TLDR

• 目前不支持特权容器（下载后无法导入，部分要求特权的容器以非特权导入可能不能正常启动）
• 可以全图形化操作，但是部分操作使用命令会更方便
• 使用 Docker 运行容器时，容器内可检测 Running within a container，使用 Proxmox VE 原生运行时未检出，具体机制未探明
• 使用 vmbr 联网，或自己配置硬件直通，似乎没有办法直接共享宿主机 IP

下载容器模板

找到模板下载页面，将 Docker 命令 docker pull vaultwarden/server:latest 中的 vaultwarden/server:latest 直接粘贴至 Reference 输入框，然后等待容器下载：

模板下载后，可按 LXC 容器导入流程进行导入

容器导入

选择 Web UI 右上角 Create CT，或使用 pct create 命令，然后输入主机名、ID 等基本信息，确认非特权已勾选，选择容器模板，设置存储空间、内存占用限制等参数，创建容器：

容器使用

创建容器后，可根据自身需求在 Resources 菜单中创建数据盘，隔离容器本体和数据，以 Vaultwardedn 为例，可直接新建 /data 的挂载点；Options > Environment 可设置或修改容器的环境变量

常规 rootfs LXC 模板一般没有预设变量，OCI 模板可自动识别并设置

若测试没有问题，投入生产使用前请不要忘记设置 Start at boot。

其他技术细节

在常规 LXC 容器运行 next-server，进程树显示为：

1
2
3
4
5
6
7
8
9
10
11
12

├─lxc-start───systemd─┬─PM2 v5.4.3: God─┬─pnpm─┬─sh───next-server (v1───16*[{next-server (v1}]
│                     │                 │      └─9*[{pnpm}]
│                     │                 └─10*[{PM2 v5.4.3: God}]
│                     ├─3*[agetty]
│                     ├─cron
│                     ├─dbus-daemon
│                     ├─2*[dhclient]
│                     ├─master─┬─pickup
│                     │        └─qmgr
│                     ├─postgres───5*[postgres]
│                     ├─sshd
│                     └─systemd-*

在常规 LXC 容器运行 Docker，再使用 Docker 运行服务，进程树显示为：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

├─lxc-start───systemd─┬─NetworkManager───3*[{NetworkManager}]
│                     ├─3*[agetty]
│                     ├─blkmapd
│                     ├─containerd───11*[{containerd}]
│                     ├─containerd-shim─┬─s6-svscan─┬─s6-supervise───s6-linux-init-s
│                     │                 │           ├─s6-supervise───s6-ipcserverd
│                     │                 │           ├─s6-supervise
│                     │                 │           └─s6-supervise───python3─┬─go2rtc───11*[{go2rtc}]
│                     │                 │                                    └─27*[{python3}]
│                     │                 └─12*[{containerd-shim}]
│                     ├─cron
│                     ├─dbus-daemon
│                     ├─dockerd───12*[{dockerd}]
│                     ├─master─┬─pickup
│                     │        └─qmgr
│                     ├─os-agent───4*[{os-agent}]
│                     ├─polkitd───3*[{polkitd}]
│                     ├─rpcbind
│                     ├─sshd
│                     └─systemd-*

直接导入 OCI 模板容器，进程树显示为：

1

├─lxc-start───vaultwarden───20*[{vaultwarden}]

接入

支持 NS 接入、CNAME 接入、DNSPod 托管接入。

CNAME 接入和 DNSPod 托管接入本质上是一个东西。只不过可以直接在 EdgeOne 控制台配置记录了。

CNAME

使用 CNAME 接入方法，需要将加速域名解析至 [DOMAIN].eo.dnse2.com.。

TTL 为 60 秒，不可更改。dnse2.com 区域使用 QEODNS，区域未配置 DNSSEC。

NS

NS 接入即使用 QEODNS。

使用 NS 接入方法，需要修改域名权威 DNS 至 QEODNS。

QEODNS

QEODNS 这个名字未在文档公开提及，但是他域名叫这个。来源应该是 QQ/QCloud EdgeOne DNS。

和同类产品去比，主要应该是有这些优点：

• 具有 AIA / AnyCast 特性。实际测试上，解析性能略优于 DNSPod 和 阿里云 DNS。
• 允许自定义 NS 域名（自定义的域名必须是当前加速域名，即，加速 example.com 不能使用 example-2.com 作为自定义 NS 域名）。
• 可开启使用 DNSSEC（摘要：2(SHA256) 算法：13(ECDSAP256SHA256)）。
• 以上三条是免费特性

缺点：

• 不支持 IPv6。至少写文章的时候还没支持，发 FR 了。可以期待下未来支持。
• TXT 记录最长设置 256 字节。可能影响 DKIM 等应用的配置。
• CNAME 和其他类型记录严格冲突。
• NS 和其他类型记录严格冲突。（这是个 Bug，发工单了，什么时候修复就不知道了。）
  此 Bug 具体影响是开了自定义 DNS，@ 区域的记录就没法修改和新增了。
• 不支持批量导出记录。（支持导入）
• GeoDNS 为付费特性。

然后是一些技术特性：

• DNSSEC 的 NSEC 使用了 Black Lies 防止 Zone Walking。
• 开启 CNAME 加速后，加速域名解析直接返回 A/AAAA，跳过 [DOMAIN].eo.dnse2.com.
• 解析 TTL 设置范围是 60 - 86400 秒。NS、SOA 记录的默认 TTL 是 21600 秒。

回源

回源可以是 IP/域名，也可以是 S3 桶。

主要技术特性如下：

• 免费版支持负载均衡。故障转移要求付费套餐。
• 支持 IPv6。（本站就是纯 IPv6 回源）
• 支持域名回源。
• 支持自定义端口。
• 支持自定义 回源 Host。
• 支持 HTTP/2 回源。（没有 ALPN 或回落机制！使用 HTTP 回源时强制使用 H2c。若源站不支持 HTTP/2，但开启了 H2 回源，请求将直接失败。）

性能

看起来是 OK 的，其实可以用本站来测速（

后续可能会补个测速结果在这

安全

带一点基础 WAF 的功能。最近的 React 漏洞 CDN 自动防护确实保障了服务器稳定性没掉。

免费版抗 CC 貌似是可以的，帮我扛了一次 18 Gbps，20 TB 的攻击。被打了看后台才知道，也没个主动通知。

稳定性

目前看起来也没问题，比某些友商强，先丢个图在这。

前提条件

需要使用到 VF Representors 接口（下文简称 Reps）。网卡必须支持并开启 SwitchDev 特性。

• mlx5 网卡开启 E-Switch 分载、SwitchDev 特性可以阅读这篇文章。

Reps 接口命名

Proxmox VE 9 及更新版本中，Reps 接口的系统默认命名规则是 PFNAMErVFID

如果使用老版本，Reps 接口命名规则由网卡驱动决定，以 NVIDIA/Mellanox 网卡为例，命名规则为 PFNAMEpfXvfY，X 为 PF 接口号，Y 为 VF 接口号。

修改前检查

SR-IOV 接口有网络活动时，宿主机上的 VF Representors 接口统计数据会正常更新。

1
2
3
4
5
6
7
8

$ ifconfig ens0f0h1
ens0f0h1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet6 fe80::1c70:19ff:fefe:56fb  prefixlen 64  scopeid 0x20<link>
        ether 1e:70:19:fe:56:fb  txqueuelen 1000  (Ethernet)
        RX packets 307679053  bytes 212674010217 (198.0 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 246924012  bytes 159490311908 (148.5 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

确认接口数据正常后即可修改 PVE 代码。

操作步骤

1. 先找到 SR-IOV VF 对应的 Representor 接口。

2. 修改 /usr/share/perl5/PVE/ProcFSTools.pm
   找到 read_proc_net_dev 函数，大概位置在第 375 行。
   在 return 前加入下面代码：

1
2
3
4
5

if (!exists $res->{'TAP-DEV'} && exists $res->{'VF-REP-DEV'}) {
    $res->{'TAP-DEV'} = {
        %{$res->{'VF-REP-DEV'}}
    };
}

• TAP-DEV 修改为 tapXXXiY，XXX 为 VMID，Y为网卡序号（任意非负整数，且不与已存在的序号重复）
• VF-REP-DEV 修改为 Representor 接口名。

3. 如果存在多个接口、多个 VM，则为每个接口、每个 VM 重复上面的步骤。

4. 重启 pvestatd ：
   systemctl restart pvestatd

操作完成后即可看到 WebUI 正常显示流量统计：

关闭更新

系统更新可能会覆盖上述更改。

使用下面的命令阻止更新：

1

apt-mark hold libpve-common-perl

使用下面的命令恢复更新：

1

apt-mark unhold libpve-common-perl

在仍然能打印报销凭证的最后几天里，我用这篇文章讲一下纸质票和报销凭证的细节，供后人考古研究吧。

车票正面信息

先放一张车票的图片再讲。

按从上到下，从左到右的顺序来：

第一行：

• 票号
  为红色字体，其他均为黑色字体
  票号是自增的，长度不固定，开头可能会存在字母。

• 检票口
  不一定存在：距离发车时间较远，打印车票或报销凭证不会显示检票口。登机牌其实也是这样的

第二行：

• 出发站
  下面会用小字写车站英文名（境内大多数使用拼音）
• 车次号
  纯数字：普客；K：快速；T：特快；Z：直达特快；C：城际；D：动车；G：高铁动车；S：市域/郊；Y：旅游
• 到达站

第三行：

• 发车时间
  列车从出发站开出的日期时间
• 席位
  可能会出现：无座、不对号入座

第四行：

• 购票价格
  特殊情况（如中转签证车票）可以达到 0 元
• 购票标记
  • 网：网上购票，线下取票。（仅适用于车票）
  • 现：使用现金支付。（仅适用于车票）
  • 支：使用支付宝支付。（仅适用于车票）
  • 孩：儿童票。
  • 惠：优惠票价。
• 席别

第五行为票类型，一般会出现：

• 限乘当日当次车
  这是一张车票。
• 退票费
  这是退票报销凭证。
• （空）
  这是报销凭证、中转签证或通票。

第六行是通票信息或报销凭证标记：

• 仅供报销使用
  这是一张报销凭证。

第七行为购票人信息，非实名制车票此行留空：

• 证件号
  购票证件为居民身份证时，11-14 位会被替换为 *
  使用其他购票证件，后两位替换为 *

• 姓名

第七行结束后，会有一段文字信息，目前的多为：

• 报销凭证 遗失不补
  退票改签请交会车站
  即使打印的是车票，而不是报销凭证，仍有可能这样显示。
• 温馨提示：本次列车途经琼州海峡，特殊季节遇台风等恶劣天气，轮渡可能停航，敬请关注天气预报。
  特殊提示可能不会加方框
• 买票请到12306 发货请到95306
  中国铁路祝您路途愉快
  经典的车票文字，目前已经极为少见

第六、七行右侧会有一个二维码，内容为一段纯数字，使用微信或 12306 App 扫码可以查看车票信息，具体编码机制未知。

最后一行：

• 完整车票号
  • 0-5 位：车票/报销凭证的打印车站编号
    查询工具
  • 11-14 位：购票日期
  • 15+ 位：同左上票号
• 证件类型
  • 可能不存在
  • HZ：护照，类型为护照时后面可能加入三位地区码
  • JM：居民身份证

车票背面信息

车票的背面为乘车须知或报销凭证使用须知。

（图后续补）

部分红色车票背面下方会有可见磁条。

车票颜色

有红色和蓝色两种。蓝色车票本身质量更好、厚度更高，但车票上文字可能会发生褪色，而红色车票不易褪色。

红色车票一般上下切割，而蓝色车票左右切割，且有固定切割点。

目前绝大多数车站的可打印车票/报销凭证均为蓝色。

貌似前几年疫情时也是有一次月食的，不过没去看，这次刚好用空就出门看了，不知道下次能看到会是什么时候。

下次再看也许会用更好的设备拍摄吧（

天气还可以，月亮基本是目视不可见，但是手机拍照就能找到。

AM 1:36

• 1x
  

• 3x
  

AM 2:21

• 3x
  

• 3x, 换观测位置
  

表情包

本篇收集不同的非机动车道（自行车道）。

北京

北京市内非机动车道均位于辅路。目前见过的大多都是设计在机动车道两侧，与机动车道同高，柏油路，高度低于旁边的人行道，宽度一般和机动车道等宽。

除高速、快速公路，几乎所有公路路段均有非机动车道配置，包括首都放射状国道的北京段。

部分路段非机动车道、非机动车转弯路径地面刷红色油漆。

非机动车道不允许在人行道上骑行（但是可以推着车子），可能会收到罚单的。

• 万泉庄桥（海淀区、苏州桥地铁站北）
  

长安街等部分道路，非机动车道两侧或靠近人行道一侧加装护栏

• 复兴门内大街（西城区、太平桥地铁站）
  靠近人行道一侧设有护栏
  

天津

与北京类似：非机动车道位于辅路。大多设计在机动车道两侧，与机动车道同高，柏油路，高度低于旁边的人行道。

少部分路段（如团泊大道静海段），高度高于机动车道，和旁边的人行道平齐，其他无区别。

部分路段在非机动车道和机动车道中间设护栏、绿化带或公交站。

道路宽度普遍和机动车道相同或者更宽。

原则上是非机动车道不允许在人行道上骑行，但是从来没见过有人管这个。

• 团泊大道（静海区、团泊健康城地铁站）
  靠近机动车道一侧设有绿化、和人行道平齐
  

• 工一号路（西青区、大学城一号路、大学城地铁站南）
  更宽的非机动车道，宽度大约允许两辆汽车并排
  

• 围堤道（河西区、佟楼地铁站）
  

上海

与北京/天津类似：非机动车道位于辅路。大多设计在机动车道两侧，与机动车道同高，柏油路，高度低于旁边的人行道。

道路宽度普遍比机动车道更窄。

• 凯旋路（长宁区、虹桥路地铁站）
  

沈阳

非机动车道通常建设在人行道旁，与人行道平齐，高于机动车道，且部分路段和人行道材质相同。

普遍和人行道不设隔离。部分路段靠近机动车道一侧有绿化。

• 乐山西路（于洪区）
  

• 青年大街（和平区、市图书馆地铁站）
  

去 BW 的路上

是第一次去 BW，本来是因为朋友去想跟着，但是朋友没抢到票

主要基于时间考虑，选择飞 PEK - PVG

北京

第一次去 PEK 和 PVG，也是坐上首都机场线了，车迷去坐肯定是要先拍车的。这次是从东直门进站的，进付费区下楼后直接就是机场方向的站台（北新桥/城区方向过不去），对于这种一票制的线路貌似也很合理。

进付费区下楼后直接上车，列车在每站大概停不到一分钟，人比想象中还是多不少的，到三元桥的时候座位已经全满了。

地铁到机场后第一个感觉是挺凉快的，空调给的挺足，在此批评一下北京隔壁某个直辖市的机场，冬暖夏暖而且越往上走越热。

算上延误，差不多是提前5个小时就到机场了，所以打算是直接在机场里吃饭。机器上办完托运去安检。

3C 新规出台后，安检前面会有个查充电宝的地方，有 3C 的充电宝会给你发个袋子，其他貌似就没什么特殊的了

首都机场 T3 由三部分组成，T3C、T3D、T3E，中间有小火车连接。本次乘坐的航班虽然在 T3C 登机，但还是去坐小火车看 T3D 楼了（只是为了拍车）

T3C -> T3D -> T3E 地上都有很明显的标识，一般不会走错。反过来 T3E -> T3D -> T3C 基本没有标识。

然后机场就没什么好讲的了，登机。航班有免费网络、有餐食。

• AS4847 北京电信
• 36.110.0.0/17
• IPv4 Only

聊天刷图什么都还可以，看视频就算了。

餐食比想象中要好点。

上海

落的是 PVG S2，出机场用了半个小时。浦东卫星厅没我想的大啊，但是地铁挺酷的，没有座位，但是报站语音有“请把座位留给有需要的旅客”。

BW前一天选了个离机厅近的酒店，酒店房间到机厅路程不到1分钟。凌晨1点还有十几个人大b队，怀疑都是去 bw 的 wmc（

上海市区的高架感觉很震撼，可能是因为北京天津市区里都不怎么见得到绿色的路牌。

BilibiliWorld 2025

7点入场，排了半个小时队，场馆里空调开的还可以。

禁止夜排当然指的是不能在场馆里排。去外面桥上排当然不管的哈。

人真的很多（

绿猫可爱

最后一整天拿了这些东西（图片没拍全x

算是第一次逛漫展吧（大概，要是写心得的话还真不知道写什么x

1462 次列车

返程坐的是 1462，硬座，返程当天才知道有别的朋友坐的是同一班车。

上海发往北京的 1462 硬座大部分人都在中间下，很少有人坐到北京。或者说跨局旅客少，基本都是上海局、北京局内上下。

1461 次列车

逛完 BW 回家，一周后继续去参加 AOSCC，选择 1461 次列车，硬座。

与 1462 不同的是，1461 有不少人从北京直接坐到上海，跨局旅客明显比 1462 多。

有其他 3 位朋友也搭乘 1461 次，都是去 AOSCC 的。

AOSCC 2025 前一天

前一天聚餐聊天，酒店里有位群友提了个点子，明天用舞萌 DX 的二维码签到，于是有另一个人直接做了个 舞萌 DX 二维码生成工具，可以把任何二维码塞进舞萌 DX 登录二维码。

玩舞萌玩的（

AOSCC 2025 DAY I

非常好无料（

非常好签名墙————
画了个 NixOS 上去，然后群友在上面画了个苯环，然后还有群友在旁边画了个C₁₈H₂₄O₂

AOSCC 2025 DAY II

不知道写点啥了，发张绿猫（

sbchild 的日志打印机（

更新教程

按官网提供的教程完成即可：
https://pve.proxmox.com/wiki/Upgrade_from_8_to_9

新特性

• Debian 13
• 统计数据：新增了几个统计项，增加了统计频率
  • 宿主机：ZFS ARC、IO 压力、内存压力
  • VM：IO 压力、内存压力、占宿主机内存（推荐开启 balloon，不兼容 HugePages）
  • LXC：IO 压力、内存压力
• 大幅更改了移动端 WebUI
  
• 引入新的 SR-IOV 网络接口命名规则
• 其他的还没发现
• Release Note: https://www.proxmox.com/en/about/company-details/press-releases/proxmox-virtual-environment-9-0

升级时注意

• 不推荐无人值守更新，升级过程中可能会中断互联网连接
• ssh 更新完成前可能无法再次连接
• /etc/sysctl.conf 被弃用，升级后该文件自动备份为 /etc/sysctl.conf.dpkg-bak，规则需手动移动到 /etc/sysctl.d/ 才能重新生效
  • cp /etc/sysctl.conf.dpkg-bak /etc/sysctl.d/99-previous.conf
• 建议在更新前对系统盘快照处理，更新后重启宿主机

已知问题

• 宿主机上的 Docker 可能由于 AppArmor 策略无法正常工作
• Debian 13 LXC 无法启动（已修复，影响版本：lxc-pve/stable 6.0.4-*, pve-container/stable 6.0.9）
• 如果宿主机在更新后未重启，备份功能可能出现故障，针对 Windows VM 的备份不可靠。
• 如果升级前通过 udev 规则手动设置了 SR-IOV 的网卡名，升级后可能会被默认规则覆盖
• 暂时还没发现别的，发现了会补充在这里

mlx5 网卡列表

mlx5 是 mlx5_core 驱动的简称，使用此驱动的网卡主要是 NVIDIA Mellanox ConnectX-4 或者更新的系列，具体应该有下面这些，其中常见网卡型号有：CX4121A、CX542B

• ConnectX-4
• ConnectX-4 Lx
• ConnectX-5
• ConnectX-6
• ConnectX-6 Dx
• ConnectX-7

查看网卡使用的驱动，使用该命令：lspci -nnk | grep -A3 -i eth

开启 SR-IOV

先使用 lspci | grep Mellanox 查找网卡的 PCI 设备位置

1
2
3
4
5

$ lspci | grep Mellanox
01:00.0 Ethernet controller ... [ConnectX-6]
01:00.1 Ethernet controller ... [ConnectX-6]
02:00.0 Ethernet controller ... [ConnectX-6]
02:00.1 Ethernet controller ... [ConnectX-6]

以上是插入了 2 块 CX6 网卡、每块网卡有 2 个网络接口的典型输出。通过 PCI 设备 ID 可看出前两个、后两个设备都分别是同一张网卡的不同接口。

然后我们使用下面的命令来开启 SR-IOV：

1

echo 4 > /sys/bus/pci/devices/0000\:01\:00.0/sriov_numvfs

将 4 替换为你需要的 SR-IOV VF 数量，然后将 0000\:01\:00.0 替换为网卡接口的 PCI 位置（这里通常可以用 Tab 补全）

有多个网卡或接口时，对每个接口分别设置。

若要撤销更改（删除 SR-IOV 设备），将 VF 数量设为 0。

PCI 设备路径

开始之前，先普及一下 PCI 设备路径的组成（如果你已经有了此部分知识，跳过本章）：

PCI 设备路径（也有 PCI 位置 或者类似的称呼）类似 0000:01:00.0，是由冒号分隔的十六进制数，每一段的含义是：

1

[domain:]<bus>:<device>[.function]

具体的：

• Domain（域）：
  多数系统只有一个 domain 即 0000（例外一般是虚拟机），用于支持大型系统或多个 PCI host bridge。
• Bus Number（总线）：
  PCI 总线的编号，主板上的每个 PCI 控制器或桥接芯片可能生成一个或多个总线。
• Device Number（设备）：
  该总线上的设备编号（通常为 0～31），一个总线最多可挂载 32 个设备。
• Function Number（功能）：
  该设备的功能号（0～7），一个设备最多支持 8 个功能。

其中 domain 有时可以省略（指代默认的 0000），function 有时也可以省略（指代该设备的全部 function）

VF 的 PCI 位置

为了方便解释，本节展示使用 1 张双接口网卡（两个 PF），对每个接口开启 4 个 VF 进行 SR-IOV 的配置。

为两个 PF 分别创建 4 个 VF：

1
2

echo 4 > /sys/bus/pci/devices/0000\:01\:00.0/sriov_numvfs
echo 4 > /sys/bus/pci/devices/0000\:01\:00.1/sriov_numvfs

创建后重新使用 lspci | grep Mellanox 查找网卡的 PCI 设备位置

1
2
3
4
5
6
7
8
9
10
11

$ lspci | grep Mellanox
01:00.0 Ethernet controller ... [ConnectX-6] # 端口 0
01:00.1 Ethernet controller ... [ConnectX-6] # 端口 1
01:00.2 Ethernet controller ... [ConnectX-6 Virtual Function]
01:00.3 Ethernet controller ... [ConnectX-6 Virtual Function]
01:00.4 Ethernet controller ... [ConnectX-6 Virtual Function]
01:00.5 Ethernet controller ... [ConnectX-6 Virtual Function]
01:00.6 Ethernet controller ... [ConnectX-6 Virtual Function]
01:00.7 Ethernet controller ... [ConnectX-6 Virtual Function]
01:01.0 Ethernet controller ... [ConnectX-6 Virtual Function]
01:01.1 Ethernet controller ... [ConnectX-6 Virtual Function]

可以看到 VF 已经成功创建（01:00.2 到 01:01.1）。

由于 PCI 每个设备只能拥有 8 个功能，PCIe 3.0 引入了 ARI 技术，原理大体上是将设备和功能合并到一起，功能数量从 8 个扩展到 256 个。

使用 ARI 后，01:00.0 网卡创建的第 9 个功能路径会显示为 01:01.0（功能号满 8 就对设备号进位）

由于上面我们先对端口 0 设置 4 个 VF，然后再是端口 1，所以按顺序：01:00.2 到 01:00.5 是端口 0 的 VF，其余则是端口 1 的 VF。VF 设备路径的顺序取决于创建 VF 时命令执行顺序。

SR-IOV 下的网卡名

默认规则产生的网卡名会比较长，如果你觉得有必要，可以自己设置个网卡命名规则（具体方法后续补充在这里）。

默认规则下：

• PF
  一般命名类似 enp1s0f0np0
  p[PCI Bus ID]s[PCI Device ID]f[PCI Function ID]n[pX]
  n 后面（pX）是网卡驱动提供的网卡名字段，从 0 开始
• VF
  一般命名类似 enp1s0f0npf0vf1
  p[PCI Bus ID]s[PF PCI Device ID]f[PF PCI Function ID]n[pfXvfY]
  前面使用 PF 的 ID，n 后面（pfXvfY）同样是网卡驱动提供的网卡名字段，从 0 开始

为 VF 设置 MAC 地址

• 如果该 VF 需要直接在宿主机使用，或者用于容器如 LXC，使用该命令：
  ip link set dev <VF 网卡名> address AA:BB:CC:DD:EE:FF
  执行此命令需要确保 VF 已经加载驱动（默认已加载）
• 如果该 VF 用于 QEMU 虚拟机（包括 KVM、Proxmox 等），使用该命令：
  ip link set <PF 网卡名> vf <VF ID> AA:BB:CC:DD:EE:FF
  VF ID 即该 PF 上的第 n 个 VF，从 0 开始
  如果已加载驱动，重新加载驱动后才能在宿主机生效（虚拟机上使用不需要关心这个）

配置 E-Switch 分载

ConnectX-5 或更新的网卡支持 E-Switch 分载功能，可以部分改善 PF-VF 的交换性能并降低占用，并解决部分情况下宿主机 VF 无法和虚拟机 VF 正常通信的问题，可以按下面的方法开启 E-Switch 分载：

1

devlink dev eswitch set pci/0000:01:00.0 mode switchdev

替换 0000:01:00.0 为实际 PF 的设备路径。

若要撤销更改，将 switchdev 替换为 legacy 执行。

执行前，请确保没有 VF 正在使用，否则卸载 VF 时会报错。建议在创建 VF 之前就执行此操作。

配合 OpenVSwitch(OvS) 使用时，建议执行：

1

ovs-vsctl set Open_vSwitch . other_config:hw-offload=true

若要撤销更改，使用：

1

ovs-vsctl remove Open_vSwitch . other_config hw-offload

Proxmox VE 中 VM 添加 SR-IOV 网卡

1

qm set VMID -hostpci0 0000:01:00.2,pcie=1

VMID 替换为虚拟机的 ID，hostpci0 中的 0 替换为虚拟机内 PCI 设备位置（没有什么具体要求，数字不冲突即可），0000:01:00.2 替换为 VF 的 PCI 位置。

也可以通过网页后台来配置：

Proxmox VE 中 LXC 添加 SR-IOV 网卡

1
2
3

lxc.net.0.name: lxc
lxc.net.0.type: phys
lxc.net.0.link: enp1s0f0npf0vf1

name 字段请随意设置，此参数在使用 SR-IOV 时是个摆设（如果需要设置 LXC 内的网卡名，请直接在宿主机修改 VF 网卡名）；link 设置为 VF 的网卡名

如果 LXC 内添加了其他网络接口（无论是否是 SR-IOV），请注意 net 后的编号不要冲突

固化

在 /opt/local-sriov/init.sh 或者你喜欢的地方创建一个脚本：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

#!/bin/bash

# Set E-Switch Offload
devlink dev eswitch set pci/0000:01:00.0 mode switchdev
devlink dev eswitch set pci/0000:01.00.1 mode switchdev

# Create SR-IOV VFs
# Config:
#   2 VFs on Port 0
#   0 VF  on Port 1
echo 2 > /sys/bus/pci/devices/0000\:01\:00.0/sriov_numvfs

# Set IP for each VF
ip link set ens0f0 vf 0 mac AA:AA:AA:AA:AA:AA # VM 100
ip link set dev ens0f0v1 address BB:BB:BB:BB:BB:BB # CT 101

根据实际情况，自行修改脚本中的参数。

chmod +x /opt/local-sriov/init.sh，然后确保此脚本在接口启动时执行。

以 ifupdown(2/ng) 为例，修改 /etc/network/interfaces：

1
2
3
4

auto vmbr0
iface vmbr0 inet static
        (原配置保持不变)
        post-up sleep 5 && /opt/local-sriov/init.sh

随着移动支付和数字交通的普及，北京地铁早已支持多种非现金支付方式，其中使用银行卡 Tap To Ride 乘车成为越来越多市民和游客的选择。本文将为你详细介绍北京地铁支持的银行卡支付方式、扣款流程、实际金额、适用优惠等关键信息，方便你快速上手。

先从银行卡的支持情况讲起：

支持情况

入闸

入闸指的是：使用银行卡直接拍闸机，然后进入地铁付费区

一般来说，实体卡卡面上或者卡背印有 Contactless 非接触式交易 或者 QuickPass 闪付 且支持在中国大陆付款的卡都支持直接入闸。Apple Pay、Mi Pay 等基于手机 NFC 或类似技术的虚拟卡大多数不需要印有标志也支持。

另外，还需要确保卡支持以下任意卡组织的付款：银联（含银联国际）、万事达（MasterCard）、维萨（VISA）、美国运通（American Express/AMEX）、JCB。

针对不同卡组织的卡，测试情况详见下表：

购票

购票指的是：在自助机或人工窗口付费购买单程票以入闸，或对一卡通进行充值。

支持入闸的卡均支持购票。

部分车站自助机购票仅支持插卡交易，此时不需要卡片有非接支付功能，但要求卡片有芯片，且不支持手机 Pay。
人工窗口同时支持非接、插卡、磁条。

扣款流程

入闸

入闸时预授权 11 人民币元（首都机场线为 25 元、大兴机场线为 35 元）。如果入闸时预授权扣款失败，并不会有任何影响。

出闸

出闸时撤销预授权，然后根据实际消费金额进行扣款。
如果出闸时扣款失败：

• 闸机正常开启，你仍然可以正常出站
• 银联卡会在每天北京时间中午 12:00 重试扣款
• 其他卡片不会再次重试扣款
• 可以前往人工窗口补票扣款，不过据说很浪费时间，可能要折腾半个小时以上

扣款成功或人工补票前，相同卡号无法再次入闸（针对手机 Pay：仅限制设备卡；使用实体卡或其他设备卡不被限制）。

优惠

持万事达人民币卡，拍卡入闸乘坐北京地铁，可享受每日前 2 笔每笔减 2 元的优惠（部分卡为前 3 笔减 1 元）。

部分银行也会有自己的优惠，这个就要去自己刷银行公告了。

其他技术细节

万事达预授权类型为 MAAF。

使用银联卡入闸，商户名显示为北京市轨道交通指挥中心；使用万事达中国/美国运通人民币卡入闸，商户名显示为北京轨道交通路网管理有限公司。

部分银行会将商户名显示为 GUIDAO BEIJINGSHI CHN 和 UMS* Beijing Metro。

在 Proxmox 系列系统（除了 Proxmox VE，还包括 Backup Server 和 Mail Gateway）的默认配置中，通常按照上方蓝字教程的方法配置好 sysctl 规则后，LXC 就能正常的、同时通过无状态和有状态两种方式获取 IPv6 地址。而宿主机可能会存在只有无状态地址，没有有状态地址的问题。

不想看原因分析，可以直接点击这里看解决方案。

有状态地址

在 IPv6 配置中，无状态（SLAAC）一般指的是路由器下放一个前缀，后缀由机器（客户端）配置；而有状态则是地址全部由路由器配置。大多数路由器同时开启有状态和无状态，客户端可以获得下面几个地址：

• 2400:1234:5678:abcd:1145:14ff:fe19:1981
• 2400:1234:5678:abcd::114
  其中 2400:1234:5678:abcd:: 是前缀，长度是 64 个二进制位（16 个十六进制位），前缀后面的部分则称为后缀。
  一般长得上面这样的，比较长的地址，都是通过 SLAAC 获取的，后缀一般会使用 MAC 生成（EUI-64 算法）或者完全随机，而下面这个短的，一般通过有状态 DHCPv6 获取。
  （当前，这只是大多数情况，SLAAC 的后缀完全由客户端决定，通过 SLAAC 获取的地址也可能很短；而有状态获取的后缀完全由路由器决定，通过有状态获取的地址也可能很长）

如果你的 PVE 只有类似上面那样比较长的地址，而 LXC 和其他设备均能获取两种不同的地址，那一般就是说明宿主机没有获取到有状态的 IPv6 地址。

明明其他设备都能正常获取，只有 PVE 宿主机（或者和几个少数 LXC）获取不到，为什么会这样呢？

ifupdown2

要想解释清楚这个问题，必须要扯几句 ifupdown2。

ifupdown2 是 PVE 7.0 以来的默认网络管理器，主流发行版中只有 Proxmox 系默认使用。普通的 Debian 系统以及 PVE 老版本采用的是 ifupdown。

ifupdown2 普遍被认为是更现代的网络管理器，由 NVIDIA 开发，使用 Python 语言编写，加入了热重载接口等高级功能，支持更多配置选项，并且兼容传统的 ifupdown 配置。

优点讲完了，就要讲它的缺点了。

ifupdown2 目前有三个大问题：

• 不支持同一个接口混合静态地址和 DHCP 配置
• 如果一个接口 DHCP 没有响应，会一直等待，阻塞继续开机
• DHCPv6 租约会在关机或重启后自动移除

可以说是完全没认真去适配 DHCP 的网络环境。

Proxmox 系统无法获取有状态地址，一般就是由于上面提到的第一个问题————不支持同一个接口混合静态地址和 DHCP 配置。

什么是“同一个接口混合静态地址和 DHCP 配置”？答：IPv4 使用静态地址，IPv6 使用自动获取。反过来也一样。

Proxmox 系统的 IPv4 地址默认就是静态配置的，此时如果你配置了 DHCPv6：这段配置是完全无效的，会被忽略，而且不产生任何报错信息。

1
2
3
4

iface vmbr0 inet manual
        address 172.20.2.1/22
        gateway 172.20.0.20
iface vmbr0 inet6 dhcp

对于 ifupdown2，**这是无效的配置！**如果你按照上面的方法配置，最后只会获得静态的 IPv4 地址，IPv6 不可用。

1
2
3
4

iface vmbr0 inet6 dhcp
iface vmbr0 inet manual
        address 172.20.2.1/22
        gateway 172.20.0.20

**这也是无效的配置，**如果你按照这个方法配置，最后只会获得 DHCP 得到的 IPv6 地址，IPv4 不可用。

而如果你使用 ifupdown，上面两个配置都是有效的，而且作用相同。这算是个 ifupdown2 的大 Bug，而且开发者貌似目前完全不打算修复这个（技术上重写很麻烦，但是开发者接受 PR）。

软件有问题，就只能由用户处理了。这里提供两种解，推荐选择第一种。

post-up hooks

这是第一种解法：添加 post-up hooks。

1
2
3
4

iface vmbr0 inet manual
        address 172.20.2.1/22
        gateway 172.20.0.20
        post-up dhclient -6 -v -pf /run/dhclient6.$IFACE.pid -lf /var/lib/dhclient6/$IFACE.leases -I $IFACE

照抄 post-up 这一行

ifupdown

这是第二种解法：切换到 ifupdown。

1

apt install ifupdown

由国际性电子认证机构（CA）与操作系统、浏览器厂商组成的CA/B论坛（CA / Browser Forum）投票通过由苹果公司（Apple）最早提出的 SC-081v3 号提案。

提案指出，缩短证书有效期可以降低因信息陈旧带来的安全风险，并弥补证书撤销机制的不足。更短的有效期迫使组织采用自动化证书管理流程，提升整体管理水平和安全性，同时减少人工错误并更快响应潜在威胁。

有效期缩短计划

TLS 服务器证书的最长有效期将分阶段逐步缩短，以确保现有服务能有时间适应改变。现在的状态及未来的计划如下：

历史上的有效期缩短

2011 年，CA/B 论坛将证书有效期从最初的 8-10 年缩短至 5 年；2015 年进一步缩短为 3 年；2018 年再次调整为 2 年。尽管 2019 年 CA/B 论坛投票否决了将有效期缩短至一年的提议，但这一措施获得了苹果、谷歌、微软、Mozilla 和 Opera 等主要浏览器厂商的支持。随后，2020 年 2 月，苹果宣布拒绝接受有效期超过 398 天（约一年）的新证书，并在同年 9 月 1 日后严格执行此政策。此后，Google 和 Mozilla 也相继效仿，进一步推动了证书有效期缩短的趋势。

自动化续订的重要性

自动化续订对于缓解证书有效期缩短带来的问题至关重要。随着证书更新频率的增加，意外过期的风险也随之上升。自动化策略通过简化证书生命周期管理，覆盖从申请、颁发到续订和吊销的每个阶段，减少了人工干预的需求。这种方法不仅提高了效率，还增强了可靠性，尤其在管理大量 SSL 证书时，能够有效防止证书过期，确保安全性和业务连续性。

不应继续人工预订

证书有效期开始缩短后，手动管理证书流程本身就不切实际，而证书有效期缩短至最长 47 天将加剧现有问题。简而言之，IT 部门根本无法应对。随着 TLS 证书数量不断增加，有效管理这些证书将变得越来越困难。假设未来使用最长有效期 47 天的证书，一年将至少要续订 8 次，如果服务器证书大规模部署，使用手动续费，每次操作都可能需要几十分钟的时间。随着需要续订次数增加，需要的人力成本将成倍增加，发生人为错误的风险也将提高。在有效期缩短后，自动化部署每年可能只会多消耗几十 MB 流量，而人工部署每年很可能需要总共几个小时的时间。

做好准备

仍在手动续费并管理证书的用户应当尽早考虑自动化部署，现在就进行自动化部署可以立刻享受到其带来的优势以及管理成本的降低。提前做好测试部署也可以有更充足的时间应对意外。如果认为修改不支持自动续订的遗留系统需要更长时间，您也可以考虑在缩短有效期的截止时间前 1 个月再次购买最后一张 1 年有效期的证书。

目前，有很多优秀的证书自动化管理工具可以全自动完成证书的购买、续订、部署等过程，例如本站正在使用 acme.sh 来自动签发证书。您还可以考虑 CertBot 或其他工具。

本站

本站目前使用 GTS 颁发的证书，有效期均为 90 天。

一旦相关工具链对短周期证书完成适配，本站将尽可能早的切换到 30 天或更短有效期的短周期证书。

本站的证书自动申请使用 acme.sh，服务器自动部署采用 NFS、rsync 配合自有工具实现，CDN 和云加速自动部署将会使用自维护的 CI/CD 实现。

本文章仅提及标准 Linux 和 OpenWrt 上的 IPv6 配置 ，不包含 Android 等特殊操作系统。其他操作系统的配置我后续将在其他文章单独讨论。

ndisc_router_discovery failed to add default route

是一个内核报错信息，完整的是 ICMPv6: RA: ndisc_router_discovery failed to add default route

一般此问题多在配置静态 IPv6 的机器出现。

错误的原因是：已经设置了静态网关，但是 RA 没有关闭。

解决方案

1

net.ipv6.conf.INTERFACE.accept_ra=0

INTERFACE 替换为网络接口，也可以使用 all 和 default 设置所有接口或默认值
添加至 /etc/sysctl.conf，运行 sysctl -p 保存

开启 IP 转发后 IPv6 地址丢失

开启 IP 转发后默认禁止接收 RA，可以通过以下方式恢复

解决方案

1
2

net.ipv6.conf.all.accept_ra=2
net.ipv6.conf.default.accept_ra=2

添加至 /etc/sysctl.conf，运行 sysctl -p 保存

IPv6 DUID 不固定

路由器上已经为 Linux 主机设置了静态 DHCPv6 分配，但是主机重启后无法获取 IPv6 或获取的地址不一致，检查发现是 DUID 改变。

大概率是 ifupdown2 的问题，检查一下系统是不是在用 ifupdown2（一般来说，Proxmox 的系统默认就使用 ifupdown2，其他情况可以通过检测系统是否有 ifreload 命令来判断）

解决方案

CumulusNetworks/ifupdown2 #326

尝试打我写的这个 Patch。

RA hop limit 过低

具体表现有：ping IPv6 提示 Time exceeded: Hop limit，curl 等网络工具直接提示 Couldn't connect to server 和 No route to host

原因是 IPv6 RA 中的 hop limit 过低。

有朋友向我反馈：他家的某（通信设备大厂）品牌路由器有这个问题，在抓包分析下发现路由器随机发送 hop limit 为 5-12 的 RA，导致网络故障

截至 2025，大多数路由器（尤其是家用路由器）的 IPv6 配置功能不全，功能相对全的大概只有新版本的 OpenWrt 和 ROS 了。大多数路由器无法手动设置 IPv6 的 hop limit，所以我们通过设置 Linux 最低接受的 hop limit 来解决问题。

解决方案

1

net.ipv6.conf.INTERFACE.accept_ra_min_hop_limit=64

INTERFACE 替换为网络接口，也可以使用 all 和 default 设置所有接口或默认值
最后的数字即为最小 hop limit。一般设置为 64 即可

添加至 /etc/sysctl.conf，运行 sysctl -p 保存

IPv6 配置中继后 LAN 设备还是没有地址

检查下 wan6 口的 master 有没有勾上（部分老版本 wrt 可能使用 wan 而不是 wan6 作为接口名）

解决方案

• 勾上主接口
  部分老版本 wrt 图形化找不到这个设置，修改 /etc/config/dhcp

  1 2 3 4 5

  config dhcp wan6 option dhcpv6 relay option ra relay option ndp relay option master 1

  在 wan6 添加 master 配置
• 另外，如果你的 OpenWrt 有 ULA 前缀 这个设置，把他清空并保存。

反代缓存

和浏览器缓存的机制类似，不过内容缓存在 Nginx 中。

浏览器缓存一般只保留在用户电脑的内存或磁盘中，关闭浏览器就会清除缓存，且多个用户不能直接共享相同的缓存。

反代侧添加缓存在静态资源较多、用户量大、源站性能不佳时对性能改善比较明显，缓存保存在服务器内存或硬盘中，缓存时间和大小均可自定义。多个用户访问同一静态资源，Nginx 只需要向源服务器访问一次。

基础配置

在 Nginx 的 HTTP 块中加入下面的内容：

1

proxy_cache_path /var/cache/nginx levels=1:2 keys_zone=global:30m max_size=1800m inactive=365d use_temp_path=off;

参数解释：

• /var/cache/nginx
  指定一个绝对路径作为缓存存储目录
• levels=1:2
  缓存目录结构，第一级目录使用 1 个字符，第二级目录使用 2 个字符
  最终效果类似 /var/cache/nginx/a/bc/xxxxxxxxxxxx
• keys_zone=global:30m
  缓存区域名称和元数据缓存大小
  元数据缓存（或者叫缓存索引）驻留在内存中，每 MB 约可存储万条缓存项
• max_size=1800m
  缓存在磁盘上使用的最大空间
  填满后，自动删除长期未使用的缓存
• inactive=365d
  缓存的最长时间，是保底规则
  HTTP 标头报告的缓存优先级更高
• use_temp_path=off
  先将缓存写入临时目录，再写入设置的目录
  部分 NFS 或 FUSE 可能需要设置为 on 才能工作

完成缓存区域的创建以后，为反代的网站开启缓存：

以下内容均需要在反代配置下方加入，也可以多个网站共同 include 一个缓存配置。include 用法如下：

1
2
3
4
5
6
7

# reverse proxy
    location / {
        proxy_pass            http://bw;
        proxy_set_header Host $host;
        include               conf.d/proxy.conf;
        proxy_next_upstream   error timeout http_502 http_503 http_504;
    }

然后添加缓存配置：

1
2
3

proxy_cache global;
proxy_cache_valid 301      7d;
proxy_cache_valid 404      1m;

在 proxy_cache 后加缓存区域名称。最简单的基础配置，Nginx 将根据源站的标头自动进行缓存。

此处可以添加更多保底规则（一般情况下，非 200 状态码源站很可能不返回缓存控制信息，如果在源站未明确要求是否缓存，就使用此处的规则）

不添加任何其他规则时，Nginx 将跟随源站进行缓存。可以改善性能并且一般不会出现访问问题。完整的规则列表请参考这里

其他配置

忽略源站配置，强制配置单独的缓存规则：
HTTP 块中：

1
2
3
4
5
6

proxy_cache global;
proxy_cache_valid 301      7d;
proxy_cache_valid 404      1m;
proxy_cache_valid any      5m;
proxy_ignore_headers Set-Cookie;
proxy_ignore_headers Cache-Control Expires;

完全手动配置缓存更灵活，但是可能导致访问出现问题，下面是一些配置建议：

• 不要缓存网站的登录页面和后台，可能会导致访问失败和数据泄露
• 不要缓存网站评论系统，可能会导致无法刷新出评论内容或重复评论。

ZFS

缓存在 ZFS 上时，推荐一个配置：

1
2

zfs create -o mountpoint=/var/cache/nginx -o compression=lz4 -o atime=off -o recordsize=128K -o primarycache=metadata -o secondarycache=none rpool/ngcache
zfs set quota=2G rpool/ngcache

本文章内容不适用于腾讯云 CVM 实例。

基础信息

如果你对 IPv6 已经很了解了，只是需要配置信息，那么你可能只需要这个表格：

下图蓝框部分即为需要填入的 IPv6 地址：

Debian/ifupdown 配置

临时配置（重启后失效）：
输入下面的命令：

1
2

ip -6 addr add 公网 IPv6 地址/128 dev eth0
ip -6 route add default via fe80::feee:ffff:feff:ffff dev eth0

永久配置：
编辑 /etc/network/interfaces ，按下面的格式加上

1
2
3

iface eth0 inet6 static
        address 公网 IPv6 地址/128
        gateway fe80::feee:ffff:feff:ffff

完成后重启服务器，或者用 ifreload -a 应用（需要 ifupdown2）

NetworkManager 配置

（Debian 以外的部分操作系统使用 NetworkManager）

临时配置（重启后失效）：
输入下面的命令：

1
2
3
4

nmcli connection modify eth0 ipv6.addresses 公网 IPv6 地址/128
nmcli connection modify eth0 ipv6.gateway fe80::feee:ffff:feff:ffff
nmcli connection modify eth0 ipv6.method manual
nmcli connection up eth0

永久配置：
编辑 /etc/NetworkManager/system-connections/eth0.nmconnection ，按下面的格式加上

1
2
3
4

[ipv6]
method=manual
addresses=公网 IPv6 地址/128
gateway=fe80::feee:ffff:feff:ffff

完成后重启服务器，或者用 nmcli connection reload 应用

Windows 配置

1. 打开控制面板
2. 网络和共享中心
3. 点开网络连接，属性
4. 编辑 TCP/IPv6
5. 按上面基础信息填
6. DNS 留空
7. 保存

或者我尝试用一张图让你理解：

解决方法

1. 先确保低电量模式没开
2. 设置 - 辅助功能 - 动态效果，检查下最底下的 60Hz 开关是否关闭
3. 需要强制高刷的时候把录屏打开即可

已测试 iOS 16 以上的稳定版本，直到本文发布时最新的 iOS 18.3.1 均可用这个方法解锁，有几个 Beta 版本是不行的

我也很好奇为啥会有这种神奇的 bug，这个其实 2022 我就遇到了，今天碰巧想到就发出来了。

另外这个 Bug 貌似只影响 iPhone，不影响 iPad，Mac 我不知道，我猜没问题

应该有简介，但是我不知道写点什么。 文笔不好，基本没怎么写过教程以外的文章，是真的不会写简介哇（

上面的内容是从 斩斩的 2023 总结 照抄，哦不，借鉴的（

这篇文章是在小米之家的一台展示机上完成的。

先来解释一下上面这句话：

写文章的这一天，学校提前放学，两点放了，放学之后跑滨海玩去了，六点半到天河城吃饭，预约取号，然后就有了：

《前面有 185 桌》

好在这家商场有那个很火的长得像洗衣机的能拍的游戏能玩，然后下楼看了一眼，二十多个人在排两台机子。

于是走到旁边的小米之家，看到一台游戏本，看了下机器参数之后就开始写这东西了。分享下机器参数吧。

CPU 是 Intel i9-14900HX，比较奇怪的就是搭上了 16GB DDR5-5600 的内存。这年头游戏本难道不都是 32 起步吗，而且 5600 是不是频率略低了（好像笔记本合理点）？

机器里自带了 CPU-Z 等测试工具，大概率是其他路人装的，跑了个分，使用 CPU-Z 19.01.64 AVX2 预设，单核 608.3，多核 6268.5。本来以为会比我自己台式机的 13600KF 略高，实际上没到我 13600KF 的一半，我都好奇笔记本 i9 能不能打台式机 i3 了。

我对 i9 移动端的印象没有这么差，怀疑这机子是不是散热或者调度有什么问题，也可能是我打开的方式不对吧，总之是直接用默认设置跑的。

去过的地方

北京

十几次北京吧，基本每个月都去一次了。

北京那边有不少朋友，和别人见面也喜欢优先北京，另一个原因是，北京那边有不少银行（唉卡吃，这个下面一会再详细说说）。

在北京还拍到了知名的 CR400BF-5033，但是没坐，只是拍到了，是 10 月 3 日的下午，国庆假期，从天津站坐 C2006 次列车前往北京，看了眼 rail.re，当时 5033 在跑京津城际，可能有机会看一面。到了天津站发现是用 CR400BF-5077 跑的，达速运行，到达北京南后，在对侧站台发现 5033，于是拍了几张照片

廊坊

前几次去是骑车去北京（这个事后面也要讲讲）路过的，最后一次去是去北京大兴机场，大兴机场航站楼貌似完全在廊坊，所以就分类到这里了。

秦皇岛

取得了第一次上高速的成就，都是绿色牌子好好看。

面过的人

一刀斩

很可爱的大佬，东北大学的大学生，Linux GUI 的用户（甚至是触屏而且是 ARM）。

他的 Blog 在这里。

流星

大概是因为 maimai 和那个叫钟致远的人才相识的。是音击厨，也会打 maimai，中二就比较少了，现在打 Arcaea 又比较多。

Kt

好像和我一起开了 BEIJING PASS，是软粉，曾在大兴机场给我展示可以 360 度折的 Surface Book 2。（这机器支持独显热插拔，真的很酷

剪贴板

好像是衡水的学生，是因为 BEIJING PASS 认识的

ACh

盐酸乙酰胆碱，也是大佬，后面就不会描述了呜呜（

天王寺喵苑

貌似也是通过 maimai 认识，在某个下午带着我开了一张卡。

186526

北京的卡吃，ARIN 的 LIR，不打乌蒙，运营着 Sunoaki Network

一穗灯花

很可爱，曾经是 NixOS 用户，貌似为 NixOS 打包了不少软件。

不知道有没有列全，如果我不小心忘记了，或者想修改上面的内容，也可以在评论区叫我改改（？

上面的大佬大多数都是 Linux 用户，一刀斩曾经使用 Arch，现在使用 AOSC，Kt 是 EL 粉，Ach 186 和流星用的应该都是基于 Debian 的发行版。

铁路迷

半吊子车迷，一定是群友把我变成这样的！

目前有收集报销凭证/车票，以及去各个站打卡的习惯。

今年坐过比较多的是京津城际，D9/D11，1461/2

再聊聊地铁？

北京地铁支持外卡和万事网联，好先进啊（

天津地铁莫名其妙的不支持工商的银联

天津地铁津静线和 11 号线西段已经看过了，北京三号线还没有看过，预计寒假第一天就去看看。

卡吃

一定是群友把我变成这样的！

好吧多开几张银行卡确实有用，一个是刷卡的时候有优惠，一个是向境外商户付款也方便点。

今年开了广发的 AMEX、工银的小飞机（牡丹国际借记卡，万事达版）、招商的方舟卡面银联。

前一张是天津本地开的，非柜，第一次见到这卡因为未成年就非柜。后两张是北京，开的都很爽快。

• 工银小飞机就是 10 月 3 日开的，看 5033 的那一天
• 招行是天王寺喵苑带着开的，我最早的银联好像也是她推荐的。

骑行

应该是有必要提一下了，今年试了下长途骑车，和同学跑了几次天津到北京的往返。

路况挺不错的，不算太累，共享单车的话一次 12 元。有一次骑的时候气温有 36 摄氏度，放点图吧：

游戏相关

今年玩的 maimai 感觉更少了，也许是因为搬家搬到了附近没有机厅的地方。

国服 RATING 11661，当前版本（2024）游玩次数 0
日服 RATING 05244，当前版本（PRI-）游玩次数 0
u.七个字母.三个字母 RATING 10027，当前版本（PRI-）游玩次数 1

目前还没有中二和音击的号，但是 2025 会考虑。

校园

新校区破破烂烂的，但是有不少大佬。

不知道写啥，放点我们化学老师的名言吧（？

化学的尽头是物理，物理的尽头是数学，数学的尽头是什么？（停顿半分钟）是哲学。所以我们一直都在思考的是一个哲学问题。远看朝气蓬勃，茂盛葱绒，近看杂草丛生。

互联网

今年获得了两个域名：

• kmbr.dev
  基本是解析内网设备用，一些自用服务也会放在这个域名
• 4.e.e.0.4.8.0.6.0.4.2.ip6.arpa
  玩具！他甚至可以建站：The A Record on ARPA

MOEFIRE 给我的 IP 段：

• 2406:840:ee4d::/48
  内部拆成了两个 /56，两个 /64 来用

代码

完善了 Kalium Bot，写 maimai 自动化查分器写了一半w

感觉没有可以继续说的了，那就，总结？

总结

其实只是又活过了一年罢了

人类好奇怪啊，居然会庆祝他们的地球又转了一圈.webp

可能是因为上学忙了一点，今年干的事好像比去年要少了。

所以，2025，还会继续努力的！

感谢

本文章的编写参考了以下内容：

• 📜 我的 2023：新的改变，新的成长，新的开始 - 風雪城
• 再见2024 · 共赴一场烟火绚烂 - 呓语梦轩

别的大佬都好厉害啊，年度总结都能写出几万字的，羡慕了（

在生产环境常用的 Hyper-V 和 QEMU/KVM 中，如何优雅地使虚拟机的系统时间和外部时间保持同步呢？

虚拟机中的时间同步大致有两种方案：

• 和网络时间（NTP 服务器）同步
• 和宿主机时间同步

大多数系统中已经默认配置了第一种 NTP 时间同步，然而，虚拟机中使用第一种方法需要可靠的网络连接，且更容易受到外部因素（休眠、在线迁移等）影响。

而第二种方法只需要保证宿主机时间精确（Azure 和其他大多数 VPS 的服务商其实也都做到了这个），然后让虚拟机跟随宿主机时钟同步即可，使用这种方法通常精准度会更高，性能开销也稍低一些。

所以在此只介绍第二种方法，适用于 Hyper-V 和 QEMU/KVM，包括 Proxmox VE 等基于 QEMU 魔改的虚拟机也可以，这些虚拟机程序和 VM 时间同步都使用 PTP 协议，简单的介绍一下 PTP：

PTP

即 Precision Time Protocol，精确时间协议，PTP 提供微秒级的精度，适用于要求极高时间同步的场景，而常见的 NTP 通常只提供毫秒级的精度，PTP 使用主从模式，主时钟负责同步所有从时钟，通常更适用于局域网环境；NTP 较简单，适合广域网和互联网同步。

确保宿主机时间精确之后，照着下面的说明为虚拟机开启时间同步

宿主机操作

在宿主机上为虚拟机启用 PTP 时间同步设备

• Hyper-V
  虚拟机设置里找到 Integration Services，勾上 Time Synchronization，保存
  理论上所有 Hyper-V 版本都支持这个
  
• QEMU/KVM
  默认应该是自动启用的，如果你坚信他没启用，可以试试把 -device kvm-ptp 塞进 QEMU 参数（大模型说的，笔者感觉这个参数没用，加了可能反而会炸）
  翻了一下源码和提交记录，QEMU 是从 7ec6832（6.0.50 或 6.1 的开发版本） ，2021 年 6 月 18 日开始支持时间同步特性的，太老的版本也许是没有的

Linux VM

Linux 中推荐使用 chrony 来设置时间同步，部分发行版自带了不支持 PTP 协议的 systemd-timesyncd，少部分发行版默认就提供了配置好的 chrony。

我们这时候通过 chronyc tracking 命令来检查 chrony 的工作状态：

1
2
3
4
5
6
7
8
9
10
11
12
13

Reference ID    : 50484330 (PHC0)
Stratum         : 3
Ref time (UTC)  : Thu Oct 17 16:26:56 2024
System time     : 0.000000000 seconds fast of NTP time
Last offset     : -0.000001475 seconds
RMS offset      : 0.000000613 seconds
Frequency       : 0.008 ppm slow
Residual freq   : -0.019 ppm
Skew            : 0.064 ppm
Root delay      : 0.000000001 seconds
Root dispersion : 0.000010623 seconds
Update interval : 8.0 seconds
Leap status     : Normal

主要看第一行 Reference ID 即可：

• 如果括号内显示的是 PHCx，说明系统已经配置好了和宿主机的时间同步（部分云厂商会帮你做好这件事），然后你大致就可以关闭本页面了（？
• 如果括号内只有域名或者 IP，说明系统只配置了 NTP 同步，继续按照下面的方法配置即可
• 当然你可能会直接得到一个 command not found，说明你没有安装 chrony，可以参考下面的命令来安装，不同发行版安装方法不同，以 Debian 为例：

  1	apt install chrony

  安装 chrony 会自动移除 systemd-timesyncd 和其他时间同步工具

检查 PTP 设备

运行 ls /dev/ptp_* -lah 来检查 VM 里是否已经有 PTP 设备

1
2
3
4

# Hyper-V
lrwxrwxrwx 1 root root 4 Oct 17 13:17 /dev/ptp_hyperv -> ptp0
# QEMU/KVM
lrwxrwxrwx 1 root root 4 Oct 17 13:50 /dev/ptp_kvm -> ptp0

如果报错 No such file or directory，尝试载入虚拟机的 PTP 模块

• Hyper-V

  1 2	modprobe hv_utils # echo hv_utils >> /etc/modules # Load module on boot

  （不过理论上正常系统检测到 Hyper-V 应该会自动载入的…真的会有默认不载入的吗
• QEMU/KVM

  1 2	modprobe ptp_kvm echo ptp_kvm >> /etc/modules # Load module on boot

  （倒是 QEMU 的貌似不会自动载入

添加时钟源

PTP 设备出现以后就可以开始配置 chrony 了：

先编辑 /etc/chrony/chrony.conf，注释掉所有以 pool 和 sourcedir 开始的行，然后添加硬件时钟：

• Hyper-V

  1 2 3

  echo "maxupdateskew 100.0 refclock PHC /dev/ptp_hyperv poll 3 dpoll -2 offset 0 stratum 2 makestep 1.0 -1" > /etc/chrony/conf.d/hv.conf

• QEMU/KVM

  1 2 3

  echo "maxupdateskew 100.0 refclock PHC /dev/ptp_kvm poll 3 dpoll -2 offset 0 stratum 2 makestep 1.0 -1" > /etc/chrony/conf.d/kvm.conf

完成配置

重启 chrony，查看时间同步信息

1
2
3

systemctl restart chrony
sleep 30
chronyc tracking

第一行显示 PHCx 说明已配置完成，可以看到 PTP 时间同步的延迟低至 0.000000001 seconds，大致能比 NTP 高 10 的 5-7 次方

Windows VM

（待补充）

修改之前先确定一下硬盘是否支持 AF（物理扇区大小为 4K 则表示支持），512n 模式的硬盘是没法改的
Exos X 系列的氦气盘全部支持 AF，都可以改

工具

• Seachest Lite

教程

安装好工具之后，命令行打开工具目录（Linux 的话貌似不需要这一步）

然后输入命令扫描磁盘

1

./SeaChest_Lite_x64_windows.exe --scan

1

SeaChest_Lite --scan

找到你要操作的磁盘的编号，比如 PD2

1

./SeaChest_Lite_x64_windows.exe --device PDx --setSectorSize 4096

1

SeaChest_Lite --device PDx --setSectorSize 4096

PDx 替换为上面的磁盘编号，--setSectorSize 后面跟上你想设置的扇区大小
Exos SATA 盘可以设置的扇区大小有 512 和 4096，SAS 盘额外还可以设置成 4160 和 4224

如果上面的命令没有报错的话，就可以确认格式化了

1

./SeaChest_Lite_x64_windows.exe --device PDx --setSectorSize 4096 --confirm this-will-erase-data-and-may-render-the-drive-inoperable

1

SeaChest_Lite --device PDx --setSectorSize 4096 --confirm this-will-erase-data-and-may-render-the-drive-inoperable

新盘一般两分钟就能跑完，有些老型号可能需要跑很久

重新获取一下硬盘信息就可以看到新的扇区大小了w

准备

• 不比系统盘小的一块空硬盘

操作过程

1 - ZFS 驱动和工具

Debian 目前默认的内核并没有集成 ZFS 驱动，必须更换内核或者手动安装内核模块才能正常使用 ZFS

方法一

这里可以直接安装 proxmox-ve 包，Proxmox VE 自带了 ZFS 的管理工具和驱动（驱动由 Proxmox VE 的定制内核提供）， 且 PVE 对 ZFS 的支持也非常全：

1
2
3
4
5
6
7

echo "deb [arch=amd64] http://download.proxmox.com/debian/pve bookworm pve-no-subscription" > /etc/apt/sources.list.d/pve-install-repo.list
wget https://enterprise.proxmox.com/debian/proxmox-release-bookworm.gpg -O /etc/apt/trusted.gpg.d/proxmox-release-bookworm.gpg 
apt update
apt install proxmox-default-kernel proxmox-ve postfix open-iscsi chrony -y
apt remove linux-image-amd64 'linux-image-6.1*' -y
update-grub
systemctl reboot

如果只使用 Proxmox VE 的 ZFS 管理工具和驱动，不使用 Proxmox VE 虚拟机，可以考虑把 proxmox-ve 卸载掉：apt remove proxmox-ve -y

方法二

使用原有内核，不安装 proxmox-ve 或其他内核，使用 dkms 手动安装 ZFS 驱动

1
2

apt install linux-headers-amd64 zfsutils-linux zfs-dkms
modprobe zfs

2 - 复制磁盘数据

假设原硬盘的分区结构如下：

先把系统盘（以 vda 为例）复制到另一块盘 vdb，然后清除掉 vdb 上的 boot 和 root 分区

1
2
3
4
5

vgrename system systemOld
dd if=/dev/vda of=/dev/vdb bs=1M status=progress
vgimportclone /dev/vdb3 -n system # regen LVM uuids
wipefs -a /dev/vdb2
wipefs -a /dev/system/root

完成后磁盘分区结构大致是：

3 - 创建 ZFS

bpool，用于引导：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

zpool create \
    -f \
    -o cachefile= \
    -o ashift=12 -d \
    -o feature@async_destroy=enabled \
    -o feature@bookmarks=enabled \
    -o feature@embedded_data=enabled \
    -o feature@empty_bpobj=enabled \
    -o feature@enabled_txg=enabled \
    -o feature@extensible_dataset=enabled \
    -o feature@filesystem_limits=enabled \
    -o feature@hole_birth=enabled \
    -o feature@large_blocks=enabled \
    -o feature@livelist=enabled \
    -o feature@lz4_compress=enabled \
    -o feature@spacemap_histogram=enabled \
    -o feature@zpool_checkpoint=enabled \
    -O acltype=posixacl -O canmount=off -O compression=lz4 \
    -O devices=off -O normalization=formD -O relatime=on -O xattr=sa \
    -O mountpoint=/boot -R /mnt \
    bpool \
    /dev/vdb2

rpool，存储 rootfs：

1
2
3
4
5
6
7
8

zpool create \
    -f \
    -o ashift=12 \
    -O acltype=posixacl -O canmount=off -O compression=lz4 \
    -O normalization=formD -O relatime=on \
    -O xattr=sa -O mountpoint=/ -R /mnt \
    rpool \
    /dev/system/root

创建数据集：

1
2
3

zfs create -o canmount=noauto -o mountpoint=/ rpool/ROOT/proxmox
zfs mount rpool/ROOT/proxmox
zfs create -o mountpoint=/boot bpool/BOOT/proxmox

上面的操作完成后磁盘分区结构大致是：

4 - 拷贝文件

1
2
3

apt install rsync -y
rsync -axHAWXS --numeric-ids --info=progress2 / /mnt
rsync -axHAWXS --numeric-ids --info=progress2 /boot /mnt

5 - 更新引导

在 vdb 创建新的引导文件：

1
2
3
4
5
6
7
8

mount --rbind /proc /mnt/proc
mount --rbind /sys /mnt/sys
mount --rbind /dev /mnt/dev
chroot /mnt
apt install zfs-initramfs -y
update-initramfs -c -k all
grub-install /dev/vdb
update-grub

6 - 更新 fstab

ZFS 不依赖 fstab 挂载，挂载信息存储在文件系统中，自行清理 fstab 的无用条目

7 - 导出 ZFS

1
2
3
4

exit # quit chroot
mount | grep -v zfs | tac | awk '/\/mnt/ {print $3}' | \
    xargs -i{} umount -lf {}
zpool export -a

8 - 将 ZFS 写回原系统盘

方法一

如果有 LiveCD，直接进 LiveCD 执行：

1

dd if=/dev/vdb of=/dev/vda status=progress

方法二

如果没有 LiveCD，则将根目录系统挂载为只读，然后再复制：

1
2
3

mount -o remount,ro / # soft remount ro
echo u > /proc/sysrq-trigger # force remount ro, not work in btrfs
dd if=/dev/vdb of=/dev/vda status=progress

9 - 启动新的系统

卸载原有硬盘，重启即可，最终效果如下

可能出现的问题

A - initramfs 无法加载 ZFS 驱动

• 症状：出现 Failed to load the ZFS Module. 提示
• 原因：未正确对模块进行签名，UEFI 安全启动策略不允许载入

B - initramfs 未找到 zpool

• 症状：开机时卡在 Begin: Running /scripts/local-block … done 很久
• 症状：出现 ZFS Boot failing in initramfs : Alert! ZFS=rpool/ROOT/proxmox does not exists 类似提示
• 原因：initramfs 中没有 zfs 工具，或 zpool 无法被安全导入，请确认第 5 步的 zfs-initramfs 是否正确安装、第 7 步是否成功导出
• 解决方案：尝试运行 zpool import -f bpool rpool && exit，如果出现 command not found，说明 zfs-initramfs 未正确安装，请重新执行全部步骤

C - ZFS 根目录无法卸载

• 症状：完成第 7 步时出现 cannot unmount '/mnt': pool or dataset is busy
• 原因：第 3 步完成后，ZFS 所在的磁盘路径发生变化，或者有其他程序占用
• 解决方法：如果更改了磁盘路径，需要先修改回来，然后检查是否有程序占用，如果有，请关闭，完成后重新尝试第 7 步，若仍然失败，请重启系统

参考资料

• Install Proxmox VE on Debian 12 Bookworm (pve.proxmox.com)
• Please, I need Help. Reboot and Stuck on “initramfs” command line (Failed to load the ZFS Module) . (github.com)
• Install Arch Linux on ZFS (wiki.archlinux.org)
• Copy entire file system hierarchy from one drive to another (superuser.com)
• Hetzner独服安装Debian11并将ZFS作为根文件系统 (lala.im)