作用：让不开放公网 80/443 端口的 NAT 小主机，也可以通过一个 HTTPS 域名被全球访问。

路径：用户浏览器 → Cloudflare 网络 → (Tunnel) → NAT 机

• 官方文档
• 面板 > 网络 > 连接器: 傻瓜式部署

昨晚睡前收了一台 Cloudcone 主机，全款拿下，没有压力。

Basic System Information:
---------------------------------
Uptime     : 0 days, 9 hours, 23 minutes
Processor  : Intel(R) Xeon(R) CPU E5-2690 v2 @ 3.00GHz
CPU cores  : 1 @ 2999.998 MHz
AES-NI     : ✔ Enabled
VM-x/AMD-V : ❌ Disabled
RAM        : 960.7 MiB
Swap       : 1023.0 MiB
Disk       : 60.0 GiB
Distro     : Debian GNU/Linux 12 (bookworm)
Kernel     : 6.1.0-31-amd64
VM Type    : KVM
IPv4/IPv6  : ✔ Online / ✔ Online

IPv6 Network Information:
---------------------------------
ISP        : Multacom Corporation
ASN        : AS35916 MULTACOM CORPORATION
Host       : Multacom Corporation
Location   : Los Angeles, California (CA)
Country    : United States

fio Disk Speed Tests (Mixed R/W 50/50) (Partition -):
---------------------------------
Block Size | 4k            (IOPS) | 64k           (IOPS)
  ------   | ---            ----  | ----           ---- 
Read       | 3.15 MB/s      (787) | 37.30 MB/s     (582)
Write      | 3.17 MB/s      (793) | 37.59 MB/s     (587)
Total      | 6.32 MB/s     (1.5k) | 74.90 MB/s    (1.1k)
           |                      |                     
Block Size | 512k          (IOPS) | 1m            (IOPS)
  ------   | ---            ----  | ----           ---- 
Read       | 66.95 MB/s     (130) | 85.06 MB/s      (83)
Write      | 70.50 MB/s     (137) | 90.72 MB/s      (88)
Total      | 137.45 MB/s    (267) | 175.78 MB/s    (171)

Geekbench 5 Benchmark Test:
---------------------------------
Test            | Value                         
                |                               
Single Core     | 581                           
Multi Core      | 588                           
Full Test       | https://browser.geekbench.com/v5/cpu/23946196

 SysBench CPU 测试 (Fast Mode, 1-Pass @ 5sec)
---------------------------------
 1 线程测试(单核)得分:          852 Scores
 SysBench 内存测试 (Fast Mode, 1-Pass @ 5sec)
---------------------------------
 单线程读测试:          17952.13 MB/s
 单线程写测试:          15587.93 MB/s

控制端自监控

进过测试，控制端是可以做到自己监控自己的。二进制部署后，用作控制端的 NAT 小鸡的 64MB 内存也没有爆。

给板卡扎针 (Komari Agent)

目前，我的 Linux 板卡已经连上路由器，也就是常说的“已连上 Wi-Fi”了。

此时板卡处于一种典型的 “只能出不能入”（Outbound-only） 网络环境：允许主机主动连接外部网络 (Outbound)，但不允许外部直接访问内部主机（Inbound 被阻断）。

在这种前提下，依然成功让 Komari Agent “扎针”并保持在线，这一点让我感到非常意外，非常有意思。

Komari Agent 通信机制

其详细原理可见 官方文档 - Komari Agent 信息上报与事件处理文档。

在我的场景中，板卡是 Linux 系统，并且 可以正常出站访问公网。Komari Agent 启动后会：

• 主动向 Komari 服务端发起 HTTPS / WebSocket 连接；
• 启动时先通过 HTTP 上报一次基础信息（例如 CPU、内存、磁盘等静态或缓变数据）；
• 之后通过 WebSocket 以固定间隔持续推送实时监控数据（CPU 使用率、内存占用等）；
• 同时在这条 WebSocket 连接上接收来自服务端的远程命令等事件，在本地执行后再将结果回传。

整个过程中，所有连接都是由 “板卡 → 公网 → Komari 主控” 主动发起的：内网侧无需开放任何端口，路由器也不需要做端口映射，更不要求公网能够反向访问板卡 IP。

Agent 自动发现

其详细教程可见 官方文档 - Agent 自动发现。

bash <(curl -sL https://raw.githubusercontent.com/komari-monitor/komari-agent/refs/heads/main/install.sh) -e https://example.com --auto-discovery <AD Key> --install-ghproxy https://ghfast.top/

Step 0. 开机

安装Debian系统，IP位置 Report.Check.Place

Step 1. 更新 apt

apt update -y && apt upgrade -y
apt install -y curl wget unzip

Step 2. 创建目录

mkdir -p /opt/komari
cd /opt/komari

Step 3. 下载 Komari 控制端

# https://github.com/komari-monitor/komari/blob/main/docs/README_zh.md
curl -fsSL https://raw.githubusercontent.com/komari-monitor/komari/main/install-komari.sh -o install-komari.sh
chmod +x install-komari.sh
sudo ./install-komari.sh
journalctl -u komari -f

# 修改密码(可选)，默认用户名admin
cd /opt/komari
systemctl stop komari 2>/dev/null || true
./komari chpasswd -p 'TEEHRz7jap3TxpR2'
systemctl start komari 2>/dev/null || ./komari server -l 0.0.0.0:25774 &

Step 4. 反向代理

内部 80/443 端口不提供的话，可跳至第6步。

apt update
apt install -y nginx

# 替换 monitor.example.com 为正确的网址
cat >/etc/nginx/sites-available/komari.conf << 'EOF'
server {
    listen 80;
    listen [::]:80;
    server_name monitor.example.com;

    location / {
        proxy_pass http://127.0.0.1:25774/;
        proxy_http_version 1.1;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
    }
}
EOF

# NAT 映射外部端口 → 内部 80
ln -s /etc/nginx/sites-available/komari.conf /etc/nginx/sites-enabled/
nginx -t && systemctl restart nginx

Step 5. 开启HTTPS

安装 certbot 工具
方式一：HTTP 验证（需要外部 80 端口）
方式二：TLS-SNI / HTTPS 验证（需要外部 443）
方式三：DNS TXT 验证（适合 NAT）

Step 6. 使用 Cloudflare Tunnel

安装并绑定 Tunnel，写 cloudflared 配置文件，最后注意要启动 Tunnel 并设置开机自启。

立创 · 泰山派 RK3566-Linux 开发板 2G+16G 版本，架构 aarch64，内核 4.19.232

过程

1. 刷入官方编译的 Debian 10 固件 hdmi_20230915_update.img
2. 串口 150000 看到 linaro-alip login: 提示后，用账号 linaro 和密码 linaro 成功登录系统。
3. 切换为 root 用户 sudo -i。
4. 使用 nmcli device wifi list 查看可用 Wi-Fi 热点。
5. 使用 sudo nmcli device wifi connect "<WIFI_SSID>" password "<WIFI_PASSWORD>" 连接目标 Wi-Fi。
6. 用 sudo ping -c 4 blog.sixhz.top 测试连通性和延迟。
7. 获取 IP 地址，修改为静态 192.168.0.50，配置路由到板卡 22 端口，从此可以使用 SSH 工具远程板卡（局域网）。
8. 修改 /etc/apt/sources.list 和相关配置文件，将软件源切换到可用的 Debian buster 归档仓库。
9. 使用 sudo apt update 测试并确认 APT 软件源可以正常更新软件列表。
10. 板卡为 ARM 架构，可以安装 1Panel 面板，但内核不支持 mqueue 文件系统，故不能使用 Docker。
11. 挂载 128GB TF 卡，并配置开机自动挂载，查看 df -h。
12. 安装 Nginx 用于配置网站根目录，如 TF 卡挂载的位置。

后续

1. 把 /tmp 转移到 TF 卡，并且让它拥有 20GB 可用空间，防止文件快递柜上传大文件爆掉。
2. 想办法把 8GB 的 /userdata 分区利用上。

1Panel 面板

v1 版本安装 (Docker 附带就安装了)
https://1panel.cn/docs/v1/installation/online_installation/#2

Linux SSH 命令 如何安装 Docker？如何查看版本/开机自动启动/卸载
如何一条脚本，自动安装 Docker，配好 Docker Compose，生成一个 WordPress 示例

Docker Terminal UI 程序，直接在终端里跑：https://github.com/jesseduffield/lazydocker

(进阶)安装 ufw-docker 或 ufw-docker-automated ，解决容器绕过防火墙的问题。

Komari 探针控制端

Docker 一键安装 Komari（数据目录：/opt/komari-monitor，端口 25774）

sudo mkdir -p /opt/komari-monitor && \
sudo chown -R $USER:$USER /opt/komari-monitor && \
docker run -d \
  -p 25774:25774 \
  -v /opt/komari-monitor:/app/data \
  --name komari \
  --restart unless-stopped \
  ghcr.io/komari-monitor/komari:latest

SSH 命令 如何安装/配置 防火墙

RedHat/CentOS 使用的是 Firewall 防火墙。
Debian/Ubuntu 使用的是 UFW 防火墙。

SSH 命令 如何安装/配置 Fail2ban

注意添加 jail.local 文件，不修改原配置文件，Debian12 中 backend = systemd
开机自动启动/重启/查看状态/查看可用 jail 状态

[Definition]
logtarget = SYSTEMD-JOURNAL
allowipv6 = auto
  
[DEFAULT]
ignoreip = 127.0.0.1/8
backend = systemd
banaction = iptables-multiport
bantime = 86400
findtime = 86400
maxretry = 3
  
[sshd]
enabled = true
filter = sshd
port = ssh

https://education.github.com/pack
https://education.github.com/experiences/intro_to_web_dev

https://cloud.digitalocean.com/droplets
Digital Ocean 绑定支付宝后，我选的是San Francisco DataCenter3 SFO3
赠金为200$，选择16$/mo款，可用一年。其规格为 1c2g，硬盘 70GB NVMe，2TB 流量。

浪费生命！😕

git init
uv init --python 3.12
uv venv --python 3.12
.\.venv\Scripts\Activate.ps1
python -V
git add .
git commit -m "初始化 git + uv 项目，并添加虚拟环境配置"

uv add matplotlib

# Ensure matplotlib can render Chinese text and minus signs
plt.rcParams["font.sans-serif"] = ["SimHei", "Microsoft YaHei", "Arial Unicode MS"]
plt.rcParams["axes.unicode_minus"] = False

以下内容可以复制发给AI，以获得更详细的指导😊

bash 命令 DD 脚本 (可选)

https://github.com/bin456789/reinstall

# 运行示例
bash reinstall.sh debian 12 

bash 命令 初始化

apt update -y
apt upgrade -y 
apt install -y sudo curl wget nano vim

apt install neofetch
neofetch

bash 命令 校正系统时间 将时区改为上海 并查看当前时区

sudo timedatectl set-timezone Asia/Shanghai
timedatectl

bash 命令 开启 bbr 和 fq

如何开启BBR？注意用 /etc/sysctl.d/ 的文件来管理系统参数，不要动 sysctl.conf

# 证书环境
apt-get install ca-certificates wget -y && update-ca-certificates
# 脚本示例
wget -O tcpx.sh "https://github.com/ylx2016/Linux-NetSpeed/raw/master/tcpx.sh" && chmod +x tcpx.sh && ./tcpx.sh

bash 命令 如何添加 SWAP？并查看效果

# 脚本示例
wget -O swap.sh https://raw.githubusercontent.com/yuju520/Script/main/swap.sh && chmod +x swap.sh && clear && ./swap.sh
# 查看内存结果
free -m

bash 命令 修改 SSH 端口，默认为 22

如何用命令行将默认的 22 端口修改为 55555，并重启 sshd 服务

bash 命令 如何免密登录

解释如何在 VPS 设置密钥 实现 SSH 免密远程 Debian12 服务器
git bash 生成公/私钥，公钥上传到服务器（写入 authorized_keys）
如何成功连接后关闭禁止密码登录仅允许密钥登录

刚拿到烫手的机器，当然先要跑一跑各种测试了。

基础信息查看

# Debian / Ubuntu
apt update -y && apt upgrade -y && apt install neofetch && neofetch
# Alpine
sudo apk update && sudo apk upgrade && sudo apk add neofetch && neofetch

I/O 性能测试

curl -sL yabs.sh | bash

图标生成

• 网站 https://redketchup.io/favicon-generator
• Text: Hz
• 字体: Lobster
• 字体大小: 140
• Background: #000000 适当圆角
• Text Color: #F0F4C3

添加位置

控制台 - 外观 - 编辑当前外观 - 编辑文件 header.php ：

<!-- 添加网站图标 -->
<link rel="apple-touch-icon" sizes="180x180" href="https://academic.sixhz.com/images/favicon/apple-touch-icon.png" />
<link rel="icon" type="image/x-icon" href="https://academic.sixhz.com/images/favicon/favicon.ico" />
<link rel="icon" type="image/png" sizes="512x512" href="https://academic.sixhz.com/images/favicon/android-chrome-512x512.png" />
<link rel="icon" type="image/png" sizes="192x192" href="https://academic.sixhz.com/images/favicon/android-chrome-192x192.png" />
<link rel="icon" type="image/png" sizes="32x32" href="https://academic.sixhz.com/images/favicon/favicon-32x32.png" />
<link rel="icon" type="image/png" sizes="16x16" href="https://academic.sixhz.com/images/favicon/favicon-16x16.png" />
<link rel="manifest" href="https://academic.sixhz.com/images/favicon/site.webmanifest" />

图标预览

这是我的学术主页链接： https://academic.sixhz.com
对应的 PDF 文件托管地址： https://paper.sixhz.com

本站当前使用IDC服务站为"博客列车"，感谢站长提供的托管服务。
网址为： https://blogtrain.com/

活动地址： https://idcflare.com/t/topic/32449
优惠码为IDCFLARE，购买日期为2025年10月25日。
优惠码使用后免费1年，第二年继续免费续期，每次续期1年。
在这里记录一下，以免忘记了。

如果您看到这篇文章,表示您的 blog 已经安装成功.

影视

看书

为什么记下这样一篇文章？这是计划的一部分。 :-)

从五月以来，把三体给读完了，就想把自己读后一些小想法记下来。

读三体的起因

在学校的时间里，其实很少会有时间去读书。就算有一些空闲的时间，真的很难会想到会拿这点儿时间去读书，毕竟现代人平时里娱乐的方式太多。

然而，在今年五一归家途中，要在坐高铁要好久，车上开手机流量也太不好使，就点开了之前下载的电子书，结果打开后就一发不可收了。

关于《三体》，从初中就听闻过它的大名，在去年暑假的闲暇时间里，已经把三体第一部读完。不过，第一本的具体内容也记不太清了，还依稀记得三体游戏、智子监控什么的。继续去读第二部，事实上并不影响接下来的阅读体验。在接下来的一个月里，断断续续读完了原著。随后，我还找到一些其他的相关作品来看，下面是一些我的简单感受。

三体及其相关作品

三体原著

原作多牛逼不用多说了。虽然书中有一些不符合科学角度的设定，但是它世界观和宏大的想象力实在厉害，一部比一部视角开阔，读后实在有一种豁然开朗的感觉。

球形闪电

《球形闪电》三体前传: 出现在三体中的有丁仪和球形闪电武器，不影响阅读原著。作者想象量子学的宏观现象，比如宏电子有足球那么大，还能被激发形成球形闪电；被球形闪电打击消失的生物会处于量子态；观察者的概念…都是让我印象深刻的！想象力赞！

观想宇宙

同人小说：《三体 X·观想宇宙》，作者宝树。开始下载下来搁置了，字数没多少，后来一股气看完了。想象力上是可以的，内容文笔稍逊色。作为读完原作后的解馋是十分 OK 的，也有我喜欢的歌者片段。“同人逼死官方。”原著没续作了。

我的三体

原创动画：真实展现技术爆炸！目前一共三部，现在只看了罗辑传 , 后两部已刷完。剧情还原度好，动画赞！音乐赞！创新赞！

水滴

原创动画短片: 有些艺术，确实有那种宇宙宏大的感觉，推荐一看。

超新星纪元

《超新星纪元》与三体不相关，刘慈欣作品里顺便看的，设想还是很大胆的。不过，不太合我的口味。

烧火工

作为一个童话故事，挺好的。里面描写鲸鱼的情节是在说日本么？

后记

自己本来写这篇之前似乎心里有很多想说的，但鉴于自己表达能力不强，一坐在键盘前就什么不知道要说啥了了。只能把心中最直接的一些小想法记下来了，以后再想到什么再补充吧~

最后，就贴一个我最喜欢的关于歌者的片段作为结束吧~

歌者·时间童话

我看到了我的爱恋
我飞到她的身边
我捧出给她的礼物
那是一小块凝固的时间
时间上有美丽的条纹
摸起来像浅海的泥一样柔软

她把时间涂满全身
然后拉起我飞向存在的边缘
这是灵态的飞行
我们眼中的星星像幽灵
星星眼中的我们也像幽灵

相关链接

1. 萌娘百科 - 三体衍生作品
2. 小姬.刘慈欣写给我的童话

晚上自习完，走在路上忽然想到一件事，再不来过来记录一下就忘了。

17年暑假，曾经搭建过的第一个博客网站。那时是用 WordPress 搭建，主机商的虚拟主机支持一键安装博客系统，所以不用特别折腾。