr: "0.0.0.0:3478"
    private_key_path: /var/lib/headscale/derp_server_private.key

  urls:
    - https://assets.example.net/tailscale/derpmap.json

  paths: []
  auto_update_enabled: true
  update_frequency: 24h

disable_check_updates: false
ephemeral_node_inactivity_timeout: 30m

database:
  type: sqlite
  debug: false
  gorm:
    prepare_stmt: true
    parameterized_queries: true
    skip_err_record_not_found: true
    slow_threshold: 1000
  sqlite:
    path: /var/lib/headscale/db.sqlite
    write_ahead_log: true
    wal_autocheckpoint: 1000

acme_url: https://acme-v02.api.letsencrypt.org/directory
acme_email: ""
tls_letsencrypt_hostname: ""
tls_letsencrypt_cache_dir: /var/lib/headscale/cache
tls_letsencrypt_challenge_type: HTTP-01
tls_letsencrypt_listen: ":http"
tls_cert_path: ""
tls_key_path: ""

log:
  level: info
  format: text

policy:
  mode: database
  path: ""

dns:
  magic_dns: true
  base_domain: tailnet.example.net
  override_local_dns: true
  nameservers:
    global:
      - 1.1.1.1
      - 1.0.0.1
      - 2606:4700:4700::1111
      - 2606:4700:4700::1001
  split: {}
  search_domains: []
  extra_records: []
  extra_records_path: /etc/headscale/dns_records.json

unix_socket: /var/run/headscale/headscale.sock
unix_socket_permission: "0770"

logtail:
  enabled: false

randomize_client_port: false

taildrop:
  enabled: true

这里 server_url 必须是客户端能访问到的公网 HTTPS 地址。
base_domain 不要和 server_url 完全一样，MagicDNS 用它生成类似 hostname.tailnet.example.net 的域名。

2.2 Headplane 配置

生成一个 32 字符的 cookie secret：

openssl rand -hex 16

./headplane-config/config.yaml：

host: "0.0.0.0"
port: 3000

# 不要带 /admin
base_url: "https://tailscale.example.net"

cookie_secret: "替换成 openssl rand -hex 16 生成的值"
cookie_secure: true
cookie_max_age: 86400

data_path: "/var/lib/headplane"

headscale:
  url: "http://headscale:8080"
  public_url: "https://tailscale.example.net"
  config_path: "/etc/headscale/config.yaml"
  config_strict: true
  dns_records_path: "/etc/headscale/dns_records.json"

integration:
  agent:
    enabled: false
    pre_authkey: ""

  docker:
    enabled: true
    container_label: "me.tale.headplane.target=headscale"
    socket: "unix:///var/run/docker.sock"

  kubernetes:
    enabled: false
    validate_manifest: true
    pod_name: "headscale"

  proc:
    enabled: false

# 不配置 OIDC 时，Headplane 登录依赖 Headscale API Key
# oidc:
#   enabled: true

Headplane 的 Docker 部署方式要求配置文件和数据目录持久化；如果要让它在 UI 里管理 DNS、ACL 等配置，还需要挂载 Headscale 配置文件和 Docker socket。官方文档也说明了 Docker 模式、/admin 访问路径和 API key 登录方式。(Headplane)

2.3 Docker Compose

docker-compose.yml：

services:
  headplane:
    image: ghcr.io/tale/headplane:0.6.2
    container_name: headplane
    restart: unless-stopped
    volumes:
      - "./headplane-config/config.yaml:/etc/headplane/config.yaml"
      # This should match headscale.config_path in your config.yaml
      - "./headscale-config/config.yaml:/etc/headscale/config.yaml"

      # If using dns.extra_records in Headscale (recommended), this should
      # match the headscale.dns_records_path in your config.yaml
      - "./headscale-config/dns_records.json:/etc/headscale/dns_records.json"

      # Headplane stores its data in this directory
      - "./headplane-data:/var/lib/headplane"

      # If you are using the Docker integration, mount the Docker socket
      - "/var/run/docker.sock:/var/run/docker.sock:ro"
      - "/etc/localtime:/etc/localtime:ro"
    networks:
      - caddy_network

  headscale:
    image: headscale/headscale:0.28.0
    restart: unless-stopped
    container_name: headscale
    # 这里可以先映射端口，测试访问成功后再配置caddy路由
    # ports:
    #   - "127.0.0.1:8080:8080"
    #   - "127.0.0.1:9090:9090"
    volumes:
      - "./headscale-data:/var/lib/headscale"
      - "./headscale-config:/etc/headscale"
      - "/etc/localtime:/etc/localtime:ro"
    command: serve
    healthcheck:
      test: ["CMD", "headscale", "health"]
      interval: 30s
      timeout: 10s
      retries: 3
    networks:
      - caddy_network

networks:
  caddy_network:
    external: true

启动：

docker compose up -d
docker logs -f headscale
docker logs -f headplane

检查健康状态：

docker exec -it headscale headscale health

也可以从公网访问：

curl -I https://127.0.0.1:8080/health

Headscale 官方文档也建议先确认公网 health endpoint 可访问，再继续注册节点。(Headscale)

3. 配置 Caddy 路由

我的 Caddy 是统一的 wildcard 入口，所以只加一个 matcher：

@tailscale {
  host tailscale.example.net
}

handle @tailscale {
  route {
    # Headplane 默认在 /admin
    @admin path /admin*
    handle @admin {
      reverse_proxy headplane:3000
      header {
        Access-Control-Allow-Origin  *
        Access-Control-Allow-Headers *
        Access-Control-Allow-Methods GET, POST, OPTIONS
      }
    }

    # 其余全部路由到 Headscale
    handle {
      reverse_proxy headscale:8080
    }
  }
}

如果你不是 wildcard Caddyfile，也可以单独写：

tailscale.example.net {
  encode zstd gzip

  @admin path /admin*
  handle @admin {
    reverse_proxy headplane:3000
  }

  handle {
    reverse_proxy headscale:8080
  }
}

注意：这里只代理 tailscale.example.net。
derp.example.net:8443 不要走这个 Caddy HTTP 反代。

重载 Caddy：

docker exec -it caddy caddy reload --config /etc/caddy/Caddyfile

也可以直接

docker compose down && docker compose up -d

4. 部署与接入客户端

4.1 生成 Headplane 访问密钥

进入 Headscale 容器，生成 API Key：

docker exec -it headscale headscale apikeys create --expiration 999d

然后打开：

https://tailscale.example.net/admin

粘贴 API Key 登录。

不配置 OIDC 的情况下，Headplane 不是传统“用户名 + 密码”的永久账户体系，而是靠 Headscale API Key 登录。想要更像正常后台账号，需要后续单独接 OIDC。

4.2 创建 Headscale 用户

如果不想在 Web Console 里创建，也可以 CLI 创建：

docker exec -it headscale headscale users create username
docker exec -it headscale headscale users list

Headscale 0.28 以后不要再按老教程写 namespace 了，直接用 users。

4.3 Web Console 配置

进入 Headplane 后，建议先做这些：

配置 Tailnet Name
打开 MagicDNS（可选）
确认 DNS Base Domain 不和 tailscale.example.net 冲突
确认 DERP Map 能看到 My DERP
创建 Pre-auth Key

如果你只是个人使用，Pre-auth Key 可以选：

Reusable:   按需开启
Ephemeral:  一般关闭
Expiration: 按需设置

4.4 命令行生成 Pre-auth Key

也可以 CLI 生成。先看用户 ID：

docker exec -it headscale headscale users list

然后创建：

docker exec -it headscale headscale preauthkeys create --user <USER_ID>

如果需要复用、调整有效期等参数，先看当前版本帮助：

docker exec -it headscale headscale preauthkeys create --help

4.5 Linux 客户端加入

sudo tailscale up \
  --login-server="https://tailscale.example.net" \
  --authkey="你的 preauthkey"

如果之前已经登录过官方 Tailscale 或其他 Headscale，建议加 --reset：

sudo tailscale up --reset \
  --login-server="https://tailscale.example.net" \
  --authkey="你的 preauthkey"

如果你不想让 Headscale 接管 DNS：

sudo tailscale up --reset \
  --login-server="https://tailscale.example.net" \
  --authkey="你的 preauthkey" \
  --accept-dns=false

如果你打开了 MagicDNS，就不要加 --accept-dns=false。

4.6 Windows 客户端加入

管理员 PowerShell：

tailscale up --login-server="https://tailscale.example.net" --authkey="你的 preauthkey"

如果旧状态干扰：

tailscale up --reset --login-server="https://tailscale.example.net" --authkey="你的 preauthkey"

4.7 检查 DERP 是否生效

客户端执行：

tailscale netcheck
tailscale debug derp-map

看输出里是否有类似：

My DERP
derp.example.net

再找另一个节点测试：

tailscale ping <对端节点名或 100.x 地址>

如果直连成功，会显示 direct；如果走中继，会显示 DERP。DERP 是保底，不是目标。能直连当然优先直连，不能直连时再走自建中继。

5. 开启防偷

DERP 不开验证的话，只要别人拿到你的 DERP Map，就可能把你的中继当公共节点用。 ~~小机器带宽本来就贵，不能当赛博慈善家。~~

防偷有两种思路。

5.1 方案一：Headscale `/verify`

这是我更推荐给 Headscale + Derper 的方式。Headscale 文档里提到，第三方 derper 可以通过 -verify-client-url 指向 Headscale 的 /verify 端点，由 Headscale 判断客户端是否属于本 Tailnet；-verify-client-url-fail-open 控制 Headscale 不可达时是放行还是拒绝，默认行为偏宽松，强迫症可以关掉。(Headscale)

~~当然我是懒狗，多derp单headscale，所有derp用一套配置CtrlCV更省事，我用的第二套，~~ 第一套我没测

修改 DERP 的启动参数：

command:
  - derper
  - -hostname
  - derp.example.net
  - -certdir
  - /app/certs
  - -certmode
  - manual
  - -verify-client-url
  - https://tailscale.example.net/verify
  - -verify-client-url-fail-open=false
  - -home
  - blank

然后重启：

docker compose up -d
docker logs -f derp

确保 derp 容器能访问：

docker exec -it derp wget -qO- https://tailscale.example.net/health

如果容器访问自己的公网域名不通，先修 DNS/NAT 回环/防火墙，不要急着怪 Headscale。

5.2 方案二：`-verify-clients=true` + 本机 tailscaled

如果你想沿用传统方式，也可以让 derper 通过本机 tailscaled.sock 判断客户端身份。

前提：

DERP 宿主机安装并运行 Tailscale 客户端。
这个 Tailscale 客户端已经加入你的 Headscale tailnet。
derper 容器挂载 /var/run/tailscale/tailscaled.sock。
启动参数打开 -verify-clients=true。

修改：

volumes:
  - ./certs/derp.example.net:/app/certs:ro
  - /var/run/tailscale/tailscaled.sock:/var/run/tailscale/tailscaled.sock

command: sh -c "
  derper \
	-hostname derp.example.net \
	-certdir /app/certs \
	-certmode manual \
	- verify-clients true \
	-home blank"

# 一些可选启动参数：
# -verify-clients true 启用客户端验证，防止DERP被偷，需要配合Tailscale使用，且需要挂载Tailscale的套接字文件
# -home blank 访问DERP返回空白界面，简单防止DERP服务被扫。
# -home https://xxx.com 访问DERP跳转指定URL

Tailscale 官方 derper README 里也提醒了：如果使用 --verify-clients，同机需要运行 tailscaled，并且客户端需要对 derper 旁边的 tailscaled 可见。(GitHub)

重启后再次测试：

docker compose up -d
tailscale status
tailscale netcheck
tailscale debug derp-map
tailscale ping <对端节点>

常见坑

1. Headscale 启动失败：DERPMap 为空

检查：

curl -fsSL https://assets.example.net/tailscale/derpmap.json
docker logs headscale

如果使用 urls，外部 DERP Map 应为 JSON；如果使用 paths，本地 DERP Map 应为 YAML。不要混。

2. DERP 网页能打开，但客户端不用它

检查 DERP Map 里的端口：

"DERPPort": 8443,
"STUNPort": 3478

再检查云防火墙、安全组、本机防火墙是否都放通了 8443/tcp 和 3478/udp。

3. `tailscale netcheck` 过了，但实际还是连不上

netcheck 只能说明一部分网络状态正常，不代表所有路径都完全可用。继续看：

tailscale debug derp-map
tailscale ping <peer>
tailscale status

必要时看客户端日志。

4. Headplane 登录不了

先重新生成 API Key：

docker exec -it headscale headscale apikeys create --expiration 999d

再确认 Headplane 配置中的：

headscale:
  url: "http://headscale:8080"
  public_url: "https://tailscale.example.net"

url 是容器内访问 Headscale 的地址；public_url 是浏览器和用户看到的公网地址。

5. MagicDNS 打开后系统 DNS 被改乱

客户端加入时可以临时禁用：

tailscale up --reset \
  --login-server="https://tailscale.example.net" \
  --authkey="你的 preauthkey" \
  --accept-dns=false

等 Headscale 的 DNS 配置确认没问题后再打开。

总结

至此，控制平面和中继平面都迁到了自己手里：

客户端
  ↓
tailscale.example.net
  ↓
Headscale 控制平面
  ↓
下发 DERP Map / DNS / ACL

客户端 A ←→ 客户端 B
  ↳ 能直连就直连
  ↳ 不能直连就走 derp.example.net:8443

这套方案的优点很明显：

不依赖 Tailscale 官方控制台
自己管理用户、设备、DNS、ACL
DERP 节点位置可控，延迟更低
开启 verify 后，不容易被人白嫖中继

缺点也同样明显：

证书、端口、DNS、配置都要自己维护
DERP/Headscale 都是关键基础设施，挂了就会影响新连接和中继
配置文件格式和版本变化比较快，升级前要看 release note

不过折腾嘛，本来就是这样：
先把能跑的跑起来，再把跑起来的修到好用。

打油诗一首

Tue, 12 May 2026 00:00:00 GMT

早闻丙午事端丰，特战风起湾未静
喵吠狸犬多忘事，朗朗乾坤几日清！
桑梓花残春柳晚，普书股期汇零丁
莫问国是皆有常，是非自有后人评
搞罢青衫仍一笑，苟且收拾再前行

HomeLab局域网打洞从精通到入门

Sat, 02 May 2026 00:00:00 GMT

铜缆（10GbE以下）

导引丝（可选）
- 其实就是铁丝
网线钳
- 随便买一个，都差不多
- 剥线刀可以用自带的，不过单独小巧的更好用一些
水晶头
- CAT-5E头子是平齐的，线很容易歪
- CAT-6头子是一上一下交错的
- 邪修：CAT-5E线用CAT-6水晶头好打，省手（别问能不能过福禄克，问就是不能）
T568B线序走天下，6202年了不分直连线交叉线了
没啥搜索关键字，网线贵在铜上

光纤

40GbE/56G-iB以下：单纤/双纤
1. 前情提要
  - 常见的ETH模块是单模/多模双纤LC-LC，BIDI模块是单模单纤LC，光猫上那个是单模单纤SC，当然也有别的，其他的接头几乎不太家用，反正我没玩过
  - 以我手头一颗万兆光模块举例，SFP+ 10G 850nm 300M DDM LC，分别代表：
    - SFP+：接网卡交换机等设备的物理接口类型
    - 10G：最大支持到10GbE带宽
    - 850nm：光的波长
    - 300M：最大传输距离300米
    - DDM：支持数字诊断监控，一般不用管
    - LC：光纤物理接口类型
2. 过墙方式
  - 导引丝（就是一根铁丝）先过去，会省很多事情
  - ~~带着接头穿弱电管会非常痛苦，如果相信大力出奇迹的话可以尝试~~
  - 首当其冲是熔接，自动熔纤机800左右一台，效果最佳。熔接只支持单模光纤，多模尾纤的纤芯是塑料，支持熔接多模光纤的设备不是这个价。搜索关键字"光纤熔接机"，不是"熔纤机"
  - 其次是成端（研磨）,SC大方头的比较便宜，几百块就能买到，兼容LC小方头的机器就贵一些，但是体型小巧，相较熔纤机上手简单(存疑)，反正没有无法重新穿线且必须弱电箱里面狭小空间成端的需求不建议考虑
  - 第三种是冷接，容易断，耗材还贵，除非量太小否则不建议考虑 ~~（量太小要不还是成品纤大力出奇迹吧）~~
  - ~~法兰头（类似RJ-45的对接头）很便宜，尾纤批发百来根也很便宜，可以用尾纤大力出奇迹过墙，然后一个一个一个对接起来~~
多纤MPO
1. 前情提要
  - MPO接口是4组8根光纤
  - 剪开之后很难熔接，很难成端（激光笔一根一根对接倒是能搞，就是费手）
  - 主流MPO光模块大体分为以下两种：
    - PSM：并行光模块，可以直接拆分
    - WDM：波分复用模块，需要通过波分盒子拆分
    - 其余的我还没玩到，欢迎大佬指教
2. 我从最开始玩光到现在，基本用的都是PSM模块，配合MPO-4LCLC转接线，LC过墙就又回到了上面的问题
  - 搜索关键字："MPO-4LC"，"QSFP+ SR4"，"QSFP28 SR4"
3. 新的问题也出现了。PSM模块使用MPO接口，过墙熔接/成端比较麻烦，耗材使用量大不说，打的洞也越来越挤，MPO-4LCLC线也不便宜，然后就开始考虑CWDM模块了。这里提供两个低成本方案：
  1. 光模块
    - CWDM LR4 10km模块，LC-LC接头，波长1271nm、1291nm、1311nm、1331nm，购物平台关键字"40G LR4 10km"
    - CWDM CLR4 10km模块，LC-LC接头，波长1271nm、1291nm、1311nm、1331nm，购物平台关键字"100G CLR4 10km"
  2. 波分盒子
    - 6通，分别为1271nm-1371nm，运营商终端布线非常常用，所以价格低廉，购物平台关键字"cwdm"或"cwdm盒子"
  3. 优势：
    - 不用MPO线缆，可以复用原有的LC-LC布线 ~~（多模纤短距离能跑单模光，单模纤跑不了多模光）~~
    - 比起SR4方案，CLR4的拆分不在交换机侧，而是在对端任意点位，更加灵活
    - 走弱电管好走很多，熔接还是成端都更省手省耗材
    - 可以拉到很远的地方（HomeLab大概率用不到）
  4. 劣势：
    - 得买单独的波分盒子，没比MPO-4LC转接线便宜多少
    - 需要使用彩光模块，而不是通用的SFP+/SFP28 ETH模块，一般买波分盒子会送一套
    - 波分配套彩光模块有6颗，1351nm和1371nm的两颗模块多出来了用不上，会有些浪费。 ~~买两套多出来的可以当正常光模块两两对插~~
    - ~~LR模块比SR模块更费电~~
CWDM
1. 注意：不要把你的ETH信号给到运营商波分！不要把你的波分接到运营商波分下面！入户纤不能走波分复用！不要通过桥接的光猫倒灌VLAN ID给运营商！
2. 实施方案：
  - G657B3裸芯（抗弯折性能最好）
  - 顺墙角，玻璃胶糊死，可以在无弱电管的地方不凿墙拉一根线
  - 一边一个CWDM盒子，单芯能跑多路（3-6路）
3. 优势：比起vlan交换机，每一路带宽独立，且波分盒子不耗电

NewAPI大模型网关

Sat, 24 Jan 2026 00:00:00 GMT

大模型token好贵，得想点办法了。

前提条件：

OpenRouter有每天的免费额度
注册不需要手机号，邮箱就行（主打匿名隐私，面向web3用户，支持区块链支付）
单ip通过多账号高频请求会风控，但是风控似乎“全部”通过Cloudflare实现
Cloudflare Worker “似乎”是白名单（好人不封自己）

理论存在，实践开始！

目标1：需要无限的临时邮箱

各种临时邮箱api，曾经（2025年初）可以，但目前版本多数已被封禁
谷歌、微软、苹果等主流邮箱服务商（测试通过）
谷歌无限邮（免费，但反人机机制较强）、微软Outlook（朋友测试过，需要吃Azure的一坨）、iCloud+（随机无限生成，自动转发，但需要iCloud高级订阅）
如有其余方案欢迎补充

目标2：自动化注册（由于平台相关规定，不建议进行）

selenium自动操作，imap读取邮件

目标3：Cloudflare Worker 提升访问稳定性，而非规避平台规则

Calcium-Ion/new-api-worker
或者自己让AI给你搓一个代理脚本（但是有现成的干嘛还要写）
使用量太大可能收费，但cloudflare worker的免费计划不需要绑定银行卡，且cloudflare注册也符合开头的“前提条件”（我是不会告诉你new-api的上级路由也可以是new-api，不仅限于OpenRouter的）

术式展开完成。

注：本文所有技术方案仅适用于个人开发者的合法测试与学习，严禁用于批量注册账号、套取平台免费额度进行牟利等违规操作。使用任何平台服务前，请仔细阅读并遵守其用户协议，违规操作可能导致账号封禁等后果。（AI生成水印）

秋风日记-2025Q4

Sun, 02 Nov 2025 00:00:00 GMT

!!! 本文为个人交易复盘记录，不构成任何投资建议，股市有风险，投资需谨慎。
!!! 科创板权限在第一期暂未开通，使用父亲账户代持、代为交易，仅为个人操作记录，代持存在账户安全、权益归属等风险，不建议他人模仿。

前言

新入行金融交易 2 年许，略有所感，记录交易日记。目前主要进行股票交易，持有少量离岸避险外汇资产，并对期货略有了解，但未尝试下场交易。

风格上，我个人偏向基本面交易，对技术面各种手法鲜少理解，但也有一些自身考量和感想，在此记录经历。

晶科能源（SH688223）

一、核心交易信号

1. 政策信号：工信部整治行业内卷，头部企业受益

核心结论：工信部明确通过技术标准、能效门槛引导光伏落后产能出清，晶科能源工艺能效排名前列，预期市占率和利润提升
关键背景：9月9日工信部部长李乐成点名光伏行业“非理性竞争”，2025年上半年光伏组件价格暴跌导致全行业巨亏（头部企业合计亏损超千亿元）
引用内容：
- 9月9日，工业和信息化部部长李乐成在国务院新闻办公室的发布会上以近乎警示的口吻，对新能源汽车、光伏等重点行业近期出现的“非理性竞争”提出严正关注，并表示工信部会同相关部门已经依法依规开展治理工作，取得初步成效。
- 工信部对光伏与储能领域“非理性竞争”的点名与整治，把行业长期积累的结构性问题推到台前。2025年上半年，光伏组件价格断崖式下跌导致全行业巨亏，头部企业合计亏损超千亿元；储能环节同样陷入毛利率持续走低、项目回报率恶化的困局。规模化扩张之后的行业阵痛正在显现：同质化产品过剩、低价中标横行、地方政府与企业被锁入“保就业、保税收”的路径依赖。
- 这种中央与地方的张力意味着，治理不能依赖“一刀切”。对光伏，应通过技术标准和能效门槛引导落后产能出清；对储能，应建立项目全生命周期经济性评估与强制安全标准，防止劣质系统抢占市场。更重要的是，治理需要透明化，例如定期公布光储项目招标价格、质量抽检结果，让市场和公众监督地方执行力。只有在制度透明和配套机制支撑下，治理信号才能真正落地。
参考来源：光储急刹车：反内卷、去产能与创新突围-北极星储能网

2. 期市与股市联动信号：原材料上涨滞后于股市预期

核心结论：工业硅期货反弹但股市持续下跌，工业硅期货反弹与股市下跌形成背离，股市或有大幅上涨
关键数据：
- 工业硅连续（SI0001）：9月9日最低8215 → 9月18日最高9310
- 晶科能源（688223）：9月8日最高6.14 → 9月18日开盘5.46（最高5.52/最低5.29）→ 9月23日开盘5.18（最高5.20/最低5.01）

3. 业绩信号：三季报亏损超预期，触发止盈清仓

核心结论：10月30日三季报未扭亏，不符合预期，决定止盈清仓
关键业绩：
- 前三季度：营收479.86亿元（同比-33.14%），归母净利润亏损39.2亿元（同比-422.67%）
- 第三季度：营收161.55亿元（同比-34.11%），归母净利润亏损10.12亿元（同比-6900.55%）
引用内容：
- 报告显示，前三季度，晶科能源营收为479.86亿元，同比下降33.14%；归母净利润亏损39.2亿元，较2024年同期的12.15亿元，同比下降422.67%。
- 其中，第三季度，该公司实现营收161.55亿元，同比下降34.11%；归母净利润亏损10.12亿元，同比降幅高达6900.55%。基本每股收益为-0.1元，同比下降10100%。
参考来源：Q3净利狂降6900%，晶科能源“越卖越亏”？

二、持仓记录与盈利情况

第一期交易（止盈位6.80 / 止损位5.00）

日期	交易类型	价格	数量	金额
2025.09.18 09:25	证券买入	5.4600	7056	38531.15
2025.09.18 09:34	证券买入	5.4400	3745	20378.00
2025.09.22 14:45	证券买入	5.2000	10000	52005.72
2025.09.23 10:11	证券卖出	5.0500	10400	52487.96
2025.09.25 09:31	证券买入	5.3600	12300	65935.25
2025.09.25 09:37	证券买入	5.4600	3000	16385.16
2025.09.26 10:12	证券买入	5.3900	6380	34393.54
2025.10.09 11:25	证券卖出	5.8000	10000	57964.62
2025.10.09 14:34	证券卖出	5.8000	10000	57964.62
科创板权限暂未开通，父亲账户代持，未清仓	代持持有	-	12081	-

本期最终结算盈利：13000元

第二期交易（止盈位5.90 / 止损位5.10）

操作类型	成交日期	价格(元)	数量(股)	发生金额(元)
证券买入	2025.10.27 11:21	5.4300	30000	162923.69
证券卖出	2025.10.29 15:00	5.8200	10000	58162.44
证券卖出	2025.10.30 09:42	5.8900	10000	58861.98
证券卖出	2025.10.30 14:44	5.8500	9000	52616.01
证券卖出	2025.10.31 10:31	5.9400	1000	5931.96

买入原因：工信部重申反内卷；十五五会议在即（预期重提碳中和承诺）；股价触底反弹
卖出原因：接近止盈位；三季报业绩下滑不及预期
本期最终结算盈利：12648.70元

三、成果反思与改进方向

本次交易亮点
- 基本面判断准确，是两期交易盈利的核心原因
存在的不足
- 选股不够精准：隆基绿能涨幅高于晶科能源，但因对两家公司工艺细节研判不足，最终选择投资晶科能源
- 未分散持仓：在无法判断具体工艺的情况下，未分散持仓，反而选择依赖AI工具决策
- 技术面分析欠缺：
  1. 股市与期市信号滞后时间预估错误，未能规避9月18-23日下跌
  2. 买入时机不当，止损位设置不合理，9月23日认损卖出后股价反弹
后续改进措施
- 个股研究：减少对AI工作流的依赖，人工深入研究选股范围内个股的核心信息
- 技术面提升：加强MACD、成交量、实时价格曲线的综合判读，避免盲目交易

华立科技（SZ301011）

一、核心交易信号

1. 热门游戏版本更新和股价关联

核心结论：作为街机游戏设备头部厂商，其中最热门产品“舞萌DX”和“中二节奏”的月度更新，在T-2到T+2个交易日内，过去2年时间里，超过8成会出现股价上涨
注：该结论为个人观察总结，未经过严格量化验证
引用内容：
- 中二节奏本次更新时间：2025年10月30日
- 舞萌DX本次更新时间：2025年11月5日 10：00
参考来源：
- 中二节奏丨10月更新情报！
- 舞萌DX丨11月更新情报！

二、持仓记录与盈利情况

第一期交易（止盈位无 / 止损位无）

交易类型	成交日期	价格(元)	数量(股)	发生金额(元)
证券买入	2025.10.27 13:56	26.6700	1000	26675.00
证券卖出	2025.10.28 09:37	26.9900	1000	26971.50

本期最终结算盈利：296.50元

第二期交易（止盈位无 / 止损位无）

交易类型	成交日期	价格(元)	数量(股)	发生金额(元)
证券买入	2025.10.29 13:00	26.3600	1500	39545.35
证券卖出	2025.10.31 10:31	25.7810	1500	38646.42

本期最终结算亏损：898.93元

三、成果反思与改进方向

本次交易亮点
- 第一期交易把握正确，借助更新公告发布后热点形势赚取盈利
存在的不足
- 量化支撑缺失：未通过 “信号强度量化公式”（核心维度：历史上涨概率、剔除创业板指beta波动后的上涨概率、游戏门店渗透率加权）计算信号有效性，仅靠 “过去 8 成上涨” 的模糊结论建仓，导致第二期在 “中二节奏热度较低” 时仍加仓，放大亏损。
- 事件影响优先级未厘清：没有分清公告发布和游戏更新两个事件，哪个对股价影响较大。
- 试仓比例失控：已知 “中二节奏热度低于舞萌 DX”，但两期试仓占比仍达 4.37%、6.38%，远超 “单一试错信号≤3%” 的合理上限，导致单次亏损（898.93 元）覆盖了前期盈利，并同时造成后续舞萌DX的试验性建仓如遵循试错信号的持仓比例，将极难覆盖前期亏损。
- 违反了个人交易原则：任何一次建仓前都应当设置止盈位和止损位
后续改进措施
- 个股研究：减少主观判断占比，增加量化计算占比
- 原则底线：坚守止盈止损底线，确保资金流动性充足，避免被“套牢”影响后续交易
本次交易还未结束，将按照“更新的T-2到T+2个交易日内，会出现股价上涨”这一核心结论，削减持仓比例，对“舞萌DX更新”这一信号继续进行交易，验证结论正确与否。同时锻炼个人心态，避免因担心错过信号仓促下单交易。

后续工作

逐步完成个人交易原则的体系化记录。
加强技术面交易方法的学习，避免在日线乃至分钟线交易时手足无措的现象。
搭建量化交易工具的前期框架，对tick级Level1行情进行本地持久化存储，并加入可以辅助完成判断的工具（如事件关联性检测）。
如有能力，进一步在云原生的高可用架构下，完成私人AIGC工作流对互联网可信信息源的自动判读整合，实现交易信号研读从人工到自动的转变。

简记vLLM部署bge-m3和bge-reranker

Tue, 30 Sep 2025 00:00:00 GMT

概述

本配置用于部署一个基于 Docker 的多服务 API 系统，包含 New API 主服务、Redis 缓存、MySQL 数据库以及两个 GPU 加速的文本处理模型（bge-m3 和 bge-reranker-v2-m3）。主要用于提供文本嵌入和重排序功能，支持多语言处理，为开发者提供统一的 Jina AI 格式接口。

懒狗快捷指南

services:
  new-api:
    image: calciumion/new-api:latest
    container_name: new-api
    restart: always
    command: --log-dir /app/logs
    networks:
      - vllm_network
#      - caddy_network
    ports:
      - "3443:3000"
    volumes:
      - ./new-api/data:/data
      - ./new-api/logs:/app/logs
    environment:
      - SQL_DSN=root:123456@tcp(mysql:3306)/new-api  # 指向mysql服务
      - REDIS_CONN_STRING=redis://redis
      - TZ=Asia/Shanghai
    #      - SESSION_SECRET=random_string  # 多机部署时设置，必须修改这个随机字符串！！！！！！！
    #      - NODE_TYPE=slave  # 多机部署的从节点取消注释
    #      - SYNC_FREQUENCY=60  # 如需定期同步数据库，取消注释
    #      - FRONTEND_BASE_URL=https://your-domain.com  # 多机部署带前端URL时取消注释

    depends_on:
      - redis
      - mysql
      - bge-m3
      - bge-reranker
    healthcheck:
      test: ["CMD-SHELL", "wget -q -O - http://localhost:3000/api/status | grep -o '\"success\":\\s*true' | awk -F: '{print $$2}'"]
      interval: 30s
      timeout: 10s
      retries: 3

  redis:
    image: redis:latest
    container_name: redis
    networks:
      - vllm_network
    restart: always

  mysql:
    image: mysql:8.2
    container_name: mysql
    networks:
      - vllm_network
    restart: always
    environment:
      MYSQL_ROOT_PASSWORD: 123456  # 确保与SQL_DSN中的密码一致
      MYSQL_DATABASE: new-api
    volumes:
      - ./new-api/mysql_data:/var/lib/mysql
    # ports:
    #   - "3306:3306"  # 如需从Docker外部访问MySQL，取消注释

#volumes:
#  mysql_data:

  # bge-m3 专用容器 - 使用 GPU 0
  bge-m3:
    image: vllm/vllm-openai:latest # 当前版本0.10.1
    container_name: bge-m3
    runtime: nvidia
    deploy:
      resources:
        reservations:
          devices:
            - driver: nvidia
#              count: 1
              capabilities: [gpu]
              device_ids: ['0']  # 明确指定使用 GPU 0
#    ports:
#      - "8000:8000"
    volumes:
      - ./vllm/bge-m3/.cache/huggingface:/root/.cache/huggingface
      - ./vllm/bge-m3/models:/app/models
    networks:
      - vllm_network
    environment:
      - http_proxy=http://localhost:xxxxx # 改成你的代理端口
      - https_proxy=http://localhost:xxxxx # 改成你的代理端口
      - HUGGING_FACE_HUB_TOKEN=hf_xxxxxx # 改成你的token
#      - CUDA_VISIBLE_DEVICES=0  # 明确指定使用 GPU 0
    ipc: host
    command: >
      --model BAAI/bge-m3
      --api-key sk-xxxxxx
      --host 0.0.0.0
      --port 8000
      --tensor-parallel-size 1
      --gpu-memory-utilization 0.8
      --max-model-len 8192
    # 上面command字段不能有注释，api-key随便生成一个就行
    restart: unless-stopped
    healthcheck:
      test: ["CMD", "curl", "-f", "http://localhost:8000/health"]
      interval: 30s
      timeout: 10s
      retries: 3

  # bge-reranker-v2-m3 专用容器 - 使用 GPU 1
  bge-reranker:
    image: vllm/vllm-openai:latest # 当前版本0.10.1
    container_name: bge-reranker
    runtime: nvidia
    deploy:
      resources:
        reservations:
          devices:
            - driver: nvidia
#              count: 1
              capabilities: [gpu]
              device_ids: ['1']  # 明确指定使用 GPU 1
#    ports:
#      - "8001:8000"  # 使用不同外部端口
    volumes:
      - ./vllm/bge-reranker/.cache/huggingface:/root/.cache/huggingface
      - ./vllm/bge-reranker/models:/app/models
    networks:
      - vllm_network
    environment:
      - http_proxy=http://localhost:xxxxx # 改成你的代理端口
      - https_proxy=http://localhost:xxxxx # 改成你的代理端口
      - HUGGING_FACE_HUB_TOKEN=hf_xxxxxx # 改成你的token
#      - CUDA_VISIBLE_DEVICES=1  # 明确指定使用 GPU 1
    ipc: host
    command: >
      --model BAAI/bge-reranker-v2-m3
      --api-key sk-xxxxx
      --host 0.0.0.0
      --port 8000
      --tensor-parallel-size 1
      --gpu-memory-utilization 0.8
      --max-model-len 8192
    # 上面command字段不能有注释，api-key随便生成一个就行
    restart: unless-stopped
    healthcheck:
      test: ["CMD", "curl", "-f", "http://localhost:8000/health"]
      interval: 30s
      timeout: 10s
      retries: 3

networks:
  vllm_network:
    external: true

Q&A

1. 多卡部署为什么会报错？ vLLM 在多 GPU 环境下需要正确配置 tensor-parallel-size 参数。如果配置不当（如 tensor-parallel-size 与实际 GPU 数量不匹配），会导致模型加载失败或性能问题。建议单卡单模型部署，通过 device_ids 明确指定 GPU 设备。 ~~（其实你根本不需要多卡跑这种小模型，爱折腾请自便）~~

2. New API 的重排序接口采用什么格式？ New API 统一采用 Jina AI 的重排序格式作为标准响应格式。所有其他供应商（Xinference、Cohere 等）的响应都会被转换为 Jina AI 格式，确保开发者获得一致的接口体验。 所以Rerank模型配置时请使用Jina渠道

3. "Model does not support matryoshka representation" 错误是什么意思？

Matryoshka 表示法：一种允许嵌入模型输出可变维度向量的技术（如 OpenAI 的 text-embedding-3 系列）
bge-m3 限制：BAAI/bge-m3 是固定输出维度模型（1024 维），不支持 dimensions 参数
解决方案：移除客户端请求中的 dimensions 参数，使用模型默认的输出维度

4. 如何测试嵌入功能？ 使用以下 curl 命令测试（替换为实际地址和 API Key）：

curl https://your-server/v1/embeddings \
  -H "Content-Type: application/json" \
  -H "Authorization: Bearer YOUR_API_KEY" \
  -d '{
    "input": "The food was delicious and the waiter...",
    "model": "BAAI/bge-m3",
    "encoding_format": "float"
  }'

5. 如何测试重排序功能？ 使用以下 curl 命令测试（替换为实际地址和 API Key）：

curl https://your-server/v1/rerank \
  -H "Content-Type: application/json" \
  -H "Authorization: Bearer YOUR_API_KEY" \
  -d '{
    "model": "BAAI/bge-reranker-v2-m3",
    "query": "Organic skincare products",
    "top_n": 3,
    "documents": ["文档1", "文档2", "文档3"]
  }'

6. 健康检查失败怎么办？ 检查服务日志确认模型是否正常加载，确保：

GPU 驱动和 nvidia-container-runtime 已正确安装
模型文件已正确下载到指定目录
网络代理配置（如需要）正确无误

docker logs new-api
docker logs bge-m3
docker logs bge-reranker

本文内容由AI辅助编写、主要代码由人工完成、已人工测试可用性，部署平台是Epyc7532 和 Nvidia-Tesla-T10 16GB，内存实际占用3.8GB，显存实际占用2568MB，请确保资源充足

基于网盘部署下载站的一些想法

Wed, 10 Sep 2025 00:00:00 GMT

背景：流量费血妈贵，交不起了，打算找点羊毛薅

一、Openlist解决网盘认证

Alist似了喵，Alist被卖掉了喵
由于部分网盘监管较为严格，禁止多IP同时下载，而下载站如果不使用重定向，流量流经服务器，就失去了意义，所以暂时选择移动云盘（据传三大运营商对此管理力度不大）
中国移动云盘 - OpenList 文档自己配置，懒得写
先说结论
- 登陆站点后台，导航到 设置>全局 下，关闭 签名所有
- 导航到 存储，编辑资源所在的存储，关闭 启用签名
- 导航到 元信息，确保资源所在路径没有设置元信息
附带原方案链接：Alist外链问题求助 · AlistGo/alist · Discussion #6024

二、重写路径

首先确保存储后端支持重定向，具体请在文档中默认使用的存储方式中查询，并确保配置中确实开启重定向~~（要不然血妈贵的流量费账单又会找上你）~~
如：中国移动云盘 - OpenList 文档
众所周知，Openlist的默认路由，/d代表直链，/p代表代理：router.go - AlistGo/alist
众所周知，Openlist默认端口5244，且没有SSL
放一下我对Caddyfile

*.sunnypai.top {
  tls /caddy/certs/sunnypai.top/cert.pem /caddy/certs/sunnypai.top/cert.key

  # openlist netdrive
  @openlist {
    host openlist.sunnypai.top
  }
  handle @openlist {
    reverse_proxy openlist:5244  {
        header_up Host {http.request.host}
        header_up X-Real-IP {http.request.remote}
        header_up X-Forwarded-For {http.request.remote}
        header_up X-Forwarded-Proto {http.request.scheme}
        header_up X-Forwarded-Host {http.request.host}
        header_up Range {http.request.header.Range}
        header_up If-Range {http.request.header.If-Range}
    }
  }


  # netdisk mirror source
  @mirror-cn-ningbo-01 {
    host dl-cn-ningbo-01.sunnypai.top
  }
  handle @mirror-cn-ningbo-01 {
    redir https://openlist.sunnypai.top/d{path} temporary
  }
  
}

其中第一块匹配openlist主服务，第二块匹配直链。如果不用主服务，可以简化为：

*.sunnypai.top {
  tls /caddy/certs/sunnypai.top/cert.pem /caddy/certs/sunnypai.top/cert.key

  # openlist netdrive
  @openlist {
    host openlist.sunnypai.top
  }
  handle @openlist {
    reverse_proxy openlist:5244/d{path}  {
        header_up Host {http.request.host}
        header_up X-Real-IP {http.request.remote}
        header_up X-Forwarded-For {http.request.remote}
        header_up X-Forwarded-Proto {http.request.scheme}
        header_up X-Forwarded-Host {http.request.host}
        header_up Range {http.request.header.Range}
        header_up If-Range {http.request.header.If-Range}
    }
  }

}

此时逻辑为，客户端请求->caddy->openlist直链地址->返回网盘cdn重定向地址 7. 另外，使用dl-cn-ningbo-01.sunnypai.top，而非dl.cn-ningbo-01.sunnypai.top的原因不是caddy匹配器(matcher)无法精确匹配，是通配符证书(wildcard certs)只能匹配下一级子域名（这里是三级域名），无法匹配到四级域名dl.，我懒得申请签发新证书

三、成果展示

请求 URL:
GET http://dl-cn-ningbo-01.sunnypai.top/test_20250910_101555.txt
重定向 URL:
GET https://dl-cn-ningbo-01.sunnypai.top/test_20250910_101555.txt
重定向 URL:
GET https://openlist.sunnypai.top/d/test_20250910_101555.txt
重定向 URL:
GET https://hcyykj-eos-hhht5-01.eos.huhehaote-8.cmecloud.cn/ff95dc4f93c74d699b5b49a31224cd71086?response-content-disposition=attachment%3B%20filename%2A%3DUTF-8%27%27test_20250910_101555.txt&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Date=20250910T050203Z&X-Amz-SignedHeaders=host&X-Amz-Expires=900&X-Amz-Credential=REDACTED_ACCESS_KEY%2F20250910%2Fdefault%2Fs3%2Faws4_request&t=2&u=REDACTED_USER_ID&ot=personal&oi=REDACTED_USER_ID&f=REDACTED_FILE_HASH&X-Amz-Signature=REDACTED_SIGNATURE

以上结果来自Apifox

生命小记

Sun, 07 Sep 2025 00:00:00 GMT

        早上刚起床，想到过世的外公在生前陪伴我的时光，泪水止不住涌了出来。泪光中，我想到了故去的爷爷奶奶，逝去的友人，又想到了梦中在世的亲朋好友突然离去，然后骤然想到我自己：
        生命，多么有趣的东西啊！即使如今的科技已经能上九天下五洋，生命的神秘依旧霸占着他那一隅之地，没人说得清生命是什么、意识从何而来。但，我在活着，我也曾活过。
        真的吗？似乎在提出这样的问题时，答案已经不言自明了。但是，亲朋旧友们真的已经阴阳两隔吗？已经逝去的人，如果还在被活着的人铭记，记得音容笑貌，记得点点滴滴，那他真的逝去了吗？
        “人有三次死亡。”通常意义上的死亡是生理的或社会的，但如果信息的他还被人铭记，那么在未来奇迹般的、先知梦境也无法描绘的技术下，靠着信息逆转死亡，也似乎并不是幻想？
        我们造出了有意识的机器，教会他们看世界，教导他们学习整个文明创造的知识。教会他们如何行走，也教导他们如何分辨是非善恶。机器是这样，人又何尝不是？当我知道了一个人在面对一件事时是什么反应，会说什么话、怎样遣词造句，会做什么动作，甚至表情、眼神，那么自回归地，意识也在涌现中出现了。
        那么，我是谁？
        我是我，我也不是我。我在成长，也是在被外部异化。在这个一切都在自发地趋于混乱的世界，意识从活着的那一刻就在不断地被外界微调着。这时候也只有时间能证明“我永远是我自己”这样大家从不会在意的事实。
        “我从哪里来？”从古至今的哲学家似乎都倾向给出一个模棱两可地不存在的答案，但我更愿意相信：我是从信息的涌现中来，从高度编码的基因、随机的不可控的外部环境，涌现出最早的智能，又在出生后被的教育中不断微调，变得更加复杂混乱，但智能却越来越高级。
        “我到哪里去？”终点站是人人都能看见的，在最高度的混乱下意识的崩溃，信息被所有人遗忘，也就是死亡。这是注定的，没有任何生命能逃离的命运。但在活着的时候做什么，这是自己能够决定的，
吗？
        为了生存下去，人们吃喝拉撒；为了碎银几两，人们饱经沧桑；为了取悦自己，人们灯红酒绿；为了取悦他人，人们委曲求全……这些行为都不是意识能够决定的，这是意识的基石——肉体的生命所能决定的。在这些得到满足后，才能在最后微不足道的时间让意识决定一些对存在“无关紧要”的事情。
        我们生活的世界，所拥有的奇迹之多，绝非远古先知梦境所能构想。这些生理的、心理的，最基础的需求，只需要越来越短的时间就能得到基本的满足。几个小时的工作就足以换取衣食无忧的碎银几两，互联网又有着数不胜数的娱乐信息。但如果沉溺于最基础的娱乐，意识就再也无法留下任何信息，那么这就是信息层面的第三次死亡提前到来。
        我们所生活的世界，所拥有灾祸之恐怖，也非天启所能描绘。“高中是人一生中智商的顶峰”，似乎在调侃大学生不务正业，但我觉得也是对第三次信息性死亡的提前宣判；而在不稳定的工作中，“废宅”得顾不上家人也没有朋友，这又宣判了不被在意的第二次社会性死亡；最后，在沉重的负担下，绝望中迎接生理性死亡。这是先人们无论如何也无法想象的严酷刑罚，但这已经来到了现实成为常态。
        我接受死亡，我接受任何时间任何地点到来的生理性死亡，也接受可能的被亲朋好友遗忘。今天我要做的每一件事都随心所欲不留遗憾，即使明天突然死掉也不后悔。这样的一天天不断累积，在时间里我成为了我，我没有后悔也没有遗憾，活好每一天，也正视永恒的长眠。
        生前何须久睡？死后必将长眠。承托亲朋旧友生命之重，一片泪光中，落下笔痕。

OpensuseLeap安装Docker

Wed, 03 Sep 2025 00:00:00 GMT

安装命令：

zypper install docker docker-compose gnome-keyring libsecret

然后可以去systemd配置文件改env配代理，也可以去/etc/sysconfig/docker添加代理env的kv pair

！！！不是一些教程里的！！！

zypper install docker python3-docker-compose

会报错：

localhost:~ # docker version
Client:
 Version:           28.3.3-ce
 API version:       1.51
 Go version:        go1.24.5
 Git commit:        bea959c7b
 Built:             Tue Jul 29 12:00:00 2025
 OS/Arch:           linux/amd64
 Context:           default

Server:
 Engine:
  Version:          28.3.3-ce
  API version:      1.51 (minimum version 1.24)
  Go version:       go1.24.5
  Git commit:       bea959c7b
  Built:            Tue Jul 29 12:00:00 2025
  OS/Arch:          linux/amd64
  Experimental:     false
 containerd:
  Version:          v1.7.27
  GitCommit:        05044ec0a9a75232cad458027ca83437aae3f4da
 runc:
  Version:          1.2.6
  GitCommit:        v1.2.6-0-ge89a29929c77
 docker-init:
  Version:          0.2.0_catatonit
  GitCommit:
localhost:~ # docker run --rm hello-world
Unable to find image 'hello-world:latest' locally
docker: error getting credentials - err: exit status 1, out: `GDBus.Error:org.freedesktop.DBus.Error.ServiceUnknown: The name org.freedesktop.secrets was not provided by any .service files`

Run 'docker run --help' for more information

Linux 配置 zram 优先 + sdb 次级 swap

Thu, 28 Aug 2025 00:00:00 GMT

一、安装并配置 zram（高优先级）

1. 安装 zram 工具

sudo apt install zram-tools

2. 配置 zram 核心参数

# 设置压缩算法为 zstd（高效平衡压缩率与速度）
# 设置容量为物理内存的 60%
echo -e "ALGO=zstd\nPERCENT=60" | sudo tee -a /etc/default/zramswap

# 设置 zram 优先级为 100（最高，确保优先使用）
echo "PRIORITY=100" | sudo tee -a /etc/default/zramswap

3. 重启 zram 服务生效

sudo systemctl restart zramswap.service

二、配置 sdb 为次级 swap（低优先级）

1. 格式化 sdb 为 swap 分区（注意：会清空数据）

sudo mkswap /dev/sdb

2. 获取 sdb 的 UUID（用于开机自动挂载）

sudo blkid /dev/sdb  # 记录输出中的 UUID 值

3. 配置 fstab 实现开机自动挂载（优先级 50）

# 替换下方 "你的sdb的UUID" 为实际 UUID
sudo tee -a /etc/fstab << EOF
UUID=你的sdb的UUID none swap defaults,pri=50 0 0
EOF

4. 临时启用 sdb swap（立即生效，无需重启）

sudo swapon -p 50 /dev/sdb

三、验证配置是否生效

查看当前 swap 设备及优先级（确保 zram 优先级 100 > sdb 优先级 50）：

sudo swapon -s

预期输出示例：

Filename                                Type            Size    Used    Priority
/dev/zram0                              partition       8388604 0       100
/dev/sdb                                partition       10485756 0      50

四、调整系统 swap 策略（更积极使用 zram）

在 /etc/sysctl.d/ 目录下新建一个专属配置文件（例如 99-zram-tweaks.conf，文件名以 99- 开头可确保优先级，避免被系统默认配置覆盖），集中管理 vm.swappiness 和 vm.vfs_cache_pressure 等参数。

在 /etc/sysctl.d/ 下创建新配置文件
新建一个专属配置文件（例如 99-zram-tweaks.conf），添加所需参数：

sudo tee /etc/sysctl.d/99-zram-tweaks.conf << EOF
# 更积极将非活跃数据移入 zram
vm.swappiness=60
# 降低缓存回收倾向，保留有用的文件系统缓存
vm.vfs_cache_pressure=40
EOF

使配置立即生效
无需重启，执行以下命令加载新配置：

sudo sysctl --system

五、验证配置是否生效

执行以下命令检查参数是否正确加载：

# 查看 vm.swappiness 当前值
sysctl vm.swappiness
# 查看 vm.vfs_cache_pressure 当前值
sysctl vm.vfs_cache_pressure

若输出结果与你配置的 60 和 40 一致，说明配置已生效；重启系统后再次检查，值仍不变则表示永久生效。

配置效果

系统优先使用 zram（内存压缩 swap，速度快），当 zram 占满后使用 sdb（磁盘 swap，容量兜底）
更积极地将非活跃数据转移到 zram，平衡内存使用与性能

简记Debian13配置vnc+openbox无头图形化窗管

Wed, 27 Aug 2025 00:00:00 GMT

更新系统

sudo apt update && sudo apt upgrade -y

安装软件包

sudo apt install -y openbox tightvncserver xserver-xorg-core

添加普通用户

adduser vncuser # 使用adduser命令，自动创建家目录

添加root权限（可选），切换到vncuser

sudo usermod -aG sudo vncuser # 按需添加sudo权限
su - vncuser # 切换到该用户操作

设置vnc密码

vncpasswd # 上限8位

配置 VNC 启动脚本

nano ~/.vnc/xstartup

编辑配置：

#!/bin/sh
unset SESSION_MANAGER
unset DBUS_SESSION_BUS_ADDRESS
[ -r $HOME/.Xresources ] && xrdb $HOME/.Xresources
exec openbox-session  # 直接启动openbox，无冗余命令

添加执行权限：

chmod +x ~/.vnc/xstartup

自启动服务配置

sudo nano /etc/systemd/system/vncserver@.service

编辑systemd

[Unit]
Description=TightVNC Server on :%i
After=network.target

[Service]
Type=forking
User=vncuser
Group=vncuser
ExecStart=/usr/bin/vncserver -depth 24 -geometry 1024x768 :%i
ExecStop=/usr/bin/vncserver -kill :%i

[Install]
WantedBy=multi-user.target

启用服务（以 display :1 为例）：

sudo systemctl daemon-reload
sudo systemctl enable vncserver@1.service
sudo systemctl start vncserver@1.service

创建缺失的.Xauthority文件

# 手动创建.Xauthority文件（空文件即可，VNC会自动写入内容）
touch ~/.Xauthority

# 设置正确权限（确保属于当前用户）
chmod 600 ~/.Xauthority

回忆录-CreNeXT2024

Tue, 05 Aug 2025 00:00:00 GMT

致青春，致2024——

事情还要从2024年2月说起。那时候我中专刚刚“毕业”，处在家里蹲的情况，一方面长吁短叹升学难就业难，另一方面又在抱怨家里长辈难以沟通，行事倔强，自己的精神状态也十分恍惚。当时还深陷“升学”的庞氏骗局，另一方面又对反自学且脱离实际的课本内容嗤之以鼻。就在这样矛盾又迷茫的心态下度过一天又一天。

就在那时，记得很清楚，Hexo|Hugo博客交流群里有一人发布了一个招募链接，说是要建一个面向Z世代创造者的社区，抱着好奇的心理点了进去，还要填一个申请表，稀里糊涂地填完又稀里糊涂进去，发现一共还没到10个人，然后稀里糊涂地成为了社区早期的联合创始人之一（也没有NGO注册，更偏向经验交流）。

几天以后，随着交流深入，和Marvin和Peter，也就是社区最早的两名发起人，逐渐熟络起来。Marvin当时16周岁，Peter高三即将高考，每天都有很热烈的讨论，人也越来越多。规定了新成员加入是申请制，在飞书投票，根据有没有运营个人IP的意识以及对创造一些与众不同的东西的热情来审核，我也了解了大家是一群“不走寻常路”的Hacker们。在这里没有对工作对学历的歧视，每个人都能畅所欲言。我忽然找到了志同道合的一群人。

当时恰逢AI热，ChatGPT和Kimi爆火，大家对AI Product的方向，以及商业化路径聊了很多。由于我当时对这方面理解不深，我自告奋勇接下了整理聊天记录的任务。每天对着群消息截取话题，然后整理大家想法的矛盾点和最终达成的共识。也感谢Marvin和Peter对我的信任，我在整理这些纪要中对这一行业了解了许多，也为后续的数字游民生活打下了坚实的基础。不过我也要向社区里每个人道歉，我辜负了大家的信任，一共也没坚持超过两个月就放弃了。当时社区已经有50多人，每天聊天记录数千条，人力已经无法完成整理了。后面由于我对Coding一无所知，根本无法胜任用AI完成整理的任务。现在回想当时的技术发展情况，才发现这项任务十分艰巨，几乎无法实现。（没有Reasoning Model，没有完善的RAG和Rerank机制，更没有现在的Agent2Agent、MCP等基础设施构想）

时间来到4月14日，当时在北京和朋友们庆祝完生日，第二天发现社区即将举行第一次线下活动，由智谱AI Z计划赞助，在那里和大家举办了一场茶话会，深入地交流了对投资、对Web3、对AIGC的看法，我蓦然发现，我原来在几个月的时间里学到了这么多东西，也并非一无是处！大家还一起拍了一张照片：（我在左3）

这也是社区活动最频繁的一段时间。后面的3个月里，我没有坚持人工整理聊天记录，而是试图使用AI实现这一任务，但最后也没完成。也不知因为Marvin被AdventureX拉去帮忙，还是Peter忙于高考，又或许是没人整理纪要导致发言积极性不佳，总之社区内活跃度一天不如一天。随着一天又一天的挣扎，我也发现在Coding这一领域我似乎没有敏锐的直觉和过人的天分，甚至依旧是一窍不通，总之整理聊天记录的任务最终也没有完成。

七月流火，听说Peter和Marvin在AdventureX，也是中国首届黑客松 (Hackerthon) 中争取到了一个展位，我也自告奋勇前往杭州帮忙。也许是又菜又爱玩，那时候我和刚刚高考完的Peter制定了CreNeXT社区的字体规范（中文使用苹方，英文使用Dosis。）也感谢PiggyCBH在设计上的帮助，我们才能如期完成海报和周边纪念挂件的制作。也感谢我的一个非社区成员的朋友，Ruabbit，才能以低廉的可以接受的成本将设计生产出来，变成现实。7月14日，也是AdventureX的前一天，社区几名成员在杭州玉鸟集小聚，我带去了制作的海报和纪念品，Deeptalk后，次日来到了AdventureX会场。

玉鸟集小聚：

AdventureX闭幕式：

当时开幕式合作方路演时，我热情地想要帮忙，但由于Peter的一句“我不在展位就是帮忙”，感觉到了一种不信任，也在此后对CreNeXT开始失望。后面社区也不是那么活跃，我忙于自己的事情，也渐渐淡忘了社区。

后续回归了平淡(?)的生活。我在年底前往泰国旅居度假，感受自然，看GAIA主题艺术展，又在旅途结束，圣诞节前后，和Stable Diffusion Thailand社区成员对图像、视频、空间智能生成的技术前沿进行了愉快的讨论。这也是2025年AIGC的热点方向。也是在这时候，CreNeXT在深圳少数派举行了最后一次活动，也永远停留在了2024。没能参加到这一场活动，十分遗憾。

当时我甚至没了解到CreNeXT“毕业”的信息。直到2025年7月23日，第二次AdventureX上遇到Peter，才在他的口中听到这一“噩耗”。当然，众所周知的，AdventureX 2025发生了诸多糟糕的公关事件，发起人Ryan的独断专行，违背Hackerthon的Hacking精神的诸多行为，我也不一一赘述了，不知AdventureX是否会有3rd. Hacking，但回顾过往，我还是对大家对我的包容和帮助表示感谢。正是有了大家，我才能坚定地在数字游民的道路上走下去；也正是有了CreNeXT这一平台，我才能摆脱当时糟糕的状态，才能认识大家，也才有了今天的我。

最后引用CreNeXT成员Jason的一句话：“假如你现在没认为两年前的自己是个傻逼，那就说明你在这两年里没有丝毫进步。”

两年前的我真是个傻逼！感谢陪伴，致迷茫的青春——

Sunny Pai Aug. 5th, 2025

Alist-encrypt薅羊毛第二弹(事故)

Fri, 18 Apr 2025 00:00:00 GMT

在Alist Encrypt使用过程中又遇到了新的问题，在这里先引用先前的一篇部署文章：
Alist-encrypt全自动薅网盘羊毛 - 向阳哌小站

新的问题是这样的：
增量备份的测试中并无异常，但全量备份会直接报错终止，只能加密并上传少数几个文件，多数文件依旧无法上传。

究其原因，主要是因为Alist挂载网盘存储后端，会有非官方客户端的限制。这一点可以通过本地加密后使用官方客户端推送到云端解决。

但在使用Alist Encrypt的本地加解密功能时遇到了新的问题：我的文件总数高达39万个，而Alist Encrypt开发者限制了单次处理10000个文件。通过沟通得知10000这一数字是他随意设置，并未经过精心设计，于是我萌生了修改代码的念头。

我假设了500MB/s的IO（来自HDD阵列或SSD平均读写），又选择了10MB/文件的平均值（来自我NAS的个人文件统计），附加90%的SLA预设得到的2h24min日停机时长，按每次抢修45分钟的中小事故预设值得出平均每天停机4次，从而得出5.4h的单次uptime，于是取整设置了100万的文件数量，兴致满满准备提交PR，结果本以为一次能成功的测试出现了大问题，运行中途随机时间点报错找不到文件：

@@finish filePath /home/dev/projects/alist-encrypt/test/0626332.txt /home/dev/projects/testout/.temp/0626332.txt
Error: ENOENT: no such file or directory, rename '/home/dev/projects/testout/.temp/0626332.txt' -> '/home/dev/projects/testout/0626332.txt'
    at Object.renameSync (node:fs:1021:11)
    at ReadStream.<anonymous> (/home/dev/projects/alist-encrypt/node-proxy/src/utils/convertFile.ts:91:12)
    at ReadStream.emit (node:events:530:35)
    at endReadableNT (node:internal/streams/readable:1698:12)
    at processTicksAndRejections (node:internal/process/task_queues:90:21)
@@finish filePath /home/dev/projects/alist-encrypt/test/0626333.txt /home/dev/projects/testout/.temp/0626333.txt
@@finish filePath /home/dev/projects/alist-encrypt/test/0626334.txt /home/dev/projects/testout/.temp/0626334.txt
[ERROR] 04:39:49 Error: ENOENT: no such file or directory, rename '/home/dev/projects/testout/.temp/0626332.txt' -> '/home/dev/projects/testout/0626332.txt'
@@finish filePath /home/dev/projects/alist-encrypt/test/0626335.txt /home/dev/projects/testout/.temp/0626335.txt

更换平台和算法（AES-CTR和RC4）测得如下结果：


测试环境	文件系统	加密算法	完成数1	完成数2	性能对比
12900 台式机（USSD）	EXT4	AES-CTR	26万	62万	延迟分配缓解竞争
		RC4	37万	100万	轻量算法减少I/O
EPYC7282 服务器（RAIDZ0）	ZFS	AES-CTR	5万	7万	COW 增加竞争概率
		RC4	2万	4万	低延迟暴露问题

一开始，“性能越好出错越早结果越糟糕”的奇怪现象让我进入了思维惯性，一番思索也没想清楚具体原因

询问他人并借助人工智能工具分析后才得出初步结论：

根本原因：Node.js 的异步 I/O 模型与文件系统特性共同作用，导致高并发文件操作时出现 竞态条件（Race Condition），表现为 "文件存在但报错 ENOENT"。具体表现为：

文件状态不一致：异步操作未正确同步，导致文件创建、写入、重命名等步骤的执行顺序不可控。
文件系统行为差异：EXT4 的延迟分配与 ZFS 的写时复制（COW）特性，放大了不同硬件环境下的竞态窗口。

关掉兴冲冲写好准备提交的PR，深深叹了一口气，薅羊毛的路任重而道远啊！

现象解读：

EXT4 表现更好：
- 延迟分配机制将数据暂存内存，缩短了文件操作的可见性延迟。
- USB的高延迟意外成为 "天然并发限制器"，变相降低了竞态概率。
ZFS 表现更差：
- 写时复制（COW）和事务组提交机制导致 元数据更新延迟更高。
- NVMe 的低延迟特性反而让竞态窗口更易被触发（操作速度 > 同步速度）。

卜算子·一夜奇迹未见

Wed, 12 Mar 2025 00:00:00 GMT

看到BiliBili某位VUP的粉丝因为沉迷看直播而考试挂科，有感而发作此篇。

《卜算子·一夜奇迹未见》（用一支笔点燃长夜，悬半窗朧月待破晓，终未见通宵苦读的奇迹）

昔迷掌上欢，未觉流光短。朧月西沉日跃山，方悟韶华浅。卷帙积成丘，挂科垒作山。哈基岚苦笑倚杆，夜阑泪不干。

Grafana+Prometheus监控

Sat, 21 Dec 2024 00:00:00 GMT

记一下Prometheus+Grafana部署

services:
  grafana:
    image: grafana/grafana-enterprise
    container_name: grafana
    restart: unless-stopped
    environment:
     - GF_SERVER_ROOT_URL=https://grafana.sunnypai.top/
    networks:
      - caddy_network
      - grafana_network
#    ports:
#     - '3000:3000'
    volumes:
     - ./grafana:/var/lib/grafana

  pushgateway:
    image: prom/pushgateway:v1.10.0
    container_name: pushgateway
    command: --persistence.file=/pushgateway/pushgateway.data
    restart: unless-stopped
    networks:
      - grafana_network
#    ports:
#      - 9091:9091
    volumes:
      - ./pushgateway:/pushgateway

  prometheus:
    image: prom/prometheus:v3.0.1
    container_name: prometheus
    command: --config.file=/etc/prometheus/prometheus.yml
    user: 0:0
    restart: unless-stopped
    networks:
      - grafana_network
#    ports:
#      - 9090:9090
    volumes:
      - ./prometheus/prometheus.yml:/etc/prometheus/prometheus.yml
      - ./prometheus/alerts/:/etc/prometheus/rules.d/
      - ./prometheus/data/:/prometheus

  alertmanager:
    image: prom/alertmanager:v0.27.0
    container_name: alertmanager
    command: --config.file=/etc/alertmanager/alertmanager.yml
    networks:
      - grafana_network
#    ports:
#      - 9093:9093
    restart: unless-stopped
    volumes:
      - ./alertmanager/alertmanager.yml:/etc/alertmanager/alertmanager.yml

  node-exporter:
    image: "prom/node-exporter:v1.3.1"
    container_name: node-exporter
#    ports:
#      - '9100:9100'
    volumes:
      - /etc/localtime:/etc/localtime:ro
      - /proc:/host/proc:ro
      - /sys:/host/sys:ro
      - /:/rootfs:ro
      - /etc/hostname:/etc/hostname:ro
    restart: unless-stopped
    networks:
      - grafana_network
    command:
      - '--path.procfs=/host/proc'
      - '--path.sysfs=/host/sys'
      - '--path.rootfs=/rootfs'

  cadvisor:
    image: gcr.io/cadvisor/cadvisor:v0.45.0
    container_name: cadvisor
#    ports:
#      - "8080:8080"
    networks:
      - grafana_network
    volumes:
      - "/:/rootfs:ro"
      - "/var/run:/var/run:ro"
      - "/sys:/sys:ro"
      - "/var/lib/docker/:/var/lib/docker:ro"
      - "/dev/disk/:/dev/disk:ro"
    privileged: true
    devices:
      - "/dev/kmsg"
    restart: unless-stopped

  blackbox-exporter:
    image: prom/blackbox-exporter:v0.25.0
    container_name: blackbox-exporter
#    ports:
#      - "9115:9115"
    networks:
      - grafana_network
    volumes:
      - "./blackbox:/config"
    command:
      - "--config.file=/config/blackbox.yml"
    restart: unless-stopped

networks:
  caddy_network:
    external: true
  grafana_network:
    external: true

容器的作用：

Grafana: 图形化WebUI
Prometheus: 数据源聚合
pushgateway: 边缘节点数据采集
alertmanager: 告警通知
node-exporter: 节点探针
cAdvisor: 容器状态监控
blackbox-exporter: Web服务状态监控

边缘节点相关配置未完待续……

2025年8月4日更新：Grafana+Prometheus对内存占用太恐怖了，拆了跑路了，没有后续了

无糖柠檬茶

Sat, 21 Dec 2024 00:00:00 GMT

我喜欢无糖柠檬茶。

刚入口，舌尖接触是浓郁的酸，是柠檬的味道；

初下咽，茶叶的苦和柠檬的涩，淡淡残余口中；

过一会，柠檬的清香夹杂茶汤，回味余音绕梁。

放久了，淡淡的柠檬清香转化为苦涩，就丧失了美味。

就像生活，人生苦短，及时行乐，勇敢的人先享受世界。

——记2024

自建tailscale-derper踩坑日记

Sat, 21 Dec 2024 00:00:00 GMT

这是一篇踩坑记录，关于tailscale derper的。

懒狗快捷指南：

引言（和主题关系不大，不想看直接跳过）：

众所周知，中国大陆的网络环境，ISP几乎不提供公网ipv4地址，而云服务器的流量价格是海外同类产品的数倍乃至十数倍：以阿里云为例，流量价格为500CNY/TB（ECS共享流量包），而AWS的价格则是5USD/TB（lightsail实例），虽然大陆也有一些“大带宽”云服务器，例如雨云和物语云，但SLA保证远低于头部厂商。

（你也不想在需要编译软件时，打开vscode remote-ssh时，提示个连接超时吧？）

选择 tailscale 原因：

废话不多说，有以下几点：

使用P2P打洞，流量不流经中转服务器节点
相较于同样P2P的zerotier，部署简便开箱即用
跨平台（Windows、Linux、iOS、Android、MacOS）乃至对集群环境（Kubernetes、AWS等）兼容性好
打洞失败有官方中继可用，无需额外支出

但是随着设备越来越多、流量越来越大，官方中继已经难以满足使用需求，具体问题有延迟过高(~300ms)、带宽较小(~1Mbps)。经查询后了解到具有自建中转的做法，可以极大的提升中国大陆内和跨境数据传输的体验。

软件架构：

tailscale分为控制平面和数据平面，是“半个零信任”的架构。控制平面负责身份认证，数据平面负责打洞和中继。这两者都有官方开源的自建方案：Headscale和Derper。

Headscale私有化了控制平面，在具有较高的安全性需求的环境可以考虑使用，而Derper则是私有化的数据平面节点，具体节点则由tailscale客户端选择。由于我是个人使用，因此只做了derper的自建。

部署踩坑：

derper是使用golang（go语言）编写的。为了操作简便，我使用docker部署。

The DERP protocol does a protocol switch inside TLS from HTTP to a custom bidirectional binary protocol. It is thus incompatible with many HTTP proxies. Do not put derper behind another HTTP proxy. *tailscale/cmd/derper

这是derper的第一个坑点：

你会在网上找到很多教程，其中写着通过各种代理：Nginx、Caddy……
注意：Derper是Tailscale自研的协议，虽然一样使用HTTP/TLS，端口也是80/443，但通过WEB代理会拒绝连接。

然后就到了第二个坑点：

Derper有官方的域名部署，还有通过ip derper部署的方式，即使用 "InsecureForTests": true 这一测试环境使用的ACL配置项，跳过TLS验证和域名验证。

例如这个项目：yangchuansheng/ip_derper ，是ip derper常用的docker项目。我尝试使用非标端口进行部署，一开始测试通过，但在使用大约2-3小时后，自建derper在客户端使用tailscale netcheck命令测试通过，但无论如何都无法实现连接，已经建立的连接也被强制中断，包括打洞和中继。报错在这里我没有保存，我个人也不推荐使用ip derper搭建。

~~我在这里卡了两天时间，查了几十篇教程和文档，你要是愿意搞不舍得买个域名的钱请自行折腾。~~

另一种则是tailscale官方的使用域名搭建。你可以选择开放80&443端口给它，内置的acme会获取letsencrypt证书。但由于我的80/443被其余web服务占用，我使用了manual方式。

接下来来到了第三个坑点：

derper程序不会识别 cert.pemcert.key 这样的证书文件，所以直接绑定到通配符证书目录不可用，而是需要重命名为example.com.crt和example.com.key，再进行使用。以及如果docker或容器内使用的不是root用户，还需要重新配置证书权限。

最后一个坑点是我踩了最长时间才爬出来的：

我选择的是 fredliang44/derper-docker 这个项目，按照README使用 DERP_ADDR=':8443' 配置项进行自定义端口，但启动时会出现神秘报错：

Attaching to derper
derper  | 2024/12/21 04:41:12 no config path specified; using /var/lib/derper/derper.key
derper  | 2024/12/21 04:41:12 derper: serving on ":8443" with TLS
derper  | 2024/12/21 04:41:12 derper: listen tcp: lookup tcp/8443": unknown port
derper exited with code 0

不管使用default bridge、custom bridge 还是 host 网络，均无法访问。macvlan模式由于tailscale官方文档要求禁止部署在防火墙后，而我又没有自己的公网ip池，因此无法使用。

一开始怀疑是镜像问题，后面尝试重新构建docker image，甚至连带golang依赖也重新构建了，均无法运行。换了其余好几个版本的镜像也是一样的报错，才意识到可能是第三方教程和官方README的问题：他们不约而同的选择了 ENV 定义非标端口，而这一配置项会被翻译成官方二进制文件的 -a 参数。而在容器内测试使用这一参数时，无法识别这一命令……

所以，即使想使用非标端口，也请删除这一ENV，然后使用 -p <custom_port>:443 这样的形式，在bridge network实现部署。

部署流程：

好吧，今天又说了太多废话。下面直接放配置文件：

services:
  derper:
    container_name: derper
    environment:
#      - DERP_ADDR=":8443" # 这里不要加，会启动失败
      - DERP_DOMAIN=derp.sunnypai.top
      - DERP_CERT_MODE=manual
      - DERP_CERT_DIR=/app/certs
      - DERP_HTTP_PORT=-1
# 这里如果不使用非标端口，直接删掉ports部分配置，使用host
#    network_mode: host
    ports:
      - 8443:443
      - 3478:3478/udp
    volumes:
      - /root/AppData/derper/certs/derp.sunnypai.top:/app/certs
      - /var/run/tailscale/tailscaled.sock:/var/run/tailscale/tailscaled.sock
    image: fredliang/derper:latest
    restart: unless-stopped
    networks:
      - derper_network

networks:
  derper_network:
    external: true

如果不使用非标端口，也可以使用letsencrypt配置证书，这边建议看其余教程，~~我懒得测试~~

然后在控制平面的Access Controls文件中添加这些内容：（请注意缩进）

	// 增加下方这部分
	"derpMap": {
		"Regions": {
			"912": { // 这个节点里面的912随便填，900以上即可
				"RegionID":   912,
				// 这里可以改名，code和name不要求一致
				"RegionCode": "derper_self",
				"RegionName": "Derper Self",
				"Nodes": [
					{
						"Name":     "derper_self",
						"RegionID": 912,
						"DERPPort": 8443, // 更换为自己的端口号
						"STUNPort": 3478,

						"HostName": "example.com", // 此 HostName 参数填写自己的域名

						"InsecureForTests": false, // 测试时可以先写成true
					},
				],
			},
		},
	},

最后重启全部客户机节点，即可实现自建derper部署。

半天后追加：

高峰期2%~3%丢包率，平均延迟75ms，最长279ms，使用酒店wifi，到路由延迟5-10ms，效果很棒！
欢迎搭建成功的朋友们评论留言使用体验！

感谢来自 Kiyoi 的支持。

记一次证书失效错误

Wed, 18 Dec 2024 00:00:00 GMT

刚刚收到了来自GXDE OS Team的证书过期警告。

我还挺疑惑：我都配置了证书自动获取工作流和自动同步工作流了啊，为什么还会过期？
我使用的是Certd自动获取证书、inotify监听默认证书存储路径，然后 rsync -avh --delete <src> <dst> ，按理来说不应该出现失效的问题啊
随后我进入web console确认，Certd也没有问题，正常更新证书：
既然正常更新，那么应该正常工作。随后又尝试重启caddy，依旧无效。
忽然我意识到，这两者之间使用的是一共inotify脚本同步，那是不是这个脚本没有正确运行呢？

查看脚本对应的日志，发现了大量的错误，表示脚本无法启动：systemd默认的root权限依旧denied？带着好奇我查看了文件：

root@sunnypai-superserver:/ # ls -al /AppData/Certd/sync.sh
-rw-r--r-- 1 root root 354 九月   18 12:04 /AppData/Certd/sync.sh

赫然发现，没有x权限……

再回想当时测试时的操作：

# sudo bash sync.sh

好吧，教训+1

小城乐章-掠过秋天的湖光

Mon, 07 Oct 2024 00:00:00 GMT

秋高气爽艳阳天，乘兴而去，至故乡公园，街角一隅，聆听小城乐章，兴之至时摄此片，辅作文以记。

湖光冷翠，秋意微凉

湖面静谧无波，树木的倒影模糊而克制。蓝天无云，仿佛涂抹在画布上的一片纯色，空旷与寂静在空气中蔓延。一艘小船独自漂浮，人在其中似有若无，仿佛消失于景致之中。

柳枝轻垂，风起无声

垂柳低垂，仿佛无力地伏在湖面之上。风轻拂过，湖水微动，波澜不惊。岸边的几叶扁舟，如同点缀在这静止画面中的细节，人与景物没有主次之分，彼此融入秋天的底色。

长道无言，金叶落寞

林荫小道延伸向远处，秋叶铺满两旁，偶有行人从中穿过，步伐缓慢而轻盈。阳光斜洒在地面，色彩克制，行人隐没在影子与阳光的交替中，秋的气息寡淡却不失温度。

灰绿交织，静默一角

城市建筑在阳光下依然冷峻，树木的绿意点缀其中，却似乎只是无言的陪衬。车流安静地行进，生活的喧嚣在远方，留给眼前的只剩一片空旷与宁静。

红叶如火，寂寥无声

街角的红藤依山而上，火红色在深秋的阳光下显得格外明亮，却不见炙热，反而透出一股冷清。停车场空旷，山坡上的建筑与红叶形成沉默的对峙，一如小城的日常，平静且疏离。

街道尽头，秋意渐深

深秋的光线铺满街道，偶有人影走过，影子拉长而模糊。远处的红叶如同秋天最后的宣告，却也显得克制而低调。整座城市仿佛沉睡在秋天的微凉中，秋风划过，却无人察觉。

配乐：小城乐章-掠过秋天的湖光

本作品（包含照片和音乐）依据知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 (CC BY-NC-SA 4.0) 授权。

允许共享：可以自由复制、分发和传播本作品。
允许演绎：可以改编、转换或再创作本作品，但必须基于相同的许可协议。
非商业性使用：不能将本作品用于商业目的。
署名：您必须给予适当的署名，注明来源，并提供协议链接。

如需进行超出该许可范围的使用，需联系作者获取许可。

Alist-encrypt全自动薅网盘羊毛

Mon, 30 Sep 2024 00:00:00 GMT

近期本地服务器架构经常变动，引发了我对个人数据安全性的担忧。因此一番寻找后，综合考量价格和性能，选择了189网盘作为云备份提供商。

加密方案

由于有一些隐私文件，因此不便于直接上传到网盘。在仔细阅读 alist文档后，找到了一个为alist的webdav提供加密的项目：alist-encrypt

这个项目不仅限于可以为alist提供加密，也可以为标准webdav接口提供加密。直接上传到encrypt目录就可以自动完成加密

存储配置

alist部署和添加存储的教程这里就不再提供。由于服务商接口变动较为频繁，请以官方文档为准。同时该方案无高可用性保证、分享时请遵循服务商EULA，避免不合理的挤占带宽或服务器资源。

[安装教程] https://alist.nn.ci/guide/install/script.html
[添加存储教程] https://alist.nn.ci/guide/drivers/
[配置加密教程] https://github.com/traceless/alist-encrypt

加密配置

alist-encrypt 项目提供了两种部署方式：node.js 和 docker，并给出了docker compose文件。

version: '3' #新版本docker compose可以省略version选项
services:
  alist-encrypt:
    image: prophet310/alist-encrypt:beta #beta标签不提供arm版本，arm请使用:beta-1.1
    restart: unless-stopped
    hostname: alist-encrypt
    container_name: alist-encrypt
    volumes:
      - ./alist-encrypt:/node-proxy/conf
    environment:
      TZ: Asia/Shanghai
      ALIST_HOST: 192.168.31.254:5254        # 建议加个设置项，修改为自己的ip和端口
    ports:
      - 5344:5344
    network_mode: bridge

docker compose up -d 启动后，输入ip:5344/public/index.html进入web管理面板，默认账号admin密码123456

路径填写alist网盘的绝对路径，endpoint的/dav不需要写；多个路径使用英文逗号隔
具体配置见文章开头的图片

自动化配置

首先安装所需使用的包：

sudo apt-get -y install inotify-tools rclone
sudo -v ; curl https://rclone.org/install.sh | sudo bash

将alist-encrypt服务的dav endpoint保存到rclone：

rclone config #用本地目录的拥有者的身份配置

rclone配置文件储存在当前用户的家目录中，因此切换用户后无法读取对应的配置

为了便于本地NAS向网盘推送备份，我写了一个脚本以便本地目录出现变动后向网盘自动同步：

#!/bin/bash
inotifywait -m -r -e modify,create,delete /AppData/alist/local-drive |
while read path action file; do
    rclone sync /path/to/local/dir alist-encrypt:/remote/dir/encrypt --verbose --progress --delete-excluded
done

注：仅限于Linux和部分Unix系统，inotify基于inode实现文件系统级监听服务
另：若目录过于庞大，例如超过524288个子目录，则inotify无法完成监听，需要额外配置以增大监听目录数量限制（我更建议使用其他方式实现）

find /path/to/local/dir -type d | wc -l #查看需要监听的目录的子目录数量
cat /proc/sys/fs/inotify/max_user_watches #查看inotify的监听目录限制

大多数情况下，默认限制足够使用

find /AppData/alist/local-drive/ -type d | wc -l
cat /proc/sys/fs/inotify/max_user_watches

16371
751311
---
du -sh /AppData/alist/local-drive/
3.2T    /AppData/alist/local-drive/

这是我的个人存储，3.2TB只有16371个子目录，距离我的默认限制751311还有数十倍的差距，因此在PB级以下基本无需担心

当然要是本地几PB的容量，也不需要薅网盘羊毛了吧（碎碎念）

最后则是自动化运行，使用systemd守护进程实现

[Unit]
Description=Alist Encrypted Drive Sync Service
After=network.target

[Service]
Type=simple
ExecStart=/path/to/inotify-sync.sh
StandardOutput=append:/var/log/alist-sync.log
StandardError=append:/var/log/alist-sync.log
Restart=always
RestartSec=5
User=root
# 设置环境变量
Environment=PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
# 如果需要更多变量，可以使用多个 Environment= 行
# Environment=VAR_NAME=value

[Install]
WantedBy=multi-user.target

在目录发生变动后，rclone就会自动开始同步

更新：关于优先级和资源限制的配置 (Nov. 30th, 2024)

由于该systemd进程默认没有资源限制，在新增巨量小文件时会占用大量内存和CPU资源，导致系统宕机

因此需要使用 Nice 和 MemoryLimit 来限制该服务的资源使用

[Unit]
Description=Alist Encrypted Drive Sync Service
After=network.target

[Service]
Type=simple
Nice=10 # -20 至 19 之间，默认是0，数字越大优先级越低
MemoryLimit=5G # 可以更换K M G T等单位

ExecStart=/path/to/inotify-sync.sh
StandardOutput=append:/var/log/alist-sync.log
StandardError=append:/var/log/alist-sync.log
Restart=always
RestartSec=5
User=root
# 设置环境变量
Environment=PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
# 如果需要更多变量，可以使用多个 Environment= 行
# Environment=VAR_NAME=value

[Install]
WantedBy=multi-user.target

简记immich初体验

Sun, 18 Aug 2024 00:00:00 GMT

从大概半年前我就在关注immich了，不过因为服务器架构频繁变动，因此没有去动手部署。目前已经基本定型（其实是没精力折腾了），因此开始部署一些“家庭必备”小服务。

GPU Support

PVE，IOMMU，禁用nouveau，直通显卡，ubuntu（其他发行版也可），Nvidia-driver，CUDA，CUDNN，老生常谈的事情了，这里不再赘述
随后需要为docker启用GPU支持，docker安装，nvidia-container-toolkit，随手丢个链接：https://docs.nvidia.com/datacenter/cloud-native/container-toolkit/latest/install-guide.html
需要时请查阅最新版文档，旧版本不一定生效（痛骂NoVideo）

Docker Compose

懒狗快捷指南：

docker-compose.yml
hwaccel.ml.yml
hwaccel.transcoding.yml
.env

具体实现：

接下来的四个文件是按照官网说明编写的，但运行时出现了问题，不要直接复制粘贴！！！

docker-compose.yml

#
# WARNING: Make sure to use the docker-compose.yml of the current release:
#
# https://github.com/immich-app/immich/releases/latest/download/docker-compose.yml
#
# The compose file on main may not be compatible with the latest release.
#

name: immich

services:
  immich-server:
    container_name: immich_server
    image: ghcr.io/immich-app/immich-server:${IMMICH_VERSION:-release}
    extends:
      file: hwaccel.transcoding.yml
      service: nvenc # Set to 'nvenc' for Nvidia GPU-based hardware transcoding
      #   service: cpu # set to one of [nvenc, quicksync, rkmpp, vaapi, vaapi-wsl] for accelerated transcoding
    volumes:
      # Do not edit the next line. If you want to change the media storage location on your system, edit the value of UPLOAD_LOCATION in the .env file
      - ${UPLOAD_LOCATION}:/usr/src/app/upload
      - /etc/localtime:/etc/localtime:ro
    env_file:
      - .env
    ports:
      - 2283:3001
    depends_on:
      - redis
      - database
    restart: always
    healthcheck:
      disable: false

  immich-machine-learning:
    container_name: immich_machine_learning
    # For hardware acceleration, add one of -[armnn, cuda, openvino] to the image tag.
    # Example tag: ${IMMICH_VERSION:-release}-cuda
    image: ghcr.io/immich-app/immich-machine-learning:${IMMICH_VERSION:-release}-cuda # Adding -cuda to enable CUDA support
    extends: # uncomment this section for hardware acceleration - see https://immich.app/docs/features/ml-hardware-acceleration
      file: hwaccel.ml.yml
      service: cuda # Set to 'cuda' for Nvidia GPU-based machine learning acceleration
      #   service: cpu # set to one of [armnn, cuda, openvino, openvino-wsl] for accelerated inference - use the `-wsl` version for WSL2 where applicable
    volumes:
      - model-cache:/cache
    env_file:
      - .env
    restart: always
    healthcheck:
      disable: false

  redis:
    container_name: immich_redis
    image: docker.io/redis:6.2-alpine@sha256:e3b17ba9479deec4b7d1eeec1548a253acc5374d68d3b27937fcfe4df8d18c7e
    healthcheck:
      test: redis-cli ping || exit 1
    restart: always

  database:
    container_name: immich_postgres
    image: docker.io/tensorchord/pgvecto-rs:pg14-v0.2.0@sha256:90724186f0a3517cf6914295b5ab410db9ce23190a2d9d0b9dd6463e3fa298f0
    environment:
      POSTGRES_PASSWORD: ${DB_PASSWORD}
      POSTGRES_USER: ${DB_USERNAME}
      POSTGRES_DB: ${DB_DATABASE_NAME}
      POSTGRES_INITDB_ARGS: '--data-checksums'
    volumes:
      # Do not edit the next line. If you want to change the database storage location on your system, edit the value of DB_DATA_LOCATION in the .env file
      - ${DB_DATA_LOCATION}:/var/lib/postgresql/data
    healthcheck:
      test: pg_isready --dbname='${DB_DATABASE_NAME}' --username='${DB_USERNAME}' || exit 1; Chksum="$$(psql --dbname='${DB_DATABASE_NAME}' --username='${DB_USERNAME}' --tuples-only --no-align --command='SELECT COALESCE(SUM(checksum_failures), 0) FROM pg_stat_database')"; echo "checksum failure count is $$Chksum"; [ "$$Chksum" = '0' ] || exit 1
      interval: 5m
      start_interval: 30s
      start_period: 5m
    command: ["postgres", "-c", "shared_preload_libraries=vectors.so", "-c", 'search_path="$$user", public, vectors', "-c", "logging_collector=on", "-c", "max_wal_size=2GB", "-c", "shared_buffers=512MB", "-c", "wal_compression=on"]
    restart: always

volumes:
  model-cache:

<h6 id="section2">hwaccel.ml.yml</h6>

# Configurations for hardware-accelerated machine learning

# If using Unraid or another platform that doesn't allow multiple Compose files,
# you can inline the config for a backend by copying its contents
# into the immich-machine-learning service in the docker-compose.yml file.

# See https://immich.app/docs/features/ml-hardware-acceleration for info on usage.

services:
  armnn:
    devices:
      - /dev/mali0:/dev/mali0
    volumes:
      - /lib/firmware/mali_csffw.bin:/lib/firmware/mali_csffw.bin:ro # Mali firmware for your chipset (not always required depending on the driver)
      - /usr/lib/libmali.so:/usr/lib/libmali.so:ro # Mali driver for your chipset (always required)

  cpu: {}

  cuda:
    deploy:
      resources:
        reservations:
          devices:
            - driver: nvidia
              count: 1
              capabilities:
                - gpu

  openvino:
    device_cgroup_rules:
      - 'c 189:* rmw'
    devices:
      - /dev/dri:/dev/dri
    volumes:
      - /dev/bus/usb:/dev/bus/usb

  openvino-wsl:
    devices:
      - /dev/dri:/dev/dri
      - /dev/dxg:/dev/dxg
    volumes:
      - /dev/bus/usb:/dev/bus/usb
      - /usr/lib/wsl:/usr/lib/wsl

<h6 id="section3">hwaccel.transcoding.yml</h6>

# Configurations for hardware-accelerated transcoding

# If using Unraid or another platform that doesn't allow multiple Compose files,
# you can inline the config for a backend by copying its contents
# into the immich-microservices service in the docker-compose.yml file.

# See https://immich.app/docs/features/hardware-transcoding for more info on using hardware transcoding.

services:
  cpu: {}

  nvenc:
    deploy:
      resources:
        reservations:
          devices:
            - driver: nvidia
              count: 1
              capabilities:
                - gpu
                - compute
                - video

  quicksync:
    devices:
      - /dev/dri:/dev/dri

  rkmpp:
    security_opt: # enables full access to /sys and /proc, still far better than privileged: true
      - systempaths=unconfined
      - apparmor=unconfined
    group_add:
      - video
    devices:
      - /dev/rga:/dev/rga
      - /dev/dri:/dev/dri
      - /dev/dma_heap:/dev/dma_heap
      - /dev/mpp_service:/dev/mpp_service
      #- /dev/mali0:/dev/mali0 # only required to enable OpenCL-accelerated HDR -> SDR tonemapping
    volumes:
      #- /etc/OpenCL:/etc/OpenCL:ro # only required to enable OpenCL-accelerated HDR -> SDR tonemapping
      #- /usr/lib/aarch64-linux-gnu/libmali.so.1:/usr/lib/aarch64-linux-gnu/libmali.so.1:ro # only required to enable OpenCL-accelerated HDR -> SDR tonemapping

  vaapi:
    devices:
      - /dev/dri:/dev/dri

  vaapi-wsl: # use this for VAAPI if you're running Immich in WSL2
    devices:
      - /dev/dri:/dev/dri
    volumes:
      - /usr/lib/wsl:/usr/lib/wsl
    environment:
      - LD_LIBRARY_PATH=/usr/lib/wsl/lib
      - LIBVA_DRIVER_NAME=d3d12

# You can find documentation for all the supported env variables at https://immich.app/docs/install/environment-variables

# The location where your uploaded files are stored
UPLOAD_LOCATION=/AppData/immich/library
# The location where your database files are stored
DB_DATA_LOCATION=/AppData/immich/postgres

# To set a timezone, uncomment the next line and change Etc/UTC to a TZ identifier from this list: https://en.wikipedia.org/wiki/List_of_tz_database_time_zones#List
# TZ=Etc/UTC

# The Immich version to use. You can pin this to a specific version like "v1.71.0"
IMMICH_VERSION=release

# Connection secret for postgres. You should change it to a random password
# Please use only the characters `A-Za-z0-9`, without special characters or spaces
DB_PASSWORD=postgres

# The values below this line do not need to be changed
###################################################################################
DB_USERNAME=postgres
DB_DATABASE_NAME=immich

通过查看日志发现了问题：

                             RuntimeError:
                             /onnxruntime_src/onnxruntime/core/providers/cuda/cu
                             da_call.cc:123 std::conditional_t<THRW, void,
                             onnxruntime::common::Status>
                             onnxruntime::CudaCall(ERRTYPE, const char*, const
                             char*, ERRTYPE, const char*, const char*, int)
                             [with ERRTYPE = cudaError; bool THRW = true;
                             std::conditional_t<THRW, void, common::Status> =
                             void]
                             /onnxruntime_src/onnxruntime/core/providers/cuda/cu
                             da_call.cc:116 std::conditional_t<THRW, void,
                             onnxruntime::common::Status>
                             onnxruntime::CudaCall(ERRTYPE, const char*, const
                             char*, ERRTYPE, const char*, const char*, int)
                             [with ERRTYPE = cudaError; bool THRW = true;
                             std::conditional_t<THRW, void, common::Status> =
                             void] CUDA failure 100: no CUDA-capable device is
                             detected ; GPU=30355 ; hostname=f0cdef844009 ;
                             file=/onnxruntime_src/onnxruntime/core/providers/cu
                             da/cuda_execution_provider.cc ; line=280 ;
                             expr=cudaSetDevice(info_.device_id);



                             The above exception was the direct cause of the
                             following exception:

                             ╭─────── Traceback (most recent call last) ───────╮
                             │ /usr/src/app/main.py:152 in predict             │
                             │                                                 │
                             │   149 │   │   inputs = text                     │
                             │   150 │   else:                                 │
                             │   151 │   │   raise HTTPException(400, "Either  │
                             │ ❱ 152 │   response = await run_inference(inputs │
                             │   153 │   return ORJSONResponse(response)       │
                             │   154                                           │
                             │   155                                           │
                             │                                                 │
                             │ /usr/src/app/main.py:175 in run_inference       │
                             │                                                 │
                             │   172 │   │   response[entry["task"]] = output  │
                             │   173 │                                         │
                             │   174 │   without_deps, with_deps = entries     │
                             │ ❱ 175 │   await asyncio.gather(*[_run_inference │
                             │   176 │   if with_deps:                         │
                             │   177 │   │   await asyncio.gather(*[_run_infer │
                             │   178 │   if isinstance(payload, Image):        │
                             │                                                 │
                             │ /usr/src/app/main.py:169 in _run_inference      │
                             │                                                 │
                             │   166 │   │   │   except KeyError:              │
                             │   167 │   │   │   │   message = f"Task {entry[' │
                             │       output of {dep}"                          │
                             │   168 │   │   │   │   raise HTTPException(400,  │
                             │ ❱ 169 │   │   model = await load(model)         │
                             │   170 │   │   output = await run(model.predict, │
                             │   171 │   │   outputs[model.identity] = output  │
                             │   172 │   │   response[entry["task"]] = output  │
                             │                                                 │
                             │ /usr/src/app/main.py:213 in load                │
                             │                                                 │
                             │   210 │   │   return model                      │
                             │   211 │                                         │
                             │   212 │   try:                                  │
                             │ ❱ 213 │   │   return await run(_load, model)    │
                             │   214 │   except (OSError, InvalidProtobuf, Bad │
                             │   215 │   │   log.warning(f"Failed to load {mod │
                             │       '{model.model_name}'. Clearing cache.")   │
                             │   216 │   │   model.clear_cache()               │
                             │                                                 │
                             │ /usr/src/app/main.py:188 in run                 │
                             │                                                 │
                             │   185 │   if thread_pool is None:               │
                             │   186 │   │   return func(*args, **kwargs)      │
                             │   187 │   partial_func = partial(func, *args, * │
                             │ ❱ 188 │   return await asyncio.get_running_loop │
                             │   189                                           │
                             │   190                                           │
                             │   191 async def load(model: InferenceModel) ->  │
                             │                                                 │
                             │ /usr/local/lib/python3.11/concurrent/futures/th │
                             │ read.py:58 in run                               │
                             │                                                 │
                             │ /usr/src/app/main.py:200 in _load               │
                             │                                                 │
                             │   197 │   │   │   raise HTTPException(500, f"Fa │
                             │   198 │   │   with lock:                        │
                             │   199 │   │   │   try:                          │
                             │ ❱ 200 │   │   │   │   model.load()              │
                             │   201 │   │   │   except FileNotFoundError as e │
                             │   202 │   │   │   │   if model.model_format ==  │
                             │   203 │   │   │   │   │   raise e               │
                             │                                                 │
                             │ /usr/src/app/models/base.py:53 in load          │
                             │                                                 │
                             │    50 │   │   self.download()                   │
                             │    51 │   │   attempt = f"Attempt #{self.load_a │
                             │       else "Loading"                            │
                             │    52 │   │   log.info(f"{attempt} {self.model_ │
                             │       '{self.model_name}' to memory")           │
                             │ ❱  53 │   │   self.session = self._load()       │
                             │    54 │   │   self.loaded = True                │
                             │    55 │                                         │
                             │    56 │   def predict(self, *inputs: Any, **mod │
                             │                                                 │
                             │ /usr/src/app/models/clip/visual.py:62 in _load  │
                             │                                                 │
                             │   59 │   │   self.mean = np.array(self.preproce │
                             │   60 │   │   self.std = np.array(self.preproces │
                             │   61 │   │                                      │
                             │ ❱ 62 │   │   return super()._load()             │
                             │   63 │                                          │
                             │   64 │   def transform(self, image: Image.Image │
                             │   65 │   │   image = resize_pil(image, self.siz │
                             │                                                 │
                             │ /usr/src/app/models/base.py:79 in _load         │
                             │                                                 │
                             │    76 │   │   )                                 │
                             │    77 │                                         │
                             │    78 │   def _load(self) -> ModelSession:      │
                             │ ❱  79 │   │   return self._make_session(self.mo │
                             │    80 │                                         │
                             │    81 │   def clear_cache(self) -> None:        │
                             │    82 │   │   if not self.cache_dir.exists():   │
                             │                                                 │
                             │ /usr/src/app/models/base.py:111 in              │
                             │ _make_session                                   │
                             │                                                 │
                             │   108 │   │   │   case ".armnn":                │
                             │   109 │   │   │   │   session: ModelSession = A │
                             │   110 │   │   │   case ".onnx":                 │
                             │ ❱ 111 │   │   │   │   session = OrtSession(mode │
                             │   112 │   │   │   case _:                       │
                             │   113 │   │   │   │   raise ValueError(f"Unsupp │
                             │   114 │   │   return session                    │
                             │                                                 │
                             │ /usr/src/app/sessions/ort.py:28 in __init__     │
                             │                                                 │
                             │    25 │   │   self.providers = providers if pro │
                             │    26 │   │   self.provider_options = provider_ │
                             │       self._provider_options_default            │
                             │    27 │   │   self.sess_options = sess_options  │
                             │       self._sess_options_default                │
                             │ ❱  28 │   │   self.session = ort.InferenceSessi │
                             │    29 │   │   │   self.model_path.as_posix(),   │
                             │    30 │   │   │   providers=self.providers,     │
                             │    31 │   │   │   provider_options=self.provide │
                             │                                                 │
                             │ /opt/venv/lib/python3.11/site-packages/onnxrunt │
                             │ ime/capi/onnxruntime_inference_collection.py:43 │
                             │ 2 in __init__                                   │
                             │                                                 │
                             │    429 │   │   │   │   │   self.disable_fallbac │
                             │    430 │   │   │   │   │   return               │
                             │    431 │   │   │   │   except Exception as fall │
                             │ ❱  432 │   │   │   │   │   raise fallback_error │
                             │    433 │   │   │   # Fallback is disabled. Rais │
                             │    434 │   │   │   raise e                      │
                             │    435                                          │
                             │                                                 │
                             │ /opt/venv/lib/python3.11/site-packages/onnxrunt │
                             │ ime/capi/onnxruntime_inference_collection.py:42 │
                             │ 7 in __init__                                   │
                             │                                                 │
                             │    424 │   │   │   │   │   print(f"EP Error {e} │
                             │    425 │   │   │   │   │   print(f"Falling back │
                             │    426 │   │   │   │   │   print("************* │
                             │ ❱  427 │   │   │   │   │   self._create_inferen │
                             │    428 │   │   │   │   │   # Fallback only once │
                             │    429 │   │   │   │   │   self.disable_fallbac │
                             │    430 │   │   │   │   │   return               │
                             │                                                 │
                             │ /opt/venv/lib/python3.11/site-packages/onnxrunt │
                             │ ime/capi/onnxruntime_inference_collection.py:48 │
                             │ 3 in _create_inference_session                  │
                             │                                                 │
                             │    480 │   │   │   disabled_optimizers = set(di │
                             │    481 │   │                                    │
                             │    482 │   │   # initialize the C++ InferenceSe │
                             │ ❱  483 │   │   sess.initialize_session(provider │
                             │    484 │   │                                    │
                             │    485 │   │   self._sess = sess                │
                             │    486 │   │   self._sess_options = self._sess. │
                             ╰─────────────────────────────────────────────────╯
                             RuntimeError:
                             /onnxruntime_src/onnxruntime/core/providers/cuda/cu
                             da_call.cc:123 std::conditional_t<THRW, void,
                             onnxruntime::common::Status>
                             onnxruntime::CudaCall(ERRTYPE, const char*, const
                             char*, ERRTYPE, const char*, const char*, int)
                             [with ERRTYPE = cudaError; bool THRW = true;
                             std::conditional_t<THRW, void, common::Status> =
                             void]
                             /onnxruntime_src/onnxruntime/core/providers/cuda/cu
                             da_call.cc:116 std::conditional_t<THRW, void,
                             onnxruntime::common::Status>
                             onnxruntime::CudaCall(ERRTYPE, const char*, const
                             char*, ERRTYPE, const char*, const char*, int)
                             [with ERRTYPE = cudaError; bool THRW = true;
                             std::conditional_t<THRW, void, common::Status> =
                             void] CUDA failure 100: no CUDA-capable device is
                             detected ; GPU=30355 ; hostname=f0cdef844009 ;
                             file=/onnxruntime_src/onnxruntime/core/providers/cu
                             da/cuda_execution_provider.cc ; line=280 ;
                             expr=cudaSetDevice(info_.device_id);


[08/18/24 10:37:48] INFO     Shutting down due to inactivity.
[08/18/24 10:37:48] INFO     Shutting down
[08/18/24 10:37:48] INFO     Waiting for application shutdown.
[08/18/24 10:37:49] INFO     Application shutdown complete.
[08/18/24 10:37:49] INFO     Finished server process [51638]
[08/18/24 10:37:49] ERROR    Worker (pid:51638) was sent SIGINT!
[08/18/24 10:37:49] INFO     Booting worker with pid: 56010
[08/18/24 10:37:53] INFO     Started server process [56010]
[08/18/24 10:37:53] INFO     Waiting for application startup.
[08/18/24 10:37:53] INFO     Created in-memory cache with unloading after 300s
                             of inactivity.
[08/18/24 10:37:53] INFO     Initialized request thread pool with 16 threads.
[08/18/24 10:37:53] INFO     Application startup complete.

根据报错可以发现：没有支持CUDA的设备，即容器的GPU支持配置有误
因此修改配置文件：

<h6 id="section1">docker-compose.yml</h6>

# Configurations for hardware-accelerated transcoding

# If using Unraid or another platform that doesn't allow multiple Compose files,
# you can inline the config for a backend by copying its contents
# into the immich-microservices service in the docker-compose.yml file.

# See https://immich.app/docs/features/hardware-transcoding for more info on using hardware transcoding.

services:
  cpu: {}

  nvenc:
    deploy:
      resources:
        reservations:
          devices:
            - driver: nvidia
              count: 1
              capabilities:
                - gpu
                - compute
                - video

  quicksync:
    devices:
      - /dev/dri:/dev/dri

  rkmpp:
    security_opt: # enables full access to /sys and /proc, still far better than privileged: true
      - systempaths=unconfined
      - apparmor=unconfined
    group_add:
      - video
    devices:
      - /dev/rga:/dev/rga
      - /dev/dri:/dev/dri
      - /dev/dma_heap:/dev/dma_heap
      - /dev/mpp_service:/dev/mpp_service
      #- /dev/mali0:/dev/mali0 # only required to enable OpenCL-accelerated HDR -> SDR tonemapping
    volumes:
      #- /etc/OpenCL:/etc/OpenCL:ro # only required to enable OpenCL-accelerated HDR -> SDR tonemapping
      #- /usr/lib/aarch64-linux-gnu/libmali.so.1:/usr/lib/aarch64-linux-gnu/libmali.so.1:ro # only required to enable OpenCL-accelerated HDR -> SDR tonemapping

  vaapi:
    devices:
      - /dev/dri:/dev/dri

  vaapi-wsl: # use this for VAAPI if you're running Immich in WSL2
    devices:
      - /dev/dri:/dev/dri
    volumes:
      - /usr/lib/wsl:/usr/lib/wsl
    environment:
      - LD_LIBRARY_PATH=/usr/lib/wsl/lib
      - LIBVA_DRIVER_NAME=d3d12
root@ai-p100:/AppData/immich/immich-app# cat .env
# You can find documentation for all the supported env variables at https://immich.app/docs/install/environment-variables

# The location where your uploaded files are stored
UPLOAD_LOCATION=/AppData/immich/library
# The location where your database files are stored
DB_DATA_LOCATION=/AppData/immich/postgres

# To set a timezone, uncomment the next line and change Etc/UTC to a TZ identifier from this list: https://en.wikipedia.org/wiki/List_of_tz_database_time_zones#List
# TZ=Etc/UTC

# The Immich version to use. You can pin this to a specific version like "v1.71.0"
IMMICH_VERSION=release

# Connection secret for postgres. You should change it to a random password
# Please use only the characters `A-Za-z0-9`, without special characters or spaces
DB_PASSWORD=postgres

# The values below this line do not need to be changed
###################################################################################
DB_USERNAME=postgres
DB_DATABASE_NAME=immich
root@ai-p100:/AppData/immich/immich-app# cat docker-compose.yml
name: immich

services:
  immich-server:
    container_name: immich_server
    image: ghcr.io/immich-app/immich-server:${IMMICH_VERSION:-release}
    extends:
      file: hwaccel.transcoding.yml
      service: nvenc
    volumes:
      - ${UPLOAD_LOCATION}:/usr/src/app/upload
      - /etc/localtime:/etc/localtime:ro
    env_file:
      - .env
    ports:
      - 2283:3001
    depends_on:
      - redis
      - database
    restart: always
    healthcheck:
      disable: false
    deploy:
      resources:
        reservations:
          devices:
            - driver: nvidia
              count: 1
              capabilities: [gpu, compute, video]

  immich-machine-learning:
    container_name: immich_machine_learning
    image: ghcr.io/immich-app/immich-machine-learning:${IMMICH_VERSION:-release}-cuda
    extends:
      file: hwaccel.ml.yml
      service: cuda
    volumes:
      - model-cache:/cache
    env_file:
      - .env
    restart: always
    healthcheck:
      disable: false
    deploy:
      resources:
        reservations:
          devices:
            - driver: nvidia
              count: 1
              capabilities: [gpu]

  redis:
    container_name: immich_redis
    image: docker.io/redis:6.2-alpine@sha256:e3b17ba9479deec4b7d1eeec1548a253acc5374d68d3b27937fcfe4df8d18c7e
    healthcheck:
      test: redis-cli ping || exit 1
    restart: always

  database:
    container_name: immich_postgres
    image: docker.io/tensorchord/pgvecto-rs:pg14-v0.2.0@sha256:90724186f0a3517cf6914295b5ab410db9ce23190a2d9d0b9dd6463e3fa298f0
    environment:
      POSTGRES_PASSWORD: ${DB_PASSWORD}
      POSTGRES_USER: ${DB_USERNAME}
      POSTGRES_DB: ${DB_DATABASE_NAME}
      POSTGRES_INITDB_ARGS: '--data-checksums'
    volumes:
      - ${DB_DATA_LOCATION}:/var/lib/postgresql/data
    healthcheck:
      test: pg_isready --dbname='${DB_DATABASE_NAME}' --username='${DB_USERNAME}' || exit 1; Chksum="$$(psql --dbname='${DB_DATABASE_NAME}' --username='${DB_USERNAME}' --tuples-only --no-align --command='SELECT COALESCE(SUM(checksum_failures), 0) FROM pg_stat_database')"; echo "checksum failure count is $$Chksum"; [ "$$Chksum" = '0' ] || exit 1
      interval: 5m
      start_interval: 30s
      start_period: 5m
    command: ["postgres", "-c", "shared_preload_libraries=vectors.so", "-c", 'search_path="$$user", public, vectors', "-c", "logging_collector=on", "-c", "max_wal_size=2GB", "-c", "shared_buffers=512MB", "-c", "wal_compression=on"]
    restart: always

volumes:
  model-cache:

其中区别就是：添加了以下字段：

    deploy:
      resources:
        reservations:
          devices:
            - driver: nvidia
              count: 1
              capabilities: [gpu]

具体配置

首先是照片上传，移动端几乎全平台支持，直接下载App然后授权访问相册就可以了
PC稍微麻烦些，需要安装node.js后安装immich-cli，具体请查阅文档
immich-cli需要node.js版本在20.0以上，所以如果发行版的软件源较为老旧，请换更新的nodesource源

然后是备份，不要直接备份数据库目录，具体的先挖个坑，暂时懒得写QwQ

幸福的良定义

Sun, 02 Jun 2024 00:00:00 GMT

引言

在中国，主流价值观通常引导着人们按照一种固定的轨迹生活：上学、上班、结婚生子、养家糊口、颐养天年，还得帮孩子带孙子。这种按部就班的生活模式已经深深植根于我们的文化中，被视为成功和幸福的标志。然而，幸福的定义是否真的如此单一？被指配的幸福是不是我们真正需要的幸福？

按部就班的生活方式

从小，我们就被灌输了“努力读书考好成绩，上好的大学，找一份稳定的工作，然后结婚生子，抚养孩子直至退休”的生活方式是通往幸福的唯一道路。你我之中许多人也在为了成为“别人家的孩子”而努力。然而，这种模式真的适合每个人吗？又有许多人在这个过程中迷失了自己。直到年老体衰，发起一句感叹：“这辈子都白活了！”对于一些人来说，这种生活方式可能是一种束缚，而非实现自我价值的途径。

按部就班生活方式的负面影响

近年来，学生自杀率急剧上升，已成为普遍现象，有的高级中学甚至设置了惊人的“5%-10%”的自杀指标。学生在巨大的学业压力下，选择结束自己的生命，这是按部就班生活方式带来的严重后果之一。

此外，许多年轻人虽然找到了工作，但却背负着沉重的债务，成为了所谓的“负债打工族”。这些人即使工资全部收入仍不足以覆盖在大城市的房租、水电、吃穿用度等基本开销。他们自嘲自己的生活，感到迷茫和无力改变。

通过数据和分析可以进一步证明大城市打工者在某些情况下最后结余可能是负数的观点：1

消费支出与可支配收入的对比：北京和上海的生活成本居全国之首，虽然这两个城市的居民可支配收入也相对较高，但高昂的生活成本可能会消耗掉大部分收入。
人均存款与生活成本：北京人均存款超过20万元，上海超过17万元。然而，如果考虑房贷等大额支出，这些存款可能不足以支撑一年的生活费用。
最低工资与消费水平：通过计算最低工资与平均消费水平的对比，展示了如果只赚最低工资，在大城市生活可能会非常困难。例如，如果只赚最低工资，上海打工人可能是最需要节衣缩食的。
住房开支：北京和上海的住房平均开支每年大约1.5万元，月租1000-1500元可能需要与他人合租，这对于收入较低的打工者来说是一个重大的开支。
特殊情况下的财务压力：如果遇到突发状况，如失业或收入大幅减少，打工者的积蓄可能不足以支撑他们的生活，导致结余为负。

不仅如此，城市中的留守老人问题也日益严重。许多老人在完成了养育子女的责任后，长期无法见到自己的子女，还需要帮忙带孙子，压抑的情绪蔓延到孙辈，造成了代际间的情感隔阂和精神压力。这些具体示例表明，按部就班的生活方式并非总能带来幸福，反而可能导致诸多问题。

按部就班生活的终点也未必如人们所描绘的那般美好。近年来，中国互联网行业受到了多方面因素的影响，导致就业市场的降温和技术工人面临更大的挑战。除了监管力度的加大，后疫情时代的高杠杆问题也加剧了市场的不景气。许多互联网公司对员工上网行为的监控愈发严格，通过硬件、软件和网络构成的闭环来维护公司的安全和效率，这使得员工的隐私被大幅度侵蚀，工作压力也随之增加。在这种高压环境下，许多互联网从业者，尤其是95后，选择离开这些大厂，原因有的是攒够钱，但更多的是由于公司侵犯人权，要求员工“承认”自己没有做过的侵犯公司利益的事情，从而实现无责解雇甚至倒追回工资。996工作制带来的巨大压力也是促使员工选择离职的一个重要因素。2

原生家庭的影响

原生家庭在一个人的成长过程中起着至关重要的作用。家庭给予的自由度和思维灵活度，对一个人未来的发展有着深远的影响。控制欲强的家庭往往会剥夺孩子的自主性，导致他们在成年后缺乏独立思考和决策的能力。这样的家庭悲剧案例屡见不鲜，孩子被迫按照父母的意愿生活，最终失去了自我，甚至酿成悲剧。例如：4

李鑫的故事：2017年2月23日，16岁的大连女孩李鑫留下一封信后离家出走，直接原因是父亲频繁催促她做作业。她最终登上南下的列车，到达广州，打算找份工作。18天后，她的父亲李国连在广州找到了她。李国连表示，最大的遗憾是与女儿沟通太少。
秦杰的经历：13岁的青海少年秦杰因为家人管得太严，第一次离家出走。他曾多次离家，最长一次离家一年。2012年高考后，他再次离家，此后没有再回家。
蒋超的遭遇：安徽的蒋超因为童年时期父亲的长期打骂，形成了内向自卑的性格。15岁时，他离家出走，前往安徽铜陵，半年后被父亲找回。大三时，蒋超辍学，之后在多个城市工作，很少回家。

相反，那些能够继承父辈资源并发扬自己兴趣的孩子，通常能在自由和信任的环境中成长，实现自我价值和家庭的共同进步。我们需要反思，是否应当给予孩子更多的自由和信任，让他们有机会按照自己的意愿去探索和成长。

未来趋势与AI影响

随着人工智能（AI）技术的迅速发展，许多传统的工作和生活方式变得不再必要。AI可以帮助人们在30天内速成一项技能，完成具体任务，释放了大量的时间和精力。这意味着，我们不再需要按照过去那种按部就班的方式生活，可以有更多的选择去追求自己的兴趣和梦想。

单一领域精通的人才已经饱和，而跨领域结合的人才仍有空缺。这种转变呼唤我们重新思考生活和工作的意义，不再局限于传统的职业路径，而是寻找更多元化的发展方向和自我实现的途径。

重新定义幸福

我们需要重新定义幸福。根据马斯洛需求层次理论，人在满足基本的生理和安全需求后，会追求更高层次的归属感、尊重和自我实现。幸福并不是一种被指配的状态，而是一种由自己定义和追求的目标。每个人都有权利根据自己的兴趣和价值观去定义幸福，并在不能重来的人生中勇敢追寻。

自我价值的实现和精神生活的满足，正变得越来越重要。我们需要鼓励自己和他人去探索内心的真实需求，追求那些能够带来真正满足的目标，而不仅仅是遵循社会的期望和传统的轨迹。

结论

按部就班的生活并非唯一的选择，幸福需要由自己定义。学生自杀、自嘲型负债打工族、城市留守老人等具体示例，揭示了传统生活方式的诸多弊端。原生家庭的束缚，未来AI的发展，都在呼唤我们重新思考自己的生活方式。我们需要勇敢追寻自己的幸福，定义自己的生活，实现自我价值，过上真正属于自己的幸福生活。

不过第一步，就从给幸福一个良定义做起吧。

参考文献

简记一次输入法安装

Wed, 29 May 2024 00:00:00 GMT

刚刚折腾了一下Linux下安装中文输入法的事情，特此记录一下遇到的小问题和解决方案。

操作系统信息

sunnypai@localhost:~> screenfetch
sunnypai@localhost.localdomain
OS: openSUSE 20240523
Kernel: x86_64 Linux 6.9.1-1-default
Uptime: 1h 27m
Packages: 2238
Shell: bash 5.2.26
Resolution: 2240x1400
DE: KDE
WM: KWin
GTK Theme: Breeze-Dark [GTK2], Breeze [GTK3]
Icon Theme: breeze-dark
Disk: 138G / 2.7T (6%)
CPU: Genuine Intel 0000 @ 12x 4.6GHz [35.0°C]
GPU: Mesa Intel(R) Graphics (ADL GT2)
RAM: 4719MiB / 15716MiB

安装方式

YaST2 搜索fcitx5，取消选择 systemd-inputmethod-generator，自动安装

遇到的问题

系统设置里找不到输入法选项，在配置页面里选择的 "Keyboard - Chinese" Layout 无法工作。

解决方案

搜索输入法前取消选中 "Only Show Current Language"，之后搜索并添加Pinyin
随后重启框架

总结

该问题只会出现在语言设置为非中文并需要安装中文输入法时猜测在使用简体中文系统语言时试图安装非中文输入法也会有类似问题

简记一次扫盘经历

Wed, 06 Mar 2024 00:00:00 GMT

简记一次新装SATA机械盘并使用Linux扫盘 A simple note on installing a SATA hard drive and using Linux to check the health statements

安装硬盘

Install hard drive

硬盘是安装在我的RD452X机架服务器上的。前面板有12个盘位，使用SFF8643转$4 \times SATA$线缆连接主板至硬盘背板。 The HDD disk is installed on my RD452X rack server. There are 12 disk bays on the front panel, using an SFF8643 to $4 \times SATA$ cable that connects the motherboard to the backplane.

随后，发现上电后无法开机，尝试将背板断电并移除数据线缆、重新插拔PCIe设备和内存条，均无法开机，主板指示灯正常。 After powering up, the device failed to turn on. Despite attempts to power down the backplane, remove data cables, and re-plug PCIe devices and memory sticks, the device remained unresponsive. The motherboard indicator lights appeared normal.

使用RJ45线缆连接Management口和路由器以太网口、在DHCP客户端中查询到地址后，使用另一台计算机成功连接到BMC，并使用带外管理成功启动服务器。初步诊断原因为插拔转接线缆时由于用力过大，导致前面板的线缆接口松脱。 After connecting the Management port and Ethernet port of the router with an RJ45 cable and querying the address in the DHCP client, another computer successfully connected to the BMC. The server was then successfully started using out-of-band management. The initial diagnosis suggests that the cable connector on the front panel became loose due to excessive force when plugging and unplugging the adapter cable.

教训：暴力无法解决问题，大力导致的不会是奇迹。 Lesson: Violence does not solve problems, and what is achieved by violence will not be miraculous.

安装ddrescue

Install ddrescue

dnf install epel-release
dnf install ddrescue

扫盘

Scan the disks

[root@Backup ~]# lsblk
NAME               MAJ:MIN RM  SIZE RO TYPE MOUNTPOINTS
sda                  8:0    0  7.5G  0 disk
├─sda1               8:1    0  600M  0 part /boot/efi
├─sda2               8:2    0    1G  0 part /boot
└─sda3               8:3    0  5.9G  0 part
  ├─almalinux-root 253:0    0  5.1G  0 lvm  /
  └─almalinux-swap 253:1    0  764M  0 lvm  [SWAP]
sdb                  8:16   0 10.9T  0 disk
sdc                  8:32   0 10.9T  0 disk
sdd                  8:48   0 10.9T  0 disk
sde                  8:64   0 10.9T  0 disk
[root@Backup ~]# ddrescue -n -f /dev/sdb /dev/null rescueb.log
GNU ddrescue 1.28
Press Ctrl-C to interrupt
Initial status (read from mapfile)
rescued: 133194 MB, tried: 0 B, bad-sector: 0 B, bad areas: 0

Current status
     ipos:  137872 MB, non-trimmed:        0 B,  current rate:    250 MB/s
     opos:  137872 MB, non-scraped:        0 B,  average rate:    311 MB/s
non-tried:   11862 GB,  bad-sector:        0 B,    error rate:       0 B/s
  rescued:  137872 MB,   bad areas:        0,        run time:         15s
pct rescued:    1.14%, read errors:        0,  remaining time:     10h 33m
                              time since last successful read:          0s
Copying non-tried blocks... Pass 1 (forwards)

以上两条命令分别为列出硬盘和扫描硬盘，同时扫描多个硬盘，可以新建多个终端，重复使用ddrescue命令：

ddrescue -n -f /dev/sdc /dev/null rescuec.log

ddrescue -n -f /dev/sdd /dev/null rescued.log

ddrescue -n -f /dev/sde /dev/null rescuee.log

阵列卡配置

我的阵列卡是9260-8i，管理工具下载地址如下： My raid card is 9260-8i. The download address of the management tool is:

~~ftp://tsupport:tsupport@ftp0.broadcom.com/private/MegaRAID/downloads/8.00-05_Linux_MSM.zip~~ ftp://tsupport:tsupport@ftp0.broadcom.com/private/MegaRAID/downloads/8.00-05_Windows_MSM.zip

Linux版除了红帽和Debian系的太难用了，新手建议使用WinToGo装Windows版 For newcomers, it is recommended to use the Windows version installed with WinToGo, as the Linux version, as well as the Red Hat or Debian systems, may be Fking difficult to use.

下载网页是： Here's the website of the download page: https://www.broadcom.com/support/knowledgebase/1211161491782/megaraid-sas-9260-4i---9260-8i---9260de-8i---9261-8i-downloads

具体配置请自行搜索，也可以无脑点下一步 Please search for specific configurations or follow the next step in the software.

Last updated on Mar. 6th, 2024 SunnyPai

从风暴看圈子

Mon, 26 Feb 2024 00:00:00 GMT

在温带的一片森林中，冷暖锋相对峙着。一只路过的小蝴蝶扇了扇翅膀，冷锋和暖锋开始向彼此延伸、交融、碰撞，慢慢的，便形成了气旋。气旋越转越快、越来越多的气流加入，一场暴风雨逐渐酝酿。待狂风暴雨后、雨过天晴，只剩一片冷清和一地鸡毛。

社会中的一个个小群体、小圈子和这个过程也无比类似：一群兴趣相投的人聚集在一起做喜欢的事，于是一个小圈子诞生了、并进入初生期；随着圈子不断发展，他们产生的信息吸引了更多的人，并为了更快捷地交流信息而制定了一系列规则；当圈子内部的规则逐渐成体系、很多老人甚至创始人被排挤出去，同时名声在外、真正爱好于此的人却很难参与其中时，圈子便进入了锢囚期；随着本不是这个爱好的圈外人前来蹭热度，名声败坏，导致爱好并愿意进圈的人越来越少，圈子就逐渐消亡在历史长河。

然而，并非所有的圈子都会经历以上所有的阶段。很多小圈子，比如业余无线电、家庭服务器，它没有足够多的爱好者，于是不会形成过于复杂的规则、始终保持着开放、单纯的样子，坚守爱好交流的初心。直到未来的某一天，喜好的人越来越少，在大家的视线中绝迹。

我们可以发现，能够走完以上四个阶段的圈子具有一些共同特点：热爱或潜在的爱好者人数众多、圈子的门槛极低。例如二次元、LGBT，外部的圈子几乎没有门槛，同时在多年发展后已经在某些国家和地区成为一种「现象级」，于是有很多本不爱好于此的人为了寻找畸形的认同感和自我价值，进入这些圈子，最终将圈子变成外人避而不及的乌烟瘴气的样子。

而在市场经济下的社会，我们始终面临着一个逃不掉的话题——资本。它是社群生命周期的加速器：一方面，资本可以帮助一个小圈子快速发展为大社群；另一方面，当社群足够成熟后，资本的镰刀就会以一种「认同感的攀比」开始收割爱好者们的钱包。这让本无法被量化的归属感和认同感被赋予到现实的物品上，也变相降低了进入圈子的成本。例如二次元圈子的手办、LGBT圈子的徽标周边。资本开始收割也就标志着一个圈子踏入了锢囚期，随后几年内就会消亡。

又如网络文学，它一开始应该是一群不愿意出版还想让自己的作品被别人看到的人组成的圈子。那时作者也是旧的读者，读者也是未来的作者。

后来，随着喜欢的人越来越多，资本像闻到血腥味的鲨鱼一样，建起了一个个付费小说站。随着一次次“征文大赛”，少数人获得了上万甚至更多的收益，越来越多的作者开始选择付费平台出版。

再后来，盗版小说、免费小说站层出不穷，越来越多喜欢白嫖、想消磨时间的人涌入免费小说平台，付费平台的市场占有率越来越低。而作者为了更高的产量而获得更多的收益，网络小说不再是一种文学，而是一种快餐化、标准化的娱乐模式。读者对作者进行谩骂、各分区之间的读者间口诛笔伐。

它确实被大多数人接受了，不过资本也让它做了一个「接受或灭亡」的选择题。付费站让更多的作者选择资本，而带广告的免费站又让资本两头剥削作者和读者。

当然，也有些圈子会一天兴起、一夜消亡：比如几年前一天内兴起的显卡挖矿因为一纸禁令短时间内销声匿迹，又如由于政策变更而做不下去的LT（高频量化交易）私募基金。

那么，我们应该停下来，仔细思考一下：我们应该如何参与到一个社群中？

有一句话说的很好：月薪一千万和月薪一千块的人，他们的一天都只有24小时。那是什么导致他们的收入天差地别呢？是认知、是眼界，也是掌握的信息。月薪千万的老板，他们会用钱换时间，将一些工作外包给其他人，而月薪几千的人只会思考柴米油盐、思考如何用时间省钱。

而社群，则可以为我们提供高效、便捷的信息交换渠道，不断地依靠着见到形形色色的人而提升眼界。但我们参与的社群是越多越好吗？

答案自然是否定的。这里我要借鉴一本名为《变成萝莉不想被发现只好当刺客了》的小说（下称《萝莉刺客》）内的一个概念：

每个人都有一定的灯火，而信息有直接有效、间接有效、直接无效、间接无效四种，所消耗的「灯火」逐渐递减，但绝对不是等于零。直接有效是两个人面对面地交流，间接有效是阅读书籍、聆听音乐，直接无效是和别人吵架或者说着你听不懂的语言，间接无效则是一团看不懂、不明觉厉的乱码。

《萝莉刺客》内的设定是：每个人传递信息都需要消耗「灯火」，当「灯火」耗尽，就会陷入永恒的休眠。类比现实，我认为「灯火」和人的精神能量很相似。每个人在接收或表述过多的信息后都会感到身心俱疲，长期处于身心俱疲的状态就会放弃思考，如同行尸走肉一样麻木的活着。

我相信每个人都不想变成这个样子。短视频、贴吧中都是一些间接有效的信息，你不直接参与其中，但接收着他们的理念、仿佛感同身受但实则半懂不懂，却又发表着自己的「见解」、和别人争吵。量变引发质变，过多浅尝辄止的参与各式各样的圈子会损害一个人的认知。

我们的确应该对每一种态度兼容并蓄，但这并不意味着每个圈子都应当见识一下。我们应该减少接收的信息总量。这不意味着信息的闭塞，而是在提升每次交流的信息质量，在某个圈子里沉思。沉思会给大家带来积淀，这是可以享用一生的财富。

沉思是深入参与某个圈子后的必然产物，是学习和感悟的过程，但绝不意味着我们要尽己所能维护圈子的纯洁、让它生存下去。每个圈子或长或短，百年内必将消亡，而像一位为了维持一个她建立起的圈子的纯洁和新人的体验而选择以死明志、从高楼纵身一跃的故人，我们只会为此惋惜，但这并不能改变任何现实。圈子还会以它原本的样子继续发展下去，而她，并不是我们的英雄，只会留下一句「不值得」、「可惜了」的评价。

社群是交流的地方、是学习的地方，借用刘慈欣的《三体》中的一句话：给岁月以文明，而非给文明以岁月。我们不必追求圈子的万古长存，而是在存在的时间内积淀自己、让它成为历史长河中绚烂的烟火。人生苦短，乘兴而去，待到某日，兴尽而返。

当然我们很难评价一个行为、一次事件的对与错，就像资本参与进我们参与的圈子一样，它可能使得原本有几十年生命的圈子在几年内被大家弃如敝履，但也在几年内让我们体验到了原本不一定会有的繁盛一时。圈子是人的圈子、社会是人的社会。人不会和圈子绑定在一起，但圈子因为有了人，才被赋予了意义。我们很难评价深度参与一个圈子到底是能获得极大的收益，还是花费时间却收益寥寥。但，趁年轻，勇敢做！人生的起点和终点都是确定的，在其间的每一场经历，都是独属于自己的、最宝贵的财富。

最近我对存在主义十分感兴趣。德国哲学家马丁·海德格尔对「此在的存在」有如下观点：

人之为存在，不是说机械地对外界环境作出反应，人首先在「行动」中，在其中他领会着存在。
「此在」意味着「我的存在」，因此具有「我属」特征，但「我」不是孤立的主体，「在世界之中」是此在生存的先天法理。

人的存在不仅仅是作为一个物理实体存在，而是在与世界的互动中存在。这让我想起了「人的三次死亡」这一观点：

第一次死亡：当一个人的心跳停止，呼吸消逝，他在生物学上被宣告死亡。
第二次死亡：当一个人下葬，人们穿着黑衣出席他的葬礼，他们宣告，他在这个社会上不复存在。
第三次死亡：当这个世界上最后一个记得他的人把他忘记，那时候他才真正地死去。

很多人都在物理死亡（即物理实体存在的消逝）后的短短几年被忘记，迎来第三次死亡；但也有的人在千百年后依旧被人们铭记、经久不衰。这是因为他们做了深刻的事情，或留下了深刻的思考。

就像人生，如一场风暴，汲以水分、还以甘霖。但留给世界的是雨露滋润、一道彩虹，还是满目疮痍、一地鸡毛——一切皆未定，你我皆黑马。

低成本，懒生活

Sun, 25 Feb 2024 00:00:00 GMT

序言

随着改革开放红利日渐消退、经济发展逐渐减缓，人们的消费欲望不断下降；三年疫情让很多人本不富裕的生活雪上加霜。共克时艰后，消费主义和享乐主义被泼了一盆冷水，人们存钱的欲望日趋增长。

但是，一波又一波的裁员潮下，各行各业工资也在不断缩水。那么，在「开源」日趋艰难的行业内卷现状下，也只剩下「节流」一条路可选。这也是我写下这篇文章的原因。

1. 什么是“懒生活”？

「懒生活」，从字面看起来是「慵懒的生活」，实际上我更愿将它看作一种小资的恬静、忙里偷闲的惬意。可以在早起上班的路上听上一首歌、看一篇深度长文；也可以在周末享受「太阳晒屁股」的懒觉。它可以理解为低成本下的懒生活，也可以理解为低成本但是懒生活。同时，它并不意味着牺牲物质生活的当下享受，也不意味着生活质量的大幅降低。以下我会从大数据、消费者行为、供应链、经济循环的方面对「低成本懒生活」做出详细的分析和介绍。

2. 不要将理解委托他人

互联网时代，流量为王。 这是因为当下的很多人都放弃了独立思考，而将思考和理解的权利委托于他人。而此时，多如牛毛的自媒体、铺天盖地的广告，就会扰乱人的认知，最终一步步把思考和理解的权利交给他人、看更多的「娱乐至死」的短视频，这样的即时满足会让人逐渐沉溺其中，而其中夹杂的观念、软硬广告，就成了媒体变现的渠道。同时，跟随链接购买到的商品，价格必定不是最优惠的。

用通俗的话来讲，短视频、小游戏的满足感是高频率、少量的多巴胺（一种导致人快乐的激素）的分泌，同时会快速地触发人大脑的奖励机制。但长此以往会导致人们习惯并沉溺于这种高频率满足，不愿走出舒适圈。另一方面，完成一项任务、进行一次旅行，这是很复杂的一些任务，在完成任务的过程中，我们需要将复杂的任务分解为多个简单的任务，每花上几十分钟、几小时乃至几天完成一项小任务的时候，我们都会收获一次满足感；完成整个任务、达成目标时，会收获大量的满足感。同时，完成任务的步骤也成为了我们宝贵经验的一部分。而经验，就是对世界的理解。

看到这里，相信很多习惯于「即时满足」的、对抗与自己不同观点的人已经关掉了页面。那接下来我们讲述一下「大数据」在我们看不到的地方如何控制着人们的认知。

现如今的大数据，都结合着一个「用户行为模型」。我们不需要理解该模型的运作方式，这种类型的科普文章和视频在互联网上数不胜数，只是看你愿不愿意去搜索去阅读。这里只在浅层描述一下：

当你打开一个页面、甚至用某些触屏键盘软件输入一些内容，你的这一次访问就会被记录。一方面为了「优化你的体验」，而另一方面则是为了大数据分析。他们会将你的访问带着手机的IMEI（一种唯一标识码）电脑的MAC（物理地址，唯一标识）递交到广告API，而你即将打开的小说、短视频、购物软件，则会向API服务商购买这类API服务，并识别你的唯一标识符进行定向推送。而你多次访问的、停留时间长的页面，则会被记录到用户行为模型，方便各厂商的下一次定向推送。这也是为什么在BiliBili评论区甚至本地备忘录发表“我好喜欢小猫”，下一刻打开淘宝则会发现推送了一部分“宠物猫”相关商品的原因。

3. 为什么卖家价格总有更低的？

相信大家都有这个经历：打开某个购物软件（例如拼多多）并搜索某个条目，刷的商品越多，则会看到价格越低的商品夹杂在其中；而也有许许多多「挂羊头卖狗肉」的商品条目。而买到手则会发现，一开始刷到的高价商品和后来的低价商品甚至连厂家都一模一样，质量上更是几乎没有区别。那么，为什么商家能以如此低的价格拿到货呢？

你可能会回答：因为他们是从工厂进货。答案确实没错，但要实现「低成本」的生活，了解该现象存在的原因也很重要。

一个商品的价格和它的价值是截然不同的两个定义。价值包含原材料的成本、生产它的每一环的人力成本、加工设备的成本、运输的成本、店面仓库租金等，这些共同构成了它的价值。而价格则还需要加入金融资产这一考量。比如铁矿炼钢的成本，远低于购买钢材的价格，这是因为金融市场的操作；再比如买一个房子或车子，你获得的是房屋的居住权和产权证明，你并不真正拥有它的一砖一瓦，但与此同时购买房子的资金又会重新流入市场，其中自然包括金融市场。这也是大家熟知的杠杆。当生产商品的每一个环节都被加入了杠杆，那商品的价格自然会基于价值水涨船高。

另外值得一提的是：商品的品牌价值也包含在价值当中，但不包含在成本中。品牌反映了消费者的信任，也是过往商品的质量证明。这也是大牌商品昂贵的原因。

卖家价格更低的另一个原因则是，他们大批量地购入商品，帮助工厂和分销商节约了宣传和广告成本（参考上文提到的广告API），因此工厂和分销商也愿意给他们较低的价格。而在二手市场中情况就有所不同了：其中最大的成本是运输和仓储，商品本身是很多企业和个人用完淘汰的，价值并不高。而大批量购入则帮助他们节约了运输和仓储的成本，也降低了一对一客服的精力。这也是大批量购入价格可以压到很低的原因。

4. 个人如何实现低成本？

这里要提出一个观点：羊毛出在羊身上、帮卖家省钱也是帮自己省钱。上文讲述的成本，其中品牌价值可以压缩、快消品可以通过大批量购入压缩运输成本和宣发客服成本、减少加工环节可以减少人工和金融杠杆在其中的参与。接下来让我们叙述一下具体方式：

品牌价值的压缩，相信大家一定见过工厂直营这类词语吧。但这种「直营」的真实性不但有待商榷，质量也是参差不齐。毕竟苹果代工厂是工厂，华强北代工厂同样也是工厂。那么，如何挑选出质量有保障的低成本商品呢？

有一种商家，他们不注重宣传、不贴牌，但他们有自己的HomeLab实验室帮助卖家测量产品的各项性能，同时在一些小圈子里进行小规模零成本（忽略时间成本）的宣传，在这里称之为「个人卖家」。这和下文将要提到的「拼车车主」十分类似。

个人卖家首先会从各大工厂和经销商里挑选低价的货源并购买样品；随后使用专业仪器测量具体的技术参数，例如充电头的电压、协议、纹波，日用品的某些有害化学组分，电子设备的拆解分析和软件测评，食品的试吃和检验…… 他们的确会加收一部分价格，但并不高昂，且帮助我们节约了选购时的时间精力，同时也规避了质量问题导致的可能风险。

大批量购入的压价 是人尽皆知的方案了。但除快消品以外，个人由于「用不完」而无法实现这种行为。因此某些时候会产生「拼车」这一自发性的行为，即有较大需求的「拼车车主」在小圈子里找寻有相同需求的人、统计人数、组建群聊约定「发车」期限、并同时与供应商谈价格。在发车期限抵近时，当需求数量高于供应商批发数量，「拼车车主」会从供应商手中以较低的价格拿到货，并重新包装、在「发车」后通过快递寄出。此时价格同比商家进价的增长幅度是多出来的一次快递费，对于二手商品，由于批量购入替卖家节约了仓储和客服成本，则可以做到压价更低。

减少加工环节 也是一种方案。但始终铭记两点：

我们的目标不是为了折腾而折腾，而是为了以更低的成本实现目标而折腾。
非个人爱好或职业发展方向，多余的技能很可能一生都用不上。因此自己的学习成本和工时成本也要计算。

明确这两点后，实现减少加工环节的方式则显得很明确：DIY。

比如你需要添置一台计算机，找热爱DIY的玩家推荐一份配置单会比线下电脑城的配置单性价比高得多，且还会贴心地推荐低价货源、避坑点，而这一切都是免费的！

再进一步，如果你精通个人DIY，则会了解到「企业级电子垃圾」比「消费级电子产品」量大管饱这一特点。因此「上车」（即上文提到的参与拼车）购买二手企业级硬件会实惠很多。

而假如你是一名电子工程师，你会了解到很多故障配件是因为一些不起眼的电容电阻烧毁导致的，维修起来成本极低，甚至对于一些个人需求还可以自行定制电路板实现，这比现有企业级方案价格低廉得多。

但想象这样一种情况：你不是电子工程师、也不是资深DIY爱好者、甚至对计算机硬件一窍不通，那么从头学习复杂的知识的时间成本则可能长达数月甚至一年。而在这么久的时间内，你能创造的财富和积累的经验，也变相的拓展了未来在某一领域的可能性及期望收益。当然也可以使用极端的比较：目前最高配置的个人计算机价格绝对不超过20,000元人民币（不计算光效和品牌徽标）。而学习DIY需要花费数月的时间、最终节省1,000元都算很多了。而按照最低工资计算，20时薪、每天2小时，25天就能赚到1,000元，算上休息日正好是一个月。因此，为了节省时间而付出金钱，我认为是一件很值得的事情。

同样的，「懒生活」这个概念也正是代表着“花钱买时间、用买到的时间享受生活“。

5. 低成本懒生活的构想

人的需求无非衣食住行、吃喝玩乐。我对「低成本懒生活」中的基本要求为：衣着保暖得体、饮食健康美味、住所温馨自由、出行随心快捷、吃喝洒脱自在、玩乐尽兴而归。

在此要求上，我将「需求」分为以下几类：

一次需求：指一生只有几次的需求，例如房子、车子的购置
低频需求：指可重复使用的物品的不定期更换，例如电脑、手机、家具的维修更换
高频需求：指一次性用品的需求，例如食品、药品、日用品

在此基础上，分别对这几种需求进行描述：

衣着其中部分属于低频需求、部分属于高频需求。外套这种低频需求，我们可以选择网购、二手平台等方式，二手衣物经过洗涤后并不会对健康造成危害。如果实在有心理压力，一些网购店铺也比线下门店便宜至少50%。而内衣裤这种高频需求则并不适合购买二手，因此可以选择去「1688」这一平台进行批发，并定期更换。此时应当注意选择织物本身的颜色（例如棉布的白色），以防劣质产品掉色，影响健康。

饮食这一高频需求、甚至可以说是日常需求，这里特指在家吃饭。很多当代年轻人的厨艺其实并不好，因此选择点外卖来填饱肚子。但很现实的一件事情是：很多外卖都应用了预制菜（又名料理包）。除了某些热爱烹饪、对食品有较高要求的人以外，我们可以选择自行购置料理包。订购方式首次可以选择在电商平台，后期向工厂直接订购更划算。此处应当注意，优先选择冷链运输的冷冻料理包，这类产品中不会添加大量的防腐剂影响口感，更不会产生过量的亚硝酸盐危害健康。

住所，即住房，要仔细思考自己是否真的有需求必须购置。多年来的大基建让城市公共服务变得十分成熟，租房也成为了不错的选择。而房地产市场供大于求，未来价格必然会持续下降。习近平主席曾说：“坚持房子是用来住的，不是用来炒的定位。”因此购买房产也不具备金融层面的意义。所以，在购置前仔细思考自己是否是为了「充门面」、「脸上有光」这一目的购置。同样我个人不提倡也不反对购置婚房，因为它意味着稳定的个人空间的获得，但绝不是婚姻的必需品和附属物。

出行，我愿将其分为近程、中程、远程三种类型。近程对我来说指3km以内，这段路程可以选择步行，有益健康；中程对我来说是3-10km，这段路程选择公交更廉价方便，同时如果时间紧急也可选择出租车网约车一类；远程对我来说则是10-100km，这段路程乘坐公交会浪费大量时间，因此建议选择地铁（此处指城市轨道交通）、市郊铁路（仅在超大型都市和卫星城间拥有）、城铁（即城际铁路），方案据路线而定，除珠三角城市群外，成本上地铁>市郊铁路>城铁。

吃喝，这里特指出门外餐，选择则更偏向个人喜好。此时不应过度考量价格，因为它的性价比无论如何也比不上在家吃饭。我们出门吃饭更应当享受它的氛围感和体验感，此时应当综合考量餐品质量和店面装潢。同时，由于低价餐厅的饮品和甜品质量一言难尽，建议路上预定饮品、餐前外带到餐厅、餐后去甜品店外带/堂食（可选）。此时大数据的点评软件和攻略软件给优先推送的餐厅普遍不会太差。如果因为经济条件限制，可以选择降低频次而不是降低价格牺牲单次消费体验。

玩乐，这里分为两种：城市内游玩及长途旅行。

城市内游玩的选择通常为电影院、游戏厅、公园等，考量交通成本和时间成本，建议选择就近的场所，但同时如果有外餐需求，由于大型商场的地缘优势会将诸多餐饮店集中在周围，因此可以结合商场位置考量。

而省际的长途旅行，交通工具则成了必不可少的一环。假如喜欢沿途风景，则选择购置车辆自驾游更适合；而如果喜欢体验某个地区的风土人情，则可以在个人网上交际圈内联系当地人，并和其中交往较深的朋友协商是否可以「蹭住」。同时和其他朋友联系外出游玩，走进当地人的生活。这里我十分不建议去各个网红景点打卡的「行军式旅行」，它除了一堆照片以外什么也带不给你。

最后再讲一些批发和二手市场交易要注意的点：

优先上网自己搜索该型号的文档，不要一个劲问卖家——卖家的耐心比你想的要差很多：你是小批量，他们大批量的单子比回复你赚的更多，同时有合同也有保障。
询问要围绕实际价格和产品与描述的一致性，这被称为「小刀」。
一直询问“弱智问题”或者大幅砍价只会导致卖家拉黑你或者坐地起价。

总结

作为一名旅行者、电子爱好者，我对「低成本，懒生活」的核心思想的理解是：

没有需求不要创造需求，我们不是为了折腾而折腾
时间可以换来金钱，但金钱不能买来时间

「开源节流」只是暂时的艰难，我们要向前看，为严冬后的春天而准备萌发、生长。

初来乍到，请多关照

Fri, 23 Feb 2024 00:00:00 GMT

时隔大半年~~的摆烂~~后，向阳哌小站终于在2024/02/23午夜零点重新上线了！ After more than half a year of ~~lying flat~~, SunnyPai site is back online again at midnight on 2024/02/23 0:00 (GMT+8:00)!

先在开门大吉时夸下海口：坚持做原创内容，拒绝搬运“不可重复性”内容，保护作者著作权！ During the time of the creation of the site, I make make a commitment: insist on making original content, refuse to carry "non-repeatable" content, and protect the author's copyright!

本站主要内容关于：

计算机服务器与网络
旅行与生活
垂直领域深度思考

My site is mainly about:

Servers and Networks
Travelling and Life
Vertical Depth Thinking

站点依旧在不断完善，新内容敬请期待！初来乍到，请多包涵！ The site is still under construction, new content will be added soon! Please forgive my scribbling.

SunnyPai, Feb. 23, 2024

向阳哌小站

Windows to USB 迁移笔记

0. 前情提要

1. 目标

2. 第一坑：克隆后无法启动 0xc000000e

3. 第二坑：能引导，但蓝屏 0x7B

4. 离线改注册表

5. 设置 BootDriverFlags

6. 强制存储驱动早期启动

7. 处理 StartOverride

8. 进系统后先检查

9. 第三坑：能开机，但关机/重启抽风

10. RTL9210 还值得继续折腾吗？

11. 我的最终策略

总结

尾声：脚本

Tailscale续集-自建Headscale&Derp

0. Pre 检测

0.1 域名与端口

0.2 创建 Docker 网络

0.3 证书文件准备

0.4 文件服务器存 DERP Map

0.5 确保能连回服务器

1. 启动 DERP

2. 启动 Headscale + Headplane

2.1 Headscale 配置

2.2 Headplane 配置

2.3 Docker Compose

3. 配置 Caddy 路由

4. 部署与接入客户端

4.1 生成 Headplane 访问密钥

4.2 创建 Headscale 用户

4.3 Web Console 配置

4.4 命令行生成 Pre-auth Key

4.5 Linux 客户端加入

4.6 Windows 客户端加入

4.7 检查 DERP 是否生效

5. 开启防偷

5.1 方案一：Headscale /verify

5.2 方案二：-verify-clients=true + 本机 tailscaled

常见坑

1. Headscale 启动失败：DERPMap 为空

2. DERP 网页能打开，但客户端不用它

3. tailscale netcheck 过了，但实际还是连不上

4. Headplane 登录不了

5. MagicDNS 打开后系统 DNS 被改乱

总结

打油诗一首

HomeLab局域网打洞从精通到入门

铜缆（10GbE以下）

光纤

NewAPI大模型网关

秋风日记-2025Q4

前言

晶科能源（SH688223）

一、核心交易信号

1. 政策信号：工信部整治行业内卷，头部企业受益

2. 期市与股市联动信号：原材料上涨滞后于股市预期

3. 业绩信号：三季报亏损超预期，触发止盈清仓

二、持仓记录与盈利情况

第一期交易（止盈位6.80 / 止损位5.00）

第二期交易（止盈位5.90 / 止损位5.10）

三、成果反思与改进方向

华立科技（SZ301011）

一、核心交易信号

1. 热门游戏版本更新和股价关联

二、持仓记录与盈利情况

第一期交易（止盈位无 / 止损位无）

第二期交易（止盈位无 / 止损位无）

三、成果反思与改进方向

后续工作

简记vLLM部署bge-m3和bge-reranker

概述

懒狗快捷指南

Q&A

基于网盘部署下载站的一些想法

一、Openlist解决网盘认证

二、重写路径

三、成果展示

生命小记

5.1 方案一：Headscale `/verify`

5.2 方案二：`-verify-clients=true` + 本机 tailscaled

3. `tailscale netcheck` 过了，但实际还是连不上