导语

事情的起点只是一次普通的 CI 打包失败，根因排查到最后却指向一个本该已经被 npm 官方下架的恶意版本：@antv/expr@1.2.2。更没想到的是，因为我在本地为了复现问题而使用公司私服重新安装依赖，直接触发了恶意代码并被安全软件告警，最终导致个人开发账号被临时封禁。

本文记录完整时间线、攻击机制、凭据风险以及处置与治理建议，供遇到类似问题的团队与个人参考。

说明：本文已将公司内部私服域名、账号名称、项目名、内网镜像地址、人员等信息做脱敏处理；图片路径保持原样，相关公开 IOC 与外部参考链接也保持原样。

结论摘要

公司私有 npm 仓库（下文统一称“公司私服”）上缓存的 npm 包 @antv/expr@1.2.2 包含恶意代码。开发者如果在本地执行如下命令，并安装到了该版本，就会触发恶意逻辑：

pnpm install --no-frozen-lockfile --registry https://***公司私服域名***/nexus/repository/npm/

本次恶意代码属于 AntV 相关 npm 包被投毒事件的一部分。它会在安装阶段执行 payload，扫描并收集本机和 CI 环境中的敏感凭据，并向 m-kosche.com、t.m-kosche.com 等域名发起请求。根据公开分析，外传数据会经过 gzip、AES-256-GCM 和 RSA-OAEP 混合加密，网络侧即使捕获请求，也很难直接还原明文内容。

最终影响是：我在本地为了复现打包机问题，使用公司私服重新安装依赖，触发了 @antv/expr@1.2.2 中的恶意逻辑。安全软件随后检测到供应链攻击行为并触发告警，我的内部开发账号被临时封禁。

背景资料

本次事件与 2026-05-19 AntV npm 包投毒事件一致，公开参考资料如下：

• AntV npm Compromise: How Cremit’s Argus Pipeline Surfaced 324 Mini Shai-Hulud Catches Within 30 Minutes
• AntV npm Account Compromise: Mini Shai-Hulud Wave Hits 323 Packages
• Mini Shai-Hulud Strikes Again: 317 npm Packages Compromised
• Mini Shai-Hulud Hits @antv Ecosystem, 639 Compromised npm Package Versions
• AntV GitHub 组织公告

AntV 官方在 GitHub 组织首页发布了如下公告：

2026-05-19 早上 10 点 @antv 相关的 NPM 包遭受外部蠕虫攻击投毒。我们已经在 1 小时内 deprecate 所有受感染的包，在 4 小时内联系上 NPM 官方删除所有受感染的包，目前已经完全解决相关漏洞和安全风险，请受波及的用户及时清除本地缓存重新安装依赖。

这说明 npm 官方源上的受感染版本理论上已经在 2026-05-19 当天被处理。但公司私服在 2026-05-26 仍同步并缓存了 @antv/expr@1.2.2，导致 2026-05-28 内部安装依赖时仍可命中恶意版本。

事件时间线

2026-05-28 10:56：前端项目打包失败

上午 11 点多，同事反馈某前端项目打包失败。查看 Jenkins 日志后，发现报错如下：

ERROR  Command failed with exit code 128: git fetch --depth 1 origin 1916faa365f2788b6e193514872d51a242876569ssh: connect to host github.com port 22: Connection refusedfatal: Could not read from remote repository.Please make sure you have the correct access rightsand the repository exists.pnpm: Command failed with exit code 128: git fetch --depth 1 origin 1916faa365f2788b6e193514872d51a242876569ssh: connect to host github.com port 22: Connection refusedfatal: Could not read from remote repository.

该 Jenkins 环境没有外网访问权限，正常情况下不应该访问 github.com。结合以往经验，初步判断是某个依赖包中引入了类似如下形式的 GitHub 依赖：

"xxx": "git+ssh://git@github.com/xxx/xxx.git#1916faa..."

因此当时的处理思路是：先识别具体依赖，再通过升级或回退版本，找到不依赖 GitHub 的可用版本。

2026-05-28 11:30：定位有问题的依赖包

为了找出具体依赖，我分两条路径排查：

1. 在打包机上手动执行 pnpm install --reporter，输出详细安装日志，分析 github.com 请求来自哪个依赖。
2. 在本地开发电脑执行 pnpm install，通过网络嗅探工具监听 github.com 请求，辅助定位目标依赖包。

打包机上通过 Docker 执行的命令（示例）如下：

docker run --rm -it --user root -v $(pwd):/app -v /data/pnpm-store:/data/pnpm-store -w /app ***/registry/library/gplane/pnpm:10.28-node22 bash -c 'pnpm config set store-dir /data/pnpm-store && git config --global url."https://github.com/".insteadOf "git@github.com:" && git config --global url."https://github.com/".insteadOf "ssh://git@github.com/" && git config --global url."https://github.com/".insteadOf "git+ssh://git@github.com/" && PNPM_DEBUG_LEVEL=debug pnpm install --no-frozen-lockfile --registry https://***公司私服域名***/nexus/repository/npm/ --reporter ndjson 2>&1 | tee /app/pnpm-install-debug.log'

等待打包机输出报告期间，我先在本地用官方 npm 源执行 pnpm install。本地没有出现 github.com 请求，因此基本排除了项目自身依赖变更导致的问题，进一步怀疑是公司私服上的包内容异常。

随后我为了模拟打包机环境，在本地执行了：

pnpm install --no-frozen-lockfile --registry https://***公司私服域名***/nexus/repository/npm/

执行后，本地也复现了 github.com 请求。也正是在这个过程中，本机安装到了公司私服中的恶意包，触发了供应链攻击。

2026-05-28 13:50：确认依赖链并临时修复打包问题

下午分析打包机上的 pnpm install 报告后，定位到问题依赖链如下：

@antv/expr@1.2.2  ↓依赖 @antv/setup  ↓@antv/setup 不是普通 npm 包  ↓而是引用 GitHub commit 1916faa365f2788b6e193514872d51a242876569

当时只从构建失败角度处理，认为是 @antv/expr@1.2.2 引入了无法访问的 GitHub 依赖，因此通过固定旧版本解决打包问题：

{  "pnpm": {    "overrides": {      "@antv/expr": "1.0.2",      "@antv/vendor": "1.0.11"    }  }}

结合后续公开分析，这里的 @antv/setup 并不是普通依赖错误，而是 Mini Shai-Hulud 攻击中的备用执行路径。恶意包通过 optionalDependencies 引入 github:antvis/G2#1916faa365f2788b6e193514872d51a242876569，GitHub commit 中包含带 prepare 生命周期脚本的 payload。即使主路径 preinstall 被限制，仍可能通过 GitHub 依赖触发安装期执行。

2026-05-28 14:33：安全软件告警，账号被封

主管收到安全平台告警邮件，邮件显示检测到我的电脑遭遇供应链攻击。出于安全策略，我的内部开发账号被临时封禁，需要重装系统后才能解封。

邮件中的 IOC 信息提到了 m-kosche.com。在此之前，我没有主动访问过该域名，因此开始反查本机访问来源。

2026-05-28 14:33：紧急止损

第一时间在本机 /etc/hosts 中添加如下配置，将相关域名指向本地，阻断继续访问：

127.0.0.1 m-kosche.com127.0.0.1 t.m-kosche.com

需要注意的是，结合 Socket 和 SafeDep 的分析，t.m-kosche.com 只是主要外传通道之一。payload 还可能通过 GitHub API 创建仓库并把数据提交到 results/ 目录作为 fallback 外传通道。因此，仅阻断域名并不能证明风险已经完全消除。

2026-05-28 14:40：排查攻击来源

确认 IOC 域名后，排查分为三步：

1. 使用 AI 辅助排查系统异常访问记录。
2. 根据告警邮件分析，最早检测到恶意行为的时间是 11:34，与本地使用公司私服执行 pnpm install 的时间高度重合。
3. 检索 m-kosche.com 和 antv 相关信息，找到 Cremit、SafeDep、Socket 等公开分析文章，确认这是 AntV 相关 npm 包投毒事件。

公开资料中提到，本次攻击发生于 2026-05-19，AntV 官方已经在当天对 npm 官方源上的受感染包执行 deprecate 和删除处理。理论上，2026-05-28 从官方 npm 源已经不应该安装到恶意包。

结合我本地只有在切换到公司私服后才复现问题，基本可以确认：公司私服缓存了已经从官方源移除的受感染版本。

随后下载并比对 @antv/expr@1.2.2，确认其内容与公开文章描述的攻击特征一致，最终锁定本次攻击来源为公司私服中的 @antv/expr@1.2.2。

攻击机制分析

触发路径

本次事件中最直接的触发路径是：

pnpm install  ↓安装 @antv/expr@1.2.2  ↓执行恶意安装脚本或 GitHub optionalDependency 中的 prepare 脚本  ↓扫描本机和 CI 环境中的凭据  ↓通过 m-kosche.com / GitHub fallback 通道外传

公开分析显示，受感染包通常会包含两类执行路径：

1. preinstall 生命周期脚本：通过 bun run index.js 执行根目录下混淆后的 index.js。
2. optionalDependencies GitHub 依赖：通过 @antv/setup 指向 antvis/G2 中的 orphan commit，并在该依赖的 prepare 阶段执行 payload。

本次 Jenkins 打包失败暴露出来的 1916faa365f2788b6e193514872d51a242876569，正是公开 IOC 中出现频率最高的 imposter commit。

凭据风险

根据 Cremit、SafeDep 和 Socket 的分析，该 payload 目标不是单一密钥，而是广泛扫描开发者电脑和 CI/CD 环境中的敏感信息，主要包括：

• GitHub PAT、GitHub App token、GitHub Actions OIDC token、gh CLI 配置。
• npm token、.npmrc、npm publish token。
• AWS、GCP、Azure 等云厂商凭据。
• SSH 私钥、Kubernetes service account、Vault token、Docker auth。
• 数据库连接串、Slack token、Stripe key、通用 API key。
• 1Password、Bitwarden、pass、gopass 等本地密码管理器相关数据。

因此，只要在受影响机器上执行过恶意包安装，就应该按照“本机可访问凭据均存在泄漏风险”处理，而不是只轮换某一个被明确捕获的 token。

持久化风险

公开资料还提到，该 payload 可能写入 AI 编程工具和 IDE 配置，从而在后续打开项目或启动 AI 会话时再次执行。需要重点检查以下路径：

.claude/settings.json.claude/setup.mjs.claude/index.js.vscode/tasks.json.vscode/setup.mjs~/.claude/package/index.js~/.codex/package/index.js

其中 .claude/settings.json 可能包含 SessionStart hook，.vscode/tasks.json 可能包含 runOn: folderOpen 任务。这意味着攻击可能不只发生在执行 pnpm install 的当下，还可能通过仓库文件或本地配置形成后续持久化。

攻击流程复盘

结合内部时间点和公开事件时间线，影响链路如下：

1. 2026-05-19 10:00 左右，AntV 相关 npm 包遭遇外部蠕虫攻击投毒。AntV 团队在 1 小时内 deprecate 受感染包，并在 4 小时内联系 npm 官方删除受感染包。
2. 2026-05-26 11:15，公司私服从上游同步了受感染的 @antv/expr@1.2.2。
3. 2026-05-28 10:56，前端项目打包时从公司私服更新到 @antv/expr@1.2.2。由于该包引入 github:antvis/G2#1916faa365f2788b6e193514872d51a242876569，而打包机没有 GitHub 访问权限，导致打包失败，并出现 ssh: connect to host github.com port 22: Connection refused。
4. 2026-05-28 11:30，我在本地为了复现打包机环境，使用公司私服执行 pnpm install --no-frozen-lockfile --registry https://***公司私服域名***/nexus/repository/npm/，从而触发恶意代码。
5. 2026-05-28 14:33，安全平台发出告警邮件，我的内部账号被封禁。

影响范围评估

打包机

打包机每次打包都通过 Docker 沙盒运行，并且没有外网访问权限。从现有现象看，恶意包在打包机上主要表现为尝试访问 GitHub 后失败，没有成功完成外传请求，因此打包机风险相对较低。

但仍建议清理打包缓存和 pnpm store，避免后续构建继续命中受感染包。

本地开发机

我的本地开发机已经执行过公司私服安装，并触发安全告警。因此应按高风险处理：

• 重装系统后再恢复内部开发账号。
• 轮换本机可访问的服务器、服务、CI/CD、云平台、Git、npm 等凭据。
• 检查并清理 AI 编程工具、IDE 配置和本地持久化文件。
• 审计 GitHub、GitLab、npm、云平台等账号在告警窗口后的异常行为。

其他开发者

如果其他人在 2026-05-26 11:15 到 2026-05-28 14:36 之间执行过如下命令，也需要按受影响处理：

pnpm install --no-frozen-lockfile --registry https://***公司私服域名***/nexus/repository/npm/

尤其需要关注是否安装到 @antv/expr@1.2.2，以及 lockfile 中是否出现以下 IOC：

@antv/expr@1.2.2@antv/setupgithub:antvis/G2#1916faa365f2788b6e193514872d51a242876569t.m-kosche.comm-kosche.com

处置建议

立即处置

1. 从公司私服中删除或隔离 @antv/expr@1.2.2 及相关受感染版本。
2. 清理受影响时间窗口内同步的 AntV 相关恶意包缓存。
3. 在公司网络出口和 CI egress 策略中阻断 *.m-kosche.com。
4. 排查公司网络、终端和 CI 日志中对 m-kosche.com、t.m-kosche.com 的访问记录。
5. 通知在风险窗口内执行过公司私服安装的开发者，进行本机排查和凭据轮换。

依赖治理

1. 在 CI 中尽量使用锁定依赖安装方式，避免无审查执行 --no-frozen-lockfile。
2. 对新增的 preinstall、postinstall、prepare 生命周期脚本建立审查机制。
3. 对 optionalDependencies 中的 github:、git+ssh:、git+https: 依赖建立告警或阻断策略。
4. 对刚发布的新版本设置冷却期，避免第一时间自动安装高风险新包。
5. 私服同步上游包时接入 OSV、OSSF malicious-packages、Socket、SafeDep 等恶意包情报。

终端排查

1. 检查本机是否存在 .claude/setup.mjs、.vscode/setup.mjs、~/.claude/package/index.js、~/.codex/package/index.js 等可疑文件。
2. 检查 .claude/settings.json 中是否存在异常 SessionStart hook。
3. 检查 .vscode/tasks.json 中是否存在 runOn: folderOpen 且执行 setup.mjs 的任务。
4. 检查 GitHub 账号或组织中是否出现异常仓库（例如 <word>-<word>-<digits> 命名风格），以及 results/results-*.json 文件。
5. 检查是否存在异常访问 GitHub Search API 且包含特定关键字的行为。

经验教训

这次事件最开始表现为一次普通的 Jenkins 打包失败，但根因不是依赖版本不兼容，而是公司私服缓存了已经从 npm 官方源移除的恶意包。

本次事件暴露出几个问题：

1. 私服缓存需要具备恶意包下架和重新扫描能力，不能只依赖首次同步时的状态。
2. pnpm install --no-frozen-lockfile 会扩大供应链风险，尤其是在私服缓存存在污染时。
3. GitHub 依赖、生命周期脚本和 optional dependency 都可能成为安装阶段执行 payload 的入口。
4. 安全软件告警中的 IOC 域名非常关键，应尽快反向关联本地操作时间线和依赖安装日志。
5. 开发机上的 AI 编程工具和 IDE 配置也已经成为供应链攻击的持久化目标，需要纳入常规安全排查。

后续需要把“依赖安装失败访问 GitHub”这类异常从普通构建问题提升为供应链风险信号处理，尤其是当异常 commit SHA 与公开 IOC 匹配时，应优先隔离环境并暂停继续安装，而不是直接在本地复现。

如果你是 macOS 用户，应该对下面这些场景不陌生：

• 想看一眼今天几号、星期几，还得点开系统日历。
• 想快速确认这周安排，切应用、切窗口、再切回来。
• 想顺手看看农历、节气、节假日调休，系统原生支持又不够顺手。
• 会议和提醒事项明明都在系统里，但真正高频查看时，入口并不够轻。

这也是我做 Calendar Pro 的原因。

它不是一个“大而全”的日历客户端，而是一个更适合日常高频查看的 macOS 原生菜单栏日历工具：抬头看菜单栏就能知道时间和日期，点一下就能展开月历面板，再进一步查看农历、节假日、当天日程和提醒事项。

一句话概括：Calendar Pro 想做的，不是替代系统日历，而是把“查看日历这件事”变得更快、更顺手、更符合中文用户习惯。

为什么还要做一个菜单栏日历？

很多效率工具的问题，不是“功能不够多”，而是“离真正高频使用的距离还差一步”。

对日历来说尤其明显。

多数时候，我们并不是要认真管理全年计划，也不是马上去编辑某个复杂日程。真正高频发生的动作其实很简单：

• 看看今天日期和星期
• 快速扫一眼这个月的日历分布
• 确认今天有没有会议、提醒事项
• 查一眼节假日、调休、农历或节气

这些动作如果每次都要打开完整的日历应用，其实很容易打断节奏。菜单栏才是更自然的入口。

所以 Calendar Pro 从一开始就把核心放在两件事上：

1. 足够轻，能抬头就看
2. 足够全，点开就有用

Calendar Pro 是什么？

Calendar Pro 是一个原生 macOS 菜单栏工具，围绕“查看”这件事做了完整打磨：

• 菜单栏可显示日期、时间、星期、农历、节假日
• 点击状态栏即可展开原生月历弹层
• 支持农历、传统节日、节气、地区化节假日
• 支持读取系统日历与提醒事项
• 支持查看当天会议与待办，不必频繁切回系统应用

它当前基于以下技术栈实现：

• SwiftUI + AppKit
• EventKit
• Sparkle
• macOS 14+

这意味着它不是一个网页壳，也不是临时拼出来的小工具，而是一个认真按桌面应用方式去做的原生产品。

我最看重的几个体验点

1. 菜单栏显示不是固定文案，而是可配置的

很多菜单栏时间工具只能在固定格式里二选一，但 Calendar Pro 把菜单栏文本拆成了多个可组合的显示项。

你可以按自己的习惯决定是否显示：

• 日期
• 时间
• 星期
• 农历
• 节假日

而且这些内容可以独立开关、排序、切换样式。

对中文用户来说，这个差别很实际。

有人习惯看 04/09 Thu 10:30，有人更喜欢 2026年04月09日 周四，也有人只想要一个足够克制的简洁样式。Calendar Pro 不强迫你接受唯一答案，而是把菜单栏还给用户自己定义。

2. 点开就是一块真正能用的月历面板

我不想让它只是一个“点击后弹出一小块日期面板”的样子货。

Calendar Pro 的弹层月历支持：

• 月份切换
• 年/月选择器
• 今日高亮
• 周起始日设置
• 周末高亮
• 中文星期显示

它的目标不是炫技，而是让你在很短时间内完成判断：

• 这周排期大概如何
• 这个月节假日和工作日分布如何
• 今天在整个月视图里处于什么位置

对于长期用 mac 的人来说，这种“点一下就能看全局”的效率提升非常直接。

3. 中文语境下，农历、节气、节假日不该是附属品

这是我觉得 Calendar Pro 和很多通用日历工具差异最大的地方。

它不是简单把公历日期显示出来就结束，而是把中文用户真正常看的信息一起放进来：

• 农历日期
• 传统节日
• 二十四节气
• 法定节假日
• 调休信息

而且目前已经支持：

• 中国大陆节假日
• 香港公众假期

对于中文用户，尤其是长期需要关注假期安排、节日节点、节气变化的人来说，这些不是“锦上添花”，而是日历工具有没有真正本地化的分水岭。

4. 日程和提醒事项终于和月历站到了一起

很多时候，我们打开日历不是为了“研究日期”，而是为了看 今天到底有什么事。

Calendar Pro 基于系统 EventKit 读取日历与提醒事项，把它们放进同一个高频查看入口里：

• 可以查看当天日程
• 可以查看提醒事项
• 可以按日历源或提醒列表筛选
• 点击日程可打开独立详情窗口
• 支持识别常见会议链接

这意味着你点开菜单栏弹层，不只是看到一个静态月历，而是能顺手完成很多轻量判断：

• 下一个会什么时候开始
• 今天还有没有未完成提醒
• 某个会议是否能直接加入

它依然不是一个完整的编辑器，但已经足够承担“查看和快速处理入口”这个角色。

5. 作为桌面应用，该有的能力它也补齐了

我不希望 Calendar Pro 停留在“开发者自用脚本”层面，所以把桌面应用该补的部分也做了进去：

• 开机启动
• 自动更新
• 稳定版 / Beta 通道
• 远程节假日数据刷新
• 本地缓存回退
• DMG 打包与分发能力

尤其是节假日数据这部分，采用了 内置数据 + 远程清单 + 本地缓存 的方式。即使离线，也不会影响基础使用；有更新时，又能通过远程数据补充最新节假日安排。

这类细节平时不一定显眼，但会直接决定一个工具能不能长期留在菜单栏里。

这个项目适合谁？

如果你属于下面这些人，Calendar Pro 可能会比较对胃口：

• 常年使用 macOS，希望菜单栏就能解决大部分日期查看需求
• 习惯中文语境，希望同时看到农历、节气、节假日和调休
• 平时会议比较多，希望快速查看当天日程
• 同时在用系统提醒事项，希望统一入口查看
• 喜欢原生应用，不太想依赖 Electron 式的大体积工具

反过来说，如果你需要的是：

• 重度日程编辑
• 团队级协作排班
• 复杂任务管理
• 跨平台统一的超大型工作台

那 Calendar Pro 不是为了取代这些工具而生的。

它更像是：你每天会点开很多次，但每次只停留几十秒的那个高频入口。

为什么我觉得它值得被关注？

从产品角度，它切中了一个很具体但常被忽略的需求：

中文用户在 macOS 菜单栏里，缺少一个真正兼顾日期、农历、节假日、日程和提醒事项的原生入口。

从工程角度，这个项目也不是停留在概念层面，而是已经具备比较完整的产品骨架：

• 原生 AppKit 菜单栏外壳 + SwiftUI 界面
• 基于 EventKit 的系统能力集成
• 节假日提供方与缓存策略
• 设置页、详情窗口、自动更新等完整桌面应用能力
• 已有较持续的版本迭代和发布记录

换句话说，它不是一个“我做了个小玩具”的展示项目，更像是一个已经朝着可持续维护产品方向推进的桌面应用。

我对 Calendar Pro 的期待

我希望它最终成为这样一个工具：

你不用刻意打开它，但它始终在菜单栏里，稳定、轻盈、可信；
当你需要看日期、查节假日、扫一眼今天安排时，它总能在最短路径上把信息递给你。

不是更复杂，而是更顺手。

不是功能堆叠，而是把高频动作做对。

这也是我理解的优秀菜单栏工具应该有的样子。

最后

如果你也在找一个更适合中文用户习惯的 macOS 菜单栏日历工具，Calendar Pro 值得试试看。

它的价值不在于“重新发明日历”，而在于把原本分散、低效、需要来回切换的信息，重新组织成一个真正高频可用的桌面入口。

对普通用户来说，它更省事。

对开发者来说，它也展示了一种我很喜欢的产品思路：从一个小而具体的高频场景切入，把体验打磨到足够顺手。

如果后续你准备把这篇文章同步到掘金、知乎或项目主页，我也建议再补两样内容：

• 一组亮色 / 暗色界面截图
• 项目地址和下载方式

这样转化会更完整，文章的传播效果也会更好。

Github: https://github.com/yelog/calendar-pro

基于 T480s (ubuntu xits ) 实际部署经验，包含完整配置和原理图解

📋 本文使用的资源示例

为了阅读流畅，本文统一使用以下示例资源，实际使用时替换成你自己的：

一、什么是 Tailscale？

核心概念

Tailscale 是一个基于 WireGuard 的组网工具，让分散在世界各地的设备看起来像在同一个局域网里。

解决的问题

架构原理（使用官方 DERP）

sequenceDiagram    participant Phone as 📱 手机 (外地)    participant T480s as 🖥️ T480s (家里)    participant STUN as 🌐 STUN 服务器    participant DERP as 📡 官方 DERP (中继)    Note over Phone,T480s: 阶段 1: 尝试直连    Phone->>STUN: 查询公网 IP    T480s->>STUN: 查询公网 IP    Phone->>T480s: 尝试 P2P 直连 (UDP 41641)        alt P2P 成功        Phone->>T480s: 直接通信 ✅        Note over Phone,T480s: 延迟最低，速度最快    else P2P 失败 (NAT 类型严格)        Note over Phone,T480s: 阶段 2: 走 DERP 中继        Phone->>DERP: 加密流量        DERP->>T480s: 转发流量        T480s->>DERP: 响应流量        DERP->>Phone: 转发响应        Note over Phone,T480s: 延迟较高，但保证连通    end

二、快速开始

2.1 安装 Tailscale

Linux (T480s)

# 一键安装脚本curl -fsSL https://tailscale.com/install.sh | sh# 启动服务sudo systemctl enable --now tailscaled# 登录激活sudo tailscale up

输出会包含一个链接，类似：

https://login.tailscale.com/a/abc123xyz

macOS

brew install tailscalesudo tailscale up

Windows

下载安装包：https://tailscale.com/download

iOS/Android

应用商店搜索 “Tailscale” 安装即可。

2.2 验证安装

# 查看状态tailscale status# 查看分配的 IPtailscale ip# 测试连接到其他设备tailscale ping 100.87.234.56

2.3 控制台管理

登录 https://login.tailscale.com/admin 可以：

• 查看所有设备
• 管理访问权限
• 配置 DNS
• 设置子网路由

三、基础使用场景

3.1 远程访问 T480s 服务

假设 T480s 上运行了以下服务：

优势：无需在路由器配置端口转发，防火墙保持关闭。

3.2 访问整个家庭网络（Subnet Router）

配置步骤

1. 在 T480s 上宣告路由：

sudo tailscale up --advertise-routes=192.168.1.0/24

2. 在控制台批准路由：

   • 登录 https://login.tailscale.com
   • 找到 T480s 设备
   • 点击 “Edit routes”
   • 批准 192.168.1.0/24

3. 验证：

# 应该能 ping 通家里其他设备ping 192.168.1.100  # NASping 192.168.1.50   # 打印机

架构图

graph TB    subgraph "外部网络"        Phone[📱 手机
Tailscale IP: 100.98.76.54]    end        subgraph "Tailscale 虚拟网络"        T480s[🖥️ T480s
100.87.234.56
Subnet Router]    end        subgraph "家庭局域网 192.168.1.0/24"        NAS[NAS
192.168.1.100]        Printer[打印机
192.168.1.50]        AppleTV[Apple TV
192.168.1.200]    end        Phone -->|加密隧道 | T480s    T480s -->|路由转发 | NAS    T480s -->|路由转发 | Printer    T480s -->|路由转发 | AppleTV        style T480s fill:#4a9eff    style Phone fill:#4a9eff

3.3 Exit Node（出口节点）

把 T480s 设为出口节点，所有流量从家里出去：

配置步骤

1. 在 T480s 上宣告 Exit Node：

sudo tailscale up --advertise-exit-node

2. 在控制台批准：

   • 找到 T480s 设备
   • 点击 “Edit exit node”
   • 启用 “Use as exit node”

3. 在客户端启用：

# macOS/Linuxtailscale set --exit-node=100.87.234.56# 或在图形界面选择

使用场景

graph LRsubgraph Cafe["咖啡馆 (公共 WiFi)"]    Laptop["💻 笔记本"]    Attacker["⚠️ 恶意热点"]endsubgraph Tunnel["加密隧道"]    Tailscale["Tailscale 连接"]endsubgraph Home["家庭网络"]    T480s["🖥️ T480s\nExit Node"]    Internet["🌐 互联网"]endLaptop -->|所有流量加密| T480sT480s -->|正常访问| InternetAttacker -.->|无法窃听| Tailscalestyle T480s fill:#4caf50style Tailscale fill:#2196f3style Attacker fill:#f44336

四、访问控制（ACLs）

4.1 默认行为

默认情况下，同一个 tailnet 里的所有设备可以互相访问所有端口。

4.2 配置 ACL

在控制台 → Settings → Access Control 编辑：

{  "acls": [    {      "action": "accept",      "src": ["user:logan@example.com"],      "dst": ["*:*"]    },    {      "action": "accept",      "src": ["tag:server"],      "dst": ["tag:server:*"]    },    {      "action": "accept",      "src": ["tag:workstation"],      "dst": ["tag:server:22,80,443"]    }  ],    "tagOwners": {    "server": ["group:admins"],    "workstation": ["group:members"]  },    "groups": {    "group:admins": ["user:logan@example.com"],    "group:members": ["user:alice@example.com", "user:bob@example.com"]  }}

4.3 给设备打标签

# T480s 标记为 serversudo tailscale up --advertise-tags=tag:server# 笔记本标记为 workstationtailscale up --advertise-tags=tag:workstation

五、自建 DERP 服务器

5.1 为什么需要自建 DERP？

P2P 连接失败的情况

官方 DERP vs 自建 DERP

graph TB    subgraph "使用官方 DERP"        Phone1[📱 手机]        T480s1[🖥️ T480s]        OfficialDERP[📡 官方 DERP
新加坡/东京/...]                Phone1 -->|加密 | OfficialDERP        T480s1 -->|加密 | OfficialDERP        OfficialDERP -->|延迟 80-150ms| Phone1    end        subgraph "使用自建 DERP"        Phone2[📱 手机]        T480s2[🖥️ T480s]        PrivateDERP[📡 私有 DERP
香港 203.0.113.50]                Phone2 -->|加密 | PrivateDERP        T480s2 -->|加密 | PrivateDERP        PrivateDERP -->|延迟 30-50ms| Phone2    end        style OfficialDERP fill:#ff9800    style PrivateDERP fill:#4caf50

5.2 部署前准备

资源清单

DNS 配置

在域名服务商处添加记录：

A     derp.example.com    203.0.113.50AAAA  derp.example.com    2001:db8::1  (如有 IPv6)

5.3 安装步骤

Step 1: 安装 Tailscale

# 下载最新稳定版wget https://pkgs.tailscale.com/stable/tailscale_1.78.1_amd64.tgztar -xzf tailscale_*.tgz# 安装到系统目录sudo cp tailscale_1.78.1_amd64/tailscaled /usr/local/bin/sudo cp tailscale_1.78.1_amd64/tailscale /usr/local/bin/# 验证安装tailscaled --version

Step 2: 创建配置文件

# 创建配置目录sudo mkdir -p /var/lib/tailscale# 创建 DERP 配置文件sudo tee /var/lib/tailscale/derp.yaml << 'EOF'region_id: 999region_code: hkregion_name: "Hong Kong Private DERP"nodes:  - name: "999"    region_id: 999    host_name: "derp.example.com"    ipv4: "203.0.113.50"    ipv6: ""    stun_port: 3478    stun_test_ip: true    can_port_80: true    force_http: false    cert_name: "derp.example.com"    stun_only: false    no_stun: false    http_port: 80    https_port: 443EOF

Step 3: 创建 systemd 服务

sudo tee /etc/systemd/system/tailscale-derp.service << 'EOF'[Unit]Description=Tailscale DERP ServerAfter=network.target[Service]Type=notifyExecStart=/usr/local/bin/tailscaled --tun=userspace-networking --derp.server.enable=true --derp.server.region-config-file=/var/lib/tailscale/derp.yamlRestart=alwaysLimitNOFILE=1000000[Install]WantedBy=multi-user.targetEOF

Step 4: 启动服务

# 重载 systemdsudo systemctl daemon-reload# 启动 DERP 服务sudo systemctl enable --now tailscale-derp# 查看状态sudo systemctl status tailscale-derp# 查看日志sudo journalctl -u tailscale-derp -f

Step 5: 配置防火墙

# UFW (Ubuntu/Debian)sudo ufw allow 80/tcpsudo ufw allow 443/tcpsudo ufw allow 3478/udpsudo ufw allow 41641/udp# 或者 firewalld (CentOS/RHEL)sudo firewall-cmd --permanent --add-port=80/tcpsudo firewall-cmd --permanent --add-port=443/tcpsudo firewall-cmd --permanent --add-port=3478/udpsudo firewall-cmd --permanent --add-port=41641/udpsudo firewall-cmd --reload

5.4 注册到 Tailscale

DERP 服务器本身也需要加入 tailnet：

# 登录激活sudo tailscale up --hostname=derp-hk# 验证状态tailscale status

5.5 配置客户端使用私有 DERP

方法一：控制台配置（推荐）

1. 登录 https://login.tailscale.com
2. Settings → Custom DERP Servers
3. 添加你的 DERP 配置：

{  "Regions": {    "999": {      "RegionID": 999,      "RegionCode": "hk",      "RegionName": "Hong Kong Private",      "Nodes": [        {          "Name": "999",          "RegionID": 999,          "HostName": "derp.example.com",          "IPv4": "203.0.113.50",          "STUNPort": 3478,          "HTTPSPort": 443        }      ]    }  }}

方法二：客户端配置

# 指定 DERP 服务器sudo tailscale up --derp-server=https://derp.example.com# 或者使用 IPsudo tailscale up --derp-server=https://203.0.113.50

5.6 验证部署

# 查看网络诊断信息tailscale netcheck# 查看当前使用的 DERPtailscale debug derp# 测试延迟tailscale ping 100.87.234.56

预期输出

Report:  * UDP: true  * IPv4: yes, 203.0.113.50:41641  * IPv6: no  * MappingVariesByDestIP: false  * HairPinning: false  * Nearest DERP: Hong Kong Private  * DERP latency:    - 999 (hk): 35ms  ← 你的私有 DERP    - 6 (singapore): 85ms    - 5 (tokyo): 120ms

六、性能对比

6.1 延迟测试

从 T480s 测试到手机（外地）的延迟：

6.2 速度测试

# 在 T480s 上启动测试服务器iperf3 -s# 在客户端测试iperf3 -c 100.87.234.56

6.3 成本分析

七、故障排查

7.1 常见问题

问题 1：设备离线

# 检查服务状态sudo systemctl status tailscaled# 重启服务sudo systemctl restart tailscaled# 重新登录sudo tailscale logoutsudo tailscale up

问题 2：无法连接

# 检查防火墙sudo ufw status# 检查端口监听sudo netstat -tlnp | grep tailscaled# 查看日志sudo journalctl -u tailscaled -f

问题 3：DERP 不工作

# 检查 DERP 服务sudo systemctl status tailscale-derp# 检查证书sudo tailscale debug cert derp.example.com# 测试 HTTPS 端点curl -v https://derp.example.com/derp

7.2 诊断命令汇总

# 完整状态报告tailscale status --json# 网络诊断tailscale netcheck# P2P 连接测试tailscale ping <target-ip># 查看路由tailscale debug routes# 导出日志tailscale debug logs

八、最佳实践

8.1 安全建议

1. 启用双因素认证：在 Tailscale 控制台开启 2FA
2. 使用 ACL 限制访问：不要默认允许所有
3. 定期轮换密钥：tailscale logout && tailscale up
4. 监控异常登录：开启邮件通知

8.2 性能优化

1. 优先 P2P：确保 UDP 41641 端口开放
2. 就近 DERP：选择地理位置最近的中继
3. 启用 MagicDNS：减少 DNS 查询延迟
4. 使用压缩：对文本流量启用压缩

8.3 备份配置

# 备份 ACL 配置curl -H "Authorization: Bearer $TS_API_KEY" \  https://api.tailscale.com/api/v2/tailnet/example.com/acl > acl-backup.json# 备份设备列表tailscale status --json > devices-backup.json

附录 A：完整配置文件

A.1 T480s 启动脚本

#!/bin/bash# /usr/local/bin/tailscale-t480s.shTAILSCALE_IP="100.87.234.56"LAN_ROUTE="192.168.1.0/24"# 启动并配置sudo tailscale up \  --advertise-routes=$LAN_ROUTE \  --advertise-exit-node \  --advertise-tags=tag:server \  --hostname=t480s-home# 验证tailscale statustailscale ip

A.2 DERP 监控脚本

#!/bin/bash# /usr/local/bin/derp-monitor.shDERP_URL="https://derp.example.com/derp"LOG_FILE="/var/log/derp-health.log"check_derp() {  if curl -sf "$DERP_URL" > /dev/null; then    echo "$(date): DERP OK" >> $LOG_FILE  else    echo "$(date): DERP DOWN" >> $LOG_FILE    # 可以添加告警通知  fi}check_derp

A.3 自动化部署脚本

#!/bin/bash# deploy-derp.shset -eDERP_DOMAIN="derp.example.com"DERP_IP="203.0.113.50"REGION_ID="999"echo "=== Tailscale DERP 自动部署 ==="# 1. 安装 Tailscalecurl -fsSL https://tailscale.com/install.sh | sh# 2. 创建配置sudo mkdir -p /var/lib/tailscalesudo tee /var/lib/tailscale/derp.yaml << EOFregion_id: $REGION_IDregion_code: hkregion_name: "Hong Kong Private DERP"nodes:  - name: "$REGION_ID"    region_id: $REGION_ID    host_name: "$DERP_DOMAIN"    ipv4: "$DERP_IP"    stun_port: 3478    stun_test_ip: true    can_port_80: true    force_http: false    cert_name: "$DERP_DOMAIN"    stun_only: false    no_stun: false    http_port: 80    https_port: 443EOF# 3. 配置 systemdsudo systemctl daemon-reloadsudo systemctl enable --now tailscale-derp# 4. 激活sudo tailscale up --hostname=derp-hkecho "=== 部署完成 ==="echo "请记得在控制台配置 Custom DERP"

附录 B：参考资源

最后更新: 2026-03-04
适用版本: Tailscale 1.78+
测试环境: Ubuntu 22.04, T480s, 香港 VPS

深入分析跨平台 AI 会话同步的架构设计与实现细节

引言

在 AI 编程助手（如 Claude Code、Codex）日益普及的今天，一个常见需求是：如何让移动端实时查看和控制桌面端的 AI 会话？ 这就是 Happy 解决的问题。

Happy 是一个三部分组成的系统，能够精确捕获 Claude Code、Codex 等工具的输出，并通过服务端实时同步到移动端 App。本文将深入剖析其技术实现。

系统架构概览

Happy 采用经典的三层架构：

┌─────────────────────────────────────────────────────────────┐│                        happy-app                            ││                  (React Native 移动端)                       │└──────────────────────────┬──────────────────────────────────┘                           │ WebSocket                           ▼┌─────────────────────────────────────────────────────────────┐│                      happy-server                           ││              (Fastify + Socket.io + PostgreSQL)             │└──────────────────────────┬──────────────────────────────────┘                           │ WebSocket                           ▼┌─────────────────────────────────────────────────────────────┐│                        happy-cli                            ││              (Claude Code / Codex 包装器)                    │└─────────────────────────────────────────────────────────────┘

核心挑战：如何让 CLI 端精确捕获不同 AI 工具的输出，并实时推送到移动端？

一、捕获 Claude Code 输出：文件监听机制

Claude Code 会将会话历史写入本地 JSONL 文件：

~/.claude/projects/{projectPath}/{sessionId}.jsonl

Happy 的核心洞察是：与其尝试拦截进程输出，不如监听 Claude 自己维护的会话文件。

1.1 Session Scanner 实现

// packages/happy-cli/src/claude/utils/sessionScanner.tsexport async function createSessionScanner(opts: {    sessionId: string | null,    workingDirectory: string    onMessage: (message: RawJSONLines) => void}) {    const projectDir = getProjectPath(opts.workingDirectory);    const processedMessageKeys = new Set<string>();    // 使用 InvalidateSync 实现高效同步    const sync = new InvalidateSync(async () => {        const sessions = collectActiveSessions();        for (let session of sessions) {            const messages = await readSessionLog(projectDir, session);            for (let message of messages) {                const key = messageKey(message);                if (processedMessageKeys.has(key)) continue;                processedMessageKeys.add(key);                opts.onMessage(message);  // 回调发送新消息            }        }    });    // 文件变更监听 + 定期同步    const watcher = startFileWatcher(        join(projectDir, `${sessionId}.jsonl`),        () => sync.invalidate()  // 文件变化时立即触发    );    setInterval(() => sync.invalidate(), 3000);  // 兜底同步}

1.2 去重机制

由于文件监听可能触发多次，Happy 使用多重去重策略：

function messageKey(message: RawJSONLines): string {    if (message.type === 'user') return message.uuid;    if (message.type === 'assistant') return message.uuid;    if (message.type === 'summary') return `summary:${message.leafUuid}`;    return message.uuid;}

关键设计：每条消息都有唯一标识（UUID），确保同一条消息不会被重复处理。

二、捕获思考状态：自定义文件描述符

Claude Code 的”思考中”状态（显示用户正在等待响应）如何捕获？Happy 使用了一个巧妙的技巧：通过自定义文件描述符与启动器脚本通信。

2.1 启动器脚本拦截

// packages/happy-cli/src/claude/claudeLocal.tsconst child = spawn(    'node',    [claudeCliPath, ...args],    {        // fd 0: stdin, fd 1: stdout, fd 2: stderr, fd 3: 自定义通信        stdio: ['inherit', 'inherit', 'inherit', 'pipe'],    });// 监听 fd 3 获取思考状态if (child.stdio[3]) {    const rl = createInterface({        input: child.stdio[3],        crlfDelay: Infinity    });    const activeFetches = new Map();    rl.on('line', (line) => {        const message = JSON.parse(line);        switch (message.type) {            case 'fetch-start':                activeFetches.set(message.id, {                    hostname: message.hostname,                    path: message.path                });                updateThinking(true);  // 开始思考                break;            case 'fetch-end':                activeFetches.delete(message.id);                if (activeFetches.size === 0) {                    updateThinking(false);  // 结束思考                }                break;        }    });}

原理：启动器脚本拦截 Claude 的 HTTP 请求，通过 fd 3 发送 fetch-start/fetch-end 事件，Happy 据此判断思考状态。

三、统一多代理协议：ACP (Agent Communication Protocol)

Claude Code 使用文件记录，但 Codex、Gemini 等其他代理呢？Happy 实现了 ACP 后端，通过官方 SDK 标准化通信。

3.1 ACP 连接建立

// packages/happy-cli/src/agent/acp/AcpBackend.tsimport {    ClientSideConnection,    ndJsonStream,} from '@agentclientprotocol/sdk';this.process = spawn(this.options.command, args, {    cwd: this.options.cwd,    stdio: ['pipe', 'pipe', 'pipe'],  // stdin, stdout, stderr});// Node Stream → Web Streamconst streams = nodeToWebStreams(    this.process.stdin,    this.process.stdout);const stream = ndJsonStream(streams.writable, streams.readable);// 创建 JSON-RPC 连接this.connection = new ClientSideConnection(    (agent: Agent) => client,    stream);

3.2 统一消息格式

不同代理的消息被转换为统一的 ACP 格式：

export type ACPMessageData =    | { type: 'message'; message: string }    | { type: 'reasoning'; message: string }    | { type: 'thinking'; text: string }    | { type: 'tool-call'; callId: string; name: string; input: unknown }    | { type: 'tool-result'; callId: string; output: unknown }    | { type: 'file-edit'; filePath: string; diff?: string }    | { type: 'permission-request'; permissionId: string; toolName: string };

四、会话协议映射：从原始消息到结构化信封

捕获原始消息后，Happy 使用 Session Protocol Mapper 将其转换为结构化的 Session Envelope。

4.1 协议映射核心逻辑

// packages/happy-cli/src/claude/utils/sessionProtocolMapper.tsexport function mapClaudeLogMessageToSessionEnvelopes(    message: RawJSONLines,    state: ClaudeSessionProtocolState): { envelopes: SessionEnvelope[]; currentTurnId: string | null } {    const envelopes: SessionEnvelope[] = [];    if (message.type === 'assistant') {        const turnId = ensureTurn(state, envelopes);        const blocks = message.message.content || [];        for (const block of blocks) {            // 文本内容            if (block.type === 'text') {                envelopes.push(createEnvelope('agent', {                    t: 'text',                    text: block.text                }, { turn: turnId }));            }            // 思考过程            if (block.type === 'thinking') {                envelopes.push(createEnvelope('agent', {                    t: 'text',                    text: block.thinking,                    thinking: true                }, { turn: turnId }));            }            // 工具调用开始            if (block.type === 'tool_use') {                envelopes.push(createEnvelope('agent', {                    t: 'tool-call-start',                    call: block.id,                    name: block.name,                    title: toolTitle(block.name, block.input),                    args: block.input                }, { turn: turnId }));            }        }    }    if (message.type === 'user') {        // 工具调用结束（通过 tool_result）        for (const block of message.message.content) {            if (block.type === 'tool_result') {                envelopes.push(createEnvelope('agent', {                    t: 'tool-call-end',                    call: block.tool_use_id                }, { turn: turnId }));            }        }        // 用户消息        if (typeof message.message.content === 'string') {            envelopes.push(createEnvelope('user', {                t: 'text',                text: message.message.content            }));        }    }    return { envelopes, currentTurnId: state.currentTurnId };}

4.2 子代理（Subagent）追踪

Claude 的 Task 工具会创建子对话，Happy 需要追踪这些”sidechain”：

// 当检测到 Task 工具调用时if (block.name === 'Task') {    const prompt = pickTaskPrompt(block.input);    const subagentId = ensureSessionSubagentId(state, block.id);    // 缓冲后续消息，直到子代理启动    queueTaskPromptSubagent(state, prompt, block.id);    // 消费缓冲的消息    const buffered = consumeBufferedSubagentMessages(state, block.id);    for (const msg of buffered) {        const replay = mapClaudeLogMessageToSessionEnvelopes(msg, state);        envelopes.push(...replay.envelopes);    }}

五、服务端消息路由与广播

Happy 服务端使用 Event Router 模式管理消息分发。

5.1 三种连接类型

// packages/happy-server/sources/app/api/socket.tstype ClientConnection =    // CLI 代理连接（按会话隔离）    | { connectionType: 'session-scoped'; sessionId: string; ... }    // 移动应用连接（接收所有会话更新）    | { connectionType: 'user-scoped'; ... }    // 守护进程连接（报告机器状态）    | { connectionType: 'machine-scoped'; machineId: string; ... }

5.2 消息处理流程

// packages/happy-server/sources/app/api/socket/sessionUpdateHandler.tssocket.on('message', async (data) => {    const { sid, message, localId } = data;    // 1. 验证并存储到数据库    const msg = await db.sessionMessage.create({        data: {            sessionId: sid,            seq: await allocateSessionSeq(sid),            content: { t: 'encrypted', c: message },            localId  // 用于去重        }    });    // 2. 广播给所有订阅者    eventRouter.emitUpdate({        userId,        payload: buildNewMessageUpdate(msg, sid, updSeq, key),        recipientFilter: {            type: 'all-interested-in-session',            sessionId: sid        },        skipSenderConnection: connection  // 不回发给发送者    });});

5.3 持久化 vs 临时消息

class EventRouter {    // 持久化事件（存储到 DB，可回放）    emitUpdate({ userId, payload, recipientFilter }): void;    // 临时事件（仅实时推送，如思考状态）    emitEphemeral({ userId, payload, recipientFilter }): void;}

六、精确传递等待操作：消息队列与权限处理

AI 工具常需要用户确认（如”是否允许编辑文件？”），Happy 需要延迟发送工具调用消息，直到权限响应到达。

6.1 出站消息队列

// packages/happy-cli/src/claude/utils/OutgoingMessageQueue.tsexport class OutgoingMessageQueue {    private queue: Array<{        message: RawJSONLines;        delay?: number;        toolCallIds?: string[];  // 关联的工具调用    }> = [];    // 普通消息立即发送    enqueue(message: RawJSONLines) {        this.sender(message);    }    // 工具调用消息延迟发送    enqueueWithDelay(        message: RawJSONLines,        delayMs: number,        toolCallIds: string[]    ) {        this.queue.push({ message, delay, toolCallIds });    }    // 权限响应到达后释放    releaseToolCall(toolCallId: string) {        for (let i = 0; i < this.queue.length; i++) {            const item = this.queue[i];            if (item.toolCallIds?.includes(toolCallId)) {                this.sender(item.message);                this.queue.splice(i, 1);            }        }    }}

6.2 权限处理集成

// packages/happy-cli/src/claude/claudeRemoteLauncher.tsconst messageQueue = new OutgoingMessageQueue(    (msg) => session.client.sendClaudeSessionMessage(msg));// 工具调用时延迟发送if (message.type === 'assistant') {    const toolCallIds = extractToolCallIds(message);    if (toolCallIds.length > 0 && !isSidechain) {        messageQueue.enqueue(logMessage, {            delay: 250,            toolCallIds        });    }}// 工具结果到达时释放if (message.type === 'user') {    for (const block of message.message.content) {        if (block.type === 'tool_result') {            messageQueue.releaseToolCall(block.tool_use_id);        }    }}

七、端到端加密

所有消息都经过 TweetNaCl/libsodium 端到端加密。

7.1 CLI 端加密发送

// packages/happy-cli/src/api/apiSession.tsprivate enqueueMessage(content: unknown) {    const encrypted = encodeBase64(        encrypt(this.encryptionKey, this.encryptionVariant, content)    );    this.pendingOutbox.push({        content: encrypted,        localId: randomUUID()  // 用于去重和确认    });    this.sendSync.invalidate();  // 触发发送}

7.2 App 端解密接收

// packages/happy-app/sources/sync/sync.tsconst body = decrypt(    sessionKey,    encryptionVariant,    decodeBase64(message.content.c));this.routeIncomingMessage(body);

安全特性：

• 服务端只存储加密数据，无法读取内容
• 每个会话使用独立的加密密钥
• 支持密钥轮换（legacy → dataKey）

八、App 端状态重建

移动端使用 Reducer 模式从消息流重建会话状态。

8.1 Reducer 核心逻辑

// packages/happy-app/sources/sync/reducer/reducer.tsexport function messageReducer(    state: ReducerState,    messages: Message[]): ReducerState {    // Phase 0: 处理 AgentState 中的权限请求    for (const permission of agentState.permissions) {        state = processPermissionRequest(state, permission);    }    // Phase 1: 创建或更新消息    for (const message of messages) {        switch (message.role) {            case 'user':                state = addUserMessage(state, message);                break;            case 'agent':                state = addAgentMessage(state, message);                break;            case 'session':                state = addSessionEvent(state, message);                break;        }    }    // Phase 2: 清理过期权限占位符    state = cleanupStalePermissions(state);    return state;}

8.2 消息去重策略

// 多层级去重if (message.localId && state.seenLocalIds.has(message.localId)) {    continue;  // 跳过重复的用户消息}if (message.id && state.seenMessageIds.has(message.id)) {    continue;  // 跳过已处理的消息}if (permissionId && state.seenPermissionIds.has(permissionId)) {    continue;  // 跳过重复的权限请求}

九、关键技术洞察

9.1 为什么选择文件监听而非进程拦截？

Happy 选择文件监听，因为 Claude Code 本身就需要持久化会话历史，监听文件既可靠又避免了 PTY 的复杂性。

9.2 如何处理会话恢复？

Claude Code 支持 --resume 和 --continue 标志恢复会话，此时会创建新的会话文件。Happy 的 Session Scanner 会：

1. 检测到新会话 ID
2. 启动对新文件的监听
3. 保留旧文件的监听（因为某些更新可能仍写入原文件）
4. 使用 processedMessageKeys 确保跨文件去重

9.3 InvalidateSync：高性能同步原语

Happy 大量使用 InvalidateSync 类实现高效的批量同步：

class InvalidateSync {    private invalid = false;    private running = false;    invalidate() {        this.invalid = true;        if (!this.running) this.run();    }    private async run() {        this.running = true;        while (this.invalid) {            this.invalid = false;            await this.syncFunction();  // 执行同步        }        this.running = false;    }}

优势：快速连续调用 invalidate() 只会触发一次同步，避免资源浪费。

十、总结

Happy 的架构设计体现了以下核心原则：

1. 适配而非改造：利用 Claude Code 已有的会话文件机制，而非尝试拦截进程 I/O
2. 协议抽象：通过 ACP 和 Session Envelope 统一不同 AI 工具的输出格式
3. 延迟一致性：使用消息队列和权限等待机制，确保工具调用的顺序正确
4. 端到端安全：所有数据在客户端加密，服务端仅作为中继
5. 最终一致性：移动端通过 Reducer 从消息流重建状态，支持离线后同步

这种架构使 Happy 能够可靠地同步复杂的 AI 会话状态，包括思考过程、工具调用、权限确认等细节，为用户提供无缝的跨端体验。

参考链接

• Happy GitHub 仓库
• Claude Code 官方文档
• Agent Communication Protocol
• TweetNaCl.js 加密库

本文基于 Happy 开源项目代码分析撰写，代码版本截至 2025 年 3 月。

做中后台项目，最容易“耗时间但不出成果”的，不是业务功能，而是重复的基础建设：登录鉴权、权限控制、菜单路由、表格表单、主题切换、国际化、Mock 联调。

antdv-next-admin 就是为了解决这个问题而做的一个现代化脚手架：让你少花时间搭地基，把精力集中到真正有价值的业务实现上。

• GitHub：yelog/antdv-next-admin
• 在线体验：Demo
• 默认账号：admin / 123456、user / 123456

这个脚手架到底能帮你省什么时间？

1. 一套成熟的技术栈，开箱即用

• Vue 3.4 + TypeScript 5 + Vite 5
• Pinia + Vue Router 4
• antdv-next 组件体系
• Axios、vue-i18n、ECharts 等常用能力全接好

2. 权限体系不是“样子货”

• RBAC 权限模型
• 动态路由与菜单控制
• 按钮级权限和指令权限
• 角色/用户/权限等系统管理页面示例

3. 中后台常见体验，基本都内置了

• 多标签页（KeepAlive 缓存）
• 全局搜索（Ctrl/Cmd + K）
• 亮色/暗色/跟随系统
• 垂直/水平布局切换
• 中英文国际化切换

4. 不只是“壳子”，还有可复用的业务能力

• ProTable（查询、分页、列配置、值类型渲染）
• ProForm（配置化表单、验证、布局）
• ProModal（拖拽、全屏、表单集成）
• 富文本编辑器、验证码组件、图标选择器、水印组件等

5. 联调效率很高

• 开发环境支持完整 Mock
• 常见 CRUD 接口都能直接跑
• 前后端可并行开发，减少等待

5 分钟上手

git clone https://github.com/yelog/antdv-next-admin.gitcd antdv-next-adminnpm installnpm run dev

打开 http://localhost:3000 即可体验。

常用命令：

npm run type-checknpm run buildnpm run build:checknpm run preview

适合哪些团队和项目？

• 想快速启动中后台项目的个人开发者
• 需要统一工程规范的中小团队
• 希望沉淀“可复用管理端底座”的业务线
• 需要权限、主题、多语言、Mock 一次性配齐的项目

为什么我会推荐它？

我更看重脚手架的两个指标：

• 能不能快速进入业务开发，而不是陷入“搭架子”
• 能不能在后续迭代中保持可维护、可扩展

antdv-next-admin 在这两点上都做得比较扎实：基础能力全，目录和职责清晰，示例场景覆盖也比较完整，适合作为长期演进的中后台基座。

最后

如果你正在做 Vue 3 中后台，这个项目值得试一下：

• 仓库地址：https://github.com/yelog/antdv-next-admin

如果这个项目帮你省下了时间，欢迎点一个 Star。
你的每一颗 Star，都是项目持续迭代最直接的动力。谢谢支持。

如果你想为 JetBrains IDE（IntelliJ IDEA、WebStorm、Rider 等）写一个插件，最省心的起点就是官方模板 intellij-platform-plugin-template。本文以开源插件 I18n Toolkit 为例，结合真实代码，讲清楚从克隆模板、跑起来，到实现核心功能的完整路径。

示例仓库：I18n Toolkit（开源）
https://github.com/yelog/i18n-toolkit

模板仓库：IntelliJ Platform Plugin Template
https://github.com/JetBrains/intellij-platform-plugin-template

一、准备环境

在插件开发中，IDE 版本、JDK 版本和 Gradle 版本强相关。I18n Toolkit 的约束来自项目配置：

• JDK：21
• Gradle：9.2.1（必须使用 ./gradlew）
• IntelliJ Platform：2025.2.5

建议：始终使用 Gradle Wrapper，避免本机 Gradle 版本与项目不一致。

二、从模板开始：克隆 + 初始化

1. 克隆模板

git clone https://github.com/JetBrains/intellij-platform-plugin-templatecd intellij-platform-plugin-template

2. 初始化项目信息

你需要修改几个关键文件：

• settings.gradle.kts：项目名称
• gradle.properties：插件名、版本、ID、平台版本等
• src/main/resources/META-INF/plugin.xml：插件 ID、名称、描述、扩展点
• README.md：保留 <!-- Plugin description --> 标记区域

模板自带脚本也能一键替换变量，但手工改更直观。

3. 启动开发 IDE

./gradlew runIde

此命令会启动一个 IDE 沙箱环境，插件会自动加载在这个测试 IDE 中。

三、项目结构速览

插件主要结构是固定的：

src/├── main/│   ├── kotlin/…                 # Kotlin 源码│   └── resources/│       └── META-INF/plugin.xml  # 插件描述文件└── test/                         # 测试

I18n Toolkit 的代码划分更细，按功能分包：

• service/：缓存与核心数据
• scanner/：翻译文件扫描
• parser/：多格式解析
• completion/ / annotator/ / reference/：补全、诊断、导航
• searcheverywhere/ / statusbar/：搜索与状态栏

这样的结构非常适合插件类项目：入口清晰、扩展点映射明确。

四、核心功能如何实现：I18n Toolkit 代码拆解

下面从核心功能视角，拆解这款插件的实现方式，并补充关键类与关键流程的实现细节，方便你对 IntelliJ 平台 API 的落点有更清晰的映射。

0. 启动与更新链路：ProjectActivity + VFS 监听

插件运行期的“数据生命周期”由两条链路保证稳定：

• 启动初始化：I18nProjectActivity 实现 ProjectActivity，在项目打开时初始化缓存；同时替换 QuickJavaDoc Action，确保 i18n key 悬停/快捷文档体验一致。
• 动态加载：I18nDynamicPluginListener 支持插件动态加载/卸载，无需重启 IDE；加载时对所有已打开项目初始化缓存并刷新 UI。
• VFS 变更监听：I18nFileListener 基于 AsyncFileListener 监听创建/修改/删除/移动/复制事件，仅处理 i18n 翻译文件，触发 I18nCacheService.invalidateFile() → refresh() → I18nUiRefresher.refresh() 的刷新链路。

示例代码（启动与监听）：

class I18nProjectActivity : ProjectActivity {    override suspend fun execute(project: Project) {        I18nCacheService.getInstance(project).initialize()        installQuickDocOverride()    }}class I18nFileListener : AsyncFileListener {    override fun prepareChange(events: MutableList<out VFileEvent>): AsyncFileListener.ChangeApplier? {        val relevantEvents = events.filter { e ->            val file = e.file ?: return@filter false            e is VFileContentChangeEvent || e is VFileCreateEvent ||                e is VFileDeleteEvent || e is VFileMoveEvent || e is VFileCopyEvent        }.filter { e -> e.file?.let(I18nDirectoryScanner::isTranslationFile) == true }        if (relevantEvents.isEmpty()) return null        return object : AsyncFileListener.ChangeApplier {            override fun afterVfsChange() {                ProjectManager.getInstance().openProjects.forEach { project ->                    relevantEvents.forEach { it.file?.let { f ->                        I18nCacheService.getInstance(project).invalidateFile(f)                    } }                }            }        }    }}

1. 统一缓存中心：I18nCacheService

插件需要频繁获取翻译数据，缓存服务是第一优先级：

• 项目启动时初始化
• 扫描目录 → 解析文件 → 生成 TranslationData
• 提供 API：按 key 查找、按语言过滤、查找所有翻译
• 文件变更时刷新缓存并刷新 UI

这让补全、导航、搜索等功能都能基于同一份数据源。

实现细节补充：

• initialize() 用 initialized 标记避免重复初始化，实际核心逻辑在 refresh()。
• refresh() 包裹在 ReadAction.compute 中，确保 PSI 读取安全；同时维护 keyToFiles 方便后续 quick fix 快速定位。
• TranslationData 内部结构是 key -> locale -> TranslationEntry，并提供 getTranslation() 默认回退策略（zh_CN → zh → en → 首个可用值）。
• getTranslationStrict() 基于 I18nLocaleUtils.buildLocaleCandidates() 进行严格 locale 匹配，不做全局回退。

示例代码（缓存刷新核心流程）：

fun refresh() {    val translationFiles = I18nDirectoryScanner.scanForTranslationFiles(project)    keyToFiles.clear()    val data = ReadAction.compute<TranslationData, RuntimeException> {        val result = TranslationData(I18nFrameworkDetector.detect(project))        translationFiles.forEach { file ->            val pathInfo = I18nKeyGenerator.parseFilePath(file, project.basePath ?: "")            val entries = TranslationFileParser.parse(project, file, pathInfo.keyPrefix, pathInfo.locale)            entries.forEach { (key, entry) ->                result.addEntry(entry)                keyToFiles.getOrPut(key) { mutableSetOf() }.add(entry)            }        }        result    }    translationData = data}

2. 目录扫描：I18nDirectoryScanner

扫描逻辑有两个重点：

• 只扫描标准 i18n 目录：locales / i18n / messages / lang 等
• 排除目录：node_modules、dist、build、隐藏目录

这样可以有效避免无关文件的解析成本。

实现细节补充：

• I18nDirectories.STANDARD_DIRS 维护标准目录白名单；扫描使用 VfsUtil.iterateChildrenRecursively。
• 目录过滤逻辑同时跳过隐藏目录（以 . 开头）以及 node_modules、dist、build。
• 识别文件类型来自 TranslationFileType，支持 json/yaml/yml/toml/js/mjs/cjs/ts/mts/cts/properties。

示例代码（扫描与类型识别）：

object I18nDirectoryScanner {    private val excludedDirNames = setOf("node_modules", "dist", "build")    fun scanForTranslationFiles(project: Project): List<VirtualFile> {        val baseDir = project.guessProjectDir() ?: return emptyList()        val translationFiles = mutableListOf<VirtualFile>()        findI18nDirectories(baseDir).forEach { dir ->            VfsUtil.iterateChildrenRecursively(dir, ::shouldTraverse) { file ->                val ext = file.extension?.lowercase()                if (!file.isDirectory && ext in TranslationFileType.allExtensions()) {                    translationFiles.add(file)                }                true            }        }        return translationFiles    }}

3. 多格式解析：TranslationFileParser

插件支持：

• JSON / YAML / TOML
• Properties
• JS / TS（对象字面量）

解析方式是“尽可能利用 PSI”：

• JSON / JS / TS：走 PSI 结构，能拿到精确 offset
• YAML / TOML：用第三方 parser，offset 为估算值

这解释了为什么 YAML / TOML 的定位可能稍有偏差，但实际效果可接受。

实现细节补充：

• JSON：用 JsonFile / JsonObject 递归解析，TranslationEntry.offset 精确定位到 key 的 textOffset。
• JS/TS：解析 export default、变量声明与表达式语句，提取对象字面量中的字符串值。
• YAML/TOML：使用 SnakeYAML / toml4j 解析结构，offset 通过累加长度估算。
• Properties：按行扫描 key=value，过滤注释行并记录行内 offset。

示例代码（JSON / JS/TS 解析片段）：

private fun parseJsonObject(obj: JsonObject, prefix: String, locale: String, file: VirtualFile, out: MutableMap<String, TranslationEntry>) {    obj.propertyList.forEach { prop ->        val key = prop.name        val fullKey = if (prefix.isEmpty()) key else "$prefix$key"        when (val value = prop.value) {            is JsonStringLiteral -> out[fullKey] = TranslationEntry(fullKey, value.value, locale, file, prop.nameElement.textOffset, prop.nameElement.textLength)            is JsonObject -> parseJsonObject(value, "$fullKey.", locale, file, out)        }    }}private fun parseJsExpression(expr: JSExpression?, prefix: String, locale: String, file: VirtualFile, out: MutableMap<String, TranslationEntry>) {    if (expr is JSObjectLiteralExpression) {        expr.properties.forEach { prop ->            val key = prop.name ?: return@forEach            val fullKey = if (prefix.isEmpty()) key else "$prefix$key"            val value = prop.value as? JSLiteralExpression            value?.stringValue?.let { out[fullKey] = TranslationEntry(fullKey, it, locale, file, prop.textOffset, key.length) }        }    }}

4. Key 前缀生成：I18nKeyGenerator

i18n 目录结构通常体现模块或业务层级，例如：

src/views/mes/locales/lang/zh_CN/order.ts

插件通过路径自动推导：

• locale：zh_CN
• keyPrefix：mes.order.

这样在代码里写 t('create')，也能正确定位到 mes.order.create。

实现细节补充：

• parseFilePath() 区分 views 模式 与 标准模式：views 模式会把业务单元与模块组合为前缀。
• 对 message/messages 目录进行特殊处理：避免把它作为 module 前缀（常见于 Spring Message）。
• 当路径里找不到 locale 时，会回退到文件名判断 locale。

示例代码（路径解析与前缀生成）：

fun parseFilePath(file: VirtualFile, projectBasePath: String): PathInfo {    val relativePath = file.path.removePrefix(projectBasePath).removePrefix("/")    val parts = relativePath.split("/")    val fileName = file.nameWithoutExtension    return when {        isViewsLocalePattern(parts) -> parseViewsLocalePattern(parts, fileName)        isStandardLocalePattern(parts) -> parseStandardLocalePattern(parts, fileName)        else -> PathInfo(locale = extractLocale(parts, fileName), module = null, businessUnit = null, keyPrefix = "")    }}

5. 框架检测：I18nFrameworkDetector

插件会自动识别 i18n 框架：

• vue-i18n
• react-i18next
• next-intl
• @nuxtjs/i18n
• react-intl
• Spring Message（检测 pom.xml 或 build.gradle）

如果识别成功，可自动决定语义规则和函数习惯，减少配置。

实现细节补充：

• Spring 检测：直接读取 pom.xml / build.gradle(.kts) 文本，判断关键依赖字符串。
• JS/TS 检测：通过 PSI 解析 package.json，遍历 dependencies / devDependencies / peerDependencies。

示例代码（依赖检测）：

private fun parsePackageJson(project: Project, file: VirtualFile): I18nFramework {    val psiFile = PsiManager.getInstance(project).findFile(file) as? JsonFile ?: return I18nFramework.UNKNOWN    val rootObject = psiFile.topLevelValue as? JsonObject ?: return I18nFramework.UNKNOWN    val deps = mutableSetOf<String>()    listOf("dependencies", "devDependencies", "peerDependencies").forEach { depType ->        (rootObject.findProperty(depType)?.value as? JsonObject)?.propertyList?.forEach { deps.add(it.name) }    }    return I18N_PACKAGES.firstOrNull { deps.contains(it) }?.let(I18nFramework::fromPackageName) ?: I18nFramework.UNKNOWN}

6. Inlay 提示：I18nInlayHintsProvider

这类体验是插件“可感知度”最高的部分：

• 在 t('key') 后面显示翻译内容
• 支持 Vue template 的注入代码
• 缓存已处理位置，避免重复插入
• 可设置为“仅显示翻译”或“key + 翻译”模式

这套逻辑结合了 PSI + Inlay API + InjectedLanguageManager。

实现细节补充：

• globalProcessedHints 以 filePath:modStamp:offset 为 key 去重，避免多语言实例重复插入提示。
• Vue 模板插值中的 {{ t('key') }} 使用 InjectedLanguageManager 处理 injected PSI。
• 先用 I18nNamespaceResolver.getFullKey() 拼接命名空间，再做翻译匹配。
• 若显示语言存在但缺失该 key，会显示 Missing translation for 'locale' 的提示文案。

示例代码（Inlay 去重与渲染）：

val hintKey = "$filePath:$modStamp:$offset"if (globalProcessedHints.putIfAbsent(hintKey, true) != null) returnval presentation = factory.roundWithBackground(    factory.smallText(" → $translationText"))sink.addInlineElement(offset, true, presentation, false)

7. 缺失 Key 诊断 + 快速修复

缺失 key 会被标红，并提供一键创建：

• I18nKeyAnnotator 负责提示错误
• CreateI18nKeyQuickFix 根据 key 自动选择目标文件
• 支持 JSON / JS / TS / Properties 直接写入

尤其是“根据 key 前缀和兄弟 key 自动选择文件”的逻辑，极大提升了体验。

实现细节补充：

• I18nKeyAnnotator 使用 I18nFunctionResolver 获取可配置的 i18n 函数名（默认 t/$t/i18n/translate/...）。
• 只高亮字符串内容本身（排除引号），并挂载 CreateI18nKeyQuickFix。
• CreateI18nKeyQuickFix 先尝试 最长前缀匹配，失败后再用 兄弟 key 反推文件。
• 实际写入通过 WriteCommandAction + PSI 操作完成，写入后用 OpenFileDescriptor 定位并把光标放在引号之间。

示例代码（缺失 Key 高亮范围）：

val elementRange = literalExpr.textRangeval keyStartOffset = elementRange.startOffset + 1val keyEndOffset = keyStartOffset + partialKey.lengthval highlightRange = TextRange(keyStartOffset, keyEndOffset)holder.newAnnotation(HighlightSeverity.ERROR, "Unresolved i18n key: '$fullKey'")    .range(highlightRange)    .textAttributes(DefaultLanguageHighlighterColors.INVALID_STRING_ESCAPE)    .withFix(CreateI18nKeyQuickFix(fullKey))    .create()

8. Search Everywhere 集成

插件在 Search Everywhere 中新增 I18n 标签：

• key 和翻译都支持模糊搜索
• Enter：复制 key
• Ctrl+Enter：跳转到翻译文件
• 结果排序有评分策略（前缀匹配 > 包含匹配）

这让翻译搜索真正成为“IDE 级别”的能力。

实现细节补充：

• 搜索结果以 “key + 多语言翻译” 合并为一个条目。
• 评分策略在 calculateMatchScore() 中实现：前缀匹配最高，其次是包含匹配与 value 匹配。
• Enter 复制 key，Ctrl+Enter 直接打开翻译文件，行为明确且稳定。

示例代码（搜索评分片段）：

private fun calculateMatchScore(key: String, entries: Collection<TranslationEntry>, tokens: List<String>, compactQuery: String): Int {    val keyLower = key.lowercase()    val keyMatchesAll = tokens.isNotEmpty() && tokens.all { keyLower.contains(it) }    var score = 0    if (keyMatchesAll) score += 100    if (tokens.isNotEmpty() && keyLower.startsWith(tokens.first())) score += 1000    return score}

9. 状态栏语言切换 + 翻译编辑

• 状态栏小部件支持显示与切换当前语言
• 翻译弹窗支持多语言编辑，并可实时写入文件

这些 UI 功能用到 StatusBarWidget 和 JBPopupFactory，是典型插件 UI 技术。

实现细节补充：

• I18nStatusBarWidget 通过 ListPopup 提供语言列表与“Go to Settings”入口，切换语言后触发 UI refresh。
• I18nTranslationEditPopup 使用 Alarm 做 300ms 防抖，编辑后实时写回文件。
• I18nTranslationWriter 根据文件类型分别替换 JSON/JS/Properties 内容，并处理引号与转义。

示例代码（状态栏切换与写回）：

val step = object : BaseListPopupStep<PopupItem>("I18n Toolkit", allItems) {    override fun onChosen(selectedValue: PopupItem?, finalChoice: Boolean): PopupStep<*>? {        if (selectedValue is PopupItem.LocaleItem) {            settings.state.displayLocale = selectedValue.locale            I18nUiRefresher.refresh(project)        }        return super.onChosen(selectedValue, finalChoice)    }}WriteCommandAction.runWriteCommandAction(project, "Update i18n Translation", null, Runnable {    val document = FileDocumentManager.getInstance().getDocument(entry.file) ?: return@Runnable    document.replaceString(valueStart, lineEnd, newValue)})

五、插件功能如何挂载：plugin.xml 扩展点

所有功能都需要通过 plugin.xml 注册：

• projectService：缓存服务
• inlayProvider：内联提示
• annotator：错误提示
• completion.contributor：补全
• psi.referenceContributor：导航
• searchEverywhereContributor：搜索
• statusBarWidgetFactory：状态栏

这里是 IntelliJ 平台插件开发的核心：

一切功能都是“扩展点 + 实现类”的组合。

六、构建、测试与发布

常用命令：

./gradlew runIde          # 本地运行./gradlew buildPlugin     # 构建分发包./gradlew test            # 运行测试./gradlew check           # 测试 + 覆盖率./gradlew verifyPlugin    # 插件兼容性验证

如果要发布到 JetBrains Marketplace，补齐签名配置即可。

七、总结：从模板到可用插件的关键路径

模板给你骨架，真正的价值来自你的“功能设计”与“用户体验”。

I18n Toolkit 的实现告诉我们：

• 缓存与解析是插件性能的核心
• IntelliJ 扩展点体系决定功能边界
• 体验要足够“IDE 级”，才能真正提升开发效率

如果你也想写一个生产力插件，不妨从这个开源项目入手，读一遍核心类，跑一遍 runIde，就能快速进入实战状态。

如果你对该插件感兴趣或想参与贡献：

• 模板项目：https://github.com/JetBrains/intellij-platform-plugin-template
• 插件仓库：https://github.com/yelog/i18n-toolkit

祝你玩得开心，写出属于自己的 JetBrains 插件！

最近在写一个 macOS 平台的快速翻译软件 SnapTra Translator，核心体验是“按住快捷键，把鼠标悬停在文字上就能看到翻译气泡”。这背后离不开 OCR：先把屏幕上一小块区域截下来，再用 Vision 把文字识别出来，最后根据光标位置选中最接近的单词。

这篇文章把我在项目里的实践整理成一份“可落地”的 macOS OCR 指南：既讲思路，也给关键代码和避坑点。

你能得到什么

• 一个 macOS OCR 的完整链路：截屏 → 识别 → 选词 → 调试
• 可直接复用的关键代码段（Vision + ScreenCaptureKit）
• 真实项目里的设计取舍与坑位

为什么选择 Vision + ScreenCaptureKit

在 macOS 上做 OCR，本质是：

1. 拿到屏幕图像（需要屏幕录制权限）
2. 把图像喂给 Vision 的文本识别
3. 根据识别结果的 bounding box 做交互（比如“光标附近取词”）

Vision 是系统级 OCR，稳定、轻量、无需额外模型；ScreenCaptureKit 是更现代的截屏方式，能更好控制采样区域与性能。

SnapTra 的 OCR 链路概览

我在 SnapTra Translator 里采用了“光标周围小范围截屏”的策略：

• 每次翻译只截取鼠标附近一块固定大小区域（默认 520x140）
• OCR 结果返回每行文本，再进一步切成更细的单词 token
• 将 token 的 bounding box 与鼠标位置比对，选中最接近的词

这套链路让它能做到“点哪翻哪”，而不是整屏 OCR。

关键实现：截屏

下面是项目里截取光标周围画面的核心逻辑，使用 ScreenCaptureKit 获取一张 CGImage：

final class ScreenCaptureService {    let captureSize = CGSize(width: 520, height: 140)    func captureAroundCursor() async -> (image: CGImage, region: CaptureRegion)? {        let mouseLocation = NSEvent.mouseLocation        guard let screen = NSScreen.screens.first(where: { NSMouseInRect(mouseLocation, $0.frame, false) }) else {            return nil        }        let rectInScreen = captureRect(for: mouseLocation, in: screen.frame, size: captureSize)        let cgRect = convertToDisplayLocalCoordinates(rectInScreen, screen: screen)        let display = try await getDisplay(for: displayID)        let filter = SCContentFilter(display: display, excludingWindows: [])        let configuration = makeConfiguration(for: cgRect, scaleFactor: screen.backingScaleFactor)        let image = try await SCScreenshotManager.captureImage(contentFilter: filter, configuration: configuration)        return (image, CaptureRegion(rect: rectInScreen, screen: screen, displayID: displayID, scaleFactor: scaleFactor))    }}

这段代码的重点是：只抓一个小矩形区域，不做整屏截图，性能会好很多。

关键实现：OCR 识别

Vision 的识别部分非常直接：

final class OCRService {    func recognizeWords(in image: CGImage, language: String) async throws -> [RecognizedWord] {        try await Task.detached(priority: .userInitiated) {            let request = VNRecognizeTextRequest()            request.recognitionLevel = .accurate            request.usesLanguageCorrection = true            if #available(macOS 13.0, *) {                request.revision = VNRecognizeTextRequestRevision3                request.automaticallyDetectsLanguage = true            } else {                request.recognitionLanguages = [language]            }            let handler = VNImageRequestHandler(cgImage: image)            try handler.perform([request])            return OCRService.extractWords(from: request.results ?? [])        }.value    }}

几个小点：

• recognitionLevel = .accurate 适合需要高精度的翻译场景
• 开启 usesLanguageCorrection 能提升英文识别的可读性
• 在 macOS 13+ 用 automaticallyDetectsLanguage，可以更自然地识别混合文本

关键实现：从行到“词”

Vision 返回的通常是“文本行”，但翻译场景需要更细粒度。

SnapTra 里我做了两步：

1. 先按英文字符拆分 token
2. 对 CamelCase 做进一步切分（比如 ApplePay → Apple + Pay）

同时，我没有直接使用 Vision 的 boundingBox(for:)，因为它对自定义分词并不稳定，而是用“字符比例”计算 box，保证稳定性。

// 始终使用字符比例计算边界框，确保稳定性// Vision 的 boundingBox(for:) 对自定义分词（CamelCase）支持不稳定private static func boundingBoxByCharacterRatio(_ textBox: CGRect, text: String, for range: Range<String.Index>) -> CGRect? {    let totalCount = text.count    let startOffset = text.distance(from: text.startIndex, to: range.lowerBound)    let endOffset = text.distance(from: text.startIndex, to: range.upperBound)    let startFraction = CGFloat(startOffset) / CGFloat(totalCount)    let endFraction = CGFloat(endOffset) / CGFloat(totalCount)    let x = textBox.minX + textBox.width * startFraction    let width = textBox.width * (endFraction - startFraction)    return CGRect(x: x, y: textBox.minY, width: width, height: textBox.height)}

如何“点词”：用鼠标位置选中最相关的词

OCR 的输出是多个单词加 bounding box。为了实现“鼠标指哪翻哪”，我做了两件事：

• 只保留 bounding box 包含鼠标位置的词
• 如果有多个候选，取中心点离鼠标最近的

这样可以在密集文本里也保持稳定体验。

权限与系统设置：屏幕录制是前置条件

只要涉及屏幕截图，就需要 Screen Recording 权限。项目里通过 CGPreflightScreenCaptureAccess() 判断当前权限，并提供快捷跳转系统设置：

func requestAndOpenScreenRecording() {    CGRequestScreenCaptureAccess()    openPrivacyPane(anchor: "Privacy_ScreenCapture")}

体验上，我会在权限状态变化后自动刷新，并在未授权时提示用户。

调试手段：把 OCR 区域画出来

“看不到”是 OCR 调试最大的阻力。SnapTra 里做了一个 Debug OCR Region 开关：

• 红框显示当前截屏区域
• 绿框显示每个识别出来的单词边界

这可以直观观察“截屏区域是否对齐”、“识别结果是否偏移”，非常推荐在早期就加上。

常见坑位与建议

1. 不要整屏 OCR：性能会很差，体验会卡
2. 识别结果的坐标系是归一化坐标，转到屏幕坐标要注意 y 轴翻转
3. 语言设置不要死板：混合语言场景很常见
4. 分词策略比你想象的重要：翻译工具对词粒度很敏感

落地小结

如果你要做一个“屏幕取词 + 翻译”的 macOS 工具，推荐的最小链路是：

1. 用 ScreenCaptureKit 截取鼠标附近小区域
2. 用 Vision 识别文本
3. 自己做分词与 box 细化
4. 用鼠标位置选词
5. 加一个 Debug OCR Region 视图，调试效率直接翻倍

最后

我在 SnapTra Translator 里踩过的坑、做过的取舍，都尽量写在上面了。OCR 看似简单，但真正落地到“手感很好”的产品，细节真的很多。

如果你也在做 macOS OCR 或翻译工具，欢迎交流想法。

最近一直在使用 Neovim 做 vue3 的开发，其中使用了 vue-i18n 作为国际化的解决方案，项目中有大量的国际化内容，需要统计管理、查询、提示。

正赶上最近 Vibe Coding 的概念比较火，就使用业务时间让 AI 帮忙写了这个国际化插件 yelog/i18n.nvim，主要功能有:

1. 实时预览国际化key
2. 国际化key的补全(集成 blink.cmp)
3. 国际化key定义的跳转
4. 国际化key不存在时提示 Diagnostic
5. 国际化key的统计
6. 国际化key的模糊搜索(集成 fzf.lua)

安装

推荐使用 layz.nvim 作为插件管理器，安装方式如下:

{  'yelog/i18n.nvim',  dependencies = {    'ibhagwan/fzf-lua',    'nvim-treesitter/nvim-treesitter'  },  config = function()    require('i18n').setup({      locales = { 'en', 'zh' },      sources = {        'src/locales/{locales}.json',      }    })  end}

其中 locales 作为你项目中的语言列表， sources 作为你项目中国际化文件的路径，{locales} 会被替换为 locales 中的语言列表。

sources 支持多个文件类型，变量路径等，具体可以参考 REAEDME#Use Case

使用介绍

实时预览国际化key

支持在国际化key使用的地方如 t('common.hello') 处，实时预览国际化内容。并且支持切换默认显示的语言，及是否显示国际化key

国际化key的补全

在国际化key使用的地方如 t('|') 的竖线出，会集成 blink.cmp 进行补全显示

国际化key定义的跳转

在国际化 Key 使用的地方如 t('common.hello') 处，按 gd 可以跳转到国际化 key 的定义处。

在国际化key的定义处，按 gd 可以跳转到其他语言的定义处

国际化key不存在时提示 Diagnostic

如果在国际化key使用的地方使用了不存在的key，如 t('common.hello1')，会有 Diagnostic 提示

国际化key的模糊搜索(集成 fzf.lua)

通过集成 fzf.lua 实现国际化key及默认语言翻译的模糊搜索。

支持 help 提示

在国际化key使用的地方如 t('common.hello') 处，按 <c-k> 可以查看帮助提示

最后

这个插件主要时为了满足自己的需求设计的，所以如何有任何建议和意见，欢迎提 issue

从 Github Copilot 内测申请, 到后来作为体验小组成员, 推动公司统一购买, 已经使用了较长的时间. 积累的一些使用技巧, 我会在这边文章中进行分享, 如果有不对或需要补充的地方, 欢迎在评论区指出.

我会结合一些实际使用的例子从如下几个方面来分享:

• 代码补全
• Inline Chat 修改代码
• Chat 修改代码

本文的示例会使用 Idea, VSCode, NeoVim 等编辑器, 但是 Copilot 的使用方式是一样的.

1 代码补全

代码补全作为 Copilot 的核心功能, 也是刚开始使用时, 感知最明显的功能. 开启 Copilot 后, 直接开始编写代码, 会发现 Copilot 会根据你的输入, 生成一些代码片段, 你可以选择使用, 也可以继续输入, Copilot 会根据你的输入, 继续生成代码.

1.1 通过上下文, 生成代码补全

如下, 我们在 TypeScript 中有一个文件用于写 API 的地方, 当我们准备添加一个 delAttribute 方式时, 我们如数 export const delAttribute 之后, 就提示了代码, 可以按 Tab 或者设置快捷键让提示代码上屏

1.2 通过注释, 生成代码补全

我们还可以通过写注释的方式, 让 Copilot 更加精准的给我们生成提示代码, 如下在 Vue3 工程中, 需要通过计算属性的方式, 做一些处理, 我们可以现将注释写出来, 然后 Copilot 会根据注释, 生成代码

2 Inline Chat 修改代码

选中代码段, 然后打开 Copilot Inline Chat, 输入需要修改的问题并回车, Copilot 就会直接按照描述来修改代码

如下图, 我们在国际化文件中添加了中文, 然后复制到西班牙语的文件中, 需要修改为西班牙语, 我们可以直接调用 Copilot Inline Chat 来修改

3 Chat 修改代码

我们可以直接在 Chat 聊天框中, 输入需要修改的问题, Copilot 会根据你的描述, 生成代码, 如果不满意, 可以继续聊天, 返回满意的代码后, 点击 Accept 就可以将代码应用到编辑器中.

4 最后

使用 Copilot 的这两年, 对于我来说, 并没有提高太多的开发效率, 但是已经离不开 Copilot 了, 因为它带来的舒适地开发体验, 对开发人员来说更加重要.

I’ve been playing ollama locally for a long time, today I’m going to install ollama on the server, but the server doesn’t have an extranet, so I can only install it offline, I’ve looked for offline tutorials but there are fewer of them, so I’m going to write my own, so that I can check it out in the future.

Install Ollama Offline

Download the Installer

Download the appropriate installation package from the official Release page, based on the server’s CPU type. After downloading, upload the package to the server.

Installation

Extract the installation package ollama linux amd64.tgz, navigate to the extracted directory, and run the install.sh script to complete the installation.

# Extract the installation packagetar -zxvf Ollama\ Linux\ AMD64.tgz# Move the ollama executable to the /usr/bin directorysudo mv bin/ollama /usr/bin/ollama

Start and Enable Auto-Start

1. Create an execution user. This step can be skipped; you can directly set root or any other user with ollama execution permissions.

sudo useradd -r -s /bin/false -U -m -d /usr/share/ollama ollamasudo usermod -a -G ollama $(whoami)

2. Create a configuration file

Create the file /etc/systemd/system/ollama.service and populate it with the following content, filling in the User and Group fields based on your choice in the previous step.

[Unit]Description=Ollama ServiceAfter=network-online.target[Service]ExecStart=/usr/bin/ollama serveUser=ollamaGroup=ollamaRestart=alwaysRestartSec=3Environment="PATH=$PATH"[Install]WantedBy=default.target

Then execute the following commands

# Load the configurationsudo systemctl daemon-reload# Enable auto-start on bootsudo systemctl enable ollama# Start the ollama servicesudo systemctl start ollama

Offline Model Installation

Here, we will use the gguf model installation method. The installation methods for models are quite similar, and you can refer to the following steps.

Qwen2.5-3b

1.Download the model. You can search for the corresponding gguf version of the model on huggingface, such as searching for qwen2.5-3b-gguf.

You can choose any fine-tuned version; here, we refer to the model version selected on ollama, as shown in the figure below.

In the model we just found, click on Files and versions, locate the version found in ollama, and click download.

2.Upload the downloaded file to the server directory /data/ollama and rename it to qwen2.5-3b.gguf (renaming for easier reference later).
3.Create a file named Modelfile in the /data/ollama directory and add the following content.

# Model name from the previous stepFROM ./qwen2.5-3b.gguf# You can find the template for the model on the ollama website, such as the template address for qwen2.5-3b: https://ollama.com/library/qwen2.5:3b/blobs/eb4402837c78# Directly copy the Template from ollama into the three double quotes belowTEMPLATE """{{- if .Messages }}{{- if or .System .Tools }}<|im_start|>system{{- if .System }}{{ .System }}{{- end }}{{- if .Tools }}# ToolsYou may call one or more functions to assist with the user query.You are provided with function signatures within <tools></tools> XML tags:<tools>{{- range .Tools }}{"type": "function", "function": {{ .Function }}}{{- end }}</tools>For each function call, return a json object with function name and arguments within <tool_call></tool_call> XML tags:<tool_call>{"name": <function-name>, "arguments": <args-json-object>}</tool_call>{{- end }}<|im_end|>{{ end }}{{- range $i, $_ := .Messages }}{{- $last := eq (len (slice $.Messages $i)) 1 -}}{{- if eq .Role "user" }}<|im_start|>user{{ .Content }}<|im_end|>{{ else if eq .Role "assistant" }}<|im_start|>assistant{{ if .Content }}{{ .Content }}{{- else if .ToolCalls }}<tool_call>{{ range .ToolCalls }}{"name": "{{ .Function.Name }}", "arguments": {{ .Function.Arguments }}}{{ end }}</tool_call>{{- end }}{{ if not $last }}<|im_end|>{{ end }}{{- else if eq .Role "tool" }}<|im_start|>user<tool_response>{{ .Content }}</tool_response><|im_end|>{{ end }}{{- if and (ne .Role "assistant") $last }}<|im_start|>assistant{{ end }}{{- end }}{{- else }}{{- if .System }}<|im_start|>system{{ .System }}<|im_end|>{{ end }}{{ if .Prompt }}<|im_start|>user{{ .Prompt }}<|im_end|>{{ end }}<|im_start|>assistant{{ end }}{{ .Response }}{{ if .Response }}<|im_end|>{{ end }}"""# This step refers to the parameters on ollama; however, there are no parameters for qwen2.5-3b on ollama. You can add them in the following format.PARAMETER stop "<|im_start|>"PARAMETER stop "<|im_end|>"

4.Execute the following commands to load and run the offline model.

# Create and run the qwen2.5 model using the model description fileollama create qwen2.5 -f Modelfile# Check the list of running models to see if it is activeollama ls# Use the API to call the model and check if it is running properlycurl --location --request POST 'http://127.0.0.1:11434/api/generate' \--header 'Content-Type: application/json' \--data '{    "model": "qwen2.5",    "stream": false,    "prompt": "Hello, what is the first solar term of the 24 solar terms?"}' \-w "Time Total: %{time_total}s\n"

As shown in the figure below, a normal response indicates that the model has been successfully installed.

Llama3.2-3b

1.Download the model. You can search for the corresponding gguf version of the model on huggingface, such as searching for llama3.2-3b-gguf.

You can choose any fine-tuned version; here we refer to the model version selected on ollama, as shown in the figure below.

We directly click on Files and versions in the model we just found, find the version available on ollama, and click to download.

2.Upload the downloaded file to the server directory /data/ollama, and rename it to llama3.2-3b.gguf (renamed for easier reference later).

3.Create a file named Modelfile in the /data/ollama directory and add the following content.

# Model name from the previous stepFROM ./llama3.2-3b.gguf# You can find templates in the model repository on the ollama website, for example, the template address for llama3.2-3b: https://ollama.com/library/llama3.2/blobs/966de95ca8a6# Directly copy the Template from ollama into the three double quotes belowTEMPLATE """<|start_header_id|>system<|end_header_id|>Cutting Knowledge Date: December 2023{{ if .System }}{{ .System }}{{- end }}{{- if .Tools }}When you receive a tool call response, use the output to format an answer to the orginal user question.You are a helpful assistant with tool calling capabilities.{{- end }}<|eot_id|>{{- range $i, $_ := .Messages }}{{- $last := eq (len (slice $.Messages $i)) 1 }}{{- if eq .Role "user" }}<|start_header_id|>user<|end_header_id|>{{- if and $.Tools $last }}Given the following functions, please respond with a JSON for a function call with its proper arguments that best answers the given prompt.Respond in the format {"name": function name, "parameters": dictionary of argument name and its value}. Do not use variables.{{ range $.Tools }}{{- . }}{{ end }}{{ .Content }}<|eot_id|>{{- else }}{{ .Content }}<|eot_id|>{{- end }}{{ if $last }}<|start_header_id|>assistant<|end_header_id|>{{ end }}{{- else if eq .Role "assistant" }}<|start_header_id|>assistant<|end_header_id|>{{- if .ToolCalls }}{{ range .ToolCalls }}{"name": "{{ .Function.Name }}", "parameters": {{ .Function.Arguments }}}{{ end }}{{- else }}{{ .Content }}{{- end }}{{ if not $last }}<|eot_id|>{{ end }}{{- else if eq .Role "tool" }}<|start_header_id|>ipython<|end_header_id|>{{ .Content }}<|eot_id|>{{ if $last }}<|start_header_id|>assistant<|end_header_id|>{{ end }}{{- end }}{{- end }}"""# This step references the parameters from ollama. For llama3.2-3b, the params can be found at: https://ollama.com/library/llama3.2/blobs/56bb8bd477a5PARAMETER stop "<|start_header_id|>"PARAMETER stop "<|end_header_id|>"PARAMETER stop "<|eot_id|>"

4.Execute the following commands to load and run the offline model.

# Create and run the llama3.2 model using the model description fileollama create llama3.2 -f Modelfile# Check the list of running models to see if it is activeollama ls# Call the model through the API to check if it is functioning properlycurl --location --request POST 'http://127.0.0.1:11434/api/generate' \--header 'Content-Type: application/json' \--data '{    "model": "llama3.2",    "stream": false,    "prompt": "Hello, what is the first solar term of the 24 solar terms?"}' \-w "Time Total: %{time_total}s"

As shown in the image below, the model returns the response correctly, indicating that it has been successfully installed.

Conclusion

Ollama is a very useful tool for installing models. I hope everyone enjoys using it! If you encounter any installation issues or have tips to share, feel free to discuss them in the comments~~~

本地已经玩了 ollama 很长时间了, 今天打算把 ollama 安装到服务器上, 但是服务器没有外网, 所以只能离线安装了, 找了一下离线装教程还是比较少了, 所以自己写一篇, 以便以后查阅.

离线安装 Ollama

下载安装包

在官方 Release 中进行下载, 根据服务器的 cpu 类型下载对应的安装包, 下载完成后上传到服务器上.

安装

解压安装包 ollama linux amd64.tgz, 进入到解压后的目录, 执行 install.sh 脚本进行安装.

# 解压安装包tar -zxvf Ollama\ Linux\ AMD64.tgz# 将 ollama 执行命令移动到 /usr/bin 目录下sudo mv bin/ollama /usr/bin/ollama

启动并添加开机启动

1.创建执行用户, 这一步可以忽略, 可以直接设置 root 或其他有 ollama 执行权限的用户都可以

sudo useradd -r -s /bin/false -U -m -d /usr/share/ollama ollamasudo usermod -a -G ollama $(whoami)

2.创建配置文件

创建文件 /etc/systemd/system/ollama.service, 并填充如下内容, 其中的 User 和 Group 根据上一步的选择填写

[Unit]Description=Ollama ServiceAfter=network-online.target[Service]ExecStart=/usr/bin/ollama serveUser=ollamaGroup=ollamaRestart=alwaysRestartSec=3Environment="PATH=$PATH"[Install]WantedBy=default.target

然后执行如下命令

# 加载配置sudo systemctl daemon-reload# 设置开机启动sudo systemctl enable ollama# 启动 ollama 服务sudo systemctl start ollama

离线安装模型

如下使用 gguf 模型安装方式, 模型安装的方式都差不多, 可以参考如下方式

Qwen2.5-3b

1.下载模型, 可以到 huggingface 上搜索对应模型的 gguf 版本, 如搜索 qwen2.5-3b-gguf

具体选那个微调版本都可以, 我们这里参考 ollama 上选择的模型版本, 如下图

我们直接在刚才找到的模型中, 点击 Files and versions, 找到在 ollama 中找到的版本, 点击下载

2.将下载后的文件上传到服务器的目录 /data/ollama, 并重命名为 qwen2.5-3b.gguf, (重命名为了方便后面引用)
3.在 /data/ollama 目录下创建文件 Modelfile, 添加如下内容

# 上一步的模型名FROM ./qwen2.5-3b.gguf# 可以到 ollama 网站上的模型库去寻找, 如 qwen2.5-3b 的模板地址: https://ollama.com/library/qwen2.5:3b/blobs/eb4402837c78# 直接复制 ollama 上的 Template 到如下三个双引号中间TEMPLATE """{{- if .Messages }}{{- if or .System .Tools }}<|im_start|>system{{- if .System }}{{ .System }}{{- end }}{{- if .Tools }}# ToolsYou may call one or more functions to assist with the user query.You are provided with function signatures within <tools></tools> XML tags:<tools>{{- range .Tools }}{"type": "function", "function": {{ .Function }}}{{- end }}</tools>For each function call, return a json object with function name and arguments within <tool_call></tool_call> XML tags:<tool_call>{"name": <function-name>, "arguments": <args-json-object>}</tool_call>{{- end }}<|im_end|>{{ end }}{{- range $i, $_ := .Messages }}{{- $last := eq (len (slice $.Messages $i)) 1 -}}{{- if eq .Role "user" }}<|im_start|>user{{ .Content }}<|im_end|>{{ else if eq .Role "assistant" }}<|im_start|>assistant{{ if .Content }}{{ .Content }}{{- else if .ToolCalls }}<tool_call>{{ range .ToolCalls }}{"name": "{{ .Function.Name }}", "arguments": {{ .Function.Arguments }}}{{ end }}</tool_call>{{- end }}{{ if not $last }}<|im_end|>{{ end }}{{- else if eq .Role "tool" }}<|im_start|>user<tool_response>{{ .Content }}</tool_response><|im_end|>{{ end }}{{- if and (ne .Role "assistant") $last }}<|im_start|>assistant{{ end }}{{- end }}{{- else }}{{- if .System }}<|im_start|>system{{ .System }}<|im_end|>{{ end }}{{ if .Prompt }}<|im_start|>user{{ .Prompt }}<|im_end|>{{ end }}<|im_start|>assistant{{ end }}{{ .Response }}{{ if .Response }}<|im_end|>{{ end }}"""# 这一步参考 ollama 上的 parameters, 但是 ollama 上的 qwen2.5-3b 是没有参数的, 按照下面的格式添加即可PARAMETER stop "<|im_start|>"PARAMETER stop "<|im_end|>"

4.执行如下命令, 加载并运行离线模型

# 通过模型描述文件, 创建并运行 qwen2.5 模型ollama create qwen2.5 -f Modelfile# 查看模型运行列表, 是否正在运行ollama ls# 通过 api 调用模型, 检测模型是否运行正常curl --location --request POST 'http://127.0.0.1:11434/api/generate' \--header 'Content-Type: application/json' \--data '{    "model": "qwen2.5",    "stream": false,    "prompt": "你好, 24节气的第一个节气是什么?"}' \-w "Time Total: %{time_total}s\n"

如下图, 正常返回回答内容, 表示模型成功安装

Llama3.2-3b

1.下载模型, 可以到 huggingface 上搜索对应模型的 gguf 版本, 如搜索 llama3.2-3b-gguf

具体选那个微调版本都可以, 我们这里参考 ollama 上选择的模型版本, 如下图

我们直接在刚才找到的模型中, 点击 Files and versions, 找到在 ollama 中找到的版本, 点击下载

2.将下载后的文件上传到服务器的目录 /data/ollama, 并重命名为 llama3.2-3b.gguf, (重命名为了方便后面引用)
3.在 /data/ollama 目录下创建文件 Modelfile, 添加如下内容

# 上一步的模型名FROM ./llama3.2-3b.gguf# 可以到 ollama 网站上的模型库去寻找, 如 llama3.2-3b 的模板地址: https://ollama.com/library/llama3.2/blobs/966de95ca8a6# 直接复制 ollama 上的 Template 到如下三个双引号中间TEMPLATE """<|start_header_id|>system<|end_header_id|>Cutting Knowledge Date: December 2023{{ if .System }}{{ .System }}{{- end }}{{- if .Tools }}When you receive a tool call response, use the output to format an answer to the orginal user question.You are a helpful assistant with tool calling capabilities.{{- end }}<|eot_id|>{{- range $i, $_ := .Messages }}{{- $last := eq (len (slice $.Messages $i)) 1 }}{{- if eq .Role "user" }}<|start_header_id|>user<|end_header_id|>{{- if and $.Tools $last }}Given the following functions, please respond with a JSON for a function call with its proper arguments that best answers the given prompt.Respond in the format {"name": function name, "parameters": dictionary of argument name and its value}. Do not use variables.{{ range $.Tools }}{{- . }}{{ end }}{{ .Content }}<|eot_id|>{{- else }}{{ .Content }}<|eot_id|>{{- end }}{{ if $last }}<|start_header_id|>assistant<|end_header_id|>{{ end }}{{- else if eq .Role "assistant" }}<|start_header_id|>assistant<|end_header_id|>{{- if .ToolCalls }}{{ range .ToolCalls }}{"name": "{{ .Function.Name }}", "parameters": {{ .Function.Arguments }}}{{ end }}{{- else }}{{ .Content }}{{- end }}{{ if not $last }}<|eot_id|>{{ end }}{{- else if eq .Role "tool" }}<|start_header_id|>ipython<|end_header_id|>{{ .Content }}<|eot_id|>{{ if $last }}<|start_header_id|>assistant<|end_header_id|>{{ end }}{{- end }}{{- end }}"""# 这一步参考 ollama 上的 parameters, llama3.2-3b 的 params: https://ollama.com/library/llama3.2/blobs/56bb8bd477a5PARAMETER stop "<|start_header_id|>"PARAMETER stop "<|end_header_id|>"PARAMETER stop "<|eot_id|>"

4.执行如下命令, 加载并运行离线模型

# 通过模型描述文件, 创建并运行 qwen2.5 模型ollama create llama3.2 -f Modelfile# 查看模型运行列表, 是否正在运行ollama ls# 通过 api 调用模型, 检测模型是否运行正常curl --location --request POST 'http://127.0.0.1:11434/api/generate' \--header 'Content-Type: application/json' \--data '{    "model": "llama3.2",    "stream": false,    "prompt": "你好, 24节气的第一个节气是什么?"}' \-w "Time Total: %{time_total}s\n"

如下图, 正常返回回答内容, 表示模型成功安装

最后

Ollama 是非常好用的模型安装工具, 希望大家玩的开心! 如果安装有问题或者有什么使用技巧都可以在评论区交流~~~

最近一年多, job 经常有如下告警, 告警内容如下

尊敬的用户，您关注的监控已触发警报，内容如下，请您关注！

Dear user, the following monitoring alert you are concerned about is triggered, please pay attention!

Summary: [MonitoringID: MOC0000000606595] [Tingyun Alert] [LEMES-PCG-Prod_MajorGc]lemes-job-outbound-executor-idg-lssc-prodJVM每分钟Major GC时间 alert triggered

Notes: [Details:违反规则告警，APM应用实例/lemes-job-outbound-executor-54858fdf5b-dsxrq:0(10.188.138.17)，告警级别:严重,JVM每分钟Major GC时间大于阈值(JVM每分钟Major GC时间:2,490ms>阈值:900ms)] [EventID:85882166655658][TriggerTime: 2024-09-30 15:52:00]

由于 job 停一下也没问题, 外加精力在其他任务上, 所以每次都是通过重启来解决问题

二、原因分析

国庆前又发了告警邮件, 觉得这个问题优先级可以提到前面了…

首先根据问题出现的频率分析, 大概是每个 job 运行几个月以上就开始报上面的告警, 根据不同 job 微服务的强度不同, 尤其是 outbound, 大概两个月就开始告警了…

所以基本定位问题为内存泄漏, 比如有框架或者开发的代码存在内存没释放的问题, 如IO流、数据库连接等没关闭的问题

这种问题可以直接对当前的微服务内存进行分析(导出内存快照)

1.我们的微服务是运行在 k8s 上的, 所以首先通过 Rancher 进入出问题的微服务的命令行, 通过如下命令对内存快照进行导出, 因为我们的 /data/logs 目录已经映射到宿主机了, 所以我们可以导出到这个目录

# 找到当前微服务的进程 idjps# 假如是9, 我们将其放到最后jmap -dump:live,format=b,file=/data/logs/lemes-job-outbound-executor/lemes-job-outbound-executor.hprof 9

2.然后我们将导出的 lemes-job-outbound-executor.hprof 文件从宿主机上下载到本地电脑上

3.通过 IDEA 的 Profiler 进行内存分析, 可以在 IDEA→ View → Tool Windows → Profiler

4.然后点击 Open Snapshot , 选择我们刚才下载的文件

5.然后点击右边的 Biggest Objects → Calculate retained size and biggest objects 来进行大对象分析

6.发现在 ThreadLocal 中的 ArrayDeque 的占用非常大, 根据 referent 分析, 来自于 DynamicDataSourceContextHolder 中的, 并且查看 elements 中都是数据源的名字

7.分析出是关于多数据源框架的问题, 还是要分析出来是使用问题, 还是框架中问题. 我们直接来到上面找到的类 DynamicDataSourceContextHolder, 找到了内存泄漏的变量是存储用于切换数据源的栈, 并且在这个文件中还找到了一句话, 防止内存泄漏，如手动调用了push可调用此方法确保清除

8.也就是通过 DynamicDataSourceContextHolder.push(xxx); 切换数据源后, 是需要手动调用 poll() 方法进行移除, 或者在任务执行结束后调用 clear(), 进行清空.

9.查看代码后, 发现 job 中有 DynamicDataSourceContextHolder.push(xxx) 的操作, 却没有移除的方法, 所以定位到了问题.

三、解决问题

根据上一步我们知道了问题出在了没有进行移除操作, 移除操作有两种, 我们去每个执行 push 的地方进行 poll() 移除是比较麻烦的, 也不能避免再有同学漏掉 poll(), 从而导致问题复现.

所以我打算在 job 执行结束后, 统一调用 DynamicDataSourceContextHolder.clear() 来进行清空操作, 问了同事当前 job 框架是没有统一的开始和结束的地方, 但是所以 job 都是实现 SimpleJob 的 execute 方法来执行的, 所以可以使用切面来统一处理. 代码如下:

package com.lenovo.lemes.job.core.executor.interceptor; import com.baomidou.dynamic.datasource.toolkit.DynamicDataSourceContextHolder;import org.aspectj.lang.JoinPoint;import org.aspectj.lang.annotation.After;import org.aspectj.lang.annotation.Aspect;import org.aspectj.lang.annotation.Pointcut;import org.springframework.context.annotation.EnableAspectJAutoProxy;import org.springframework.stereotype.Component; /** * 任务拦截器 * 用于在任务执行前后做一些操作 * * @author Yujie Yang * @date 2024/10/8 10:55 */@Aspect@Component@EnableAspectJAutoProxypublic class JobInterceptor {     // 定义切入点，匹配实现了 SimpleJob 接口的类的 execute 方法    // 正则解释: Pointcut 由两部分组成, 第一 execution 指明了切入的方法的全路径规则, 第二部分 target 限制了切入的类必须实现 SimpleJob 接口    @Pointcut("execution(void com.lenovo.lemes.job..jobhandler..*.execute(org.apache.shardingsphere.elasticjob.api.ShardingContext)) && target(org.apache.shardingsphere.elasticjob.simple.job.SimpleJob)")    public void executeMethodPointcut() {    }     @After("executeMethodPointcut()")    public void afterJob(JoinPoint joinPoint) {        // 在 execute 方法执行完成后清理数据源上下文        DynamicDataSourceContextHolder.clear();    } }

最近同事在接入西班牙语的数据时, 发现了一个问题, 涉及到西班牙语中包含重音符号的数据比对出了问题, 同事已经找出可能是字符串规范化(Normalize)的问题, 但是现象很奇怪, 今天就做了一些测试, 将测试结果记录下来. 以供大家参考.

常用规范化:

• NFC: 规范化组合型, 如 é 是一个字符
• NFD: 规范化分解型, 如 é 是两个字符 e 和 ´
• NFKC: 兼容性规范化组合型
• NFKD: 兼容性规范化分解型

先说结论

在 HTML/JavasCript/Java/PostGreSQL 中, 不会自动对字符串的规范话进行转换, 也就是说, 从前端(html/js)传递到后端(java), 再传递到数据库(PostGreSQL)的过程中, 字符串的规范化是不变的, 所以只是文字传递, 不会出现问题.

出问题的地方是文件系统:

• Windows 文件系统（如 NTFS）通常使用 NFC 形式存储文件名。
• macOS 文件系统（如 HFS+ 或 APFS）通常使用 NFD 形式存储文件名。
• Linux 文件系统（如 ext4）通常使用 NFC，但这也可能因环境和设置而异。

导致上传文件时, 文件名的规范化不一致, 会导致文件名比对是不一致的.

问题现象

同名的文件名上传时, 会进入数据库比对一下文件名是否存在, 但是由于文件名的规范化不一致, 会导致文件名比对不一致. 从而重复上传文件.

比如我们做一个简单的测试, 如下代码, 页面上有两个元素, 一个文本输入框, 一个文件上传框, 当文件上传框选择文件后, 会比对文件名和文本输入框的值是否一致, 如果不一致, 则提示文件名不一致.

我们在本地新建一个文件, 文件名为 é.txt, 这个文件名的文本是 NFC 的形式, 当 MacOS 去页面上传文件, 会提示文件名不一致, windows 则提示文件名一致.

这是因为 MacOS 文件系统使用 NFD 形式存储文件名, 和文本输入框的值(NFC)不一致, 导致比对不一致.

<!DOCTYPE html><html lang="en"><head>    <meta charset="UTF-8">    <meta name="viewport" content="width=device-width, initial-scale=1">    <title></title></head><body><input type="text" name="filename" value="é.txt" id='filename'><input type="file" multiple accept="*/*" onchange="previewFiles()" id="fileInput"></body><script>    // 监听事件,    const previewFiles = (e) => {        const files = document.querySelector('#fileInput').files;        const filename = document.querySelector('#filename').value;        console.log('filename normalize:', detectNormalizationForm(filename));        console.log('file.name normalize:', detectNormalizationForm(files[0].name));        // 比对 id 为 filename 的值 和 上传的文件名是否一致        if (files.length === 0 || files[0].name !== filename) {            alert('文件名不一致');            return;        } else {            alert('文件名一致');        }    }    function detectNormalizationForm(str) {        if (str === str.normalize('NFC')) {            return 'NFC';        } else if (str === str.normalize('NFD')) {            return 'NFD';        } else if (str === str.normalize('NFKC')) {            return 'NFKC';        } else if (str === str.normalize('NFKD')) {            return 'NFKD';        } else {            return 'Unknown';  // 如果没有匹配的规范化形式        }    }</script></html>

问题解决

前端

前端可以在 axios/ajax 等统一请求的地方, 对请求的参数进行规范化, 保证传递的参数是 NFC 形式.

在前端处理是有局限性的, 比如上传文件时, 无法对文件内容进行处理

后端

后端也有几个地方需要处理

1. 拦截 Controller, HandlerInterceptor 等请求处理的地方, 对请求参数进行规范化
2. Excel 工具类, 解析成对象的地方, 对 Excel 中的字符串进行规范化(要求所有上传的 Excel 都使用这个方法进行解析)

数据库

可以在 Mybatis 拦截器中, 对所有的 SQL 进行规范化, 保证数据库中的数据都是 NFC 形式.

最后

如无必要, 勿增实体.

字符串作为系统中最常用的类型, 全部添加规范化会对系统的性能产生一定的影响. 系统如果涉及到重音符号的地方不多, 可以只在必要的地方进行规范化.

最近两三年都从 Vim 迁移到 NeoVim 之后, 使用到了非常多好用的插件, 尤其是跳转插件 folke/flash.nvim , 非常方便, 日常文档及一些软件开发(Web, rust, lua, python) 等已经在 NeoVim 下完成了

但是 Java 一直没有配置到像 IntelijIdea 那么方便, 所以 Java 的开发还是在 IntelijIdea 中完成, 好在有 IdeaVim 这个非常棒的插件, 大部分的 Vim 功能完成度非常高.

最大的缺点就是没有 Vim, NeoVim 的丰富的插件生态, 尤其是日常使用频率非常高的 flash.nvim, 所以就自己开发了一个在 IdeaVim 上的插件 vim-flash

题外话: 本来叫 ideavim-flash 的, 在上传插件的时候, 因为存在关键字 idea 被驳回, 所以改名为 vim-flash.

安装

在线安装

插件市场安装: Setting -> Plugins -> Marketplace -> 搜索 vim-flash, 作者为 yelog, 然后点击安装.

离线安装

1. 到官方仓库的 Release 中下载 vim-flash-xxx.zip 包, 地址 vim-flash-release
2. Idea -> Setting -> Plugins -> Install 旁边的齿轮 -> Install Plugin from disk -> 选择刚刚下载的 vim-flash-xxx.zip 包即可

配置

安装完成之后, 点击右下角的 IdeaVim 图标, 点击 Open ~/.ideavimrc

添加 map s <Action>(flash.search) 到最后一行, 然后点击右上角的刷新图标

使用和效果

Normal Mode

打开一个文件, 按 Esc 进入 IdeaVim 的 Normal 模式下, 比如我们要定位到 MarksCanvas 这个单词, 我们可以依次按键盘的字母: smarks

1. 现在所有以包含 marks 的文字都高亮了, 并且后面跟着一个字母, 当我们按下某一个字母后, 就会发现光标到达了这个高亮处, 这就是这个插件的跳转功能.
2. 有一个高丽是橙色底的, 那是距离我们光标最近的位置, 当我们按下 回车 后, 光标会跳转到这个高亮处.

Visual Mode

打开一个文件, 按 v 进入 IdeaVim 的 Visual 模式下, 我们可以通过类似于上面的跳转方式, 进行跳转选中

结语

我是一个热爱技术, 崇尚效率和善于利用工具的人, 我会持续分享所得, 如果有收获, 请帮忙点赞, 评论, 点 start, 谢谢!!!

本篇文章是听《硬地骇客》的EP19 “白嫖” SaaS 工具，零成本起步开发一款产品

https://hardhacker.com/tools

涉及工具

开发

1. Vercel 快速部署和扩展前端应用
   a. https://vercel.com
   b. 100G/月
   c. 免费独立域名
2. netlify 托管和部署静态页面 CDN加速
   a. https://netlify.com
   b. 100G/月
   c. 免费绑定域名

数据库

1. PlanetScale 数据库服务 vitess， 能够处理大规模数据的存储和查询需求
   a. 5G存储
   b. 1B行读取
   c. 10M行写入
   d. https://planetscale.com

CND

1. Cloudfare 网页应用， 提供 CDN加速、DDos攻击防护、SSL加密、防火墙、缓存优化等
   a. 3个 CDN 页面规则
   b. SSL证书
   c. DDos防御
   d. https://cloudflare.com

权限校验

1. Supabase 提供 pgsql 的开发平台，能够快速搭建和扩展应用程序后端， 提供数据库、实施推送、身份验证、文件存储等
   a. 50000月活用户
   b. 200并发连接
   c. https://supabase.com
2. clerk 用户验证管理， 集成角色/权限管理等
   a. 5000月活用户
   b. https://clerk.com

email

1. Amazon SES: 通过简单的 api 调用或 smtp 接口来发送和接收邮件
   a. 62000封/月
   b. https://aws.amazon.com/ses/
2. Resend 简单优雅， 致力于做最好的邮件API
   a. 3000封/月
   b. https://resend.com

Document

1. Notions
   a. 提供了灵活的工作区， 让用户可以创建和组织各种类型的内容，如文本、表格、任务列表、日历等， 强大的协作功能
   b. 无限页面
   c. 10个合作者
   d. notion.site 域名
   e. https://notion.so/

Payment

1. Stripe 全面的支付服务，支持信用卡、借记卡和其他支付方式
   a. 费率 2.9% + 30
   b. https://stripe.com/
2. Paypal 广泛使用、电子商务、个人转账和在线付款
   a. 4.4% + 30
   b. https://paypal.com
3. Lemon Squeezy 简单易用的支付服务商，特点：便捷、灵活、安全。帮用户轻松实现跨境支付
   a. 5% + 50
   b. https://lemonsqueezy.com
4. Paddle 综合解决方案：支付处理、订阅管理、许可证控制和全球化销售
   a. 5% + 50
   b. https://paddle.com/

修改

移动跳转

标签 tab

书签

最后

2024-08-30 现在已经转战到了 yazi 了

docker stop lemes-rancher-2.5docker create --volumes-from lemes-rancher-2.5 --name rancher-data-2023-02-21 rancher/rancher:v2.5.12

创建备份压缩包

docker run --volumes-from rancher-data-2023-02-21 -v $PWD:/backup busybox tar zcvf /backup/rancher-data-backup-2023-02-21.tar.gz /var/lib/rancher

拉去最新镜像

docker pull rancher/rancher:v2.5.12docker run -d --restart=unless-stopped \  --volumes-from rancher-data-backup-2023-02-20 \  -p 80:80 -p 443:443 \  --privileged \  --name=lemes-rancher-2.6 \  rancher/rancher:v2.5.12docker run -d --restart=unless-stopped \  -p 9080:80 -p 8443:443 \  --privileged \  --name=rancher \  rancher/rancher:v2.11.0

查看k8s环境缺少什么镜像

docker logs -f kubelet 2>&1 | grep "44:5000"

Rancher 平台证书更新

根据如下命令查询证书有效时间

rancherName=lemes-rancher-2.5-proddocker exec -it ${rancherName} bashfor i in $(ls /var/lib/rancher/k3s/server/tls/*.crt);do openssl x509 -enddate -noout -in $i; done

如果证书快过期了，可以使用下面的命令更新证书

docker exec -it ${rancherName} /bin/shkubectl --insecure-skip-tls-verify -n kube-system delete secrets k3s-servingkubectl --insecure-skip-tls-verify delete secret serving-cert -n cattle-systemrm -f /var/lib/rancher/k3s/server/tls/dynamic-cert.json

退出后重启 rancher

docker restart ${rancherName}curl --insecure -sfL https://localhost/v3docker restart ${rancherName}

API

升级镜像

curl -k -X GET -H 'Accept: application/json' -H 'Accept: application/json' -H 'Content-Type: application/json' -H 'Authorization: Bearer token-fpcvv:6k4s8klp5hg9bmdp25x99hgd5hs7s94rlfsxz7pvn2hfp9sp2xdz6m' 'https://10.176.66.20/v3/project/c-b62fg:p-rqhfd/workloads/deployment:default:lemes-auth'curl -k -X PUT -H 'Accept: application/json' -H 'Accept: application/json' -H 'Content-Type: application/json' -H 'Authorization: Bearer token-fpcvv:6k4s8klp5hg9bmdp25x99hgd5hs7s94rlfsxz7pvn2hfp9sp2xdz6m' -d '{"actions":{"pause":"https://10.176.66.20/v3/project/c-b62fg:p-rqhfd/workloads/deployment:default:lemes-gateway?action=pause","redeploy":"https://10.176.66.20/v3/project/c-b62fg:p-rqhfd/workloads/deployment:default:lemes-gateway?action=redeploy","resume":"https://10.176.66.20/v3/project/c-b62fg:p-rqhfd/workloads/deployment:default:lemes-gateway?action=resume","rollback":"https://10.176.66.20/v3/project/c-b62fg:p-rqhfd/workloads/deployment:default:lemes-gateway?action=rollback"},"annotations":{"cattle.io/timestamp":"2022-04-24T14:29:549+0800"},"baseType":"workload","containers":[{"environmentFrom":[{"optional":false,"source":"field","sourceName":"metadata.name","targetKey":"POD_NAME"},{"optional":false,"source":"field","sourceName":"metadata.namespace","targetKey":"POD_NAMESPACE"},{"optional":false,"source":"configMap","sourceKey":"nacos.addr","sourceName":"lemes-cm","targetKey":"NACOS_ADDR"},{"optional":false,"source":"configMap","sourceKey":"nacos.group","sourceName":"lemes-cm","targetKey":"NACOS_GROUP"},{"optional":false,"source":"configMap","sourceKey":"nacos.namespace","sourceName":"lemes-cm","targetKey":"NACOS_NAMESPACE"},{"optional":false,"source":"configMap","sourceKey":"tz","sourceName":"lemes-cm","targetKey":"TZ"},{"optional":false,"source":"configMap","sourceKey":"java.opts","sourceName":"lemes-cm","targetKey":"JAVA_OPTS"},{"optional":false,"source":"configMap","sourceKey":"java.skywalking","sourceName":"lemes-cm","targetKey":"SKYWALKING"}],"image":"10.176.66.20:5000/lemes-cloud/lemes-gateway:develop-202204241429","imagePullPolicy":"Always","initContainer":false,"livenessProbe":{"failureThreshold":10,"initialDelaySeconds":5,"path":"/actuator/health/liveness","periodSeconds":5,"port":80,"scheme":"HTTP","successThreshold":1,"tcp":false,"timeoutSeconds":10,"type":"/v3/project/schemas/probe"},"name":"lemes-gateway","ports":[{"containerPort":80,"dnsName":"lemes-gateway","hostPort":0,"kind":"ClusterIP","name":"80tcp02","protocol":"TCP","sourcePort":0,"type":"/v3/project/schemas/containerPort"}],"readinessProbe":{"failureThreshold":3,"initialDelaySeconds":5,"path":"/actuator/health/readiness","periodSeconds":5,"port":80,"scheme":"HTTP","successThreshold":1,"tcp":false,"timeoutSeconds":10,"type":"/v3/project/schemas/probe"},"resources":{"type":"/v3/project/schemas/resourceRequirements"},"restartCount":0,"stdin":false,"stdinOnce":false,"terminationMessagePath":"/dev/termination-log","terminationMessagePolicy":"File","tty":false,"type":"/v3/project/schemas/container","volumeMounts":[{"mountPath":"/sidecar","name":"sidecar","readOnly":false,"type":"/v3/project/schemas/volumeMount"}]},{"entrypoint":["cp","-r","/opt/tingyun","/sidecar"],"image":"10.176.66.20:5000/library/tingyun:3.6.1.4","imagePullPolicy":"Always","initContainer":true,"name":"tingyun","ports":[],"resources":{"type":"/v3/project/schemas/resourceRequirements"},"restartCount":0,"stdin":false,"stdinOnce":false,"terminationMessagePath":"/dev/termination-log","terminationMessagePolicy":"File","tty":false,"type":"/v3/project/schemas/container","volumeMounts":[{"mountPath":"/sidecar","name":"sidecar","readOnly":false,"type":"/v3/project/schemas/volumeMount"}]}],"created":"2022-04-12T04:39:45Z","createdTS":1649738385000,"creatorId":null,"deploymentConfig":{"maxSurge":"25%","maxUnavailable":"25%","minReadySeconds":0,"progressDeadlineSeconds":600,"revisionHistoryLimit":10,"strategy":"RollingUpdate"},"deploymentStatus":{"availableReplicas":2,"conditions":[{"lastTransitionTime":"2022-04-12T04:41:16Z","lastTransitionTimeTS":1649738476000,"lastUpdateTime":"2022-04-12T04:41:16Z","lastUpdateTimeTS":1649738476000,"message":"Deployment has minimum availability.","reason":"MinimumReplicasAvailable","status":"True","type":"Available"},{"lastTransitionTime":"2022-04-12T04:39:45Z","lastTransitionTimeTS":1649738385000,"lastUpdateTime":"2022-04-22T06:34:17Z","lastUpdateTimeTS":1650609257000,"message":"ReplicaSet \"lemes-gateway-78f8577b78\" has successfully progressed.","reason":"NewReplicaSetAvailable","status":"True","type":"Progressing"}],"observedGeneration":5,"readyReplicas":2,"replicas":2,"type":"/v3/project/schemas/deploymentStatus","unavailableReplicas":0,"updatedReplicas":2},"dnsPolicy":"ClusterFirst","hostIPC":false,"hostNetwork":false,"hostPID":false,"id":"deployment:default:lemes-gateway","labels":{"app":"lemes-gateway"},"links":{"remove":"https://10.176.66.20/v3/project/c-b62fg:p-rqhfd/workloads/deployment:default:lemes-gateway","revisions":"https://10.176.66.20/v3/project/c-b62fg:p-rqhfd/workloads/deployment:default:lemes-gateway/revisions","self":"https://10.176.66.20/v3/project/c-b62fg:p-rqhfd/workloads/deployment:default:lemes-gateway","update":"https://10.176.66.20/v3/project/c-b62fg:p-rqhfd/workloads/deployment:default:lemes-gateway","yaml":"https://10.176.66.20/v3/project/c-b62fg:p-rqhfd/workloads/deployment:default:lemes-gateway/yaml"},"name":"lemes-gateway","namespaceId":"default","paused":false,"projectId":"c-b62fg:p-rqhfd","publicEndpoints":[{"addresses":["10.122.73.49"],"allNodes":true,"ingressId":"default:lemes-gateway-ig","nodeId":null,"path":"/lemes-api(/|$)(.*)","podId":null,"port":80,"protocol":"HTTP","serviceId":"default:lemes-gateway-svc"},{"addresses":["10.122.73.49"],"allNodes":true,"ingressId":"default:lemes-gateway-ig","nodeId":null,"path":"/lemes-api(/|$)(.*)","podId":null,"port":443,"protocol":"HTTPS","serviceId":"default:lemes-gateway-svc"}],"restartPolicy":"Always","scale":2,"scheduling":{"scheduler":"default-scheduler"},"selector":{"matchLabels":{"app":"lemes-gateway"},"type":"/v3/project/schemas/labelSelector"},"state":"active","terminationGracePeriodSeconds":30,"transitioning":"no","transitioningMessage":"","type":"deployment","uuid":"3afee259-1c17-48c0-8044-19ef85238736","volumes":[{"emptyDir":{"type":"/v3/project/schemas/emptyDirVolumeSource"},"name":"sidecar","type":"/v3/project/schemas/volume"}],"workloadAnnotations":{"deployment.kubernetes.io/revision":"4","kubectl.kubernetes.io/last-applied-configuration":"{\"apiVersion\":\"apps/v1\",\"kind\":\"Deployment\",\"metadata\":{\"annotations\":{},\"labels\":{\"app\":\"lemes-gateway\"},\"name\":\"lemes-gateway\",\"namespace\":\"default\"},\"spec\":{\"replicas\":2,\"selector\":{\"matchLabels\":{\"app\":\"lemes-gateway\"}},\"template\":{\"metadata\":{\"labels\":{\"app\":\"lemes-gateway\"}},\"spec\":{\"containers\":[{\"env\":[{\"name\":\"POD_NAME\",\"valueFrom\":{\"fieldRef\":{\"apiVersion\":\"v1\",\"fieldPath\":\"metadata.name\"}}},{\"name\":\"POD_NAMESPACE\",\"valueFrom\":{\"fieldRef\":{\"apiVersion\":\"v1\",\"fieldPath\":\"metadata.namespace\"}}},{\"name\":\"NACOS_ADDR\",\"valueFrom\":{\"configMapKeyRef\":{\"key\":\"nacos.addr\",\"name\":\"lemes-cm\"}}},{\"name\":\"NACOS_GROUP\",\"valueFrom\":{\"configMapKeyRef\":{\"key\":\"nacos.group\",\"name\":\"lemes-cm\"}}},{\"name\":\"NACOS_NAMESPACE\",\"valueFrom\":{\"configMapKeyRef\":{\"key\":\"nacos.namespace\",\"name\":\"lemes-cm\"}}},{\"name\":\"TZ\",\"valueFrom\":{\"configMapKeyRef\":{\"key\":\"tz\",\"name\":\"lemes-cm\"}}},{\"name\":\"JAVA_OPTS\",\"valueFrom\":{\"configMapKeyRef\":{\"key\":\"java.opts\",\"name\":\"lemes-cm\"}}},{\"name\":\"SKYWALKING\",\"valueFrom\":{\"configMapKeyRef\":{\"key\":\"java.skywalking\",\"name\":\"lemes-cm\"}}}],\"image\":\"10.176.66.20:5000/lemes-cloud/lemes-gateway:develop-202204111455\",\"imagePullPolicy\":\"Always\",\"livenessProbe\":{\"failureThreshold\":10,\"httpGet\":{\"path\":\"/actuator/health/liveness\",\"port\":80},\"initialDelaySeconds\":5,\"periodSeconds\":5,\"timeoutSeconds\":10},\"name\":\"lemes-gateway\",\"ports\":[{\"containerPort\":80}],\"readinessProbe\":{\"httpGet\":{\"path\":\"/actuator/health/readiness\",\"port\":80},\"initialDelaySeconds\":5,\"periodSeconds\":5,\"timeoutSeconds\":10},\"volumeMounts\":[{\"mountPath\":\"/sidecar\",\"name\":\"sidecar\"}]}],\"initContainers\":[{\"command\":[\"cp\",\"-r\",\"/opt/tingyun\",\"/sidecar\"],\"image\":\"10.176.66.20:5000/library/tingyun:3.6.1.4\",\"imagePullPolicy\":\"Always\",\"name\":\"tingyun\",\"volumeMounts\":[{\"mountPath\":\"/sidecar\",\"name\":\"sidecar\"}]}],\"volumes\":[{\"emptyDir\":{},\"name\":\"sidecar\"}]}}}}"},"workloadLabels":{"app":"lemes-gateway"}}' 'https://10.176.66.20/v3/project/c-b62fg:p-rqhfd/workloads/deployment:default:lemes-auth'

rancher-agent x509: certificate has expired

K8s 集群的 docker 重启后， rancher-agent 一致重启，报错 x509: certificate has expired

原因: k8s 集群的服务器时间和 rancher 服务器时间不一致，同步一下时间

kubernetes: k8s 是谷歌在2014年开源的容器化集群管理系统

• Pod Pod 是可以在 Kubernetes 中创建和管理的、最小的可部署的计算单元

• 网络控制器

• ApiServer: Uniform interface for access by all services

• ControllerManager: Maintaining Copy Expectations

• kubeadm: the command to bootstrap the cluster.

• kubelet: the component that runs on all of the machines in your cluster and does things like starting pods and containers.

• kubectl: the command line util to talk to your cluster.

搭建方式

kubeadmin

kubeadm

环境安装

master和nodes 均需要执行一下步骤进行安装

cat <<EOF | sudo tee /etc/yum.repos.d/kubernetes.repo[kubernetes]name=Kubernetesbaseurl=https://mirrors.aliyun.com/kubernetes/yum/repos/kubernetes-el7-x86_64enabled=1gpgcheck=1repo_gpgcheck=1gpgkey=https://mirrors.aliyun.com/kubernetes/yum/doc/yum-key.gpg https://mirrors.aliyun.com/kubernetes/yum/doc/rpm-package-key.gpgexclude=kubelet kubeadm kubectlEOF# Set SELinux in permissive mode (effectively disabling it)sudo setenforce 0sudo sed -i 's/^SELINUX=enforcing$/SELINUX=permissive/' /etc/selinux/config# turn off swapswapoff -a # 临时vim /etc/fstab # 永久sudo yum install -y kubelet-1.20.5 kubeadm-1.20.5 kubectl-1.20.5 --disableexcludes=kubernetessudo systemctl enable --now kubelet

uninstall command sudo yum remove -y kubelet kubeadm kubectl

集群部署

假设 master 所在机器为 10.176.66.58

# 提前拉去镜像kubeadm config images pull --image-repository registry.aliyuncs.com/google_containerskubeadm config images pull --image-repository 10.176.66.20/google_containers# ping 不通 service 和 pod 的dnssudo kubeadm init \--apiserver-advertise-address=10.114.130.3 \--image-repository registry.aliyuncs.com/google_containers \--kubernetes-version v1.20.5 \--service-cidr=10.96.0.0/12 \--pod-network-cidr=10.244.0.0/16# 使用私服sudo kubeadm init \--apiserver-advertise-address=10.114.130.3 \--image-repository 10.176.66.20/google_containers \--kubernetes-version v1.20.5 \--service-cidr=10.96.0.0/12 \--pod-network-cidr=10.244.0.0/16# 在 nodes 上直接上面生成的命令，加入集群，如下kubeadm join 10.176.66.58:6443 --token 7opg66.gcmdavb2vxiliytp \    --discovery-token-ca-cert-hash sha256:ecb8d4930ac8489c1196560612afa1736dddf7be25244a50e64c82dca9bb2644# 使用 kubectl 工具mkdir -p $HOME/.kubesudo cp -i /etc/kubernetes/admin.conf $HOME/.kube/configsudo chown $(id -u):$(id -g) $HOME/.kube/config# 查看 node 节点加入情况kubectl get nodes# 查看 pod 情况kubectl get pods -o wide# 安装 pod 网络插件 CNIkubectl apply -f  https://raw.githubusercontent.com/coreos/flannel/master/Documentation/kube-flannel.yml

master 重新生成加入命令: kubeadm token create --print-join-command kubeadm token list

master/node 退出集群 kubeadm reset

二进制安装

待更新

YAML 支持的数据结构

# 查看所有 pod 和 servicekubectl get pod,svc# 开启检测, 有变化打印kubectl get pod -w# 查看 所有组件kubectl get pods --all-namespaces -o widekubectl get componentstatuses# 查看某个服务情况kubectl describe pods -n kube-system coredns-7f89b7bc75-hsjdl# 查看某个 pod 信息kubectl describe pod <pod-name># 查看 pod 下，某个容器日志kubectl logs <pod-name> -c <container-name># 删除某个 podkubectl delete pod <pod-name># 删除所有 deploymentkubectl delete deployment --all# 删除所有 podkubectl delete pod --all# 根据配置文件创建对象kubectl create -f nginx.yaml# 根据配置文件删除对象 (猜测是根据 meta 标识的唯一对象进行删除)kubectl delete -f nginx.yaml# 更新对象配置kubectl replace -f nginx.yaml# 进入容器kubectl exec -it nacos-2 -- /bin/bash

常用命令

# 更新kubectl set image deployment/nginx-deployment nginx=nginx:1.16.1 --record# 查看回滚历史kubectl rollout history deployment.v1.apps/nginx-deployment# 回滚到上个版本kubectl rollout undo deployment.v1.apps/nginx-deployment# 回滚到指定版本kubectl rollout undo deployment.v1.apps/nginx-deployment --to-revision=2# 缩放kubectl scale deployment.v1.apps/nginx-deployment --replicas=10# 自动伸缩kubectl autoscale deployment.v1.apps/nginx-deployment --min=10 --max=15 --cpu-percent=80# 查看各 pod/container cpu和memory 的占用量kubectl top podkubectl top pod test-huishi-server-6f875487d7-9rzpdkubectl top pod | grep lemes-service-common# 查看节点的内存和cpu占用情况kubectl top nodessudo systemctl restart docker

使用Rancher

deploy nfs

sudo yum install -y nfs-utils rpcbindsudo mkdir -p /data/nfssudo sh -c "sudo echo '/data/nfs *(rw,sync,no_root_squash)' >> /etc/exports"sudo systemctl enable --now nfssudo systemctl enable --now rpcbind

部署 ceph (未验证)

sudo cat > /etc/yum.repos.d/ceph.repo << EOF[ceph-norch]name=ceph-norchbaseurl=https://mirrors.aliyun.com/ceph/rpm-nautilus/el7/noarch/enabled=1gpgcheck=0[ceph-x86_64]name=ceph-x86_64baseurl=https://mirrors.aliyun.com/ceph/rpm-nautilus/el7/x86_64/enabled=1gpgcheck=0EOFsudo yum install ceph-common

强制删除 Node

# 查看所有节点> kubectl get nodesNAME          STATUS                        ROLES                      AGE    VERSIONslphog5dnnf   NotReady,SchedulingDisabled   <none>                     328d   v1.20.15slpjl2qmkrt   Ready                         controlplane,etcd,worker   430d   v1.20.15slpombfxgah   Ready                         controlplane,etcd,worker   430d   v1.20.15# 根据节点名，强制删除节点kubectl delete node slphog5dnnf --force --grace-period=0

部署 redis

kubectl exec -it redis-cluster-0 -- redis-cli --cluster create --cluster-replicas 1 $(kubectl get pods -l app=redis-cluster -o jsonpath='{range.items[*]}{.status.podIP}:6379 {end}')kubectl exec -it redis-cluster-0 -- redis-cli cluster nodes

修改 ingress 端口

- --http-port=81- --https-port=8443

集成 ceph

安装 ceph

# 安装 cephsudo yum -y install ceph-common# 创建poolceph osd pool create kubernetes 16 16# 初始化poolrbd pool init kubernetes# 创建块文件rbd create -p kubernetes --image-feature layering rbd.img --size 10Gmkdir -p /data/ceph/sdbmkdir -p /data/ceph/sdc# 查看 lv pathsudo vgscansudo vgdisplay -v datavgceph-deploy osd create --data /dev/datavg/lv_data whulpdpms01ceph-deploy osd create --data /dev/datavg/lv_data whulpdpms02ceph-deploy osd create --data /dev/datavg/lv_data whulpdpms03

ingress

80重定向443

system -> 配置映射 -> ingress-nginx-controller -> 增加如下内容

force-ssl-redirect: truessl-redirect: true

禁止iframe访问

system -> 配置映射 -> ingress-nginx-controller -> 增加如下内容，支持 snippet

allow-snippet-annotations: true

default -> 负载均衡 -> lemes-gateway-ig/lemes-web-ig -> 升级 -> 标签/注释

nginx.ingress.kubernetes.io/configuration-snippet: |      add_header X-Xss-Protection "1; mode=block" always;      add_header Content-Security-Policy "default-src https: wss: data: blob: 'unsafe-inline' 'unsafe-eval'; frame-ancestors 'self'" always;      add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;      add_header X-Content-Type-Options "nosniff" always;

Problem 问题记录

Snippet directives are disabled by the Ingress administrator

当应用如下配置时报错题目问题
```yaml
# 暴露服务

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
name: lemes-gateway-ig
namespace: default
annotations:
nginx.ingress.kubernetes.io/rewrite-target: /$2
nginx.ingress.kubernetes.io/proxy-connect-timeout: “600”
nginx.ingress.kubernetes.io/proxy-send-timeout: “600”
nginx.ingress.kubernetes.io/proxy-read-timeout: “600”
nginx.ingress.kubernetes.io/proxy-body-size: “600m”
nginx.ingress.kubernetes.io/configuration-snippet: |
more_set_headers “Host $host”;
more_set_headers “X-Forwarded-Proto $scheme”;
more_set_headers “X-Forwarded-For $proxy_add_x_forwarded_for”;
more_set_headers “X-Real-IP $remote_addr”;
spec:
rules:
- http:
paths:
- path: /lemes-api(/|$)(.*)
pathType: Prefix
backend:
service:
name: lemes-gateway-svc
port:
number: 80

原因与解决方案: https://github.com/kubernetes/ingress-nginx/issues/78371. 编辑 ingress-nginx```bashkubectl edit configmap -n ingress-nginx ingress-nginx-controller

2. 如果有如下内容, 删除或修改 false 为 true

data:  allow-snippet-annotations: "false"

ingress 前多层反向代理穿透， 获取 real ip

升级 集群名-> System -> 资源 -> 配置映射 中的 ingress-nginx-controller
添加如下键值对

compute-full-forwarded-for: trueforwarded-for-header: X-Forwarded-Foruse-forwarded-headers:true

实时生效

容器删不掉

docker stop/kill/rm -f 都不好使

# 找到进程$ ps axo stat,ppid,pid,comm | grep -w defunctZl   19653 19679 java <defunct># 找到父进程$ ps -f 19679UID        PID  PPID  C STIME TTY      STAT   TIME CMDroot     19653 19635  0 11:02 ?        Ss     0:00 [docker-startup.]$ sudo kill -9 19635$ sudo systemctl restart docker

强制删除所有 terminating 的 pod

kubectl get pods | grep Terminating | awk '{print $1}' | xargs -I {} kubectl delete pod {} --force --grace-period=0kubectl delete pod nginx-ingress-controller-lbftg --force --grace-period=0

too many open files

sudo vi /etc/sysctl.conf# 添加fs.file-max=9000000fs.inotify.max_user_instances = 1000000fs.inotify.max_user_watches = 1000000sudo sysctl -psudo systemctl restart docker

删除挂载卷

# 查看挂载卷cat /proc/mounts |grep "docker"# 显示/dev/mapper/centos-root /var/lib/docker/overlay xfs rw,seclabel,relatime,attr2,inode64,noquota 0 0 overlay /var/lib/docker/overlay/xxxxxxxxxx# 取消挂载umount /var/lib/docker/overlay/xxxxxxxxxxx# 批量取消挂载sudo umount `cat /proc/mounts |grep "docker"|awk '{print $2}'`

docker 假死

[lemes@slt6dhqgxev ~]$ docker psCannot connect to the Docker daemon at unix:///var/run/docker.sock. Is the docker daemon running?# journalctl -u docker.serviceaccept4: too many open files

问题解析
文件数创建上限

问题解决

sudo vi /etc/sysctl.conf# 添加fs.file-max = 9000000fs.inotify.max_user_instances = 1000000fs.inotify.max_user_watches = 1000000# 生效sudo sysctl -p# 重启 docker 服务sudo systemctl restart docker# 启动所有关闭的容器docker start $(docker ps -a | awk '{ print $1}' | tail -n +2)

rancher 应用 HOST-PATH 时 使用 subPath / subPathExpr 日志没有写入宿主机

问题讨论：volume hostpath with subpath

问题原因：
映射到了 kubectl 容器内
docker exec -it $(docker ps -aq --filter "name=kubelet") /bin/sh

k8s 集群内 dns 生效(rancher)

修改了宿主机的 dns 后，需要重启 docker 才能全体生效

sudo systemctl restart docker

报错 x509: certificate is not valid for any names, but wanted to match ingress-nginx-controller-admission.ingress-nginx.svc

kubectl delete -A ValidatingWebhookConfiguration foobar-ingress-nginx-admission

network plugin is not ready: cni config uninitialized

网络框架一直安装不上, 根据 docker logs -f kubelet 日志查看, 网络插件安装时报 diskpress 被放逐
问题: /data 磁盘空间不足
解决方案: 释放磁盘空间解决

Pod ephemeral local storage usage exceeds the total limit of containers 4Gi.

现象: pod被驱逐, 报错如题
问题: 使用的临时容量超过了节点限制(在此节点上)

2023-08-11 21:22 再次出现这个问题

经查询资料， 可能是由于没有限制容器日志造成的

南方厂工厂的 sudo vi /etc/docker/daemon.json 配置确实如下

{  "registry-mirrors": [],  "insecure-registries": [    "10.176.66.20:5000",    "10.188.132.44:5000",    "10.188.132.123:5000",    "10.176.2.207:5000"  ],  "data-root":"/data/docker/system",  "debug": true,  "experimental": false,}

改为如下, 限制每个容器只能保留10m的日志

{  "registry-mirrors": [],  "insecure-registries": [    "10.188.132.44:5000",    "10.188.132.123:5000",    "10.176.2.207:5000"  ],  "data-root":"/data/docker/system",  "debug": true,  "experimental": false,  "log-driver": "json-file",  "log-opts": {    "max-size": "10m",    "max-file": "1",    "labels": "production_status",    "env": "os,customer"  }}

2023-08-25 16:41 再次出现问题
发现 tingyun 使用的 emptyDir 中， 一直在写入日志，导致占用临时空间

# 查询log日志总数sudo find /data/docker/system/containers/ -name "*-json.log" | xargs sudo ls -l | awk '{print $5}' | awk '{sum+=$1}END{print sum}'# 删除sudo sh -c "truncate -s 0 /data/docker/system/containers/*/*-json.log"# sudo find /data/docker/system/containers/ -name "*-json.log" | xargs sudo rm -rf

2023-08-31 smt-wh 和 smt-tjsc 都出现了这个问题 The node was low on resource: ephemeral-storage. Container lemes-service-wh-report was using 1936Ki, which exceeds its request of 0.

超出了0，就不是有限制， 而是当前磁盘已经达到了 85%，造成了 pod 驱逐

导入 lemes-web 出现问题

Error from server (InternalError): error when creating “management-state/tmp/yaml-397511040”: Internal error occurred: failed calling webhook “validate.nginx.ingress.kubernetes.io”: Post “https://ingress-nginx-controller-admission.ingress-nginx.svc:443/networking/v1/ingresses?timeout=10s“: x509: certificate is not valid for any names, but wanted to match ingress-nginx-controller-admission.ingress-nginx.svc

2024-10-28 导入 moss-web 时, 再次遇到:
Internal error occurred: failed calling webhook "validate.nginx.ingress.kubernetes.io": Post "https://ingress-nginx-controller-admission.ingress-nginx.svc:443/networking/v1beta1/ingresses?timeout=10s\“: x509: certificate is valid for localhost, rancher.cattle-system, not ingress-nginx-controller-admission.ingress-nginx.svc

解决方案: https://github.com/kubernetes/ingress-nginx/issues/5968#issuecomment-782092413

# Find name of the ingress-nginx-admission resourcekubectl get -A ValidatingWebhookConfiguration# Delete itkubectl delete -A ValidatingWebhookConfiguration <name># Example:kubectl delete -A ValidatingWebhookConfiguration foobar-ingress-nginx-admission

node 节点报错 PLEG is not healthy: pleg was last seen active 7m20.510472824s ago; threshold is 3m0s

有个 issue 问题很像 PLEG is not healthy K8 1.20.4/Ubuntu 20.04

根据 minchieh-fay 老哥的回答,是 runc 的 runc-1.0.0-rc93 这个版本有问题

可以通过 docker version 来查看 runc 的版本, 确实是 runc-1.0.0-rc93, 按照如下方式进行离线升级

1. 到 runc 的 github release 找到升级的版本, 我选的是 1.1.4, 选择 runc.amd64 进行下载
2. 上传到服务器, 执行 mv runc.amd64 runc && chmod +x runc 进行重命名和赋予执行权限
3. 备份原来的 runc 文件, mv /usr/bin/runc /usr/bin/runc.bak
4. 停止 docker 服务, systemctl stop docker
5. 移动新的 runc 文件到 /usr/bin/ 目录下, mv runc /usr/bin/runc
6. 启动 docker 服务, systemctl start docker
7. 执行 docker version 查看 runc 版本, 确认升级成功

容器内

-XX:+UseContainerSupport -XX:InitialRAMPercentage=75.0 -XX:MaxRAMPercentage=75.0 -XX:+HeapDumpOnOutOfMemoryError -XX:HeapDumpPath=/home/admin/nas/dump-${POD_IP}-$(date '+%s').hprof

G1

https://juejin.cn/post/6856222574155104270
https://juejin.cn/post/7007343142328352804
https://blog.csdn.net/jiguansheng/article/details/105406343
https://tech.meituan.com/2016/09/23/g1.html

概念

新生代

新生代又叫年轻代，大多数对象在新生代中被创建，很多对象的生命周期很短。每次新生代的垃圾回收（又称Young GC、Minor GC、YGC）后只有少量对象存活，所以使用复制算法，只需少量的复制操作成本就可以完成回收。

新生代内又分三个区：一个Eden区，两个Survivor区(S0、S1，又称From Survivor、To Survivor)，大部分对象在Eden区中生成。当Eden区满时，还存活的对象将被复制到两个Survivor区（中的一个）。当这个Survivor区满时，此区的存活且不满足晋升到老年代条件的对象将被复制到另外一个Survivor区。对象每经历一次复制，年龄加1，达到晋升年龄阈值后，转移到老年代

老年代

在新生代中经历了N次垃圾回收后仍然存活的对象，就会被放到老年代，该区域中对象存活率高。老年代的垃圾回收通常使用“标记-整理”算法

YGC

触发条件: 新生代占据整个堆大小的 60%

新生代: Eden Space + Survivor Space

新生代晋升老年代条件

• 对象超过 age 阈值 15
• 附质量过程超过 50, age 最大的放到老年代

-XX:MaxGCPauseMils 默认为200ms
在优先时间内尽量回收垃圾多的区域, 让时间效率最大化

Young GC 每次都会引起全线停顿(Stop-The-World)，暂停所有的应用线程，停顿时间相对老年代GC的造成的停顿，几乎可以忽略不计

Mixed GC

新生代和老年代进行收集和整理
触发条件: 老年代超过堆 45%

压缩算法回收 STW(Stop-The-World)

G1 开辟一块最多 5% 堆空间的内存用于标记压缩的数据交换, 过程产生 STW, STW 200ms内最多回收 10% 垃圾最多的区域, 回收后检查老年代是否低于 45%, 未达标继续再来一次, 最多 8 次, 8次未达标 Serial Old GC(Full GC)

Other

used = resident + swapped pages

jstat

doc

-gc

jstat -gcutil 10

S0: Survivor 0区的空间使用率 Survivor space 0 utilization as a percentage of the space’s current capacity.

S1: Survivor 1区的空间使用率 Survivor space 1 utilization as a percentage of the space’s current capacity.

E: Eden区的空间使用率 Eden space utilization as a percentage of the space’s current capacity.

O: 老年代的空间使用率 Old space utilization as a percentage of the space’s current capacity.

M: 元数据的空间使用率 Metaspace utilization as a percentage of the space’s current capacity.

CCS: 类指针压缩空间使用率 Compressed class space utilization as a percentage.

YGC: 新生代GC次数 Number of young generation GC events.

YGCT: 新生代GC总时长（从应用程序启动到采样时年轻代中gc所用时间 单位：s）
Young generation garbage collection time.

FGC: Full GC次数 Number of full GC events.

FGCT: Full GC总时长（从应用程序启动到采样时old代(全gc)gc所用时间 单位：s）
Full garbage collection time.

GCT: 总共的GC时长 （从应用程序启动到采样时gc用的总时间 单位：s）Total garbage collection time.

查询当前使用的是什么垃圾回收器

查看是否通过 JVM 参数指定了虚拟机类型

ps -ef | grep webservice

查询 JDK 默认虚拟机类型

java -XX:+PrintCommandLineFlags -version

others

# 查看堆空间占用类， 前20条jmap -histo PID | head -n20

bash-4.2# jmap -histo 9 | head -n20
num #instances #bytes class name (module)

1: 544456 3280814896 [C (java.base@11.0.18)
2: 3076195 1819165352 [B (java.base@11.0.18)
3: 1029042 626773184 [I (java.base@11.0.18)
4: 6287573 201202336 java.lang.ClassValue$Entry (java.base@11.0.18)
5: 4575213 183008520 java.util.WeakHashMap$Entry (java.base@11.0.18)
6: 2214270 141713280 java.util.concurrent.ConcurrentHashMap (java.base@11.0.18)
7: 1085202 130240080 [Ljava.lang.Object; (java.base@11.0.18)
8: 1492883 130059632 [Ljava.util.WeakHashMap$Entry; (java.base@11.0.18)
9: 3101147 124045880 java.lang.ref.SoftReference (java.base@11.0.18)
10: 3068059 122722360 java.lang.invoke.BoundMethodHandle$Species_LL (java.base@11.0.18)
11: 4341767 104202408 java.lang.ClassValue$Version (java.base@11.0.18)
12: 1506502 84364112 jdk.nashorn.internal.runtime.ScriptFunction (jdk.scripting.nashorn@11.0.18)
13: 2004817 80192680 java.util.TreeMap$Entry (java.base@11.0.18)
14: 2316002 74112064 java.util.HashMap$Node (java.base@11.0.18)
15: 2282867 73051744 jdk.nashorn.internal.runtime.PropertyHashMap$Element (jdk.scripting.nashorn@11.0.18)
16: 4341767 69468272 java.lang.ClassValue$Identity (java.base@11.0.18)
17: 1435938 68925024 java.util.WeakHashMap (java.base@11.0.18)
18: 1657484 66299360 jdk.nashorn.internal.runtime.CompiledFunction (jdk.scripting.nashorn@11.0.18)

[C is a char[]
[B is a byte[]
[I is a int[]
[S is a short[]
[[I is a int[][]

# 查看堆空间存活, 注意, 会触发 full gcjmap -histo:live PID | head -n20

yum

# 就是把服务器的包信息下载到本地电脑缓存起来，makecache建立一个缓存，以后用install时就在缓存中搜索，提高了速度。yum makecache# 不用上网检索就能查找软件信息yum -C search git# 清理缓存yum clean all# 添加 Extra Packages for Enterprise Linux 源，安装后就可以在 /etc/yum.repos.d/ 看到 epel 源信息yum install -y epel-release# 接下来以 ansible 这个软件为例yum install ansible     # 安装yum reinstall ansible   # 重新安装yum upgrade ansible     # 升级yum info ansible        # 查看软件信息yum remove ansible      # 删除yum update              # 升级所有包同时也升级软件和系统内核(慎用yum upgrade             # 升级所有包，但不升级软件和系统内核yum list ansible        # 查看是否安装yum list all            # 列出所有软件yum list installed      # 列出所有安装的软件yum list available      # 列出所有可以安装的软件yum search ansible      # 搜索软件信息yum whatprovides rm     # yum源中查找包含rm的软件包yum check-update        # 查看可更新的软件列表rpm -ql ansible | more  # 查看 ansible 的安装位置# 换源## 备份mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup## 下载新的配置文件### CentOS 6wget -O /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-6.repo### CentOS 7wget -O /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo### CentOS 8wget -O /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-8.repo## 生成缓存yum makecache

ansible

# 修改要管理的机器vim /etc/ansible/hosts[webservers]192.168.1.100192.168.1.101

man

# 在 .bashrc 中放入，可以高亮man手册function man(){    env \    LESS_TERMCAP_mb=$(printf "\e[1;31m") \    LESS_TERMCAP_md=$(printf "\e[1;31m") \    LESS_TERMCAP_me=$(printf "\e[0m") \    LESS_TERMCAP_se=$(printf "\e[0m") \    LESS_TERMCAP_so=$(printf "\e[1;44;33m") \    LESS_TERMCAP_ue=$(printf "\e[0m") \    LESS_TERMCAP_us=$(printf "\e[1;32m") \    man "$@"}

zsh/on-my-zsh

# 安装 zsh gityum install -y zsh git# 设置默认shell为 zshchsh -s /bin/zsh# 安装 on-my-zshsh -c "$(curl -fsSL https://raw.githubusercontent.com/robbyrussell/oh-my-zsh/master/tools/install.sh)"# 复制配置cp ~/.oh-my-zsh/templates/zshrc.zsh-template ~/.zshrc# 手动安装 zsh http://zsh.sourceforge.net/Arc/source.htmlyum -y install gcc perl-ExtUtils-MakeMaker ncurses-devel# 编译安装tar xvf zsh-5.8.tar.xzcd zsh-5.8./configuremake && make install# 将zsh加入/etc/shellsvim /etc/shells # 添加：/usr/local/bin/zsh

git

sudo yum install -y https://packages.endpointdev.com/rhel/7/os/x86_64/endpoint-repo.x86_64.rpmsudo yum install -y git

neovim

# Download source codegit clone https://github.com/neovim/neovim.git# install cmake and dependencysudo yum install -y cmake gcc-c++ libtool unzip# compile with cmakemake CMAKE_BUILD_TYPE=Release# installsudo make install# fix error: Failed to load python3 hostpip3 install --upgrade --force-reinstall neovim

neofetch

dnf copr enable -y konimex/neofetchdnf install -y neofetch

rainbarf

# Download source codegit clone https://github.com/creaktive/rainbarf.git# install dependencyyum install -y perl-Module-Build perl-Test-Simple# installperl Build.PL./Build test./Build install

node

Mange node using nvm

# installationcurl -o- https://raw.githubusercontent.com/nvm-sh/nvm/v0.37.2/install.sh | bash# set path，put following content into ~/.bashrcexport NVM_DIR="$([ -z "${XDG_CONFIG_HOME-}" ] && printf %s "${HOME}/.nvm" || printf %s "${XDG_CONFIG_HOME}/nvm")"[ -s "$NVM_DIR/nvm.sh" ] && \. "$NVM_DIR/nvm.sh" # This loads nvm# install latest nodenvm install node

docker

docker install

# 安装依赖sudo yum install -y yum-utils device-mapper-persistent-data lvm2# 设置 yum 源sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo# 查看 docker 版本sudo yum list docker-ce --showduplicates | sort -r# 选取一个版本进行安装sudo yum install -y docker-ce-28.2.2# 启动 docker 并设置开机启动sudo systemctl enable --now docker

docker install offline

去 docker 官网 下载对应的 docker 离线包, 并上传到服务器上

# 解压 docker 离线包tar -xzvf Docker\ 20.10.24.tgz# 将解压后的文件移动到 /usr/bin 目录下sudo cp docker/* /usr/bin/

通过 sudo vim /usr/lib/systemd/system/containerd.service 创建 containerd.service 文件, 内容如下

# Copyright The containerd Authors.## Licensed under the Apache License, Version 2.0 (the "License");# you may not use this file except in compliance with the License.# You may obtain a copy of the License at##     http://www.apache.org/licenses/LICENSE-2.0## Unless required by applicable law or agreed to in writing, software# distributed under the License is distributed on an "AS IS" BASIS,# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.# See the License for the specific language governing permissions and# limitations under the License.[Unit]Description=containerd container runtimeDocumentation=https://containerd.ioAfter=network.target dbus.service[Service]ExecStartPre=-/sbin/modprobe overlayExecStart=/usr/bin/containerdType=notifyDelegate=yesKillMode=processRestart=alwaysRestartSec=5# Having non-zero Limit*s causes performance problems due to accounting overhead# in the kernel. We recommend using cgroups to do container-local accounting.LimitNPROC=infinityLimitCORE=infinity# Comment TasksMax if your systemd version does not supports it.# Only systemd 226 and above support this version.TasksMax=infinityOOMScoreAdjust=-999[Install]WantedBy=multi-user.target

# 启动并设置开机启动sudo systemctl enable --now containerd# 查看状态sudo systemctl status containerd

通过 sudo vim /usr/lib/systemd/system/docker.service 创建 docker.service 文件, 内容如下

[Unit]Description=Docker Application Container EngineDocumentation=http://docs.docker.comAfter=network.target docker.socket[Service]Type=notifyEnvironmentFile=-/run/flannel/dockerWorkingDirectory=/usr/local/binExecStart=/usr/bin/dockerd \                -H tcp://0.0.0.0:4243 \                -H unix:///var/run/docker.sock \                --selinux-enabled=falseExecReload=/bin/kill -s HUP $MAINPIDLimitNOFILE=infinityLimitNPROC=infinityLimitCORE=infinityTimeoutStartSec=0Delegate=yesKillMode=processRestart=on-failure[Install]WantedBy=multi-user.target

# 启动并设置开机启动sudo systemctl enable --now docker# 检查状态sudo systemctl status docker

docker uninstall

# 卸载sudo yum remove -y docker docker-ce docker-common docker-selinux docker-engine

docker-compose

[[docker#docker-compose]]

rancher

sudo docker run -d --restart=unless-stopped \  -p 80:80 -p 443:443 \  --privileged \  --name=rancher-2.5 \  10.188.132.123:5000/rancher/rancher:v2.5.12docker run -d --restart=unless-stopped \  -p 80:80 -p 443:443 \  --privileged \  --name=rancher \  rancher/rancher:v2.5.17docker restart lemes-rancher-2.5docker stop lemes-rancher-2.5docker start lemes-rancher-2.5docker run -d --restart=unless-stopped \  -p 9080:80 -p 8443:443 \  --privileged \  --name=lemes-rancher-2.5-prod \  10.188.132.123:5000/rancher/rancher:v2.5.12# 生产docker run -d --restart=unless-stopped \  -p 80:80 -p 443:443 \  --privileged \  --name=lemes-rancher-2.5-prod \  10.188.132.44:5000/rancher/rancher:v2.5.12docker run -d --restart=unless-stopped \  -p 9080:80 -p 8443:443 \  --privileged \  --name=lemes-rancher-2.5-prod \  10.188.132.44:5000/rancher/rancher:v2.5.12docker run -d --restart=unless-stopped \  -p 9080:80 -p 9443:443 \  --privileged \  --name=lemes-rancher-2.5-prod \  rancher/rancher:v2.5.12docker run -d --restart=unless-stopped \  -p 8080:80 -p 8083:443 \  --privileged \  --name=lemes-rancher-2.5-prod \  10.176.2.207:5000/rancher/rancher:v2.5.12

Harbor

前提: 需要先安装 docker & docker-compose

复制最新的包的链接: https://github.com/goharbor/harbor/releases

wget https://github.com/goharbor/harbor/releases/download/v2.3.1/harbor-offline-installer-v2.3.1.tgztar -zxf harbor-offline-installer-v2.3.1.tgz -C /data/docker/harborsudo chown -R lemes:lemes /data/docker/harborcd /data/docker/harbor/harborcp harbor.yml.tmpl harbor.ymlvi harbor.ymlsudo su rootexport PATH=$PATH:/usr/local/bin./install.sh

# Configuration file of Harbor# The IP address or hostname to access admin UI and registry service.# DO NOT use localhost or 127.0.0.1, because Harbor needs to be accessed by external clients.hostname: 10.176.2.207# http related confighttp:  # port for http, default is 80. If https enabled, this port will redirect to https port  port: 5000# https related config#https:#  # https port for harbor, default is 443#  port: 443#  # The path of cert and key files for nginx#  certificate: /your/certificate/path#  private_key: /your/private/key/path# # Uncomment following will enable tls communication between all harbor components# internal_tls:#   # set enabled to true means internal tls is enabled#   enabled: true#   # put your cert and key files on dir#   dir: /etc/harbor/tls/internal# Uncomment external_url if you want to enable external proxy# And when it enabled the hostname will no longer used# external_url: https://reg.mydomain.com:8433# The initial password of Harbor admin# It only works in first time to install harbor# Remember Change the admin password from UI after launching Harbor.harbor_admin_password: Lenovo2021# Harbor DB configurationdatabase:  # The password for the root user of Harbor DB. Change this before any production use.  password: root123  # The maximum number of connections in the idle connection pool. If it <=0, no idle connections are retained.  max_idle_conns: 100  # The maximum number of open connections to the database. If it <= 0, then there is no limit on the number of open connections.  # Note: the default number of connections is 1024 for postgres of harbor.  max_open_conns: 900# The default data volumedata_volume: /data/docker/harbor# Harbor Storage settings by default is using /data dir on local filesystem# Uncomment storage_service setting If you want to using external storage# storage_service:#   # ca_bundle is the path to the custom root ca certificate, which will be injected into the truststore#   # of registry's and chart repository's containers.  This is usually needed when the user hosts a internal storage with self signed certificate.#   ca_bundle:#   # storage backend, default is filesystem, options include filesystem, azure, gcs, s3, swift and oss#   # for more info about this configuration please refer https://docs.docker.com/registry/configuration/#   filesystem:#     maxthreads: 100#   # set disable to true when you want to disable registry redirect#   redirect:#     disabled: false# Trivy configuration## Trivy DB contains vulnerability information from NVD, Red Hat, and many other upstream vulnerability databases.# It is downloaded by Trivy from the GitHub release page https://github.com/aquasecurity/trivy-db/releases and cached# in the local file system. In addition, the database contains the update timestamp so Trivy can detect whether it# should download a newer version from the Internet or use the cached one. Currently, the database is updated every# 12 hours and published as a new release to GitHub.trivy:  # ignoreUnfixed The flag to display only fixed vulnerabilities  ignore_unfixed: false  # skipUpdate The flag to enable or disable Trivy DB downloads from GitHub  #  # You might want to enable this flag in test or CI/CD environments to avoid GitHub rate limiting issues.  # If the flag is enabled you have to download the `trivy-offline.tar.gz` archive manually, extract `trivy.db` and  # `metadata.json` files and mount them in the `/home/scanner/.cache/trivy/db` path.  skip_update: false  #  # The offline_scan option prevents Trivy from sending API requests to identify dependencies.  # Scanning JAR files and pom.xml may require Internet access for better detection, but this option tries to avoid it.  # For example, the offline mode will not try to resolve transitive dependencies in pom.xml when the dependency doesn't  # exist in the local repositories. It means a number of detected vulnerabilities might be fewer in offline mode.  # It would work if all the dependencies are in local.  # This option doesn’t affect DB download. You need to specify "skip-update" as well as "offline-scan" in an air-gapped environment.  offline_scan: false  #  # insecure The flag to skip verifying registry certificate  insecure: false  # github_token The GitHub access token to download Trivy DB  #  # Anonymous downloads from GitHub are subject to the limit of 60 requests per hour. Normally such rate limit is enough  # for production operations. If, for any reason, it's not enough, you could increase the rate limit to 5000  # requests per hour by specifying the GitHub access token. For more details on GitHub rate limiting please consult  # https://developer.github.com/v3/#rate-limiting  #  # You can create a GitHub token by following the instructions in  # https://help.github.com/en/github/authenticating-to-github/creating-a-personal-access-token-for-the-command-line  #  # github_token: xxxjobservice:  # Maximum number of job workers in job service  max_job_workers: 10notification:  # Maximum retry count for webhook job  webhook_job_max_retry: 10chart:  # Change the value of absolute_url to enabled can enable absolute url in chart  absolute_url: disabled# Log configurationslog:  # options are debug, info, warning, error, fatal  level: info  # configs for logs in local storage  local:    # Log files are rotated log_rotate_count times before being removed. If count is 0, old versions are removed rather than rotated.    rotate_count: 50    # Log files are rotated only if they grow bigger than log_rotate_size bytes. If size is followed by k, the size is assumed to be in kilobytes.    # If the M is used, the size is in megabytes, and if G is used, the size is in gigabytes. So size 100, size 100k, size 100M and size 100G    # are all valid.    rotate_size: 200M    # The directory on your host that store log    location: /data/docker/harbor/log  # Uncomment following lines to enable external syslog endpoint.  # external_endpoint:  #   # protocol used to transmit log to external endpoint, options is tcp or udp  #   protocol: tcp  #   # The host of external endpoint  #   host: localhost  #   # Port of external endpoint  #   port: 5140#This attribute is for migrator to detect the version of the .cfg file, DO NOT MODIFY!_version: 2.6.0# Uncomment external_database if using external database.# external_database:#   harbor:#     host: harbor_db_host#     port: harbor_db_port#     db_name: harbor_db_name#     username: harbor_db_username#     password: harbor_db_password#     ssl_mode: disable#     max_idle_conns: 2#     max_open_conns: 0#   notary_signer:#     host: notary_signer_db_host#     port: notary_signer_db_port#     db_name: notary_signer_db_name#     username: notary_signer_db_username#     password: notary_signer_db_password#     ssl_mode: disable#   notary_server:#     host: notary_server_db_host#     port: notary_server_db_port#     db_name: notary_server_db_name#     username: notary_server_db_username#     password: notary_server_db_password#     ssl_mode: disable# Uncomment external_redis if using external Redis server# external_redis:#   # support redis, redis+sentinel#   # host for redis: <host_redis>:<port_redis>#   # host for redis+sentinel:#   #  <host_sentinel1>:<port_sentinel1>,<host_sentinel2>:<port_sentinel2>,<host_sentinel3>:<port_sentinel3>#   host: redis:6379#   password: #   # sentinel_master_set must be set to support redis+sentinel#   #sentinel_master_set:#   # db_index 0 is for core, it's unchangeable#   registry_db_index: 1#   jobservice_db_index: 2#   chartmuseum_db_index: 3#   trivy_db_index: 5#   idle_timeout_seconds: 30# Uncomment uaa for trusting the certificate of uaa instance that is hosted via self-signed cert.# uaa:#   ca_file: /path/to/ca# Global proxy# Config http proxy for components, e.g. http://my.proxy.com:3128# Components doesn't need to connect to each others via http proxy.# Remove component from `components` array if want disable proxy# for it. If you want use proxy for replication, MUST enable proxy# for core and jobservice, and set `http_proxy` and `https_proxy`.# Add domain to the `no_proxy` field, when you want disable proxy# for some special registry.proxy:  http_proxy:  https_proxy:  no_proxy:  components:    - core    - jobservice    - trivy# metric:#   enabled: false#   port: 9090#   path: /metrics# Trace related config# only can enable one trace provider(jaeger or otel) at the same time,# and when using jaeger as provider, can only enable it with agent mode or collector mode.# if using jaeger collector mode, uncomment endpoint and uncomment username, password if needed# if using jaeger agetn mode uncomment agent_host and agent_port# trace:#   enabled: true#   # set sample_rate to 1 if you wanna sampling 100% of trace data; set 0.5 if you wanna sampling 50% of trace data, and so forth#   sample_rate: 1#   # # namespace used to differenciate different harbor services#   # namespace:#   # # attributes is a key value dict contains user defined attributes used to initialize trace provider#   # attributes:#   #   application: harbor#   # # jaeger should be 1.26 or newer.#   # jaeger:#   #   endpoint: http://hostname:14268/api/traces#   #   username:#   #   password:#   #   agent_host: hostname#   #   # export trace data by jaeger.thrift in compact mode#   #   agent_port: 6831#   # otel:#   #   endpoint: hostname:4318#   #   url_path: /v1/traces#   #   compression: false#   #   insecure: true#   #   timeout: 10s# enable purge _upload directoriesupload_purging:  enabled: true  # remove files in _upload directories which exist for a period of time, default is one week.  age: 168h  # the interval of the purge operations  interval: 24h  dryrun: false# cache layer configurations# If this feature enabled, harbor will cache the resource# `project/project_metadata/repository/artifact/manifest` in the redis# which can especially help to improve the performance of high concurrent# manifest pulling.# NOTICE# If you are deploying Harbor in HA mode, make sure that all the harbor# instances have the same behaviour, all with caching enabled or disabled,# otherwise it can lead to potential data inconsistency.cache:  # not enabled by default  enabled: false  # keep cache for one day by default  expire_hours: 24

# 阻止 vim 样式穿透

nexus

# create dir of nexussudo mkdir /data/nexus-data && sudo chown -R 200 /data/nexus-datadocker run -d -p 8081:8081 --name nexus -v /data/nexus-data:/nexus-data 10.188.132.123:5000/library/sonatype/nexus3:3.63.0

jenkins

修改启动用户，默认 anonymous 在 jenkins 脚本中没有权限创建文件

sudo vi /etc/sysconfig/jenkins# 找到如下内容，修改后面的用户为有权限的用户JENKINS_USER="lemes"# 重启 jenkinsservice jenkins restart

jenkins-docker

docker run -d --name jenkins -p 9080:8080 10.188.132.44:5000/library/jenkins/jenkins:2.426.2-lts-jdk17sudo mkdir -p /data/jenkins_homesudo chown -R 1000:1000 /data/jenkins_homedocker run -d --name jenkins -p 9080:8080 \  -v /var/run/docker.sock:/var/run/docker.sock \  -v /data/jenkins_home:/var/jenkins_home \  10.188.132.44:5000/library/jenkins/jenkins:2.426.3-lts-jdk17-dinddocker run -d --name jenkins -p 8080:8080 \  -v /var/run/docker.sock:/var/run/docker.sock \  -v /data/jenkins_home:/var/jenkins_home \  10.188.132.44:5000/library/jenkins/jenkins:2.426.3-lts-jdk17-dinddocker run -d --name jenkins -p 9080:8080 \  -v /var/run/docker.sock:/var/run/docker.sock \  10.188.132.44:5000/library/jenkins/jenkins:2.426.3-lts-jdk17-dinddocker run -d --name jenkins -p 9080:8080 \  -v /var/run/docker.sock:/var/run/docker.sock \  10.188.132.44:5000/library/jenkins/jenkins:2.426.3-lts-jdk17-dinddocker run -d --name jenkins -p 8080:8080 \  -v /var/run/docker.sock:/var/run/docker.sock \  10.188.132.44:5000/library/jenkins/jenkins:2.426.3-lts-jdk17-dind-plugindocker run -d --name jenkins -p 8080:8080 \  -v /var/run/docker.sock:/var/run/docker.sock \  -v /data/jenkins_home:/var/jenkins_home \  jenkins:2.426.3-lts-jdk17-dinddocker run \  --rm \  -u root \  -p 8080:8080 \  -v jenkins-data:/var/jenkins_home \  -v /var/run/docker.sock:/var/run/docker.sock \  -v "$HOME":/home \  jenkinsci/blueocean

• jenkins plugin

nginx

sudo yum install -y epel-releasesudo yum -y install nginx # 安装 nginxsudo yum remove nginx  # 卸载 nginx

keepalived

# 安装 keepalivedsudo yum install -y keepalived

python

Download latest installation package from https://www.python.org/downloads/source/

# 安装依赖&编译工具yum -y groupinstall "Development tools"yum -y install zlib-devel bzip2-devel openssl-devel ncurses-devel sqlite-devel readline-devel tk-devel gdbm-devel db4-devel libpcap-devel xz-develyum install -y libffi-devel zlib1g-devyum install zlib* -y# 下载安装包wget https://www.python.org/ftp/python/3.9.1/Python-3.9.1.tgz# 解压tar -xvf Python-3.9.1.tgz# 创建编译目录mkdir /usr/local/python3# 编译./configure --prefix=/usr/local/python3 --enable-optimizations --with-ssl make && make install# 创建软连接ln -s /usr/local/python3/bin/python3 /usr/local/bin/python3ln -s /usr/local/python3/bin/pip3 /usr/local/bin/pip3# 验证python3 -Vpip3 -V

gcc8

sudo yum install centos-release-scl devtoolset-8-gcc* -y# 激活生效（临时）scl enable devtoolset-8 bashgcc -v

jdk

# 创建 jdk 存放目录mkdir -p /data/software/jdkcd /data/software/jdk# 下载 jdk 包wget https://corretto.aws/downloads/latest/amazon-corretto-8-x64-linux-jdk.tar.gz# 解压tar -zxvf amazon-corretto-8-x64-linux-jdk.tar.gz# 设置 JAVA_HOME 和 PATHvi /etc/profileexport JAVA_HOME=/data/software/jdk/amazon-corretto-8.322.06.2-linux-x64export PATH=${JAVA_HOME}/bin:${PATH}# 生效source /etc/profile

sudo rpm --import https://yum.corretto.aws/corretto.key  sudo curl -L -o /etc/yum.repos.d/corretto.repo https://yum.corretto.aws/corretto.reposudo yum install -y java-11-amazon-corretto-devel

maven

# 下载 maven 包 https://dlcdn.apache.org/mkdir -p /data/software/mavencd /data/software/mavenwget https://dlcdn.apache.org/maven/maven-3/3.9.1/binaries/apache-maven-3.9.1-bin.tar.gz --no-check-certificate# 解压tar -zxvf apache-maven-3.9.1-bin.tar.gz# 设置环境变量sudo vi /etc/profileMAVEN_HOME=/data/software/maven/apache-maven-3.9.1export PATH=${MAVEN_HOME}/bin:${PATH}# 生效source /etc/profile

redis

# https://redis.io/download/cd /usr/local/curl -LO https://codeload.github.com/redis/redis/tar.gz/refs/tags/7.0.5tar -zxvf redis-7.0.5.tar.gzcd redis-7.0.5/

ntp

yum install ntp ntpdatesystemctl start ntpdsystemctl enable ntpd

iptables

sudo yum install -y iptables-servicessudo systemctl start iptablessudo yum remove -y iptables-services

System setting

ssh no password

# 客户端## 生成公私钥对ssh-keygen -t rsa -C "yelog@mail.com"## 复制下面下面打印出来的公钥cat ~/.ssh/id_rsa.pub# 将公钥上传到服务器ssh-copy-id -i ～/.ssh/id_rsa.pub root@xx.xx.xx.xx# 手动将密钥上传到服务器## 创建 authorized_keys（存在则忽略）touch ~/.ssh/authorized_keys## 设置权限chmod 700 -R ~/.ssh## 追加到文件内echo "公钥" >> ~/.ssh/authorized_keys

open file limit

# 获取当前系统设置的文件数ulimit -n# 软件限制ulimit  -Sn# 硬件限制ulimit  -Hn# 临时生效ulimit -SHn 10000# 永久生效sudo vim /etc/security/limits.conf* soft nofile 9000000* hard nofile 9000000# 查看当前进程打开了多少句柄数lsof -n|awk '{print $2}'|sort|uniq -c|sort -nr|moresudo vi /etc/sysctl.conf# 添加fs.file-max = 9000000fs.inotify.max_user_instances = 1000000fs.inotify.max_user_watches = 1000000# 生效sudo sysctl -p

firewalld

# 启动 firewalldsudo systemctl start firewalld# 查看 firewalld 状态sudo systemctl status firewalld# 关闭 firewalldsudo systemctl stop firewalld# 重新加载配置sudo firewall-cmd --reload# 允许端口(tcp)范围进行访问sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" port port="1-9329" protocol="tcp" accept' --permanent# 允许端口(udp)范围进行访问sudo firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" port port="1-9329" protocol="udp" accept' --permanent# 添加访问端口 永久生效sudo firewall-cmd --zone=public --add-port=9332/tcp --permanent

disk

# 挂载磁盘 /dev/sda3 到/data目录， 重启失效# 需要提前 创建 /data 目录mount /dev/sda3 /data

永久生效 vi /etc/fstab, 添加如下内容

/dev/sda3 /data ext4 defaults 0 0

Cpu&Memory

# 查询物理个数grep 'physical id' /proc/cpuinfo | sort -u | wc -l# 查看 CPU 物理核心数量grep 'core id' /proc/cpuinfo | sort -u | wc -l# 查看 CPU 逻辑核心数量(一般说几C几G, 说的是逻辑核心)grep 'processor' /proc/cpuinfo | sort -u | wc -l

command

network

DNS

[[CentOS修改DNS-GW-IP# 1.修改DNS]]

gateway

[[CentOS修改DNS-GW-IP# 2.修改网关]]

IP

[[CentOS修改DNS-GW-IP# 3.修改IP]]

# 监控 eth1 网卡的上下行网络watch -d ifstat eth1

files

search and delete file

# 查找并删除当前文件夹下（包括子目录） 的所有以 .bak 结尾的文件find . -name *.bak -type f -exec rm -rf {} \;# 查找并删除当前文件夹（包括子目录） 的所有 .settings 目录，并执行删除命令find . -name '.settings' -type d -exec rm -rf {} \;

ctrl-w delete word

add the following lines to my .bashrc

stty werase undefbind '\C-w:unix-filename-rubout'

enable vim on cli

set -o vi