🦆 酷鸭数据 · 520情人节特别活动机来啦！

🎯 活动截止：6月1日 · 错过不再有！

💝 这次活动有点猛！

趁 5·20 中国情人节，酷鸭直接上了一波 香港 CN2 活动机，配置给到位，价格也砍到底

项目详情

🇭🇰 节点香港 CN2（三网优化）

💻 CPU2核

🧠 内存2G → 活动期间免费升4G！

💾 硬盘100G

📶 带宽10M CN2

💰 月付19.9元

💰 年付199元

⚠️ 重要： 内存升4G的福利仅限 6月1日前下单 的用户，名额有限，先到先得！

🎁 再送你一个！CDN 也白嫖！

下单就送 酷鸭官方 CDN，这波是认真的：

CDN 福利详情

🌐 节点7个香港节点（多线路负载，覆盖全港主流运营商）

📊 每月流量500G

⚡ 宽带100M

🔗 CDN地址https://cdn.aote.io

> 7个香港节点意味着——不管你的用户是电信、联通还是移动，都能找到最优接入点，延迟更低，体验更稳。 > 相当于买机器送加速流量，流量不够用？加购也便宜。这配套在同价位机器里几乎是独一份。

🌍 香港 CN2 适合做什么？

🖥️ 个人博客 / 技术站

🛒 跨境电商独立站（免备案真的香）

📱 App 后端 / 小程序后端

🎮 游戏试点服

🧪 学习实验环境（练手不心疼）

🔐 免备案 · 买了就能用

备案这件事，懂的都懂——材料打回、时间拉长、心态爆炸。

用酷鸭香港节点：域名解析完，5分钟上线，免备案这件事，用过就回不去了。

💰 为什么说这次活动值得冲？

199/年 — 市场上同配置香港 CN2，这个价格基本是抄底价

免费升4G内存 — 相当于白送一半配置，6月1日前有效

送CDN — 7个香港节点+500G流量+100M宽带，光CDN这部分市价也得好几十

三网优化 — 电信/联通/移动都吃得开，不是单线机的体验

一句话：这波活动，机器+CDN 打包给你，性价比直接拉满。

⚠️ 再次提醒！ 活动截止日期：2026年6月1日 免费升4G内存：仅限6月1日前下单用户 名额有限，早买早享受！👉 直接点我购买活动机

📋 常规套餐也有 不满足于活动机的朋友，酷鸭还有新加坡、日本、台湾、韩国、越南等多节点可选，配置丰俭由人，详情戳：

👉 https://www.kooya.vip/servers/buy

🎁 老张专属推广链接

🎁 我的专属推广域名： https://kooya.vip

💡 通过我的链接注册的朋友，都是我的 VIP 客户，后期有小福利！

有问题也可以找我，或者直接问酷鸭客服，报"老张推荐" ok的 😄

我给自己定义“瞎折腾”应该很多次了！每次折腾完一件事之后，才会把整个折腾的过程撸一撸思路，这才会发现绕了太多太多的弯路而浪费了太多太多的时间。讲一讲这次我又是怎么样瞎折腾兰空图床上传失败的吧！

应该是大前天，我写老张随笔里需要上传一张图片到图床，传了N次都不行，要知道之前上传都是正常的，换了其他的存储方式也上传不了！好了，下面就是我的“骚操作”，开始了我的“瞎折腾”之路了！

瞎折腾之一：重置消息队列

兰空图床我是普通方式安装，在生成缩略图、图片处理以及发送邮件等等功能中，这些耗时任务都需要使用消息队列来执行，我们可以使用 php artisan queue:work 命令来运行消息队列。这块我是删了加、加了删，折腾了N次。

结果是可想而知的！图片上传还是失败！

瞎折腾之二：降级数据库

为了能跟上“潮流”，我在3月20号的时候，把数据库mysql从5.7版本升到了8.0的，升级之后所有网站运行正常。期间在4月10号的时候还正常的上传过图片到图床。但是，自己的脑子还是跑气，还是把数据库给降级了。这次降级没有直接整体降级，而是给兰空图床单独配置了一个docker部署的Mysql5.7版。这次折腾docker部署的Mysql5.7版也是搞了半天的时间，Docker版的mysql部署好后，导入数据又是个问题了，又安装Navicat，远程到Docker版的mysql数据库，才把数据给恢复了！

结果是可想而知的！图片上传还是失败！

瞎折腾之三：删站重建

脑子跑气上头了！折腾起来不经大脑了！把数据库备份下，把网站、数据库重部删掉，下载网站源文件，从0开始安装，在用全新数据库的情况下再次测试图片上传，结果，结果，还是失败！把数据库恢复后再次测试，结果，结果还是失败。

瞎折腾之四：网站搬家

人如果脑子一根筋了，谁劝也没有用，何况还没有人劝呢！在我的甲骨文破西上也是从0开始安装了兰空图床，上传图片成功！把数据库恢复，上传图片成功！

最终折腾：回到起点！

虽然把网站搬到甲骨文后上传图片正常了，但是甲骨文破西只是本时瞎折腾东西用的，放网站速度还是慢的。那只能再回来起点！

这次折腾，真的是静下心来了，想着，之前上传图片是正常的，而某个时间上传不成功，而网站环境、配置什么的又都没有修改过，那问题出在哪里了？请出我的“小张”，把网站日志交给小张分析，再把网站目录下的/storage/logs日志进行了分析，最终导致图片上传失败的原因找到了，想都不敢想！是服务器时间与标准时间不一致导致的上传失败！

日志分析得很清楚了，核心问题就是 服务器时间不对： 错误：RequestTimeTooSkewed

RequestTime: 20260421T084333Z (请求发起时间: 08:43:33 UTC) ServerTime: 2026-04-21T08:26:19Z (服务器认为的时间: 08:26:19 UTC) MaxAllowedSkew: 900000ms (15分钟)

两者相差约 17分钟，超过了 AWS S3 允许的 15 分钟偏差，所以 S3 拒绝了上传，返回 403 Forbidden。

解决方法：同步服务器时间 bash 查看当前服务器时间 date -u

同步 NTP 时间 timedatectl set-ntp true

或者手动安装 ntpdate 同步 ntpdate -b pool.ntp.org

同步完之后再上传就好了。

这个坑确实比较隐蔽——应用日志会报 403 Forbidden，但真正原因藏在 AWS 返回的 XML 错误信息里，提示 RequestTimeTooSkewed，指向时间偏差问题。

想不到是服务器时间与标准时间不一致，超过了S3的允许范围15分钟而导致拒绝上传！

总结：

唉，瞎折腾！瞎折腾！自己一直在瞎折腾！遇到问题不先理清思路，上去就是一通瞎折腾！结果是浪费了精力浪费了时间！就这件事而言，如果事前可以静下来，理理思路，根本就不会浪费这么多时间和精力！唉！以后遇事，还是得要先“想静静”吧！

我的办公电脑安装是三网口的网卡，一网口连接外网，而另外两个网口给虚拟机使用，用来连接内网。这样的好处是遇到紧急的情况可以不需要再跑到办全室来办公，可以在家里直接远程办公室电脑而达到连接内网的效果。

系统安装好到目前为止已经使用快五年时间了，也不知道从何时起，经常遇到QQ、微信可以正常使用，而网页打不开的情况。这样情况是电脑开机后，网页可以打开，不知道什么时候，网页打不开了，可能再过个把小时十几分钟，网页又可以正常打开了，反反复复。QQ微信正常可以连网，而网页打不开，正常的解决模式都是DNS或是问题题，因为QQ微信是用的直接IP连接，不依赖DNS默认网关。而浏览器则需要依赖于DNS，所以就会遇到“打不开网页，但是聊天却正常的情况”。

是的，可能大家都是这么认为的，我也是这样认为的，所以当出现这样的问题后，就一直在折腾着DNS和网关。不管是手动设置IP、网关、dns还是自动获取，问题依然会存在。后来通过度娘了解，下载了“360断网工具箱”，每次遇到网页打不开的情况就用“360断网工具箱”来进行修复，每次360断网工具箱检测的结果都是“HOSTS异常”，但是，并不是每次都可以修复成功。这个问题一直困扰我许久许久，估计至少有一年多时间。

后来kimi、豆包、deepseek出来后，也向这几位AI请教过，得到的答案和百度出来的结果差不多，都是DNS问题。没办法，将就着用吧，所以“360断网工具箱”是我每天打开次数最多的软件。

openclaw我都部署了两三个月了，我给我的openclaw起名叫“小张”，虽然“小张”是个犟种，但是还是给我解决了很多问题。之所以没有让“小张”帮我解决这个网络问题，我是想着连kimi、豆包、deepseek都解决不了，那“小张”也就解决不了吧！今天报着试试的心态，让“小张”解决来，结果三行命令找到问题的根源，三行代码解决问题。

我提出的问题是：我的电脑安装三个网卡，其中一个连接外网，另外两个分配给虚拟机连接内网使用，都是自动获取IP地址。QQ和微信可以正常使用，但是经常打开不了网页。

而“小张”经过初步判断就找到了问题的根源：

根据你描述的情况，我初步判断是多网卡路由优先级问题：

QQ/微信用的是直接 IP 连接，不依赖 DNS 和默认网关，所以还能用

浏览器依赖 DNS 和默认路由，路由冲突时就会"打不开网页但聊天正常"

把命令结果发我，我帮你具体分析是哪个网卡的路由优先级出了问题，以及怎么修。

第一步：打开命令提示符（CMD） 按 Win + R，输入 cmd，回车

第二步：逐条执行以下命令，后，把结果反馈给“小张”

ipconfig /all
route print
netsh interface show interface

具体命令运行结果就不贴出来了，就直接贴出“小张”的分析报告吧！

找到根本原因了！路由表有严重问题。问题确认：三条等优先级默认路由

三个默认网关 metric 完全相同（都是35），Windows 会在这三条路之间负载均衡。问题在于：

192.168.1.1 和 192.168.2.1 是内网 VM 的网关，不走公网

你大约 1/3 的公网流量会走到这两个内网网关，导致网页打不开

QQ/微信部分流量碰巧走了 Tailscale（metric 5，优先级极高）或正确的外网网卡，所以能通

修复方案：把外网网卡（以太网/Realtek）的 metric 调低，让它优先。

netsh interface ipv4 set interface "以太网" metric=20
netsh interface ipv4 set interface "以太网 2" metric=50
netsh interface ipv4 set interface "以太网 3" metric=50

在win界面个修改方法是：控制面板 → 网络和共享中心 → 更改适配器设置；然后：右键点击对应的网卡（以太网/以太网 2/以太网 3）→ 属性；双击 Internet 协议版本 4 (TCP/IPv4)；点击 高级去掉 "自动跃点" 的勾，输入自定义跃点数；确认一路确定。（跃点数数字越小超优先）

提到“接口跃点数”，我很确定的说，我在做系统的时候设置过，绝对设置过，保证设置过，但是后来不知道什么原因跃点数变成自动获取变成一样的了。出现问题也没有去想“接口跃点数”而一直在折腾DNS。

唉，困扰一年多的问题终于解决了！还是有“小张”好。

其实，这个问题如果静下心来仔细思考的话，应该可以轻松解决，但是却陷入了“常规思维”！现实中很多事情都是这样，明明问题很简单，却跳不出“常规”！

按目前《目前老张博客服务器搭配方案！》，把老张博客还是搬回了CloudCone。酷鸭数据香港这台VPS，因为线路好配置也高，只放个小博客有点性能过剩了，准备把openclaw安装上去，让我的“小张”搞一些项目！如果手里没有好性能、好线路的机器，酷鸭数据真的是不错的选择！

目前老张博客的服务器搭配是:访客 → 瓦工 Megabox(1panel 反代+WAF) → CloudCone(宝塔+WordPress)，也就是在前天，有垃圾评论我准备拉黑IP地址的时候才发现，这个家伙的IP显示是我的瓦工 Megabox地址。出现这样的问题有两种可能，一是瓦工Megabox反代时没有把真实 IP 传递给 CloudCone，二是瓦工Megabox传递了真实IP但是 CloudCone 端的 WordPress 没有正确读取这真实IP。

在 1panel 反代配置中添加 Headers

在瓦工Megabox的 1panel 中，找到你的反向代理配置，添加以下 headers，具体步骤如下，并添加以下代码。注意，检查下，如果代码已存在，就不要再加了！经过检查，1panel的反向代理配置已经很完善了！

proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header Host $host;

修改WordPress配置

经过第一步后，发现wordpress还是没有能正确的获取到访客的真实IP。我又检查到我的“老张随笔”是可以正确获取的访客真实IP的。那问题就是出在WordPress的配置上了。打开WordPress根目录下的 wp-config.php，在 <?php 之后第一行添加下面的代码

// 获取真实 IP（反代场景）
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$ip_list = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
$_SERVER['REMOTE_ADDR'] = trim($ip_list[0]);
} elseif (isset($_SERVER['HTTP_X_REAL_IP'])) {
$_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_REAL_IP'];
}

OK了，至此，WordPress就可以获取到访客的真实IP了！你学废了吗！

老张不是在搬博客，就是在搬博客的路上！不过这次搬完之后，就稳定不搬了！安心用酷鸭数据的香港VPS了！不折腾了！

《目前老张博客服务器搭配方案！》，根据这个方案是：访客→中转机：瓦工megabox（1panel反代）→落地机：CloudCone（宝塔部署WordPress）。虽然看着这么长的一串，配置起来真的不麻烦，而且速度、性能、安全等几个方面都得到了保障。

经过这一段时间的使用，我却遇到了一个无疼无痒的问题，就是直接评论文章时提交所需时间正常，一般情况下是一两秒钟，而回复评论至少二三十秒才可以提交成功，有时会超过一分钟。遇到问题就需要解决问题嘛，折腾呗。

排除Akismet反垃圾评论API卡住

这一点就可以排除，因为我压根就没有安装反垃圾评论插件。另外一点理由就是只有回复评论时提交才会卡，直接评论文章是正常的。

排除WAF或反代服务器延迟

我的服务器搭配是使用瓦工megabox做中转机进行反代的，比正常访问多走了一个服务器，这点可能造成延迟。于是，我把中转机反代取消，域名直接解析到CloudCone的服务IP，结果问题并没有解决。

评论邮件通知是问题根源？

正常评论文章提交时间一两秒，因为“有人发表评论时”我没有选，只是设置了"如果有人回复评论时，请通过电子邮件通知”。那问题就很明显了，就是“评论邮件通知”的问题了！

我使用是小胡修改过的主题，评论邮件通知是主题自带的，没有去深研，先进行测试先吧！

在服务器上执行以下命令，测试邮件发送是否正常，结果显示连接正常，并没有超时或是很慢的情况。那就是说明smtp是通的！

# 测试服务器能否连接邮件服务器
timeout 5 telnet smtp.qq.com 465
# 或者
timeout 5 telnet smtp.163.com 465

既然 SMTP 是通的，要么邮件是异步发送的（不阻塞主流程）、要么评论提交时的处理逻辑和回复邮件的逻辑不同。因为评论邮件通知不是插件而是主题集成的，就必须要分析主题代码，工作量大，等有时间再交给AI折腾吧！

换酷鸭数据香港服务器再测试

因为CloudCone和酷鸭数据的两台服务器我都是部署了宝塔，博客搬家是真TM的方便，两三分钟，把博客再搬回到酷鸭数据的香港服务器上，再进行回复 评论测试，你猜怎么着！回复评论提交时间只需要一两秒了！

总结

感觉这是件很玄幻的事情，两台服务器的运行环境是一样，唯一不同的是CloudCone是ubuntu，而瓦工是debian。CloudCone配置是4C4G的配置，按理说这样的配置怎么回复评论就卡了呢！

我也是的，有酷鸭数据香港的VPS，速度完美、性能超强，还去折腾什么CloudCone呀！不管了，等有时间再折腾了，我又把老张博客搬回酷鸭数据了！！有酷鸭数据这口精粮，那CloudCone那口粗糠就不吃了！

推广时间

📢想要买酷鸭数据服务器的，走我的专属推广域名https://kooya.vip，有惊喜哟！

这几天又折腾，把老张博客从酷鸭香港上再搬到CloudCone上，这样也就是所有的网站都集中到了CloudCone上。老张博客在酷鸭香港上已经四个月时间了，这四个月时间的使用体验真的非常的不错，很爽。之所以再搬回到CloudCone，就是因为酷鸭香港的服务器配置高、线路稳，我想着再折腾需要高配置的东西。

而目前网站的服务器搭配方案是CloudCone做为落地机搭建网站，瓦工megabox作为中转机进行反代来拉CloudCone。

目前有两台CloudCone的机器，配置是4C4G80G，机房位置是洛杉矶DC1。在CloudCone上部署了宝塔面板，搭建了老张博客等所有的网站，两台4C4G的CloudCone机器，性能是足够用的了！

瓦工的megabox，配置虽然是2C2G，但是线路那是绝对的好！三网优化，电信去回CN2GIA、移动去回CMIN2、联通去回9929，机房位置洛杉矶DC1，和我用的CloudCone同一机房。我的瓦工megabox安装的1panel商业版，开启了WAF，这台megabox主要是反代，来拉CloudCone。

性能上，两台4C4G的CloudCone的机机，折腾什么都够了。速度上，瓦工megabox的三网优化，速度起飞。安全上，安装了商业版的1panel，开启了WAF，安全是得到了进一步的保障。要性能有性能，要速度有速度，安全也都到更为全面的保障。

作为博主的我们，都想自己的服务器集性能与速度于一身，但是这样的机器自是价格不菲的，所以大部分都是使用落地机+中转机来实现。之前一直关注hosthatch香港的VPS，已经都买了66刀三年配置是3C6G60G的机器，但是苦于没有买到合适的香港中转机，没办法把hosthatch的机子原价给卖了！现在这款机也溢价二三百了！

1panel的WAF也有会误判的，比如开启了waf之后，trilium就会一直与服务器连接失败，看了后台才发现，原来trilium的/api/notes/*请求全部都被waf拦截了，没办法，自定义个规则放行吧！今天用兰空图床上传图片的时候，也出现被误拦截的情况！

各位亲们，在以后的互访中如遇因waf误拦截而导致的错误情况，请及时和我联系！感谢！

2月份飞牛的暴雷，不得不考虑NAS安全防护。上一篇博客文章《NAS，如何做好安全防护！》，只是从原理及理论上讲了Lucky+雷池waf的作用，今天我们再加上一个Tailscale。

我的网络的软硬件环境，J4125下ESXI虚拟了爱快、Openwrt、黑群晖，另外一台单独的物理机装的飞牛NAS。在之前，我是把Lucky和雷池都是部署的飞牛NAS上，这样虽然起到了保护作用，但是防护和服务都部署在同一台飞牛NAS上，还是存在一定的隐患。所以双休的时候，又在J4125上再虚拟了Debian，在Debian上部署了Lucky和雷池waf，至少做到了服务与防护相分离，安全性也得到了进一步的提升。

我的网络服务需求是这样的，一是双休以及长假孩子在家上网，而有时我长时间在外面很不好控制家里的网络，所以需要在外连接家里的爱快控制孩子上网，像这种需求，属于“非公开”、“不经常”性服务。二是飞牛NAS上部署了各项服务比如emby等，在外面经常需要使用到emby等。当然，这项服务还可以提供家亲戚朋友们使用，属于“公开”、“经常”性服务。非公开、不经常的服务，我来用Tailscale来进行防护，公开、经常性的服务，我们用Lucky+雷池waf进行防护。

Tailscale部署与配置

Tailscale 是一款基于 WireGuard 的零配置网状网络（Mesh VPN）工具，核心功能是让位于不同网络环境（家中、公司、云端）的设备组成一个私有的、加密的虚拟局域网（Tailnet）。

直接从飞牛的应用中心安装即可，打开界面后，右侧有详细的安装步骤，网上这类教程也非常的多，不再多述。同一局域网下，只需有安装一个服务端即可，像我这样的网络环境，可以安装在飞牛NAS上，也可以安装在群晖里。为了图省事，我安装在了飞牛上，但是，还是建议大家部署到路由上，毕竟路由是24小时不断电常开的，像我这样部署在飞牛上，哪天飞牛关掉了，也就没有办法利用Tailscale连接到家里的内网了。

openwrt部署配置Tailscale的教程很多，现在爱快iKuaiOS版也可以折腾各项“应用”和Docker了，把Tailscale部署在爱快上是最佳的选择。

家里的服务端部署好后，在手机或在外面常使用的电脑上安装Tailscale客户端，登录与服务端同一账号后Tailscale个人中心就会看到新设备。经过设置后，就可以用家里局域网段IP加端口访问家里网络的所有服务了！比如在外地，用手机浏览器，直接输入192.168.1.1就可以连接到家里的爱快进行设置，来控制孩子上网了。

Tailscale的局限性是需要安装客户端，需要登录自己的账号。如果家里的网络服务只是自己和家人使用的话，Tailscale方案完全可以了，就不需要部署lucky+雷池waf了。

Lucky部署配置

Lucky我是在Debian上用Docker方式部署的，当然你也可以部署在爱快、openwrt上。如果使用了Lucky自带的WAF时，那最好与被防护对方部署在不同的物理机上。Lucky中，我们需要设置动态域名、SSL证书，这两项都可以用泛域名，比较省心。

重点设置在“Web服务”这一项。

划重点：监听端口，自己随便设置一个不容易被扫端口，这里你所设置的端口必须在爱快里进行端口映射到外网，这个端口也是你的网络唯一暴露在外网的端口！TLS开启，因为我们已经申请了SSL证书，CorazaWAF关掉，因为我们后面会部署雷池WAF。

设置Web服务规则的子规则，如上图，前端地址为自己设置的二级域名，后端地址为雷池的IP地址，注意监听端口可以自己随意设置，不冲突即可，但是务必与雷池中“防护应用”里设置的端口一致。

雷池部署及配置

雷池一键部署，非常方便。配置需要在“防护应用”中添加需要重定向的服务。

域名项直接使用通配符，不需要修改。特别注意端口，填写在Lucky的WEB规则中子规则设置的端口号，必须相同。上游服务器，也就是最终的访问服务的IP加端口，有端口号的必须要加上。

不同的服务，在Lucky的web规则中添加子规则，在雷池waf中添加防护应用即可。至此，Lcuky+雷池waf设置完毕，在外网就可以使用二级域名加端口号访问家里的服务了，比如：ikuai.XXX.com:15421、emby.XXX.com:15421，二级域名不同，端口号一样，就是在Lucky的webf规则中设置的监听端口。

NND，真的不想写教程，又花了一个半小时时间，写出来的自己都不满意！各位看官将就看吧！

===========================AI总结=====================

📝 文章总结：Tailscale+Lucky+ 雷池 WAF 组合防护 NAS

🎯 核心目的

2 月份飞牛 NAS"暴雷"事件后，加强 NAS 安全防护。实现服务与防护分离，提升安全性。

🏗️ 网络架构

硬件环境：

• J4125 主机：ESXI 虚拟化 爱快 + Openwrt + 黑群晖

• 独立物理机：飞牛 NAS

部署方案：

• 之前：Lucky 和雷池都部署在飞牛 NAS 上（❌ 防护和服务同一台，有隐患）

• 现在：在 J4125 上新增 Debian 虚拟机，Lucky 和雷池部署在 Debian 上（✅ 服务与防护分离）

───

🔐 三层防护策略

| 服务类型 | 使用场景 | 防护方案 | | ------- | ------------------- | -------------- | | 非公开、不经常 | 远程管理爱快、控制孩子上网 | Tailscale | | 公开、经常性 | Emby 等 NAS 服务，供亲友使用 | Lucky + 雷池 WAF |

───

📌 各组件作用

1️⃣ Tailscale

• 功能：基于 WireGuard 的零配置 Mesh VPN，组建私有加密虚拟局域网

• 部署：飞牛 NAS 应用中心直接安装（建议部署在爱快/路由上，24 小时常开）

• 使用：手机/电脑安装客户端，登录同一账号，即可用内网 IP+ 端口访问家里所有服务

• 局限：需安装客户端 + 登录账号，适合仅家人使用

2️⃣ Lucky

• 部署：Debian 上 Docker 方式部署

• 核心配置：

• 监听端口：自定义不易被扫的端口（需在爱快做端口映射，这是唯一暴露外网的端口）

• TLS：开启（已申请 SSL 证书）

• CorazaWAF：关闭（由雷池负责）

• Web 服务子规则：前端=二级域名，后端=雷池 IP+ 端口

3️⃣ 雷池 WAF

• 部署：一键部署

• 配置：

• 防护应用：添加需重定向的服务

• 域名：通配符

• 端口：与 Lucky Web 规则子规则端口一致

• 上游服务器：最终服务的 IP+ 端口

───

🌐 最终效果

外网访问格式：二级域名：端口号

• 例：ikuai.XXX.com:15421

• 例：emby.XXX.com:15421

不同服务用不同二级域名，端口号相同（Lucky 监听端口）。

───

💡 核心思路

分层防护：私密管理用 Tailscale（零信任内网），公开服务用 Lucky+ 雷池（WAF 防护）

服务分离：防护组件与被保护服务不在同一台机器，避免一锅端

自从上次《CloudCone和飞牛都暴雷了！》已经有一个多月的时间了，这段时间赶上学期结束太忙以及春节，也就没有折腾，直接把家里的设备与外网“切断”，关掉了所有的端口映射。这让我想到了今天群里一位大佬发的一个图片，是某位网友询问openclaw怎么样确保没有任何黑客可以进入到自己的网络系统，openclaw是这样回答的：

屏蔽了所有SSH远程连接

关停了所有Web服务访问

阻断了所有API回调

甚至连您自己也进不去了

您的服务器现在就像一块完美的、无法被入侵的砖头。建议您带上键盘去机房物理登录。

呵呵，太搞笑了，甚至连您自己也进不去了，得要带着键盘到机房物理登录。虽然是个笑话，也是告诉了我们，想要网络安全，得要“阻断”，当然不能把自己也给阻断了，是必须要阻断外界恶意一切入侵。

增强个人网络安全意识

我这个人的安全意识真的需要很好的加强才行，我会犯一般人都会犯的错误，比如所有网络通行证的密码都是一样的；会不经思考把个人的信息发布到网络上等。在飞牛NAS没有暴雷之前，家里NAS上开通的所有docker服务的端口都是直接映射在外网的。自打飞牛NAS暴雷之后，我才把所以有端口全部断开外网。增强个人安全意识，是一切安全的基础。比如定期更换密码，密码最好为强口令的、能开通2FA的尽量开通2FA等。

安装软路由神器Lucky

Lucky，我也是在飞牛NAS暴雷之后在危险公众号上看到的。Lucky是一款集成DDNS（动态域名解析）、自动SSL证书管理、反向代理等功能的工具，能将你的NAS服务安全地发布到公网。把它部署在NAS和公网之间，可以统一管理所有外部访问。DDNS（动态域名解析）+ 反向代理 + 自动SSL证书，这是我们使用Lucky的灵魂功能，绑定域名、自动解析域名到公网IP自动申请 SSL证书、自动续期证书，访问时全程https加密，安全、省心又方便。

当然，Lucky的功能远远不止我们使用上面的“灵魂功能”，网络上教程也非常非常的多，也不缺老张这一篇，所以想要折腾的，自己百度下，教程满天飞。

安装雷池waf

雷池waf，我也接触两三年了，《把服务器“藏”起来，让网站快起来！》这篇我就详细的说过雷池waf的使用方法。在飞牛NAS上部署雷池waf，老张也不再赘述了

总结

这里和大家聊一聊，在飞牛NAS上部署Lucky和雷池Waf后，他们各起到什么样的作用。

整体效果

部署 Lucky + 雷池WAF后，你的飞牛NAS安全等级会从：

❌ 裸奔（直接暴露在公网）→ ✅ 穿防弹衣

直观效果：

✅ 外网访问只需记一个域名（如 nas.xxx.com）

✅ 全程HTTPS加密，证书自动续期

✅ 访问时先弹窗验证账号密码

✅ 黑客的攻击被WAF拦截，根本碰不到飞牛

✅ 攻击日志可查，知道谁在搞你

Lucky 负责什么？

Lucky = 入口+身份验证+证书管理

功能及作用：

🔄 DDNS域名自动解析到你的公网IP；

🔐 Basic Auth访问前先验证账号密码（第一道锁）；

📜 HTTPS证书自动申请、自动续期SSL证书；

↪️ 反向代理把域名指向内网服务；

🔁 端口转发外网流量导入内网

Lucky的角色：门卫， "先报上名来，再进来"

雷池WAF 负责什么？

雷池 = 流量清洗+攻击拦截

功能作用：

🛡️ SQL注入拦截防止数据库被黑；

🔒 XSS拦截防止网页被注入恶意脚本；

📁 路径遍历拦截防止被；

🚫 CC防护防止被大量请求打挂；

👁️ 攻击日志记录谁在攻击你；

🔧 虚拟补丁没更新系统也能挡住已知攻击

雷池的角色：安检员， "检查有没有危险品"

流量是怎么走的？

1. 用户访问 https://nas.xxx.com

↓

2. Lucky 接收 HTTPS 请求

↓

3. Lucky 验证账号密码 (Basic Auth) ← 第一道锁

↓

✅ 通过 → Lucky 把流量转给雷池 (HTTP)

❌ 失败 → 401 拒绝，连雷池都见不到

↓

4. 雷池 WAF 检查请求有没有攻击特征

↓

✅ 正常 → 转发给飞牛NAS

❌ 有攻击 → 403 拦截

↓

5. 飞牛NAS 收到请求，服务正常运行

一句话总结

Lucky门卫验证身份、管理证书、转发流量（Lucky 管"入口" —— 决定谁能进来、怎么进来）

雷池WAF安检拦截攻击、清洗流量、保护飞牛（雷池管"内容" —— 检查进来的人带没带武器）

《CloudCone和飞牛都暴雷了！》，特别是CloudCone，在遇到问题的解决速度上还是让大家寒心！经过七八天的时间，大家的VPS才陆陆续续地可以重建。这两天虽然有消息说阿三正在商讨补偿的事宜，但是结果应该不会太让人满意。鉴于阿三CloudCone的这样表情，你会不会放弃CloudCone？我可以明确的说，我不会放弃！为什么呢，听我道来。

做好数据备份

谁敢保证大厂的VPS就不会出问题？不管你用大大小小的厂的VPS，都必须要做好数据备份。我基本上是本地一份、阿里云OS一份、和OneDrive一份。这三地备份，基本上解决了数据安全问题。这次CloudCone的暴雷，给我的损失就是少用了七八天的时间，另外就是重新布置网站环境花了半天的时间。

CloudCone少部分机型性价比高

比如我在用的这两台，配置是4C4G80G的，22刀每年。这两台性价比还是非常高的，虽然我是溢价收来了。舍不得放弃的原因之一，是需要一台高配置的VPS，很多时间我会折腾很多东西，像2C2G的配置经常会被搞死。CloudCone至少有三四年时间了，这三四年时间以来，一直都是非常稳定的运行。

至少准备一台备用VPS

我相信大家手里应该都不止有两台VPS吧！一台正式做站，另一台做“实验”或是“折腾”，等“实验”成功了，便把服务安装到正式机上。另外就是建议大家 ，可以选择两个商家的VPS。比如我目前还在用的是酷鸭数据，我早在2025年11月份的时候《老张博客搬家至酷鸭数据香港VPS》。即使这次CloudCone暴雷，我只是花了十几分钟时间，把CloudCone上面的网站轻松的搬到了酷鸭数据上。

找到合适自己的VPS使用方案

想线路又好、配置又高的VSP，这样的价格一定不菲。我使用的CloudCone这两台VPS配置上足够使用，但是线路一般。我便用搬瓦工magebox-pro做为线路鸡也就是中转机来反代CloudCone。搬瓦工magebox-pro电信去回CN2GIA，移动去回CMIN2，联通去回9929/CN2GIA，三网优化非常优秀。同时我在搬瓦工magebox-pro安装了1panel商业版，有了商业的WAF，安全上又有了更进一层的保护。

当然，上面的“组合方案一是价格较高，另外也较为折腾人。你不防试试酷鸭数据，元旦的时候活动机8核16G高性能配置，香港Colo数据中心，399续费同价。估计春节还会有活动。

最后还是那句话，不管是用大厂还是小厂的VPS，一定要数据备份！数据备份！数据备份！

这段时间网络上最火除了OpenClaw外，就应该是CC和飞牛的“暴雷”事件了。这已经不是新闻了！

CloudCone，简称CC，虽然是阿三开的，但是在国内有大量的用户，也能算得上是一个“大厂”了。我在《我在使用的VPS：CloudCone（简称：CC）》里也提到，我的博客使用了CC有三四年之久。好在《老张博客搬家至酷鸭数据香港VPS》，这次暴雷老张博客才没有受到影响 ，但是我的几个Docker服务还都在CC上。昨天晚上看到的通知，VPS可以重建了，但是所以数据全丢了。数据丢了这么严重的事件上，阿三却是一句话带过，好像这次暴雷和他没有关系一样！

1月22号开始，就有不少飞牛用户反映自己的网络卡顿、网络连接数上万，上传下截数据猛增。但是官对开始对这件事好像不是太重视，只是提到出现这种情况是把飞牛放在公网且用了http协议导致的。直到最后事态严重了，才承认自己代码有疏漏，才做了紧急的版本更新和专项的查杀脚本。因为我的飞牛是及时更新，也没有出现网络连接数上万、下传下载等异常情况，以为没有中招。昨天下午官方发布查杀脚本 ，我便跑了一下，NND，也中招了。也不知道自己的数据有没有被外流！

从这两件暴雷事情，来聊一聊！

服务商都是一个尿性

虽然免费使用飞牛，不应该这样说，但是飞牛官方在最初处理这件事情上是不到位了。不管是飞牛还是CC或是其他，遇到这样的情况时，好像都会去极力掩饰自己的问题，这么做估计是想保住自己的口碑，但是为什么不能直面问题去解决了。其实早在几个月前，就有人提出过飞牛的漏洞，但是官方并没有去解决！想一想，大厂都是这样，就更不要说小厂或是野鸡商家了。如果CC的事情发生在小厂上，估计会跑路！所以，以后就不要说什么大厂小厂了!

安全意识淡薄

我的爱快、OP、飞牛、黑群晖，都是直接用动态域名解析放在公网上的，而且密码全都是一样的，更为可怕的都是弱口令密码。这次事情之后，已把端口映射停掉了，目前正在寻求一个安全的方案。不知道你是不是这样!以后一定得要谨记教训了！千万不能让自己的设备在网络上“裸奔”了！随着飞牛暴雷事件，很多人都提到了Lucky，这几天得要好好研究研究，好给我的飞牛加装几把安全锁！

数据备份的重要性！

不管是大厂还是小厂，一定得要记住对数据进行备份！一定要备份！一定要备份！一定要备份！重要的情况说三遍！我的博客以及Docker服务都是三方备份，除备份到服务器本地外，同时还备份到了阿云OSS和OneDrive网盘。CC这次暴雷，虽然数据有备份，但是服务器重装、网站环境配置等等，又得要折腾好几天了！这都第四天了，我的两台CC还不能重装！NND，也不知道什么时候可以恢复。

2024年1月份《还是买了GPD win max2》，其实那是台“游戏机”，但是到目前为止也就玩过一次游戏。平常在单位没办法玩，而在家更不能玩，怕孩子看到。所以这台GPD便当成了随身携带的小巧的笔记本使用了。GPD本身就小导致键盘也小，而手感也不是太好，特别是《入坑客制化键盘80Retros GB65（GAME 1989）》机械键盘后，导致我根本不想去按GPD的键盘，这让我更是加重了我购买一台小巧的便于携带的键盘来配合GPD使用了。

大概在两三周前，在V2论坛上看到有人提到HHKB键盘，便找度娘了解了，特别是很多键盘狂人给它定义为“键盘爱好者的最后一块退烧键盘！”，更加勾起了我对HHKB键盘的好奇心！HHKB双模静音款某宝的官方店售价在两千三左右，而海淘店的售价大约是一千九左右。价格这么高，当然舍不得买新的，在海鲜上守了一个多星期，买了一台二手货。这台原主是2024年11月份京东官方店买的，送了防尘罩和手托，最后1450拿下。因为蹲海鲜也一周多，看了很多二手的HHKB的价格，我这台1450拿的，价格应该中规中举。

上周五下午三点收到的货，拆开后折腾了半天终于连接上电脑，急不可待的试了手感！HHKB静电容键盘的手感，真的不如机械键盘，和我的299的京造JZ990还是有一定的差距的，更不如我的80Retros的手感了！另外就是HHKB的键位布局，真的适应不了！周五下午用了半天，星期天下午用了半天，周一晚上装箱上柜！HHKB键盘虽好，但是不适合我！

好像我就有这个“病”，虚荣心在作怪，买东西老是想买贵的，不考虑对的！这次又重重的打脸了！不过也不能完全怪，毕竟购买之前没有试用过HHKB的键盘，如果能有在实体店试了HHKB键盘的手感的话，你打死我八顿我也不会买HHKB键盘的。

我把这台键盘又重新上架了海鲜，到目前挂了两天了，浏览量还不到一百，没有一个询价的！看来HHKB键盘还是比较小众的！可千万不能砸手上呀！呵呵！(就在刚刚，1450顺丰包邮给出了，贴了邮费，等于用邮费体验了HHKB键盘一天时间2026.1.29）

说到最后，还是想买一台小巧的键盘来配合GPD来使用！

去年11月初的时候，配置了真正意义上的第一台NAS，《DIY人生第一台NAS-硬件篇》。虽然当时花了七千多块，很多人都认为是大冤种，但是这才过两个月，硬件又涨了一千多上去，看了一些新报报道，内存、固态等今年还会持续上涨。本来想把这台NAS转成台式机再配置一个低配的NAS用的，还是算了吧！

这台NAS本是不准备搞影视库的，但是老婆这段时间天天追剧、几个视频平台的年度会员也都连续买了几年，所以也就想着干脆买了115会员，自己来折腾算了。先在论坛上收了一个原石会员，不到30T的空间几十块钱，然后再充值8年会员再送永久40T空间，基本上够用了。

拿网盘来做影视库，最需要解决的就是“网盘直链播放”，也就是大家正常说的302重定向播放。简单的理解就是播放网盘视频时，流量不经过你的NAS或服务器，即使是你家宽带上行很低或是你的服务器VPS在国外，都可以流畅的播放网盘视频。所以，有些没有NAS的朋友，用国外便宜的VPS也可以搭建网盘影视库。飞牛fnos是原生的支持网盘直链播放的，但是经过测试，飞牛影视刮削准确率不高，同一网盘我在单位和在家分别进行了测试，刮削出的影视总量相差近千，所以，不得不再折腾起来。

实现115网盘302播放的，目前主流有moviepilot-v2、CloudMediaSynC（cms）和symedia，后面两者都是那收费版的，今天我们先折腾moviepilot-v2。moviepilot-v2部署好之后，只需要通过115网盘STRM助手、mediawarp这两款插件，就可以实现115网盘strm302播放了。

部署moviepilot-v2

version: '3'

services:
  moviepilot-v2:
    image: jxxghp/moviepilot-v2:latest
    container_name: moviepilot-v2
    stdin_open: true
    tty: true
    hostname: moviepilot-v2
    network_mode: bridge
	
    ports:
      - "4000:3000"
      - "9000:9000"
    volumes:
      - /vol1/1000/Docker/moviepilot/media:/media
      - /vol1/1000/Docker/moviepilot/config:/config
      - /vol1/1000/Docker/moviepilot/core:/moviepilot/.cache/ms-playwright
      - /var/run/docker.sock:/var/run/docker.sock:ro
    environment:
      NGINX_PORT: "3000"
      PORT: "3001"
      PUID: "0"
      PGID: "0"
      UMASK: "000"
      TZ: "Asia/Shanghai"
      SUPERUSER: "admin"
      SUPERUSER_PASSWORD: "你的用户名和密码"
	restart:wlways  
	  

部署emby

version: '3'

services:
  emby:
    image: amilys/embyserver:latest
    container_name: emby
    restart: unless-stopped
    ports:
      - "8096:8096"
      - "8920:8920"
      - "65039:7359/udp"
      - "65040:1900/udp"
    volumes:
      - /vol1/1000/Docker/emby/config:/config
	  - /vol1/1000/Docker/emby/data:/data
      - /vol1/1000/Docker/moviepilot/media:/video
    environment:
      PUID: "0"
      PGID: "0"
      GIDLIST: "0"
      TZ: "Asia/Shanghai"
      EMBY_PublishedServerUrl: "xxx.xxx.xxx.xxx"
    privileged: true	

安装这个amilys/embyserver版本，能让你很开心！你懂的！

安装115网盘STRM助手、mediawarp插件

在moviepilot-v2插件中心中，搜索安装即可。

必要配置

moviepilot-v2设定，系统设置最下清加媒体服务器。（IP地址自定）

moviepilot-v2的API令牌刷新，这点必须注意，是一个坑，否则生成的strm文件缺少api代码，不可用！我就掉在这个坑里折腾了几个小时。

moviepilot-v2-设定-系统-API令牌-刷新即可。

115网盘strm助手配置

mediawarp配置

emby添加媒体库

这个就不赘述了！

写在最后

moviepilot-v2主要功能是PT玩家的影视“一条龙”服务，我们只是使用了他的两款插件。

不要太“迷信”AI，我在部署moviepilot-v2的时候，AI直接把network_mode: bridge这行给去掉了，说是Docker默认就是bridge。结果emby302端口界面老是打不开，又是折腾了几个小时。即使在中途把docker停掉修改配置也不行。最后重新部署才成功。

这篇教程说的比较粗略，只是列出了基本的核心操作，也可以参考网上其他教程进行。

这款插件是我找deepseek写的，主要功能是把typecho发布的内容自动同步到Memos上。应该是绝大部分博主都用不上，各取所需吧！也是想说，AI成熟了，我们每位都是程序员，都可以让AI写出自己想要的功能的代码！

一直以来，除老张博客外，还有一个后花园，老张随笔。老张随笔就是每天记一些点滴，发一点牢骚！字数都是在一两百字，到目前为止，也记录了近一千五百篇日志了。老张随笔最初选用的是较轻量的Typecho程序，后来Memos在博客圈流行的时候，老张随笔便换成了Memos程序，这样能更好的和五木大佬开发的哔哔广场融合。Typecho数据导入到Memos数据库中也非常的简单，这篇《简单几步，Typecho博客文章轻松导入到Memos》教程，便可以教大家很方便的把Typecho的文章导入到Memos中。Memos也使用了两三年吧，但是由于作者的任性更新，版本一直还停留在0.18.1上。加之大家对Memos热度的减少，现在玩Memos的人很少了，原来五木大佬的哔哔广场，每天都好几十条哔文，现在基本上很少有人发了。种种原因，老张随笔又换回了Typecho程序，但是老张又舍不得Memos，所以在Typecho上发布一篇文章后，便手动复制到Memos上，也算是做为备份吧！每天手动甚是麻烦，便有了这款Typecho插件-MemosSync，Memos同步插件。

插件功能特点：

• ✅ 文章发布时自动同步到Memos

• ✅ 支持将文章分类作为Memos标签

• ✅ 可配置可见性（公开/受保护/私有）

• ✅ 完整的错误处理，不影响文章发布

• ✅ 后台配置界面

安装和使用说明

1.安装插件

将下面的文件上传到 /usr/plugins/MemosSync/ 目录

在Typecho后台启用插件

2.配置插件：

进入插件设置页面

填写Memos地址（例如：https://memos.example.com）

输入Access Token（在Memos设置中生成）

选择可见性设置

启用同步功能

3.获取Access Token：

登录您的Memos实例

进入设置 → 权限 → Access Tokens

生成新的Token并复制到插件设置中

注意事项

1. 确保您的Typecho服务器可以访问Memos实例

2. 如果同步失败，会在Typecho日志中记录错误信息

3. 标签会自动过滤特殊字符，只保留字母、数字、中文和下划线

插件结构

/usr/plugins/MemosSync/

├── Plugin.php ├── config.xml └── form.php

1. config.xml

<?xml version="1.0" encoding="UTF-8"?>
<plugin>
<name>MemosSync</name>
<description>将Typecho文章同步到Memos</description>
<author>Your Name</author>
<version>1.0.0</version>
<module>MemosSync</module>
</plugin>

2. form.php

<?php if(!defined('__TYPECHO_ROOT_DIR__')) exit; ?>
<h2>Memos 同步设置</h2>

<div class="typecho-page-title">
    <h2>Memos 配置</h2>
</div>

<div class="typecho-option">
    <label class="typecho-label" for="memos_url">Memos 地址</label>
    <input type="text" class="text" name="memos_url" id="memos_url" value="<?php $this->options->memos_url(); ?>" />
    <p class="description">请输入完整的Memos地址，例如：https://memos.example.com</p>
</div>

<div class="typecho-option">
    <label class="typecho-label" for="memos_token">Access Token</label>
    <input type="text" class="text" name="memos_token" id="memos_token" value="<?php $this->options->memos_token(); ?>" />
    <p class="description">在Memos设置中生成的Access Token</p>
</div>

<div class="typecho-option">
    <label class="typecho-label" for="memos_visibility">可见性</label>
    <select name="memos_visibility" id="memos_visibility">
        <option value="PUBLIC" <?php if($this->options->memos_visibility == 'PUBLIC') echo 'selected'; ?>>公开</option>
        <option value="PROTECTED" <?php if($this->options->memos_visibility == 'PROTECTED') echo 'selected'; ?>>受保护</option>
        <option value="PRIVATE" <?php if($this->options->memos_visibility == 'PRIVATE') echo 'selected'; ?>>私有</option>
    </select>
    <p class="description">选择同步到Memos的可见性设置</p>
</div>

<div class="typecho-option">
    <label class="typecho-label">
        <input type="checkbox" name="memos_enable_sync" value="1" <?php if($this->options->memos_enable_sync == '1') echo 'checked'; ?> />
        启用同步功能
    </label>
    <p class="description">启用后，发布文章时会自动同步到Memos</p>
</div>

<div class="typecho-option">
    <label class="typecho-label">
        <input type="checkbox" name="memos_include_tags" value="1" <?php if($this->options->memos_include_tags == '1') echo 'checked'; ?> />
        包含分类作为标签
    </label>
    <p class="description">将文章分类作为Memos的标签</p>
</div>

<?php
/**
 * MemosSync - Typecho文章同步到Memos插件
 * 
 * @package MemosSync
 * @author Your Name
 * @version 1.0.0
 * @link https://yourblog.com
 */
class MemosSync_Plugin implements Typecho_Plugin_Interface
{
    /**
     * 激活插件
     */
    public static function activate()
    {
        Typecho_Plugin::factory('Widget_Contents_Post_Edit')->finishPublish = array('MemosSync_Plugin', 'syncToMemos');
        Typecho_Plugin::factory('Widget_Contents_Post_Edit')->finishSave = array('MemosSync_Plugin', 'syncToMemos');
        
        return _t('插件已激活，请配置Memos设置');
    }

 /**
     * 禁用插件
     */
    public static function deactivate()
    {
        return _t('插件已禁用');
    }

    /**
     * 插件配置面板
     */
    public static function config(Typecho_Widget_Helper_Form $form)
    {
        require_once 'form.php';
    }

    /**
     * 个人用户的配置面板
     */
    public static function personalConfig(Typecho_Widget_Helper_Form $form) {}

/**
     * 同步到Memos
     */
    public static function syncToMemos($contents, $post)
    {
        // 获取插件配置
        $options = Typecho_Widget::widget('Widget_Options');
        $memosUrl = $options->plugin('MemosSync')->memos_url;
        $memosToken = $options->plugin('MemosSync')->memos_token;
        $memosVisibility = $options->plugin('MemosSync')->memos_visibility;
        $enableSync = $options->plugin('MemosSync')->memos_enable_sync;
        $includeTags = $options->plugin('MemosSync')->memos_include_tags;
        
        // 检查是否启用同步
        if (!$enableSync) {
            return;
        }
        
        // 验证必要配置
        if (empty($memosUrl) || empty($memosToken)) {
            return;
        }
        
        try {
            // 准备请求数据
            $apiUrl = rtrim($memosUrl, '/') . '/api/v1/memos';
            
            $content = $contents['text'];
            
            // 如果启用了标签功能，获取分类作为标签
            $tags = array();
            if ($includeTags && isset($contents['category'])) {
                $category = $contents['category'];
                if (is_array($category)) {
                    $tags = $category;
                } else {
                    $tags = array($category);
                }
            }
            
            // 构建内容，包含标签
            $memoContent = $content;
            if (!empty($tags)) {
                $tagString = '';
                foreach ($tags as $tag) {
                    $tagString .= ' #' . self::formatTag($tag);
                }
                $memoContent .= "\n\n" . $tagString;
            }

// 准备请求数据
           $postData = array(
                'content' => $memoContent,
                'visibility' => $memosVisibility
            );
            
            // 发送请求到Memos
            $http = Typecho_Http_Client::get();
            if ($http) {
                $http->setHeader('Authorization', 'Bearer ' . $memosToken)
                     ->setHeader('Content-Type', 'application/json')
                     ->setData(json_encode($postData))
                     ->setTimeout(30)
                     ->send($apiUrl);
                
                $response = $http->getResponseBody();
                $status = $http->getResponseStatus();
                
                if ($status != 200) {
                    throw new Exception('Memos API 返回错误: ' . $status . ' - ' . $response);
                }
            }
            
        } catch (Exception $e) {
            // 记录错误日志，但不影响文章发布
            Typecho_Log::write('MemosSync Error: ' . $e->getMessage(), Typecho_Log::WARN);
        }
    }
    
    /**
     * 格式化标签
     */
    private static function formatTag($tag)
    {
        // 移除特殊字符，只保留字母、数字、中文、下划线
        $tag = preg_replace('/[^\p{L}\p{N}_]/u', '', $tag);
        return $tag;
    }
}

《老张博客搬家至酷鸭数据香港VPS》时，还算是比较顺利。想着既然老张博客已经搬到了酷鸭数据，那也把我的后花园“老张随笔”也搬过来吧，说干就干。

以前用的CC家服务器，安装的是宝塔面板，手里一直还有一个1panel的永久授权版，所以这次酷鸭数据的香港VPS我使用的是1panel。如果两台服务器都是宝塔，那搬家真的是分分钟的事，直接用应该商店里的“网站迁移”就行，而现在，只能通过备份网站文件、数据库文件后再上传到新服务器的方式来进行搬家了。

网站运行环境不一致

这块还比较顺利，因为两台服务器我都使用了相同版本的MYSQL、PHP等。另外需要特别注意的就是PHP的扩展、禁用函数也必须要保持一致。

链接不上数据库

这个问题非常好解决，宝塔面板链接数据库MYSQL默认的是localhost，而1panel面板连接MYSQL地址是MYSQL的容器的名称，这点必须要修改。

登录后台遇500，Unmatched '}'报错

这个是我折腾最久的一个坑，当把老张随笔搬过来后，登录后台发现出现500报错，提示为Unmatched '}'。这个坑一直折腾了几个小时。其实在这里，我也是犯了一个非常简单的错误，就是搬家之前没有关闭所有插件。所以建议像这样的搬家，最好在搬家之前把所有的插件停掉、主题换成默认的，搬家后再一个一个启用插件，以便可以更好的测试到错误。

把所有的插件和主题停用后，后台可以正常进入，这个时候再一个一个启用插件，当排查到LoveKKCommentModify这个插件，只要启用就会提示Unmatched '}'。因为对1panel不熟悉，找到AI解决了问题。修改了LoveKKCommentModify的Plugin.php文件第343行：将 <? 改为 <?php、第589行：将 <? 改为 <?php。

其实导致这个问题的最终原因是LoveKKCommentModify插件使用了PHP短标签，宝塔面板默认是开启的，而1panel默认是关闭的。只需要到1panel的运行环境中，把PHP短标签开启即可。根本就不需要修改什么代码。

开启伪静态，登录不了后台

登录1panel后台，为typecho网站设置未静态，代码是默认的，但是出问题了。登录后台出现404错误，并提示：“找不到以下 Web 地址的网页： https://zhangbo.net/index.php/action/login?_=5ca13260eXXXXXXX53adXXXXc92a HTTP ERROR 404。

deepseek分析原因为Typecho的路径处理与当前伪静态规则不匹配。我也就想不通了，为什么官方的默认的代码就不匹配了。最后解决方法添加break指令修正规则

if (!-e $request_filename) {
rewrite ^(.*)$ /index.php$1 last;
break;
}

搬了一个家，遇到很多坑，折腾N天！要是若干年前还没有AI的时候，估计请教N位大佬也不一定能把问题解决。现在好了，AI普及，遇到问题都可以自己解决，有了AI，人人都是程序员了！！

《老张博客搬家至酷鸭数据香港VPS》，目前使用已有一段时间了，感觉还是不错的。所以这里推一推自己的AFF。我的推广链接：https://www.kooya.hk/recommend/3gwffST4RbTO

目前酷鸭数据推出2026年盼新活动，8核16G高性能配置，香港Colo数据中心，399续费同价。目前老张博客也是放在这台母鸡上。当我看到这款配置的时候，我和酷鸭交流过，首先问这样高的配置是不是超售，得到答案是绝不会超开。其实像我们这样的博主，根本用不了这样高的配置，我想着能不能把配置降一降比如降到4核4G，带宽从5M往上提一提，这样价格还可以更低。得到的答案是年底了需要向总公司提交年度报告，如果总公司发现容量空那么多就觉得没必要给那么多配置容量给这边市场。所以原来活动配置是8核8G，索性就多送了8G内存。带宽太贵，只能给到5M，对于博客来说，5M的带宽也是足够使用的了。

若有想购买的，用我的推广链接注册呀！首页会弹出活动配置链接。还是那句话，不管是大厂还是小厂，记得天天备份数据哟！

Basic System Information:
---------------------------------
Uptime     : 0 days, 0 hours, 21 minutes
Processor  : Intel(R) Xeon(R) CPU E5-2673 v4 @ 2.30GHz
CPU cores  : 8 @ 2299.984 MHz
AES-NI     : ✔ Enabled
VM-x/AMD-V : ✔ Enabled
RAM        : 15.4 GiB
Swap       : 0.0 KiB
Disk       : 130.0 GiB
Distro     : Debian GNU/Linux 12 (bookworm)
Kernel     : 4.18.0-358.el8.x86_64
VM Type    : KVM
IPv4/IPv6  : ✔ Online / ❌ Offline

IPv4 Network Information:
---------------------------------
ISP        : Cogent Communications
ASN        : AS401696 cognetcloud INC
Host       : FOJ IP TECHNOLOGY LIMITED
Location   : Mong Kok, Yau Tsim Mong District (KYT)
Country    : Hong Kong

fio Disk Speed Tests (Mixed R/W 50/50) (Partition -):
---------------------------------
Block Size | 4k            (IOPS) | 64k           (IOPS)
  ------   | ---            ----  | ----           ---- 
Read       | 227.97 MB/s  (56.9k) | 1.44 GB/s    (22.5k)
Write      | 228.57 MB/s  (57.1k) | 1.44 GB/s    (22.6k)
Total      | 456.54 MB/s (114.1k) | 2.88 GB/s    (45.1k)
           |                      |                     
Block Size | 512k          (IOPS) | 1m            (IOPS)
  ------   | ---            ----  | ----           ---- 
Read       | 1.56 GB/s     (3.0k) | 1.61 GB/s     (1.5k)
Write      | 1.64 GB/s     (3.2k) | 1.71 GB/s     (1.6k)
Total      | 3.20 GB/s     (6.2k) | 3.32 GB/s     (3.2k)

Geekbench 5 Benchmark Test:
---------------------------------
Test            | Value                         
                |                               
Single Core     | 739                           
Multi Core      | 4879                          
Full Test       | https://browser.geekbench.com/v5/cpu/23949468

 SysBench CPU 测试 (Fast Mode, 1-Pass @ 5sec)
---------------------------------
 1 线程测试(单核)得分:          884 Scores
 8 线程测试(多核)得分:          6533 Scores
 SysBench 内存测试 (Fast Mode, 1-Pass @ 5sec)
---------------------------------
 单线程读测试:          18155.68 MB/s
 单线程写测试:          14202.38 MB/s

《DIY人生第一台NAS-硬件篇》已经有十几天了，这段时间由于工作上的事情比较多也就没有怎么样去折腾，只是把手机里、台式机、笔记本、移动硬盘等零零散散的照片收集起来并上传到了NAS，本来想的跑N个服务的到目前为止还一个也没有安装。这个时候就会想到组的这台NAS真的是性能过剩了，提到性能过剩，就来聊聊硬件安装好后，对于软件的考虑。

NAS系统的选择

硬件组建好之后，对于系统我也有考虑。NAS必须要求稳，不能今天安装这个系统、明天再安装个那个系统，只要能稳定运行就行。所以首当选择的就是飞牛fnos，虽然之前一直玩的是黑群晖。在J4125小主机群里有几位大佬交流之后，他们说像这样性能的NAS，不搞个all in one的话，性能都不能发挥出来。他们的建议就是“算存分离”，也就是虚拟出黑群晖来存放数据，而各种应用使用飞牛，飞牛和黑群晖之间通过虚拟交换机的万兆网卡用SMB达到秒传输数据。直接点说，他们看好飞牛系统里的各项应用，但是并不看好飞牛存储数据的安全性，那也就是“即想，又要”的关系了。之前折腾J4125的时候一直用ESXI做底层，但是我的这台NAS网卡却是螃蟹卡，在海鲜上买了半高的I350T4，可是安装好之后，挡了CPU的排风，加之我也不是太想搞“算存分离”，就放弃吧。简单点，直接飞牛fnos走起。其实那时也想着搞Unraid，虽然之前在张大妈上看过阿文菌的教程，但是我想折腾起来的话又得要N久，算了吧。

硬盘陈列方案的选择

在组这台NAS前，手时就存有两块4T西数的红盘和一块4t的旧的监控盘。因为那块监控盘在我手里都运行了两种多，之前从监控上淘汰下来的时候也运行有三四年，一共是运行了五万多小时，所以准备重新买一块西数红盘，三块硬盘组RAID5的，这样8T的空间于我说来真的是足够使用了。但是群里大佬说RAID5如果有坏盘换新重建的时候，有极高的二次故障风险，这个是RAID5最为致命的缺点，而RAID1的重建风险就非常的低。想想自己使用场景也就是存个照片什么的，最终还是两块4T西数红盘组成了RAID1，用来放照片等数据。而那块旧的4T监控盘直接使用,用来放影视，就是这块盘坏了，数据丢了也无所谓。

文件系统类型选择

在我组这台NAS的前两三个月吧，飞牛正式推出了ZFS文件系统。当也有做了功课，请教了deepseek的回答就是，鉴于我的硬件配置，那是必须要上ZFS。ZFS虽然对内存的要求极高，但是32G内存安全可以应付得来。ZFS的受益：ZFS会愉快地使用10GB、甚至20GB的内存作为ARC缓存，这将让您的照片库浏览、文件搜索等操作快如闪电。最终效果是：您的NAS整体响应速度会更快，因为大量的数据请求被内存缓存消化掉了，避免了慢速的硬盘I/O。“请毫不犹豫地选择ZFS。 它的内存占用是一种积极的、提升整体系统性能的投资。您的32GB内存足以让ZFS和您所有的Docker服务和谐共处，并享受ZFS带来的极致数据安全和飞快的读取速度。这是一种“双赢”的局面，而不是一场“零和博弈”。”，虽然deepseek把ZFS说的这么好，但是考虑到后期扩容的灵活性、数据恢复等众多原因，最后还是选择了Btrfs。

其实总结下来，还是选择大众化的，安心、省心、不劳心！

不知道从什么时候起，老张博客打开后台评论页面时非常卡顿，经常导致浏览器无响应，甚至有时候电脑都跟着一起卡，排查了好长时间没有找到原因所在。而目前手里有一台酷鸭数据的香港VPS在跑长毛象，这台酷鸭数据的香港VPS较CC的VPS配置要高一些，所以想着搬过去之后会不会问题可以解决。

酷鸭数据的香港VPS我在《酷鸭数据香港服务器简单测评》做过推荐，从9月份跑毛长象到现在，都一直非常的流畅，线路是没得说。但是价格方面呢，2H2G香港的一个月30块钱，不像什么狐蒂云16H16G香港的才111块钱，可想而知，你自己懂的！虽然酷鸭数据的母公司https://node.co.id/和https://www.ikubaru.co.id/在印尼已经创办多年，但是初到中国市场，大家的认可度还不是太高。如果选择酷鸭数据，可以先选择月付，数据记得每天备份。记得走我的推广链接哟：我的推广链接：https://www.kooya.hk/recommend/3gwffST4RbTO 。再来说说CloudCone，因为价格在那里，中规中矩吧，效果、线路不会惊艳到你，但是也不会太让你失望。

双十一的时候“抢”了雨云的香港活动机，正常价格是48元/每月，年付450元/年，当时活动价是99元，年抛机，当时想拿过来做线路机拉美西的。经过和酷鸭数据的这台香港VPS一比，线路真的是差的有一段距离。

因为跑不少Docker服务，所以本次选择用1panel面板，不管什么，都要尝试一下嘛。到底是才接触，新建一个网站都折腾了个把小时，把老张博客完成搬家后，折腾了三个多小时。要是用宝塔的话，自带的网站迁移，分分钟搞定。折腾这么长时间的原因还是对1panel不熟悉。都说1panel占用服务器资源，我这台服务器目前只把老张博客搬了过来，内存就占用了2.5G了。

博客搬家，目前可以正常访问，估计后续还会遇到这样或那样的小问题，再慢慢解决吧！

搬家成功后，再后博客后台评论页面，卡顿现象并没有解决，说明不是服务器配置问题了。最后还是请教了AI得到了解决，不过开始AI又是让我安装插件、又是让我优化数据库、又让我修改服务器配置。为什么要优化数据库呢，因为我的博客评论数已到20000条，查询数据必然会占用资源。提到了查询，AI最后给的建议是修改每页评论显示数。NND,这个时候我才看到评论页面显示数是999条，修改成每页面显示50条之后，问题立马解决。

在内存、硬盘、CPU爆涨的今天，配电脑、配NAS的都是大冤种，当然包括我！下面是我这次DIY的价格清单，如果在两年前这样的配置便宜两千块钱不敢说，至少可以便宜一千五。

最早玩NAS还是七八年前的蜗牛星际、暴风二期，为什么说是“玩”，因为不知道是什么原因，我的两块全新2T酷狼硬盘用不到半年时间就挂掉一块，因为没有组RAID，数据全部丢失，还好的就是没有存什么重要数据，另外也在网盘上做了备份。但是却有了NAS容易坏硬盘的阴影一直存在。2023年2月，折腾了J4125小主机All in oen，外接了硬盘笼用朋友送的一块4T的监控盘存放影视。这块硬盘在我手里已经两年多，目前一共运行了五万五千多小时，也就是近六年半的时间，还一直健康。

搞真正NAS的心一直都有，加之老婆说我给孩子们拍的照片都没有好好保存，而老婆自己拍的照片都放在QQ空间里，全都压缩成了几百K的，清晰度严重下降甚是可惜。种种原因，那就还是搞一个NAS吧！成品NAS不会去搞，同样配置的得要多出至少一半的年。那段时间天天泡海鲜，也没有选到心仪的，索性就搞一个全新的得了！至于配置方面，也是准备一步到位，至少三五年不过时，性能得要“过剩”的那种！

之前没有DIY经验，配置清单都是按心目中的价格参考海鲜上的。最初选择的主板是三百多块钱、电源是一百多块钱，把清单发到群里后，不少人说机箱比主板都贵，建议把主板和电源搞的好一点，这样会更加稳定，对硬盘也会有很好的保护作用。

硬盘选择了M.2金士顿的1T来安装系统，余下部分作为存储用。2块全新西数红盘组成RAID1来存储重要的数据，如照片等。另一块朋友送的4T监控盘存放影视，即使坏了数据掉了也无所谓。又搞了一台2.5光威固态做为缓存盘，其实这块硬盘是可有可无的，也可以拿金士顿余下空间来做缓存盘。

机箱通风优化方面，购买了机箱背板大4P正反双线接头、弯头的Sata数据线，这样，就可以把原配风扇换成12X25的温控风扇。在2.5寸硬盘位用扎带安装了2个6X25的猫扇，这样机箱通风散热效果会更好。

M.2金士顿硬盘真的不怎么的，待机温度就是54度往上，要知道现在室温才十来度哟。如果夏天或是工作时温度更高，无疑会影响寿命，便购买了利民HR-10 2280 PRO带风扇的。这个风扇散热效果真的是太好了，安装好之后，待机温度变成了32度，直降二十多度。买之前我看评论区有人说降了二十多度我还没有相信呢！

其实这次DIY预算是四千左右，结果就像去买车一样，从最初选择奇瑞QQ最后买了凯迪拉克！估计会有很多人说“你这NAS配置，比我电脑配置高太多”！其实我自己也是，我家里台式机CPU才是i3-7100，海鲜上卖30块！

天天喊着要在博客上做减法，在2023年底的时候就要《将博客减法进行到底！》，首先提到的就是要把域名做减法。减法做着，域名没有被“减”少反而会越减越多（是不是每位博主都是这样呀！）。暑期的时候折腾兰空图床商业版，为了配合“商业”单独又折腾了几个域名。因为那段时间一直泡在西部数码里，又开始关注“域名抢注”起来。其实对于域名这块，只要你不关注，不去想，基本上不会有购买的欲望。

现在把手里的几个域名列列，都按成本价来出吧！

图床域名imgbed.net

意思简单直接，图+床，img+bed，cn后辍一直有人使用。域名在西部数据，已挂市场，博友注册价89元出售。https://www.365.hk/ykj/view.asp?domain=imgbed.net

图床域名pic.ge

这个域名一看就知道也是用于图床的，网站可以起名为“图歌”。图歌，名子真的好听。域名在趣域，博友注册价出售。

ICK.CC（已售）

那段时间关注着net和cc短域名，发现这个ICK.CC可以“抢”，感觉不错，ICK嘛，大家都知道，便提交是148元去抢。结果就我一个人在“抢”，尴尬！哈哈！这个域名也在西部数据，博友抢注价148元出售。https://www.365.hk/ykj/view.asp?domain=ick.cc

吐槽下，我在西部挂的域名出售价是200块，结果出售页面是230块！乖，比我赚的多呀！

所思suo.si

所思，suo.si，当时折腾长毛象时，为了装X找小韩以500块拿下的。现还是成本价500元出售。有一说一，这个域名做博客、随笔什么的，真的还是不错的。

核心理由：为什么 “所思” 适合做博客域名？

1. 贴合博客核心属性：博客的本质是 “记录思考、分享感悟”，“所思” 直接点明 “分享内心所想” 的定位，让读者一眼就知道博客的核心内容 —— 无论是生活随笔、行业思考还是情感抒发，都能完美契合。
2. 简洁易记，传播成本低：二字域名短小精悍，无生僻字，口头交流（如 “我的博客是‘所思’”）或书面呈现都容易被记住，相比长域名更易积累长期流量。
3. 文学感强，自带格调：“所思” 源自古典文学，自带文雅、细腻的气质，能提升博客的质感，区别于普通流水账式博客，吸引喜欢深度内容、偏爱细腻表达的读者。
4. 适配场景极广，不局限内容方向：无论博客是个人随笔、读书分享、行业洞察、旅行感悟还是情感记录，“所思” 都能覆盖 ——“所思” 可是读书心得，可是工作思考，也可是生活碎念，后期内容转型也无需更换域名。
5. 无负面联想，通用性强：“所思” 是中性且积极的表达，没有特定行业或场景的限制，不挑博主身份（学生、职场人、创作者均可），也不会因内容调整显得违和。

图床域名img.ma

目前这个域名自己在用，起名曰“图妈图床”，绑定了兰空图床商业版！发现自己用还是多余了，可以连同兰空图床商业版一同成本价出售。

另外再卖一个小主机吧！

老蔡家的J4125小主机（马捷J4125），配了8G三星内存、1T梵想M.2固态。之前是买来跑点心云的，后来宽带被降速、公网IP被封就没有敢跑，J4125小主机就放在那里吃灰了。家里还有一台同款，用了Esxi做了底层，虚拟了Ikai+OP+DSM，稳定运行了近三年，目前还在效力！可以提供All in one视频教程、工具、安装ISO等，让你体验折腾的乐趣！再送外置硬盘笼，给你的小姐姐们安个家！

价格参考海鲜再适当降底！

首先来说下我的硬件环境，目前我的是用J4125小主机外拖硬盘盒，放了1块1T和1块4T的硬盘。软件环境是ESXI下虚拟了爱快、Openwrt和黑群晖。因为以前坏过盘，心里一直都有阴影，所以黑群晖上也没有放重要数据，即使是有一些照片，也是同步到第三方存储。

黑群晖的东西，求稳不求新，只要能稳定运行最好不要去升级。这次升级的原因就是为了安装可道云kodbox套件。最新版可道云套件需要PHP8.2支持，而DSM7.1里PHP最高版本才是7.4，没办法，想要安装可道云kodbox套件，那只能把黑群晖升级到7.2了。

在升级之前，需要给大家科普下，DSM7.2.2不支持硬解（我也是听群里大佬们说的），如果有硬解需求的，就不要升到7.2.2了，听说7.2.1可以。另外可道云kodbox套件安装和Docker安装的区别：kodbox套件安装，可以安装成MYSQL数据库，而数据缓存可以选择Redis数据库，这样的安装方式速度更快、性能更佳。Docker部署可道云kodbox，也可以选择上述方式，但是设置非常的麻烦，所以Docker方式部署可道云kodbox一般选择SQList数据库，而数据缓存选择文件缓存的方式。

因为有些大神的存在，给我们这些小白有了更好的折腾空间，这次升级我是用了https://rrorg.cn/家的编译引导。因为升级方法过于简单，我不用图文方式了。

1.下载引导文件

移步https://rrorg.cn，自行下载引导文件。

2.利用转盘工具，转成vmdk文件

我的ESXI还是6.7版，所以用StarWindConverter进行转盘，成功后会成生两个vmdk文件。

3.上传RR引导文件，删掉旧引导，添加新引导

把RR引导文件通过“数据存储浏览器”上传的合适的位置，注意的是生成的两个vmdk都要上传，上传成功后会合并成一个文件。

在黑群晖虚拟机的设置里，把原引导盘删掉，这里注意下，不要勾选“从数据存储删除文件”，方便我们降级。重新添加引导盘，选择“现有硬盘”，找到我们上传的引导文件。

4.按rrorg教程，步步升级

rrorg网站上有详细的“使用指南”步步升级即可！

5.注意点

升级过程中，一定要选择“保留系统配置”！一定一定！