• OpenAI/ChatGPT 优势：先驱者与市场领导者，付费用户最多
• Google/Gemini 优势：多模态，谷歌强大的生态
• Anthropic/Claude 优势：程序编码
• 字节跳动/豆包 优势：国内抖音，流量为王
• xAI/Grok 优势：背靠 X 社媒强大的实时热门社交数据

其他的不看好，最终只会留下几个通用模型和领域细分模型

🏅 竞技

• LMArena 博客 排行榜 WebDav 排行榜
• Aider LLM 排行榜
• Tracking 人工智能的政治偏见
• heyAIworld 精选领先的 AI 工具合集

🌐 平台端

• NextChat Github 官网 轻量快速的 AI 对话助手
• Open WebUI Github 官网 可拓展的自托管 AI 平台
• LobeChat Github 官网 可拓展的自托管 AI 平台
• Chatbox Github 官网 可拓展的自托管 AI 平台
• Cherry Studio Github 官网 可拓展的自托管 AI 平台

🗄 API 管理分发

• One API 最早的 API 接口聚合管理
• One Hub 基于 one-api 二次开发
• New API 最知名的 API 接口聚合管理

📦 Serverless / 容器部署

• Vercel 100GB免费计划，单个函数的最长执行时间是 10 秒
• ClawCloud Run Github 账户每月送5刀额度
• Render 玄学绑卡，可使用 UptimeRobot 解决休眠问题
• Cloudflare Pages 大善人不多介绍了

📄Nginx 配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

server {
listen 443 ssl;
   http2 on;
server_name example.com;

location / {
           proxy_pass http://127.0.0.1:3000;

# Add WebSocket support
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";

proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header X-Forwarded-Proto $scheme;

# Disable proxy buffering for better streaming response from models
proxy_cache off;
proxy_buffering off;
chunked_transfer_encoding on;
keepalive_timeout 300;
}
}

阅读本文需要有一定的 Linux、Docker 等计算机知识。什么？你不懂？Go to study, just do it!

Emby导航

公益：Telegram: Contact @FreeEmbyGuide

付费：Telegram: Contact @Emby_Navigation

写在前面

本文是基于阿里云盘资源搭建 Emby 影库，使用其他网盘/本地硬盘搭建大部分也是可行的。尽管阿里审查严格，容易和谐资源，但耐不住用户数量庞大，资源分享快且全，并且可以 302 直链（使用阿里国内 CDN 来观看视频，速度很快）。

说起流媒体平台，国内有优酷、爱奇艺、腾讯视频这“三巨头”，国外则有 Netflix、Amazon Prime Video、Disney+、HBO 等“大佬”。但不知道你有没有发现，无论是国内还是国外的平台，都或多或少存在一些让人头疼的问题。

“国内平台？哎，说起来都是泪啊！会员+广告的双重‘折磨’，看个剧还得忍受中途插播的广告，这谁顶得住啊？虽然各大平台在自制内容上砸了不少钱，试图通过高质量的精品内容提升付费订阅的比例，但受限于有限的观众规模、注意力以及严格的内容监管，高质量内容的产出着实不易。更别提国内用户的付费习惯和版权意识还在‘襁褓’中呢。”

“再看看国外平台，貌似高大上了不少。用户订阅是主要收入来源，内容制作也更有针对性。虽然产出的内容不一定都达到极高的质量标准，但至少能够满足“标准线”的要求，更不用说其中不乏许多高质量的作品。在欧美，用户为优质内容付费已成为一种长期以来的习惯，而“标准线”以下的剧集则难以在欧美市场获得用户增长。但这’高大上’的背后，可是要付出不菲的订阅费用啊！虽说内容质量有保证，但对于我们的钱包来说，可是不小的负担呢。”

那么，有没有一种既能看到优质内容，又不用花费太多的方法呢？答案就是——Emby！

Emby 就像是一个神奇的百宝箱，里面藏着无数的影视珍宝，等着你去探索。它的自定义程度高得简直让人咋舌，就像是一个超级听话的管家，你想看什么它就能立刻呈上来，简直就是为“挑剔”的你量身定制的。

其次，内容多样性简直爆棚！内容的丰富程度？简直就是一座取之不尽、用之不竭的影视宝库！只要你的网盘/本地硬盘容量够大，几百 T 甚至 PB 级的内容都不在话下。从黑白默片、经典老片到最新大片，应有尽有，简直就是一部活生生的电影发展史。

最让人欣喜的是，Emby 就像是一个没有广告打扰的私人影院。你可以在沙发上、床上，甚至是在马桶上（别笑，我知道你们有人这么干）尽情享受观影的乐趣。想在哪看就在哪看，爽歪歪！

哦，差点忘了提那令人垂涎的海报墙！精心整理的海报就像是一幅幅艺术品，让你在选片的时候就开始享受视觉盛宴了。

生命短暂，我用 Emby。但别忘了，尊重版权不仅是法律的要求，也是对创作者劳动的尊重。

成品展示

• 99% 上榜影片均可在我的自建影视库上观看（天朝特色，容易和谐）
• 片源大部分为 1080P HEVC，服务端不解码，请使用外部播放器
• 推荐下载使用 Potplayer、VLC、MX Player、Emby 播放器
• 自建影视服(排行榜电影) 账号密码账号user密码user
• Emby 前后端分离反代 分离服misakaf 纸片人

安装 Alist

官方文档很详细了

配置阿里云盘 Open很详细了

注：WebDAV 策略 选择 本地 可以直接通过 Emby 刮削元数据及海报到阿里云盘。

安装 Clouddrive2 (付费)

推荐使用 Docker 安装

CloudDrive 下载

Docker 安装指南

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

services:
  cloudnas:
    image: cloudnas/clouddrive2
    container_name: cd2
    ports:
      - "127.0.0.1:19798:19798"
    environment:
      - CLOUDDRIVE_HOME=/Config
    volumes:
      - /mnt:/CloudNAS:shared
      - /root/cd2:/Config
    devices:
      - /dev/fuse:/dev/fuse
    restart: unless-stopped
    privileged: true

安装 Rclone (免费)

1
2
3
4
5
6
7
8

# 安装 fuse3（防止报错，新版 rclone 需要）
apt install fuse3
# 安装 Rclone
curl https://rclone.org/install.sh | sudo bash
# 创建挂载目录（必须自行创建，否则启动 rclone 报错）
mkdir -p /mnt/yunpan
# 配置
rclone config

rclone config 新建配置，选择 WebDAV 进行配置即可

自行查看下面文章进行配置，rclone 与 alist 账户密码对应

群晖 / Linux 挂载阿里云盘实现 Emby 播放，打造属于自己的家庭影院！

挂载命令

直链扫库参数

1

nohup rclone mount yunpan: /mnt/yunpan --use-mmap --umask 000 --default-permissions --allow-non-empty --allow-other --dir-cache-time 24h --cache-dir=/mnt/cache --vfs-cache-mode full --buffer-size 32M --vfs-read-chunk-size 64M --vfs-read-chunk-size-limit 1G &

非直链观看参数

1

rclone mount yunpan: /mnt/yunpan --use-mmap --umask 000 --default-permissions --allow-other --allow-non-empty --dir-cache-time 24h --cache-dir=/mnt/cache --vfs-cache-mode full --buffer-size 256M --vfs-read-ahead 512M --vfs-read-chunk-size 32M --vfs-read-chunk-size-limit 128M --vfs-cache-max-size 10G --daemon

• yunpan: /mnt/yunpan：挂载远程存储的名称及挂载远程存储的本地目录。
• --use-mmap：使用内存映射加速文件读取。
• --umask 000：设置文件和目录的默认权限掩码(000 所有用户都有读、写和执行权限)。
• --default-permissions：使用默认文件权限，忽略远程权限。
• --allow-other：允许除挂载所有者外的其他用户访问挂载的文件系统。
• --allow-non-empty：允许挂载到非空目录。
• --dir-cache-time 24h：设置目录缓存的有效时间，减少对远程服务器的请求。
• --cache-dir=/mnt/cache：设置缓存目录的位置。
• --vfs-cache-mode full：设置虚拟文件系统(VFS)缓存模式为完全缓存。
• --buffer-size 256M：设置每个打开文件的缓冲区大小。
• --vfs-read-ahead 512M：预读取数据量的大小，提高读取性能。
• --vfs-read-chunk-size 32M：设置读取数据块的大小。
• --vfs-read-chunk-size-limit 128M：设置读取块大小的上限。
• --vfs-cache-max-size 10G：设置VFS缓存的最大空间。
• --daemon：在后台以守护进程方式运行
• --poll-interval 20s：设置轮询检查远程更新的时间间隔。***
• --vfs-cache-max-age 336h: 设置虚拟文件系统（VFS）缓存中文件的最大存活时间。***

添加挂载守护进程

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

# 普通单位文件(只能创建一个服务实例)，单挂载
cat > /etc/systemd/system/rclone.service <<EOF
[Unit]
Description=Rclone Mount Service
AssertPathIsDirectory=/mnt/yunpan
After=network-online.target

[Service]
Type=simple
ExecStart=/usr/bin/rclone mount yunpan: /mnt/yunpan --use-mmap --umask 000 --default-permissions --allow-non-empty --allow-other --dir-cache-time 24h --cache-dir=/mnt/cache --vfs-cache-mode full --buffer-size 32M --vfs-read-chunk-size 64M --vfs-read-chunk-size-limit 1G
ExecStop=/bin/fusermount -qzu /mnt/yunpan
Restart=on-failure
User=root

[Install]
WantedBy=default.target
EOF

# 启动服务实例成功再启用自动启动
systemctl start rclone && systemctl enable rclone
# 停止服务实例
systemctl stop rclone
# 重启服务实例
systemctl restart rclone
# 查看服务状态
systemctl status rclone

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27

# 模板单位文件(可以创建多个服务实例)，多挂载
cat > /etc/systemd/system/rclone@.service <<EOF
[Unit]
Description=Rclone Mount Service for %i
After=network-online.target

[Service]
Type=simple
ExecStart=/usr/bin/rclone mount %i: /mnt/%i --use-mmap --umask 000 --default-permissions --allow-non-empty --allow-other --dir-cache-time 24h --cache-dir=/mnt/cache --vfs-cache-mode full --buffer-size 32M --vfs-read-chunk-size 64M --vfs-read-chunk-size-limit 1G
ExecStop=/bin/fusermount -qzu /mnt/%i
Restart=on-failure
User=root

[Install]
WantedBy=default.target
EOF

# 启动服务实例
systemctl start rclone@挂载的名称
# 使服务实例在系统启动时自动启动
systemctl enable rclone@yunpan
# 停止服务实例
systemctl stop rclone@yunpan
# 重启服务实例
systemctl restart rclone@yunpan
# 查看服务状态
systemctl status rclone@yunpan

安装 Emby

推荐使用 Docker 安装

amilys 美化版（本文采用并推荐）

lovechen 开心版（已停止更新）

阿里云盘直链版（安装参考文章）

1
2
3
4
5
6
7
8
9
10
11
12
13
14

services:
  emby:
    image: amilys/embyserver:beta
    container_name: emby
    environment:
      - UID=0 # The UID to run emby as (default: 2)
      - GID=0 # The GID to run emby as (default 2)
      - GIDLIST=0 # A comma-separated list of additional GIDs to run emby as (default: 2)
    volumes:
      - /root/emby:/config # Configuration directory
      - /mnt/yunpan:/ali # Media directory
    ports:
      - 127.0.0.1:8096:8096 # HTTP port
    restart: unless-stopped

阿里云盘直链

目前 本地 WebDAV 策略为兼容性最好的方式，在 Emby 中观看视频时，是先从 WebDAV 下载到本地再推流到 Emby 播放的，所以 走的是服务器的流量。

302 重定向 能够获取到阿里云盘的直链，但是无法使用 Emby 进行刮削。

如果只是为了方便观看，可以使用 302 重定向模式，然后用 nplayer 挂载 WebDAV，这样走的就是阿里云官方的流量了，4K 不卡。

为了方便 Emby 可以直接刮削数据到阿里云盘，采用 本地 WebDAV 并使用脚本bpking1/embyExternalUrl/emby2Alist 转直链，本文采用安装版 Nginx + Emby（Docker）方式部署。如果你不太懂 Nginx，项目提供了 Docker 容器（Nginx + Emby） 可以直接部署，参考教程。

注：下文为 Nginx + Emby（Docker）方式部署，需要有一定的 Nginx 经验。

安装 Njs 模块

1
2
3
4
5
6
7
8
9
10
11
12
13
14

# 如果已经安装了 Nginx，添加 njs 模块
apt update
apt install nginx-module-njs

## 在 nginx.conf 文件中添加
load_module modules/ngx_http_js_module.so;

## 重启 nginx
systemctl restart nginx

# 编译安装 Nginx 时包含 njs 模块
./configure --add-module=实际的 njs 模块源代码路径
make
sudo make install

Nginx 配置

下载 emby2Alist 的 Nginx 目录，根据实际情况更改配置文件，无特殊要求只需要更改以下文件

/nginx/conf.d/constant.js，/nginx/conf.d/emby.conf

/nginx/conf.d/config/constant-mount.js

/nginx/conf.d/includes/http.conf或者/nginx/conf.d/includes/https.conf

/nginx/conf.d/includes/server-group.conf

1
2

# 直链播放日志查看
tail -f -n 10 /var/log/nginx/access.log /var/log/nginx/error.log  | grep js:

注：在constant.js文件中有一行配置为const embyMountPath = [“/mnt”];

当Emby是宿主机运行，路径应该为宿主机的路径，当Emby是Docker运行，路径应该为容器内的路径

挂载到alist的目录 /movie
alist admin 用户，播放 高分剧集/火线/火线S01E01.mkv ，请求 /api/fs/get 接口，请求为
{
“password”: “”,
“path”: “/movie/高分剧集/火线/火线S01E01.mkv”
}

rclone 挂载到/mnt/yunpan，emby 播放视频，请求emby接口 /emby/Items/123/PlaybackInfo 获取播放信息

{
“MediaSources”: [
{
// ……
“Path”: “/mnt/yunpan/movie/高分剧集/火线/火线S01E01.mkv”
// ……
}
]
}

当emby是宿主机运行
要想将 “Path”: “/mnt/yunpan/movie/高分剧集/火线/火线S01E01.mkv” 截取成alist接口的path，那么，配置
embyMountPath 配置为 /mnt/yunpan，截取成 /yunpan/movie/高分剧集/火线/火线S01E01.mkv 就是alist的接口参数。

相关逻辑在 emby.js ，如下：

//fetch alist direct linkconst alistFilePath = embyRes.replace(embyMountPath, '')

其中，embyRes 是 “/mnt/yunpan/movie/高分剧集/火线/火线S01E01.mkv” ，replace后是 /movie/高分剧集/火线/火线S01E01.mkv

当emby是docker运行，将宿主机 /mnt/yunpan 映射到容器 /ali。

那么 /emby/Items/123/PlaybackInfo 接口返回应该是 “/ali/movie/高分剧集/火线/火线S01E01.mkv”
同理，embyMountPath 配置为 /ali 即可截取正确

Emby配置

• 在 Emby 设置中将 用户 → 播放 允许转码关掉
• 在 Emby 设置中将 转码 → 启用硬件加速 关掉

解除阿里云盘第三方应用限速限流

阿里云盘上线第三方权益包（1T 流量，SVIP 象征性的送 10G）。权益包和 SVIP 是不同的权益，权益包提供在第三方应用使用云盘上传、下载等权益，SVIP 则是提供在官方云盘客户端（如手机移动端、电脑 PC 端）的使用权益。也就是说，不购买第三方权益包的用户使用基于开放平台调用阿里云盘的所有第三方应用都会被限速（单线程 500KB/s，最大 6 线程）。

如何解决？充钱购买第三方权益包！ 你这不是欺负老实人（SVIP）吗？

SVIP 的权益包含阿里云盘 TV 的原画观看，这个 TV 版客户端是不计入第三方流量的，所以只需要获取到 TV 版的 Token 就能绕过限速限流了。该方案已被阿里修复过一次，换成了加密接口，虽然又被破解了。但是指不定阿里就会再次动手修复，如果那一天到来，也就只能充钱妥协或者使用其他网盘/本地硬盘。

懒人版

获取刷新令牌：https://alipan-tv-token.pages.dev or https://www.voicehub.top/oauth/alipan

修改 AList 的 Oauth 令牌链接为：https://alipan-tv-token.pages.dev/refresh

折腾版

自建 Tv Token 服务器

1
2
3
4
5

docker run -d \
    -p 34278:34278 \
    --name=xiaoya-aliyuntvtoken_connector \
    --restart=always \
    ddsderek/xiaoya-glue:aliyuntvtoken_connector

通过上面链接获取刷新令牌

修改 AList 的 Oauth 令牌链接为：http://docker.host:34278/oauth/alipan/token

自建 Tv Token 服务器

1

docker run --name=alipan-tv-token -d -p 3000:3000 ghcr.io/ilay1678/alipan-tv-token:latest

针对 AList 用户，你可以将 alist 和 alipan-tv-token 容器加入同一个网络，如 alist-network

1
2
3
4
5
6
7
8
9
10
11

# 创建网络
docker network create alist-network
# 连接容器到网络
docker network connect alist-network alist
docker network connect alist-network alipan-tv-token
---下面为取消命令---
# 断开容器与网络的连接
docker network disconnect alist-network alist
docker network disconnect alist-network alipan-tv-token
# 删除网络
docker network rm alist-network

获取刷新令牌：http://docker.host:3000

修改 AList 的 Oauth 令牌链接为：http://alipan-tv-token:3000/refresh

OverlayFS 可选优化

由于元数据和图片放在网盘上，加载速度会比放在本地慢一些

所以我们可以使用 OverlayFS 将图片和元数据文件储存到本地

OverlayFS（Overlay File System）是一种联合文件系统，它允许将不同目录挂载到同一个虚拟文件系统下，使得多个文件系统的内容可以被同时访问。OverlayFS特别适用于轻量级的容器虚拟化技术，例如Docker和Podman，因为它可以在不复制整个文件系统的情况下，为每个容器提供一个独立的视图。

OverlayFS的工作原理基于下面几个概念：

1. 底层（Lower Layer）：这是只读层，可以包含一个或多个只读目录。这些目录被叠加在一起，形成底层文件系统。
2. 上层（Upper Layer）：这是一个可写层，位于底层之上。所有对文件系统的写操作都会发生在这一层。
3. 工作目录（Workdir）：OverlayFS要求指定一个工作目录，用于存放一些必要的元数据和临时文件。工作目录必须和上层在同一个文件系统上。
4. 合并层（Merged Layer）：这是上层和底层合并后对用户可见的文件系统。当用户查看合并层时，他们可以看到底层的文件和目录，以及上层的任何更改或新增文件。

配置 OverlayFS

1
2

# 创建目录
mkdir /mnt/upper /mnt/work /mnt/merge

• upper：上层目录，可写层
• work： 工作目录，存储临时文件
• merge： 合并出的新目录

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

# 第一次运行建议加上 --dry-run 确保指令没有出错，同时可以查看图片和 nfo 总共的文件大小，方便分配空间（仅用于测试命令是否正确，不会真正进行任何文件操作）
rclone copy yunpan:/movie /mnt/upper/movie --include "*.{png,jpg,nfo}" -P -v --dry-run

# 方式一（命令指定筛选规则）
rclone copy yunpan:/movie /mnt/upper/movie --include "*.{png,jpg,nfo}" -P -v --transfers=20

# 方式二（外部文件指定筛选规则）
cat > emby.txt <<EOF
+ *.jpg
+ *.png
+ *.nfo
- *
EOF

rclone copy yunpan:/movie /mnt/upper/movie --filter-from emby.txt -P -v --transfers=20

• yunpan:/movie: 这是源路径，也就是你 rclone 配置的路径。
• /mnt/upper/movie: 这是目的地路径，OverlayFS 的上层目录。
• -P: 这个参数用于显示进度信息，包括当前传输的百分比、速度和剩余时间。
• -v: 这个参数用于增加命令的冗长输出（verbose），提供更多的详细信息，有助于调试或了解命令的执行情况。
• --include "*.{png,jpg,nfo}": 这个参数指定一个匹配模式，只有符合该模式的文件才会被复制。
• --filter-from emby.txt: 这个参数指定一个文件，按照文件的过滤规则复制。
• --transfers=20: 这个参数用于指定同时进行的最大文件传输数目。
• --dry-run: 模拟执行命令并展示详细信息，但不会真正地进行任何文件操作。

挂载 OverlayFS 命令

1

mount -t overlay overlay -o lowerdir=/mnt/yunpan,upperdir=/mnt/upper,workdir=/mnt/work /mnt/merge

• lowerdir=/mnt/yunpan: 代表底层目录，只读层，进行读操作优先读取上层目录，读不到的才会读这里（比如视频文件）。
• upperdir=/mnt/upper：代表上层目录，可写层，所有对文件的更改在这个目录中进行。
• workdir=/mnt/work：代表工作目录，存储临时文件，用于 OverlayFS 的内部需要，必须和 upperdir 在同一个文件系统上。
• /mnt/merge：合并出的新目录，也就是我们的挂载点，后续对该目录进行访问。

注意

如果使用该方案优化，请将 Docker 宿主机映射路径改为合并新目录的路径，也就是 /mnt/merge，而不是使用 rclone 挂载路径

Strm 文件

strm 文件简单来说就是一个文本文件，里面存储的是媒体真实的访问路径（可以是本地绝对路径，也可以是日常见到的 HTTP/HTTPS 的网络资源路径）。strm 文件在扫库过程中不需要解析文件，因此大大提升了扫库效率。

由于网盘通常存在风控规则，导致无法大批量扫描和刮削视频文件，我仅收录了豆瓣和 IMDb Top 250 的电影及高分剧集，大概在五六百部视频下未受到风控影响。刮削软件可以把 strm 文件视作视频文件，根据文件名获取信息，而无需去网盘读取文件，因此不会触发网盘的风控。

相关项目，用法其实也不难，挂载好生成 strm 文件的目录即可

• AutoSymlink
• StrmAssistant
• AutoFilm

小雅

本文是基于自己的阿里云盘资源搭建 Emby 影库，如果不想自己查找维护资源或者希望资源多而全的，可搭建小雅 Alist，相关教程或资源已在下方

• 小雅官网/群聊
• 小雅文档1/文档2
• 融合脚本DDS-Derek/xiaoya-alist

Emby 客户端

官方客户端

• Emby：官方客户端，不推荐，不差钱的可以支持一下

Android / Android TV

• Yamby：小秘新开发的第三方 Emby 客户端
• Hills：第三方 Emby 客户端

Windows / Linux

• Tsukimi：第三方 Emby 客户端，支持 Windows 和 Linux
• Femor：第三方 Emby 客户端，支持多平台
• Emby小秘版：已不再更新，备份

Apple / Apple TV

• Infuse：纯苹果生态，付费最强播放器
• SenPlayer：目前功能全免费，支持Emby，Jellfyfin，百度网盘，阿里网盘等视频源

参考/推荐

• emby挂载阿里盘转直链
• 【Nas】告别 alist，三步实现 emby 115 直链播放
• 一文讲清本地部署emby+cd2+alist+strm+302重定向
• Emby：使用Overlayfs优化云盘视频海报/视频列表加载速度
• Emby公益不完全指北

数据由程序抓取自豆瓣和 IMDb 官方

这个世界上榜单太多，而时间太少

你的感受才是最好的榜单

豆瓣 ＆ IMDb 均上榜影片

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93

肖申克的救赎 (1994)
阿甘正传 (1994)
千与千寻 (2001)
美丽人生 (1997)
这个杀手不太冷 (1994)
星际穿越 (2014)
盗梦空间 (2010)
楚门的世界 (1998)
辛德勒的名单 (1993)
忠犬八公的故事 (2009)
三傻大闹宝莱坞 (2009)
机器人总动员 (2008)
控方证人 (1957)
教父 (1972)
触不可及 (2011)
寻梦环游记 (2017)
龙猫 (1988)
蝙蝠侠：黑暗骑士 (2008)
指环王3：王者无敌 (2003)
乱世佳人 (1939)
飞屋环游记 (2009)
哈尔的移动城堡 (2004)
十二怒汉 (1957)
何以为家 (2018)
猫鼠游戏 (2002)
摔跤吧！爸爸 (2016)
钢琴家 (2002)
指环王2：双塔奇兵 (2002)
死亡诗社 (1989)
绿皮书 (2018)
黑客帝国 (1999)
指环王1：护戒使者 (2001)
教父2 (1974)
天堂电影院 (1988)
狮子王 (1994)
搏击俱乐部 (1999)
美丽心灵 (2001)
窃听风暴 (2006)
两杆大烟枪 (1998)
音乐之声 (1965)
哈利·波特与死亡圣器(下) (2011)
拯救大兵瑞恩 (1998)
小鞋子 (1997)
飞越疯人院 (1975)
沉默的羔羊 (1991)
布达佩斯大饭店 (2014)
禁闭岛 (2010)
致命魔术 (2006)
心灵捕手 (1997)
低俗小说 (1994)
摩登时代 (1936)
杀人回忆 (2003)
美国往事 (1984)
加勒比海盗：黑珍珠号的诅咒 (2003)
七宗罪 (1995)
狩猎 (2012)
蝙蝠侠：黑暗骑士崛起 (2012)
爱在黎明破晓前 (1995)
第六感 (1999)
寄生虫 (2019)
爱在日落黄昏时 (2004)
幽灵公主 (1997)
勇敢的心 (1995)
消失的爱人 (2014)
天使爱美丽 (2001)
驯龙高手 (2010)
头脑特工队 (2015)
怪兽电力公司 (2001)
玩具总动员3 (2010)
被解救的姜戈 (2012)
玛丽和马克思 (2009)
七武士 (1954)
惊魂记 (1960)
血战钢锯岭 (2016)
你的名字。 (2016)
三块广告牌 (2017)
小丑 (2019)
上帝之城 (2002)
绿里奇迹 (1999)
2001太空漫游 (1968)
雨中曲 (1952)
卢旺达饭店 (2004)
记忆碎片 (2000)
荒蛮故事 (2014)
爆裂鼓手 (2014)
城市之光 (1931)
终结者2：审判日 (1991)
无耻混蛋 (2009)
罗生门 (1950)
萤火虫之墓 (1988)
房间 (2015)
蜘蛛侠：平行宇宙 (2018)
疯狂的麦克斯4：狂暴之路 (2015)

IMDb Top 250

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250

肖申克的救赎 (1994)
教父 (1972)
蝙蝠侠：黑暗骑士 (2008)
教父2 (1974)
十二怒汉 (1957)
指环王3：王者无敌 (2003)
辛德勒的名单 (1993)
低俗小说 (1994)
指环王1：护戒使者 (2001)
黄金三镖客 (1966)
阿甘正传 (1994)
指环王2：双塔奇兵 (2002)
搏击俱乐部 (1999)
盗梦空间 (2010)
星球大战5：帝国反击战 (1980)
黑客帝国 (1999)
好家伙 (1990)
飞越疯人院 (1975)
星际穿越 (2014)
七宗罪 (1995)
生活多美好 (1946)
七武士 (1954)
沉默的羔羊 (1991)
拯救大兵瑞恩 (1998)
上帝之城 (2002)
绿里奇迹 (1999)
美丽人生 (1997)
终结者2：审判日 (1991)
星球大战4：新希望 (1977)
回到未来 (1985)
千与千寻 (2001)
钢琴家 (2002)
寄生虫 (2019)
惊魂记 (1960)
角斗士 (2000)
狮子王 (1994)
无间道风云 (2006)
蜘蛛侠：纵横宇宙 (2023)
萤火虫之墓 (1988)
爆裂鼓手 (2014)
美国X档案 (1998)
这个杀手不太冷 (1994)
致命魔术 (2006)
切腹 (1962)
卡萨布兰卡 (1942)
非常嫌疑犯 (1995)
触不可及 (2011)
天堂电影院 (1988)
沙丘2 (2024)
摩登时代 (1936)
异形 (1979)
后窗 (1954)
西部往事 (1968)
被解救的姜戈 (2012)
城市之光 (1931)
现代启示录 (1979)
记忆碎片 (2000)
机器人总动员 (2008)
夺宝奇兵：法柜奇兵 (1981)
窃听风暴 (2006)
12年级的失败 (2023)
日落大道 (1950)
复仇者联盟3：无限战争 (2018)
光荣之路 (1957)
蜘蛛侠：平行宇宙 (2018)
控方证人 (1957)
闪灵 (1980)
大独裁者 (1940)
异形2 (1986)
无耻混蛋 (2009)
蝙蝠侠：黑暗骑士崛起 (2012)
寻梦环游记 (2017)
莫扎特传 (1984)
玩具总动员 (1995)
奇爱博士 (1964)
老男孩 (2003)
美国丽人 (1999)
复仇者联盟4：终局之战 (2019)
从海底出击 (1981)
心灵捕手 (1997)
勇敢的心 (1995)
幽灵公主 (1997)
你的名字。 (2016)
天国与地狱 (1963)
小丑 (2019)
三傻大闹宝莱坞 (2009)
美国往事 (1984)
雨中曲 (1952)
何以为家 (2018)
自己去看 (1985)
梦之安魂曲 (2000)
玩具总动员3 (2010)
星球大战6：绝地归来 (1983)
狩猎 (2012)
暖暖内含光 (2004)
生之欲 (1952)
2001太空漫游 (1968)
落水狗 (1992)
阿拉伯的劳伦斯 (1962)
桃色公寓 (1960)
焦土之城 (2010)
疤面煞星 (1983)
西北偏北 (1959)
双重赔偿 (1944)
公民凯恩 (1941)
M就是凶手 (1931)
迷魂记 (1958)
盗火线 (1995)
全金属外壳 (1987)
奥本海默 (2023)
飞屋环游记 (2009)
天使爱美丽 (2001)
发条橙 (1971)
杀死一只知更鸟 (1962)
一次别离 (2011)
骗中骗 (1973)
虎胆龙威 (1988)
夺宝奇兵3：圣战奇兵 (1989)
地球上的星星 (2007)
大都会 (1927)
偷拐抢骗 (2000)
1917 (2019)
洛城机密 (1997)
偷自行车的人 (1948)
帝国的毁灭 (2004)
汉密尔顿 (2020)
出租车司机 (1976)
摔跤吧！爸爸 (2016)
华尔街之狼 (2013)
蝙蝠侠：侠影之谜 (2005)
黄昏双镖客 (1965)
绿皮书 (2018)
热情如火 (1959)
楚门的世界 (1998)
纽伦堡大审判 (1961)
寻子遇仙记 (1921)
困在时间里的父亲 (2020)
禁闭岛 (2010)
彗星美人 (1950)
血色将至 (2007)
侏罗纪公园 (1993)
赌城风云 (1995)
壮志凌云2：独行侠 (2022)
第六感 (1999)
乱 (1985)
潘神的迷宫 (2006)
老无所依 (2007)
不可饶恕 (1992)
怪形 (1982)
美丽心灵 (2001)
杀死比尔 (2003)
荒野机器人 (2024)
碧血金沙 (1948)
用心棒 (1961)
囚徒 (2013)
大逃亡 (1963)
海底总动员 (2003)
巨蟒与圣杯 (1975)
哈尔的移动城堡 (2004)
象人 (1980)
罗生门 (1950)
电话谋杀案 (1954)
乱世佳人 (1939)
唐人街 (1974)
谜一样的双眼 (2009)
两杆大烟枪 (1998)
头脑特工队 (2015)
V字仇杀队 (2005)
三块广告牌 (2017)
愤怒的公牛 (1980)
克劳斯：圣诞节的秘密 (2019)
猜火车 (1996)
桂河大桥 (1957)
猫鼠游戏 (2002)
冰血暴 (1996)
勇士 (2011)
蜘蛛侠：英雄无归 (2021)
老爷车 (2008)
哈利·波特与死亡圣器(下) (2011)
百万美元宝贝 (2004)
龙猫 (1988)
疯狂的麦克斯：狂暴之路 (2015)
宾虚 (1959)
小鞋子 (1997)
巴里·林登 (1975)
为奴十二年 (2013)
银翼杀手 (1982)
爱在黎明破晓前 (1995)
布达佩斯大饭店 (2014)
血战钢锯岭 (2016)
死亡诗社 (1989)
消失的爱人 (2014)
杀人回忆 (2003)
因父之名 (1993)
淘金记 (1925)
因果报应 (2024)
怪兽电力公司 (2001)
荒蛮故事 (2014)
美食总动员 (2007)
驯龙高手 (2010)
猎鹿人 (1978)
大白鲨 (1975)
福尔摩斯二世 (1924)
将军号 (1926)
玛丽和马克思 (2009)
码头风云 (1954)
恐惧的代价 (1953)
极速车王 (2019)
野草莓 (1957)
史密斯先生到华盛顿 (1939)
第三人 (1949)
金刚狼3：殊死一战 (2017)
洛奇 (1976)
东京物语 (1953)
谋杀绿脚趾 (1998)
第七封印 (1957)
聚焦 (2015)
房间 (2015)
终结者 (1984)
卢旺达饭店 (2004)
野战排 (1986)
加勒比海盗：黑珍珠号的诅咒 (2003)
怒火青春 (1995)
杰伊·比姆 (2021)
圣女贞德蒙难记 (1928)
爱在日落黄昏时 (2004)
黄金时代 (1946)
驱魔人 (1973)
极速风流 (2013)
超人总动员 (2004)
绿野仙踪 (1939)
死囚越狱 (1956)
电视台风云 (1976)
伴我同行 (1986)
忠犬八公的故事 (2009)
音乐之声 (1965)
我的父亲，我的儿子 (2005)
你逃我也逃 (1942)
小姐 (2016)
荒野生存 (2007)
阿尔及尔之战 (1966)
钢铁巨人 (1999)
愤怒的葡萄 (1940)
土拨鼠之日 (1993)
爱情是狗娘 (2000)
蝴蝶梦 (1940)
相助 (2011)
铁窗喋血 (1967)
声之形 (2016)
德州巴黎 (1984)

豆瓣 Top 250

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250

肖申克的救赎 (1994)
霸王别姬 (1993)
阿甘正传 (1994)
泰坦尼克号 (1997)
千与千寻 (2001)
美丽人生 (1997)
这个杀手不太冷 (1994)
星际穿越 (2014)
盗梦空间 (2010)
楚门的世界 (1998)
辛德勒的名单 (1993)
忠犬八公的故事 (2009)
海上钢琴师 (1998)
三傻大闹宝莱坞 (2009)
放牛班的春天 (2004)
机器人总动员 (2008)
疯狂动物城 (2016)
无间道 (2002)
控方证人 (1957)
大话西游之大圣娶亲 (1995)
熔炉 (2011)
教父 (1972)
触不可及 (2011)
寻梦环游记 (2017)
当幸福来敲门 (2006)
末代皇帝 (1987)
龙猫 (1988)
哈利·波特与魔法石 (2001)
怦然心动 (2010)
活着 (1994)
蝙蝠侠：黑暗骑士 (2008)
指环王3：王者无敌 (2003)
我不是药神 (2018)
乱世佳人 (1939)
飞屋环游记 (2009)
素媛 (2013)
哈尔的移动城堡 (2004)
让子弹飞 (2010)
十二怒汉 (1957)
海蒂和爷爷 (2015)
何以为家 (2018)
猫鼠游戏 (2002)
摔跤吧！爸爸 (2016)
天空之城 (1986)
鬼子来了 (2000)
少年派的奇幻漂流 (2012)
钢琴家 (2002)
指环王2：双塔奇兵 (2002)
大话西游之月光宝盒 (1995)
闻香识女人 (1992)
死亡诗社 (1989)
绿皮书 (2018)
大闹天宫 (1961)
罗马假日 (1953)
黑客帝国 (1999)
指环王1：护戒使者 (2001)
教父2 (1974)
天堂电影院 (1988)
狮子王 (1994)
辩护人 (2013)
饮食男女 (1994)
搏击俱乐部 (1999)
本杰明·巴顿奇事 (2008)
美丽心灵 (2001)
穿条纹睡衣的男孩 (2008)
窃听风暴 (2006)
情书 (1995)
两杆大烟枪 (1998)
音乐之声 (1965)
看不见的客人 (2016)
西西里的美丽传说 (2000)
哈利·波特与死亡圣器(下) (2011)
阿凡达 (2009)
拯救大兵瑞恩 (1998)
功夫 (2004)
哈利·波特与阿兹卡班的囚徒 (2004)
小鞋子 (1997)
飞越疯人院 (1975)
沉默的羔羊 (1991)
布达佩斯大饭店 (2014)
蝴蝶效应 (2004)
禁闭岛 (2010)
致命魔术 (2006)
心灵捕手 (1997)
超脱 (2011)
低俗小说 (1994)
摩登时代 (1936)
喜剧之王 (1999)
春光乍泄 (1997)
海豚湾 (2009)
致命ID (2003)
哈利·波特与密室 (2002)
杀人回忆 (2003)
美国往事 (1984)
一一 (2000)
红辣椒 (2006)
加勒比海盗：黑珍珠号的诅咒 (2003)
七宗罪 (1995)
唐伯虎点秋香 (1993)
狩猎 (2012)
7号房的礼物 (2013)
蝙蝠侠：黑暗骑士崛起 (2012)
甜蜜蜜 (1996)
被嫌弃的松子的一生 (2006)
爱在黎明破晓前 (1995)
超能陆战队 (2014)
第六感 (1999)
寄生虫 (2019)
重庆森林 (1994)
入殓师 (2008)
爱在日落黄昏时 (2004)
请以你的名字呼唤我 (2017)
幽灵公主 (1997)
剪刀手爱德华 (1990)
断背山 (2005)
勇敢的心 (1995)
菊次郎的夏天 (1999)
借东西的小人阿莉埃蒂 (2010)
未麻的部屋 (1997)
哈利·波特与火焰杯 (2005)
消失的爱人 (2014)
无人知晓 (2004)
时空恋旅人 (2013)
倩女幽魂 (1987)
完美的世界 (1993)
茶馆 (1982)
阳光灿烂的日子 (1994)
小森林 夏秋篇 (2014)
天使爱美丽 (2001)
侧耳倾听 (1995)
驯龙高手 (2010)
头脑特工队 (2015)
新世界 (2013)
教父3 (1990)
怪兽电力公司 (2001)
傲慢与偏见 (2005)
一个叫欧维的男人决定去死 (2015)
幸福终点站 (2004)
玩具总动员3 (2010)
小森林 冬春篇 (2015)
色，戒 (2007)
被解救的姜戈 (2012)
釜山行 (2016)
神偷奶爸 (2010)
萤火之森 (2011)
九品芝麻官 (1994)
哪吒闹海 (1979)
告白 (2010)
喜宴 (1993)
玛丽和马克思 (2009)
模仿游戏 (2014)
头号玩家 (2018)
花样年华 (2000)
大鱼 (2003)
七武士 (1954)
射雕英雄传之东成西就 (1993)
惊魂记 (1960)
血战钢锯岭 (2016)
我是山姆 (2001)
阳光姐妹淘 (2011)
恐怖直播 (2013)
你的名字。 (2016)
黑客帝国3：矩阵革命 (2003)
三块广告牌 (2017)
心迷宫 (2014)
电锯惊魂 (2004)
小丑 (2019)
达拉斯买家俱乐部 (2013)
疯狂原始人 (2013)
背靠背，脸对脸 (1994)
心灵奇旅 (2020)
谍影重重3 (2007)
上帝之城 (2002)
绿里奇迹 (1999)
爱在午夜降临前 (2013)
海街日记 (2015)
英雄本色 (1986)
风之谷 (1984)
无间道2 (2003)
疯狂的石头 (2006)
2001太空漫游 (1968)
纵横四海 (1991)
雨中曲 (1952)
卢旺达饭店 (2004)
记忆碎片 (2000)
小偷家族 (2018)
无敌破坏王 (2012)
岁月神偷 (2010)
冰川时代 (2002)
牯岭街少年杀人事件 (1991)
荒蛮故事 (2014)
忠犬八公物语 (1987)
恐怖游轮 (2009)
爆裂鼓手 (2014)
东京教父 (2003)
魔女宅急便 (1989)
末路狂花 (1991)
大佛普拉斯 (2017)
遗愿清单 (2007)
贫民窟的百万富翁 (2008)
东邪西毒 (1994)
你看起来好像很好吃 (2010)
高山下的花环 (1984)
源代码 (2011)
可可西里 (2004)
疯狂的麦克斯4：狂暴之路 (2015)
城市之光 (1931)
海边的曼彻斯特 (2016)
波西米亚狂想曲 (2018)
黑天鹅 (2010)
芙蓉镇 (1987)
爱乐之城 (2016)
真爱至上 (2003)
青蛇 (1993)
雨人 (1988)
初恋这件小事 (2010)
花束般的恋爱 (2021)
终结者2：审判日 (1991)
人工智能 (2001)
虎口脱险 (1966)
无耻混蛋 (2009)
恋恋笔记本 (2004)
新龙门客栈 (1992)
哈利·波特与死亡圣器(上) (2010)
白日梦想家 (2013)
崖上的波妞 (2008)
罗生门 (1950)
千钧一发 (1997)
彗星来的那一夜 (2013)
大红灯笼高高挂 (1991)
黑客帝国2：重装上阵 (2003)
萤火虫之墓 (1988)
哈利·波特与凤凰社 (2007)
火星救援 (2015)
奇迹男孩 (2017)
机器人之梦 (2023)
二十二 (2015)
战争之王 (2005)
步履不停 (2008)
血钻 (2006)
千年女优 (2001)
谍影重重2 (2004)
房间 (2015)
魂断蓝桥 (1940)
蜘蛛侠：平行宇宙 (2018)
弱点 (2009)
谍影重重 (2002)
隐藏人物 (2016)
朗读者 (2008)
阿飞正传 (1990)

个人精选

电影作为一门综合艺术，其类型边界往往是模糊且相互渗透的。一部作品可能同时具备剧情片的深度、战争片的宏大和爱情片的细腻。

剧情

1
2

肖申克的救赎 (1994)
忠犬八公的故事 (2009)

喜剧

1
2
3

摩登时代 (1936)
城市之光 (1931)
雨中曲 (1952)

爱情

1
2
3

卡萨布兰卡 (1942)
花样年华 (2000)
乱世佳人 (1939)

犯罪

1
2
3

教父 (1972)
洛城机密 (1997)
非常嫌疑犯 (1995)

战争

1
2
3
4

辛德勒的名单 (1993)
美丽人生 (1997)
我们的父辈 (2013)
穿条纹睡衣的男孩 (2008)

科幻

1
2
3
4

盗梦空间 (2010)
星际穿越 (2014)
黑客帝国 (1999)
楚门的世界 (1998)

动画

1
2
3

寻梦环游记 (2017)
疯狂动物城 (2016)
机器人之梦 (2023)

歌舞

1
2
3

雨中曲 (1952)
爱乐之城 (2016)
音乐之声 (1965)

防火长城是中国的一项网络审查制度，旨在实现对信息流通的严格控制，进而维护对社会的全面监管。这一制度不仅阻断了公众与外部世界的联系，也是出于对民众获取真相的深切恐惧。

本文将介绍当前几种主流的代理协议，并简要概述它们的部署方法。尽管这些努力微不足道，但它们为突破互联网封锁提供了可能的途径，助力人们获取更为开放的信息。

hysteria

UDP 协议，基于魔改的 QUIC 协议，垃圾线路的救星，部分地区容易 Qos 出现断流情况

URI 格式：hysteria2://[auth@]hostname[:port]/?[key=value]&[key=value]…

例如：hysteria2://rR9YCGYaY0LpP7BLswTSzQ==@47.76.67.1:30000/?sni=hy.test.com&insecure=0#🇭🇰 Test

性能优化

1
2
3

# 将发送、接收两个缓冲区都设置为 16 MB
sysctl -w net.core.rmem_max=16777216
sysctl -w net.core.wmem_max=16777216

官方一键脚本

1
2
3
4

# 安装/升级
bash <(curl -fsSL https://get.hy2.sh/)
# 卸载
bash <(curl -fsSL https://get.hy2.sh/) --remove

证书设置

可使用 acme 申请的域名证书或自签证书

1
2

# 写入 Bing 自签证书
openssl req -x509 -nodes -newkey ec:<(openssl ecparam -name prime256v1) -keyout /etc/hysteria/server.key -out /etc/hysteria/server.crt -subj "/CN=bing.com" -days 36500 && sudo chown hysteria /etc/hysteria/server.key && sudo chown hysteria /etc/hysteria/server.crt

修改配置文件

1

vim /etc/hysteria/config.yaml

config.yaml 文件，参考配置文件，更多功能参考官网

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

listen: :10010

tls: 
  cert: /root/ssl/fullchain.cer
  key: /root/ssl/private.key
  sniGuard: disable

auth:
  type: password
  password: B4h40ouvw7

masquerade:
  type: proxy
  proxy:
    url: https://www.paypal.com/
    rewriteHost: true

acl:
  inline: 
    - warp(geosite:disney)
    - warp(geosite:spotify)
    - warp(geosite:reddit)

outbounds:
  - name: default 
    type: direct 
  - name: warp
    type: socks5
    socks5:
      addr: 127.0.0.1:8081
      username: i84gqmyXcW 
      password: kEWCpaY0fL

服务启动

1
2
3
4
5
6

# 开放对应端口
ufw status
ufw allow 30000
# 重启并开机自启
systemctl restart hysteria-server.service
systemctl enable hysteria-server.service

端口跳跃

运营商会阻断或限速 UDP 连接。不过，这些限制往往仅限单个端口。端口跳跃可用作此情况的解决方法。

注意：设置 iptables 规则网卡名称 eth0 要根据具体情况更改，可用命令 ip a 查看网卡名称！

常见以太网接口命名：eth0 /eth1 /eth2 /ens33 /ens5 / enp0s3

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

### 使用 UFW 持久化 REDIRECT 规则
# 启用 IP 转发
vim /etc/ufw/sysctl.conf
## 找到并取消注释以下两行后保存
net/ipv4/ip_forward=1
net/ipv6/conf/default/forwarding=1
# 添加 IPv4 规则
vim /etc/ufw/before.rules
## 添加下面规则
*nat
:PREROUTING ACCEPT [0:0]
# IPv4: Redirect UDP ports 10011-10210 to port 10010
-A PREROUTING -i eth0 -p udp --dport 10011:10210 -j REDIRECT --to-ports 10010
COMMIT
# 添加 IPv4 规则
vim /etc/ufw/before6.rules
## 添加下面规则
*nat
:PREROUTING ACCEPT [0:0]
# IPv6: Redirect UDP ports 10011-10210 to port 10010
-A PREROUTING -i eth0 -p udp --dport 10011:10210 -j REDIRECT --to-ports 10010
COMMIT

在该示例中，服务器以太网卡名称 eth0 监听 10010 端口，但客户端可以通过 10011-10210 范围内的任何端口连接。

证书错误

如果显示：{"error": "invalid config: tls: open /etc/hysteria/server.crt: permission denied"} 或者 failed to load server conf 的错误，则说明 Hysteria 没有访问证书文件的权限，需要执行下面的命令将 Hysteria 切换到 root 用户运行

1
2
3
4

sed -i '/User=/d' /etc/systemd/system/hysteria-server.service
sed -i '/User=/d' /etc/systemd/system/hysteria-server@.service
systemctl daemon-reload
systemctl restart hysteria-server.service

reality

目前安全性最高也是自建最多人使用的协议，能有效消除服务端 TLS 指纹特征，隐藏和保护流量的特征。

域名选择

reality 只需要获取域名即可使用，目标网站必须满足 5 个条件：

1. 使用 TLS 1.3 协议

2. 使用 X25519 签名算法

3. 支持 HTTP/2 协议（H2）

4. 不使用 CDN - 如果 Reality 目标网站使用 CDN，数据将转发到 CDN 节点，使你的 Reality 节点成为别人的反向代理加速节点

在网站 URL 末尾添加 /cdn-cgi/trace 。如：你看上的的域名是https://codepen.io此时在域名后面加上/cdn-cgi/trace ，即：https://codepen.io/cdn-cgi/trace ，发现网址内容如下图，则表示网站正在使用 Cloudflare CDN，这样的是不能用的

5. 中国境内不依赖任何代理可以直接访问

使用 https://www.itdog.cn/ping/ 输入域名持续测试，查看中国境内连通性

获取域名

域名推荐度：偷自己 > 偷邻居 > 偷服务器所在地图书馆、大学、旅游局 > 偷大厂

偷自己的域名

顾名思义，用自己的服务器部署网站（域名 DNS 记录指向自己部署 reality 的机器上）

偷邻居的域名

ASN 查询工具：https://tools.ipip.net/as.php

FOFA 目标网站查询工具：https://fofa.info

1. 首先使用 ASN 查询工具，输入你的服务器 IP，记录下你的服务器所在 ASN

2. 使用下面代码块中的这段搜索条件，将 ASN 替换为你查询出来的数字，在 FOFA 进行搜索。下面的示例代码含义是「查询自治域为 16509，美国区域，端口为 443，证书不是由 Let’s Encrypt 或者 ZeroSSL 颁发的，且请求成功的网站。」

   country 字段为国家地区两字母代码，可在以下网站寻找

   • 百度百科链接
   • 维基百科链接

   1	asn=="16509" && country=="US" && port=="443" && cert!="Let's Encrypt" && cert.issuer!="ZeroSSL" && status_code="200"

3. 从搜索结果中，找到有域名的网站，与 第一部分中「1.1 目标网站的标准」提到的条件进行核对，全都符合即可将此网站域名记录下来，以供后续使用。

偷服务器所在地图书馆、大学、旅游局

1. 搜索美国比较有名的大学，看他们的官网，与 第一部分中「1.1 目标网站的标准」提到的 5 个条件进行核对
2. 搜索美国的图书馆官网，看他们与 1.1……
3. 搜美国的旅游……

偷大厂的网站

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

# Apple
www.icloud.com
gateway.icloud.com
itunes.apple.com
swdist.apple.com

# 其他
www.paypal.com
www.microsoft.com
www.samsung.com
www.amd.com
www.tesla.com
www.nvidia.com
www.cisco.com
addons.mozilla.org
www.lovelive-anime.jp
www.sap.com

# 技术网站
www.java.com
www.mysql.com
www.oracle.com
www.mongodb.com

一键脚本

1
2
3
4

# 首次运行
bash <(wget -qO- -o- https://github.com/233boy/Xray/raw/main/install.sh)
# 再次运行
xray

面板部署

1
2
3
4
5
6

# 首次运行
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)
# 再次运行
x-ui
# 在面板不配置 ssl 证书，使用 nginx 反代的情况下 禁止外部连接
ufw deny 2053

实现 Full cone

服务端防火墙需要放行 UDP 高位端口（1024-65535），如果使用 Docker 那容器网络模式需要是 Host

1
2

# 请添加到 ufw 规则的末尾
ufw allow 1024:65535/udp

shadowsocks

最简单、最快速、消耗最低的加密代理协议，但极易遭到封锁。历经波折，目前更新到 shadowsocks 2022

shadowsocks 2022 声称提升了性能并带有完整的重放保护和防止TCP主动探测，但仍有较大封锁风险谨慎使用

一键脚本

部署 shadowsocks 2022

1
2
3
4

# 首次运行
bash <(wget -qO- -o- https://github.com/233boy/sing-box/raw/main/install.sh)
# 再次运行
sing-box

最好使用 sing-box 开启 multiplex 和 padding 且在支持客户端启用，在 /etc/sing-box/conf 目录下对应配置文件手动添加

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

{
  "inbounds": [
    {
      "tag": "Shadowsocks-12333.json",
      "type": "shadowsocks",
      "listen": "::",
      "listen_port": 12333,
      "method": "2022-blake3-aes-128-gcm",
      "password": "vDaq/GDr9Xm8+0gL0GkxaA==",
      "multiplex": {
        "enabled": true,
        "padding": true
      }
    }
  ]
}

面板部署

部署 shadowsocks 2022 + obfs（即http混淆）

1
2
3
4
5
6

# 首次运行
bash <(curl -Ls https://raw.githubusercontent.com/mhsanaei/3x-ui/master/install.sh)
# 再次运行
x-ui
# 在面板不配置 ssl 证书，使用 nginx 反代的情况下 禁止外部连接
ufw deny 2053

请求头添加名为Host，值为obfs-host=gateway.icloud.com

实现 Full cone

服务端防火墙需要放行 UDP 高位端口（1024-65535），如果使用 Docker 那容器网络模式需要是 Host

1
2

# 请添加到 ufw 规则的末尾
ufw allow 1024:65535/udp

snell

Surge 团队开发的私有专属协议，媲美甚至超越 shadowsocks，最新版仅限于 Surge 使用。

一键脚本

1

wget -O snell.sh --no-check-certificate https://git.io/Snell.sh && chmod +x snell.sh && ./snell.sh

Docker部署

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

# 创建文件夹
mkdir snell && cd snell
# 写入 Docker Compose 文件
cat > docker-compose.yaml << EOF
services:
  snell:
    image: vocrx/snell-server:alpine
    container_name: snell
    restart: always
    network_mode: host
    environment:
      - PORT=65110
      - PSK=jy7jbw6yFWikg2uS
      - DNS=1.1.1.1,8.8.8.8
EOF
# 自定义 SNELL 配置参考
services:
  snell:
    image: vocrx/snell-server:alpine
    container_name: snell
    restart: always
    network_mode: host
    environment:
      - PORT=自定义使用的端口, 仅host模式下生效, 不写则随机。
      - PSK=节点密码, 不写则随机。
      - IPV6=true/false, 不写默认为false。
      - DNS=8.8.8.8,1.1.1.1, 不写为系统默认
      - VERSION=v4.1.1, 自定义二进制文件版本, 不写则默认最新版
      - OBFS=http,默认为空,写此条必须配置HOST
      - HOST=icloud.com,默认为空
# 启动
docker compose up -d

参考/推荐

Reality自建教程

❤️ 核心

• Mihomo 原 Clash Meta，基于开源项目 Clash 的二次开发版本，增加了一些独有特性，支持更多协议
• Hysteria 基于修改版的 QUIC 协议专为恶劣网络环境进行优化的双边加速代理工具
• sing-box GO 开发的高性能通用代理平台
• AnyTLS 一款精心设计的 TLS 代理，具备更简单的配置，更优的性能，并且更强的抗审查能力
• Xray-core 是 v2ray-core 的超集，含更好的整体性能和 XTLS、reality 等一系列增强，且完全兼容 v2ray-core 的功能及配置
• shadowsocks 最新版使用 Rust 开发，基于 Socks5 协议的加密传输代理工具
• v2ray-core GO 开发的高性能通用代理平台
• Snell Surge 团队开发的精简加密代理协议，支持原生 UDP，新版本仅供 Surge 使用
• naiveproxy 使用 Chrome 浏览器的网络堆栈来伪装流量，具有很强的抗审查能力和低可探测性。
• TUIC 尽可能减少握手造成的网络往返时延 重启开发
• juicity 基于 QUIC 的代理协议和实现，受到 TUIC 的启发
• clash 使用 Go 开发的网络连接代理平台，通过预先定义的规则，对网络连接进行转发 已删库
• clash premium 因为 Clash 的不当使用和重新分发，开发者决定分叉 Clash 并在私有 GitHub 存储库中开发更高级的功能 已删库
• trojan 将通信流量伪装成互联网上最常见的 https 流量，从而有效防止流量被检测和干扰 已停更
• trojan-go Go 实现的 Trojan 代理，支持 多路复用/路由功能/CDN中转/Shadowsocks 混淆插件，多平台，无依赖 已停更

📱 移动端

🤖 Android 客户端

• FlClash 全协议支持、分流，美观的UI
• Clash Meta for Android 全协议支持、分流，Mihomo官方
• NekoBox 全协议支持、稳定，优化的链式代理，分流一般
• v2rayNG 比较上古的软件了，仅支持 Xray/v2ray 核心，协议支持较欠缺

🍎 iOS 客户端

• Shadowrocket (小火箭) $2.99 最高性价比，使用简单，全协议支持，但分流较折腾
• Stash $5.99 较全的协议支持，分流
• Surge $49.99/$69.99/$99.99 最强也是最贵的，有钱的折腾党必入
• Loon $7.99 潜力股

🖥 电脑端

🪟 Windows 客户端

• Clash Party 功能完善，有Smart 智能分组且集成 Sub-Store
• Sparkle Mihomo成员开发，功能强大但臃肿，更新随缘
• Clash Verge Rev 功能强大、轻量高效，更新活跃但BUG较多
• FlClash 全协议支持、分流
• v2rayN 全协议支持，支持 Xray/Sing-box 等多种核心

🍏 macOS 客户端

• Clash Party 功能完善，有Smart 智能分组且集成 Sub-Store
• Sparkle Mihomo成员开发，功能强大但臃肿，更新随缘
• Clash Verge Rev 功能强大、轻量高效，更新活跃但BUG较多
• Surge $49.99/$69.99/$99.99 最强也是最贵的，有钱的折腾党必入
• FlClash 全协议支持、分流

🐧 Linux 客户端

• Clash Party 功能完善，有Smart 智能分组且集成 Sub-Store
• Sparkle Mihomo成员开发，功能强大但臃肿，更新随缘
• Clash Verge Rev 功能强大、轻量高效，更新活跃但BUG较多
• FlClash 全协议支持、分流
• v2rayN 全协议支持，支持 Xray/Sing-box 等多种核心

⚙️ 路由器

🗄 OpenWrt 软路由

• PassWall 配置高度灵活且功能强大，但分流设置繁琐且界面陈旧
• PassWall2 游戏级 UDP 代理，相较 PassWall 分流操作有简化
• Nikki OpenClash 精简版，透明代理，轻量高效
• OpenClash 更新积极、功能完善，但极其臃肿、配置复杂，CPU性能差勿入，新手勿入
• SSR Plus 简单易用，兼容旧设备

🛜 硬路由

• ShellCrash 全协议支持，支持 Mihomo / Singbox / Singbox-P核心

✈️ 机场推荐

购买机场记得使用优惠码，最好月付 月付 月付！年付，真心不太推荐。

👑 顶级机场

• 奶昔：全网最强也是最贵，可自行选择落地接入点
• Kuromis库洛米：奶昔的测试服，UDP多线程优化
• ImmTelecom：佛系运营
• AmyTelecom按摩院：奶昔的分站
• FlowerCloud花云：全球覆盖，有低倍率，多地冷门节点
• YToo歪兔：专线机场，有低倍率，在一线机场里性价比较高

👍️ 推荐机场

• 西部数据：20R/200G专线性价比之王，长期85折
• OuO：11R/100G “专线”，有Emby可观影，75折优惠码：DUANG114514

方便省心：一线机场+备用机场

无审计尽量保证数据安全及隐私：自建+备用机场

🛠️ 自建Proxy

主流协议选择可以参考另一篇文章

面板搭建

• MHSanaei/3x-ui x-ui魔改版
• alireza0/x-ui x-ui魔改版
• alireza0/s-ui Sing-Box面板
• Hiddify-Manager 多协议支持面板

脚本搭建

• mack-a八合一脚本，多协议支持
• fscarmen/sing-box脚本，多协议支持
• 233boy/Xray脚本，多协议支持
• 233boy/sing-box脚本，多协议支持
• hysteria2官方脚本，UDP协议/垃圾线路救星

1
2

# Snell搭建、管理
wget -O snell.sh --no-check-certificate https://git.io/Snell.sh && chmod +x snell.sh && ./snell.sh

小白/懒癌患者/想省心，请尽量选择购买机场，如需要自建推荐 vless reality 和 hysteria2

💯 海豚导航

更详细信息可以阅读：https://www.haitunt.org/index.html

一直以来使用的接口文档方案都是Knife4j。此次编写新项目，鉴于springfox和Swagger2规范都已经停止维护，所以选择拥抱springdoc+OpenAPI3规范。knife4j也已更新版本，本项目基于Spring Boot2.7.x版本。
忠告：一定要认真看官方文档

问题描述

项目中定义了实体类属性的时间格式为LocalDateTime，如果不做任何处理后端会向前端返回数组格式，而不是我们想要的时间格式。

1
2
3
4
5

// 创建时间
private LocalDateTime createTime;

// 更新时间
private LocalDateTime updateTime;

像这种情况，以前的项目也遇到过，所以是轻松解决。这里说一下两种解决方案，推荐使用的是第二种。

第一种：
遇到这个问题是因为后端向前端发送的时间是一个LocalDateTime对象，我们只需要把该对象转成时间戳在发送即可。

在定义LocalDateTime类型的属性上上加上注解，对日期进行格式化

1
2
3
4
5
6
7

// 创建时间
@JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss")
private LocalDateTime createTime;

// 更新时间
@JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss")
private LocalDateTime updateTime;

但这种方式，需要在每个时间属性都加上该注解，使用麻烦，耦合度高

第二种：
通过重写WebMvcConfigurationSupport里的消息转换器方法实现(全局)，统一对日期类型进行格式处理

具体实现步骤：

• 提供对象转换器JacksonObjectMapper，基于Jackson进行Java对象到json数据的转换
• 在WebMvcConfig配置类中扩展Spring mvc的消息转换器，在此消息转换器中使用提供的对象转换器进行Java对象到json数据的转换

  1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33

  /** * 对象映射器:基于jackson将Java对象转为json，或者将json转为Java对象 * 将JSON解析为Java对象的过程称为 [从JSON反序列化Java对象] * 从Java对象生成JSON的过程称为 [序列化Java对象到JSON] */ public class JacksonObjectMapper extends ObjectMapper { public static final String DEFAULT_DATE_FORMAT = "yyyy-MM-dd"; public static final String DEFAULT_DATE_TIME_FORMAT = "yyyy-MM-dd HH:mm"; public static final String DEFAULT_TIME_FORMAT = "HH:mm:ss"; public JacksonObjectMapper() { super(); // 收到未知属性时不报异常 this.configure(FAIL_ON_UNKNOWN_PROPERTIES, false); // 反序列化时，属性不存在的兼容处理 this.getDeserializationConfig().withoutFeatures(DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES); SimpleModule simpleModule = new SimpleModule() .addDeserializer(LocalDateTime.class, new LocalDateTimeDeserializer(DateTimeFormatter.ofPattern(DEFAULT_DATE_TIME_FORMAT))) .addDeserializer(LocalDate.class, new LocalDateDeserializer(DateTimeFormatter.ofPattern(DEFAULT_DATE_FORMAT))) .addDeserializer(LocalTime.class, new LocalTimeDeserializer(DateTimeFormatter.ofPattern(DEFAULT_TIME_FORMAT))) .addSerializer(LocalDateTime.class, new LocalDateTimeSerializer(DateTimeFormatter.ofPattern(DEFAULT_DATE_TIME_FORMAT))) .addSerializer(LocalDate.class, new LocalDateSerializer(DateTimeFormatter.ofPattern(DEFAULT_DATE_FORMAT))) .addSerializer(LocalTime.class, new LocalTimeSerializer(DateTimeFormatter.ofPattern(DEFAULT_TIME_FORMAT))); // 注册功能模块 例如，可以添加自定义序列化器和反序列化器 this.registerModule(simpleModule); } }

WebMvcConfig配置类里重写消息转换器

在我重写消息转换器后导致了knife4j文档请求异常的出现，起初我并未发现该问题，因为在使用Postman进行接口测试，并没有打开文档。当我发现该问题，对比代码版本的变动后，我意识到可能是消息转换器导致了该问题的出现。

可以明显看到请求/v3/apis-docs路径返回的是Base64编码，就是因为没有正确返回json数据导致文档显示失败

解决方案

由于之前的项目也是使用的knife4j（Swagger2），也重写过消息转换器，并未出现该问题。当我一筹莫展，反复修改的情况下，突然想起我用的knife4j是新版的。于是乎，我打开了knife4j的官网……

没错，就是这样的，打开官网看一眼FAQ就可以解决了
ps：不要学我，用新版都不先看一眼文档（其实看了，就看了新版依赖坐标）

在查看GitHub的issues后，成功解决该问题。就是需要在拓展的自定义消息转换器前注册ByteArrayHttpMessageConverter，一定要注意顺序，不然还是会请求异常

什么是 Docker

Docker 是一种开源的容器化平台，用于轻松地构建、部署和运行应用程序。它通过利用容器化技术，使得应用程序及其依赖项可以被打包在一个独立的、可移植的容器中。这个容器包含了应用程序所需的所有组件，包括代码、运行时环境、系统工具、系统库等。

使用 Docker 的好处

• 轻量化和快速部署：Docker 利用容器化技术，将应用程序及其所有依赖项打包成独立的容器，这使得应用程序在不同环境中具备一致的运行方式，减少了部署的复杂性，并能够快速启动和停止容器。
• 环境一致性：Docker 可以确保应用程序在不同的开发、测试和生产环境中具有一致的运行环境，避免了由于环境差异导致的问题。
• 高效的资源利用：Docker 容器共享主机的操作系统内核，因此相比于传统的虚拟化方式，它的资源消耗更低，能够更高效地利用服务器的计算资源。
• 快速迁移和扩展：Docker 容器可以方便地在不同的主机之间迁移，而且可以根据需求快速扩展应用程序的实例数量，提供更好的水平扩展能力。

Docker 对比传统虚拟机

Docker 基本概念

• 镜像（Image）
• 容器（Container）
• 仓库（Repository）

理解了这三个概念，就理解了 Docker 的整个生命周期。

Docker 镜像

我们都知道，操作系统分为 内核 和 用户空间。对于 Linux 而言，内核启动后，会挂载 root 文件系统为其提供用户空间支持。而 Docker 镜像（Image），就相当于是一个 root 文件系统。比如官方镜像 ubuntu:18.04 就包含了完整的一套 Ubuntu 18.04 最小系统的 root 文件系统。

Docker 镜像 是一个特殊的文件系统，除了提供容器运行时所需的程序、库、资源、配置等文件外，还包含了一些为运行时准备的一些配置参数（如匿名卷、环境变量、用户等）。镜像 不包含 任何动态数据，其内容在构建之后也不会被改变。

分层存储

因为镜像包含操作系统完整的 root 文件系统，其体积往往是庞大的，因此在 Docker 设计时，就充分利用 Union FS 的技术，将其设计为分层存储的架构。所以严格来说，镜像并非是像一个 ISO 那样的打包文件，镜像只是一个虚拟的概念，其实际体现并非由一个文件组成，而是由一组文件系统组成，或者说，由多层文件系统联合组成。

镜像构建时，会一层层构建，前一层是后一层的基础。每一层构建完就不会再发生改变，后一层上的任何改变只发生在自己这一层。比如，删除前一层文件的操作，实际不是真的删除前一层的文件，而是仅在当前层标记为该文件已删除。在最终容器运行的时候，虽然不会看到这个文件，但是实际上该文件会一直跟随镜像。因此，在构建镜像的时候，需要额外小心，每一层尽量只包含该层需要添加的东西，任何额外的东西应该在该层构建结束前清理掉。

分层存储的特征还使得镜像的复用、定制变的更为容易。甚至可以用之前构建好的镜像作为基础层，然后进一步添加新的层，以定制自己所需的内容，构建新的镜像。

Docker 容器

镜像（Image）和容器（Container）的关系，就像是面向对象程序设计中的 类 和 实例 一样，镜像是静态的定义，容器是镜像运行时的实体。容器可以被创建、启动、停止、删除、暂停等。

容器的实质是进程，但与直接在宿主执行的进程不同，容器进程运行于属于自己的独立的 命名空间。因此容器可以拥有自己的 root 文件系统、自己的网络配置、自己的进程空间，甚至自己的用户 ID 空间。容器内的进程是运行在一个隔离的环境里，使用起来，就好像是在一个独立于宿主的系统下操作一样。这种特性使得容器封装的应用比直接在宿主运行更加安全。也因为这种隔离的特性，很多人初学 Docker 时常常会混淆容器和虚拟机。

前面讲过镜像使用的是分层存储，容器也是如此。每一个容器运行时，是以镜像为基础层，在其上创建一个当前容器的存储层，我们可以称这个为容器运行时读写而准备的存储层为 容器存储层。

容器存储层的生存周期和容器一样，容器消亡时，容器存储层也随之消亡。因此，任何保存于容器存储层的信息都会随容器删除而丢失。
按照 Docker 最佳实践的要求，容器不应该向其存储层内写入任何数据，容器存储层要保持无状态化。所有的文件写入操作，都应该使用 数据卷（Volume）、或者 绑定宿主目录，在这些位置的读写会跳过容器存储层，直接对宿主（或网络存储）发生读写，其性能和稳定性更高。

数据卷的生存周期独立于容器，容器消亡，数据卷不会消亡。因此，使用数据卷后，容器删除或者重新运行之后，数据却不会丢失。

Docker仓库

镜像构建完成后，可以很容易的在当前宿主机上运行，但是，如果需要在其它服务器上使用这个镜像，我们就需要一个集中的存储、分发镜像的服务，Docker Registry 就是这样的服务。

一个 Docker Registry 中可以包含多个 仓库（Repository）；每个仓库可以包含多个 标签（Tag）；每个标签对应一个镜像。

通常，一个仓库会包含同一个软件不同版本的镜像，而标签就常用于对应该软件的各个版本。我们可以通过 <仓库名>:<标签> 的格式来指定具体是这个软件哪个版本的镜像。如果不给出标签，将以 latest 作为默认标签。

以 Ubuntu 镜像 为例，ubuntu 是仓库的名字，其内包含有不同的版本标签，如，16.04, 18.04。我们可以通过 ubuntu:16.04，或者 ubuntu:18.04 来具体指定所需哪个版本的镜像。如果忽略了标签，比如 ubuntu，那将视为 ubuntu:latest。

仓库名经常以 两段式路径 形式出现，比如 jwilder/nginx-proxy，前者往往意味着 Docker Registry 多用户环境下的用户名，后者则往往是对应的软件名。但这并非绝对，取决于所使用的具体 Docker Registry 的软件或服务。

Docker Registry 公开服务

Docker Registry 公开服务是开放给用户使用、允许用户管理镜像的 Registry 服务。一般这类公开服务允许用户免费上传、下载公开的镜像，并可能提供收费服务供用户管理私有镜像。
最常使用的 Registry 公开服务是官方的 Docker Hub，这也是默认的 Registry，并拥有大量的高质量的 官方镜像。除此以外，还有 Red Hat 的 Quay.io；Google 的 Google Container Registry，Kubernetes 的镜像使用的就是这个服务；代码托管平台 GitHub 推出的 ghcr.io。
由于某些原因，在国内访问这些服务可能会比较慢。国内的一些云服务商提供了针对 Docker Hub 的镜像服务（Registry Mirror），这些镜像服务被称为 加速器。常见的有 阿里云加速器、DaoCloud 加速器 等。使用加速器会直接从国内的地址下载 Docker Hub 的镜像，比直接从 Docker Hub 下载速度会提高很多。在 安装 Docker 一节中有详细的配置方法。
国内也有一些云服务商提供类似于 Docker Hub 的公开服务。比如 网易云镜像服务、DaoCloud 镜像市场、阿里云镜像库 等。

私有 Docker Registry

除了使用公开服务外，用户还可以在本地搭建私有 Docker Registry。Docker 官方提供了 Docker Registry 镜像，可以直接使用做为私有 Registry 服务。

开源的 Docker Registry 镜像只提供了 Docker Registry API 的服务端实现，足以支持 docker 命令，不影响使用。但不包含图形界面，以及镜像维护、用户管理、访问控制等高级功能。

除了官方的 Docker Registry 外，还有第三方软件实现了 Docker Registry API，甚至提供了用户界面以及一些高级功能。比如，Harbor 和 Sonatype Nexus。

安装 Docker

一键安装 Docker

安装 Docker（非中国大陆服务器）

1

wget -qO- get.docker.com | bash

安装 Docker（中国大陆服务器）

1

curl -sSL https://get.daocloud.io/docker | sh

镜像加速器

国内从 Docker Hub 拉取镜像有时会遇到困难，此时可以配置镜像加速器。国内很多云服务商都提供了国内加速器服务，例如：

• 阿里云加速器(点击管理控制台 -> 登录账号 -> 右侧镜像工具 -> 镜像加速器)
• 网易云加速器 https://hub-mirror.c.163.com
• 百度云加速器 https://mirror.baidubce.com
  由于镜像服务可能出现宕机，建议同时配置多个镜像。各个镜像站测试结果请到 docker-practice/docker-registry-cn-mirror-test 查看。

  国内各大云服务商（腾讯云、阿里云、百度云）均提供了 Docker 镜像加速服务，建议根据运行 Docker 的云平台选择对应的镜像加速服务，具体请参考本页最后一小节。

本节我们以网易云镜像服务 https://hub-mirror.c.163.com 为例进行介绍。

Ubuntu 16.04+、Debian 8+、CentOS 7+

目前主流 Linux 发行版均已使用 进行服务管理，这里介绍如何在使用 systemd 的 Linux 发行版中配置镜像加速器。
请首先执行以下命令，查看是否在 docker.service 文件中配置过镜像地址。

1
2

$ systemctl cat docker | grep '\-\-registry\-mirror'

如果该命令有输出，那么请执行 $ systemctl cat docker 查看 ExecStart= 出现的位置，修改对应的文件内容去掉 –registry-mirror 参数及其值，并按接下来的步骤进行配置。

如果以上命令没有任何输出，那么就可以在 /etc/docker/daemon.json 中写入如下内容（如果文件不存在请新建该文件）：

1
2
3
4
5
6

{
  "registry-mirrors": [
    "https://hub-mirror.c.163.com",
    "https://mirror.baidubce.com"
  ]
}

注意，一定要保证该文件符合 json 规范，否则 Docker 将不能启动。

之后重新启动服务。

1
2

$ sudo systemctl daemon-reload
$ sudo systemctl restart docker

Windows 10

对于使用 Windows 10 的用户，在任务栏托盘 Docker 图标内右键菜单选择 Settings，打开配置窗口后在左侧导航菜单选择 Docker Engine，在右侧像下边一样编辑 json 文件，之后点击 Apply & Restart 保存后 Docker 就会重启并应用配置的镜像地址了。

1
2
3
4
5
6

{
  "registry-mirrors": [
    "https://hub-mirror.c.163.com",
    "https://mirror.baidubce.com"
  ]
}

macOS

对于使用 macOS 的用户，在任务栏点击 Docker Desktop 应用图标 -> Perferences，在左侧导航菜单选择 Docker Engine，在右侧像下边一样编辑 json 文件。修改完成之后，点击 Apply & Restart 按钮，Docker 就会重启并应用配置的镜像地址了。

1
2
3
4
5
6

{
  "registry-mirrors": [
    "https://hub-mirror.c.163.com",
    "https://mirror.baidubce.com"
  ]
}

检查加速器是否生效

执行 $ docker info，如果从结果中看到了如下内容，说明配置成功。

1
2

Registry Mirrors:
 https://hub-mirror.c.163.com/

k8s.gcr.io 镜像

可以登录 阿里云 镜像中心 -> 镜像搜索 查找。
例如 k8s.gcr.io/coredns:1.6.7 镜像可以用 registry.cn-hangzhou.aliyuncs.com/google_containers/coredns:1.6.7 代替。

一般情况下有如下对应关系：

1
2
3

# $ docker pull k8s.gcr.io/xxx

$ docker pull registry.cn-hangzhou.aliyuncs.com/google_containers/xxx

云服务商

某些云服务商提供了 仅供内部 访问的镜像服务，当您的 Docker 运行在云平台时可以选择它们。

• Azure 中国镜像 https://dockerhub.azk8s.cn
• 腾讯云 https://mirror.ccs.tencentyun.com

开启实验特性

一些 docker 命令或功能仅当 实验特性 开启时才能使用，请按照以下方法进行设置。

Docker CLI 的实验特性

从 v20.10 版本开始，Docker CLI 所有实验特性的命令均默认开启，无需再进行配置或设置系统环境变量。

开启 dockerd 的实验特性

编辑 /etc/docker/daemon.json，新增如下条目

1
2
3

{
  "experimental": true
}

Docker 常用命令

下面将逐一学习在 Docker 中最常使用的 30 个命令。本文不会在一开始就给出最常用或者最复杂的命令，而是循序渐进的给出这些命令。

命令 1: docker help

这个命令用于查看 Docker CLI 的帮助信息。它的用法非常简单，如果不带任何参数，运行这个命令将会输出 Docker CLI 支持的命令列表。

例 1: 查看 Docker CLI 支持的命令列表

1

docker help

这个命令和直接输入 docker 命令不带任何参数的效果相同。

1

docker

也可以命令之后加上要查看帮助的命令名称，这样就会输出那个命令的帮助信息。

例 2: 查看 docker run 命令的帮助信息

1

docker help run

命令 2: docker version

这个命令用于查看 Docker 版本信息。它的用法非常简单，不需要任何参数。运行这个命令将会输出 Docker Client 和 Docker Server 的版本信息。

例 3: 查看 Docker 版本信息

1

docker version

这个命令经常被用来检查 Docker 是否被正确的安装。

命令 3: docker pull

这个命令用于从 register (通常就是 Docker Hub) 下载镜像。它的用法非常简单，在命令之后加上要下载的镜像名称就行。

例 4: 从 Docker Hub 下载 alpine 镜像

1

docker pull alpine

和其他事物一样，一个镜像也会有多个版本，Docker 使用 tag 标记镜像的版本。拉取镜像时，可以在镜像名称之后通过 : 指定镜像的 tag, 如果不指定 tag, 默认使用 :latest。

例 5: 从 Docker Hub 下载 alpine:3.16 镜像

1

docker pull alpine:3.16

如果要下载的镜像在本地已经存在，那么不会重复下载。

事实上，这个命令可能用得不多，因为在运行 docker run 命令的时候，如果没有对应的本地镜像，那么它将自动从 Docker Hub 下载镜像，我们很少需要手动下载镜像。

命令 4: docker images

这个命令用于列出本地镜像。它的用法非常简单，不需要任何参数。

1

docker images

这个命令的输出可能是下面这样的：

命令 5: docker rmi

这个命令用于删除本地镜像。它的用法非常简单，在命令之后加上要删除的镜像名称 (以及 tag) 就行。

例 7: 删除镜像 alpine:3.16

1

docker rmi alpine:3.16

运行以上命令之后，可以再运行 docker images 命令确认结果。

如果镜像有与之关联的容器，则需要把所有这些容器删除之后才能删除这个镜像。

命令 6: docker run

这个命令用于从一个镜像创建并运行一个新的容器。对我们而言，这个命令可能是 Docker CLI 中最重要而且使用率最高的命令。和 Docker CLI 中的其他命令不同，docker run 命令支持非常多的选项，它的用法也较为复杂。

docker run 命令的用法是：

1

docker run [options] image [command] [arg...]

例 8: 从 ubuntu 镜像运行容器

1

docker run ubuntu

运行这个命令的输出如下：

可以看到，由于本地没有 ubuntu 镜像，所以 docker run 命令会自动下载这个镜像，然后从 ubuntu 镜像运行一个容器。但是，除此以外，就没有别的输出了。事实上，如果本地已有 ubuntu 镜像，那么以上命令不会有任何输出。我们再次运行以上命令：

这是因为容器没有运行在交互模式，其中的默认命令 /bin/bash 运行结束后容器就停止了。

如果想和容器交互，那么可以让容器运行在交互模式 (-i) 并分配伪终端 (-t)。 另外，为了方便以后识别容器，可以指定容器名称 (–name container_name)。

例 9: 从 ubuntu 镜像运行容器，指定容器名称并分配伪终端

1

docker run --name test -it ubuntu

运行以上命令后，终端将进入 test 容器内部 (bash), 我们可以在其中运行容器内部支持的命令，最后，运行 exit 命令返回宿主机的终端。就像下面的图片中演示的这样：

运行容器时，使用 -v /host/path:/container/path 选项可以将某个宿主机的路径挂载到容器的指定路径，并且对于容器中不存在的目录，它会自动创建。

例 10: 从 ubuntu 镜像运行容器，并挂载目录

1

docker run -v /etc:/from/host/etc -it ubuntu

然后可以在容器其中运行 ls -al /from/host/etc 命令来确认操作已经生效。

运行容器时，使用 -v host_port:container_port 选项可以将容器的某个端口暴露到宿主的指定端口，这样就可以在宿主中访问容器中的服务。
上面的操作如下图所示：

例 11: 从 redis 镜像运行容器，暴露端口

1

docker run -p 9736:6379 -d redis

以上命令将容器中的 redis 服务暴露到宿主的 9736 端口，这样，在宿主中通过 redis-cli -p 9736 命令就可以连接到容器中的 redis 服务。

运行容器时，使用 –cpus n 选项可以限制容器使用的 cpu 数量，使用 -m ram 选项可以限制容器使用的内存大小。

例 12: 运行容器，限制 cpu 和 内存

1

docker run --cpus 0.5 -m 128M -p 8888:6379 -d redis

docker run 还支持许多其它的选项，在这片文章的后面可以看到。

命令 7: docker ps

这个命令用于列出容器。它的用法非常简单，不需要任何参数。

docker ps 命令默认只会列出运行中容器，使用 -a 选项就可以让它列出所有容器。

例 13: 列出所有容器

1

docker ps -a

这个命令的输出可能是下面这样的：

命令 8: docker rm

这个命令用于删除容器。它的用法非常简单，在命令之后加上要删除的容器名称或者 ID 就行。

例 14: 删除 test 容器

1

docker rm test

如果要删除的容器正在运行，那么使用 -a 选项可以强制删除它。

例 15: 强制删除 test 容器

1

docker rm -f test

命令 9: docker stop

这个命令用于停止容器。它的用法非常简单，在命令之后加上要停止的容器名称或者 ID 就行。

例 16: 停止 test 容器

1

docker stop test

命令 10: docker start

这个命令用于运行已经停止容器。它的用法非常简单，在命令之后加上要运行的容器名称或者 ID 就行。

这个命令经常和 docker stop 命令一起使用，先用 docker stop 停止容器，进行一些操作，然后用 docker start 运行容器。

例 17: 运行 test 容器

1

docker start test

命令 11: docker kill

这个命令用于杀死容器 21. 它的用法非常简单，在命令之后加上要杀死的容器名称或者 ID 就行。

docker kill 命令和 docker stop 命令的差别很小。可以认为 docker kill 命令是强制杀死容器，而 docker stop 命令是先尝试让容器自己停止。

例 18: 杀死 test 容器

1

docker kill test

命令 12: docker exec

这个命令用于在容器内运行命令。使用这个命令时，需要先指定容器名称或者 ID, 然后再指定要运行的命令。

为了说明这个命令的用法，先使用以下命令运行一个名为 some-test 的 redis 容器，它将在后台运行。

1

docker run --name some-redis -d redis

然后，使用这个容器中的 redis-cli 命令连接这个容器中的 redis server, 并通过它在 redis 中设置一些数据，最后退出容器。

例 19: 在容器内运行命令

1

docker exec -it some-redis redis-cli

运行以上命令之后，将进入容器中的 redis-cli, 可以通过它在 redis 中设置一些数据。如下图所示：

可以看到，这个命令也支持 -i 和 -t 选项，就像 docker run 命令一样。

命令 13: docker cp

这个命令用于在容器和本地文件系统之间复制文件或者目录。

还是以上面的 some-test 容器为例。

例 20: 从本地文件系统复制文件到容器

1

docker cp ./user.json some-redis:/root

以上命令将本地文件系统的当前目录下的 user.json 文件复制到 some-redis 容器的 /root 目录。

例 21: 从容器复制文件到本地文件系统

1

docker cp some-redis:/root/.bashrc ./.bashrc_

以上命令将 some-redis 容器的 /root/.bashrc 文件复制到本地文件系统的当前目录，并重命名为 **.bashrc_**。

命令 14: docker logs

这个命令用于从容器取回日志。它的用法非常简单，在命令之后加上容器名称或者 ID 就行。

例 22: 取回 some-redis 容器的日志

1

docker logs some-redis

当然，如果要跟随日志输出，可以加上 -f 选项，就像 tail 命令的 -f 选项那样。

例 23: 监控 some-redis 容器的日志

1

docker logs -f some-redis

命令 15: docker stats

这个命令用于显示容器的实时资源占用。它的用法非常简单，不需要任何参数。

默认只会显示运行中的容器的资源占用，使用 -a 选项就可以让它显示所有容器的资源占用。

例 24: 显示所有容器的资源占用

1

docker stats -a

这个命令的输出可能是下面这样的：

命令 16: docker top

这个命令用于显示在容器中运行的进程 (process)。它的用法非常简单，在命令之后加上容器的名称或者 ID 就行。

例 25: 显示在容器中运行的进程

1
2

docker run --name a-redis -d redis
docker top a-redis

这个命令的输出可能是下面这样的：

命令 17: docker volume create

这个命令用于创建一个存储卷 (volume)。它的用法非常简单，在命令之后加上存储卷的名称就行。如果不指定存储卷的名称，Docker 将生成一个随机名称。

多个容器可以在同一时间段内使用同一个容器。如果两个容器需要访问共享的数据，那么存储卷非常有用。

下面通过一个稍微复杂一些的例子来说存储卷的用法。

例 26: 创建并使用存储卷

首先，创建一个存储卷：

1

docker volume create shared

然后，运行一个容器，挂载上面存储卷，并向其中写入数据：

1

docker run -d -t -v shared:/writable ubuntu bash -c "watch -n 2 'date +%s >> /writable/time.txt' > /dev/null"

在上面的命令中，选项 -v shared:/writable 用于在容器中挂载存储卷。bash -c “watch -n 2 ‘date +%s >> /writable/time.txt’ > /dev/null” 这个命令用于每隔 2 秒就向 /writable/time.ext 文件写入当前时间戳。由于我们使用这样的一个命令可以更好地探索存储卷的读写操作。

然后，运行另外一个容器，也挂载上面存储卷，读取其中的数据：

1

docker run -v shared:/readable:ro ubuntu tail -5 /readable/time.txt

在上面的命令中，选项 -v shared:/readable:ro 用于在容器中挂载存储卷。我们可以多次运行上面的命令来确认结果。

需要注意的是，选项 -v shared:/readable:ro 末尾的 :ro 表示挂载的这个存储卷是只读 (read only) 的，如果向其中写入数据将会出错。

上面的操作如下图所示：

命令 18: docker volume ls

这个命令用于列出存储卷 (volume)。它的用法非常简单，不需要任何参数。

例 27: 列出存储卷

1

docker volume ls

这个命令的输出可能是下面这样的：

命令 19: docker volume rm

这个命令用于删除存储卷 (volume)。它的用法非常简单，在命令之后加上要删除的存储卷名称就行。

例 28: 删除存储卷 shared

1

docker volume rm shared

需要注意的是，使用中的存储卷不能被删除。可以先删除那个容器，然后删除存储卷。

命令 20: docker network create

这个命令用于创建容器网络。

容器默认隔离运行，它们之间可以通过容器网络通信。

下面通过一个稍微复杂一些的例子来说容器网络的用法。

例 29: 创建并使用存储卷

首先，创建一个容器网络 www:

1

docker network create www

然后，从 redis 镜像运行一个容器，并将它连接到这个网络：

1

docker run --network www --network-alias redis-server --name my-redis -d redis

在上面的命令中，选项 –network www 用于将容器连接到网络 www. 选项 –network-alias redis-server 用于为这个容器在网络中设置一个别名，这样网络中的其它容器可以更方便地连接到它。

然后，从 redis 镜像运行另外一个容器，在这个容器中运行 redis-cli 连接上面的容器中的 redis server, 并修改其中的数据：

1

docker run --network www redis redis-cli -h redis-server -r 5 incr count

在上面的命令中，在 redis-cli -h redis-server 中，我们直接通过网络别名指定了 redis server 的网络地址。

最后，可以运行下面的命令确认结果：

1

docker exec my-redis redis-cli -r 1 get count

上面的操作如下图所示：

命令 21: docker network ls

这个命令用于列出容器网络。它的用法非常简单，不需要任何参数。

例 30: 列出容器网络

1

docker network ls

这个命令的输出可能是下面这样的：

命令 22: docker network rm

这个命令用于删除容器网络。它的用法非常简单，在命令之后加上要删除的网络名称就行。

例 31: 删除容器网络 www

1

docker network rm www

命令 23: docker compose up

这个命令用于创建并启动多个容器。

下面以 [linuxserver/qbittorrent] 这个镜像为例，说明 docker compose up 命令的用法。

例 32: 通过 docker compose 启动 linuxserver/qbittorrent

首先，在当前目录创建文件 docker-compose.yml, 写入以下内容：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

---
version: "2.1"
services:
  qbittorrent:
    image: lscr.io/linuxserver/qbittorrent:latest
    container_name: qbittorrent
    environment:
      - PUID=1000
      - PGID=1000
      - TZ=Etc/UTC
      - WEBUI_PORT=8080
    volumes:
      - /path/to/appdata/config:/config
      - /path/to/downloads:/downloads
    ports:
      - 8080:8080
      - 6881:6881
      - 6881:6881/udp
    restart: unless-stopped

然后运行以下命令，-d 选项表示在后台运行所有容器：

1

docker compose up -d

上面的操作如下图所示：

然后在浏览器中打开 ip:8080 可以看到 qBittorrent Web UI, 说明上面个的容器正在运行。

例 33: docker-compose.yml 和 docker container run 选项的对应

docker-compose.yml 文件中的一个 services 对应 Docker 中的 一个容器。

上面的 docker-compose.yml 文件对应的 docker container run 命令如下 (\ 用于在 Linux 命令行中换行):

1
2
3
4
5
6
7
8
9
10
11
12
13

docker container run \
  --name qbittorrent \
  -e PUID=1000 \
  -e PGID=1000 \
  -e TZ=Etc/UTC \
  -e WEBUI_PORT=8080 \
  -v /path/to/appdata/config:/config \
  -v /path/to/downloads:/downloads \
  -p 8080:8080 \
  -p 6881:6881 \
  -p 6881:6881/udp \
  --restart unless-stopped \
   lscr.io/linuxserver/qbittorrent:latest

命令 24: docker compose down

这个命令用于停止由 docker compose up 创建的容器，并删除这些容器和网络。

注意，默认情况下，只有这些东西会被删除

定义在 docker-compose.yml 中的容器
定义在 docker-compose.yml 中的网络
默认的网络，如果使用了的话
外部 (external) 的网络的存储卷永远不会被删除。

例 34, 停止并删除由 docker compose up 创建的容器

docker-compose.yml 文件的内容和上一节相同。

1
2

docker compose up -d
docker compose down

命令 25: docker compose logs

这个命令用于查看来自多个容器的输出, 这些容器是通过 docker compose up 创建的。

如果要跟随日志输出，可以加上 -f 选项，就行 docker container logs -f 命令那样。

例 35, 监控 docker compose up 创建的容器的输出

docker-compose.yml 文件的内容和上一节相同。

1
2

docker compose up -d
docker compose logs -f

这个命令的输出可能是下面这样的：

命令 26: docker image build

这个命令用于从一个 Dockerfile 构建镜像。前面用到的所有镜像都是别人构建好的，现在我们终于可以构建自己的镜像了。

docker image build 命令支持许多选项，同时 Dockerfile 文件 也支持大量指令，这里只会对这些内容做简单介绍。下面将通过一个实例说明 docker image build 命令的用法。

例 36: 建构一个简单镜像

首先，在当前目录创建文件 Dockerfile, 写入以下内容：

1
2
3
4

FROM php:8.1-alpine3.16
RUN echo '<?php list($r,$g,$b)=explode(",",$_GET["rgb"]);echo$b?sprintf("#%02x%02x%02x",$r,$g,$b):"";' > index.php
ENTRYPOINT ["/usr/local/bin/php", "-S", "0.0.0.0:80", "index.php"]
EXPOSE 80

这个文件只有 4 行，其中包含 4 个指令：

• FROM 指令初始化一个新的构建阶段，并为后续指令设置一个 基础镜像 (Base Image). 一个 Dockerfile 必须以一个 FROM 指令作为开始。
• RUN 指令将在当前镜像顶部的新 layer 中执行命令并提交结果。
• ENTRYPOINT 指令指定容器的入口，也就是运行 docker container run image-name 命令时，容器将会启动的进程。
• EXPOSE 指令通知 Docker 这个容器在运行时将监听指定的端口。、

我们要构建的这个镜像非常简单，它基于 php:8.1-alpine3.16. 然后在其中创建了一个 index.php, 它获取 GET 请求中的 rgb 参数，然后打印对应的 hex 值，也就是说，它将 rgb 颜色转换成 hex 颜色。

然后使用以下命令构建镜像：

1

docker build -t php-rgb .

上面的命令构建了一个名为 php-rgb (通过选项 -t php-rgb) 的镜像。构建完成之后，可以使用 docker images 命令来查看刚才构建的镜像

最后，可以使用以下命令从这个镜像运行一个容器：

1

docker run -p 1234:80 php-rgb

容器运行之后，可以在浏览器中打开 http://ip:1234/?rgb=12,12,12 查看效果。

上面的操作如下图所示：

命令 27: docker commit

这个命令用于从容器创建一个镜像。它的用法非常简单，在命令之后加上容器名称或者 ID 已经镜像名称就行。

这个命令的效果和 docker run 命令相反, docker run 命令从镜像创建并运行容器。由于容器运行在一个隔离的文件系统，如果想要将容器中的变化保存下来，除了使用存储卷和绑定挂载，或者 docker cp 命令之外，也可以使用 docker commit 命令将整个容器打包成镜像。

例 37: 提交一个容器

首先，运行一个容器

1

docker run --name my-debian -it debian

然后，在上面那个容器内部，运行以下命令：

1
2
3
4

apt update
apt install -y nginx
apt install -y vim
exit

以上命令在这个容器中安装了 nginx 和 vim.

最后，使用以下命令提交这个容器：

1

docker commit my-debian debian-with-nginx-vim

这样我们就创建了一个名为 debian-with-nginx-vim 的镜像。

我们可以使用 docker images 命令查看刚刚创建的镜像。或者使用 docker run debian-with-nginx-vim 从这个镜像运行容器，在这个容器中，可以看到其中已经安装好了 vim 和 nginx. 上面的操作如下图所示：

命令 28: docker save

这个命令用于将镜像保存到一个 tar 中。它的用法非常简单，在命令之后加上镜像名称就行。

学会这个命令，就可以更方便地和别人分享镜像，只要将 tar 文件发给他就行。

这个命令默认会将输出写入 STDOUT, 我们可以指定 -O filename.tar 选项将输出写入一个文件。

例 38: 打包一个镜像

1

docker save -o image_test.tar debian-with-nginx-vim

命令 29: docker load

这个命令用于从 tar 文件或者 STDIN 中加载镜像。

这个命令默认会从 STDIN 加载镜像，我们可以指定 -i filename.tar 让它从文件加载镜像。

例 39: 从文件加载镜像

1

docker load -i image_test.tar

命令 30: docker system df

这个命令用于显示 docker 使用的磁盘空间。它的用法非常简单，不需要任何参数。

例 40: 显示 docker 使用的磁盘空间

1

docker system df

这个命令的输出可能是下面这样的：

参考/推荐

Docker - 从入门到实践

1.本文所包含的所有信息和建议仅供参考和介绍性目的。我不对这些信息的准确性、完整性或实用性作任何明示或暗示的保证。

升级安装 Packages

1
2
3
4
5
6

# 切换到 root 用户
sudo -i
# 更新软件包列表和软件及删除无用软件依赖
apt update && apt upgrade -y && apt dist-upgrade -y && apt full-upgrade -y && apt autoremove -y
# Debian 系统比较干净，安装常用的软件
apt install wget curl vim git lsof ufw unzip -y

DD系统（推荐）

DD系统，就是通过网络重装系统，而不是传统的通过u盘或者是控制面板重装系统。而DD脚本就是一键网络重装系统，通过自动化脚本执行所有的DD步骤，你只需要执行一行命令即可DD完成，方便快捷。

为什么要DD系统？

基本所有的 VPS 服务器商家，都会提供免费的 Linux 系统供安装，比如 CentOS、Debian、Ubuntu 等。那为什么还要使用一键DD脚本重装/更换系统呢？

服务商提供的系统版本有限，可能没有自己需要的版本。
服务商的系统安装有自己不想要的服务，比如国内的阿里云盾（安骑士）。
服务商的系统无法安装特定软件，比如很挑内核的锐速。
服务商限制重装系统的次数，DD系统可以绕过。

以上的情况，一键DD脚本就可以为服务器更换一个纯净的系统，帮你解决问题。

DD系统一般时长在半小时内，超过时间大概率寄了

DD脚本

bin456789脚本

项目地址及详细用法：https://github.com/bin456789/reinstall

1

bash <(wget -qO- 'https://raw.githubusercontent.com/bin456789/reinstall/main/reinstall.sh') debian 12 --password 自定义root密码

leitbogioro脚本

项目地址及详细用法：https://github.com/leitbogioro/Tools

1

wget --no-check-certificate -qO InstallNET.sh 'https://raw.githubusercontent.com/leitbogioro/Tools/master/Linux_reinstall/InstallNET.sh' && chmod a+x InstallNET.sh && bash InstallNET.sh -debian 12 -pwd '自定义root密码' -port "自定义ssh端口"

MoeClub脚本

项目地址及详细用法：https://github.com/veip007/dd

大多数DD脚本都是依照萌咖脚本（已删库，目前为网友备份的）二次开发的

1

bash <(wget --no-check-certificate -qO- 'https://raw.githubusercontent.com/MoeClub/Note/master/InstallNET.sh') -d 11 -v 64 -p 密码 -port 端口 -a -firmware

安装 XanMod（可选）

XanMod内核是基于Linux内核的优秀第三方定制魔改内核，通过改善网络连接，增强硬件兼容性等提高系统性能。

1
2
3
4
5
6
7
8
9
10
11
12

# 安装 gpg 程序
apt install gpg -y
# 下载、导入并将 gpg 密钥转换为二进制文件
wget -qO - https://dl.xanmod.org/archive.key | sudo gpg --dearmor -o /usr/share/keyrings/xanmod-archive-keyring.gpg
## 在下载gpg密钥时部分云服务提供商的服务器无法下载，报错为gpg: no valid OpenPGP data found.出现该情况请下载密钥到本地后上传到服务器/root路径并运行以下命令(没问题跳过该步)
gpg --dearmor -o /usr/share/keyrings/xanmod-archive-keyring.gpg /root/archive.key
# 添加"dl.xanmod.org"附加存储库
echo 'deb [signed-by=/usr/share/keyrings/xanmod-archive-keyring.gpg] http://deb.xanmod.org releases main' | sudo tee /etc/apt/sources.list.d/xanmod-release.list
# 刷新包依赖项并安装
sudo apt update && sudo apt install linux-xanmod-x64v3
# 重启
reboot

开启 BBR 加速（推荐）

一键安装XanMod内核和开启BBR加速

1
2
3
4

# ylx的bbr脚本-不卸载内核版本
wget -O tcpx.sh "https://github.com/ylx2016/Linux-NetSpeed/raw/master/tcpx.sh" && chmod +x tcpx.sh && ./tcpx.sh
# ylx的bbr脚本-卸载内核版本
wget -O tcp.sh "https://github.com/ylx2016/Linux-NetSpeed/raw/master/tcp.sh" && chmod +x tcp.sh && ./tcp.sh

如不想使用一键脚本，可使用以下命令（Linux Kernel 内核需要4.9及以上版本）

1
2
3
4
5
6

uname -srm
echo "net.core.default_qdisc=fq" >> /etc/sysctl.conf
echo "net.ipv4.tcp_congestion_control=bbr" >> /etc/sysctl.conf
sysctl -p
sysctl net.ipv4.tcp_available_congestion_control
lsmod | grep bbr

检测脚本

酒神NodeQuality脚本

项目地址及详细用法请参考：https://github.com/LloydAsp/NodeQuality or https://www.nodeseek.com/post-297125-1

也许是最简单好用的VPS服务器测评脚本

1

bash <(curl -sL https://run.NodeQuality.com)

融合怪测评脚本

项目地址及详细用法请参考：https://github.com/spiritLHLS/ecs

也许是最全能的VPS服务器测评脚本

1

bash <(wget -qO- bash.spiritlhl.net/ecs)

IP质量体检脚本

项目地址及详细用法请参考：https://github.com/xykt/IPQuality

1

bash <(curl -Ls IP.Check.Place)

流媒体检测

1

bash <(curl -L -s media.ispvps.com)

修改主机名

1
2
3
4
5
6
7
8

# 查看主机名
hostname
# 修改主机名
hostnamectl set-hostname 新主机名
# 更新 hosts 文件将旧主机名改为新主机名
vim /etc/hosts
# 重启系统
reboot

修改 DNS

1
2
3
4
5
6
7
8
9
10
11

# 修改配置文件
vim /etc/resolv.conf
---添加以下内容---
nameserver 1.1.1.1
nameserver 8.8.8.8
nameserver 2606:4700:4700::1111
nameserver 2001:4860:4860::8888
# 锁定文件防止覆盖
chattr +i /etc/resolv.conf
# 如果要恢复取消锁定
chattr -i /etc/resolv.conf

校准同步时间

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23

# 安装 NTP 服务
apt install systemd-timesyncd -y
# 开机自启 NTP 服务
systemctl enable systemd-timesyncd
# 配置 NTP 同步，添加或修改 NTP 服务器
vim /etc/systemd/timesyncd.conf
---修改文件对应位置----
[Time]
NTP=time.cloudflare.com time1.google.com time1.apple.com time.windows.com
# 开启 NTP 服务
systemctl start systemd-timesyncd
# 检查时间同步状态
timedatectl
# 设置 RTC（实时时钟）使用 UTC
timedatectl set-local-rtc 0
# 手动同步时间（可选）
timedatectl set-ntp true

时区列表很大。您可以使用grep对其进行过滤，使其仅显示某个洲或某个国家/州的首都的时区
timedatectl list-timezones | grep Shanghai

现在，使用以下命令在Linux系统上设置时区
timedatectl set-timezone Asia/Shanghai

UFW 防火墙

1
2
3
4
5
6
7
8
9
10
11
12
13
14

# 启用 ufw
ufw enable
# 允许流量通过端口
ufw allow 22
# 删除规则
ufw delete allow 22
# 禁止流量通过端口
ufw deny 22
# 检查防火墙状态
ufw status
# 重启防火墙
ufw reload
# 检查开机启动状态-返回 enabled
systemctl is-enabled ufw

添加 SWAP 虚拟内存（可选）

注意：VPS 的内存如果过小，建议设置一下 SWAP，一般为内存的 1-1.5 倍即可，可以让系统运行更流畅！

1
2

#moerats的swap脚本
wget https://www.moerats.com/usr/shell/swap.sh && bash swap.sh

更改 SSH 端口及密码

1
2
3
4
5
6
7
8
9
10
11
12

# 打开 SSH 配置文件
vim /etc/ssh/sshd_config
# 更改 SSH 端口为2222
Port 2222
#放行防火墙端口
ufw allow 2222
# 重启 SSH 服务
systemctl restart sshd
# 确认端口已修改
ss -ltn
# 系统将提示您输入当前密码，然后再输入新密码两次以确认
passwd