把重复的命令交给 AI，写博客应该专注于内容

¶ 一、背景

¶ 一个运维的自我修养

作为一个运维工程师，我的日常是这样的：

# 早上到公司kubectl get pods  # 嗯，都活着# 下午开会# 脑子：这个架构有问题# 嘴：我觉得还行，再观察观察# 晚上写博客hexo new post "今天学了个新东西"# 编辑两小时...git add .git commit -m "更新"git pushhexo clean && hexo generate && hexo deploy

等等，我是不是忘了什么？哦对，我只是想写篇博客，不是要考 RHCE 认证啊！

¶ 于是我开始 "偷懒"

最近我在折腾一个很火的开源框架 —— OpenClaw。

OpenClaw 是什么？

简单来说，它是一个 AI 助手框架，能：

• 读取你的文件、日历、邮箱

• 帮你执行命令、管理任务

• 通过自然语言对话完成各种工作

它的核心理念是：让 AI 成为你的第二个大脑，帮你处理重复性工作，你只需要专注于决策和创造。

听起来很美好，但真的能用吗？

抱着怀疑的态度，我决定拿它来测试一下：能不能帮我把博客写作流程自动化？

毕竟，如果一个 AI 连 hexo new post 都搞不定，那它也不配待在我的工作流里。

¶ 二、和 AI 一起优化博客流程

¶ 第一次对话：需求描述

我没有写任何脚本，只是打开 OpenClaw，输入了这样一段话：

“我想用 OpenClaw 自动化我的 Hexo 博客写作流程。每次写文章都要手动执行 hexo new、git commit、hexo deploy 等命令，太麻烦了。你能帮我创建一个 Skill 吗？”

AI 很快理解了需求，并反问我几个关键问题：

1. 博客仓库在哪里？（本地路径、Git 地址）

2. 分支结构是什么？（我的是 hexo 分支写作，master 分支部署）

3. 需要哪些核心功能？（创建草稿、发布、预览、删除等）

4. 分类和标签有没有默认配置？

整个过程就像在和一个懂技术的同事讨论需求，不需要写任何代码。

¶ 第二次对话：流程设计

基于我的回答，AI 设计了一个简化后的工作流：

优化前（7 步手动操作）：

1. hexo new post "标题"2. 打开编辑器写文章3. 保存文件4. git add .5. git commit -m "xxx"6. git push7. hexo deploy

优化后（3 个命令）：

1. blog draft "标题" 技术 标签  → 创建草稿2. blog serve --drafts         → 本地预览3. blog publish "标题"         → 发布 + 部署

¶ 第三次对话：细节打磨

在实现过程中，我们又通过自然语言讨论了一些细节：

“分类能不能自动映射？比如我输入 技术 就自动变成 技术相关 ”

“发布的时候能不能自动 git commit 和 push？我不想每次都手动操作”

“预览的时候希望能看到草稿，有没有 --drafts 参数？”

AI 逐一实现了这些需求，经过几轮对话，一个完整的博客自动化 Skill 就诞生了。

重点是：整个过程我没有写一行代码，只是用自然语言和 AI 对话。

¶ 三、关键代码与使用方法

¶ 核心脚本结构（AI 生成的）

AI 帮我创建的 Blog Skill 位于 ~/.openclaw/skills/blog/，核心是一个 Bash 脚本：

#!/bin/bashset -eBLOG_DIR="/home/skyhive/.openclaw/workspace/projects/blog"HEXO="pnpm exec hexo"cd "$BLOG_DIR"# 创建草稿create_draft() {    local title="$1"    local category="$2"    shift 2 || true    local tags=("$@")        echo "📝 创建草稿：$title"    $HEXO new draft "$title"}# 发布草稿publish_draft() {    local title="$1"        echo "📤 发布草稿：$title"    $HEXO publish "$title"        git add .    git commit -m "feat: 发布文章 - $title"    git push origin hexo}# 本地预览serve() {    local port="4000"    local include_drafts=""        while [ $# -gt 0 ]; do        case "$1" in            --drafts|-d) include_drafts="--drafts" ;;            [0-9]*) port="$1" ;;        esac        shift    done        $HEXO server $include_drafts --port $port}# 主逻辑case "$1" in    draft) shift; create_draft "$@" ;;    publish) shift; publish_draft "$@" ;;    serve) shift; serve "$@" ;;    *) echo "Usage: blog {draft|publish|serve}"; exit 1 ;;esac

¶ 创建软链接

AI 帮我创建了一个全局命令：

ln -sf /home/skyhive/.openclaw/skills/blog/blog.sh ~/.local/bin/blog

¶ 最终使用方式：自然语言对话

现在，我不需要记住任何命令，只需要和 AI 对话：

我：帮我写一篇关于 K8s 部署的文章AI：好的，分类是"技术相关"吗？需要加什么标签？我：标签加 Linux 和 K8sAI：📝 已创建草稿《K8s 部署最佳实践》，要现在预览吗？我：预览AI：🌐 本地服务器已启动，访问 http://localhost:4000# 编辑完成后...我：发布这篇文章AI：📤 已发布并推送到远程，Vercel 正在部署...

是的，最终的使用方式就是：用自然语言和 AI 对话，剩下的交给它。

¶ 命令行方式（可选）

如果你更喜欢命令行，也可以直接使用：

# 创建草稿blog draft "K8s 部署最佳实践" 技术 Linux K8s# 本地预览blog serve --drafts# 发布文章blog publish "K8s 部署最佳实践"# 其他命令blog list          # 列出文章blog stats         # 统计信息blog delete draft  # 删除草稿

¶ 四、总结

通过 OpenClaw 的 Skill 系统，我把博客写作流程从 7 步手动操作 简化为 和 AI 对话：

¶ 核心收获

1. OpenClaw 不只是聊天机器人 — 它能真正帮你执行任务、自动化工作流

2. 和 AI 对话要清晰 — 明确需求、提供上下文、多轮迭代，才能得到好结果

3. 最好的工具是 "无工具" — 用自然语言对话，比记住一堆命令更高效

4. 自动化是为了专注 — 把重复的事情交给 AI，你只需要关注内容创作

写博客应该专注于内容，而不是重复的命令。

¶ 参考

• OpenClaw 文档

• Hexo 官方文档

• Butterfly 主题

¶ 关于嗑药与作息

对于切了一半甚至是全切甲状腺的人来说，这辈子大概率是和 优甲乐 绑定在一起了。最初了解到优甲乐的服药禁忌时，简直是一个头两个大：

• 需要空腹服用

• 服药后至少需要间隔半小时才能吃早餐

• 并且 4 小时内要避免大量摄入蛋白质和对胃部刺激大的东西（比如牛奶、豆浆、鸡蛋、咖啡等）

为了应对这种苛刻的服药条件，我现在的策略是：早上 5 点到 7 点之间，只要迷迷糊糊醒了，就随缘抓起药片吞下，然后再倒头睡个回笼觉。这样到了 9:30 到公司吃早饭时，时间间隔可以说是绰绰有余。

不过早上肯定就不能喝咖啡和吃鸡蛋了。好在我本身也不怎么爱喝咖啡，这倒是无伤大雅；至于鸡蛋，虽然和原本的健身饮食安排有些冲突，但把蛋白质的分摊挪到中午和晚上，问题也不大，权当是给自己一个更加规律饮食的借口了。

¶ 关于饮食

还记得刚做完手术那两周，为了防止令人闻风丧胆的 淋巴漏，我经历了堪比苦行僧般的饮食控制：连续两周的纯水煮一切，不能沾一滴油（这里包含一切含脂肪的食物，比如豆类、坚果、肉类等）。当时 两周暴瘦十斤 的光荣战绩，至今让我记忆犹新。

而现在的我，那必然是已经满血复活了！现在的饮食已经基本恢复正常，虽然平时自己会有意识地吃得更加 “干净” 和清淡些，但遇到榴莲季的狂欢、偶尔的火锅局，该安排还是得安排。毕竟好好活着，不就是为了能多吃两口心心念念的美食嘛。这里也提一下关于甲癌术后的饮食禁忌和个人看法：

• 关于含碘食物（加碘盐、海产品）：对于我这种半切患者来说，得控制好量，毕竟还有半个甲状腺在干活

• 关于咖啡：避开优甲乐的禁忌时间就好

• 关于蛋白质：避开优甲乐的禁忌时间就好

• 关于十字花科蔬菜：控制好量即可

• 火锅、炸串、烧烤等：不在意体重和其他健康指标，可以尽情享受

¶ 关于健身

网上有不少帖子提到，甲状腺疾病或是术后容易导致代谢变慢，从而疯狂长胖。我自己亲测下来的结论是：并没有那么夸张。只要合理安排饮食和训练，哪怕少了一半甲状腺，依然可以达到减脂的效果，而且，优甲乐的副作用可是 体重减轻 啊！！

不仅如此，术后恢复期一过，我就果断杀回了健身房，训练计划依然保持着经典的 三分化 + 小肌群 / 核心训练。就训练效果和状态来看，切掉的这半个甲状腺对我的训练并没有什么影响，该怎么练就还是怎么练，干就完了！！

¶ 关于复查指标

对于病理分析属于 高复发人群 的我来说，每次定期复查依然是一场心理上的小考。不过经过这一年的磨合，悬着的心也算是慢慢放下来了。

这一年来的甲功指标复查结果如下：

这里也借助 hexo-next-charts 绘制了折线图，看起来更加直观：

从结果来看，我的 TSH 已经被药物成功压在了一个较低的安全水平。只要乖乖按时吃药，配合规律的作息和运动，目前的各项指标一切 OK，这也给了我一颗大大的定心丸。当然我也问过医生，因为我的瘤子比较大，有一定的淋巴转移，所以短时间内都不用考虑停药的可能了，做好优甲乐吃到死的心理准备吧~

¶ 结语

一年的时间说长不长，说短不短。这场疾病就像是给疯狂运转的人生按了一次暂停键，提醒我重新审视身体与生活的关系。

现在的我已经习惯了脖子上的疤痕，也接纳了每天服药的日常。有了这次经历，更加觉得能每天去折腾代码、折腾 HomeLab，去健身房挑战自我，毫无负担地去吃好吃的，这本身就是一件值得感恩且极其浪漫的事。

一周年打卡完毕，接下来的日子，还要继续热气腾腾地活下去！

在开源界，Jellyfin 绝对是那个即使你一分钱不花，也能让你体验到 “尊贵 VIP” 待遇的神器。经过多年的调教（被坑）与折腾，这套方案现在的成熟度已经相当高了。

老规矩，先上一张架构图镇楼（没错，AI 画的，看起来是不是特别唬人？）：

graph TD    classDef core fill:#6d28d9,stroke:#a855f7,color:white,stroke-width:2px    classDef client fill:#2563eb,stroke:#60a5fa,color:white,stroke-width:2px    classDef media fill:#0f766e,stroke:#06b6d4,color:white,stroke-width:2px    classDef plugin fill:#c2410c,stroke:#fb923c,color:white,stroke-width:2px    classDef external fill:#475569,stroke:#94a3b8,color:white,stroke-width:2px    classDef func fill:#1e40af,stroke:#3b82f6,color:white,stroke-width:2px    subgraph "🌐 客户端层"        A[Web客户端]:::client        B[移动应用]:::client        C[TV端]:::client        D[桌面程序]:::client    end    subgraph "🚀 核心服务层"        E[API网关]:::core        F[认证授权]:::core        G[媒体引擎]:::core        H[插件管理器]:::core    end    subgraph "🎬 媒体处理层"        I[智能转码]:::media        J[元数据管理]:::media        K[字幕服务]:::media        L[章节分析]:::media    end    subgraph "🔌 插件生态"        M[主题引擎]:::plugin        N[元数据刮削]:::plugin        O[通知服务]:::plugin        P[播放器扩展]:::plugin    end    subgraph "🔗 外部系统"        Q[存储系统]:::external        R[直播源]:::external        S[DVR服务]:::external        T[云同步]:::external    end    A & B & C & D --> E    E --> F & G & H    G --> I & J & K & L    H --> M & N & O & P    G --> Q    R --> S    G --> T

从图中可以看到 Jellyfin 的功能特点总结为如下几点：

1. 全平台客户端：Web/手机/TV/桌面，进度云端同步

2. 实时硬件转码：NVENC/QSV/VAAPI，带宽自适应

3. 自动媒体整理：TMDB 元数据 + 章节点生成，一键刮削海报与字幕

4. 多用户家庭共享：分级权限、家长控制、离线缓存

5. 插件扩展：主题、通知、第三方元数据，热插拔即装即用

6. 开源：本地部署，无数据泄露风险，无需付费

¶ 部署

详细的部署方式多如牛毛，官方文档写得也很细。但在 2024 年（或者未来），Docker 绝对是首选。为什么？因为我们有洁癖，不想把宿主机搞得乱七八糟。

直接上 docker-compose.yaml，复制粘贴即可食用：

services:  jellyfin:    image: jellyfin/jellyfin:10.11.5    container_name: jellyfin    restart: unless-stopped    environment:      - TZ=Asia/Shanghai      - JELLYFIN_PublishedServerUrl=http://<你宿主机 IP 地址>    ports:      - "8096:8096/tcp"      - "7359:7359/udp"    volumes:      - /volume1/mnt/data/jellyfin/config:/config      - /volume1/mnt/data/jellyfin/cache:/cache      # 这里挂载你的媒体文件目录      - /volume1/Documentary:/media/documentary:ro      - /volume1/Movie:/media/movie:ro      - /volume1/Series:/media/series:ro      - /volume1/Villa:/media/villa:ro    # 硬件加速    # devices:    #   - /dev/dri:/dev/dri

¶ 配置

详细的配置文档可以参考 Jellyfin Post-Install Setup 和 Jellyfin Administration Configuration，这里仅记录一些常用的配置。

¶ 面子工程

俗话说得好，颜值即正义。功能再强大，长得像 Windows 98 也是不行的。好在 Jellyfin 底子不错，稍微打扮一下就能 “艳压群芳”。在此基础之上还提供了两个方案：

• 自定义 CSS

• 插件：这里推荐一个用的比较多的插件 – Skin Manager

我个人目前使用的是自定义 CSS 的方式，轻量且简单，使用别人写好的 CSS 都不需要做什么额外的配置，可参考下方配置

@import url("https://cdn.jsdelivr.net/gh/lscambo13/ElegantFin@main/Theme/ElegantFin-jellyfin-theme-build-latest-minified.css");

除了对界面进行美化之外，还有个插件可以在主页 Banner 实现随机推荐，效果也是一级棒。感兴趣的可以移步 Media Bar，这个项目是从 Jellyfin-Media-Bar Fork 二开而来，配置简单，只需要如下几步即可：

1. 将 https://www.iamparadox.dev/jellyfin/plugins/manifest.json 添加至 Plugin Repository

2. 安装 Media Bar 和 File Transformation 两个插件（注意，Jellyfin 的版本要求在 10.10.7 以上）

3. 重启 Jellyfin 服务

这时你就能够在首页看到自定义的 CSS 和 Media Bar 的效果了

下面放几张图给大家看看效果

¶ 媒体库配置

按照我个人的习惯，将媒体库分成了四个部分 —— 电影、电视剧、纪录片，以及那个只可意会不可言传的 九公斤。分别对应 Movie、Series、Documentary 以及 Villa 四个挂载进来的目录。

九公斤 到底是什么？咳咳，这是一个关于成人向的深奥话题，为了保持本文的纯洁性，咱们留到后续的某篇文章中再单独探讨。

说回正经的，其实你大可以将 纪录片 和 电视剧 合并在一个目录里，由于我在存储的时候就已经分开，这里我也分开配置了。

媒体库的基础配置如下：

• 首选下载语言：Chinese

• 国家 / 地区：People's Republic of China

• 优先使用内置的标题而不是文件名：开启

• 启用实时监控：开启

• 自动添加到合集：开启

• 自动从互联网获取元数据并刷新：每 30 天

• 元数据存储方式：NFO

• 将媒体图像保存到媒体所在文件夹：开启

• 保存字幕到媒体所在文件夹：开启

除此之外，还需要额外再配置两个插件来完成 刮削 和 字幕下载 的功能

• Metashark

• MeiamSubtitles

想要拥有一面完美的 “海报墙”，光靠插件是不够的。文件的命名规范、目录结构以及 刮削的调教 都是一门玄学。

这部分内容实在太过于庞大（且充满了踩坑血泪史），所以我决定将其剥离出来，作为 HomeLab 系列的独立篇章。

今天，为了让大家先跑起来，我们只进行最基础的能用就行的配置。

先说两个插件的安装：

1. Step1：分别在 Plugin Repository 添加如下地址：

   • MetaShark（由国内加速地址和国外地址，大家按需选择）：
     • 国内加速地址：https://ghfast.top/https://github.com/cxfksword/jellyfin-plugin-metashark/releases/download/manifest/manifest_cn.json
     • 国外地址：https://github.com/cxfksword/jellyfin-plugin-metashark/releases/download/manifest/manifest.json
   • MeiamSubtitles：https://github.com/91270/MeiamSubtitles.Release/raw/main/Plugin/manifest-stable.json

2. Step2：安装插件 – MetaShark、MeiamSub.Thunder 和 MeiamSub.Shooter

3. Step3：重启 Jellyfin 服务

在媒体库中的配置就可以加入这两个插件相关的配置了：

• 字幕下载器勾选：MeiamSub.Thunder、MeiamSub.Shooter

• 元数据下载器和图片获取器勾选：MetaShark

¶ 转码配置

Jellyfin 支持多种解码方式，具体可参考 Jellyfin Transcoding 中的内容，我们这里简单说说配置。根据官方文档提供的内容，整理出如下的硬件加速方案，大家根据你们 Jellyfin 部署的平台进行选择。

这里还有一个概念，即 完全加速 和 部分加速。一个完整的转码过程包含多个阶段，我们的目标是让这些阶段全都使用 GPU 去完成，这样不仅节省了 CPU 的资源，同时也节省了 GPU 与 CPU 之间的数据交互（即 零拷贝），转码阶段参考如下：

1. 解码（Decode）：读取原视频

2. 处理（Scaling/Tone-mapping）：缩放分辨率、HDR 转 SDR 色彩映射

3. 编码（Encode）：压缩成目标格式

但是某些老的显卡只支持解码而不支持编码，这就是 部分加速。

说到这里，不得不提一下我那令人心碎的配置。

虽然我的 CPU i3-7300T 自带了相当不错的核显，本应在转码界大杀四方。但遗憾的是，当初为了追求 Server 级的稳定性，我选了 Supermicro X11SSL-F 主板。这块主板搭载的 Intel® C232 芯片组，极其高冷地屏蔽了核显功能。

所以，上述那些酷炫的硬件加速功能，我一个都用不了。每当我在外面看 4K 视频时，我的 CPU 都在机箱里默默流泪（疯狂满载）。大家装机时千万避坑！

¶Nginx 配置

如果需要使用域名进行访问，可以参考官网文档 – Nginx 配置

这一段配置比较长，如果你看着眼晕，可以直接 CV 大法（Copy & Paste）。

server {    listen 80;    listen [::]:80;    server_name jellyfin.skyhive.tech;    # Uncomment to redirect HTTP to HTTPS    return 301 https://$host$request_uri;}server {    listen 443 ssl http2;    listen [::]:443 ssl http2;    server_name jellyfin.skyhive.tech;#NGINX_START    ## The default `client_max_body_size` is 1M, this might not be enough for some posters, etc.    client_max_body_size 100M;    # use a variable to store the upstream proxy    # in this example we are using a hostname which is resolved via DNS    # (if you aren't using DNS remove the resolver line and change the variable to point to an IP address e.g `set $jellyfin 127.0.0.1`)    set $jellyfin <JELLYFIN_IP>;    resolver 127.0.0.1 valid=30;    ssl_certificate /etc/nginx/ssl/full.pem;    ssl_certificate_key /etc/nginx/ssl/key.pem;    #include /etc/letsencrypt/options-ssl-nginx.conf;    #ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;    add_header Strict-Transport-Security "max-age=31536000" always;    #ssl_trusted_certificate /etc/letsencrypt/live/DOMAIN_NAME/chain.pem;    #ssl_stapling on;    #ssl_stapling_verify on;    # Security / XSS Mitigation Headers    # NOTE: X-Frame-Options may cause issues with the webOS app    add_header X-Frame-Options "SAMEORIGIN";    add_header X-XSS-Protection "1; mode=block";    add_header X-Content-Type-Options "nosniff";    # Content Security Policy    # See: https://developer.mozilla.org/en-US/docs/Web/HTTP/CSP    # Enforces https content and restricts JS/CSS to origin    # External Javascript (such as cast_sender.js for Chromecast) must be whitelisted.    # NOTE: The default CSP headers may cause issues with the webOS app    #add_header Content-Security-Policy "default-src https: data: blob: http://image.tmdb.org; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' https://www.gstatic.com/cv/js/sender/v1/cast_sender.js https://www.gstatic.com/eureka/clank/95/cast_sender.js https://www.gstatic.com/eureka/clank/96/cast_sender.js https://www.gstatic.com/eureka/clank/97/cast_sender.js https://www.youtube.com blob:; worker-src 'self' blob:; connect-src 'self'; object-src 'none'; frame-ancestors 'self'";    location = / {        return 302 http://$host/web/;        #return 302 https://$host/web/;    }    location / {        # Proxy main Jellyfin traffic        proxy_pass http://$jellyfin:8096;        proxy_set_header Host $host;        proxy_set_header X-Real-IP $remote_addr;        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;        proxy_set_header X-Forwarded-Proto $scheme;        proxy_set_header X-Forwarded-Protocol $scheme;        proxy_set_header X-Forwarded-Host $http_host;        # Disable buffering when the nginx proxy gets very resource heavy upon streaming        proxy_buffering off;    }    # location block for /web - This is purely for aesthetics so /web/#!/ works instead of having to go to /web/index.html/#!/    location = /web/ {        # Proxy main Jellyfin traffic        proxy_pass http://$jellyfin:8096/web/index.html;        proxy_set_header Host $host;        proxy_set_header X-Real-IP $remote_addr;        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;        proxy_set_header X-Forwarded-Proto $scheme;        proxy_set_header X-Forwarded-Protocol $scheme;        proxy_set_header X-Forwarded-Host $http_host;    }    location /socket {        # Proxy Jellyfin Websockets traffic        proxy_pass http://$jellyfin:8096;        proxy_http_version 1.1;        proxy_set_header Upgrade $http_upgrade;        proxy_set_header Connection "upgrade";        proxy_set_header Host $host;        proxy_set_header X-Real-IP $remote_addr;        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;        proxy_set_header X-Forwarded-Proto $scheme;        proxy_set_header X-Forwarded-Protocol $scheme;        proxy_set_header X-Forwarded-Host $http_host;    }}

¶ 最后碎碎念

折腾 Jellyfin 的过程，其实就是不断满足自己收藏癖的过程。看着海报墙一点点填满，那种成就感或许只有 Homelab 玩家才懂。

那么家庭影音的部分肯定也不会就到此为止了，刮削才是重头戏，未来还会继续更新以下内容：

1. 从入门到入土：Jellyfin 完美刮削指南：教你如何整治那些乱七八糟的文件名。

2. Metashark 调教手册：让你的海报墙不再有 “缺如”。

3. 神秘的 九公斤 目录：教育资料如何刮削整理？

别急，后续慢慢更新 🤫。

¶ 选型

OpenVPN 是一个老牌的开源 VPN 系统了，中心化的网络要求你必须得有一个公网 IP 地址，如果没有 IP 地址的可以尝试使用 Zerotier 这种解决方案。

那么言归正传，OpenVPN 和 OpenVPN-AS(Access Server) 的部署在网上有很多，简单说下区别：

当然 OepnVPN-AS 在网上也有很多不要钱的方案，大家可以自行搜寻（但不鼓励），而 OpenVPN 本身也带有 auth 的功能，如果运用得当，在家庭环境下使用也是绰绰有余了。那么有没有一个可以集成 LDAP、自带 WebUI、还能对客户端 / 配置进行管理的开源项目呢？有的，兄弟，有的：GavinTan/openvpn，我只能说天底下还是好人多啊

这是个国人开源的项目，目前支持如下功能：

• 账号管理

• 证书管理

• IPv6 支持

• LDAP 支持

• MFA 支持

• 连接历史记录

• VPN 账号固定 IP

• 在线编辑 server.conf

• 在线重启 OpenVPN 服务

• 一键生成客户端 & CCD 配置文件

¶ 部署

详细安装文档请参考项目本身 README，这里仅讨论我家里环境所需要的配置。现在开始分析一下架构和需求：

• 需要使用 LDAP 管理用户，那么直接使用上篇文章部署好的 LLDAP

• 需要部署在 Docker 中，并且客户端可以访问家里的网络环境

简单画一下架构图

flowchart TB    A(🏠 家庭网络用户<br/>手机/电脑/平板)    B{🔒 OpenVPN<br/>GavinTan/openvpn}    C[(👥 LLDAP<br/>认证服务器)]    D[💾 NAS]    E[🖥️ App01</br> Confluence / immich]    F[🖥️ App02</br> Gitea]    G[📱 IoT设备]    H{🌍 远程VPN用户}    I(🔗 VPN网络<br/>10.8.0.0/24)    subgraph 家庭网络 192.168.2.0/24        A -.-> D & E & F & G        subgraph Infra Host            B --> C        end    end    subgraph Internet        H    end    subgraph OpenVPN 虚拟网络 10.8.0.0/24        I    end    H -->|1. VPN加密隧道| B    B -->|3. 访问内网服务| D    B -->|3. 访问内网服务| E    B -->|3. 访问内网服务| F    classDef infra fill:#66666666,stroke:#ffd700,stroke-width:2px,color:#ffd700;    classDef service fill:#228b2266,stroke:#32cd32,color:#90ee90;    classDef vpn fill:#4169e166,stroke:#6495ed,color:#87cefa;    classDef iot fill:#80808066,stroke:#a9a9a9,color:#c0c0c0;    classDef user fill:#9370db66,stroke:#ba55d3,color:#dda0dd;    classDef database fill:#8b451366,stroke:#daa520,color:#f4a460;    class B infra;    class C database;    class D,E,F service;    class G iot;    class H,I vpn;    class A user;

那么下面开始部署：

services:  openvpn:    image: yyxx/openvpn    cap_add:      - NET_ADMIN    ports:      - "1194:1194"      - "8833:8833" # Web UI 端口    environment:      - TZ=Asia/Shanghai      - ADMIN_USERNAME=admin      - ADMIN_PASSWORD=<ADMIN_PASSWORD>      - OVPN_PROTO=tcp      - OVPN_GATEWAY=false      - OVPN_LDAP_AUTH=true      - ENV_UPDATE_CONFIG=false      - LDAP_URL=ldap://<INTERNAL_IP>:3890      - LDAP_BASE_DN=ou=people,dc=skyhive,dc=com      - LDAP_BIND_USER_DN=UID=lldap,ou=people,dc=skyhive,dc=com      - LDAP_BIND_PASSWORD=*********      - LDAP_USER_GROUP_DN=cn=openvpn,ou=groups,dc=skyhive,dc=com    volumes:      - ./data:/data      - /etc/localtime:/etc/localtime:ro    networks:      openvpn_net:        ipv4_address: 192.168.200.2networks:  openvpn_net:    driver: bridge    ipam:      config:        - subnet: 192.168.200.0/24          gateway: 192.168.200.1

这里有几点需要注意：

1. 家庭网络使用 UDP 作为 VPN 的连接容易出问题，因此我这里改成了 TCP

2. 由于我需要修改 server.conf，因此将 ENV_UPDATE_CONFIG 配置为 false

3. LLDAP 中创建的 group 都在 ou=groups 下

4. 我特地将 OpenVPN Server 的容器网络固定在了 192.168.200.0/24，是为了方便后续配置其他东西

5. 默认的 VPN 网络为 10.8.0.0/24

## 先开启 openvpn 所在主机的路由转发sudo -iecho 'net.ipv4.ip_forward=1' >> /etc/sysctl.confsysctl -p## 配置 iptables# ⚠️ 将 eth0 替换为宿主机实际的 LAN 网卡名称！sudo iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE# 允许来自 VPN 子网的流量被转发sudo iptables -A FORWARD -s 10.8.0.0/24 -j ACCEPT# 允许目标是 VPN 子网的流量被转发 (用于 LAN 设备访问 VPN 客户端)sudo iptables -A FORWARD -d 10.8.0.0/24 -j ACCEPT

由于我们需要将 VPN 的网络 (10.8.0.0/24) 流量路由到家庭网络 (192.168.2.0)，因此需要在 server.conf 中增加一条路由推送的配置 push "route 192.168.2.0 255.255.255.0"。

至此，我们的部署就完成了。

¶ 配置

根据我们前面部署的配置，Web UI 的端口是 8833，通过浏览器访问登陆后，我们就可以开始进行配置了

首先需要新增一条客户端配置，右上角 管理 --> 客户端 进入客户端列表

点击右上角的 添加 按钮，开始添加配置

这里需要说明一下：

• VPNServer：这里需要填写你外网 IP / 域名和端口，因为你最终是需要从公网连过来的

• CCD 配置这里你可以配置 ifconfig-push 来固定客户端的 IP 地址，其他配置可以去查询文档自行决定

• 自定义配置可以添加 route <network> <netmask>，其他配置可以去查询文档自行决定

客户端配置添加完成后，我们在去添加账号和配置的映射关系，右上角 管理 --> VPN 账号 进入账号列表

注意，右下角有提示：已启用 LDAP 认证，本地 VPN 账号将不再工作！ 这里指的是添加后的账号认证由 LDAP 接管，本地不再进行认证，仅实现认证后的 VPN 配置匹配。

点击右上角 添加 按钮，开始添加账号

注意：

• 用户名：由于我们对接了 LDAP，这里要填写域账号（并且如果配置了 LDAP_USER_GROUP_DN 则需要填写该组中的用户）

• 密码：密码随便填，不生效的

• IP 地址：理论上可以固定 IP 地址，但是我测试过不生效，最后通过配置文件中 ifconfig-push 来实现固定了

至此，我们的配置就已经全部完成，现在使用配置好的域账号登录 Web 页面，可以看到如下界面：

可以在此处下载配置文件和客户端，进行客户端的连接，另外如果配置启用了 MFA，则可以在此处对 MFA 进行配置。

统一的用户管理在这一刻就显得很有必要，正常在企业中大多会使用 Microsoft Active Domain + SSO 作为统一管理用户的后端，但是在家里使用就显得太重了，调研了许久，最终采用 lldap + authelia 的方案。

¶ 方案介绍

LLDAP(Light LDAP implementation) 是一个开源的轻量级 LDAP 服务解决方案，同时也提供了一套简单的 Web UI 用于管理，非常适合家用，具体可以前往 Github 地址 自行了解。

Authelia 是一个轻量级的 SSO 服务解决方案，自带一个简单的 Web Portal，同时也提供 2FA 认证。这是作为 LLDAP 补充的解决方案，毕竟不是所有系统都天然支持 LDAP 协议，有些仅支持 SSO 的系统就需要使用 Authelia 了，Authelia支持 LDAP 作为认证后端，因此 LLDAP 和 Authelia 就成了绝佳的搭配。

下面是 Deepseek 画的架构图，仅供参考 👇

graph TB    %% 用户访问层    User[用户]    %% 应用系统层    App1[支持 LDAP 的应用<br/>e.g. Confluence, Jellyfin]    App2[仅支持 SSO 的应用<br/>e.g. Cloudreve, Immich]    App3[其他支持 LDAP 的系统<br/>e.g. VPN, 文件服务器]    %% Authelia 内部组件    subgraph Authelia["Authelia - SSO 服务"]        A_Portal[Web Portal<br/>登录界面]        A_Auth[认证引擎]        A_2FA[2FA 模块<br/>TOTP/WebAuthn]        A_Session[会话管理]        A_SSO[SSO 协议处理<br/>OIDC/OAuth2]    end    %% LLDAP 服务    LLDAP[LLDAP<br/>轻量级 LDAP 服务]    LLDAP_UI[Web UI 管理界面]    %% 数据存储层    UserDB[(用户数据库)]    %% 连接关系    User --> App1    User --> App2    User --> App3    %% LDAP 认证流    App1 -->|LDAP 绑定/认证| LLDAP    App3 -->|LDAP 协议| LLDAP    %% SSO 认证流    App2 -->|重定向到 SSO| A_Portal    A_Portal --> A_Auth    A_Auth -->|LDAP 验证| LLDAP    A_Auth --> A_2FA    A_2FA --> A_Session    A_Session --> A_SSO    A_SSO -->|返回令牌| App2    %% 管理关系    LLDAP_UI -->|用户管理| LLDAP    LLDAP -->|读写数据| UserDB    %% 深色模式友好的样式定义    classDef user fill:#1e3a5f,stroke:#4fc3f7,stroke-width:2px,color:#ffffff    classDef app fill:#4527a0,stroke:#b388ff,stroke-width:2px,color:#ffffff    classDef service fill:#1b5e20,stroke:#69f0ae,stroke-width:2px,color:#ffffff    classDef component fill:#37474f,stroke:#ffd54f,stroke-width:1px,color:#ffffff    classDef storage fill:#bf360c,stroke:#ffab91,stroke-width:2px,color:#ffffff    class User user    class App1,App2,App3 app    class Authelia,LLDAP service    class A_Portal,A_Auth,A_2FA,A_Session,A_SSO,LLDAP_UI component    class UserDB storage

¶ 部署

¶LLDAP

LLDAP 部署在容器化上做的很好，除了提供 Docker Compose 外，还有第三方提供的 K8s 的部署方式（yaml 和 helm 都有），K8s 的部署文档可参考：LLDAP Kubernetes

这里我们简单说下 Docker Compose 的部署，详细内容可参考 LLDAP Installation

version: "3"volumes:  lldap_data:    driver: localservices:  lldap:    image: lldap/lldap:stable    ports:      # For LDAP, not recommended to expose, see Usage section.      - "3890:3890"      # For LDAPS (LDAP Over SSL), enable port if LLDAP_LDAPS_OPTIONS__ENABLED set true, look env below      #- "6360:6360"      # For the web front-end      - "17170:17170"    volumes:      - "lldap_data:/data"      # 或者你可以写成下面的方式，将 data 挂载到当前目录的 lldap_data      #- "$PWD/lldap_data:/data"    environment:      - TZ=Asia/Shanghai      - LLDAP_JWT_SECRET='<JWT_SECRET>'      - LLDAP_KEY_SEED='<KEY_SEED>'      - LLDAP_LDAP_BASE_DN=dc=skyhive,dc=com      - LLDAP_LDAP_USER_PASS=<ADMIN_PASSWORD>

一些说明：

• ports

  • 3890：默认的 ldap 端口，即不含 ssl 加密
  • 6360：ldaps（ldap over ssl），开启需要同时设置 env LLDAP_LDAPS_OPTIONS__ENABLED=true
  • 1710：web ui 端口

• env:

  • LLDAP_JWT_SECRET：可以使用项目根目录中 generate_secrets.sh 生成
  • LLDAP_KEY_SEED：可以使用项目根目录中 generate_secrets.sh 生成
  • LLDAP_LDAP_BASE_DN：LDAP BASE Domain，一般和你的网站域名区分开来
  • LLDAP_LDAP_USER_PASS：管理员密码

另外 LLDAP 默认将数据存储在 sqlite 中，如果需要使用 MySQL 或者 Postgresql 作为后端数据库，则需要配置如下 env：

• LLDAP_DATABASE_URL=mysql://mysql-user:password@mysql-server/my-database

• LLDAP_DATABASE_URL=postgres://postgres-user:password@postgres-server/my-database

¶Authelia

相较于 LLDAP，Authelia 的部署就显得复杂了许多，和 LLDAP 一样，Authelia 也提供了 Docker Compose 和 K8s 的部署方式，具体可以参考官方文档 – Authelia Installation

另外官方文档里说了，强烈建议在部署前先看一遍 Get Started，这里主要是一些 Bootstrap 的内容，对于各位理解部署的架构和依赖会有一些帮助

如果你是部署一套全新可用的 Authelia 的话，直接参考 examples/compose/production/compose.yml 就可以，我这里需要复用已有的 nginx 来代替官方 compose 中的 traefik，关于这部分在官方文档中亦有说明 – Proxy With Nginx

最后我调整过的 compose 如下

services:  authelia:    container_name: "authelia"    image: "docker.io/authelia/authelia:latest"    restart: "unless-stopped"    ports:      - 9091:9091    networks:      authelia: {}    environment:      TZ: "Asia/Shanghai"    volumes:      - "${PWD}/config:/config"      - "${PWD}/data:/data"  redis:    image: "redis:alpine"    container_name: "redis"    volumes:      - "./redis:/data"    networks:      authelia: {}    restart: "unless-stopped"    environment:      TZ: "Asia/Shanghai"networks:  authelia:

config/configuration.yml 文件内容如下：

---################################################################                   Authelia configuration                    ################################################################server:  address: "tcp://:9091"  endpoints:    authz:      auth-request:        implementation: "AuthRequest"log:  level: "debug"totp:  issuer: "authelia.com"identity_validation:  reset_password:    jwt_secret: "AqU4EmS3IDBEDLcK*****************ZIqIHdPYiMwF1LY8OYRr"# duo_api:#  hostname: api-123456789.example.com#  integration_key: ABCDEF#  # This secret can also be set using the env variables AUTHELIA_DUO_API_SECRET_KEY_FILE#  secret_key: 1234567890abcdefghifjklauthentication_backend:  #  file:  #    path: '/config/users_database.yml'  #  ldap: # 上面部署的 lldap 配置    implementation: "lldap"    address: "ldap://<INTERNAL_IP>:3890"    base_dn: "dc=skyhive,dc=com"    user: "UID=lldap,ou=people,dc=skyhive,dc=com"    password: "<LDAP_PASSWORD>"access_control:  default_policy: "deny"  rules:    # Rules applied to everyone    - domain: "*.skyhive.tech"      policy: "bypass"session:  # This secret can also be set using the env variables AUTHELIA_SESSION_SECRET_FILE  secret: "<SESSION_SECRET>"  cookies:    - name: "authelia_session"      domain: "skyhive.tech" # Should match whatever your root protected domain is      authelia_url: "https://auth.skyhive.tech" # authelia sso 地址      default_redirection_url: "https://confluence.skyhive.tech" # 这里是当你直接登录 auth.skyhive.tech 后跳转的网站页面      expiration: "1 hour"      inactivity: "5 minutes"  redis:    host: "redis"    port: 6379    # This secret can also be set using the env variables AUTHELIA_SESSION_REDIS_PASSWORD_FILE    # password: autheliaregulation:  max_retries: 3  find_time: "2 minutes"  ban_time: "5 minutes"storage:  encryption_key: "d4yohU2v2fzwIoObdGY1****************L5wbgMT227XvmJad1z"  local:    path: "/data/db.sqlite3"notifier:  filesystem:    filename: "/config/notification.txt"

如果你没有对接认证后端的话，可以使用本地账户，用 config/users_database.yml 来进行声明用户配置（同时要在上述 configuration.yml 中配置 authentication_backend 为 file，详见：First Factor），users 的配置参考如下：

users:  authelia:    disabled: false    displayname: 'Authelia User'    # Password is authelia    password: '$6$rounds=50000$BpLnfgDsc2WD8F2q$Zis.ixdg9s/UOJYrs56b5QEZFiZECu0qZVNsIYxBaNJ7ucIL.nlxVCT5tqh8KHG8X4tlwCFm5r6NTOZZ5qRFN/    email: 'authelia@authelia.com'    groups:      - 'admins'      - 'dev'

最后就是 nginx 的配置

server {  listen         443 ssl http2;  server_name    auth.skyhive.tech;  access_log  /var/log/nginx/auth.skyhive.tech_access.log;  error_log   /var/log/nginx/auth.skyhive.tech_error.log;  ssl_certificate /etc/nginx/ssl/full.pem;  ssl_certificate_key /etc/nginx/ssl/key.pem;  ssl_protocols        TLSv1 TLSv1.1 TLSv1.2;  ssl_ciphers          ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;  ssl_prefer_server_ciphers  on;  ssl_session_cache    shared:SSL:10m;  ssl_session_timeout  10m;  add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;  set $upstream http://<INTERNAL_IP>:9091;  location / {      include /etc/nginx/snippets/proxy.conf;      proxy_pass $upstream;  }#  location = /api/verify {#      proxy_pass $upstream;#  }##  location /api/authz/ {#      proxy_pass $upstream;#  }}server {  listen         80;  server_name    auth.skyhive.tech;  return 301 https://$host$request_uri;}

此处 server_name 就是前面在 configuration.yaml 中配置的 authelia_url 的域名。至此整个初始化的流程就全部走完了，后续就是应用去对接 LDAP 或者 OIDC 了 ~

2023 年 12 月我们第一次前往槟城，但当时不吃榴莲；2024 年 8 月底我们第二次前往槟城，但当时榴莲季已经到了尾声，已经吃不到什么本地的品种，并且两个人的战力实在太弱。

然而 2025 年，我们提前半年订好机票，计划在 7.11-7.15 前往槟城品鉴榴莲，没想到，人算不如天算，槟城的榴莲季却提前了半个月进入尾声，很多果园的果子在 7.10 就掉的差不多了。尽管如此，我们还是吃上了二十五个榴莲品种！！！

¶ 清单

¶ 交通

由于去年从槟城回杭州的时候飞机延误赔付了 4 张 150 元的机票券，对于 2025 年榴莲季的行程，我提前了半年就开始进行规划。最终在 2024-12-19 遇上亚航周年大促，再叠加之前赔付的机票券，得到如下的交通计划

由于去年没有按照计划前往怡保，这次特地把怡保安排上了~

BUTTERWORTH 前往 GEORGE TOWN 需要乘坐轮渡，具体可以参考前面一篇文章 – 槟城旅行指北

¶ 住宿

¶ 行李物品

由于是亚航航班，我们没有购买行李额，因此需要将随身行李控制在人均 7kg 内，有了去年的经验，今年对于行李的把控更加得心应手了。由于是背包出行，我们一共带了三个包，分别是 迪卡侬 MH100 20L 和 Naturehike 25L 用作行李背负，一个小米赠送的小包用于日常出行携带。

详细的花费清单放在文章末尾了

¶ 榴莲指南

¶ 怡保

由于出发前一天我不幸被肠胃炎找上门，到怡保的时候还是上吐下泻的状态，因此也只去了一家榴莲档口 – 新兴水果店

¶Sin Heng Fruit Shop

地址：314, Jalan Gunung Rapat, Taman Rapat Setia, 31350 Ipoh, Perak

来怡保肯定要尝一口怡保的冠军榴莲（全国榴莲大赛） – 五指果，这是一个几十年前从泰国嫁接过来的品种，长得很像金枕，但是他发酵后的风味比金枕更加突出。那么在怡保吃五指果，还是得来网红打卡点 – 新兴水果店。尽管是网红店，但不少本地人也会去这家店购买 / 批发水果，我们为了这口五指果也慕名而来。

这颗五指果售价 RM35/kg，花费 RM76，果形饱满，大五房，可以说是性价比拉满了。这颗果子看上去像是一颗标准的干包金枕，但实际上咬下去完全就是冰淇淋的口感，还是那种非常细腻的冰淇淋，一点纤维感都没有。味道是那种发酵到极致的榴莲风味，甜但不腻，有微微的酒香并且带一丝丝苦的回味。

然而让我没想到的是这颗果子有两房非常的苦，只有一丝丝的回甘，吃进嘴里发现舌头直接麻掉了，真的非常上头，真的是让人又惊又喜。

注：这里的苦不是榴莲坏掉了，而是糖分发酵后的产物，是榴莲风味的一部分。由于大马的榴莲是树熟，因此很多品种榴莲都会发酵出苦味，这属于正常情况，另外老树榴莲也更容易发酵出苦味。

当然这家店除了五指果也有其他的名种，例如猫山王、黑刺、红虾等，但既然来了怡保，我还是更建议尝一尝五指果和本地的甘榜，毕竟名种在其他地方也都能吃到。

¶ 槟城

吃榴莲怎么能不来槟城，不仅要在市里的榴莲档口吃，还要去山上的榴莲庄园里吃！

¶Uncle Durain

榴莲叔叔的档口在 George Town 壁画街附近的小巷子，可以导航至 大树下海鲜饭店 寻得，两个月后会有新店示人~

榴莲叔叔自身有园子，他们的果子大多是共给山下的摊贩档口的，自己也会留一部分果子卖给粉丝，粉丝可以提前一天在微信群里预定。由于是自家的果子，没有中间商赚差价，所以叔叔家的价格相对来说比较公道，而且果子也都是一大早夫妻二人去山上捡回来的，保证足够新鲜。

我们从怡保赶到槟城的当天就来叔叔的档口吃了一顿榴莲，一共开了五粒，分别是：

• 葫芦：我们吃的这一颗树龄比较新，味道是纯甜的那种

• 小苹果：白肉，带一点花香的清甜，回味带一点点苦

• 林凤娇：6 房林凤娇！！这是一颗不知道多少年的老树，靠近屁股的位置非常苦，入口直接给我舌头麻掉了，当然也有两房是纯甜的，没有一丝苦味，而且甜味也很特别，带一点花蜜香

• 猫山王：老树猫，苦味居多，中规中矩，也可能是前面林凤娇给我麻痹了，后面吃猫就没啥感觉了

• 小品种：印象不深了，注意力全在林凤娇身上

我们离开槟城的最后一天又去了一趟叔叔家，本来向蹭一下山竹（粉丝预定福利），没曾想当天山竹没掉下来，我们只开了四粒榴莲，分别是：

• 奶油王：颜色很好看，入口确实和奶油一样，也是甜味为主

• 蜈蚣：颜色和果肉形状都很好看，有咖啡味，很耐吃，喜欢

• 上头：金枕 Pro Max，口感比金枕高级，入口即化，纤维感少，味道是金枕发酵多一些的那种感觉

• 甘榜：这颗甘榜也是老树，苦甜苦甜的，很耐吃，当然有一房纯苦，苦到麻舌头

¶Nature Fruit Farm Resort

地址：311 mk 7, Kampung Genting, 11000 Balik Pulau, Penang, Malaysia
留连轩是大马华人自己经营的民俗度假村，他们有自己传承的榴莲园，大部分共给前来住宿和吃榴莲的游客，可以在添加小园主微信或者在官网预定

本来没有打算前往榴莲庄园的打算，但是三月在小红书上看到有相关的帖子，没感觉在榴莲庄园住一晚很有意思，不仅可以吃到新鲜掉落的果子还能爬山参观园子里的榴莲树。对比来对比去，发现留连轩的性价比还是很高的，不仅榴莲品种丰富，民宿也是保留了老建筑的特色，最终联系老板定了一晚住宿~

第一天凭我一己之力召集了九位小伙伴，大家坐在一起开了十一粒榴莲，也算是非常壮观了：

• 猫山王 * 2：及格的猫山王水准，只吃到两口，印象不深，不太好评价

• 黑刺 * 2：有一粒很好吃，不管是苦味还是甜味都很有层次，口感属于标准的入口粘喉，另外一颗就比较一般

• 白玉珍珠（甲比利）：好吃！！入口先甜再苦，但是不会苦到难以接受，苦的很高级，很好吃（不太会形容了）

• 红虾：甜！很甜！糯！粘！

• 雪山：白肉老树，苦后回一点点甘，苦味能接受

• 青龙 / 青皮：糯，甜中带一丝酒味

• 山大王：靠近屁股的位置很苦，甜味不明显，但是靠近柄的位置就很好吃，苦后回甘，整体口感软糯，也是可以嗦的榴莲

• 念念 * 2：这个好吃！甜味多一些，但榴莲风味也很明显，和它的名字一样，吃完让人念念不忘

第二天早饭后，我们剩下的六位住客又开了五粒榴莲：

• 龙虾：和红虾不一样，这个入口没有那么甜，口感依然是绵密粘喉的，并且带有一丝微苦（有小伙伴说吃起来还有一丝龙虾的海鲜味，反正我是没吃出来~）

• D11：白肉，这个也有一股淡淡的咖啡味，很好吃！

• 仙桃：这个很甜，带着花蜜的那种甜味，也好吃的！也有小伙伴在仙桃上吃出了咖啡味~

• 松鼠：这个有淡淡的酒香，甜味 + 榴莲风味，很好吃，像树熟金枕

• 338：入口很绵密，带有一丝丝苦味，然后就是甜味

既然来到榴莲庄园，那肯定不能只逞口舌之快，不走一走山路，参观一下榴莲树怎么对得起这一趟行程呢。我们三个房间的住客随即叫上了庄园的向导 – Bobu，带着我们上山了！

没错，他就是 Bobu 👇

山路都是铺好的水泥路，沿着走就完事了，路两边除了有榴莲树之外还有很多其他的热带水果，如 豆蔻、红毛丹、榴莲蜜 等。跟着 Bobu 走到来到了榴莲园的顶端，看到了留连轩的百年老树，偶然发现地上的草丛里有一颗榴莲。我们一致认为这颗榴莲与我们有缘，便掏出钥匙将他打开了，没想到味道还不错，不输下午吃过的。

免责声明：我们只是拿了路牌拍了照片，拍完后路牌也还原了，并没有干伤天害理的事情~

吃完这颗榴莲，我们继续寻找日落观测点，没想到又捡到两颗榴莲，一颗屁股上带有六角星，我们觉得大概率是颗猫山王，便带着捡来的留恋来到了日落观测点，也是庄园的一处房屋。刚好厨房里有刀，我们欣赏完日落便火速将这两颗榴莲打开来了，这颗六角星不是猫山王，但也很好吃，和下午吃的雪山一样是白肉微苦，而另外一颗大概率是红虾，甜甜的还带着花蜜香。

¶ 槟城榴莲档口

虽然我们这次在槟城只吃了两家，但是其他的一些榴莲档口也是可以给大家推荐一下:

• 郑法俊：老牌榴莲档口，网络上久负盛名，也是自家的果园，今年 7.10 果子掉光就没有去了

• 俊华：白玉珍珠一绝，比其他的档口和果园都贵，但是据说也是贵有贵的道理

• 松鼠標：网络上久负盛名，可以从市区坐 502 公交到 Anjung Indah I 站下车，对面就是

• 双海榴莲：靠近机场，双海的红虾不仅是老树，而且还拿了榴莲大赛的冠军

• 钟张：都是土种，吃够了名种可以去尝尝不一样的口味

• 榴莲天下：去年在这里吃过一粒黑金和一粒黑刺，都很不错，今年换了店面也变得网红起来，大家自己辨别哈

¶ 其他美食

槟城作为马来西亚米其林推荐最多的城市，美食自然也是少不了的，在槟城旅行指北中也没少推荐，这里就说一说之前没说过的部分吧

¶ 写在最后

槟城这座城市真的很 chill，无论是吃榴莲还是逛逛逛，都让人觉得无比放松。这次到的时候已经进入榴莲季尾季了，明年得六月底来才能吃到足够多的品种，还得再住一次榴莲山，吃更多的榴莲档口！

事情源于三月初和朋友的一场烤肉局，大家在极度 chill 的状态下讨论想要去出去玩的地点，最后一拍即合，在新疆、川西、青甘这几个选项中选择了青甘大环线。一周后，大家以极高的执行力定下了往返的机票，至此，车门半焊死，谁都不许下车！！

¶ 清单

¶ 交通

作为打工的牛马，既要考虑机票的性价比，又要考虑假期时长，我们最终把时间定在了2025-05-01 ~ 2025-05-07的杭州 - 兰州往返机票。去程机票是 05.01 下午五点落地兰州，返程机票是 05.07 早上七点飞回杭州，因此，我们大环线真正有效的时间是 05.02-05.06 五整天，属于是特种兵旅行了 (打工人就是这样的)。

虽然五一期间不是青甘环线的旅游旺季，但为了避开人流，我们还是计划逆时针完成大环线，具体线路可见下图 👇

由于从兰州出发路途遥远，时间紧任务重，为了能够有更好的游玩体验，我们安排了兰州往返西宁的高铁，最终大环线自驾的起止点定在了西宁。自西宁起，途径祁连山大草原 - 张掖 - 酒泉 - 敦煌 - 黑独山 - 水上雅丹 - 大柴旦 - 茶卡 - 青海湖等地，共计2600KM。

¶ 住宿

¶ 行李物品

¶ 游记

思来想去，还是流水账的形式最适合记录青甘大环线，毕竟最美的景都在路上 ~

¶Day1 兰州

中川国际机场，海拔 1947m，这个海拔理论上并不会产生高反，毕竟兰州市常住人口也有 450万人，然而落地后我却感到有些恶心和头疼，或许是因为飞机在降落前经历了一段气流颠簸。看着机场里跑来跑去的小朋友，对比之下，我确信我已经产生轻微的高反了😫。

中川机场是兰州的新区，而我们入住的酒店在兰州西站，位于兰州市中心。由于没有地铁直达，我们只能乘坐城际列车或动车前往，但价格便宜，票价￥20，耗时40min。

西北的天黑得晚，晚上六点半时阳光依然强烈，不戴墨镜几乎睁不开眼。

办理完入住后，我们骑自行车前往步行街填饱肚子。虽然已经快八点了，但天色才刚刚暗下来，正是吃晚饭的好时候。

酒足饭饱之后我们又骑着共享单车回到了酒店，虽然城区的海拔已经降到了 1500m，但是我依然有轻微的高反 —— 后脑勺疼得厉害，并且心率明显有升高，再加上兰州这里空气湿度着实有些低，让我鼻子干的难受，这一夜可以说几乎没有有效睡眠了。

¶Day2 西宁 - 酒泉

由于酒店送站服务都是半点出发，我们五点半就在大堂集合了😴。本来睡得就不好，还要起这么早，在高铁上的一个小时几乎都用来补觉了💤。

西宁市，青海省省会，平均海拔 2275m，大陆性高原半干旱气候。尽管海拔比兰州要高，但此时的我并没有前一天那么难受了，睡了一觉身体确实得到一些恢复。在西宁站取了车后，我们一行人先在西宁吃了一顿早饭，然后去超市和药店采购了一批可能必须的物资就朝着祁连山大草原进发了！！

一路上看到雪山离我们越来越近，一车人的心也逐渐躁动起来，请原谅我们这些常年生活在接近海平面的城市的打工人，第一次见到雪山确实激动到不能自已。

下了高速后，我们发现国道两侧都是草原，还有一些牧民的帐篷和经幡，看上去像是农家乐。我们找了一处规模较大、停着不少车的牧民草场，打算停下来拍一拍照。原以为牧民会来找我们收费或者强制我们消费，但人家告诉我们，这里不收钱，随便拍，并且认真的告诉了我们哪些项目收费，哪些不收费，甚至收费项目也和我们说明了价格（什么叫民风淳朴啊~）。

拍完照时间已经来到了下午一点，我们就在牧民家里解决了午饭。我们也算是运气好，他们刚开业，今天在宴请族里的长辈 (回族)，他们同样按照宴请的标准为我们准备了午餐，人均￥35

离开草原没过几分钟就来到了岗什卡雪峰的景区大门，我们在大门口打卡了游客照就匆匆离开了，一方面是因为这里海拔已经来到了 3200m，另外一方面我们还要在七点前赶上七彩丹霞 (约三个小时车程)，此时已经下午两点半了。

导航线路当时看起来没有什么问题，在进入国道前的最后一个服务区，我蹲在海拔 3333m 的厕所拉屎已经感觉到明显头晕了，喝了几口水后，仍然自信地换下了开了一上午车的同伴，然而此时的我还不知道即将发生什么。离开鹅堡服务区，沿着张汶高速行驶了一段路程后，由于高速改道 / 修路，我们被迫下了高速从而行驶上了国道 G227。沿着 G227 开了十几分钟，我们来到一个小镇，如果没有猜错应该就是鹅堡镇了 (此时海拔已经来到了 3400m)。

跟着缺德地图的导航，我们离开小镇开上了盘山公路，随着海拔不断的升高，雪山逐渐在我们面前露出真容。直到我们看到一块写着海拔 3700m 的牌子，我才感觉胸闷的有些喘不过气。深吸了几口气后，我还是得集中精神，毕竟开着盘山路还要时不时看准机会在双向单车道进行超车，危险程度还是不低的。大概开了半个多小时，我们离开了雪山，来到类似峡谷的地带，周围的高山带着水汽向我们逐渐显现他的郁郁葱葱，这种地貌的变换真的神奇，奈何大家都是第一次见到这种奇观，都忘记了拍照没能记录下来。

又过了将近半个小时，周围地貌逐渐沙化，我们也重新来到了张汶高速。因为是逆时针环线，路上车辆稀少，油门踩得飞起，之前在山上丢掉的时间，最终在高速上补了回来。我们终于在六点前赶到了张掖七彩丹霞景区

这里图 1 是 P 过的，后面三张是原图直出，所以要想有好看的照片要么遇到好天气，要么就得 P 图

七彩丹霞景区内分为很多个观景台，各个观景台之间离的很远，需要乘坐班车前往，我们基本在每个观景台都逗留了十几二十分钟 (部分观景台需要步行爬升，比较费时)。丹霞地貌很是神奇，但是雨后晴天的丹霞会更加好看 (可明显提高对比度)，因此这也是一个比较吃天气的景区，当然天气不够好的话，带上墨镜 / 偏光镜也能得到不错的效果 (减少曝光)。

由于晚上需要再赶 192KM 的路程到酒泉住宿，因此我们直接在七彩丹霞景区外解决了晚饭，总体不是很推荐，性价比不高，人均 ￥55

¶Day3 酒泉 - 敦煌

由于莫高窟最晚需要 14:30 之前进入，并且游览全程约需 2 小时以上，因此我们早上八点就从酒泉出发了，狂奔了 400KM 后，于 12:30 抵达敦煌。先在 靖远羊羔肉 解决了午饭 (我们吃的比较奢侈，人均 ￥77)，然后马不停蹄地赶到了莫高窟。

莫高窟，坐落于河西走廊的西部尽头的敦煌。它的开凿从十六国时期至元代，前后延续约 1000 年。莫高窟现有洞窟 735 个，保存壁画 4.5 万多平方米，彩塑 2400 余尊，唐宋木构窟檐 5 座，是中国石窟艺术发展演变的一个缩影，在石窟艺术中享有崇高的历史地位。

由于窟内不允许拍照，这里就不放图了，大家可以自行在网上获取资料。我们购买的是￥238的全价票（即 A 类票），该票型中包含了如下内容：

• 8 个实体洞窟 + 1 个特窟的游览和讲解（貌似淡季没有特窟）

• 两场数字电影，一场讲历史，一场讲解部分洞窟的内容

• 往返莫高窟的大巴 (是的，莫高窟景区距离游客中心有二十分钟车程)

从莫高窟出来已经下午五点了，我们直奔酒店，计划将前两天的衣服洗掉后直接去鸣沙山 (当天有周深演唱会的彩排)，没想到刚从房间出来就碰到酒店服务员通知我们紧闭门窗，因为沙尘暴就要来了！！

是的，我们在敦煌遇到了今年以来最大的沙尘暴！！(图一到图二差不多相隔了二十分钟，能见度变得非常低了)

我们在酒店从六点半等到了八点半，沙尘逐渐变小之后才出门觅食，兜了一圈之后，我们去了一条出租车司机推荐的美食街 (主要是想去的网红店排队太多了)。研究了五分钟的大众点评，最后选择了相约河边边，吃了烧烤 + 特色菜，人均花费￥70

饭后我们又逛到了瓜州夜市消消食，但走到一半开始下起了雨，便以极快的速度走完了瓜州夜市，打车回了酒店

是的，我们在敦煌遇到今年最大的沙尘暴后又遇到了今年最大的暴雨！！

¶Day4 敦煌 - 黑独山 - 水上雅丹

今天的行程非常赶，所以我们一大早便加满油出发前往黑独山。由于敦煌海拔只有 1100m，我前一天睡得很好，因此自告奋勇担任了第一棒司机。开上柳格高速时，收费站的工作人员嘱咐我们要在阿克塞南收费站下高速，因为昨天的沙尘暴 + 暴雨，隧道现在在抢修。

沿着柳格高速开了一段路程后，沙漠地貌不知何时消失了，取而代之的是连绵的雪山！在下高速前我们很默契的进入了最后一个服务区 - 阿克塞服务区，由于该服务区能够看到非常震撼的雪山景，大家也都不约而同的开始给家里打视频电话。

离开服务区后，我们沿着 G215 国道向黑独山进发。本来打算在国道换下给新手司机练手的，没想到海拔开始不断攀升，并且前方的车也多了起来。直到我们看到导航红得发紫以及前方排着无数辆大货后，才发现事情并不简单。一车面包人随即掏出导航研究了起来，最终得出结论 - 我们需要跟着前后这一堆大小车一点点的从当金山口翻越阿尔金山脉，黑独山就在阿尔金山脉的另外一边。

经过不断的借道超车，我们也终于来到了山顶，再次回到了海拔近 3700m 的高度，看到近在咫尺的雪山顶，我的胸口也变得有些发闷。前后大货加上雪地湿滑，每次借道超车都会让整车人提心吊胆，好在都是有惊无险，我们最终也成功的翻越了阿尔金山脉。

离开雪山后，我们沿着 G215 来到了一个加油站，补了点油之后，我们顺便上了个厕所，体验了一把大西北特色的 "原生态厕所"—— 走出加油站后门，眼前是一片 "自由飞翔" 的土地（满地是💩）
换了司机后我们沿着 G215 继续向黑独山进发，路上途径大小苏干湖，因其景色确实迷人，我们忍不住停车打卡 (果然最美的景色都在路上)

苏干湖也称大苏干湖，位于中国青海省茫崖市冷湖镇与甘肃省酒泉市阿克塞哈萨克族自治县交界处，为哈尔腾盆地最低处，是甘肃境内最大的内陆湖

直到下午两点半，我们终于赶到了黑独山 (是的，午饭直接在车上吃了些饼干解决)。都说黑独山是无人区，进了景区之后我们只看到停车场停满了车，以及乌泱泱的人群~

黑独山，又名黑山戈壁，赛什腾山组分部分，属祁连山脉西段支脉，位于青海省茫崖市冷湖镇区东北方向 10 余公里。黑独山因其山包被黑色砂石覆盖，在黄褐色的荒漠戈壁中尤为突出，被称为 “地球上最像月球的地方” 。另外邓紫棋的《GLORIA》 MV 就取景自黑独山。

由于时间关系，我们只是在外围感受了一下网友对黑独山独特的评论 – 风大，风很大，并且在小山丘上打了个卡，逗留了半小时就重新出发赶往水上雅丹了。

沿着 G215 我们顺路去了一趟 中国工商银行石油小镇遗址 打卡，因为比较急，甚至没有放一下飞机看看这个小镇的全貌

冷湖镇，位于青海省海西蒙古族藏族自治州茫崖市。这里曾是全国重要的石油生产基地，却因为资源枯竭陷入衰落。如今，天文观测基地建设正酣，火星研学游、冷湖科幻征文等活动先后推出，蝶变后的冷湖重新回到大众的视野中。

离开石油小镇后，我们又开了近两个小时，来到了一处旱厕解决一下当务之急。没想到在旱厕边上有个小摊在卖零食饮料，摆摊的是几个东北大哥，和他们聊了聊才知道，他们是做穿越无人区生意的，他们开车带你穿越无人区赚取费用 (全世界都是在做生意的东北人，无人区也不例外)。没错，我们现在就已经位处于 南八仙魔鬼城 了，往后的路就都是雅丹地貌了。

1955 年，八位来自南方的女地质队员，为寻找石油资源来到大柴旦和冷湖之间的一片蚀土林群。一次她们在迷宫般的残丘中跋涉测量，谁料铺天盖地的沙尘暴迅速笼罩了荒漠。由于岩土富含铁质，地磁强大，罗盘失灵，仅有的标志也被掩埋。她们在被称作 "魔鬼城" 的地形中迷失了方向。当寻找队员发现她们时，她们已长眠在这亘古的荒原中。地以人名而生，为纪念八位光荣的女地质队员，在她们牺牲的地方被称作 "南八仙"。

其实在前往水上雅丹的路上，我们已经和自己和解了，不再赶19:30这个入园时间点 (因为发现怎么也赶不上)，而且这一路上全都是雅丹地貌，我们只要脑补将地上的沙子换成水，那不就是水上雅丹了 (bushi)。我们最终也是在晚上八点前赶到了水上雅丹，我们直接在景区外的停车场飞了一下无人机，拍了大概一分钟的视频后就直奔酒店了 (立省人均￥100门票)。

其实常规的环线中很少住在水上雅丹附近的，大部分的行程都是住在 大柴旦 或者 格尔木市，而我们因为赶时间，几乎没有回头路的行程，因此今天只能住在水上雅丹附近的酒店。之前定酒店的时候一直在吐槽这里的酒店贵，直到我们向酒店前台要感冒 / 退烧药的时候，人家给的答复是: 我们这里没有卫生所，药品这些物资需要到距离这里 100 公里的格尔木市采购。

今晚在酒店附近的超市二楼解决了晚饭，这附近停满了重型卡车，因此这些饭店也主要是供给重卡司机的，所以餐食的口味还是有一定保证的

¶Day5 大柴旦 - 茶卡

依旧是第二天一大早出发，我们直奔 U 型公路打卡。没想到都 5.5 日了，这里竟然还有这么多人，我们在路边找了个位置停车后，根本找不到好的拍照点，感觉网图要么是无人机，要么是找到一个合适的时间在路中间拍摄的。由于当时风大的不行，以及时间关系，我们并没有放飞无人机，草草的拍了两张照片就离开了。

盐湖第一站 - 小柴旦湖，大家去的时候建议导航至 小柴达木湖观景点，这里可以翻过铁丝网走到湖边拍照，但是风很大，老一点的无人机根本飞不起来。而且从铁丝网走到湖边非常远，走一个来回可能需要十几分钟，我们因为赶时间并没有走到湖边。

从小柴旦湖驱车 1h 就能到 大柴旦翡翠湖景区，老老实实买票进入，坐小火车达到各个观景点就可以拍拍拍了~

这里还要安利一家很好吃的店 - 顶顶牛，我们五个人点了两个锅，还有一堆小吃，人均花费了 ￥93，总体来说性价比还算可以，味道也很不错，走的时候还单独打包了一份青稞饼和甜胚子奶茶。

离开大柴旦就是长达 4.5h 的车程，中途换了两个司机 (让新手司机感受了一下可以随便踩死油门的国道和高速的魅力)，等到了茶卡镇已经是晚上八点了。虽然茶卡镇规模不大、人口不多，但我们一路驶入，感觉小镇充满活力，夜生活颇为丰富晚上我们去了当地人推荐的 聚雅阁，点了一个牛羊肉的坑锅，一些烧烤，人均花费了 ￥92，味道很不错。

我们和老板聊了聊天，得知茶卡镇平时生活的人口其实很少，只有旅游季 (5-9 月) 才会有这么多人，旅游季结束之后很多店就关门了，大家就都是来这里赚一笔就走。饭后在镇上稍微逛了一会，买了一点当地的牛肉干和奶糖 (也确实便宜)。

¶Day6 茶卡 - 青海湖 - 西宁

由于茶卡盐湖景区就在酒店附近十分钟车程，因此今天早上倒没有之前那么赶了。但是没想到景区小火车竟然可以这么慢，算是强行把我们硬控在景区两个小时。

来之前就听说茶卡盐湖非常吃天气，原本我们以为晴天就能看到很好的颜色，但实际不是的，我们游览了一圈下来发现，只有在 晴空万里 ，天空呈现湛蓝色时才能看到所谓的 天空之境

青海湖风景区，地处青藏高原东北部，位于青海省西北部的青海湖盆地内，素有高原蓝宝石之称，是中国最大的内陆咸水湖。青海湖风景区划分为环湖水体、二郎剑、鸟岛、沙岛（金沙湾）、仙女湾、日月山 6 个景区，各景区实施分级保护。主要景观资源有青海湖、鸟岛、沙岛、湖周滩地、日月山、二郎剑、仙女湾、丝绸之路南道、唐蕃古道、古城遗址、151 鱼雷发射试验基地等。

二郎剑景区应该是青海湖景区中商业设施最完善的，为了不踩雷和浪费时间，我们选择了二郎剑景区。从茶卡盐湖到青海湖二郎剑景区大概 150km，但由于中途大部分是一级公路，因此我们直到下午两点才抵达青海湖二郎剑景区。到达二郎剑景区前会翻过 橡皮山垭口，海拔在 3800m 左右，大家需要预防一下轻微高反。

不得不说，青海湖的湖水看上去真的很治愈，而且一眼望不到头，其壮观程度不亚于雪山带来的震撼。

青海湖除了湖和海鸥，还成群结队的牛羊，以及非常惬意的骆驼

从青海湖出来，我们吃了顿便饭，接着便赶往西宁站，之后便是接连换乘高铁，在兰州机场附近住一晚，第二天早上五点就去机场赶早班机了😫

¶ 总结

青甘大环线，很多人觉得这条先很无聊，没有川西刺激，没有独库好看，当然川西和新疆我都没去过， 撒贝宁老师口中说的那个 "白活了" 的人，大概指的就是我了，但是青甘这条线我想有一点是其他线比不了的，那就是地貌类型的丰富性。短短五天，我们亲眼见证了不同地貌在眼前渐次变换，看到了雪山是怎么变换到戈壁，也看到沙漠是怎么变换到绿洲，见识到了不同的盐湖，也理解了为什么网友们都说大西北是上天打翻的调色盘。

总要去一次大西北吧，看惯了江南水乡的秀丽，也该见识见识大西北的荒凉与壮丽~

¶ 事发

2024.8.4 的体检有点不一样，B 超医生和我非常严肃地说了一句话：“你的这个甲状腺结节一定要去医院复查，很严重了”，随后我就怀着忐忑的心情带着体检报告去浙二挂了一个甲状腺外科，在医院超声检查后，我的右侧甲状腺结节被升级为了4a 类型，医生建议我做穿刺确定性质。

到目前为止我还能够保持比较乐观的心态，因为医生说如果穿刺结果是良性还能够做热消融，不用做手术切除。不出意外的话，那确实出意外了，9.12 的穿刺结果顺理成章的是恶性，并且被诊断为 甲状腺乳头状癌。当然此时的我还是抱着侥幸的心理在网上到处查询资料，看看事情还有没有转机，但是得到的结果都是对于肿瘤大小在 1cm 之内的有进行热消融的案例，而我的瘤子非常的给力，不负众望的长到了 3.5cm！！

穿刺结果出来的两周后，我约了浙二的甲状腺外科副主任医师的专家号，最终确定的治疗方案是开放手术做患侧的甲状腺切除 + 患侧颈部淋巴结清扫，至少我还保留了另外一边甲状腺，这样想想可能就没那么难受了。

¶ 手术

由于手术不仅需要切除患侧甲状腺，还需进行颈部淋巴结清扫，因此无法进行微创手术，只能在脖子上留下一条十几公分的切口（听起来还挺酷的）。

手术有以下几个方面需要注意：

1. 手术前不能有上呼吸道感染症状（如咳嗽、鼻涕等），否则术中会有很大的呼吸道感染风险（如肺炎），并且会加大手术难等，增加手术本身风险

2. 可能会需要插导尿管，具体取决于手术时间

3. 甲状腺的位置比较刁钻，他靠近食管、气管以及颈动脉，如果结节 / 肿瘤的位置长得不好，在切除时会误伤或者不得已伤到其他器官的神经，从而术后留一下一些后遗症

4. 甲状旁腺生长在甲状腺周围，切除时可能会误伤 / 切到甲状旁腺，虽然医生会帮忙将甲状旁腺重新种植进肌肉，但手术后仍然会有一些后遗症（缺钙导致的手脚发麻，骨质疏松等）

我的手术相对来说较为顺利（却是一点儿也不轻松），从我进手术室到出来，一共经历了四个小时，要不怎么说是个四级手术呢。因为清扫了颈部淋巴结，为了观察伤口愈合情况，需要在住院期间放两根引流管在身上。

第一天是最难熬的，前六个小时不吃不喝，由于没有插尿管，需要顶着麻药的后劲在床上用力尿尿（就是那种膀胱感觉都要憋炸了却怎么也尿不出来的感觉）。全程不能下床，鼻子上插着氧管，每隔一个小时自动测量血压，根本没法入睡，就这样强行熬了一夜，第二天终于可以下地活动了。总体来说我恢复的还不错，只是过了半天就可以随便活动，在床上翻身也不是很难了（主要是脖子上插着引流管，不敢太大幅度活动）。

第三天上午医生来查了一次房就放我出院了（没想到医院的床位这么紧张），我也是收拾收拾赶紧滚回了家。

¶ 术后

术后两周是最难熬的一段时间，对于我来说，这两周是黑暗无比的，毫无光泽。由于做了颈部淋巴清扫，为防止 淋巴漏 出现，术后两周内我都不能摄入油脂，吃的东西都是水煮，只能吃蔬菜，不能吃肉，吃鸡蛋还不能吃蛋黄。这段时期所吃的东西才是真正的 食之无味，弃之可惜 啊，短短两周直接瘦了十斤，所以只要管住嘴，就算不迈开腿也是可以减肥的，并且效果拔群。

除了术后两周的饮食控制外，影响我生活最多的就是每天早上要先吃优甲乐（用于补充甲状腺激素）后一小时才能吃早餐，并且服药后的四小时内不能大量摄入蛋白质以及对胃部刺激大的东西（牛奶、豆浆、咖啡等），后续就定期复查，根据复查结果控制需要摄入的药量，根据病理分析，我属于高复发人群，所以术后老老实实吃药是非常必要的，经历过一次的人应该都不会想再经历第二次了，好好生活吧~

曾经的我是 Ubuntu 的无脑吹、脑残粉，主要是命令行配合着一众工具使用起来非常丝滑，效率极高。而在 Windows 上除了安装各种执行环境配置环境变量外，还需要借助 xShell 这类工具来完成我的日常工作，虽然当时也折腾过一段时间的 cmder，但却是没有原生 Terminal 顺滑。

好在巨硬还有良心，推出了 Windows Terminal 和 WSL，一度让我从 Ubuntu 脑残粉变成了 Windows 无脑吹~ 本文则是用来记录一下我自己的终端配置，因为我的工作环境几乎是跑在 WSL 上的，所以 Linux 和 MacOS 均可借鉴。

¶ 前置操作

• 一个 Windows 11 的操作系统

• 电脑开启虚拟化技术（默认已开启，未开启的则需要进 BIOS 中开启该设置，不同品牌的电脑不一样，请自行 Google）

• 安装 Windows Terminal（Windows 11 默认已安装，否则请在 Microsoft Store 中进行安装）

¶Windows Terminal 配置

这里再次强推 Windows 用户使用 Windows Terminal，如同别人推荐在 Mac 中使用 iTerm2, 在 Linux 中使用 Terminator 一样（虽然我用 Ubuntu 的时候也不喜欢用 Terminator 😂）。
当然近年来也有很多好评如潮的开源终端（如 Tabby、WindTerm 等），但是秉承着多一事不如少一事的原则，既然 Windows 自带了如此好用的终端，就不费力去折腾别的东西了~

对于终端来说，需要配置的内容无非就是 配色、字体、快捷键、外观，这里记录一下我当前使用的一些配置：

{    "$help": "https://aka.ms/terminal-documentation",    "$schema": "https://aka.ms/terminal-profiles-schema",    "actions":     [        {            "command": "paste"        },        {            "command": "unbound",            "keys": "ctrl+v"        },        {            "command":             {                "action": "copy",                "singleLine": false            },            "keys": "ctrl+c"        },        {            "command":             {                "action": "splitPane",                "split": "auto",                "splitMode": "duplicate"            },            "keys": "alt+shift+d"        },        {            "command": "find",            "keys": "ctrl+shift+f"        }    ],    "copyFormatting": "none",    "copyOnSelect": false,    "defaultProfile": "{2d17c16e-af5c-4ccf-bcca-796cc19e890b}",    "newTabMenu":     [        {            "type": "remainingProfiles"        }    ],    "profiles":     {        "defaults":         {            "colorScheme": "Tango Dark",            "font":             {                "face": "Maple Mono NF"            },            "opacity": 80,            "useAcrylic": true        },        "list":         [            {                "font":                 {                    "face": "Maple Mono NF CN"                },                "guid": "{61c54bbd-c2c6-5271-96e7-009a87ff44bf}",                "hidden": false,                "name": "Windows PowerShell",                "opacity": 90,                "useAcrylic": true            },            {                "font":                 {                    "face": "Maple Mono NF CN"                },                "guid": "{0caa0dad-35be-5f56-a8ff-afceeeaa6101}",                "hidden": false,                "name": "\u547d\u4ee4\u63d0\u793a\u7b26",                "opacity": 90,                "useAcrylic": true            },            {                "guid": "{b453ae62-4e3d-5e58-b989-0a998ec441b8}",                "hidden": false,                "name": "Azure Cloud Shell",                "source": "Windows.Terminal.Azure"            },            {                "adjustIndistinguishableColors": "indexed",                "antialiasingMode": "grayscale",                "colorScheme": "Tango Dark",                "commandline": "C:\\Windows\\system32\\wsl.exe -d Ubuntu-20.04",                "experimental.retroTerminalEffect": false,                "font":                 {                    "face": "Maple Mono NF",                    "size": 12.0,                    "weight": "semi-light"                },                "guid": "{2d17c16e-af5c-4ccf-bcca-796cc19e890b}",                "hidden": false,                "historySize": 10240,                "icon": "ms-appx:///ProfileIcons/{9acb9455-ca41-5af7-950f-6bca1bc9722f}.png",                "name": "Ubuntu-20.04",                "opacity": 80,                "startingDirectory": "~",                "useAcrylic": true            },            {                "font":                 {                    "face": "Maple Mono NF"                },                "guid": "{4dd1e689-b517-5f39-947d-78e8a8bdf958}",                "hidden": false,                "name": "Ubuntu 20.04.6 LTS",                "source": "CanonicalGroupLimited.Ubuntu20.04LTS_79rhkp1fndgsc"            },            {                "guid": "{574e775e-4f2a-5b96-ac1e-a2962a402336}",                "hidden": false,                "name": "PowerShell",                "source": "Windows.Terminal.PowershellCore"            }        ]    },    "schemes":     [        {            "background": "#0C0C0C",            "black": "#0C0C0C",            "blue": "#0037DA",            "brightBlack": "#767676",            "brightBlue": "#3B78FF",            "brightCyan": "#61D6D6",            "brightGreen": "#16C60C",            "brightPurple": "#B4009E",            "brightRed": "#E74856",            "brightWhite": "#F2F2F2",            "brightYellow": "#F9F1A5",            "cursorColor": "#FFFFFF",            "cyan": "#3A96DD",            "foreground": "#CCCCCC",            "green": "#13A10E",            "name": "Campbell",            "purple": "#881798",            "red": "#C50F1F",            "selectionBackground": "#FFFFFF",            "white": "#CCCCCC",            "yellow": "#C19C00"        },        {            "background": "#012456",            "black": "#0C0C0C",            "blue": "#0037DA",            "brightBlack": "#767676",            "brightBlue": "#3B78FF",            "brightCyan": "#61D6D6",            "brightGreen": "#16C60C",            "brightPurple": "#B4009E",            "brightRed": "#E74856",            "brightWhite": "#F2F2F2",            "brightYellow": "#F9F1A5",            "cursorColor": "#FFFFFF",            "cyan": "#3A96DD",            "foreground": "#CCCCCC",            "green": "#13A10E",            "name": "Campbell Powershell",            "purple": "#881798",            "red": "#C50F1F",            "selectionBackground": "#FFFFFF",            "white": "#CCCCCC",            "yellow": "#C19C00"        },        {            "background": "#282C34",            "black": "#282C34",            "blue": "#61AFEF",            "brightBlack": "#5A6374",            "brightBlue": "#61AFEF",            "brightCyan": "#56B6C2",            "brightGreen": "#98C379",            "brightPurple": "#C678DD",            "brightRed": "#E06C75",            "brightWhite": "#DCDFE4",            "brightYellow": "#E5C07B",            "cursorColor": "#FFFFFF",            "cyan": "#56B6C2",            "foreground": "#DCDFE4",            "green": "#98C379",            "name": "One Half Dark",            "purple": "#C678DD",            "red": "#E06C75",            "selectionBackground": "#FFFFFF",            "white": "#DCDFE4",            "yellow": "#E5C07B"        },        {            "background": "#FAFAFA",            "black": "#383A42",            "blue": "#0184BC",            "brightBlack": "#4F525D",            "brightBlue": "#61AFEF",            "brightCyan": "#56B5C1",            "brightGreen": "#98C379",            "brightPurple": "#C577DD",            "brightRed": "#DF6C75",            "brightWhite": "#FFFFFF",            "brightYellow": "#E4C07A",            "cursorColor": "#4F525D",            "cyan": "#0997B3",            "foreground": "#383A42",            "green": "#50A14F",            "name": "One Half Light",            "purple": "#A626A4",            "red": "#E45649",            "selectionBackground": "#FFFFFF",            "white": "#FAFAFA",            "yellow": "#C18301"        },        {            "background": "#002B36",            "black": "#002B36",            "blue": "#268BD2",            "brightBlack": "#073642",            "brightBlue": "#839496",            "brightCyan": "#93A1A1",            "brightGreen": "#586E75",            "brightPurple": "#6C71C4",            "brightRed": "#CB4B16",            "brightWhite": "#FDF6E3",            "brightYellow": "#657B83",            "cursorColor": "#FFFFFF",            "cyan": "#2AA198",            "foreground": "#839496",            "green": "#859900",            "name": "Solarized Dark",            "purple": "#D33682",            "red": "#DC322F",            "selectionBackground": "#FFFFFF",            "white": "#EEE8D5",            "yellow": "#B58900"        },        {            "background": "#FDF6E3",            "black": "#002B36",            "blue": "#268BD2",            "brightBlack": "#073642",            "brightBlue": "#839496",            "brightCyan": "#93A1A1",            "brightGreen": "#586E75",            "brightPurple": "#6C71C4",            "brightRed": "#CB4B16",            "brightWhite": "#FDF6E3",            "brightYellow": "#657B83",            "cursorColor": "#002B36",            "cyan": "#2AA198",            "foreground": "#657B83",            "green": "#859900",            "name": "Solarized Light",            "purple": "#D33682",            "red": "#DC322F",            "selectionBackground": "#FFFFFF",            "white": "#EEE8D5",            "yellow": "#B58900"        },        {            "background": "#000000",            "black": "#000000",            "blue": "#3465A4",            "brightBlack": "#555753",            "brightBlue": "#729FCF",            "brightCyan": "#34E2E2",            "brightGreen": "#8AE234",            "brightPurple": "#AD7FA8",            "brightRed": "#EF2929",            "brightWhite": "#EEEEEC",            "brightYellow": "#FCE94F",            "cursorColor": "#FFFFFF",            "cyan": "#06989A",            "foreground": "#D3D7CF",            "green": "#4E9A06",            "name": "Tango Dark",            "purple": "#75507B",            "red": "#CC0000",            "selectionBackground": "#FFFFFF",            "white": "#D3D7CF",            "yellow": "#C4A000"        },        {            "background": "#FFFFFF",            "black": "#000000",            "blue": "#3465A4",            "brightBlack": "#555753",            "brightBlue": "#729FCF",            "brightCyan": "#34E2E2",            "brightGreen": "#8AE234",            "brightPurple": "#AD7FA8",            "brightRed": "#EF2929",            "brightWhite": "#EEEEEC",            "brightYellow": "#FCE94F",            "cursorColor": "#000000",            "cyan": "#06989A",            "foreground": "#555753",            "green": "#4E9A06",            "name": "Tango Light",            "purple": "#75507B",            "red": "#CC0000",            "selectionBackground": "#FFFFFF",            "white": "#D3D7CF",            "yellow": "#C4A000"        },        {            "background": "#300A24",            "black": "#171421",            "blue": "#0037DA",            "brightBlack": "#767676",            "brightBlue": "#08458F",            "brightCyan": "#2C9FB3",            "brightGreen": "#26A269",            "brightPurple": "#A347BA",            "brightRed": "#C01C28",            "brightWhite": "#F2F2F2",            "brightYellow": "#A2734C",            "cursorColor": "#FFFFFF",            "cyan": "#3A96DD",            "foreground": "#FFFFFF",            "green": "#26A269",            "name": "Ubuntu-20.04-ColorScheme",            "purple": "#881798",            "red": "#C21A23",            "selectionBackground": "#FFFFFF",            "white": "#CCCCCC",            "yellow": "#A2734C"        },        {            "background": "#000000",            "black": "#000000",            "blue": "#000080",            "brightBlack": "#808080",            "brightBlue": "#0000FF",            "brightCyan": "#00FFFF",            "brightGreen": "#00FF00",            "brightPurple": "#FF00FF",            "brightRed": "#FF0000",            "brightWhite": "#FFFFFF",            "brightYellow": "#FFFF00",            "cursorColor": "#FFFFFF",            "cyan": "#008080",            "foreground": "#C0C0C0",            "green": "#008000",            "name": "Vintage",            "purple": "#800080",            "red": "#800000",            "selectionBackground": "#FFFFFF",            "white": "#C0C0C0",            "yellow": "#808000"        }    ],    "theme": "dark",    "themes": [],    "useAcrylicInTabRow": true}

总结一下：

• 默认配置文件：选择对应 WSL 的那个，如Ubuntu-20.04

• 字体：Maple Mono NF

• 快捷键：采用默认快捷键，但是注意 Ctrl+v 这种会和 vim 冲突的键位需要改掉

• 外观

  • 光标：|
  • 透明度：80%
  • 亚克力：开启
  • 配色方案：Tango Dark

这里再给上两篇文章以供参考：

• 设置 Windows Terminal

• Windows Terminal 的全面自定义

¶ 安装 WSL 环境

操作参考：

• 安装 WSL
• 设置 WSL 开发环境

打开 PowerShell 输入以下命令进行安装

## 使用管理员运行wsl --install## 安装完成后可以使用以下命令查看可供安装的 Linux 发行版wsl -l -o# 以下是可安装的有效分发的列表。# 使用 'wsl.exe --install <Distro>' 安装。# NAME                            FRIENDLY NAME# Ubuntu                          Ubuntu# Debian                          Debian GNU/Linux# kali-linux                      Kali Linux Rolling# Ubuntu-18.04                    Ubuntu 18.04 LTS# Ubuntu-20.04                    Ubuntu 20.04 LTS# Ubuntu-22.04                    Ubuntu 22.04 LTS# Ubuntu-24.04                    Ubuntu 24.04 LTS# OracleLinux_7_9                 Oracle Linux 7.9# OracleLinux_8_7                 Oracle Linux 8.7# OracleLinux_9_1                 Oracle Linux 9.1# openSUSE-Leap-15.6              openSUSE Leap 15.6# SUSE-Linux-Enterprise-15-SP5    SUSE Linux Enterprise 15 SP5# SUSE-Linux-Enterprise-15-SP6    SUSE Linux Enterprise 15 SP6# openSUSE-Tumbleweed             openSUSE Tumbleweed## 使用 wsl --install -d <Distribution Name> 进行安装，这里我们安装 Ubuntuwsl --install -d Ubuntu

WSL 的好处在于 Windows 和 Linux 之间的文件系统可以互相访问，网络也可以通过 NAT 或者桥接打通，比传统的虚拟机要方便很多（虽然 WSL 也是个虚拟机），下面放上一些文章以供大家学习：

• 比较 WSL 版本

• WSL2 内部实现探究

• WSL 原理介绍

¶ 配置 WSL 环境

作为日常工作的 80% 甚至是 90% 的系统环境，配置一个方便好用的 Linux 能够给工作体验和效率带来极大的提升，正所谓磨刀不误砍柴工，乱拳打死老师傅。这里以 Ubuntu 为例，记录一下 Linux 环境的配置内容：

# 1. 更换软件源(源是什么？ -->  https://flyflypeng.tech/%E5%88%A9%E5%99%A8/2016/10/24/Ubuntu%E8%BD%AF%E4%BB%B6%E6%BA%90%E8%AF%A6%E8%A7%A3.html)## 以往都是用 aliyun 源的，最近比较喜欢清华源 ~sudo sed -i 's/archive.ubuntu.com/mirrors.tuna.tsinghua.edu.cn/g' /etc/apt/sources.list# 2. 安装常用软件sudo apt install git net-tools vim tmux zsh dstat sysstat bat curl htop -y# 3. tmux 配置## 对于 tmux 的配置，我这里仅推荐 GitHub 上的开源项目 .tmux --> https://github.com/gpakosz/.tmux，其余的大家可以自行去网络上搜索cd ~git clone https://github.com/gpakosz/.tmux.gitln -s -f .tmux/.tmux.confcp .tmux/.tmux.conf.local .## 除此之外，我一般还会额外打开 tmux 的一些配置set -g history-limit 10000    ## tmux 默认的历史纪录太少了，多搞点set -g set-clipboard on    ## 打开选中复制，当然你可以使用 Windows terminal 的选中复制功能set -g mouse on    ## 打开鼠标支持，这样就不用 Ctrl+B 切换 panel 了## 关于 tmux 使用的一些推荐阅读：## - https://www.ruanyifeng.com/blog/2019/10/tmux.html## - https://pengfeixc.com/blogs/developer-handbook/tmux.html## - https://www.escapelife.site/posts/1a9a72ec.html# 4. Docker## 容器技术已经成为当前最廉价的技术了，作为一名运维工程师，docker 是一个必知必会的技能，不管你日常用的多还是少，先把 docker 在你自己的系统装上install -m 0755 -d /etc/apt/keyringscurl -fsSL https://download.docker.com/linux/ubuntu/gpg | gpg --dearmor -o /etc/apt/keyrings/docker.gpgsudo chmod a+r /etc/apt/keyrings/docker.gpgecho \  "deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.gpg] https://mirrors.tuna.tsinghua.edu.cn/docker-ce/linux/ubuntu \  "$(. /etc/os-release && echo "$VERSION_CODENAME")" stable" | \  tee /etc/apt/sources.list.d/docker.list > /dev/nullapt-get updateapt-get install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin -y

这里单独说一下 zsh 的配置，首当其冲的肯定是把 oh-my-zsh 给装上

sh -c "$(curl -fsSL https://raw.github.com/robbyrussell/oh-my-zsh/master/tools/install.sh)"

接着肯定是要换一个美美的皮肤（bushi），主题的配置可以参考官方文档 Themes|oh-my-zsh wiki，我的配置如下：

ZSH_THEME="powerlevel10k/powerlevel10k"

zsh 对于我来说，提效最大的还是他的一堆插件了，这里先贴一下当前已用的插件：

plugins=(    zsh-ssh    ssh-agent    aliases    zsh-autosuggestions    safe-paste    F-Sy-H    z    cp    copyfile    copybuffer    copypath    git    fzf    sudo    kube-ps1)

像常见的 zsh-autosuggestions、cp、git 以及 sudo 等插件这里就不多提及了，基本上是网上提到过比较的好用的插件了，大家可以自行去搜索。下面来说一些我个人觉得很好用的插件：

1. zsh-ssh
   zsh-ssh 是我目前强推的一个 zsh 插件，该插件会去读取 ~/.ssh/config 文件中的配置并通过 fzf 将其可交互显示，也就是说我们可以通过命令界面动态展示 ssh host 列表并选择连接。由于该插件还依赖 fzf，所以先安装 fzf 再安装 zsh-ssh。

   ## 安装 fzfgit clone --depth 1 https://github.com/junegunn/fzf.git ~/.fzf~/.fzf/installcat << EOF > ~/.zshrc# Set up fzf key bindings and fuzzy completionsource <(fzf --zsh)EOFsource .zshrc## 安装 zsh-sshgit clone https://github.com/sunlei/zsh-ssh ${ZSH_CUSTOM:-~/.oh-my-zsh/custom}/plugins/zsh-ssh

   上面说到了，zsh-ssh 这个插件是读取 ~/.ssh/config 文件中的配置来显示 ssh host 的，因此我们还需要将 ssh host 信息写入配置文件，我自己是写了一个脚本来生成 ssh host，具体的配置格式参考如下：

   Host Bastion-HostHostname 1.1.1.1User sunlei Host Development-HostHostname 2.2.2.2IdentityFile ~/.ssh/development-host#_Desc For Development

2. F-sy-H
   相较于网上文档里说的比较多的zsh-users/zsh-syntax-highlighting，F-sy-H 插件的高亮配色会更加丰富一些，虽然没有什么大用，但是好看就完事了

   git clone https://github.com/z-shell/F-Sy-H.git ${ZSH_CUSTOM:-$HOME/.oh-my-zsh/custom}/plugins/F-Sy-H

3. kube-ps1
   kube-ps1 插件是用来显示当前所应用的 K8s 集群信息的，由于已经被 zsh 集成为默认插件了，所以不需要的单独安装，直接在 ~/.zshrc 中配置即可

   ## 除了配置 plugins 外，还需要添加 PROMPT 变量PROMPT='$(kube_ps1)'$PROMPT # or RPROMPT='$(kube_ps1)'

4. z
   z 插件会基于历史访问过的目录进行快速跳转，无需输入全路径即可跳转，按下 tab 键即可显示历史目录列表，选择后回车即可跳转。z 已经被集成进 zsh 默认插件列表，无需单独安装。

5. ssh-agent
   既然我们都这么依赖 ssh 来工作了，那么 ssh-agent 插件就必不可少，该插件会自动帮我们设置一些 ssh-agent 相关的配置，加载 credentials。由于该插件是 zsh 默认的插件，所以无需单独安装，直接在 ~/.zshrc 中配置即可

   ## 配置 agent-forwadingzstyle :omz:plugins:ssh-agent agent-forwarding yes## 配置 identitieszstyle :omz:plugins:ssh-agent identities id_rsa id_rsa2 id_github    ## 如果 identities 不在 ~/.ssh 目录下，则要写绝对路径

¶ 前期准备

¶ 交通

本来有一个往返 槟城 和 怡保 的高铁 / 巴士行程，但是由于马来国庆加上个人赖床因素，不得已取消了

截至本文发布，国内应该仅有上海浦东、重庆、厦门、深圳以及广州拥有直飞的航线，其他城市都要去其他东南亚城市进行转机（吉隆坡、亚庇或者新加坡），因此我作为杭州出发的旅客，只能往返两次转机了。

¶ 行李

此次贪便宜，往返机票均购买于廉航，因此并没有托运行李，且登机所能携带的首体行李额被限制在了 7kg / 人 (返程酷航为 10kg / 人)。
由于去年是反季出行 (杭州冬季去往热带地区)，两个人带着两个行李箱和大包小包，确实非常的不方便，本次得益于航司的限制，强行给了我们一次轻装出行的机会。出行前也在网上学习了一番背包出行 / 收纳的知识点，最终以最小的代价准备好了出行的行李

• 背包

  • 旧背包改造
    • 背包承重腰带：淘宝上有很多，推荐那些没有承重腰带的背包升级，背负大重量行李时可有效减少上背部的肌肉压力
    • 背包胸扣：淘宝上也有很多，不是特别推荐升级，但是好在这玩意儿不贵，升级前也先确认自己的背包是否有升级接口（实在不行可以自己缝合）
  • 老背包复用：之前买小米电饭煲送了一个小背包，可以用于日常出行背负
  • 新背包购买：迪卡侬 MH100 20L 户外背包

• 行李内容

以上，我们最终将两人行李总重控制在了 12kg 以内，迈出了背包旅行的第一步~

¶ 住宿

槟城很大（马来西亚是联邦州属国家，槟城是十三个州属之一，又称槟州），旅行热门的地区当属槟州的首府 ——George Town 和北边的 Batu Ferringhi 海滩，但实际上槟城的海滩并不出名（水质不好，水上项目也不多，整个西马的海滩也就 兰卡威、大小停泊岛 以及 热浪岛 叫的出名了），我们此次出行的目的地自然就是槟城旅游热度第一的 George Town 了。

由于 George Town 很小，城内任意一家酒店或者民宿均可，但由于是老城区，民宿的设施可能不会不太尽人意，秉承着多一事不如少一事的原则，我们还是选择入住酒店

这里再放一个我们去年住过的酒店

¶ 入境

虽然马来西亚针对持有中国护照的公民进行为期 30 天的免签，但是入境前三天还是需要填写 MDAC (Malaysia Digital Arrival Card) 以作为其入境资料。详细填写请移步至马来西亚移民局（可能需要科学上网）

¶ 游玩指南

¶ 吃

槟城的饮食继承了马来西亚的一些特点，如菜系多元化、调味多用木姜辣椒等，但是由于本地华人居多（尤其是福建、潮汕地区的华裔），当地的饮食很大程度上也受到了我们东南沿海的影响，因此带着中国胃来的我们，也不用怕吃不惯了。

当然除此之外，槟城还有很多美食没有在这里介绍，除了中式的粿条汤、肉卷、云吞面之外，还有一些印度菜（印度人是马来除了马来人和华人外的第三大人种）和泰国菜，以及马来本土菜系 —— 娘惹菜，所以槟城真的是当之无愧的美食之都，喜欢吃吃吃的朋友真的不容错过。

最后给大家推荐一些小吃街：

• Jelutong Night Market：日落洞周五夜市，顾名思义，只有周五才开，别跑空了

• Batu Ferringhi Night Market：如果你晚上住在 Batu Ferringhi，可以去逛一逛，小吃摊多到爆炸，还有两个大排档

• Macallum Street Night Market：五条路夜市，离日落洞和姓氏桥那里的小吃街不远，如果你精力足够的话，可以一直吃

• 姓氏桥：其实这不是个夜市，沿着姓氏桥的大马路，街边全都是小吃摊和大排档

• Gurney Drive Hawker Centre：新关仔角小吃街，这个没去过，据说很有名

• Sunway Hotel 楼下：对的，酒店楼下就是小吃街，上面和下面的一些图片就出自这里，甚至还有下面的猫山王、竹脚以及红虾

¶ 喝

¶ 玩

¶ 行

¶ 榴莲

嘿嘿，最后还是来说一说榴莲吧。大马的榴莲有着如下特点：

• 树孰自然掉落，所以吃到的榴莲都绝对新鲜

• 注册品种多达 200+，在大马不同地区都能吃到不同的榴莲

• 由于是树熟掉落，果肉发酵足够，榴莲味会比较浓郁，口感会比较丝滑

• 价格相对便宜

另外，除了已注册的名种之外，还有一种深受当地人喜爱的榴莲 —— 甘榜榴莲 (Durian Kampung)。Kampung 在马来语中是乡村的意思，因此甘榜其实就是乡村榴莲、土榴莲的意思，开这些榴莲才是真正的赌博，但是由于价格便宜，一颗才 10-20 人民币，因此即使开到品质不好的，也不会特别亏。

下图为马来 2018 年各榴莲品种登记数量占比图，甘榜还是占了很大一部分。另外现在有很多种植户以现有的的甘榜树为砧木，通过嫁接方式来种植更好品质的榴莲品种（比如猫山王）

下面我就简单介绍一下这四天我们吃过的榴莲，按照下图的顺序，以此为：

• 甘榜榴莲：这一颗是我们落地后吃的第一个榴莲，味苦没有回甘，对新手及其不友好，好在价格便宜，仅售 12RM（￥20）

• 黑金：据说黑金是高品质猫山王，这一颗吃起来口感绵密，甚至会有一些糊嗓子，味道是先甜后苦，最后再回甘，层次分明

• 猫山王：大名鼎鼎的品种，这是一颗新树果，核小味甜，榴莲风味十足，口感细腻，名副其实

• 竹脚：这是一颗干包的竹脚，口感脆甜，甜中带有微苦

• 黑刺：曾经干翻猫山王的榴莲王者，奶油般的口感，入口即化，也是先甜后苦，榴莲风味非常浓郁

• 红虾：这一颗不知道为啥果肉偏白，从皱皮的程度看还是颗老树果，甜中带苦，但是苦味程度是让人可以接受的，口感也很绵密

其实我们在吃黑刺的时候，因为实在吃不下了，就给隔壁桌分了两小房果肉，对方用一块 D2 的果肉给我们做了回礼。这块 D2 湿包严重缺一点也不苦，全是甜味，吃起来就像是榴莲冰激凌~
</img src=“https://blogpic.skyhive.tech/pic/D2.jpg” width=“50%”>

由于我们来的时间已经比较晚了，槟城的榴莲季已经结束，很多品种在榴莲档口都没有的买了，只有全年供应的猫山王和黑刺，以及少量的其他品种。如果想要赶上榴莲季来吃榴莲的，需要在每年的 6、7 两个月来到槟城，然后去浮罗山背（Balik Pulau）的榴莲园吃榴莲。浮罗山背又称榴莲山，山上都是榴莲树，去榴莲园里可以吃到最便宜的最新鲜的榴莲，或者有信心的同学也可以去自助榴莲档口，这里的榴莲都是当天掉落的鲜果（树熟掉落后仅能存放 2-3 天，因此大马这里档口的榴莲都是当天从果园运来的）

这里推荐两个吃过的榴莲档口，都在 George Town：

• Durian Legend：15, Lebuh Carnarvon, George Town, 10100 George Town, Pulau Pinang, Malaysia

• Durain Central Macalister：63 Macalister Road, George Town, 10400 George Town, Pulau Pinang, Malaysia

当然你也可以给 grab 司机一点钱，让他带你去好吃划算的榴莲档口探索~

¶ 算账

回国后，我们算了一下本次旅游的所有消费，即机票、住宿、保险、吃、喝、玩、打车等所有开销，两个人合计不到 9000 人民币。简单复盘了一下，理论上可以将成本压缩到 8000 以内的，但是出来玩还是不要给自己加太多的限制，开心就好~

明年，希望能够带上更多的榴莲爱好者，再次征战~~

• 去了几个城市旅游
• 开始健身
• 重新搭建了 home-lab 环境
• 开始带团队

¶ 工作

22 年的时候换了工作，从上海搬到杭州，用同样的租金在杭州获得了 50% 的租房面积提升。由于是老牌的 TP 公司，在技术上有很多陈年旧账需要慢慢去修，除了每年要感受两波大促紧锣密鼓的节奏之外，还需要天天吐槽 N 年以前留下来的天坑 ~

最大的改变就是从原来的孤军奋战变成了带着小团队进行战斗，再次拓宽了自己的技能点（深感带团队的不易），目前主要遇到的问题如下：

• 自己的时间不够用，更别提带教

• 与下属做事的认知差异比较大，自己想把活干到自己认知的 80 分甚至 90 分，但是团队其他人受限于工作经历和认知，大多只知道 60 - 70 分的标准是什么样的

• 很多运维的观念和认知难以传递，可能也受限于他们过往的经历以及我个人的输出

后续空下来了还是需要多看看团队管理的书来弥补一下这方面的短板。

¶ 旅游

一年下来，跑了很多地方，基本上就是三个假期 —— 五一、国庆以及元旦，虽然五一和元旦人是真的多（疫情后第一波），但快乐是真的快乐~

¶ 宁波 & 舟山

得益于 22 年底买了车，因此五一的时候想着来个自驾游。最初是想着从杭州一路向南开到福州或者厦门然后再开回来，但是后来想想五一期间肯定会堵成狗，而且整辆车上只有我一个人开车，好像对司机极为不友好，因此将自驾方案修改为：杭州 → 宁波 → 舟山 → 杭州

住宿安排如下

舟山的民宿五一期间真的贵的要死，尤其是靠海近的，我们找的这家还算是性价比不错的了

第一天在宁波中午吃了一顿 甬上名灶，晚上吃了一顿 加餐，总的来说都是排队到死，可能这就是五一黄金周的魅力所在吧😒

后来回了杭州又吃了两回 加餐，当时觉得还是很不错的，但是吃多了也就那样了

以上为 甬上名灶 部分菜品，可供参考，加餐 是自助餐，因此没啥可看的

来回舟山的路途比较曲折，同样都是拜黄金周所赐，路上堵车到心态爆炸😠

以上是堵了一上午到舟山吃的第一顿饭，也是人生第一次吃到了小青龙~

晚上是民宿老板做的饭，有一说一，老板的手艺很不错，只是这两天天天都在吃海鲜，并且都是差不多的做法属实有些吃腻了

第二天开车在大青山上兜了一圈，看看风景还是很舒服的

¶ 大连 & 沈阳

得益于五一在路上开车被堵怕了，国庆打算直接坐飞机去远一点的地方，免得被堵在路上。在东北、中原以及东南三个方位考察一番后（主要还是考察机酒价格），最终还是决定去东北快活一下，主要行程如下：

前两天在大连，看了海也吃了海鲜，排了两个小时的队终于吃上了 喜鼎水饺；逛了博物馆，也坐了百年电车，逛了毛子街，也吃了烧烤；最后和前同事（大连人）碰了个头，吃了顿饭就坐上了赶往沈阳的高铁

原先在沈阳是想体验一下洗浴文化，然后在洗浴中心借宿一宿 （可以省下一笔酒店费用），但我确实没想到和我们有一样想法的人是在太多，洗完澡出来发现根本没有地方能坐的，更不要说借宿一宿了，最终我们紧急决定离开并找了一家酒店解决睡觉问题。

沈阳的第二天就又开始了特种兵之行：小河沿早市 → 沈阳故宫 → 中街步行街 → 中国工业博物馆 → 西塔民族文化街

讲道理不出来走一走真不知道自己这么能走，也真不知道咱们祖国有这么多人 任何景点都是人山人海，仿佛所有大众点评上能够搜到的地方都是人山人海。不过有一说一，东北的物价是真的便宜，只要不是在商场/步行街/景点，吃饭都很便宜！

¶ 吉隆坡 & 槟城

马来西亚的旅游是谋划了很久的，早在 2019 底的时候就已经计划过这段旅行了，当时机酒什么的都已经订好了，结果就在出发前一个半月爆发了口罩事件😷，人生第一次的出国旅游就只好作罢。

时隔四年，大马又重新对中国实行免签政策，我就知道我的机会又来了！！随即买票订酒店，重新开启境外之旅

没错，旅行的顺序就是 杭州 → 吉隆坡 → 槟城 → 吉隆坡 → 杭州，看似很绕，实际上一点也不轻松😫。主要是槟城到杭州没有直飞的航班，无论如何都得从吉隆坡转机，所以想着还不如飞回吉隆坡再玩两天（事实证明我这个想法是真的不成熟）

去的时候我对榴莲还不是很狂热，因此也没有在大马狂炫榴莲（虽然 12 月底也算是大马每年的第二个榴莲季），所以这次旅游也只是满足了自己一个出国的好奇心，涨了一波见识。那么在这里我简单对吉隆坡和槟城这两个城市评价一下：

吉隆坡：

• 在世界层面都算是比较繁华的大都市，但繁华的也仅仅是市中心的部分，出了市中心就是破败的小农村

• 地铁和高铁都不用安检（后来才知道好像只有国内会安检）

• 夜市 / 小吃没有特别出彩，马来特色很重，种类不多，喜欢吃的不太建议来吉隆坡

• 商场很多，也很大，尤其是市中心的区域，可以逛一整天

槟城：

• 以人文而出名 (槟城本身就被列入世界非遗)，不适合买买买，但是适合逛吃

• 夜市 / 小吃多元化，既有马来本土的也有融合了其他民族的特色的美食

• 生活节奏很慢，不像吉隆坡商业气息很重，槟城就像是国内三四线的小城镇

• 盛产榴莲，品质世界顶级

还有很多在大马可以看到的现象：

• 由于油价便宜，在大马根本看不到新能源车，全是油车和摩托

• 大马的红绿灯上有行人按钮，貌似按下去会加快绿灯的到来

• 大马的高铁和客车座位非常之宽敞，尽管买的是二等座也能坐得很舒服（2 + 2 的座位排列，国内二等座是 3 + 2）

• 大马车内空调冷气给的非常足，在高铁坐着需要穿长袖长裤的程度

• 街边小店一般没有空调，只有风扇

• 由于地处热带，湿气很重，大多食物都会用姜等辛辣的香料进行调味，吃不惯的肯定吃不惯

¶Homelab

由于 NAS01 的存储空间使用率已经超 70%，考虑到未来几年可能用不了多久就会满，NAS02 上线计划就不得不被提上日程了。同时考虑到扩展性，NAS02 我将使用 6 盘位 NAS 机箱。

为了一步到位，这次也在五一期间采购一个网络机柜，将 交换机、虚拟化服务器、NAS01 以及 NAS02 都安排进去了，未来需要折腾的就是这个网络机柜的散热设计了，夏天一定会热成狗，尤其是我现在租的房子是边套，这个机柜所靠的墙体是会被阳光直射的，夏天墙体温度极高。

这次扩容直接在原来 12.21TB 的空间基础上，又增加了 25.63TB 的空间，这下子可以算是吃喝不愁了，哈哈哈哈哈！！

¶ 健身

最后我在 2023 给自己培养了一个全新的爱好 —— 健身。自三月份开始力量训练以来，我对于健身（多以力量训练为主）可以说是达到了一种上瘾的程度。

特别是八月份的时候膝盖受伤，导致了下半年我没法练下肢和体能，甚至也没法做有氧，直接 胸、背、核心三分化训练，一周胸部两练直接让我卧推成绩从 30KG 做组提升到了 60KG 做组，颇有成就感。当然疯狂的上肢训练也让我上下肢比例看起来非常不协调，等腿好了之后也会开始恢复腿部训练。

因为健身的关系，现在生活变得更加的健康和规律，吃的不仅变干净了，也变的更加营养和均衡。为此自己也学习到了非常多的营养学知识以及运动学知识，日常生活更是变得充实了起来~~

2024，加油，奥里给！！

由于这些服务都是运行在家里的服务器中，最终 LB 的 443 端口我是在路由器上通过端口映射的方式转到 8443 端口上的（家庭宽带的公网 IP 会将 80 / 443 等常用端口封禁）。而我为了优雅（确实不想在公网通过域名加端口的形式访问某个网站或者服务），在公网使用 CDN 来把我对公网映射的 8443 端口转换成了 443。这个做法对于正常的 Web 服务来说没有任何问题，但是对于网盘服务来说就有些伤筋动骨，毕竟网盘服务流量比较大，使用 CDN 的话确实比较费钱。因此对于网盘服务我又单独映射了一个 8888 端口到公网，在金钱面前，我不再选择优雅。

那么对于网盘服务来说，正常的访问路径就是：

乍一看好像挺正常的，但是在我通过公网去访问的是时候

curl https://<domain_name>:8888

出现的结果往往是，nginx 直接把我的 8888 端口给重定向成了 8080，也就是变成了 https://<domain_name>:8080 的访问。后来查了一下，是需要在 nginx location 的配置中稍微做些修饰，随即将该方法记录下来

server {  listen 443 ssl;  ……  port_in_redirect off;  ## 需要在 server 中加上这个配置防止 port redirect  location / {    proxy_pass http://<INTERNAL_IP>:8080;    proxy_set_header Host $host:$server_port;    ## Host header 需要有 $host:$server_port，即 host 和 port 都得有，否则 port 就会变成 proxy_pass 中的 port    ……  }}

以上基本上可以解决问题，如若不能，则还得继续 Google 一番。

为了避免麻烦，对于内网的 https 证书希望做到以下两点：

• 到期自动续

• 泛域名

查找了一番，有两个工具比较符合：Certbot 和 acme.sh，都是通过 ACME protocol 去自动获取免费证书, 但是需要自动获取泛域名证书的话，还需要能够自动在 DNS Provider 处更新 DNS TXT Record。由于我的域名是在 DNSPod 购买的，因此需要能够支持在 DNSPod 上自动更新 TXT 记录。Certbot 没有对应的官方插件，但是有第三方好心人写的插件能够实现该功能，如 certbot-dns-dnspod；而 acme.sh 是国人写的工具，官方支持 Aliyun 和 DNSPod，思来想去，还是打算使用 acme.sh。

¶Docker Compose Configuration

根据 官方文档 先将 Docker Compose 配置好，从文档里可以看出，acme.sh 容器会以 daemon 的形式一直运行，后续的申请证书、部署、续签等操作都需要 docker compose exec 单独去操作。Dockers Compose 配置如下：

version: "3.9"services:  nginx:    restart: always    container_name: nginx    image: nginx:latest    ports:      - 80:80      - 443:443    labels:      - sh.acme.autoload.domain=${DOMAIN_NAME}    volumes:      - $PWD/conf.d:/etc/nginx/conf.d:ro      - $PWD/nginx.conf:/etc/nginx/nginx.conf:ro      - $PWD/log/:/var/log/nginx/:rw    environment:      - TZ=Asia/Shanghai    acme:    image: neilpang/acme.sh    container_name: acme.sh    command: daemon    volumes:      - $PWD/acmeout:/acme.sh      - /var/run/docker.sock:/var/run/docker.sock    dns:      - 8.8.8.8    environment:      - DEPLOY_DOCKER_CONTAINER_LABEL=sh.acme.autoload.domain=${DOMAIN_NAME}      - DEPLOY_DOCKER_CONTAINER_KEY_FILE=/etc/nginx/ssl/key.pem      - DEPLOY_DOCKER_CONTAINER_CERT_FILE=/etc/nginx/ssl/cert.pem      - DEPLOY_DOCKER_CONTAINER_CA_FILE=/etc/nginx/ssl/ca.pem      - DEPLOY_DOCKER_CONTAINER_FULLCHAIN_FILE=/etc/nginx/ssl/full.pem      - DEPLOY_DOCKER_CONTAINER_RELOAD_CMD="service nginx force-reload"      - DP_Id=${DP_Id}      - DP_Key=${DP_Key}

另外还需要添加一个 .env 文件用来存放如下变量：

• ${DOMAIN_NAME}：用于申请证书的泛域名

• ${DP_Id}：DNSPod API Key ID

• ${DP_Key}：DNSPod API Key

¶ 申请证书

acme.sh 默认的 ssl 服务器是 ZeroSSL.com，根据 文档 里提到的，在申请证书之前，需要先注册账户

docker compose exec acme --register-account -m <your email address>

注册完成后就可以正式申请证书了

docker compose exec acme --issue --dns dns_dp -d ${DOMAIN_NAME}

等待证书申请完成后，可以看到 acmeout 目录下会出现一个 ${DOMAIN_NAME} 命名的目录，该目录下就是我们申请到的证书。接着运行命令将证书部署到 nginx 的目录下（该目录则是在 docker compose 中通过 environment 传参给 acme 容器的）

docker compose exec acme --deploy -d ${DOMAIN_NAME}  --deploy-hook docker

理论上到这里我们的证书申请和部署就已经结束了。

¶ 修锅

当然我在申请证书的时候，遇到了些问题，比如在等待证书签售的过程中，一直在报错

Order status is processing, lets sleep and retry

等待的超时时间是 15s，连续 retry 了多次之后肯定是有问题的，参考了 网络上其他的人建议，将默认的 CA Server 从 ZeroSSL.com 更换成了 Let's Encrypt

docker compose exec acme --set-default-ca --server letsencrypt

¶ 续签证书

acme.sh 不用我们手动去执行 renew 的命令来续签到期的证书，正如之前所说，acme 的容器是以 daemon 状态运行的，因此他会定时的去检测我们的证书到期时间，在到期之前会自动进行 renew 操作。可以在 acmeout/${DOMAIN_NAME}/${DOAMIN_NAME}.conf 中看到，有一项 Le_NextRenewTimeStr 配置，该配置了记录了 acme.sh 下一次续签证书的时间。

故事还得从一年前说起。最初本着折腾的精神，采取了 Bcache + LVM 的方案，简单架构如下：

没有冗余没有备份，对于存储来说是很危险的。当时其实也是纠结了很久，手上有一块 RAID 卡，纠结了半天也没有上 RAID，原因是当时硬盘的配置是 6T * 1+4T * 3, 如果上了 RAID 就意味着 6T 盘会浪费 2T 空间。

既然如此，干脆一不做二不休，直接上 LVM，然后把重要的数据定时同步出来，正好还有两块 2T 盘，可以拿来做备份使用。结果最后因为太懒，以及 2T 盘没有多余的机器可以让我接入，导致备份的计划迟迟没有落地。

后来考虑到 Bcache 这个东西比较不优雅，这个项目也多年没有人维护更新（主要是存储跑了一年一直没有冗余和备份，比较慌），最终还是考虑换成黑群晖。

换成黑群晖后也多多少少遇到了些问题，这里先记录下来，算是填坑了

¶ 存储冗余问题

由于短时间内我还不会把 4T 盘都换成 6T，因此正常的 RAID 阵列还是不考虑了，决定使用 SHR（Synology Hybrid RAID）来实现硬盘的冗余。主要是 SHR 可以合理利用容量大小不一的硬盘，减少硬盘空间的浪费。目前我 6T * 1+4T * 3 的组合还是有浪费的空间，但是后面会新增两块 6T 盘就完美利用了。计划采购硬盘大小和数量前可以使用群晖的 RAID 计算器 先算一下可用容量以及是否浪费空间。

然而并不是所有群晖的机型都开启了 SHR，对于没有开启 SHR 的机型，我们需要手动配置

vim /etc.defaults/synoinfo.conf## 注释 supportraidgroup="yes"## 添加以下内容support_syno_hybrid_raid="yes"## 保存重启即可

¶CPU 型号显示问题

装完黑群晖后，显示的 CPU 型号为群晖的固定版本，有强迫症的话可以使用下面一键脚本进行修复（此处引自：关于群晖优化可以用的一键命令）

curl -SLO https://wp.gxnas.com/wp-content/uploads/2019/08/ch_cpuinfochmod 755 ch_cpuinfo./ch_cpuinfo

¶ 网卡驱动问题

群晖上线后用了一天就发现了奇怪的问题，通过 SMB 从群晖读取数据时就会断网，写入正常，为了定位问题，做了以下测试：

1. 使用 FIO 对群晖的存储进行 IO 测试 - 测试期间网络正常，且 IO 结果符合预期；

2. 使用 iperf 对群晖网络进行 IO 测试 - 测试期间网络正常，且 IO 结果符合预期；

3. 修改 SMB 版本和配置进行读写操作 - 读取时依然会断网，写入正常；

4. 禁用 SMB，使用 NFS 进行测试 - 读取时依然会断网，写入正常；

5. 在群晖本地进行文件拷贝 - 读取时正常，写入正常；

6. 上述测试时，群晖上另有一块 X520-DA2 加以佐证，全程光口网络正常，问题出在电口上

Google 了一番，问题可能出在驱动上，我这板载的电口是 Realtek@ 8111E PCIE Gigabit LAN Controller，在论坛里找了一个大神编好的带 r8168 驱动的包，更换驱动后果然就原地复活了。

¶ 内存限制问题

装完黑群晖后用 free 看到内存总共只有 2.5G，但是我物理上是 8G * 2 的配置，Google 一番，需要修改 grub 配置解决

mkdir /tmp/synoboot## 这里一定要先进 dev 目录再挂载 synoboot1，否则会报错cd /devmount -t vfat /dev/synoboot1 /tmp/synobootvim /tmp/synoboot/grub/grub.cfg## 在 set common_args_3617 中加入 disable_mtrr_trim 配置## 注意这里 3617 是因为我的黑群晖是 DS 3617xs，其他型号应该不一样set common_args_3617='disable_mtrr_trim syno_hdd_powerup_seq=0 HddHotplug=0 syno_hw_version=DS3617xs vender_format_version=2 console=ttyS0,115200n8 withefi elevator=elevator quiet syno_port_thaw=1'## 重启后内存信息就正常了

起初我有一套硬件 A，安装了 ESXi 与一些虚拟机，后来将 A 上的数据盘与系统盘（U 盘）拆至硬件 B 上，即 ESXi 从 A 迁移到了 B。闲置下来的硬件 A 就被我拿来安装了黑苹果，然而在黑苹果的路上遇到了很多的坑，例如掉帧、黑色块的问题（显卡驱动），蓝牙鼠标掉线的问题（蓝牙驱动），后来甚至发现这套黑苹果访问不了我的虚拟机们，也访问不到 ESXi。这时的我还很天真的以为是虚拟化和黑苹果之间的问题，Google 了一番未果还是换回了 Windows。

天真我以为这样就已经解决了问题，但结果是并没有什么卵用。同时我发现一直在使用的电脑访问 ESXi 也出现了问题，网络丢包严重，但是访问虚拟机却一点事情也没有。事已至此只能先简单抓包看一下，从硬件 A ping 向 ESXi（硬件 B）的同时，在 ESXi 上使用 tcpdump-uw 进行抓包（通过虚拟机作为跳板机连上 ESXi），结果是硬件 A 正常发送 ARP 请求，但是 ESXi 这里并没有收到 A 发送的请求。

到这里我基本断定是 ARP 的问题，但是为啥 ESXi 收不到我发出来的 ARP 包，其他的硬件却都能收到，我不得而知。但是为了验证我的猜想，我决定先在 Windows 上静态绑定一下 ARP 记录。

# 先用 netsh 找到对应 interface 的 idxnetsh i i show in   # netsh interface ipv4 show interfaces# 绑定 IP-MACnetsh -c "i i" add ne <idx> <IP> <MAC>  # netsh -c "interfaces ipv4" add neighbors <idx> <IP> <MAC># 也可以直接用 arp 命令进行临时绑定arp -s <IP> <MAC>

这里 ESXi 的 MAC 是从虚拟机 ARP 获得的，因为目前只有虚拟机访问 ESXi 比较正常。绑定完 MAC 地址后我又信誓旦旦进行验证，结果网络依然不通！！WTF？？到底发生甚么事了了？一开始以为 MAC 地址写错了，反复比对后确认了 MAC 地址并没有问题，那么为啥虚拟机用这个 MAC 地址可以 ping 通 ESXi，我用这个 MAC 就不行呢？

后来我怀疑是交换机的问题，我众多设备不是都接在同一个交换机上的，实际上是两个串联的傻瓜交换机，客厅一个卧室一个，而 ESXi 在客厅，实验的两台电脑在卧室。但是这个不成熟的猜想瞬间就被我给否定了，毕竟客厅和卧室里其他的设备互联都没有问题。

就在我一筹莫展把注意力集中到 Windows 的网络配置上时，我突然发现了一个神奇的事情 —— 硬件 B Windows 的 MAC 地址为啥和我 ESXi 一摸一样？？这真是见了鬼了，两个不同硬件为啥会有相同的 MAC 地址！难道是因为 ESXi 迁移的时候 MAC 地址并没有跟着硬件走？毕竟 ESXi 的管理地址是在 VMKernel 上的，这并不是一个物理接口。

简单了搜了一下，在 VMware 的 KB 中确实有这样的记载 —— 更换网卡后或 vmkernel 的 MAC 地址重复时 vmk0 管理网络 MAC 地址不更新。如果已经冲突了就只能删除原来的管理端口，重新创建，但是我这台 ESXi 只有一个网络接口，如果删了的话就只能连上显示器去配置了，所以为了省事就在 Web 界面先添加一个端口，再删除原来的即可。

如果要配置静态的 IP 地址又不想接显示器的话，可以 SSH 到 ESXi 后进行如下操作

TERM=xtermdcui

绝对的懒人福音！！

重建了管理端口后，没有了 MAC 地址冲突，硬件 A 的 Windows 又满血复活了，这件事情告诉我们，没事别特么的拆东墙补西墙！

由于部分限制级场景无法联通外网，而 MAAS 在部署镜像的过程中，会默认连接 http://archive.ubuntu.com/ubuntu 的源去安装一些依赖包，在无外网环境下，会导致部署失败！因此考虑将 MAAS 在部署过程中的依赖包提前下载好，做成本地的 APT 仓库来解决。
由于 MAAS 需要安装的依赖包并不多（一共 260M 左右），并不需要使用 apt-mirror 去搭建完整的 apt 仓库，我们将需要的依赖包都下载好，使用 apt-fptarchive 来发布我们的仓库。

¶ 仓库制作

sudo -i ## 先删除本地的缓存的 deb 包rm -rf /var/cache/apt/archives/*.deb ## 下载依赖包apt -d reinstall -y amd64-microcode crda freeipmi-common freeipmi-tools grub-common grub-gfxpayload-lists grub-pc-bin grub-pc grub2-common intel-microcode ipmitool iucode-tool iw libdbus-glib-1-2 libevdev2 libfreeipmi17 libimobiledevice6 libipmiconsole2 libipmidetect0 libmysqlclient21 libnl-3-200 libnl-genl-3-200 libnvpair1linux libplist3 libsensors-config libsensors5 libsnmp-base libsnmp35 libupower-glib3 libusbmuxd6 libuutil1linux libzfs2linux libzpool2linux linux-firmware linux-generic linux-headers-5.4.0-77-generic linux-headers-5.4.0-77 linux-headers-generic linux-image-5.4.0-77-generic linux-image-generic linux-modules-5.4.0-77-generic linux-modules-extra-5.4.0-77-generic lldpd mysql-common os-prober python3-bcrypt python3-paramiko python3-pyudev python3-yaml smartmontools thermald upower usbmuxd wireless-regdb zfsutils-linux ## 创建仓库目录mkdir /opt/repo/pool/main -pmv /var/cache/apt/archives/*.deb /opt/repo/pool/main/ ## 开始创建### 生成公钥和私钥root@maas:~# gpg --full-generate-keygpg (GnuPG) 2.2.19; Copyright (C) 2019 Free Software Foundation, Inc.This is free software: you are free to change and redistribute it.There is NO WARRANTY, to the extent permitted by law. Please select what kind of key you want:   (1) RSA and RSA (default)   (2) DSA and Elgamal   (3) DSA (sign only)   (4) RSA (sign only)  (14) Existing key from cardYour selection? 4RSA keys may be between 1024 and 4096 bits long.What keysize do you want? (3072) 1024Requested keysize is 1024 bitsPlease specify how long the key should be valid.         0 = key does not expire      <n>  = key expires in n days      <n>w = key expires in n weeks      <n>m = key expires in n months      <n>y = key expires in n yearsKey is valid for? (0) 0Key does not expire at allIs this correct? (y/N) y GnuPG needs to construct a user ID to identify your key. Real name: maas Email address: maas@maas.comComment:You selected this USER-ID:    "maas@maas.com" Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? oWe need to generate a lot of random bytes. It is a good idea to performsome other action (type on the keyboard, move the mouse, utilize thedisks) during the prime generation; this gives the random numbergenerator a better chance to gain enough entropy. ### key 的类型选择 RSA （sign only）### keyzise 选择 1024### 过期时间选择 0 （永不过期）### 最后填上 Real name 和 Email address### 完成后会要求设置私钥密码，后续导出私钥或者用私钥进行签名都会用到该密码！### 可以使用 gpg -k 来查看当前的 gpg key 信息root@maas:~# gpg -k/root/.gnupg/pubring.kbx------------------------pub   rsa1024 2021-08-19 [SC]      D923B3893E0AB27C3690696CFC3E8D5996EBB76Fuid           [ultimate] maas <maas@maas.com> cd /opt/repo/gpg -a --export maas@maas.com > maas.pub  ## 导出公钥，后续需要将内容复制到 MAAS 上gpg -a --export-secret-keys maas@maas.com > maas.sec    ## 导出私钥 mkdir -p dists/focal/main/binary-amd64apt-ftparchive  packages /opt/repo/pool/main/ > dists/focal/Packagescd dists/focal/gzip -c Packages > Packages.gzcp Packages* main/binary-amd64/apt-ftparchive release . > Releasegpg -abs -o Release.gpg Releasegpg --clearsign -o InRelease Release ### 创建 backports/proposed/security/updates 目录### 因为我们只是为了安装上述的依赖包从而完成部署流程，因此这几个目录只是用来骗过 ubuntu 的，直接从 focal copy 即可### proposed 是 src 源，不搞也可以cp -r focal focal-backportscp -r focal focal-proposedcp -r focal focal-securitycp -r focal focal-updates ## 通过 Nginx 发布 HTTP 服务apt install -y nginxsed -e $'/server_name _/a\ \ \ \ \ \ \ \ autoindex on;' /etc/nginx/sites-available/default    ## 打开 autoindexnginx -t    ## 检查配置语法问题nginx -s reload     ## 加载 nginx 配置cd /var/www/htmlmv /opt/repo ./

¶ 修改 MAAS Package repos 配置

如果客户环境连不到外网，那么我们在部署之前需要修改一下 maas 的配置

1. 登录至 maas web 控制界面

2. 定位置至 Settings → Package repos

3. 修改 Ubuntu archive URL 为 http://maas_ip/repo/；并将之前导出的 maas.pub 内容粘贴至 Ubuntu archive Key 中，保存

Galera Cluster 是基于 MySQL / Innodb 二次开发而成的一个支持 “多主同步” 的数据库主从集群。具备多主、同步复制、高可用等特点。

MariaDB Galera Cluster，由 MariaDB 和 MySQL-wsrep 补丁实现, 同 Percona 的 PXC 数据库集群, 目前只支持运行在 Linux 系统上。从 MariaDB 10.1 版开始，MariaDB Server 和 MariaDB Galera Server 安装包已经合并，安装 MariaDB 时，Galera 相关依赖安装包会自动安装，像内置的插件或存储引擎一样，通过简单配置即可启用。

¶Galera 集群状态

查看集群状态

SHOW STATUS LIKE 'wsrep_local_state_comment';

¶ 基本概念

1. Primary Component：在网络发生故障时，由于网络连接原因，集群可能被分成好几个小集群，但只能有一个集群可以继续进行数据修改，集群的这部分称为 Primary Component

2. GTID：Global Transaction ID，由 UUID 和 sequence number 偏移量组成。wsrep api 中定义的集群内部全局事务 id，一个顺序 ID，用于记录集群中发生状态改变的唯一标识以及队列中的偏移量

3. SST：State Snapshot Transfer（状态快照迁移），集群中数据共享节点通过从一个节点到另外一个节点迁移完整的数据拷贝（全量拷贝）。当一个新的节点加入到集群中，新的节点从集群中已有节点同步数据，开始进行状态快照迁移，可以在 Galera 集群中选择两种不同的状态转移方法

   3.1 逻辑数据转移：采用 mysqldump 命令，在转移之前，需要数据接收方服务器完全启动，并准备好接受数据的连接准备。这是一个阻塞式方法，数据共享节点 Donor 在状态转移节点处于只读状态，在数据共享节点 Donor 上适用 FLUSH TABLES WITH READ LOCK 命令，mysqldump 是速度最慢的 SST 方法，在负载比较的数据库集群上可能是个问题。

   3.2 物理数据转移：该方法采用 rsync、rsync_wan、xtrabackup 或其他方法从服务器之间直接拷贝数据，数据接受服务器在拷贝完数据后启动服务器。该方法较 mysqldump 速度较快，但存在一定的限制，只能在服务器启动时采用，数据接受服务器需要同数据共享服务器 Donor 配置相同（例如，服务器间 innodb_file_per_table 配置必须完全一致）。

4. IST：Incremental State Transfer（增量状态迁移），集群一个节点通过识别新加入节点缺失的事务操作，将该操作发送，而并不像 SST 那样的全量数据拷贝。该方法只在特定条件下可用：

   4.1 新加入节点的状态 UUID 与集群组中节点一致；

   4.2 新加入节点所缺失的写数据集 write-sets 可以在 Donor 的写数据集 write-sets 存在。

¶ 搭建过程

¶ 环境信息

## 安装依赖sudo apt updatesudo apt install -y mariadb-server-10.3## 配置集群### 在第一台主机操作systemctl stop mysqlvim /etc/mysql/mariadb.conf.d/50-server.cnf# 在 [mysqld] 下添加 skip-name-resolve# 在文件末尾添加如下内容[galera]wsrep_on=ONwsrep_provider=/usr/lib/galera/libgalera_smm.sowsrep_cluster_address="gcomm://"binlog_format=rowdefault_storage_engine=InnoDBinnodb_autoinc_lock_mode=2bind-address=0.0.0.0# any cluster namewsrep_cluster_name="MariaDB_Cluster"# own IP addresswsrep_node_address="<IP_ADDR_1>"### 完成后保存退出galera_new_clustermysql -uroot -pCREATE USER 'root'@'%' IDENTIFIED BY '<DB_PASSWORD>';GRANT ALL ON *.* TO 'root'@'%';update mysql.user set  Grant_priv='Y' where user='root' and host='%';flush privileges;exit### 在其他两台主机操作systemctl stop mysqlvim /etc/mysql/mariadb.conf.d/50-server.cnf# 在 [mysqld] 下添加 skip-name-resolve# 在文件末尾添加如下内容[galera]wsrep_on=ONwsrep_provider=/usr/lib/galera/libgalera_smm.sowsrep_cluster_address="gcomm://<IP_ADDR_1>,<IP_ADDR_2>,<IP_ADDR_3>"binlog_format=rowdefault_storage_engine=InnoDBinnodb_autoinc_lock_mode=2bind-address=0.0.0.0# any cluster namewsrep_cluster_name="MariaDB_Cluster"# own IP addresswsrep_node_address="<IP_ADDR_2>"   ## 注意：这里填写当前节点的 IP，另外一个节点填 <IP_ADDR_3>### 完成后保存退出## 重启 MySQL 服务systemctl start mysqlsystemctl enable mysql## 检查集群状态mysql -uroot -pshow status like 'wsrep_cluster%';## 需观察 'wsrep_cluster_size' 是否正常（正常为节点数量），以及 'wsrep_cluster_status' 是否为 Primary## 如果集群状态正常，则去修改第一个节点的 /etc/mysql/mariadb.conf.d/50-server.cnf 文件## 将 wsrep_cluster_address 配置修改和其他两个节点一致即可

18:30 落地，取得托运行李后，自江北机场 T3 航站楼乘坐地铁十号线（鲤鱼池方向）至红土地换乘地铁六号线（茶园方向）至小什字下车（8 号口），马路对面就是宾馆！！

• 重庆地铁可使用支付宝刷码进站

• 宾馆前台在 16F，10-15F 是客房

• 企业金会员，有双早，但是早饭不好吃

• 紧承上一条，楼下马路对面就有花市豌杂面（如果不想吃汤面就和老板说要干溜），不想排队等座位的话，可以考虑打包去别的地方吃（隔壁就有类似大食堂的早餐店）

在宾馆休整些许后，步行出发去九村烤脑花（西西推荐，冤有头债有主，觉得不好吃不要找我），步行至洪崖洞店，在附近买了两杯一只酸奶牛后就餐；推荐香菜牛肉、烤茄子、烤鸡翅等

• 宾馆附近有三家九村烤脑花，分别在来福士、洪崖洞、解放碑，三个店离宾馆差不多距离，来福士店十点关门，所以建议去其他两个店

• 九村烤脑花是烧烤店，烤脑花为特色菜，其他菜也很好吃，人均 70~80，人越多越划算

吃完回酒店修锅，一夜无事 💤

¶ 第二天

睡到中午，洗漱出门。

步行至解放碑吃小吃，较场口夜市区域购买降龙爪爪、蜜雪冰城冰激凌，后步行至石灰市，购买现炸小酥肉，并于谭记王烤鱼就餐。

• 降龙爪爪排队的人比较多，但务必要吃，真的好吃

  • 火锅味很辣，真的辣
  • 老卤味很香，真的香
  • 其他口味没有吃

• 降龙爪爪隔壁有家卖脆骨的，人也很多，味道还可以，但是很贵，没有性价比

• 蜜雪冰城冰激凌三块钱，很好吃

• 小吃街卖现炸小酥肉的，大多都不好吃，不要看排队的人多，买回来可能还不如上海谭鸭血点的

• 谭记王烤鱼虽然好吃，但真的很贵，一条江团的套餐 140（和江边城外不相上下），人多的局可以选择吃对面的，烤鱼 + 江湖菜，会比较划算

午餐后沿着石灰市一路向北，来到莲花池社区，其中有著名的石灰市李串串，以及一些小区里居民自己开的烧烤、火锅、烤鱼店，味道都很地道，墙裂推荐！！

石灰市李串串要吃里面那家老店（有标识），一年前吃过，大众点评必吃榜名副其实

沿着莲花池社区的主路一路向北，出了莲花池社区后来到民生路，一路向西后来到通远楼城墙，继续爬，爬到顶后（过了幼儿园）出现了下去的路。

后步行至长江索道处准备过江（此时约 4 点左右），被长江索道外一个大叔拦住：

大叔：不要坐索道了，里面排了 5000 多号了

我一看确实 5000 号：那就不坐索道了，我去做地铁到对面

大叔：你去对面干什么

我：上山吃火锅看夜景

大叔：重庆冬天叫雾都，你上山能隔几公里能看到什么夜景；去洪崖洞玩玩吧

我：安排了，明晚去

大叔：游船没有做过吧，看夜景可以做游船，两江游

我：一年前坐过了

至此，人心难测，真假难辨，不做评论

长江索道门口便是小什字地铁口，非常方便，乘坐六号线至上新街（茶园方向）

上新街地铁口在山腰处，二号口出来便是盗月社曾吃过的豆花鲫鱼店（同样也是在别人家里的）- B 站视频链接

由于之前奔走过于频繁，此时累的一批，就沿着下山的路寻找座位，大概走了一半坐了下来就再也不想动了。。。同时也打消了上山的念头，来到了山脚 – 即南滨路。

沿着南滨路步行至南滨路景区，结果靠江的部分被封了，只能站在上面拍照，血亏。

• 上南山可以参考文博和西西的推荐去吃火锅或者小吃，重点就是在学校附近的店，绝对没有坑

• 巴倒烫也是可以的，如果有时间的话就排个队在外面吃，会比较舒服，一年去吃过，味道不错

打车回渝中（真的太累了，走不动了），晚上去今朝醉小酒馆就餐，两个人吃比较亏，人多了才划算，果酒很好喝，就是太贵了。

晚上回去买了俩烤猪蹄，到酒店洗洗、玩玩手机就睡了 💤。

¶ 第三天

早上鬼使神差的去吃了汉庭的早餐，种类比较少，不太好吃。

洗漱后来到楼下买了一碗花市豌杂，小面打包至隔壁的类似大食堂的早餐店就餐，顺便点了一碗早茶（虽然已经是中午了）。

吃饱喝足后去乘坐地铁一号线（璧山方向）至大坪站换乘地铁二号线（较场口方向），于李子坝站下车，跟着路标出地铁站来到马路对面的李子坝观景台拍照。

李子坝观景台对面是防空洞，进去转转没啥意思。

李子坝观景台主要就是看地铁开进大楼，真的没啥意思，不喜欢的同学可以不用去

根据原计划步行至鹅岭公园（导航显示 2 KM），跟着导航走了 100m 后发现自己开始爬山，爬到怀疑人生后发现自己从李子坝地铁站爬到了上一个地铁站 - 佛图关，心态大崩，由于小黄同学身体不适，就此作罢，劝后人以此为戒。

从佛图关地铁站乘坐二号线（较场口方向）至较场口地铁站下车，来到较场口夜市，采购部分小吃走回酒店修整（此时约 4 点左右）。

晚上六点左右出门，直奔洪崖洞（无需买票），在洪崖洞外有大叔说十块钱带你去洪崖洞一楼，不用排队，不用理会即可。

此处科普：

• 洪崖洞共有十一层楼，当你站在地面上准备入洪雅洞的时候是在十一楼，你可以认为他是在地下 1-11 层，不同的参考系而已
• 入洪崖洞不要门票，扫码预约或者美团预约即可（免费）

排队进入洪崖洞后，随大流走到当前楼层的尽头，开始下楼，下楼有两种方式，可以做直梯（参考 PDD 上班），也可以走楼梯（果断选择走楼梯）。

在人挤人的环境下走到 5 楼（好像是 4 楼，记不清了），开始参观所谓的 xxx 风情商业街。记忆中从 1 -5 楼都是这种商业街，特色就是光污染 + 重庆特色，拍拍照吃吃东西就没啥了。

走到一楼后就显得非常空旷，并且适合拍江景。

吐槽完洪崖洞后，又要从一楼爬回十一楼，爬不动的建议等直梯。

洪崖洞作为重庆的标志性打卡圣地，基础设施是真的差，一个男厕所三个坑位，两个没有门；四个便池，两个是漫出来的。。。

洪崖洞出来后，步行至石灰市莲花池社区，寻找巴渝龙老火锅 ，今晚选择和盗月社同款打卡火锅店 - B 站链接（也因为这是开在小区里的老火锅，物美价廉）

吃完（大概十点左右）步行回酒店，洗漱玩手机睡觉 💤

¶ 第四天

继续睡到中午，开始收拾行李，准备退房。

中午提着行李去吃豆花饭。

没错，店名就叫豆花饭，在新华路上，依然是盗月社同款打卡店 - B 站链接

这个也是重庆人民自己开的店，便宜实惠量贼多。一人点了一份豆花 + 米饭，另外点了一个尖椒回锅肉 + 毛血旺，吃到撑，都是下饭菜！！

下午则没有去什么别的地方，直接去机场等着回家了

¶ 总结

重庆是很美的城市，三天的行程只发掘了它一小部分的魅力；山城，一定要上山感受他的魅力（虽然这次没有上南山，下次去补上！！）。

秋天，湿度、温度都刚刚好，上山，吹风，观景，吃火锅，一绝。

¶ 对于吃

重庆吃的很多，建议参照上级目录中西西和文博的推荐（即我修改后的表格以及他们留下的评论）。

商场里的店仅限打卡，吃还是建议进社区/小区/学校周边，比较有重庆味道且价格实惠。

重庆味道不是辣，辣起辅助作用，主要是香、鲜，菜大多都比较下饭，所以不必追求菜量（口味重另说）。

¶ 对于行

地铁 / 公交可以解决大多数场景，实在累了就打车。

看地图时刻记得要加上 Z 轴，只看路程距离是不行的，还得看该路程是否在山上。

¶ 对于玩

• 洪崖洞：不推荐，如果人少且实在是闲着没事可以去；

• 游船：不太推荐但高于洪崖洞，缺点是贵且排队人多，优点是可以看到洪崖洞全景，但如果买票上船了一定记得要随身带身份证，没有带就别买票，否则两三个小时都在排队；

• 索道：不太推荐，大号缆车，就是站在缆车里听导游哔哔十分钟就到对面了，排队平均时间在一小时（如果要做缆车，记得提前取票，避免傻等着）；

• 解放碑：推荐，附近都是小吃街，如解放碑好吃街、八一路好吃街、民族路好吃街、较场口夜市等；

• 李子坝观景台：推荐，地铁直达，可拍照且不用排队，去完李子坝可顺路去鹅岭、三峡广场等（地铁直达）；

• 皇冠大扶梯：推荐，地铁直达（目前貌似未开放）

• 三峡广场：一般推荐，离解放碑稍远，也是一个商业街，附近有一些学校（沙坪坝小区），所以吃的还可以

• 磁器口古镇：不太推荐，比较远的一个古镇商业街，因为免费门票，所以人很多，还是爬山，所以一般情况不推荐去；

• 川美：想去，但是因为疫情不开放；

• 南山：推荐，山上有不少大学以及火锅一条街，所以吃的肯定不错，并且有南山一棵树观景台，观景效果应该不错；

• 南滨路：不推荐，没啥好玩的，临江 + 商业广场

• 七星岗 / 通远楼：有时间可以从石灰市步行至通远楼城墙，爬上山后至七星岗，没有啥特别的，但是比较贴近重庆市民的生活，适合放松

支持 KVM 虚拟机使用 UEFI 引导需要安装 OVMF 组件，参考基于 CentOS 安装 KVM。
目前通过 virt-v2v 导入的 ova 且使用 UEFI 启动的虚拟机（from vSphere）再 define domain 的时候会有报错，报错如下：

error: Failed to define domain from /tmp/v2vlibvirt20e61b.xmlerror: unsupported configuration: smm is not available with this QEMU binary

以上报错是 OVMF 的问题，参考：https://access.redhat.com/discussions/3175901

具体是因为因为 “OVMF_CODE.secboot.fd” 固件在当前的 qemu-kvm 中不受支持，RedHat Discussion 上有两种解决方案：

1. 重构 OVMF RPM 包，参考： https://access.redhat.com/discussions/3175901

   Removing “-D SMM_REQUIRE”, rebuild the rpm, browse inside the rpm and then copy OVMF_CODE.secboot.fd to /usr/share/OVMF/OVMF_CODE.fd makes it work but I don’t know whether this will reduce security.

2. 升级 qemu-kvm 版本至 2.6 以上的 qemu-kvm-rhev 版本

   ‘With this update, the “OVMF_CODE.secboot.fd” firmware binary file includes the Secure Boot feature. This binary can be used with pc-q35-rhel7.3.0 and later Q35 machine types only […]’
   Those machine types are unavailable when using the 1.5.3-based “qemu-kvm” package of base RHEL. They are available only when using the 2.6.0-based “qemu-kvm-rhev” package, which is not part of base RHEL.

未完待续……

Understanding VM Sanpshots in ESXi

VMware vSphere 6.7 虚拟机快照原理及 Veeam Backup 备份

vSAN 中的闪存缓存设备设计注意事项

¶ 初时虚拟磁盘文件

ESXi 虚拟机的存储文件主要为 .vmx、.vmsd、.vmdk 等文件，其中对于 .vmdk 文件：

• xx.vmdk：该文件保存的是磁盘的元数据，包括 xx-flat.vmdk 和 xx-ctk.vmdk 文件

• xx-flat.vmdk：该文件为 Extent Description 二级制文件啊，二级制数据保存在此文件中

• xx-ctk.vmdk：该文件为 CTK 文件，CBT（数据块修改跟踪）启动时自动生成

¶ 快照

快照创建过程中，新增以下文件：

• **-000001.vmdk

• **-000001-ctk.vmdk

• **-000001-delta.vmdk（基础 vmdk 上的变更位图）

• **-Snapshot*.vmsn（快照状态文件）

¶ 快照创建过程简单描述如下

1. 当虚拟机未创建快照时，虚拟机的读写操作直接在 VMDK 文件进行；

2. 当虚拟机创建第一个快照时，这时生成 -000001-delta.vmdk 和 -000001.vmdk 文件，并立即锁住源 VMDK 文件，将其变为只读状态。虚拟机的写操作均在 -000001.vmdk 上进行，读操作将在.vmdk 和 **-000001.vmdk 上进行（具体基于需要读的数据所在位置）；

3. 再次创建快照的原理和之前一样，生成 -000002-delta.vmdk 和 -000002.vmdk 文件，锁住 **-000001.vmdk 文件，将其变为只读状态。

¶ 注意点

• 对于有用快照的虚拟机做写操作时，均在新的 vmdk 文件进行，如果数据在父 vmdk 上（被锁住成只读的 vmdk），先将数据拷贝到新的 vmdk 上，再进行修改；

• 当读取某一块数据时，ESXi 需要判断从哪里去读：对于没有修改的数据块，从父 vmdk 读，对于已经修改的数据块，从新的 vmdk 上读。

• 整合多个虚拟机快照时，主机会短暂无响应