md5.pw - 用户贡献 [zh]

搬瓦工VPS被入侵导致“滥用暂停”的排查与快照恢复指南

2026-03-21T13:30:00Z

Air：

在登录搬瓦工 KiwiVM 控制面板管理 VPS 时，部分用户可能会遇到系统提示 '''"This service is currently suspended."（该服务目前已被暂停）'''的红色警告信息。

这种情况对于并非个例。许多初学者在刚使用 VPS 时，缺乏必要的安全防护意识，导致服务器遭受黑客入侵并沦为恶意网络行为的工具（俗称“肉鸡”）。搬瓦工官方拥有严格的网络风控与监控机制，一旦发现你的服务器存在违规滥用行为，便会立即暂停该服务并扣除相应的“滥用积分（Abuse points）”。

本文将结合搬瓦工官方服务条款（TOS）及常见的封禁提示，带你分析服务器被入侵的潜在原因，指导你如何解除封锁、排查问题，并利用 KiwiVM 自带的'''自动备份（Automatic backups）'''与'''快照（Snapshot）'''功能，找回数据或重新定制一个纯净安全的基础环境。

=== 一、读懂警告信息：五种常见的滥用封禁原因 ===
[[File:滥用信息汇总.png|1100x1100px]]

根据大量被封禁用户的后台截图信息汇总'''（见上图）'''，以及搬瓦工官方 TOS 的严格规定，滥用警告主要分为以下几种。如果你看到了这些提示，说明你的服务器可能被黑客控制：

==== 1. Network abuse: Mass Mailing (大量发送垃圾邮件) ====

* '''提示信息：''' <code>We have detected a large number of outgoing SMTP connections originating from this server.</code>（检测到大量发往目标 25 端口的 SMTP 请求）。
* '''代表含义：''' 你的服务器被植入了发信木马，沦为了'''垃圾邮件发送中继（Spam Bot）'''。黑客正在利用你的机器大量发送垃圾营销邮件或钓鱼邮件。搬瓦工 TOS 对滥发垃圾邮件是零容忍的。

==== 2. Large number of conntrack sessions (超量并发) ====

* '''提示信息：''' <code>The server is creating too many conntrack sessions (more than 30000).</code> 下方通常伴随着密密麻麻的 UDP/TCP 记录。
* '''代表含义：''' 你的机器正在参与 '''DDoS 攻击'''（如 UDP Flood）。你的服务器成了攻击别人网站的武器，瞬间发出的大量连接耗尽了宿主机的网络资源。

==== 3. Disk I/O & CPU abuse (磁盘读写与 CPU 滥用) ====

* '''提示信息：''' 提示 <code>Disk I/O abuse</code> 或 <code>CPU abuse</code>，且通常在暂停前几小时会收到一封警告邮件。
* '''代表含义：''' 搬瓦工 TOS 明确规定，禁止长时间（4小时以上）持续进行超过 100 MiB/s 的磁盘读写，也禁止长时间跑满 CPU。这个提示出现，说明服务器被植入了'''恶意挖矿脚本'''，导致硬件资源被榨干。

==== 4. Port Scanning (网络端口扫描与暴力破解) ====

* '''提示信息：''' <code>Outgoing port scanning detected.</code> 或类似的大量对外探测行为警告。
* '''代表含义：''' 黑客控制了你的机器使用 <code>masscan</code> 或 <code>nmap</code> 等工具，扫描互联网上其他服务器的 SSH 端口并尝试暴力破解。这会引发大量外部防火墙的自动投诉（Abuse Reports）。

==== 5. Hosting of Malicious Content (钓鱼网站与恶意软件托管) ====

* '''提示信息：''' 收到附带第三方安全机构（如 Spamhaus, Netcraft）投诉原文的警告邮件，提示存在 Phishing Site。
* '''代表含义：''' 黑客利用你的 Web 服务器（如 Nginx/Apache）漏洞，在你的网站目录下悄悄上传了伪造的 PayPal、苹果 ID 或银行登录页面，用于骗取他人的账号密码。一旦被报告，搬瓦工会立刻暂停你的服务器。

<blockquote>'''注意：''' 搬瓦工实行滥用积分制。每次违规都会被扣除几十分到上百分不等。'''一旦年度积分被扣光，这台机器将在本年度被永久强制关机，且无法退款！'''</blockquote>

=== 二、为什么服务器会被入侵 ===
黑客通常不会针对某个特定的普通人，他们使用自动化脚本在全网 24 小时不断扫描。你中招的原因通常是以下几点：

# '''使用了极弱的 SSH 密码：''' 比如 <code>root123</code>、<code>admin</code>，或者仍在使用默认的 22 端口，被黑客跑字典暴力破解了。
# '''运行了来路不明的一键脚本：''' 很多看似方便的一键脚本，其实底层夹带了私货，运行的瞬间就给你留了后门。
# '''Web 程序存在漏洞：''' 比如你搭建了 WordPress 网站，但使用了破解版的主题、存在漏洞的老旧插件，黑客通过 Web 漏洞拿到了系统的执行权限。

=== 三、解除暂停与紧急排查措施 ===

==== 第一步：承诺解决，解除暂停 ====
在红色警告框的底部，你会看到一个按钮：<code>I understand the issue and ready to resolve it right away</code>（我了解此问题并准备立即解决）。

* '''注意：''' 点击这个按钮后，服务器会重新开机并解除封锁。但你只有'''非常短的时间（可能只有几十分钟）'''来修复问题。如果搬瓦工再次检测到滥用行为，会立刻进行二次封禁，并扣除更多积分！

==== 第二步：紧急排查（适用于有一定 Linux 基础的用户） ====
一旦解除暂停，立即通过 SSH 登录服务器，进行快速排查：

# '''揪出恶意进程：''' 输入 <code>top</code> 或 <code>htop</code>，按 <code>P</code> 键（按 CPU 占用排序）。如果你看到名字非常奇怪的进程（如随机乱码字母，或者占用 99% CPU 的进程），直接 <code>kill -9 进程PID</code> 杀掉它。
# '''检查异常连接：''' 输入 <code>netstat -antp</code>，查看有哪些可疑的进程在大量对外发起连接（尤其是 25 端口或大量的 UDP 连接）。
# '''检查定时任务：''' 黑客通常会把木马写进定时任务里防杀。输入 <code>crontab -l</code> 和 <code>cat /etc/crontab</code>，如果看到不认识的命令立刻删掉（必要的话可以咨询AI）。

=== 四、利用备份与快照恢复生产环境 ===
由于高明的黑客会隐藏进程、替换系统底层命令（如修改 <code>netstat</code> 让你什么都查不到），手动清理往往斩草不除根。'''最安全、最彻底的做法是利用备份回滚，或者推倒重来。'''

==== 方案一：利用搬瓦工的自动备份（推荐优先尝试） ====
[[File:自动备份截图.png|900x900px]]

搬瓦工会在后台定期为服务器创建备份'''（见上图）'''，通常可以保存最近一到两个月的历史数据。你可以通过它找回“被入侵前”的干净系统。

# '''查找历史备份：''' 在 KiwiVM 面板左侧找到 '''Automatic backups'''（自动备份）。在这里你会看到按日期排列的备份列表。
# '''导入为快照：''' 选择一个你认为'''还未被入侵的较早日期'''（比如上个月的某一天），点击下方的按钮 '''<code>Import to my Snapshots</code>'''（导入为快照）。
# '''执行恢复：''' 导入完成后，前往左侧的 '''Snapshots'''（快照）菜单，找到刚才导入的备份快照，点击 '''<code>Restore</code>'''（恢复）。系统会覆盖当前硬盘，回到那个日期的状态。
# '''黄金抢救期（极度重要）：''' 恢复成功并开机后，'''请立即、第一时间通过 SSH 登录（因为服务器漏洞大概率还存在）'''！
#* 立刻修改系统密码：<code>passwd root</code>
#* 频繁检查是否还有异常进程：<code>top</code>
#* 如果发现一切正常，说明你成功回到了未被感染的时期；请马上修改 SSH 为高位端口或开启密钥登录，进行安全加固。如果发现刚开机或者运行一段时间后问题又出现，说明那个日期的备份也已经中毒了，请尝试更早的备份，或者直接使用“'''方案二'''”。

==== 方案二：彻底抹除，重装纯净系统 ====
如果自动备份无法拯救，或者你不需要保留数据，推倒重来是唯一的选择。

# '''彻底抹除：''' 在 KiwiVM 面板左侧找到 <code>Install new OS</code>，选择 <code>Debian 12</code> 或你熟悉的系统，点击重装。这将彻底物理抹除硬盘上的所有恶意代码。
# '''安全三板斧：''' 新系统装好后的前 5 分钟是绝对纯净的，立刻登录执行安全加固：
#* '''修改 SSH 端口：''' 彻底抛弃 22 端口，改为五位数的高位端口（如 45678）。
#* '''开启密钥登录并禁用密码：''' 配置 SSH Key 登录，修改 <code>sshd_config</code> 把 <code>PasswordAuthentication</code> 设为 <code>no</code>。（黑客再也无法通过暴力破解密码进入）。
#* '''更新补丁：''' 运行 <code>apt update && apt upgrade -y</code>。
# '''创建专属“安全纯净版快照”：'''
#* 使用官方且安全的命令，安装好运行环境。
#* 在安装任何第三方软件或者部署数据前，回到 KiwiVM 的 '''Snapshots''' 菜单。
#* 点击 '''Create new snapshot'''，描述写上：<code>'''debian12 已安装运行环境'''</code>。
#* 点击该快照的 '''<code>set sticky</code>''' 按钮，将其标记为永久保存。以后无论怎么折腾，一键读档 3 分钟即可满血复活（可以最多保持2个永久快照）。

[[File:创建备份并固定.png|900x900px]]

=== 写在最后 ===
服务器被入侵并不可怕，可怕的是重装系统后依然不改密码、不改端口，在同一个坑里反复跌倒，最终导致机器被永久封禁。

遇到滥用封禁时，请先冷静理清思路。利用好搬瓦工的 '''Automatic backups''' 找回数据，或利用 '''Snapshot''' 定制备份。只有养成良好的安全习惯并善用官方工具，你才能在折腾 VPS 的道路上高枕无忧。
[[Category:400 常见问题与故障排查 — Troubleshooting]]

搬瓦工VPS被入侵导致“滥用暂停”的排查与快照恢复指南

2026-03-21T13:23:50Z

Air：创建页面，内容为“在登录搬瓦工 KiwiVM 控制面板管理 VPS 时，部分用户可能会遇到系统提示 '''"This service is currently suspended."（该服务目前已被暂停）'''的红色警告信息。这种情况对于并非个例。许多初学者在刚使用 VPS 时，缺乏必要的安全防护意识，导致服务器遭受黑客入侵并沦为恶意网络行为的工具（俗称“肉鸡”）。搬瓦工官方拥有严格的网络风控与监控机制，一…”

在登录搬瓦工 KiwiVM 控制面板管理 VPS 时，部分用户可能会遇到系统提示 '''"This service is currently suspended."（该服务目前已被暂停）'''的红色警告信息。

这种情况对于并非个例。许多初学者在刚使用 VPS 时，缺乏必要的安全防护意识，导致服务器遭受黑客入侵并沦为恶意网络行为的工具（俗称“肉鸡”）。搬瓦工官方拥有严格的网络风控与监控机制，一旦发现你的服务器存在违规滥用行为，便会立即暂停该服务并扣除相应的“滥用积分（Abuse points）”。

本文将结合搬瓦工官方服务条款（TOS）及常见的封禁提示，带你分析服务器被入侵的潜在原因，指导你如何解除封锁、排查问题，并利用 KiwiVM 自带的'''自动备份（Automatic backups）'''与'''快照（Snapshot）'''功能，找回数据或重新定制一个纯净安全的基础环境。

=== 一、读懂警告信息：五种常见的滥用封禁原因 ===
[[File:滥用信息汇总.png|1100x1100px]]

根据大量被封禁用户的后台截图信息汇总'''（见上图）'''，以及搬瓦工官方 TOS 的严格规定，滥用警告主要分为以下几种。如果你看到了这些提示，说明你的服务器可能被黑客控制：

==== 1. Network abuse: Mass Mailing (大量发送垃圾邮件) ====

* '''提示特征：''' <code>We have detected a large number of outgoing SMTP connections originating from this server.</code>（检测到大量发往目标 25 端口的 SMTP 请求）。
* '''代表什么：''' 你的服务器被植入了发信木马，沦为了'''垃圾邮件发送中继（Spam Bot）'''。黑客正在利用你的机器大量发送垃圾营销邮件或钓鱼邮件。搬瓦工 TOS 对滥发垃圾邮件是零容忍的。

==== 2. Large number of conntrack sessions (超量并发) ====

* '''提示特征：''' <code>The server is creating too many conntrack sessions (more than 30000).</code> 下方通常伴随着密密麻麻的 UDP/TCP 记录。
* '''代表什么：''' 你的机器正在参与 '''DDoS 攻击'''（如 UDP Flood）。你的服务器成了攻击别人网站的武器，瞬间发出的大量连接耗尽了宿主机的网络资源。

==== 3. Disk I/O & CPU abuse (磁盘读写与 CPU 滥用) ====

* '''提示特征：''' 提示 <code>Disk I/O abuse</code> 或 <code>CPU abuse</code>，且通常在暂停前几小时会收到一封警告邮件。
* '''代表什么：''' 搬瓦工 TOS 明确规定，禁止长时间（4小时以上）持续进行超过 100 MiB/s 的磁盘读写，也禁止长时间跑满 CPU。这个提示出现，说明服务器被植入了'''恶意挖矿脚本'''，导致硬件资源被榨干。

==== 4. Port Scanning (网络端口扫描与暴力破解) ====

* '''提示特征：''' <code>Outgoing port scanning detected.</code> 或类似的大量对外探测行为警告。
* '''代表什么：''' 黑客控制了你的机器使用 <code>masscan</code> 或 <code>nmap</code> 等工具，扫描互联网上其他服务器的 SSH 端口并尝试暴力破解。这会引发大量外部防火墙的自动投诉（Abuse Reports）。

==== 5. Hosting of Malicious Content (钓鱼网站与恶意软件托管) ====

* '''提示特征：''' 收到附带第三方安全机构（如 Spamhaus, Netcraft）投诉原文的警告邮件，提示存在 Phishing Site。
* '''代表什么：''' 黑客利用你的 Web 服务器（如 Nginx/Apache）漏洞，在你的网站目录下悄悄上传了伪造的 PayPal、苹果 ID 或银行登录页面，用于骗取他人的账号密码。一旦被报告，搬瓦工会立刻暂停你的服务器。

<blockquote>'''注意：''' 搬瓦工实行滥用积分制。每次违规都会被扣除几十分到上百分不等。'''一旦年度积分被扣光，这台机器将在本年度被永久强制关机，且无法退款！'''</blockquote>

=== 二、为什么服务器会被入侵 ===
黑客通常不会针对某个特定的普通人，他们使用自动化脚本在全网 24 小时不断扫描。你中招的原因通常是以下几点：

# '''使用了极弱的 SSH 密码：''' 比如 <code>root123</code>、<code>admin</code>，或者仍在使用默认的 22 端口，被黑客跑字典暴力破解了。
# '''运行了来路不明的一键脚本：''' 很多看似方便的一键脚本，其实底层夹带了私货，运行的瞬间就给你留了后门。
# '''Web 程序存在漏洞：''' 比如你搭建了 WordPress 网站，但使用了破解版的主题、存在漏洞的老旧插件，黑客通过 Web 漏洞拿到了系统的执行权限。

=== 三、解除暂停与紧急排查措施 ===

==== 第一步：承诺解决，解除暂停 ====
在红色警告框的底部，你会看到一个按钮：<code>I understand the issue and ready to resolve it right away</code>（我了解此问题并准备立即解决）。

* '''注意：''' 点击这个按钮后，服务器会重新开机并解除封锁。但你只有'''非常短的时间（可能只有几十分钟）'''来修复问题。如果搬瓦工再次检测到滥用行为，会立刻进行二次封禁，并扣除更多积分！

==== 第二步：紧急排查（适用于有一定 Linux 基础的用户） ====
一旦解除暂停，立即通过 SSH 登录服务器，进行快速排查：

# '''揪出恶意进程：''' 输入 <code>top</code> 或 <code>htop</code>，按 <code>P</code> 键（按 CPU 占用排序）。如果你看到名字非常奇怪的进程（如随机乱码字母，或者占用 99% CPU 的进程），直接 <code>kill -9 进程PID</code> 杀掉它。
# '''检查异常连接：''' 输入 <code>netstat -antp</code>，查看有哪些可疑的进程在大量对外发起连接（尤其是 25 端口或大量的 UDP 连接）。
# '''检查定时任务：''' 黑客通常会把木马写进定时任务里防杀。输入 <code>crontab -l</code> 和 <code>cat /etc/crontab</code>，如果看到不认识的命令立刻删掉（必要的话可以咨询AI）。

=== 四、利用备份与快照恢复生产环境 ===
由于高明的黑客会隐藏进程、替换系统底层命令（如修改 <code>netstat</code> 让你什么都查不到），手动清理往往斩草不除根。'''最安全、最彻底的做法是利用备份回滚，或者推倒重来。'''

==== 方案一：利用搬瓦工的自动备份（推荐优先尝试） ====
[[File:自动备份截图.png|900x900px]]

搬瓦工会在后台定期为服务器创建备份'''（见上图）'''，通常可以保存最近一到两个月的历史数据。你可以通过它找回“被入侵前”的干净系统。

# '''查找历史备份：''' 在 KiwiVM 面板左侧找到 '''Automatic backups'''（自动备份）。在这里你会看到按日期排列的备份列表。
# '''导入为快照：''' 选择一个你认为'''还未被入侵的较早日期'''（比如上个月的某一天），点击下方的按钮 '''<code>Import to my Snapshots</code>'''（导入为快照）。
# '''执行恢复：''' 导入完成后，前往左侧的 '''Snapshots'''（快照）菜单，找到刚才导入的备份快照，点击 '''<code>Restore</code>'''（恢复）。系统会覆盖当前硬盘，回到那个日期的状态。
# '''黄金抢救期（极度重要）：''' 恢复成功并开机后，'''请立即、第一时间通过 SSH 登录（因为服务器漏洞大概率还存在）'''！
#* 立刻修改系统密码：<code>passwd root</code>
#* 频繁检查是否还有异常进程：<code>top</code>
#* 如果发现一切正常，说明你成功回到了未被感染的时期；请马上修改 SSH 为高位端口或开启密钥登录，进行安全加固。如果发现刚开机或者运行一段时间后问题又出现，说明那个日期的备份也已经中毒了，请尝试更早的备份，或者直接使用“'''方案二'''”。

==== 方案二：彻底抹除，重装纯净系统 ====
如果自动备份无法拯救，或者你不需要保留数据，推倒重来是唯一的选择。

# '''彻底抹除：''' 在 KiwiVM 面板左侧找到 <code>Install new OS</code>，选择 <code>Debian 12</code> 或你熟悉的系统，点击重装。这将彻底物理抹除硬盘上的所有恶意代码。
# '''安全三板斧：''' 新系统装好后的前 5 分钟是绝对纯净的，立刻登录执行安全加固：
#* '''修改 SSH 端口：''' 彻底抛弃 22 端口，改为五位数的高位端口（如 45678）。
#* '''开启密钥登录并禁用密码：''' 配置 SSH Key 登录，修改 <code>sshd_config</code> 把 <code>PasswordAuthentication</code> 设为 <code>no</code>。（黑客再也无法通过暴力破解密码进入）。
#* '''更新补丁：''' 运行 <code>apt update && apt upgrade -y</code>。
# '''创建专属“安全纯净版快照”：'''
#* 使用官方且安全的命令，安装好运行环境。
#* 在安装任何第三方软件或者部署数据前，回到 KiwiVM 的 '''Snapshots''' 菜单。
#* 点击 '''Create new snapshot'''，描述写上：<code>'''debian12 已安装运行环境'''</code>。
#* 点击该快照的 '''<code>set sticky</code>''' 按钮，将其标记为永久保存。以后无论怎么折腾，一键读档 3 分钟即可满血复活（可以最多保持2个永久快照）。

[[File:创建备份并固定.png|900x900px]]

=== 写在最后 ===
服务器被入侵并不可怕，可怕的是重装系统后依然不改密码、不改端口，在同一个坑里反复跌倒，最终导致机器被永久封禁。

遇到滥用封禁时，请先冷静理清思路。利用好搬瓦工的 '''Automatic backups''' 找回数据，或利用 '''Snapshot''' 定制备份。只有养成良好的安全习惯并善用官方工具，你才能在折腾 VPS 的道路上高枕无忧。
[[Category:400 常见问题与故障排查 — Troubleshooting]]

File:创建备份并固定.png

2026-03-21T13:19:23Z

Air：

创建备份并固定

File:自动备份截图.png

2026-03-21T13:12:57Z

Air：

自动备份截图

File:滥用信息汇总.png

2026-03-21T12:51:36Z

Air：

滥用信息汇总

User:Air

2026-03-13T07:51:53Z

Air：创建页面，内容为“一个爱折腾的MJJ”

一个爱折腾的MJJ

搬瓦工账号基本安全加固及初始化指南

2026-03-13T07:47:04Z

Air：

无论是刚购买搬瓦工（BandwagonHost）的新手，还是掌握各种玩机操作的的高级玩家（MJJ），拿到机器后拥有绝对掌控权的第一步，永远是'''安全加固'''。

VPS 的安全分为“账号级安全”和“实例级安全”。如果账号被盗，哪怕服务器系统再安全也会被黑客一键重置；而如果系统端口全开，再安全的账号也防不住恶意扫描。本文将带你完成搬瓦工账号与服务器的基础初始化与安全加固。

=== 一、账号级安全防护加固 ===
登录搬瓦工主站后，我们需要先确保你的官网账号万无一失。

'''操作路径：''' 访问 Account Security（账号安全中心）：https://bandwagonhost.com/account_security.php，也可以登录后根据图示进入。

[[File:安全加固搬瓦工.png|900x900px]]

==== 1. 注销不必要的活动会话 ====
在页面中找到 '''List of active sessions（活动会话列表）'''。这里会显示所有当前登录着你账号的设备和 IP。

* '''操作：''' 仔细检查列表，如果发现有不是你本人的 IP，或者是在网吧、公司等公共电脑上遗留的登录记录，请立即点击注销（Logout/Revoke），踢掉这些不必要的会话，防止账号被他人控制。

==== 2. 生成备用代码 ====
这是账号防丢的最后一道防线。

* '''操作：''' 在同页面点击生成 Backup codes。
* '''重要说明：'''
** 如果你丢失了邮箱或手机的访问权限，这些代码将允许你强制登录账户。
** 每个代码'''只能使用一次（共20个）'''。
** 每次你生成新的代码时，'''所有旧的代码将立即失效'''。
** 请将这些代码保存在安全的地方（或保存在离线的密码管理器中）。

=== 二、完善账户基本信息 ===
为了防止账号被搬瓦工官方的风控系统（如著名的'''欺诈检测'''）误判为黑灰产或虚假账号，建议填写真实且一致的资料。

'''操作路径：''' 访问 My Details（我的详细资料）：<nowiki>https://bandwagonhost.com/clientarea.php?action=details</nowiki>

==== 1.完善你的账户基本信息 ====
虽然不需要精确到门牌号，但请确保'''国家 (Country)'''、'''省份/城市'''与你注册时使用的 IP 地址所在地基本吻合。此外，填写真实的备用联系方式，可以在主邮箱出现问题时方便找回。

=== 三、开启 KiwiVM 面板的两步验证 (2FA) ===
搬瓦工的服务器管理面板（KiwiVM）拥有极高的权限（可以开关机、重装系统、进 VNC 等），为它开启两步验证（Two-factor authentication）是重中之重。

==== 1.'''什么是两步验证 (2FA)''' ====
它可以在你输入常规密码登录时，增加一个“输入随机 6 位数字动态密码”的步骤。这个数字每 30 秒变化一次，且只在你的手机上生成。即使黑客盗取了你的网页密码，没有你的手机也绝对无法登录。

==== 2.搬瓦工 KiwiVM 面板开启步骤 ====
'''操作路径：'''

# 访问服务列表：<nowiki>https://bandwagonhost.com/services</nowiki>
# 找到你的服务器，点击进入 '''KiwiVM 面板'''。
# 在左侧菜单栏底部找到 '''Security & Records''' -> '''Two-factor authentication'''，然后点击 '''I understand''' ，按照提示开启。

[[File:安全加固F2A.png|900x900px]]

'''注意：请一定要备份好 F2A 的 KEY ，搬瓦工官方无法恢复你的 F2A ，如果丢失，只有重置 VPS ，这也意味你的所有数据、快照、备份都将丢失。'''

==== '''3.两步验证 APP 推荐：''' ====

* '''安卓 (Android) 用户推荐：'''
** <code>Google Authenticator</code> (谷歌身份验证器，最经典简洁，但是需要谷歌框架)
** <code>Microsoft Authenticator</code> (微软验证器，支持云同步备份，云同步时候切记看仔细)
** Github上的其他优秀APP
* '''苹果 (iOS) 用户推荐：'''
** <code>iOS 系统自带密码管理器</code> (设置 -> 密码，直接扫描二维码即可，与 iCloud 完美同步)
** <code>Google Authenticator</code> (App Store 下载)
** <code>Microsoft Authenticator</code>

* '''Win用户推荐：'''
** Windows Authenticator：Github链接：https://code.google.com/p/winauth/downloads/list

=== 四、 VPS 实例安全加固 ===
做完了网页端的防护，最后一步是加固你 VPS 系统本身的安全。

==== 1. 杜绝使用默认的 22 端口 ====
默认的 22 端口是全球黑客脚本和僵尸网络 24 小时不断进行暴力破解扫描的重灾区。

* '''检查：''' 搬瓦工默认开机时，通常会随机分配一个五位数的高位 SSH 端口（可以在 KiwiVM 面板主页看到）。如果你是'''通过 DD 脚本重装了纯净版系统'''，系统通常会恢复为默认的 <code>22</code> 端口！
* '''修改：''' 如果你的 SSH 端口是 22，请务必通过修改 <code>/etc/ssh/sshd_config</code> 文件将其修改为一个 10000 - 65535 之间的随机端口（例如 36896），确保已经放行端口好后，重启 SSH 服务使其生效<code>systemctl restart sshd</code>。

=== 2. 进阶安全：使用 SSH Key (密钥对) 登录 ===
比修改端口更安全的做法，是'''彻底禁用密码登录'''。

* '''操作：''' 在本地电脑生成一对 SSH Key（公钥和私钥）。将“公钥”上传配置到 VPS 的 <code>~/.ssh/authorized_keys</code> 文件中，并妥善保管你的“私钥”。
* '''优势：''' 配置好密钥登录后，你可以直接在系统设置中关闭密码验证功能。这样一来，无论黑客怎么扫描爆破，没有你本地电脑里的那个私钥文件，他们连验证的资格都没有，从物理层面彻底隔绝了暴力破解的可能。

完成以上四步，你的搬瓦工服务器就具备了极高的安全防护等级，可以安心地去搭建你的专属服务了！
[[index.php?title=Category:300 VPS 设置与管理 — VPS Setup and Management]]
[[Category:300 VPS 设置与管理 — VPS Setup and Management]]

搬瓦工账号基本安全加固及初始化指南

2026-03-13T07:46:45Z

Air：补充提示

搬瓦工账号基本安全加固及初始化指南

2026-03-13T07:43:43Z

Air：创建页面，内容为“无论是刚购买搬瓦工（BandwagonHost）的新手，还是掌握各种玩机操作的的高级玩家（MJJ），拿到机器后拥有绝对掌控权的第一步，永远是'''安全加固'''。 VPS 的安全分为“账号级安全”和“实例级安全”。如果账号被盗，哪怕服务器系统再安全也会被黑客一键重置；而如果系统端口全开，再安全的账号也防不住恶意扫描。本文将带你完成搬瓦工账号与…”

无论是刚购买搬瓦工（BandwagonHost）的新手，还是掌握各种玩机操作的的高级玩家（MJJ），拿到机器后拥有绝对掌控权的第一步，永远是'''安全加固'''。

VPS 的安全分为“账号级安全”和“实例级安全”。如果账号被盗，哪怕服务器系统再安全也会被黑客一键重置；而如果系统端口全开，再安全的账号也防不住恶意扫描。本文将带你完成搬瓦工账号与服务器的基础初始化与安全加固。

=== 一、账号级安全防护加固 ===
登录搬瓦工主站后，我们需要先确保你的官网账号万无一失。

'''操作路径：''' 访问 Account Security（账号安全中心）：https://bandwagonhost.com/account_security.php，也可以登录后根据图示进入。

[[File:安全加固搬瓦工.png|900x900px]]

==== 1. 注销不必要的活动会话 ====
在页面中找到 '''List of active sessions（活动会话列表）'''。这里会显示所有当前登录着你账号的设备和 IP。

* '''操作：''' 仔细检查列表，如果发现有不是你本人的 IP，或者是在网吧、公司等公共电脑上遗留的登录记录，请立即点击注销（Logout/Revoke），踢掉这些不必要的会话，防止账号被他人控制。

==== 2. 生成备用代码 ====
这是账号防丢的最后一道防线。

* '''操作：''' 在同页面点击生成 Backup codes。
* '''重要说明：'''
** 如果你丢失了邮箱或手机的访问权限，这些代码将允许你强制登录账户。
** 每个代码'''只能使用一次（共20个）'''。
** 每次你生成新的代码时，'''所有旧的代码将立即失效'''。
** 请将这些代码保存在安全的地方（或保存在离线的密码管理器中）。

=== 二、完善账户基本信息 ===
为了防止账号被搬瓦工官方的风控系统（如著名的'''欺诈检测'''）误判为黑灰产或虚假账号，建议填写真实且一致的资料。

'''操作路径：''' 访问 My Details（我的详细资料）：<nowiki>https://bandwagonhost.com/clientarea.php?action=details</nowiki>

==== 1.完善你的账户基本信息 ====
虽然不需要精确到门牌号，但请确保'''国家 (Country)'''、'''省份/城市'''与你注册时使用的 IP 地址所在地基本吻合。此外，填写真实的备用联系方式，可以在主邮箱出现问题时方便找回。

=== 三、开启 KiwiVM 面板的两步验证 (2FA) ===
搬瓦工的服务器管理面板（KiwiVM）拥有极高的权限（可以开关机、重装系统、进 VNC 等），为它开启两步验证（Two-factor authentication）是重中之重。

==== 1.'''什么是两步验证 (2FA)''' ====
它可以在你输入常规密码登录时，增加一个“输入随机 6 位数字动态密码”的步骤。这个数字每 30 秒变化一次，且只在你的手机上生成。即使黑客盗取了你的网页密码，没有你的手机也绝对无法登录。

==== 2.搬瓦工 KiwiVM 面板开启步骤 ====
'''操作路径：'''

# 访问服务列表：<nowiki>https://bandwagonhost.com/services</nowiki>
# 找到你的服务器，点击进入 '''KiwiVM 面板'''。
# 在左侧菜单栏底部找到 '''Security & Records''' -> '''Two-factor authentication'''，然后点击 '''I understand''' ，按照提示开启。

[[File:安全加固F2A.png|900x900px]]

==== '''3.两步验证 APP 推荐：''' ====

* '''安卓 (Android) 用户推荐：'''
** <code>Google Authenticator</code> (谷歌身份验证器，最经典简洁，但是需要谷歌框架)
** <code>Microsoft Authenticator</code> (微软验证器，支持云同步备份，云同步时候切记看仔细)
** Github上的其他优秀APP
* '''苹果 (iOS) 用户推荐：'''
** <code>iOS 系统自带密码管理器</code> (设置 -> 密码，直接扫描二维码即可，与 iCloud 完美同步)
** <code>Google Authenticator</code> (App Store 下载)
** <code>Microsoft Authenticator</code>

* '''Win用户推荐：'''
** Windows Authenticator：Github链接：https://code.google.com/p/winauth/downloads/list

=== 四、 VPS 实例安全加固 ===
做完了网页端的防护，最后一步是加固你 VPS 系统本身的安全。

==== 1. 杜绝使用默认的 22 端口 ====
默认的 22 端口是全球黑客脚本和僵尸网络 24 小时不断进行暴力破解扫描的重灾区。

* '''检查：''' 搬瓦工默认开机时，通常会随机分配一个五位数的高位 SSH 端口（可以在 KiwiVM 面板主页看到）。如果你是'''通过 DD 脚本重装了纯净版系统'''，系统通常会恢复为默认的 <code>22</code> 端口！
* '''修改：''' 如果你的 SSH 端口是 22，请务必通过修改 <code>/etc/ssh/sshd_config</code> 文件将其修改为一个 10000 - 65535 之间的随机端口（例如 36896），确保已经放行端口好后，重启 SSH 服务使其生效<code>systemctl restart sshd</code>。

=== 2. 进阶安全：使用 SSH Key (密钥对) 登录 ===
比修改端口更安全的做法，是'''彻底禁用密码登录'''。

* '''操作：''' 在本地电脑生成一对 SSH Key（公钥和私钥）。将“公钥”上传配置到 VPS 的 <code>~/.ssh/authorized_keys</code> 文件中，并妥善保管你的“私钥”。
* '''优势：''' 配置好密钥登录后，你可以直接在系统设置中关闭密码验证功能。这样一来，无论黑客怎么扫描爆破，没有你本地电脑里的那个私钥文件，他们连验证的资格都没有，从物理层面彻底隔绝了暴力破解的可能。

完成以上四步，你的搬瓦工服务器就具备了极高的安全防护等级，可以安心地去搭建你的专属服务了！
[[Category:300 VPS 设置与管理 — VPS Setup and Management]]

File:安全加固F2A.png

2026-03-13T07:40:22Z

Air：

安全加固F2A

File:安全加固搬瓦工.png

2026-03-13T07:39:10Z

Air：

安全加固搬瓦工

初学者入门必读：VPS 术语汇编与常见问题解答

2026-03-13T07:02:19Z

Air：目录

对于刚接触服务器和建站的新手来说，购买和配置 VPS 就像是进入了一个全新的世界。会接触到密密麻麻的英文参数（如 KVM、Bandwidth、CN2 GIA、Root）以及各种报错提示，很多人会感到无从下手。

为了帮助初学者快速跨过“新手期”，我们特意整理了这份“VPS 术语汇编与常见问题解答”。其中不仅涵盖了官方的专业术语，详细拆解了搬瓦工 KiwiVM 控制面板的各项数据，还特别收录了 VPS 玩家社区（泛指 NodeSeek、HostLoc 等主流 VPS 交流论坛）里的“行业黑话”，用最通俗易懂的比喻，带你轻松玩转 VPS。

== 一、VPS 核心术语汇编 ==
首先，我将专业术语分为“基础概念”、“硬件资源”、“网络参数”和“系统管理”四个大类进行'''通俗解释'''。

=== 1. 基础概念类 ===

* '''VPS (Virtual Private Server - 虚拟专用服务器)：''' 就像是一栋大楼（物理服务器）里隔出来的一个个“独立单身公寓”。虽然大家共享大楼的地基和水电，但你的房间有独立的门锁（独立系统）、独立的卫浴（独立资源），别人进不来，你也拥有这间房子的最高支配权。
* '''KVM (Kernel-based Virtual Machine)：''' 目前最主流的虚拟化技术（搬瓦工目前全系采用 KVM）。它相当于给你的“单身公寓”加了极厚的隔音墙，你的资源（CPU/内存）是完全独立的，邻居怎么折腾都不会轻易影响到你。''(注：早期还有一种叫 OpenVZ 的技术，存在严重的“超售”和资源争抢问题，现已被淘汰。)''
* '''Datacenter / Location (数据中心 / 机房位置)：''' 你的服务器物理存放的城市。例如 Los Angeles (洛杉矶, 缩写 LA)、Hong Kong (香港, 缩写 HK)、Tokyo (东京)。物理距离越近，通常网络延迟越低。

=== 2. 硬件资源类 ===

* '''CPU (Core - 处理器核心)：''' 决定服务器计算能力的大脑。一般 VPS 提供 1 核到 8 核不等。除非你做视频转码或高负载运算，普通的个人博客或代理服务 1-2 核足矣。
* '''RAM (Memory - 内存)：''' 决定服务器能同时运行多少程序的关键指标。对于 Linux 系统，'''1GB''' 是入门底线，'''2GB''' 是舒适线。如果低于 1GB，很多现代应用（如 Docker、某些面板）可能会因为内存不足而崩溃。
* '''Swap (虚拟内存 / 交换空间)：''' 当物理内存（RAM）不够用时，系统会临时向硬盘借一块空间当内存用，这就叫 Swap。它的速度比真实内存慢很多，但能防止服务器因为内存耗尽而死机。
* '''SSD / NVMe (固态硬盘)：''' 服务器的存储空间。目前主流 VPS 都已普及 SSD，而 NVMe 是速度更快的 SSD 协议（例如搬瓦工的ECOMMERCE SLA 系列就采用了 NVMe），读写速度极快。

=== 3. 网络参数类 ===

* '''Bandwidth (端口带宽 - 速率)：'''相当于“水管的粗细”。单位通常是 Mbps（兆比特每秒）或 Gbps（千兆比特每秒）。带宽越大，同一时间能传输的数据越多，你下载文件的速度上限就越高。（如搬瓦工提供 1Gbps - 10Gbps 的超大带宽）。
* '''Data Transfer / Traffic (流量 - 额度)：'''相当于“每月限制使用的总水量”。单位通常是 GB 或 TB。例如套餐写着“1000 GB/mo”，意味着你这个月最多只能传输 1000GB 的数据。'''注意：大多数 VPS 是双向计费的（上传 + 下载都算在内）。'''
* '''IP Address (IP 地址：IPv4 / IPv6)：''' 服务器在互联网上的“门牌号”。IPv4 是传统的门牌号（如 <code>192.168.1.1</code>），目前资源枯竭，非常珍贵；IPv6 是新一代超长门牌号。
* '''Ping / Latency (延迟)：''' 你向服务器发一条消息，服务器回复你，这个往返所需要的时间。单位是 ms（毫秒）。中美之间的物理极限延迟大约是 130ms。延迟越低，操作越“跟手”。
* '''BBR (TCP BBR 拥塞控制算法)：''' '''通俗解释：''' 由 Google 开发的一种网络加速黑科技。在中美跨国这种高延迟、偶尔丢包的网络（长长的高速公路）上，BBR 能防止网络拥堵，从而'''极大提升 VPS 的下载速度和网页打开速度'''。搬瓦工新版系统模板通常已默认开启 BBR。
* '''IX (Internet Exchange Point - 互联网交换中心)：''' 是一种用于连接不同网络服务提供商、数据中心或企业网络的专用网络线路，旨在实现网络之间的高效数据交换和互联互通。它就像是不同快递公司互相交换包裹的大型集散中心，可以达到专线的效果，但是又比专线价格实惠，。
* '''专线 (IPLC / IEPL)：''' '''通俗解释：''' 两地之间直接拉一根内网网线（例如深港专线、沪日专线）。它的最大特点是'''不经过公网（即不经过 GFW）'''，因此完全不用担心 IP 被墙，且延迟极低、不丢包。缺点是价格极其昂贵。
* '''线路：'''从你家连到服务器所走的“高速公路”。
** '''普通线路 (163 骨干网)：''' 免费的国道，晚高峰极度拥堵。
** '''三网 GIA：''' 极其奢华的线路配置。指的是无论你是电信、联通还是移动宽带，你的出海流量都被强制安排走中国电信最顶级的 CN2 GIA 高速公路。
** '''三网各自优化 (三网直连)：''' 各回各家的高速公路。电信走 CN2 GIA，联通走 CU Premium (AS9929/10099)，移动走 CMIN2。各家走各家最顶级的出国线路，互不拥堵（搬瓦工 E-Commerce 系列的洛杉矶 DC6 就是典型的三网各自优化）。

=== 4. 系统与管理类 ===

* '''OS (Operating System - 操作系统)：''' VPS 运行的系统。绝大多数海外 VPS 不提供 Windows，只提供 Linux（如 Debian、Ubuntu、CentOS）。
* '''SSH (Secure Shell)：''' 一种加密的远程连接协议。你只需要在本地电脑用 SSH 工具（如 Xshell、Terminal），输入服务器的 IP、端口和密码，就能弹出一个黑色的命令行窗口，通过敲代码来远程控制这台服务器。
* '''Root (超级管理员)：''' Linux 系统中的最高权限账号，相当于 Windows 里的 <code>Administrator</code>。有了 Root 密码，你可以在服务器上做任何事情（包括把它搞崩溃）。
* '''Port (端口)：''' 如果 IP 是大楼的门牌号，端口就是大楼里具体的“房间号”。例如，网页浏览默认走 <code>80</code> 或 <code>443</code> 房间（端口），SSH 远程连接默认走 <code>22</code> 房间（端口）。
* '''VNC (Virtual Network Computing / 远程终端)：'''相当于'''直接给你的远端服务器插上了一台显示器和键盘'''。如果VPS 网卡配坏了、或者防火墙把 SSH 端口封了，SSH 就会断开连不上。这时候就可以通过搬瓦工后台自带的 VNC (Interactive Shell) 强行登录系统界面，这是救砖、排障和强制改密码的最后一道防线。

== 二、搬瓦工 KiwiVM 控制面板主页参数图解 ==
当你购买了搬瓦工 VPS 并登录进后台的 '''KiwiVM 面板'''后，你会看到下图，其中包含密密麻麻的运行状态数据。

接下来为你逐一翻译并解释它们代表什么意思：

[[File:Kivivm首页.png|1000x1000px]]

# '''Physical Location (物理位置):''' 例如 <code>US, California</code>。表示你这台服务器的硬件放在美国加利福尼亚州的数据中心。
# '''Node ID & VM ID (节点与机器编号):'''
#* <code>Node ID (如 v6509)</code>：这台 VPS 所在的“母鸡”（物理宿主机）的编号。
#* <code>VM ID (如 2075919)</code>：你这台“小鸡”（虚拟机）的唯一身份证号。如果服务器出故障提交工单找客服，客服通常会看这个 ID 来定位你的机器。
# '''Public IP address (公网 IP):''' 你这台服务器在互联网上的唯一地址。无论是 SSH 远程连接，还是把域名解析到网站，填的都是这个 IP。
# '''SSH Port (SSH 端口):''' 用于远程连接服务器的通道。'''搬瓦工为了安全，默认的 SSH 端口通常不是 22'''（例如显示为 <code>22222</code>）。所以在使用 Xshell 等工具连接时，千万别忘了把端口号改成这里显示的数字。
# '''Status (运行状态与负载):'''
#* <code>Running</code>：表示开机运行中。如果关机了会显示 <code>Stopped</code>。
#* <code>LA: 0.00 0.00 0.00</code>：即 Load Average（系统平均负载）。这三个数字分别代表过去 1分钟、5分钟、15分钟的系统负载情况。数字越低代表系统越空闲；如果数字长期大于你的 CPU 核心数，说明服务器卡顿、不堪重负了。
# '''RAM / Swap / Disk usage (内存/交换空间/硬盘使用量):''' 格式为 <code>已用 / 总量</code>（如 <code>2.14/20 GB</code>）。这是最直观的资源监控表，一旦某个进度条快满了，你就要考虑清理垃圾或者升级套餐了。
# '''Bandwidth usage (带宽/流量使用量):''' 搬瓦工是'''双向计费'''的（你上传文件和下载文件都会扣流量）。
#* <code>7.2/1000 GB</code> 表示这个月 1000G 的总额度，你已经用掉了 7.2G。
#* '''<code>Resets: 2026-04-05</code>'''：极度重要！这代表你的'''流量额度清零重置的日期'''。如果你这个月流量快用超了被停机，等到这天就会满血复活。
# '''Operating system & Hostname (操作系统与主机名):''' 显示当前安装的系统（如 <code>Debian 12 x86_64</code>）和这台机器的名字。主机名可以点击 <code>[change hostname]</code> 随意修改，方便你自己辨认。
# '''PTR Records – Reverse DNS (反向 DNS 解析):''' 普通用户（建站、做代理）'''完全不需要管这个'''。这是给那些准备自己搭建“邮件发信服务器”的高级用户用的，设置反向解析可以防止发出去的邮件被识别为垃圾邮件。
# '''Mount ISO / Screenshot (挂载镜像与屏幕截图):'''
#* <code>Mount ISO</code>：用于挂载纯净的系统安装盘，一般在进阶重装系统或救援模式下使用。
#* <code>Screenshot</code>：首页这里显示的 Screenshot 相当于给服务器当前运行情况截图，点击可以进入 VNC 界面。

== 三、MJJ 圈内常用术语与行业黑话 ==
在逛各种 VPS 论坛（如 HostLoc、NodeSeek）或交流群时，你经常会看到一些稀奇古怪的词汇。这些“行业黑话”有的是为了防关键字屏蔽，有的是谐音梗，有的则是玩家们约定俗成的简称。

* '''MJJ：''' 买 VPS（小鸡）的人的自称或统称。全称是“买鸡鸡的人”，同时也带有一点自嘲的意味（没 jiji）。
* '''白嫖：''' 不花一分钱获取 VPS 或相关服务。VPS 圈存在很多提供长期免费额度的云大厂（如 Cloudflare 的服务、甲骨文的机器），千方百计注册这些免费资源的过程就被称为“白嫖”。
* '''甲骨文 (Oracle Cloud)：''' 常被戏称为“龟壳”。因为它提供永久免费的 AMD 服务器和最高 4核 24G 内存的 ARM 服务器，是全网最大的“白嫖圣地”。但注册成功率极低（全凭玄学），且官方有权随时以各种理由封禁账号。
* '''巨硬：''' 微软 (Microsoft) 的戏称（Micro=微，Soft=软，反过来就是巨硬）。在 VPS 圈通常指代微软的 Azure 云服务器，或者 GitHub 的教育包资源。
* '''小鸡：''' 即 VPS（虚拟服务器）。因为 VPS 都是从一台强大的独立服务器里虚拟分割出来的，所以被称为“小鸡”。
* '''母鸡：''' 指独立服务器（Host Node）。生出小 VPS 的物理宿主机就叫“母鸡”。
* '''杜甫 / 毒妇：''' “独服”的谐音，指独立服务器（Dedicated Server）。一整台物理服务器完全归你一个人使用，性能极强但价格昂贵。
* '''DD系统 (一键 DD 脚本)：''' 指通过特定的脚本程序（底层多利用 Linux 的 <code>dd</code> 复制命令），将整个硬盘格式化，并强行灌入一个'''完全纯净的官方原版操作系统'''（如纯净版 Debian 甚至直接装入 Windows 系统）。'''场景：''' 很多商家预装的系统塞了监控或杂七杂八的软件，MJJ 们拿到机器的第一件事往往就是“DD个纯净版”，以获取绝对的掌控权和更好的性能。
* '''玉米：''' “域名”的谐音（Domain Name）。
* '''超售：''' 指商家售出的 VPS 份额超过了物理服务器的实际承载能力。例如一台母鸡本来只能带 10 台小鸡，商家为了利益最大化强行塞了 20 台，就会导致大家平时用起来都非常卡顿。
* '''传家宝：''' 指那些曾经推出过、但现在已经绝版的特价服务器（例如搬瓦工早年的 $19.99/年甚至更低的套餐）。这些服务器往往性价比极高且市面上稀少，不仅有人长期续费持有，甚至二手转让时还会伴随着极高的溢价。
* '''Oneman：''' 字面意思，只有一个人（老板兼客服兼技术）经营的 IDC 服务商。这类商家风险极高，因为缺乏团队和资金保障，一旦遭遇 DDOS 攻击或入不敷出，老板随时可能“删库跑路”。
* '''灵车：''' 指那些看似配置极高、价格极低（比如 10块钱一年给你 8核 16G 内存），但商家随时可能跑路、机器频繁死机断网的 VPS 服务。买了这种商家的机器就叫“上灵车”，资金和数据大概率有去无回。
* '''PP (PayPal)：''' 国际常用的支付工具（国际版支付宝）。在购买不知名 Oneman 商家的 VPS 时，圈内强烈建议使用 PP 付款。因为如果商家跑路或服务器失联，你可以在 180 天内发起争议（Dispute）把钱强制退回来，这是防骗的最后一道防线。
* '''石头盘 / 钻石盘：''' 指那些 I/O（硬盘读写速度）极低的服务器硬盘。
** '''石头盘：''' 读写速度一般在 30~100M/s 之间，勉强能用。
** '''钻石盘：''' 读写速度在 0~30M/s 之间，卡到令人发指，稍微解压个文件系统就可能崩溃。
* '''落地鸡 / 中转鸡 / NAT鸡 (进阶网络玩法)：'''
** '''落地鸡 (Landing)：''' 指实际运行你的服务、负责访问最终目标网站的服务器。这类机器往往'''网络线路不好，但胜在能“解锁”特定区域的内容'''（如解锁当地的 Netflix、ChatGPT 等）。
** '''中转鸡 (Transit)：''' 指一个中间服务器。通常线路极佳（如搬瓦工 CN2 GIA），或者位于国内沿海城市。'''用法：''' 用户的请求先到达网络极佳的“中转鸡”，再由中转鸡将请求转发给网络差但能解锁内容的“落地鸡”。这样既保证了速度，又实现了解锁。
** '''NAT鸡：''' 指没有独立 IPv4 地址，必须和几十个人共享一个公网 IP 的小鸡。商家会给你分配几个特定的端口号（端口转发）来使用。优点是极其便宜，适合做玩具或中转。

== 四、初学者常见问题解答 (FAQ) ==

=== Q1：买完 VPS 之后，第一步应该干什么？ ===
'''答：''' 第一步永远是'''使用 SSH 工具连接到你的服务器'''，并进行基础安全设置。

# 登录你的 VPS 控制面板（如搬瓦工的 KiwiVM）。
# 找到你的 '''IP 地址'''、'''SSH 端口号'''（通常不是默认的 22）以及 '''Root 密码'''。
# 下载终端工具（Windows 推荐 Xshell 或 Tabby，Mac 自带 Terminal），输入上述信息连接。
# 成功连接后，建议第一时间使用 <code>passwd</code> 命令修改为一个自己记得住且复杂的强密码。

=== Q2：为什么我的 VPS 连不上？(SSH 连接超时/报错) ===
'''答：''' 新手连不上 VPS，99% 是以下三个原因之一：

# '''IP 被墙 (TCP Blocked)：''' 中国大陆封锁了该 IP。可以通过第三方网站（如 <code>ping.pe</code>）测试，如果国内全红、国外全绿，说明 IP 被墙了。
# '''端口没填对：''' 很多商家为了安全，SSH 端口不是默认的 <code>22</code>（例如搬瓦工通常是随机生成的五位数端口），请在后台仔细核对。
# '''密码输入错误：''' 一些 SSH 终端在输入密码时，'''屏幕是没有任何显示和星号提示的'''。请直接盲打密码然后敲回车，或者在外部复制好，在黑框里鼠标右键“粘贴”后回车。

=== Q3：Debian、Ubuntu 和 CentOS，我该选哪个系统？ ===
'''答：''' 强烈推荐使用 '''Debian 12'''。

* '''Debian：''' 以极其稳定、占用系统资源极小（几百MB内存就能跑得很流畅）著称，非常适合配置不高的 VPS。
* '''Ubuntu：''' 基于 Debian 发展而来，优点是教程极多，软件库最新，但略微臃肿。
* '''CentOS：''' 曾经的王者，但官方已经宣布停止维护（CentOS 7 / 8 均已寿终正寝），不建议再使用，避免遇到各种依赖报错和安全漏洞。

=== Q4：带宽 (Bandwidth) 和流量 (Traffic) 是一回事吗？ ===
'''答：''' 不是。假设你在下载一部 1GB 的电影：

* '''带宽 (Bandwidth)：''' 决定了你'''下载的速度有多快'''。如果是 1Gbps 带宽，你可能只需 10 秒就能下完；如果是 10Mbps 带宽，你可能需要等 15 分钟。
* '''流量 (Traffic)：''' 决定了你'''总共能下载多少部电影'''。如果你每个月有 1000GB 流量，这部电影就会扣掉你 1GB 的额度，当月还剩 999GB。一旦额度用完，服务器会被停机断网（直到下个月重置）。

=== Q5：为什么我买了 1Gbps/2.5Gbps 大带宽的机器，下载速度还是很慢？ ===
'''答：''' 这是因为跨国网络的高延迟导致的“BDP（带宽延迟乘积）瓶颈”。大白话就是：水管虽然很粗，但距离太远，水流不过来。 '''解决方法：''' 必须在 Linux 系统中开启 '''BBR 拥塞控制算法'''，并修改系统内核参数放大 '''TCP 缓冲区 (TCP Window Size)'''，速度就能瞬间起飞。（详细操作可参考本专栏的《基于BDP原理的单线程极限测速与TCP调优实战》）。

=== Q6：存在 VPS 上的数据安全吗？商家会帮我备份吗？ ===
'''答：绝对不要把希望寄托在商家身上！''' 哪怕商家的硬盘是 RAID-10 阵列（多块硬盘互备），它只能防硬盘物理损坏，防不了你执行了错误的命令删库（比如著名的 <code>rm -rf /*</code>），或者服务器被黑客勒索。 '''正确做法：''' 养成定期自己备份的习惯。如果 VPS 控制台有 '''Snapshot（快照）''' 功能（'''搬瓦工免费提供快照'''），每次进行大操作（如升级系统、部署新网站）前，务必手动打一个快照，如果出现问题，一键就能回滚到几分钟前的状态。

=== Q7：玩 VPS 必须要买一个域名吗？ ===
'''答：''' 取决于你的用途。

* 如果你只是用来学习 Linux 命令、跑一些简单的自动化脚本（如签到、挂机），不需要买域名，直接用 IP 访问即可。
* 如果你想'''建站（做个人博客）'''，或者搭建需要 HTTPS 加密的代理服务、私有网盘等，'''建议买一个域名'''。有些域名很便宜（比如6位数字的XYZ，只要1美元1年），不仅能显得更专业，还能通过套用 CDN 隐藏你的服务器真实 IP，大幅提升安全性。

希望这份术语汇编、黑话大全和常见问题解答，能帮你开启一段愉快的 VPS 探索之旅！
[[Category:500 常见应用指南 — Application Guides]]

File:Kivivm首页.png

2026-03-13T06:50:08Z

Air：

Kivivm首页

初学者入门必读：VPS 术语汇编与常见问题解答

2026-03-13T04:29:18Z

Air：创建页面，内容为“对于刚接触服务器和建站的新手来说，购买和配置 VPS（虚拟专用服务器）就像是进入了一个全新的世界。面对官网上密密麻麻的英文参数（如 KVM、Bandwidth、CN2 GIA、Root）以及各种报错提示，很多人会感到无从下手。为了帮助大家快速跨过“新手期”，我们特意整理了这份**《VPS 核心术语汇编与常见问题解答 (FAQ)》**。本文不仅涵盖了官方的专业术语…”

对于刚接触服务器和建站的新手来说，购买和配置 VPS（虚拟专用服务器）就像是进入了一个全新的世界。面对官网上密密麻麻的英文参数（如 KVM、Bandwidth、CN2 GIA、Root）以及各种报错提示，很多人会感到无从下手。

为了帮助大家快速跨过“新手期”，我们特意整理了这份**《VPS 核心术语汇编与常见问题解答 (FAQ)》**。本文不仅涵盖了官方的专业术语，详细拆解了搬瓦工 KiwiVM 控制面板的各项数据，还特别收录了玩家社区（泛指 NodeSeek、HostLoc 等主流 VPS 交流论坛）里的“行业黑话”，用最通俗易懂的比喻，带你轻松玩转 VPS。

== 第一部分：VPS 核心术语汇编 (Glossary) ==
我们将这些术语分为“基础概念”、“硬件资源”、“网络参数”和“系统管理”四个大类。

=== 1. 基础概念类 ===

* '''VPS (Virtual Private Server - 虚拟专用服务器)：''' '''通俗解释：''' 就像是一栋大楼（物理服务器）里隔出来的一个个“独立单身公寓”。虽然大家共享大楼的地基和水电，但你的房间有独立的门锁（独立系统）、独立的卫浴（独立资源），别人进不来，你也拥有这间房子的最高支配权。
* '''KVM (Kernel-based Virtual Machine)：''' '''通俗解释：''' 目前最主流的虚拟化技术（搬瓦工目前全系采用 KVM）。它相当于给你的“单身公寓”加了极厚的隔音墙，你的资源（CPU/内存）是完全独立的，邻居怎么折腾都不会轻易影响到你。''(注：早期还有一种叫 OpenVZ 的技术，存在严重的“超售”和资源争抢问题，现已被淘汰。)''
* '''Datacenter / Location (数据中心 / 机房位置)：''' '''通俗解释：''' 你的服务器物理存放的城市。例如 Los Angeles (洛杉矶, 缩写 LA)、Hong Kong (香港, 缩写 HK)、Tokyo (东京)。物理距离越近，通常网络延迟越低。

=== 2. 硬件资源类 ===

* '''CPU (Core - 处理器核心)：''' 决定服务器计算能力的大脑。一般 VPS 提供 1 核到 8 核不等。除非你做视频转码或高负载运算，普通的个人博客或代理服务 1-2 核足矣。
* '''RAM (Memory - 内存)：''' 决定服务器能同时运行多少程序的关键指标。对于 Linux 系统，'''1GB''' 是入门底线，'''2GB''' 是舒适线。如果低于 1GB，很多现代应用（如 Docker、某些面板）可能会因为内存不足（OOM）而崩溃。
* '''Swap (虚拟内存 / 交换空间)：''' '''通俗解释：''' 当物理内存（RAM）不够用时，系统会临时向硬盘借一块空间当内存用，这就叫 Swap。它的速度比真实内存慢很多，但能防止服务器因为内存耗尽而死机。
* '''SSD / NVMe (固态硬盘)：''' 服务器的存储空间。目前主流 VPS 都已普及 SSD，而 NVMe 是速度更快的 SSD 协议（例如搬瓦工的 SLA 系列就采用了 NVMe），读写速度极快。

=== 3. 网络参数类 (极重要) ===

* '''Bandwidth (端口带宽 - 速率)：''' '''通俗解释：''' 相当于**“水管的粗细”**。单位通常是 Mbps（兆比特每秒）或 Gbps（千兆比特每秒）。带宽越大，同一时间能传输的数据越多，你下载文件的速度上限就越高。（如搬瓦工提供 1Gbps - 10Gbps 的超大带宽）。
* '''Data Transfer / Traffic (流量 - 额度)：''' '''通俗解释：''' 相当于**“每月限制使用的总水量”**。单位通常是 GB 或 TB。例如套餐写着“1000 GB/mo”，意味着你这个月最多只能传输 1000GB 的数据。'''注意：大多数 VPS 是双向计费的（上传 + 下载都算在内）。'''
* '''IP Address (IP 地址：IPv4 / IPv6)：''' 服务器在互联网上的“门牌号”。IPv4 是传统的门牌号（如 <code>192.168.1.1</code>），目前资源枯竭，非常珍贵；IPv6 是新一代超长门牌号。
* '''Ping / Latency (延迟)：''' '''通俗解释：''' 你向服务器发一条消息，服务器回复你，这个往返所需要的时间。单位是 ms（毫秒）。中美之间的物理极限延迟大约是 130ms。延迟越低，操作越“跟手”。
* '''Routing (路由线路：CN2 GIA / CMIN2 / BGP)：''' '''通俗解释：''' 从你家连到服务器所走的“高速公路”。
** '''普通线路 (163 骨干网)：''' 免费的国道，晚高峰极度拥堵。
** '''CN2 GIA / CMIN2：''' 昂贵的 VIP 专属高速公路，即使在晚上也能全速狂飙，延迟低、不丢包（搬瓦工 E-Commerce 系列的核心卖点）。

=== 4. 系统与管理类 ===

* '''OS (Operating System - 操作系统)：''' VPS 运行的系统。绝大多数海外 VPS 不提供 Windows，只提供 Linux（如 Debian、Ubuntu、CentOS）。
* '''SSH (Secure Shell)：''' '''通俗解释：''' 一种加密的远程连接协议。你只需要在本地电脑用 SSH 工具（如 Xshell、Terminal），输入服务器的 IP、端口和密码，就能弹出一个黑色的命令行窗口，通过敲代码来远程控制这台服务器。
* '''Root (超级管理员)：''' Linux 系统中的最高权限账号，相当于 Windows 里的 <code>Administrator</code>。有了 Root 密码，你可以在服务器上做任何事情（包括把它搞崩溃）。
* '''Port (端口)：''' '''通俗解释：''' 如果 IP 是大楼的门牌号，端口就是大楼里具体的“房间号”。例如，网页浏览默认走 <code>80</code> 或 <code>443</code> 房间（端口），SSH 远程连接默认走 <code>22</code> 房间（端口）。

== 第二部分：搬瓦工 KiwiVM 控制面板主页参数图解 ==
当你购买了搬瓦工 VPS 并登录进后台的 '''KiwiVM 面板'''后，你会看到一堆密密麻麻的运行状态数据。这里为你逐一翻译并解释它们代表什么意思：

* '''Physical Location (物理位置):''' 例如 <code>US, California</code>。表示你这台服务器的硬件放在美国加利福尼亚州的数据中心。
* '''Node ID & VM ID (节点与机器编号):'''
** <code>Node ID (如 v6509)</code>：这台 VPS 所在的“母鸡”（物理宿主机）的编号。
** <code>VM ID (如 2075919)</code>：你这台“小鸡”（虚拟机）的唯一身份证号。如果服务器出故障提交工单找客服，客服通常会看这个 ID 来定位你的机器。
* '''Public IP address (公网 IP):''' 你这台服务器在互联网上的唯一地址。无论是 SSH 远程连接，还是把域名解析到网站，填的都是这个 IP。
* '''SSH Port (SSH 端口):''' 用于远程连接服务器的通道。'''搬瓦工为了安全，默认的 SSH 端口通常不是 22'''（例如显示为 <code>22222</code>）。所以在使用 Xshell 等工具连接时，千万别忘了把端口号改成这里显示的数字。
* '''Status (运行状态与负载):'''
** <code>Running</code>：表示开机运行中。如果关机了会显示 <code>Stopped</code>。
** <code>LA: 0.00 0.00 0.00</code>：即 Load Average（系统平均负载）。这三个数字分别代表过去 1分钟、5分钟、15分钟的系统负载情况。数字越低代表系统越空闲；如果数字长期大于你的 CPU 核心数，说明服务器卡顿、不堪重负了。
* '''RAM / Swap / Disk usage (内存/交换空间/硬盘使用量):''' 格式为 <code>已用 / 总量</code>（如 <code>2.14/20 GB</code>）。这是最直观的资源监控表，一旦某个进度条快满了，你就要考虑清理垃圾或者升级套餐了。
* '''Bandwidth usage (带宽/流量使用量):''' 搬瓦工是'''双向计费'''的（你上传文件和下载文件都会扣流量）。
** <code>7.2/1000 GB</code> 表示这个月 1000G 的总额度，你已经用掉了 7.2G。
** '''<code>Resets: 2026-04-05</code>'''：极度重要！这代表你的'''流量额度清零重置的日期'''。如果你这个月流量快用超了被停机，等到这天就会满血复活。
* '''Operating system & Hostname (操作系统与主机名):''' 显示当前安装的系统（如 <code>Debian 12 x86_64</code>）和这台机器的名字。主机名可以点击 <code>[change hostname]</code> 随意修改，方便你自己辨认。
* '''PTR Records – Reverse DNS (反向 DNS 解析):''' 普通用户（建站、做代理）'''完全不需要管这个'''。这是给那些准备自己搭建“邮件发信服务器”的高级用户用的，设置反向解析可以防止发出去的邮件被识别为垃圾邮件。
* '''Mount ISO / Screenshot (挂载镜像与屏幕截图):'''
** <code>Mount ISO</code>：用于挂载纯净的系统安装盘，一般在进阶重装系统或救援模式下使用。
** <code>Screenshot</code>：相当于给服务器当前连着的“显示器”拍个照。如果你发现连不上 SSH 了，点一下这里，看看屏幕上是不是出了什么内核报错（如 Kernel Panic），对排障极其有用。

== 第三部分：MJJ 圈内常用术语与行业黑话 ==
在逛各种 VPS 论坛（如 HostLoc、NodeSeek）或交流群时，你经常会看到一些稀奇古怪的词汇。这些“行业黑话”有的是为了防关键字屏蔽，有的是谐音梗，有的则是玩家们约定俗成的简称。

* '''MJJ：''' 买 VPS（小鸡）的人的自称或统称。全称是“买鸡鸡的人”，同时也带有一点自嘲的意味（没 jiji）。
* '''小鸡：''' 即 VPS（虚拟服务器）。因为 VPS 都是从一台强大的独立服务器里虚拟分割出来的，所以被称为“小鸡”。
* '''母鸡：''' 指独立服务器（Host Node）。生出小 VPS 的物理宿主机就叫“母鸡”。
* '''杜甫 / 毒妇：''' “独服”的谐音，指独立服务器（Dedicated Server）。一整台物理服务器完全归你一个人使用，性能极强但价格昂贵。
* '''玉米：''' “域名”的谐音（Domain Name）。
* '''超兽：''' “超售”的谐音。指商家售出的 VPS 份额超过了物理服务器的实际承载能力。例如一台母鸡本来只能带 10 台小鸡，商家为了利益最大化强行塞了 20 台，就会导致大家平时用起来都非常卡顿。
* '''传家宝：''' 指那些曾经推出过、但现在已经绝版的特价服务器（例如搬瓦工早年的 $19.99/年甚至更低的套餐）。这些服务器往往性价比极高且市面上稀少，不仅有人长期续费持有，甚至二手转让时还会伴随着极高的溢价。
* '''Oneman：''' 字面意思，只有一个人（老板兼客服兼技术）经营的 IDC 服务商。这类商家风险极高，因为缺乏团队和资金保障，一旦遭遇 DDOS 攻击或入不敷出，老板随时可能“删库跑路”。
* '''石头盘 / 钻石盘：''' 指那些 I/O（硬盘读写速度）极低的服务器硬盘。
** '''石头盘：''' 读写速度一般在 30~100M/s 之间，勉强能用。
** '''钻石盘：''' 读写速度在 0~30M/s 之间，卡到令人发指，稍微解压个文件系统就可能崩溃。
* '''落地鸡 / 中转鸡 / NAT鸡 (进阶网络玩法)：'''
** '''落地鸡 (Landing)：''' 指实际运行你的服务、负责访问最终目标网站的服务器。这类机器往往'''网络线路不好，但胜在能“解锁”特定区域的内容'''（如解锁当地的 Netflix、ChatGPT 等）。
** '''中转鸡 (Transit)：''' 指一个中间服务器。通常线路极佳（如搬瓦工 CN2 GIA），或者位于国内沿海城市。'''用法：''' 用户的请求先到达网络极佳的“中转鸡”，再由中转鸡将请求转发给网络差但能解锁内容的“落地鸡”。这样既保证了速度，又实现了解锁。
** '''NAT鸡：''' 指没有独立 IPv4 地址，必须和几十个人共享一个公网 IP 的小鸡。商家会给你分配几个特定的端口号（端口转发）来使用。优点是极其便宜，适合做玩具或中转。

== 第四部分：初学者常见问题解答 (FAQ) ==

=== Q1：买完 VPS 之后，第一步应该干什么？ ===
'''答：''' 第一步永远是'''使用 SSH 工具连接到你的服务器'''，并进行基础安全设置。

# 登录你的 VPS 控制面板（如搬瓦工的 KiwiVM）。
# 找到你的 '''IP 地址'''、'''SSH 端口号'''（通常不是默认的 22）以及 '''Root 密码'''。
# 下载终端工具（Windows 推荐 Xshell 或 Tabby，Mac 自带 Terminal），输入上述信息连接。
# 成功连接后，建议第一时间使用 <code>passwd</code> 命令修改为一个自己记得住且复杂的强密码。

=== Q2：为什么我的 VPS 连不上？(SSH 连接超时/报错) ===
'''答：''' 新手连不上 VPS，99% 是以下三个原因之一：

# '''IP 被墙 (TCP Blocked)：''' 中国大陆封锁了该 IP。可以通过第三方网站（如 <code>ping.pe</code>）测试，如果国内全红、国外全绿，说明 IP 被墙了。
# '''端口没填对：''' 很多商家为了安全，SSH 端口不是默认的 <code>22</code>（例如搬瓦工通常是随机生成的五位数端口），请在后台仔细核对。
# '''密码输入错误：''' Linux 终端在输入密码时，'''屏幕是没有任何显示和星号提示的'''（为了防偷窥）。请直接盲打密码然后敲回车，或者在外部复制好，在黑框里鼠标右键“粘贴”后回车。

=== Q3：Debian、Ubuntu 和 CentOS，我该选哪个系统？ ===
'''答：''' 强烈推荐使用 '''Debian 12'''。

* '''Debian：''' 以极其稳定、占用系统资源极小（几百MB内存就能跑得很流畅）著称，非常适合配置不高的 VPS。
* '''Ubuntu：''' 基于 Debian 发展而来，优点是教程极多，软件库最新，但略微臃肿。
* '''CentOS：''' 曾经的王者，但官方已经宣布停止维护（CentOS 7 / 8 均已寿终正寝），'''新手强烈不建议再使用'''，避免遇到各种依赖报错和安全漏洞。

=== Q4：带宽 (Bandwidth) 和流量 (Traffic) 是一回事吗？ ===
'''答：''' 不是。假设你在下载一部 1GB 的电影：

* '''带宽 (Bandwidth)：''' 决定了你'''下载的速度有多快'''。如果是 1Gbps 带宽，你可能只需 10 秒就能下完；如果是 10Mbps 带宽，你可能需要等 15 分钟。
* '''流量 (Traffic)：''' 决定了你'''总共能下载多少部电影'''。如果你每个月有 1000GB 流量，这部电影就会扣掉你 1GB 的额度，当月还剩 999GB。一旦额度用完，服务器会被停机断网（直到下个月重置）。

如何让你的VPS速度更快：基于BDP原理的单线程极限测速与TCP调优实践

2026-03-10T11:23:22Z

Air：

搬瓦工（BandwagonHost）的中国优化线路，已经是目前普通中国消费者能以较低价位获取到的、速度最顶级的中美网络线路，其本身的线路质量和物理速度毋庸置疑。

然而，很多朋友购买了搬瓦工的中国线路优化套餐后，实际使用中可能会遇到了一个奇怪的问题：'''多线程测速（如 Speedtest）能跑满带宽，但用浏览器单线程下载文件时，速度却到不到预期。'''

为了验证并解决这个问题，我使用了 '''DC6、DC9、DC99''' 三个机房的服务器进行了测试与底层调优。

=== 一、核心原因：什么是 BDP？为什么跑不满服务器带宽 ===
要解决问题，首先要找到原因。很多人忽略了跨国网络传输中的一个核心物理限制。

==== 1. 理论基础 ====
对于BDP，可以参考在维基百科中的定义：

'''''Bandwidth-delay product is the product of a data link's capacity (in bits per second) and its round-trip delay time (in seconds).'''''

'''''（带宽延迟乘积 = 数据链路的容量 × 往返延迟时间）'''''

==== 2. 场景代入 ====
搬瓦工的美国机房（如 DC6/DC9）到中国的物理距离很远，平均网络延迟（RTT）大约在 '''150ms (0.15秒)''' 以上。同时，它的网络端口极大（'''2.5Gbps+'''）。这种“高延迟 + 大端口”的网络，在计算机网络中被称为 '''LFN（Long Fat Network，长胖网络）'''。

TCP 协议在传输数据时，需要等待对方的“确认接收（ACK）”才会发送下一批数据。这就好比你在一个长长的管道里运水，如果你的“水桶（TCP 窗口/缓冲区）”太小，水管（带宽）再粗也没用，因为你每次只能运那么一小桶，还要等 0.15 秒以上才能送下一桶。

==== 3. 数据测算 ====
这里做个假设：我们要在这条 150ms 延迟的路线上，跑满 '''1Gbps''' 的单线程速度。

通过计算可知： <code>BDP = 1,000,000,000 bps × 0.15s = 150,000,000 bits = 18.75 MB</code>

也就是说，'''Linux 系统的 TCP 接收/发送缓冲区至少需要 18.75 MB，才能跑满 1Gbps 的网络端口！''' 而搬瓦工默认的 Linux 系统（如 Debian 12 ）的 TCP 缓冲区是没有设置的，也就是说实际 TCP 缓冲区仅有默认的5M以下。'''这就是单线程速度跑不快的最根本原因！'''

=== 二、调优实战：修改内核参数，提高速度上限 ===
既然知道了原因，解决办法就很简单了：开启拥塞控制算法（BBR），并'''强行放大系统的 TCP 缓冲区限制'''。搬瓦工的服务器目前都默认开启了 BBR ，所以我们只需要直接修改缓冲区大小。

==== 1. 编辑系统文件 ====

SSH 登录到服务器，编辑系统文件：<syntaxhighlight lang="abap">
vi /etc/sysctl.conf
</syntaxhighlight>进入 vi 编辑页面后，按下键盘 '''<code>i</code>''' 键进入编辑模式。

'''提示：''' 如果在使用 <code>vi</code> 粘贴内容时遇到报错、卡顿或格式错乱等问题，可以先按 <code>ESC</code> 键输入 <code>:q!</code> 强制退出，然后执行命令 <code>echo "set clipboard=unnamed" >> ~/.vimrc</code> 来开启剪贴板支持并优化配置，之后再重新执行 <code>vi</code> 命令进入编辑即可。

==== 2. 选择并写入 TCP 缓冲区参数 ====
根据你的实际需求，选择以下'''两种方案之一'''，将其复制并粘贴到配置文件的最末尾。

===== 方案 A：均衡版参数（推荐） =====
* '''定位：''' 将单线程理论峰值控制在 '''1Gbps (约 125MB/s)''' 左右。
* '''优点：''' 足够满足日常 4K/8K 观影和快速下载需求。避免速度过高导致流量消耗过快，同时'''降低因单线程长时间超大流量传输而引起中国防火墙（GFW）注意和封锁的风险'''。
<syntaxhighlight lang="abap">
# --- TCP 缓冲区调优 (均衡版 16MB) ---
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 65536 16777216
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_window_scaling = 1
</syntaxhighlight>

===== 方案 B：激进版参数 =====
* '''定位：''' 理论极限峰值可跑满 '''2.5Gbps 甚至更高'''。
* '''优点：''' 极限发挥搬瓦工 DC6 等顶级机房的全部物理带宽，适合测速跑分或极端大文件内网传输。
<syntaxhighlight lang="abap">
# 放大 TCP 缓冲区 (最大 32MB，解决高延迟大带宽 BDP 瓶颈)
net.ipv4.tcp_rmem = 4096 87380 33554432
net.ipv4.tcp_wmem = 4096 65536 33554432
net.core.rmem_max = 33554432
net.core.wmem_max = 33554432
net.ipv4.tcp_window_scaling = 1

</syntaxhighlight>

==== 3. 保存并使配置生效 ====
粘贴完成后，按下键盘 '''<code>ESC</code>''' 键退出编辑模式，接着输入 '''<code>:wq</code>'''（写入并退出）并回车。最后，执行以下命令让刚才的修改立即生效：<syntaxhighlight lang="abap">
sysctl -p
</syntaxhighlight>

=== 三、iperf3 测速对比结果：调优前 vs 调优后 ===
为了最直观地看到效果，避免其他不稳定因素干扰测试结果，我们使用网络测试工具 '''iperf3 ，'''让我们可以测试服务器到本地的单线程极限速度。

==== 1.测速环境与工具准备 ====
* 请使用debian12系统，其他版本或者系统的可能不适用。
* 在搬瓦工 VPS 上安装服务端（安装弹出的提示选NO）：<code>apt install -y iperf3</code>
* 在本地电脑（或另一台国内服务器）下载并运行运行客户端：[https://iperf.fr/iperf-download.php 官网连接]

我们分别对 DC6 、DC9 和 DC99 机房进行 '''单线程极限测试'''（加 <code>-R</code> 参数测试 VPS 到本地的下载速度）。

'''测试命令：'''<code>iperf3 -c [你的VPS_IP] -P 1 -R</code>

==== 2.默认状态测速（未调优） ====
【DC6 机房 - 调优前测速截图】

[[File:Iperfdc601.png|800x800px]]

【DC99 机房 - 调优前测速截图】

[[File:Iperfdc9901.png|800x800px]]

【DC9 机房 - 调优前测速截图】

[[File:Iperfdc901.png|800x800px]]

==== 3.增加调优参数后测速 ====
【DC6 机房 - 调优后测速截图】

[[File:Iperfdc602.png|800x800px]]

【DC99 机房 - 调优后测速截图】

[[File:Iperfdc9902.png|800x800px]]

【DC99机房 - 调优前测速截图】

[[File:Iperfdc902.png|800x800px]]

==== 4.数据总结与对比分析 ====
由于我用于测试的服务器位于中国的国际网络出口端，所以与 DC6、DC9 和 DC99 的连通性本来就较好，峰值速度提升有限。但是通过数据和曲线可以看到，调优后'''速度拉升更快，稳定区间更高、更平滑'''。后续我将补充上更多地区的实际测试数据。

=== 四、最后总结 ===
'''1.带宽 ≠ 实际速度：''' 使用大带宽的搬瓦工中国线路优化服务器，并不意味着任何情况下网络都能起飞。面对中美之间的高延迟网络 (LFN)，底层协议的 TCP 窗口调优至关重要。

'''2.按需选择调优策略：''' 不建议盲目追求极限速度。对于绝大多数场景，“均衡版参数”是最比较合适的选择，既能保证丝滑体验，又能有效规避流量异常导致的封禁风险。

'''3.单线程才是真是体验：''' 测速不能参考 Speedtest 多线程并发跑出来的数据。用 <code>iperf3 -P 1</code> 测出来的单线程速度，才是你建站、传文件、拉取 Docker 镜像时真正能体验到的速度。

'''4.进阶调优建议：''' 如果你对调优有更多想法，可以参照 NodeSeek 大佬的调优专用网站，选择更适合自己的调优参数。https://omnitt.com/
[[Category:300 VPS 设置与管理 — VPS Setup and Management]]

如何让你的VPS速度更快：基于BDP原理的单线程极限测速与TCP调优实践

2026-03-10T11:18:04Z

Air：

搬瓦工（BandwagonHost）的中国优化线路，已经是目前普通中国消费者能以较低价位获取到的、速度最顶级的中美网络线路，其本身的线路质量和物理速度毋庸置疑。

然而，很多朋友购买了搬瓦工的中国线路优化套餐后，实际使用中可能会遇到了一个奇怪的问题：'''多线程测速（如 Speedtest）能跑满带宽，但用浏览器单线程下载文件时，速度却到不到预期。'''

为了验证并解决这个问题，我使用了 '''DC6、DC9、DC99''' 三个机房的服务器进行了测试与底层调优。

=== 一、核心原因：什么是 BDP？为什么跑不满服务器带宽 ===
要解决问题，首先要找到原因。很多人忽略了跨国网络传输中的一个核心物理限制。

==== 1. 理论基础 ====
对于BDP，可以参考在维基百科中的定义：

'''''Bandwidth-delay product is the product of a data link's capacity (in bits per second) and its round-trip delay time (in seconds).'''''

'''''（带宽延迟乘积 = 数据链路的容量 × 往返延迟时间）'''''

==== 2. 场景代入 ====
搬瓦工的美国机房（如 DC6/DC9）到中国的物理距离很远，平均网络延迟（RTT）大约在 '''150ms (0.15秒)''' 以上。同时，它的网络端口极大（'''2.5Gbps+'''）。这种“高延迟 + 大端口”的网络，在计算机网络中被称为 '''LFN（Long Fat Network，长胖网络）'''。

TCP 协议在传输数据时，需要等待对方的“确认接收（ACK）”才会发送下一批数据。这就好比你在一个长长的管道里运水，如果你的“水桶（TCP 窗口/缓冲区）”太小，水管（带宽）再粗也没用，因为你每次只能运那么一小桶，还要等 0.15 秒以上才能送下一桶。

==== 3. 数据测算 ====
这里做个假设：我们要在这条 150ms 延迟的路线上，跑满 '''1Gbps''' 的单线程速度。

通过计算可知： <code>BDP = 1,000,000,000 bps × 0.15s = 150,000,000 bits = 18.75 MB</code>

也就是说，'''Linux 系统的 TCP 接收/发送缓冲区至少需要 18.75 MB，才能跑满 1Gbps 的网络端口！''' 而搬瓦工默认的 Linux 系统（如 Debian 12 ）的 TCP 缓冲区是没有设置的，也就是说实际 TCP 缓冲区仅有默认的5M以下。'''这就是单线程速度跑不快的最根本原因！'''

=== 二、调优实战：修改内核参数，提高速度上限 ===
既然知道了原因，解决办法就很简单了：开启拥塞控制算法（BBR），并'''强行放大系统的 TCP 缓冲区限制'''。搬瓦工的服务器目前都默认开启了 BBR ，所以我们只需要直接修改缓冲区大小。

==== 1. 编辑系统文件 ====

SSH 登录到服务器，编辑系统控制文件：<syntaxhighlight lang="abap">
vi /etc/sysctl.conf
</syntaxhighlight>进入 vi 编辑页面后，按下键盘 '''<code>i</code>''' 键进入编辑模式。

==== 2. 选择并写入 TCP 缓冲区参数 ====
根据你的实际需求，选择以下'''两种方案之一'''，将其复制并粘贴到配置文件的最末尾。

===== 方案 A：均衡版参数（推荐） =====
* '''定位：''' 将单线程理论峰值控制在 '''1Gbps (约 125MB/s)''' 左右。
* '''优点：''' 足够满足日常 4K/8K 观影和快速下载需求。避免速度过高导致流量消耗过快，同时'''降低因单线程长时间超大流量传输而引起中国防火墙（GFW）注意和封锁的风险'''。
<syntaxhighlight lang="abap">
# --- TCP 缓冲区调优 (均衡版 16MB) ---
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 65536 16777216
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_window_scaling = 1
</syntaxhighlight>

===== 方案 B：激进版参数 =====
* '''定位：''' 理论极限峰值可跑满 '''2.5Gbps 甚至更高'''。
* '''优点：''' 极限发挥搬瓦工 DC6 等顶级机房的全部物理带宽，适合测速跑分或极端大文件内网传输。
<syntaxhighlight lang="abap">
# 放大 TCP 缓冲区 (最大 32MB，解决高延迟大带宽 BDP 瓶颈)
net.ipv4.tcp_rmem = 4096 87380 33554432
net.ipv4.tcp_wmem = 4096 65536 33554432
net.core.rmem_max = 33554432
net.core.wmem_max = 33554432
net.ipv4.tcp_window_scaling = 1

</syntaxhighlight>

==== 3. 保存并使配置生效 ====
粘贴完成后，按下键盘 '''<code>ESC</code>''' 键退出编辑模式，接着输入 '''<code>:wq</code>'''（写入并退出）并回车。最后，执行以下命令让刚才的修改立即生效：<syntaxhighlight lang="abap">
sudo sysctl -p
</syntaxhighlight>

=== 三、iperf3 测速对比结果：调优前 vs 调优后 ===
为了最直观地看到效果，避免其他不稳定因素干扰测试结果，我们使用网络测试工具 '''iperf3 ，'''让我们可以测试服务器到本地的单线程极限速度。

==== 1.测速环境与工具准备 ====
* 请使用debian12系统，其他版本或者系统的可能不适用。
* 在搬瓦工 VPS 上安装服务端（安装弹出的提示选NO）：<code>apt install -y iperf3</code>
* 在本地电脑（或另一台国内服务器）下载并运行运行客户端：[https://iperf.fr/iperf-download.php 官网连接]

我们分别对 DC6 、DC9 和 DC99 机房进行 '''单线程极限测试'''（加 <code>-R</code> 参数测试 VPS 到本地的下载速度）。

'''测试命令：'''<code>iperf3 -c [你的VPS_IP] -P 1 -R</code>

==== 2.默认状态测速（未调优） ====
【DC6 机房 - 调优前测速截图】

[[File:Iperfdc601.png|800x800px]]

【DC99 机房 - 调优前测速截图】

[[File:Iperfdc9901.png|800x800px]]

【DC9 机房 - 调优前测速截图】

[[File:Iperfdc901.png|800x800px]]

==== 3.增加调优参数后测速 ====
【DC6 机房 - 调优后测速截图】

[[File:Iperfdc602.png|800x800px]]

【DC99 机房 - 调优后测速截图】

[[File:Iperfdc9902.png|800x800px]]

【DC99机房 - 调优前测速截图】

[[File:Iperfdc902.png|800x800px]]

==== 4.数据总结与对比分析 ====
由于我用于测试的服务器位于中国的国际网络出口端，所以与 DC6、DC9 和 DC99 的连通性本来就较好，峰值速度提升有限。但是通过数据和曲线可以看到，调优后'''速度拉升更快，稳定区间更高、更平滑'''。后续我将补充上更多地区的实际测试数据。

=== 四、最后总结 ===
'''1.带宽 ≠ 实际速度：''' 使用大带宽的搬瓦工中国线路优化服务器，并不意味着任何情况下网络都能起飞。面对中美之间的高延迟网络 (LFN)，底层协议的 TCP 窗口调优至关重要。

'''2.按需选择调优策略：''' 不建议盲目追求极限速度。对于绝大多数场景，“均衡版参数”是最比较合适的选择，既能保证丝滑体验，又能有效规避流量异常导致的封禁风险。

'''3.单线程才是真是体验：''' 测速不能参考 Speedtest 多线程并发跑出来的数据。用 <code>iperf3 -P 1</code> 测出来的单线程速度，才是你建站、传文件、拉取 Docker 镜像时真正能体验到的速度。

'''4.进阶调优建议：''' 如果你对调优有更多想法，可以参照 NodeSeek 大佬的调优专用网站，选择更适合自己的调优参数。https://omnitt.com/
[[Category:300 VPS 设置与管理 — VPS Setup and Management]]

如何让你的VPS速度更快：基于BDP原理的单线程极限测速与TCP调优实践

2026-03-10T11:16:30Z

Air：修改内容

搬瓦工（BandwagonHost）的中国优化线路，已经是目前普通中国消费者能以较低价位获取到的、速度最顶级的中美网络线路，其本身的线路质量和物理速度毋庸置疑。

然而，很多朋友购买了搬瓦工的中国线路优化套餐后，实际使用中可能会遇到了一个奇怪的问题：'''多线程测速（如 Speedtest）能跑满带宽，但用浏览器单线程下载文件时，速度却到不到预期。'''

为了验证并解决这个问题，我使用了 '''DC6、DC9、DC99''' 三个机房的服务器进行了测试与底层调优。

=== 一、核心原因：什么是 BDP？为什么跑不满服务器带宽 ===
要解决问题，首先要找到原因。很多人忽略了跨国网络传输中的一个核心物理限制。

==== 1. 理论基础 ====
对于BDP，可以参考在维基百科中的定义：

'''''Bandwidth-delay product is the product of a data link's capacity (in bits per second) and its round-trip delay time (in seconds).'''''

'''''（带宽延迟乘积 = 数据链路的容量 × 往返延迟时间）'''''

==== 2. 场景代入 ====
搬瓦工的美国机房（如 DC6/DC9）到中国的物理距离很远，平均网络延迟（RTT）大约在 '''150ms (0.15秒)''' 以上。同时，它的网络端口极大（'''2.5Gbps+'''）。这种“高延迟 + 大端口”的网络，在计算机网络中被称为 '''LFN（Long Fat Network，长胖网络）'''。

TCP 协议在传输数据时，需要等待对方的“确认接收（ACK）”才会发送下一批数据。这就好比你在一个长长的管道里运水，如果你的“水桶（TCP 窗口/缓冲区）”太小，水管（带宽）再粗也没用，因为你每次只能运那么一小桶，还要等 0.15 秒以上才能送下一桶。

==== 3. 数据测算 ====
这里做个假设：我们要在这条 150ms 延迟的路线上，跑满 '''1Gbps''' 的单线程速度。

通过计算可知： <code>BDP = 1,000,000,000 bps × 0.15s = 150,000,000 bits = 18.75 MB</code>

也就是说，'''Linux 系统的 TCP 接收/发送缓冲区至少需要 18.75 MB，才能跑满 1Gbps 的网络端口！''' 而搬瓦工默认的 Linux 系统（如 Debian 12 ）的 TCP 缓冲区是没有设置的，也就是说实际 TCP 缓冲区仅有默认的5M以下。'''这就是单线程速度跑不快的最根本原因！'''

=== 二、调优实战：修改内核参数，提高速度上限 ===
既然知道了原因，解决办法就很简单了：开启拥塞控制算法（BBR），并'''强行放大系统的 TCP 缓冲区限制'''。搬瓦工的服务器目前都默认开启了 BBR ，所以我们只需要直接修改缓冲区大小。

==== 1. 编辑系统文件 ====

SSH 登录到服务器，编辑系统控制文件：<syntaxhighlight lang="abap">
vi /etc/sysctl.conf
</syntaxhighlight>进入 vi 编辑页面后，按下键盘 '''<code>i</code>''' 键进入编辑模式。

==== 2. 选择并写入 TCP 缓冲区参数 ====
根据你的实际需求，选择以下'''两种方案之一'''，将其复制并粘贴到配置文件的最末尾。

=== 方案 A：均衡版参数（推荐） ===

* '''定位：''' 将单线程理论峰值控制在 '''1Gbps (约 125MB/s)''' 左右。
* '''优点：''' 足够满足日常 4K/8K 观影和快速下载需求。避免速度过高导致流量消耗过快，同时'''降低因单线程长时间超大流量传输而引起中国防火墙（GFW）注意和封锁的风险'''。
<syntaxhighlight lang="abap">
# --- TCP 缓冲区调优 (均衡版 16MB) ---
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 65536 16777216
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_window_scaling = 1
</syntaxhighlight>

=== 方案 B：激进版参数 ===

* '''定位：''' 理论极限峰值可跑满 '''2.5Gbps 甚至更高'''。
* '''优点：''' 极限发挥搬瓦工 DC6 等顶级机房的全部物理带宽，适合测速跑分或极端大文件内网传输。
<syntaxhighlight lang="abap">
# 放大 TCP 缓冲区 (最大 32MB，解决高延迟大带宽 BDP 瓶颈)
net.ipv4.tcp_rmem = 4096 87380 33554432
net.ipv4.tcp_wmem = 4096 65536 33554432
net.core.rmem_max = 33554432
net.core.wmem_max = 33554432
net.ipv4.tcp_window_scaling = 1

</syntaxhighlight>

==== 3. 保存并使配置生效 ====
粘贴完成后，按下键盘 '''<code>ESC</code>''' 键退出编辑模式，接着输入 '''<code>:wq</code>'''（写入并退出）并回车。最后，执行以下命令让刚才的修改立即生效：<syntaxhighlight lang="abap">
sudo sysctl -p
</syntaxhighlight>

=== 三、iperf3 测速对比结果：调优前 vs 调优后 ===
为了最直观地看到效果，避免其他不稳定因素干扰测试结果，我们使用网络测试工具 '''iperf3 ，'''让我们可以测试服务器到本地的单线程极限速度。

==== 1.测速环境与工具准备 ====
* 请使用debian12系统，其他版本或者系统的可能不适用。
* 在搬瓦工 VPS 上安装服务端（安装弹出的提示选NO）：<code>apt install -y iperf3</code>
* 在本地电脑（或另一台国内服务器）下载并运行运行客户端：[https://iperf.fr/iperf-download.php 官网连接]

我们分别对 DC6 、DC9 和 DC99 机房进行 '''单线程极限测试'''（加 <code>-R</code> 参数测试 VPS 到本地的下载速度）。

'''测试命令：'''<code>iperf3 -c [你的VPS_IP] -P 1 -R</code>

==== 2.默认状态测速（未调优） ====
【DC6 机房 - 调优前测速截图】

[[File:Iperfdc601.png|800x800px]]

【DC99 机房 - 调优前测速截图】

[[File:Iperfdc9901.png|800x800px]]

【DC9 机房 - 调优前测速截图】

[[File:Iperfdc901.png|800x800px]]

==== 3.增加调优参数后测速 ====
【DC6 机房 - 调优后测速截图】

[[File:Iperfdc602.png|800x800px]]

【DC99 机房 - 调优后测速截图】

[[File:Iperfdc9902.png|800x800px]]

【DC99机房 - 调优前测速截图】

[[File:Iperfdc902.png|800x800px]]

==== 4.数据总结与对比分析 ====
由于我用于测试的服务器位于中国的国际网络出口端，所以与 DC6、DC9 和 DC99 的连通性本来就较好，峰值速度提升有限。但是通过数据和曲线可以看到，调优后'''速度拉升更快，稳定区间更高、更平滑'''。后续我将补充上更多地区的实际测试数据。

=== 四、最后总结 ===
'''1.带宽 ≠ 实际速度：''' 使用大带宽的搬瓦工中国线路优化服务器，并不意味着任何情况下网络都能起飞。面对中美之间的高延迟网络 (LFN)，'''底层协议的 TCP 窗口调优至关重要'''。

'''2.按需选择调优策略：''' 不建议盲目追求极限速度。对于绝大多数场景，“'''均衡版参数'''”是最比较合适的选择，既能保证丝滑体验，又能有效规避流量异常导致的封禁风险。

'''3.单线程才是真是体验：''' 测速不能参考 Speedtest 多线程并发跑出来的数据。用 <code>iperf3 -P 1</code> 测出来的单线程速度，才是你建站、传文件、拉取 Docker 镜像时真正能体验到的速度。

'''4.进阶调优建议：''' 如果你对调优有更多想法，可以参照 NodeSeek 大佬的调优专用网站，选择更适合自己的调优参数。https://omnitt.com/
[[Category:300 VPS 设置与管理 — VPS Setup and Management]]

如何让你的VPS速度更快：基于BDP原理的单线程极限测速与TCP调优实践

2026-03-10T11:14:15Z

Air：

搬瓦工（BandwagonHost）的中国优化线路，已经是目前普通中国消费者能以较低价位获取到的、速度最顶级的中美网络线路，其本身的线路质量和物理速度毋庸置疑。

然而，很多朋友购买了搬瓦工的中国线路优化套餐后，实际使用中可能会遇到了一个奇怪的问题：'''多线程测速（如 Speedtest）能跑满带宽，但用浏览器单线程下载文件时，速度却到不到预期。'''

为了验证并解决这个问题，我使用了 '''DC6、DC9、DC99''' 三个机房的服务器进行了测试与底层调优。

=== 一、核心原因：什么是 BDP？为什么跑不满服务器带宽 ===
要解决问题，首先要找到原因。很多人忽略了跨国网络传输中的一个核心物理限制。

==== 1. 理论基础 ====
对于BDP，可以参考在维基百科中的定义：

'''''Bandwidth-delay product is the product of a data link's capacity (in bits per second) and its round-trip delay time (in seconds).'''''

'''''（带宽延迟乘积 = 数据链路的容量 × 往返延迟时间）'''''

==== 2. 场景代入 ====
搬瓦工的美国机房（如 DC6/DC9）到中国的物理距离很远，平均网络延迟（RTT）大约在 '''150ms (0.15秒)''' 以上。同时，它的网络端口极大（'''2.5Gbps+'''）。这种“高延迟 + 大端口”的网络，在计算机网络中被称为 '''LFN（Long Fat Network，长胖网络）'''。

TCP 协议在传输数据时，需要等待对方的“确认接收（ACK）”才会发送下一批数据。这就好比你在一个长长的管道里运水，如果你的“水桶（TCP 窗口/缓冲区）”太小，水管（带宽）再粗也没用，因为你每次只能运那么一小桶，还要等 0.15 秒以上才能送下一桶。

==== 3. 数据测算 ====
这里做个假设：我们要在这条 150ms 延迟的路线上，跑满 '''1Gbps''' 的单线程速度。

通过计算可知： <code>BDP = 1,000,000,000 bps × 0.15s = 150,000,000 bits = 18.75 MB</code>

也就是说，'''Linux 系统的 TCP 接收/发送缓冲区至少需要 18.75 MB，才能跑满 1Gbps 的网络端口！''' 而搬瓦工默认的 Linux 系统（如 Debian 12 ）的 TCP 缓冲区是没有设置的，也就是说实际 TCP 缓冲区仅有默认的5M以下。'''这就是单线程速度跑不快的最根本原因！'''

=== 二、调优实战：修改内核参数，提高速度上限 ===
既然知道了原因，解决办法就很简单了：开启拥塞控制算法（BBR），并'''强行放大系统的 TCP 缓冲区限制'''。搬瓦工的服务器目前都默认开启了 BBR ，所以我们只需要直接修改缓冲区大小。

==== 1. 编辑系统文件 ====

SSH 登录到服务器，编辑系统控制文件：<syntaxhighlight lang="abap">
vi /etc/sysctl.conf
</syntaxhighlight>进入 vi 编辑页面后，按下键盘 '''<code>i</code>''' 键进入编辑模式。

==== 2. 选择并写入 TCP 缓冲区参数 ====
根据你的实际需求，选择以下'''两种方案之一'''，将其复制并粘贴到配置文件的最末尾。

=== 方案 A：均衡版参数（推荐） ===

* '''定位：''' 将单线程理论峰值控制在 '''1Gbps (约 125MB/s)''' 左右。
* '''优点：''' 足够满足日常 4K/8K 观影和快速下载需求。避免速度过高导致流量消耗过快，同时'''降低因单线程长时间超大流量传输而引起中国防火墙（GFW）注意和封锁的风险'''。
<syntaxhighlight lang="abap">
# --- TCP 缓冲区调优 (均衡版 16MB) ---
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 65536 16777216
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_window_scaling = 1
</syntaxhighlight>

=== 方案 B：激进版参数 ===

* '''定位：''' 理论极限峰值可跑满 '''2.5Gbps 甚至更高'''。
* '''优点：''' 极限发挥搬瓦工 DC6 等顶级机房的全部物理带宽，适合测速跑分或极端大文件内网传输。
<syntaxhighlight lang="abap">
# 放大 TCP 缓冲区 (最大 32MB，解决高延迟大带宽 BDP 瓶颈)
net.ipv4.tcp_rmem = 4096 87380 33554432
net.ipv4.tcp_wmem = 4096 65536 33554432
net.core.rmem_max = 33554432
net.core.wmem_max = 33554432
net.ipv4.tcp_window_scaling = 1

</syntaxhighlight>

==== 3. 保存并使配置生效 ====
粘贴完成后，按下键盘 '''<code>ESC</code>''' 键退出编辑模式，接着输入 '''<code>:wq</code>'''（写入并退出）并回车。最后，执行以下命令让刚才的修改立即生效：<syntaxhighlight lang="abap">
sudo sysctl -p
</syntaxhighlight>

=== 三、iperf3 测速对比结果：调优前 vs 调优后 ===
为了最直观地看到效果，避免其他不稳定因素干扰测试结果，我们使用网络测试工具 '''iperf3 ，'''让我们可以测试服务器到本地的单线程极限速度。

'''1.测速环境与工具准备'''

* 请使用debian12系统，其他版本或者系统的可能不适用。
* 在搬瓦工 VPS 上安装服务端（安装弹出的提示选NO）：<code>apt install -y iperf3</code>
* 在本地电脑（或另一台国内服务器）下载并运行运行客户端：[https://iperf.fr/iperf-download.php 官网连接]

我们分别对 DC6 、DC9 和 DC99 机房进行 '''单线程极限测试'''（加 <code>-R</code> 参数测试 VPS 到本地的下载速度）。

'''测试命令：'''<code>iperf3 -c [你的VPS_IP] -P 1 -R</code>

==== '''2.第一轮：系统默认状态（未调优）''' ====
【DC6 机房 - 调优前测速截图】

[[File:Iperfdc601.png|800x800px]]

【DC99 机房 - 调优前测速截图】

[[File:Iperfdc9901.png|800x800px]]

【DC9 机房 - 调优前测速截图】

[[File:Iperfdc901.png|800x800px]]

==== '''2.第二轮：增加调优参数后''' ====
【DC6 机房 - 调优后测速截图】

[[File:Iperfdc602.png|800x800px]]

【DC99 机房 - 调优后测速截图】

[[File:Iperfdc9902.png|800x800px]]

【DC99机房 - 调优前测速截图】

[[File:Iperfdc902.png|800x800px]]

==== '''4.数据总结与对比分析''' ====
由于我用于测试的服务器位于中国的国际网络出口端，所以与 DC6、DC9 和 DC99 的连通性本来就较好，峰值速度提升有限。但是通过数据和曲线可以看到，调优后'''速度拉升更快，稳定区间更高、更平滑'''。后续我将补充上更多地区的实际测试数据。

=== 四、最后总结 ===
'''1.带宽 ≠ 实际速度：''' 使用大带宽的搬瓦工中国线路优化服务器，并不意味着任何情况下网络都能起飞。面对中美之间的高延迟网络 (LFN)，'''底层协议的 TCP 窗口调优至关重要'''。

'''2.按需选择调优策略：''' 不建议盲目追求极限速度。对于绝大多数场景，“'''均衡版参数'''”是最比较合适的选择，既能保证丝滑体验，又能有效规避流量异常导致的封禁风险。

'''3.单线程才是真是体验：''' 测速不能参考 Speedtest 多线程并发跑出来的数据。用 <code>iperf3 -P 1</code> 测出来的单线程速度，才是你建站、传文件、拉取 Docker 镜像时真正能体验到的速度。

'''4.进阶调优建议：''' 如果你对调优有更多想法，可以参照 NodeSeek 大佬的调优专用网站，选择更适合自己的调优参数。https://omnitt.com/
[[Category:300 VPS 设置与管理 — VPS Setup and Management]]

如何让你的VPS速度更快：基于BDP原理的单线程极限测速与TCP调优实践

2026-03-10T11:13:27Z

Air：更改文章结构

搬瓦工（BandwagonHost）的中国优化线路，已经是目前普通中国消费者能以较低价位获取到的、速度最顶级的中美网络线路，其本身的线路质量和物理速度毋庸置疑。

然而，很多朋友购买了搬瓦工的中国线路优化套餐后，实际使用中可能会遇到了一个奇怪的问题：'''多线程测速（如 Speedtest）能跑满带宽，但用浏览器单线程下载文件时，速度却到不到预期。'''

为了验证并解决这个问题，我使用了 '''DC6、DC9、DC99''' 三个机房的服务器进行了测试与底层调优。今天，我们不谈空洞的理论，直接上参数、看结果。

=== 一、核心原因：什么是 BDP？为什么跑不满服务器带宽 ===
要解决问题，首先要找到原因。很多人忽略了跨国网络传输中的一个核心物理限制。

==== 1. 理论基础 ====
对于BDP，可以参考在维基百科中的定义：

'''''Bandwidth-delay product is the product of a data link's capacity (in bits per second) and its round-trip delay time (in seconds).'''''

'''''（带宽延迟乘积 = 数据链路的容量 × 往返延迟时间）'''''

==== 2. 场景代入 ====
搬瓦工的美国机房（如 DC6/DC9）到中国的物理距离很远，平均网络延迟（RTT）大约在 '''150ms (0.15秒)''' 以上。同时，它的网络端口极大（'''2.5Gbps+'''）。这种“高延迟 + 大端口”的网络，在计算机网络中被称为 '''LFN（Long Fat Network，长胖网络）'''。

TCP 协议在传输数据时，需要等待对方的“确认接收（ACK）”才会发送下一批数据。这就好比你在一个长长的管道里运水，如果你的“水桶（TCP 窗口/缓冲区）”太小，水管（带宽）再粗也没用，因为你每次只能运那么一小桶，还要等 0.15 秒以上才能送下一桶。

==== 3. 数据测算 ====
这里做个假设：我们要在这条 150ms 延迟的路线上，跑满 '''1Gbps''' 的单线程速度。

通过计算可知： <code>BDP = 1,000,000,000 bps × 0.15s = 150,000,000 bits = 18.75 MB</code>

也就是说，'''Linux 系统的 TCP 接收/发送缓冲区至少需要 18.75 MB，才能跑满 1Gbps 的网络端口！''' 而搬瓦工默认的 Linux 系统（如 Debian 12 ）的 TCP 缓冲区是没有设置的，也就是说实际 TCP 缓冲区仅有默认的5M以下。'''这就是单线程速度跑不快的最根本原因！'''

=== 二、调优实战：修改内核参数，提高速度上限 ===
既然知道了原因，解决办法就很简单了：开启拥塞控制算法（BBR），并'''强行放大系统的 TCP 缓冲区限制'''。搬瓦工的服务器目前都默认开启了 BBR ，所以我们只需要直接修改缓冲区大小。

==== 1. 编辑系统文件 ====

SSH 登录到服务器，编辑系统控制文件：<syntaxhighlight lang="abap">
vi /etc/sysctl.conf
</syntaxhighlight>进入 vi 编辑页面后，按下键盘 '''<code>i</code>''' 键进入编辑模式。

==== 2. 选择并写入 TCP 缓冲区参数 ====
根据你的实际需求，选择以下'''两种方案之一'''，将其复制并粘贴到配置文件的最末尾。

=== 方案 A：均衡版参数（推荐） ===

* '''定位：''' 将单线程理论峰值控制在 '''1Gbps (约 125MB/s)''' 左右。
* '''优点：''' 足够满足日常 4K/8K 观影和快速下载需求。避免速度过高导致流量消耗过快，同时'''降低因单线程长时间超大流量传输而引起中国防火墙（GFW）注意和封锁的风险'''。
<syntaxhighlight lang="abap">
# --- TCP 缓冲区调优 (均衡版 16MB) ---
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 65536 16777216
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_window_scaling = 1
</syntaxhighlight>

=== 方案 B：激进版参数 ===

* '''定位：''' 理论极限峰值可跑满 '''2.5Gbps 甚至更高'''。
* '''优点：''' 极限发挥搬瓦工 DC6 等顶级机房的全部物理带宽，适合测速跑分或极端大文件内网传输。
<syntaxhighlight lang="abap">
# 放大 TCP 缓冲区 (最大 32MB，解决高延迟大带宽 BDP 瓶颈)
net.ipv4.tcp_rmem = 4096 87380 33554432
net.ipv4.tcp_wmem = 4096 65536 33554432
net.core.rmem_max = 33554432
net.core.wmem_max = 33554432
net.ipv4.tcp_window_scaling = 1

</syntaxhighlight>

==== 3. 保存并使配置生效 ====
粘贴完成后，按下键盘 '''<code>ESC</code>''' 键退出编辑模式，接着输入 '''<code>:wq</code>'''（写入并退出）并回车。最后，执行以下命令让刚才的修改立即生效：<syntaxhighlight lang="abap">
sudo sysctl -p
</syntaxhighlight>

=== 三、iperf3 测速对比结果：调优前 vs 调优后 ===
为了最直观地看到效果，避免其他不稳定因素干扰测试结果，我们使用网络测试工具 '''iperf3 ，'''让我们可以测试服务器到本地的单线程极限速度。

'''1.测速环境与工具准备'''

* 请使用debian12系统，其他版本或者系统的可能不适用。
* 在搬瓦工 VPS 上安装服务端（安装弹出的提示选NO）：<code>apt install -y iperf3</code>
* 在本地电脑（或另一台国内服务器）下载并运行运行客户端：[https://iperf.fr/iperf-download.php 官网连接]

我们分别对 DC6 、DC9 和 DC99 机房进行 '''单线程极限测试'''（加 <code>-R</code> 参数测试 VPS 到本地的下载速度）。

'''测试命令：'''<code>iperf3 -c [你的VPS_IP] -P 1 -R</code>

==== '''2.第一轮：系统默认状态（未调优）''' ====
【DC6 机房 - 调优前测速截图】

[[File:Iperfdc601.png|800x800px]]

【DC99 机房 - 调优前测速截图】

[[File:Iperfdc9901.png|800x800px]]

【DC9 机房 - 调优前测速截图】

[[File:Iperfdc901.png|800x800px]]

==== '''2.第二轮：增加调优参数后''' ====
【DC6 机房 - 调优后测速截图】

[[File:Iperfdc602.png|800x800px]]

【DC99 机房 - 调优后测速截图】

[[File:Iperfdc9902.png|800x800px]]

【DC99机房 - 调优前测速截图】

[[File:Iperfdc902.png|800x800px]]

==== '''4.数据总结与对比分析''' ====
由于我用于测试的服务器位于中国的国际网络出口端，所以与 DC6、DC9 和 DC99 的连通性本来就较好，峰值速度提升有限。但是通过数据和曲线可以看到，调优后'''速度拉升更快，稳定区间更高、更平滑'''。后续我将补充上更多地区的实际测试数据。

=== 四、最后总结 ===
'''1.带宽 ≠ 实际速度：''' 使用大带宽的搬瓦工中国线路优化服务器，并不意味着任何情况下网络都能起飞。面对中美之间的高延迟网络 (LFN)，'''底层协议的 TCP 窗口调优至关重要'''。

'''2.按需选择调优策略：''' 不建议盲目追求极限速度。对于绝大多数场景，“'''均衡版参数'''”是最比较合适的选择，既能保证丝滑体验，又能有效规避流量异常导致的封禁风险。

'''3.单线程才是真是体验：''' 测速不能参考 Speedtest 多线程并发跑出来的数据。用 <code>iperf3 -P 1</code> 测出来的单线程速度，才是你建站、传文件、拉取 Docker 镜像时真正能体验到的速度。

'''4.进阶调优建议：''' 如果你对调优有更多想法，可以参照 NodeSeek 大佬的调优专用网站，选择更适合自己的调优参数。https://omnitt.com/
[[Category:300 VPS 设置与管理 — VPS Setup and Management]]

File:Iperfdc902.png

2026-03-10T10:43:04Z

Air：

Iperfdc902

File:Iperfdc901.png

2026-03-10T10:42:41Z

Air：

Iperfdc901

File:Iperfdc602.png

2026-03-10T10:36:03Z

Air：

Iperfdc602

File:Iperfdc601.png

2026-03-10T10:35:37Z

Air：

Iperfdc601

File:Iperfdc9902.png

2026-03-10T10:35:13Z

Air：

Iperfdc9902

File:Iperfdc9901.png

2026-03-10T10:34:32Z

Air：

Iperfdc9901

如何让你的VPS速度更快：基于BDP原理的单线程极限测速与TCP调优实践

2026-03-10T09:56:08Z

Air：创建页面，内容为“搬瓦工（BandwagonHost）的中国优化线路，已经是目前普通中国消费者能以较低价位获取到的、速度最顶级的中美网络专线，其本身的线路质量和物理速度毋庸置疑。然而，很多朋友购买了搬瓦工的 '''2.5Gbps''' 甚至 '''10Gbps''' 超大带宽的套餐后，却在实际使用中可能会遇到了一个奇怪的问题：'''多线程测速（如 Speedtest）能跑满带宽，但用浏览器单线程下…”

搬瓦工（BandwagonHost）的中国优化线路，已经是目前普通中国消费者能以较低价位获取到的、速度最顶级的中美网络专线，其本身的线路质量和物理速度毋庸置疑。

然而，很多朋友购买了搬瓦工的 '''2.5Gbps''' 甚至 '''10Gbps''' 超大带宽的套餐后，却在实际使用中可能会遇到了一个奇怪的问题：'''多线程测速（如 Speedtest）能跑满带宽，但用浏览器单线程下载文件时，速度只有几兆每秒。'''

为了验证并解决这个问题，我使用了 '''DC6、DC9、DC99''' 三个机房的服务器进行了深度测试与底层调优。今天，我们不谈空洞的理论，直接上参数、看结果。

=== 一、核心原因：什么是 BDP？为什么你的G口的带宽跑不满？ ===
对于BDP，可以参考在维基百科中的定义：

'''''Bandwidth-delay product is the product of a data link's capacity (in bits per second) and its round-trip delay time (in seconds).'''''

'''''（带宽延迟乘积 = 数据链路的容量 × 往返延迟时间）'''''

把 BDP 的概念带入到搬瓦工的使用场景中：

搬瓦工的美国机房（如 DC6/DC9）到中国的物理距离很远，平均网络延迟（RTT）大约在 '''150ms (0.15秒)''' 以上。同时，它的网络端口极大（'''2.5Gbps+'''）。这种“高延迟 + 大端口”的网络，在计算机网络中被称为 '''LFN（Long Fat Network，长胖网络）'''。

TCP 协议在传输数据时，需要等待对方的“'''确认接收（ACK）'''”才会发送下一批数据。这就好比你在一个长长的管道里运水，如果你的“水桶（TCP 窗口/缓冲区）”太小，水管（带宽）再粗也没用，因为你每次只能运那么一小桶，还要等 0.15 秒以上才能送下一桶。

'''这里做个假设：''' 我们要在这条 150ms 延迟的路线上，跑满 '''1Gbps''' 的单线程速度。

通过计算可知： <code>BDP = 1,000,000,000 bps × 0.15s = 150,000,000 bits = 18.75 MB</code>

也就是说，'''Linux 系统的 TCP 接收/发送缓冲区至少需要 18.75 MB，才能喂饱这根 1Gbps 的端口！''' 而搬瓦工默认的 Linux 系统（如 Debian 12 ）的 TCP 缓冲区是没有设置的，也就是说实际 TCP 缓冲区仅有默认的4M以下。'''这就是单线程速度跑不快的最根本原因！'''

=== 二、调优实战：修改内核参数，提高速度上限 ===
既然知道了原因，解决办法就很简单了：'''开启拥塞控制算法（BBR），并强行放大系统的 TCP 缓冲区限制。'''

搬瓦工的服务器目前都默认开始了 BBR ，所以我们只需要SSH 登录到服务器，编辑系统控制文件：<syntaxhighlight lang="abap">
vi /etc/sysctl.conf
</syntaxhighlight>进入 <code>vi</code> 编辑页面后，按下键盘 <code>i</code> 键进入编辑模式，选择以下'''两种方案之一'''复制并粘贴进去，然后按下键盘 <code>ESC</code> 键退出编辑模式，然后输入 <code>:wq</code>（写入并退出）。

=== 方案 A：均衡版参数（推荐） ===

* '''定位：''' 将单线程极限峰值控制在 '''1Gbps (约 125MB/s)''' 左右。
* '''优点：''' 足够满足日常 4K/8K 观影和快速下载需求。避免速度过高导致流量消耗过快，同时'''降低因单线程长时间超大流量传输而引起中国防火墙（GFW）注意和封锁的风险'''。
<syntaxhighlight lang="abap">
# --- TCP 缓冲区调优 (均衡版 16MB) ---
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 65536 16777216
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_window_scaling = 1
</syntaxhighlight>

=== 方案 B：激进版参数 ===

* '''定位：''' 极限峰值可跑满 '''2.5Gbps 甚至更高'''。
* '''优点：''' 极限发挥搬瓦工 DC6 等顶级机房的全部物理带宽，适合测速跑分或极端大文件内网传输。
<syntaxhighlight lang="abap">
# 放大 TCP 缓冲区 (最大 32MB，解决高延迟大带宽 BDP 瓶颈)
net.ipv4.tcp_rmem = 4096 87380 33554432
net.ipv4.tcp_wmem = 4096 65536 33554432
net.core.rmem_max = 33554432
net.core.wmem_max = 33554432
net.ipv4.tcp_window_scaling = 1

</syntaxhighlight>最后，执行以下命令让刚才的修改立即生效：<syntaxhighlight lang="abap">
sudo sysctl -p
</syntaxhighlight>

=== 三、iperf3 测速对比结果：调优前 vs 调优后 ===
为了最直观地看到效果，避免其他不稳定因素干扰测试结果，我们使用最硬核的网络测试工具：'''iperf3'''。

'''测试准备：'''

# 请使用debian12系统，其他版本或者系统的可能步适用。
# 在搬瓦工 VPS 上安装服务端：<code>apt install -y iperf3</code>
# 在本地电脑（或另一台国内服务器）下载并运行运行客户端：[https://iperf.fr/iperf-download.php 官网连接]

我们分别对 DC6 、DC9 和 DC99 机房进行 '''单线程极限测试'''（加 <code>-R</code> 参数测试 VPS 到本地的下载速度）。

测试命令：<code>iperf3 -c [你的VPS_IP] -P 1 -R</code>

第一轮：系统默认状态（未调优）

'''【DC6 机房 - 调优前测速截图】'''

'''【DC9/DC99 机房 - 调优前测速截图】'''

第二轮：加载 BDP 调优参数后

'''【DC6 机房 - 调优后测速截图】'''

'''【DC9/DC99 机房 - 调优后测速截图】'''

=== 四、最后总结 ===
'''1.带宽 ≠ 实际速度：''' 使用大带宽的搬瓦工中国线路优化服务器，并不意味着任何情况下网络都能起飞。面对中美之间的高延迟网络 (LFN)，'''底层协议的 TCP 窗口调优至关重要'''。

'''2.按需选择调优策略：''' 不建议盲目追求极限速度。对于绝大多数场景，'''“均衡版”参数（1Gbps）''' 是最明智的选择，既能保证丝滑体验，又能有效规避流量异常导致的封禁风险。

'''3.单线程才是真是体验：''' 测速不要只看 Speedtest 那种几十个线程并发跑出来的数据。用 <code>iperf3 -P 1</code> 测出来的单线程速度，才是你建站、传文件、拉取 Docker 镜像时真正能体验到的速度。

'''4.进阶调优建议：''' 如果你对调优有更多想法，可以参照 NodeSeek 大佬的调优专用网站，选择更适合自己的调优参数。https://omnitt.com/
[[Category:300 VPS 设置与管理 — VPS Setup and Management]]

在搬瓦工上部署 NEKO，打造多人同步的“云浏览器”

2026-02-19T08:43:07Z

Air：

在日常工作和生活中，我们经常遇到以下两个棘手的场景：

'''1.向零基础客户/朋友展示国际资源：''' 你需要向客户演示一个国外的网站，或者发一个 YouTube 视频给朋友看。但对方'''不懂技术'''，也不会安装代理软件（VPN），导致沟通受阻。

'''2.团队异地协同演示：''' 你需要和异地的同事或客户一起浏览同一个网页，进行实时讲解。传统的“屏幕共享”画质差、延迟高，且对方无法进行交互操作。

今天，我们将利用搬瓦工 VPS 的 '''海外网络环境''' 和 '''CN2 GIA 低延迟''' 优势，部署一个运行在 Docker 里的“云端浏览器”（'''NEKO''' ）。

'''这套方案的优势在于：''' 对方'''无需安装任何软件'''，只需在自己的浏览器里打开你发的链接，就能像操作本地电脑一样，访问国际互联网，且你们看到的画面是'''毫秒级同步'''的。

=== 一、核心优势与原理 ===
无需翻墙：浏览器实际上是运行在搬瓦工 VPS 上的，你的本地浏览器只是在接收“视频流”。因此，访客端不需要任何代理工具。

多人同屏：支持多人同时进入房间。A 移动鼠标，B 能立刻看到；B 输入网址，A 能立刻跳转。非常适合教学和演示。

低配置要求：本地电脑再卡也没关系，网页加载速度取决于 VPS 的性能（搬瓦工 GIA 线路加载极快）。

=== 二、环境准备与配置要求 ===
由于浏览器是“吃内存大户”，而在本教程中我们主要针对搬瓦工 E-Commerce 1GB 内存的入门款进行优化，因此请务必关注以下要求：

'''1.服务器推荐：''' 搬瓦工 E-Commerce 或 CN2 GIA 系列（低延迟是鼠标操作跟手的关键）。

'''2.系统要求：''' Debian 12

'''3.内存要求：'''最低 1GB 内存，推荐配置 2GB 以上。

'''4.进阶要求'''：安装 Nginx Proxy Manager ，[[在搬瓦工上部署 NEKO，打造多人同步的“云浏览器”|参考教程]]

=== 三、部署 Docker 和 NEKO ===
我们将部署资源占用相对较小的 Firefox 版本，并针对 1G 内存进行了参数调优，本部分将一并完成 Docker 环境的安装。

==== 1.SSH 连接与基础工具安装 ====
使用 SSH 工具连接到您的搬瓦工服务器（推荐使用 Xshell 等工具，如果你是个人或家庭使用，可以下载 Xshell：[https://www.xshell.com/zh/free-for-home-school/ 下载链接]），

然后执行下方命令安装必要的工具。<syntaxhighlight lang="abap">apt-get install wget curl vim sudo unzip -y</syntaxhighlight>为了优化编辑体验，执行以下命令，防止后期使用 <code>vi</code> 编辑时出现剪贴板或格式报错：<syntaxhighlight lang="abap">
echo set clipboard=unnamed >> ~/.vimrc
</syntaxhighlight>增加 1G swap，保证程序的运行：<syntaxhighlight lang="abap">
sudo bash -c 'fallocate -l 1G /swapfile && chmod 600 /swapfile && mkswap /swapfile && swapon /swapfile && grep -qxF "/swapfile none swap sw 0 0" /etc/fstab || echo "/swapfile none swap sw 0 0" | tee -a /etc/fstab'
</syntaxhighlight>

==== 2.安装并启动Docker ====
执行下方命令安装 Docker，安装过程预计耗时数十秒。<syntaxhighlight lang="abap">wget -qO- get.docker.com | bash</syntaxhighlight>Docker 安装完成后，逐条执行以下命令启动 Docker 服务并设置开机自启：<syntaxhighlight lang="abap">
systemctl start docker
systemctl enable docker
</syntaxhighlight>

==== 3. 创建部署目录 ====
连接 SSH，执行以下命令：<syntaxhighlight lang="abap">
mkdir -p /root/neko && cd /root/neko
</syntaxhighlight>

==== 4. 创建 Docker Compose 配置文件 ====
<syntaxhighlight lang="abap">
vim docker-compose.yml
</syntaxhighlight>直接复制粘贴以下内容（集成了 NEKO 和 Caddy）：

提示：请务必将 '''your_secure_password''' 和 '''admin_password''' 修改为复杂密码。<syntaxhighlight lang="abap">
version: "3.4"
services:
neko:
image: m1k1o/neko:firefox
restart: always
# 【针对 1G 内存优化】将共享内存设为 1gb，配合 Swap 使用
shm_size: "1gb"
ports:
- "8080:8080" # Web 访问端口
- "52000-52100:52000-52100/udp" # WebRTC 需要的 UDP 端口范围
environment:
# 【针对 1G 内存优化】分辨率设为 720P，显著降低 CPU 和内存压力
# 如果你是 2G 内存以上机器，可改为 1920x1080@30
- NEKO_SCREEN=1280x720@30
- NEKO_PASSWORD=guest_password # 【重要】普通用户密码（用于观看和操作）
- NEKO_PASSWORD_ADMIN=admin_password # 【重要】管理员密码（拥有踢人、强制抢夺控制权等权限）
- NEKO_EPR=52000-52100
- NEKO_ICELITE=1
- NEKO_NAT_1_2_3_4=127.0.0.1 # 这里不需要改，程序会自动识别公网IP
cap_add:
- SYS_ADMIN
</syntaxhighlight>保证在英文输入法下，按下 <code>Esc</code> 键，输入 <code>:wq</code> 保存并退出。

==== 5. 启动服务 ====
执行以下命令启动所有容器：<syntaxhighlight lang="abap">
docker compose up -d
</syntaxhighlight>

=== 三、配置域名与 HTTPS (使用 Nginx Proxy Manager) ===
直接使用 IP+端口访问（HTTP）存在两个问题：

'''1.安全性低：''' 密码明文传输，容易被拦截。

'''2.功能受限：''' 浏览器的'''剪贴板共享'''和'''麦克风权限'''通常要求必须在 '''HTTPS''' 环境下才能正常工作。

因此，强烈建议使用 '''Nginx Proxy Manager (NPM)''' 配置反向代理和 SSL 证书。

==== 1.准备工作 ====

* 确保你已经安装了 Nginx Proxy Manager（[[如何搭建Nginx Proxy Manager并使用反向代理和远程桌面加速#3.创建Nginx Proxy Manager目录|参考教程]]，从创建Nginx Proxy Manager目录这步开始）。
* 将你的域名（例如 <code>neko.yourdomain.com</code>）解析到搬瓦工 VPS 的 IP 地址。

==== 2.配置步骤 ====

# '''登录 NPM 后台'''，点击 Dashboard 上的 '''Proxy Hosts''' -> '''Add Proxy Host'''。
# '''配置 Details (基本信息)：'''
#* '''Domain Names:''' 填写你的域名 <code>neko.yourdomain.com</code>
#* '''Scheme:''' 保持 <code>http</code>
#* '''Forward Hostname / IP:''' 填写 <code>127.0.0.1</code> (因为 NEKO 和 NPM 都在同一台 VPS 上)
#* '''Forward Port:''' 填写 <code>8080</code>
#* '''Websockets Support:''' '''【关键】必须勾选此项'''，否则画面无法实时同步。
#* '''Block Common Exploits:''' '''勾选此项'''。
# '''配置 SSL ：'''
#* 点击 '''SSL''' 选项卡。
#* '''SSL Certificate:''' 选择 <code>Request a new SSL Certificate</code>。
#* '''Force SSL:''' '''务必勾选'''，强制使用 HTTPS 访问。
#* '''Email Address:''' 填写你的邮箱（可以随意填写）。
#* '''I Agree:''' 勾选同意协议。
# '''保存并测试：'''
#* 点击 '''Save''' 按钮。等待几秒钟，证书申请成功后，列表状态会变为 <code>Online</code>。
#* 现在，在浏览器输入 <code><nowiki>https://yourdomain.com</nowiki></code>，你会看到浏览器地址栏有“小锁”图标。

=== 四、如何使用与访问 ===

==== 1. 访问域名 ====
在浏览器输入你的域名：<nowiki>https://yourdomain.com</nowiki>

==== 2.登录说明 ====
'''Username:''' 这是一个显示昵称，不需要填写系统特定的用户名。你可以随意填写，例如 "Boss", "Guest"。这主要用于在右侧列表区分当前房间里有谁。

'''Password:''' 填写你在 docker-compose.yml 中设置的密码。

如果你输入 NEKO_PASSWORD，会'''作为普通用户'''进入。

如果你输入 NEKO_PASSWORD_ADMIN，会'''作为管理员'''进入。

[[File:Neko访问1.png|900x900px]]

==== 3.开启操作功能 ====
根据图示，点击序号1部分键盘图标，可以开启操作功能，正常使用浏览器。

[[File:Neko访问2.png|900x900px]]

=== 五、注意事项 ===
'''1.控制标签页数量：''' 对于 1GB 内存的机器，建议同时打开的标签页不要超过 3-5 个。用完及时关闭，避免卡死。

'''2.不要登录个人敏感账号：''' NEKO 是一个共享环境。虽然有密码保护，但建议将其视为“公共网吧电脑”，使用隐私模式浏览，或用完后登出账号。

'''3.带宽消耗：''' NEKO 本质是实时视频流。如果多人同时在线，会消耗较多 VPS 带宽。搬瓦工 E-Commerce 系列带宽通常很大（2.5Gbps），足以支撑几人同时流畅观看。
[[Category:500 常见应用指南 — Application Guides]]

File:Neko访问2.png

2026-02-19T08:42:23Z

Air：

Neko访问2

File:Neko访问1.png

2026-02-19T08:41:33Z

Air：

Neko访问1

在搬瓦工上部署 NEKO，打造多人同步的“云浏览器”

2026-02-19T02:51:29Z

Air：

在日常工作和生活中，我们经常遇到以下两个棘手的场景：

'''1.向零基础客户/朋友展示国际资源：''' 你需要向客户演示一个国外的网站，或者发一个 YouTube 视频给朋友看。但对方'''不懂技术'''，也不会安装代理软件（VPN），导致沟通受阻。

'''2.团队异地协同演示：''' 你需要和异地的同事或客户一起浏览同一个网页，进行实时讲解。传统的“屏幕共享”画质差、延迟高，且对方无法进行交互操作。

今天，我们将利用搬瓦工 VPS 的 '''海外网络环境''' 和 '''CN2 GIA 低延迟''' 优势，部署一个运行在 Docker 里的“云端浏览器”（'''NEKO''' ）。

'''这套方案的优势在于：''' 对方'''无需安装任何软件'''，只需在自己的浏览器里打开你发的链接，就能像操作本地电脑一样，访问国际互联网，且你们看到的画面是'''毫秒级同步'''的。

=== 一、核心优势与原理 ===
无需翻墙：浏览器实际上是运行在搬瓦工 VPS 上的，你的本地浏览器只是在接收“视频流”。因此，访客端不需要任何代理工具。

多人同屏：支持多人同时进入房间。A 移动鼠标，B 能立刻看到；B 输入网址，A 能立刻跳转。非常适合教学和演示。

低配置要求：本地电脑再卡也没关系，网页加载速度取决于 VPS 的性能（搬瓦工 GIA 线路加载极快）。

=== 二、环境准备与配置要求 ===
由于浏览器是“吃内存大户”，而在本教程中我们主要针对搬瓦工 E-Commerce 1GB 内存的入门款进行优化，因此请务必关注以下要求：

'''1.服务器推荐：''' 搬瓦工 E-Commerce 或 CN2 GIA 系列（低延迟是鼠标操作跟手的关键）。

'''2.系统要求：''' Debian 12

'''3.内存要求：'''最低 1GB 内存，推荐配置 2GB 以上。

'''4.进阶要求'''：安装 Nginx Proxy Manager ，[[在搬瓦工上部署 NEKO，打造多人同步的“云浏览器”|参考教程]]

=== 三、部署 Docker 和 NEKO ===
我们将部署资源占用相对较小的 Firefox 版本，并针对 1G 内存进行了参数调优，本部分将一并完成 Docker 环境的安装。

==== 1.SSH 连接与基础工具安装 ====
使用 SSH 工具连接到您的搬瓦工服务器（推荐使用 Xshell 等工具，如果你是个人或家庭使用，可以下载 Xshell：[https://www.xshell.com/zh/free-for-home-school/ 下载链接]），

然后执行下方命令安装必要的工具。<syntaxhighlight lang="abap">apt-get install wget curl vim sudo unzip -y</syntaxhighlight>为了优化编辑体验，执行以下命令，防止后期使用 <code>vi</code> 编辑时出现剪贴板或格式报错：<syntaxhighlight lang="abap">
echo set clipboard=unnamed >> ~/.vimrc
</syntaxhighlight>增加 1G swap，保证程序的运行：<syntaxhighlight lang="abap">
sudo bash -c 'fallocate -l 1G /swapfile && chmod 600 /swapfile && mkswap /swapfile && swapon /swapfile && grep -qxF "/swapfile none swap sw 0 0" /etc/fstab || echo "/swapfile none swap sw 0 0" | tee -a /etc/fstab'
</syntaxhighlight>

==== 2.安装并启动Docker ====
执行下方命令安装 Docker，安装过程预计耗时数十秒。<syntaxhighlight lang="abap">wget -qO- get.docker.com | bash</syntaxhighlight>Docker 安装完成后，逐条执行以下命令启动 Docker 服务并设置开机自启：<syntaxhighlight lang="abap">
systemctl start docker
systemctl enable docker
</syntaxhighlight>

==== 3. 创建部署目录 ====
连接 SSH，执行以下命令：<syntaxhighlight lang="abap">
mkdir -p /root/neko && cd /root/neko
</syntaxhighlight>

==== 4. 创建 Docker Compose 配置文件 ====
<syntaxhighlight lang="abap">
vim docker-compose.yml
</syntaxhighlight>直接复制粘贴以下内容（集成了 NEKO 和 Caddy）：

提示：请务必将 '''your_secure_password''' 和 '''admin_password''' 修改为复杂密码。<syntaxhighlight lang="abap">
version: "3.4"
services:
neko:
image: m1k1o/neko:firefox
restart: always
# 【针对 1G 内存优化】将共享内存设为 1gb，配合 Swap 使用
shm_size: "1gb"
ports:
- "8080:8080" # Web 访问端口
- "52000-52100:52000-52100/udp" # WebRTC 需要的 UDP 端口范围
environment:
# 【针对 1G 内存优化】分辨率设为 720P，显著降低 CPU 和内存压力
# 如果你是 2G 内存以上机器，可改为 1920x1080@30
- NEKO_SCREEN=1280x720@30
- NEKO_PASSWORD=guest_password # 【重要】普通用户密码（用于观看和操作）
- NEKO_PASSWORD_ADMIN=admin_password # 【重要】管理员密码（拥有踢人、强制抢夺控制权等权限）
- NEKO_EPR=52000-52100
- NEKO_ICELITE=1
- NEKO_NAT_1_2_3_4=127.0.0.1 # 这里不需要改，程序会自动识别公网IP
cap_add:
- SYS_ADMIN
</syntaxhighlight>保证在英文输入法下，按下 <code>Esc</code> 键，输入 <code>:wq</code> 保存并退出。

==== 5. 启动服务 ====
执行以下命令启动所有容器：<syntaxhighlight lang="abap">
docker compose up -d
</syntaxhighlight>

=== 三、配置域名与 HTTPS (使用 Nginx Proxy Manager) ===
直接使用 IP+端口访问（HTTP）存在两个问题：

'''1.安全性低：''' 密码明文传输，容易被拦截。

'''2.功能受限：''' 浏览器的'''剪贴板共享'''和'''麦克风权限'''通常要求必须在 '''HTTPS''' 环境下才能正常工作。

因此，强烈建议使用 '''Nginx Proxy Manager (NPM)''' 配置反向代理和 SSL 证书。

==== 1.准备工作 ====

* 确保你已经安装了 Nginx Proxy Manager（[[如何搭建Nginx Proxy Manager并使用反向代理和远程桌面加速#3.创建Nginx Proxy Manager目录|参考教程]]，从创建Nginx Proxy Manager目录这步开始）。
* 将你的域名（例如 <code>neko.yourdomain.com</code>）解析到搬瓦工 VPS 的 IP 地址。

==== 2.配置步骤 ====

# '''登录 NPM 后台'''，点击 Dashboard 上的 '''Proxy Hosts''' -> '''Add Proxy Host'''。
# '''配置 Details (基本信息)：'''
#* '''Domain Names:''' 填写你的域名 <code>neko.yourdomain.com</code>
#* '''Scheme:''' 保持 <code>http</code>
#* '''Forward Hostname / IP:''' 填写 <code>127.0.0.1</code> (因为 NEKO 和 NPM 都在同一台 VPS 上)
#* '''Forward Port:''' 填写 <code>8080</code>
#* '''Websockets Support:''' '''【关键】必须勾选此项'''，否则画面无法实时同步。
#* '''Block Common Exploits:''' '''勾选此项'''。
# '''配置 SSL ：'''
#* 点击 '''SSL''' 选项卡。
#* '''SSL Certificate:''' 选择 <code>Request a new SSL Certificate</code>。
#* '''Force SSL:''' '''务必勾选'''，强制使用 HTTPS 访问。
#* '''Email Address:''' 填写你的邮箱（可以随意填写）。
#* '''I Agree:''' 勾选同意协议。
# '''保存并测试：'''
#* 点击 '''Save''' 按钮。等待几秒钟，证书申请成功后，列表状态会变为 <code>Online</code>。
#* 现在，在浏览器输入 <code><nowiki>https://yourdomain.com</nowiki></code>，你会看到浏览器地址栏有“小锁”图标。

=== 四、如何使用与访问 ===

==== 1. 访问域名 ====
在浏览器输入你的域名：<nowiki>https://yourdomain.com</nowiki>

==== 2.登录说明 ====
'''Username:''' 这是一个显示昵称，不需要填写系统特定的用户名。你可以随意填写，例如 "Boss", "Guest"。这主要用于在右侧列表区分当前房间里有谁。

'''Password:''' 填写你在 docker-compose.yml 中设置的密码。

如果你输入 NEKO_PASSWORD，会'''作为普通用户'''进入。

如果你输入 NEKO_PASSWORD_ADMIN，会'''作为管理员'''进入。

==== 3.开启操作功能 ====
在图示序号2部分点击键盘图标，则可以开启操作功能，正常使用浏览器。

[[File:Neko登录并开启.png|900x900px]]

=== 五、注意事项 ===
'''1.控制标签页数量：''' 对于 1GB 内存的机器，建议同时打开的标签页不要超过 3-5 个。用完及时关闭，避免卡死。

'''2.不要登录个人敏感账号：''' NEKO 是一个共享环境。虽然有密码保护，但建议将其视为“公共网吧电脑”，使用隐私模式浏览，或用完后登出账号。

'''3.带宽消耗：''' NEKO 本质是实时视频流。如果多人同时在线，会消耗较多 VPS 带宽。搬瓦工 E-Commerce 系列带宽通常很大（2.5Gbps），足以支撑几人同时流畅观看。
[[index.php?title=Category:500 常见应用指南 — Application Guides]]
[[Category:500 常见应用指南 — Application Guides]]

在搬瓦工上部署 NEKO，打造多人同步的“云浏览器”

2026-02-19T02:50:22Z

Air：

在日常工作和生活中，我们经常遇到以下两个棘手的场景：

'''1.向零基础客户/朋友展示国际资源：''' 你需要向客户演示一个国外的网站，或者发一个 YouTube 视频给朋友看。但对方'''不懂技术'''，也不会安装代理软件（VPN），导致沟通受阻。

'''2.团队异地协同演示：''' 你需要和异地的同事或客户一起浏览同一个网页，进行实时讲解。传统的“屏幕共享”画质差、延迟高，且对方无法进行交互操作。

今天，我们将利用搬瓦工 VPS 的 '''海外网络环境''' 和 '''CN2 GIA 低延迟''' 优势，部署一个运行在 Docker 里的“云端浏览器”（'''NEKO''' ）。

'''这套方案的优势在于：''' 对方'''无需安装任何软件'''，只需在自己的浏览器里打开你发的链接，就能像操作本地电脑一样，访问国际互联网，且你们看到的画面是'''毫秒级同步'''的。

=== 一、核心优势与原理 ===
无需翻墙：浏览器实际上是运行在搬瓦工 VPS 上的，你的本地浏览器只是在接收“视频流”。因此，访客端不需要任何代理工具。

多人同屏：支持多人同时进入房间。A 移动鼠标，B 能立刻看到；B 输入网址，A 能立刻跳转。非常适合教学和演示。

低配置要求：本地电脑再卡也没关系，网页加载速度取决于 VPS 的性能（搬瓦工 GIA 线路加载极快）。

=== 二、环境准备与配置要求 ===
由于浏览器是“吃内存大户”，而在本教程中我们主要针对搬瓦工 E-Commerce 1GB 内存的入门款进行优化，因此请务必关注以下要求：

'''1.服务器推荐：''' 搬瓦工 E-Commerce 或 CN2 GIA 系列（低延迟是鼠标操作跟手的关键）。

'''2.系统要求：''' Debian 12

'''3.内存要求：'''最低 1GB 内存，推荐配置 2GB 以上。

'''4.进阶要求'''：安装 Nginx Proxy Manager ，[[在搬瓦工上部署 NEKO，打造多人同步的“云浏览器”|参考教程]]

=== 三、部署 Docker 和 NEKO ===
我们将部署资源占用相对较小的 Firefox 版本，并针对 1G 内存进行了参数调优，本部分将一并完成 Docker 环境的安装。

==== 1.SSH 连接与基础工具安装 ====
使用 SSH 工具连接到您的搬瓦工服务器（推荐使用 Xshell 等工具，如果你是个人或家庭使用，可以下载 Xshell：[https://www.xshell.com/zh/free-for-home-school/ 下载链接]），

然后执行下方命令安装必要的工具。<syntaxhighlight lang="abap">apt-get install wget curl vim sudo unzip -y</syntaxhighlight>为了优化编辑体验，执行以下命令，防止后期使用 <code>vi</code> 编辑时出现剪贴板或格式报错：<syntaxhighlight lang="abap">
echo set clipboard=unnamed >> ~/.vimrc
</syntaxhighlight>增加 1G swap，保证程序的运行：<syntaxhighlight lang="abap">
sudo bash -c 'fallocate -l 1G /swapfile && chmod 600 /swapfile && mkswap /swapfile && swapon /swapfile && grep -qxF "/swapfile none swap sw 0 0" /etc/fstab || echo "/swapfile none swap sw 0 0" | tee -a /etc/fstab'
</syntaxhighlight>

==== 2.安装并启动Docker ====
执行下方命令安装 Docker，安装过程预计耗时数十秒。<syntaxhighlight lang="abap">wget -qO- get.docker.com | bash</syntaxhighlight>Docker 安装完成后，逐条执行以下命令启动 Docker 服务并设置开机自启：<syntaxhighlight lang="abap">
systemctl start docker
systemctl enable docker
</syntaxhighlight>

==== 3. 创建部署目录 ====
连接 SSH，执行以下命令：<syntaxhighlight lang="abap">
mkdir -p /root/neko && cd /root/neko
</syntaxhighlight>

==== 4. 创建 Docker Compose 配置文件 ====
<syntaxhighlight lang="abap">
vim docker-compose.yml
</syntaxhighlight>直接复制粘贴以下内容（集成了 NEKO 和 Caddy）：

提示：请务必将 '''your_secure_password''' 和 '''admin_password''' 修改为复杂密码。<syntaxhighlight lang="abap">
version: "3.4"
services:
neko:
image: m1k1o/neko:firefox
restart: always
# 【针对 1G 内存优化】将共享内存设为 1gb，配合 Swap 使用
shm_size: "1gb"
ports:
- "8080:8080" # Web 访问端口
- "52000-52100:52000-52100/udp" # WebRTC 需要的 UDP 端口范围
environment:
# 【针对 1G 内存优化】分辨率设为 720P，显著降低 CPU 和内存压力
# 如果你是 2G 内存以上机器，可改为 1920x1080@30
- NEKO_SCREEN=1280x720@30
- NEKO_PASSWORD=guest_password # 【重要】普通用户密码（用于观看和操作）
- NEKO_PASSWORD_ADMIN=admin_password # 【重要】管理员密码（拥有踢人、强制抢夺控制权等权限）
- NEKO_EPR=52000-52100
- NEKO_ICELITE=1
- NEKO_NAT_1_2_3_4=127.0.0.1 # 这里不需要改，程序会自动识别公网IP
cap_add:
- SYS_ADMIN
</syntaxhighlight>保证在英文输入法下，按下 <code>Esc</code> 键，输入 <code>:wq</code> 保存并退出。

==== 5. 启动服务 ====
执行以下命令启动所有容器：<syntaxhighlight lang="abap">
docker compose up -d
</syntaxhighlight>

=== 三、配置域名与 HTTPS (使用 Nginx Proxy Manager) ===
直接使用 IP+端口访问（HTTP）存在两个问题：

'''1.安全性低：''' 密码明文传输，容易被拦截。

'''2.功能受限：''' 浏览器的'''剪贴板共享'''和'''麦克风权限'''通常要求必须在 '''HTTPS''' 环境下才能正常工作。

因此，强烈建议使用 '''Nginx Proxy Manager (NPM)''' 配置反向代理和 SSL 证书。

==== 1.准备工作 ====

* 确保你已经安装了 Nginx Proxy Manager（[[如何搭建Nginx Proxy Manager并使用反向代理和远程桌面加速|参考教程]]）。
* 将你的域名（例如 <code>neko.yourdomain.com</code>）解析到搬瓦工 VPS 的 IP 地址。

==== 2.配置步骤 ====

# '''登录 NPM 后台'''，点击 Dashboard 上的 '''Proxy Hosts''' -> '''Add Proxy Host'''。
# '''配置 Details (基本信息)：'''
#* '''Domain Names:''' 填写你的域名 <code>neko.yourdomain.com</code>
#* '''Scheme:''' 保持 <code>http</code>
#* '''Forward Hostname / IP:''' 填写 <code>127.0.0.1</code> (因为 NEKO 和 NPM 都在同一台 VPS 上)
#* '''Forward Port:''' 填写 <code>8080</code>
#* '''Websockets Support:''' '''【关键】必须勾选此项'''，否则画面无法实时同步。
#* '''Block Common Exploits:''' '''勾选此项'''。
# '''配置 SSL ：'''
#* 点击 '''SSL''' 选项卡。
#* '''SSL Certificate:''' 选择 <code>Request a new SSL Certificate</code>。
#* '''Force SSL:''' '''务必勾选'''，强制使用 HTTPS 访问。
#* '''Email Address:''' 填写你的邮箱（可以随意填写）。
#* '''I Agree:''' 勾选同意协议。
# '''保存并测试：'''
#* 点击 '''Save''' 按钮。等待几秒钟，证书申请成功后，列表状态会变为 <code>Online</code>。
#* 现在，在浏览器输入 <code><nowiki>https://yourdomain.com</nowiki></code>，你会看到浏览器地址栏有“小锁”图标。

=== 四、如何使用与访问 ===

==== 1. 访问域名 ====
在浏览器输入你的域名：<nowiki>https://yourdomain.com</nowiki>

==== 2.登录说明 ====
'''Username:''' 这是一个显示昵称，不需要填写系统特定的用户名。你可以随意填写，例如 "Boss", "Guest"。这主要用于在右侧列表区分当前房间里有谁。

'''Password:''' 填写你在 docker-compose.yml 中设置的密码。

如果你输入 NEKO_PASSWORD，会'''作为普通用户'''进入。

如果你输入 NEKO_PASSWORD_ADMIN，会'''作为管理员'''进入。

==== 3.开启操作功能 ====
在图示序号2部分点击键盘图标，则可以开启操作功能，正常使用浏览器。

[[File:Neko登录并开启.png|900x900px]]

=== 五、注意事项 ===
'''1.控制标签页数量：''' 对于 1GB 内存的机器，建议同时打开的标签页不要超过 3-5 个。用完及时关闭，避免卡死。

'''2.不要登录个人敏感账号：''' NEKO 是一个共享环境。虽然有密码保护，但建议将其视为“公共网吧电脑”，使用隐私模式浏览，或用完后登出账号。

'''3.带宽消耗：''' NEKO 本质是实时视频流。如果多人同时在线，会消耗较多 VPS 带宽。搬瓦工 E-Commerce 系列带宽通常很大（2.5Gbps），足以支撑几人同时流畅观看。
[[index.php?title=Category:500 常见应用指南 — Application Guides]]
[[Category:500 常见应用指南 — Application Guides]]

在搬瓦工上部署 NEKO，打造多人同步的“云浏览器”

2026-02-19T02:50:03Z

Air：

在日常工作和生活中，我们经常遇到以下两个棘手的场景：

'''1.向零基础客户/朋友展示国际资源：''' 你需要向客户演示一个国外的网站，或者发一个 YouTube 视频给朋友看。但对方'''不懂技术'''，也不会安装代理软件（VPN），导致沟通受阻。

'''2.团队异地协同演示：''' 你需要和异地的同事或客户一起浏览同一个网页，进行实时讲解。传统的“屏幕共享”画质差、延迟高，且对方无法进行交互操作。

今天，我们将利用搬瓦工 VPS 的 '''海外网络环境''' 和 '''CN2 GIA 低延迟''' 优势，部署一个运行在 Docker 里的“云端浏览器”（'''NEKO''' ）。

'''这套方案的优势在于：''' 对方'''无需安装任何软件'''，只需在自己的浏览器里打开你发的链接，就能像操作本地电脑一样，访问国际互联网，且你们看到的画面是'''毫秒级同步'''的。

=== 一、核心优势与原理 ===
无需翻墙：浏览器实际上是运行在搬瓦工 VPS 上的，你的本地浏览器只是在接收“视频流”。因此，访客端不需要任何代理工具。

多人同屏：支持多人同时进入房间。A 移动鼠标，B 能立刻看到；B 输入网址，A 能立刻跳转。非常适合教学和演示。

低配置要求：本地电脑再卡也没关系，网页加载速度取决于 VPS 的性能（搬瓦工 GIA 线路加载极快）。

=== 二、环境准备与配置要求 ===
由于浏览器是“吃内存大户”，而在本教程中我们主要针对搬瓦工 E-Commerce 1GB 内存的入门款进行优化，因此请务必关注以下要求：

'''1.服务器推荐：''' 搬瓦工 E-Commerce 或 CN2 GIA 系列（低延迟是鼠标操作跟手的关键）。

'''2.系统要求：''' Debian 12

'''3.内存要求：'''最低 1GB 内存，推荐配置 2GB 以上。

'''4.进阶要求'''：安装 Nginx Proxy Manager ，[[在搬瓦工上部署 NEKO，打造多人同步的“云浏览器”|参考教程]]

=== 三、部署 Docker 和 NEKO ===
我们将部署资源占用相对较小的 Firefox 版本，并针对 1G 内存进行了参数调优，本部分将一并完成 Docker 环境的安装。

==== 1.SSH 连接与基础工具安装 ====
使用 SSH 工具连接到您的搬瓦工服务器（推荐使用 Xshell 等工具，如果你是个人或家庭使用，可以下载 Xshell：[https://www.xshell.com/zh/free-for-home-school/ 下载链接]），

然后执行下方命令安装必要的工具。<syntaxhighlight lang="abap">apt-get install wget curl vim sudo unzip -y</syntaxhighlight>为了优化编辑体验，执行以下命令，防止后期使用 <code>vi</code> 编辑时出现剪贴板或格式报错：<syntaxhighlight lang="abap">
echo set clipboard=unnamed >> ~/.vimrc
</syntaxhighlight>增加 1G swap，保证程序的运行：<syntaxhighlight lang="abap">
sudo bash -c 'fallocate -l 1G /swapfile && chmod 600 /swapfile && mkswap /swapfile && swapon /swapfile && grep -qxF "/swapfile none swap sw 0 0" /etc/fstab || echo "/swapfile none swap sw 0 0" | tee -a /etc/fstab'
</syntaxhighlight>

==== 2.安装并启动Docker ====
执行下方命令安装 Docker，安装过程预计耗时数十秒。<syntaxhighlight lang="abap">wget -qO- get.docker.com | bash</syntaxhighlight>Docker 安装完成后，逐条执行以下命令启动 Docker 服务并设置开机自启：<syntaxhighlight lang="abap">
systemctl start docker
systemctl enable docker
</syntaxhighlight>

==== 3. 创建部署目录 ====
连接 SSH，执行以下命令：<syntaxhighlight lang="abap">
mkdir -p /root/neko && cd /root/neko
</syntaxhighlight>

==== 4. 创建 Docker Compose 配置文件 ====
<syntaxhighlight lang="abap">
vim docker-compose.yml
</syntaxhighlight>直接复制粘贴以下内容（集成了 NEKO 和 Caddy）：

提示：请务必将 '''your_secure_password''' 和 '''admin_password''' 修改为复杂密码。<syntaxhighlight lang="abap">
version: "3.4"
services:
neko:
image: m1k1o/neko:firefox
restart: always
# 【针对 1G 内存优化】将共享内存设为 1gb，配合 Swap 使用
shm_size: "1gb"
ports:
- "8080:8080" # Web 访问端口
- "52000-52100:52000-52100/udp" # WebRTC 需要的 UDP 端口范围
environment:
# 【针对 1G 内存优化】分辨率设为 720P，显著降低 CPU 和内存压力
# 如果你是 2G 内存以上机器，可改为 1920x1080@30
- NEKO_SCREEN=1280x720@30
- NEKO_PASSWORD=guest_password # 【重要】普通用户密码（用于观看和操作）
- NEKO_PASSWORD_ADMIN=admin_password # 【重要】管理员密码（拥有踢人、强制抢夺控制权等权限）
- NEKO_EPR=52000-52100
- NEKO_ICELITE=1
- NEKO_NAT_1_2_3_4=127.0.0.1 # 这里不需要改，程序会自动识别公网IP
cap_add:
- SYS_ADMIN
</syntaxhighlight>保证在英文输入法下，按下 <code>Esc</code> 键，输入 <code>:wq</code> 保存并退出。

==== 5. 启动服务 ====
执行以下命令启动所有容器：<syntaxhighlight lang="abap">
docker compose up -d
</syntaxhighlight>

=== 三、配置域名与 HTTPS (使用 Nginx Proxy Manager) ===
直接使用 IP+端口访问（HTTP）存在两个问题：

'''1.安全性低：''' 密码明文传输，容易被拦截。

'''2.功能受限：''' 浏览器的'''剪贴板共享'''和'''麦克风权限'''通常要求必须在 '''HTTPS''' 环境下才能正常工作。

因此，强烈建议使用 '''Nginx Proxy Manager (NPM)''' 配置反向代理和 SSL 证书。

==== 1.准备工作 ====

* 确保你已经安装了 Nginx Proxy Manager（[[如何搭建Nginx Proxy Manager并使用反向代理和远程桌面加速|参考教程]]）。
* 将你的域名（例如 <code>neko.yourdomain.com</code>）解析到搬瓦工 VPS 的 IP 地址。

==== 2.配置步骤 ====

# '''登录 NPM 后台'''，点击 Dashboard 上的 '''Proxy Hosts''' -> '''Add Proxy Host'''。
# '''配置 Details (基本信息)：'''
#* '''Domain Names:''' 填写你的域名 <code>neko.yourdomain.com</code>
#* '''Scheme:''' 保持 <code>http</code>
#* '''Forward Hostname / IP:''' 填写 <code>127.0.0.1</code> (因为 NEKO 和 NPM 都在同一台 VPS 上)
#* '''Forward Port:''' 填写 <code>8080</code>
#* '''Websockets Support:''' '''【关键】必须勾选此项'''，否则画面无法实时同步。
#* '''Block Common Exploits:''' '''勾选此项'''。
# '''配置 SSL ：'''
#* 点击 '''SSL''' 选项卡。
#* '''SSL Certificate:''' 选择 <code>Request a new SSL Certificate</code>。
#* '''Force SSL:''' '''务必勾选'''，强制使用 HTTPS 访问。
#* '''Email Address:''' 填写你的邮箱（可以随意填写）。
#* '''I Agree:''' 勾选同意协议。
# '''保存并测试：'''
#* 点击 '''Save''' 按钮。等待几秒钟，证书申请成功后，列表状态会变为 <code>Online</code>。
#* 现在，在浏览器输入 <code><nowiki>https://yourdomain.com</nowiki></code>，你会看到浏览器地址栏有“小锁”图标。

=== 四、如何使用与访问 ===

==== 1. 访问域名 ====
在浏览器输入你的域名：<nowiki>https://yourdomain.com</nowiki>

==== 2.登录说明 ====
'''Username:''' 这是一个显示昵称，不需要填写系统特定的用户名。你可以随意填写，例如 "Boss", "Guest"。这主要用于在右侧列表区分当前房间里有谁。

'''Password:''' 填写你在 docker-compose.yml 中设置的密码。

如果你输入 NEKO_PASSWORD，会'''作为普通用户'''进入。

如果你输入 NEKO_PASSWORD_ADMIN，会'''作为管理员'''进入。

==== 3.开启操作功能 ====
在图示序号2部分点击键盘图标，则可以开启操作功能，正常使用浏览器。

[[File:Neko登录并开启.png|900x900px]]

=== 五、注意事项 ===
'''1.控制标签页数量：''' 对于 1GB 内存的机器，建议同时打开的标签页不要超过 3-5 个。用完及时关闭，避免卡死。

'''2.不要登录个人敏感账号：''' NEKO 是一个共享环境。虽然有密码保护，但建议将其视为“公共网吧电脑”，使用隐私模式浏览，或用完后登出账号。

'''3.带宽消耗：''' NEKO 本质是实时视频流。如果多人同时在线，会消耗较多 VPS 带宽。搬瓦工 E-Commerce 系列带宽通常很大（2.5Gbps），足以支撑几人同时流畅观看。
[[index.php?title=Category:500 常见应用指南 — Application Guides]]

在搬瓦工上部署 NEKO，打造多人同步的“云浏览器”

2026-02-19T02:46:57Z

Air：

在日常工作和生活中，我们经常遇到以下两个棘手的场景：

'''1.向零基础客户/朋友展示国际资源：''' 你需要向客户演示一个国外的网站，或者发一个 YouTube 视频给朋友看。但对方'''不懂技术'''，也不会安装代理软件（VPN），导致沟通受阻。

'''2.团队异地协同演示：''' 你需要和异地的同事或客户一起浏览同一个网页，进行实时讲解。传统的“屏幕共享”画质差、延迟高，且对方无法进行交互操作。

今天，我们将利用搬瓦工 VPS 的 '''海外网络环境''' 和 '''CN2 GIA 低延迟''' 优势，部署一个运行在 Docker 里的“云端浏览器”（'''NEKO''' ）。

'''这套方案的优势在于：''' 对方'''无需安装任何软件'''，只需在自己的浏览器里打开你发的链接，就能像操作本地电脑一样，访问国际互联网，且你们看到的画面是'''毫秒级同步'''的。

=== 一、核心优势与原理 ===
无需翻墙：浏览器实际上是运行在搬瓦工 VPS 上的，你的本地浏览器只是在接收“视频流”。因此，访客端不需要任何代理工具。

多人同屏：支持多人同时进入房间。A 移动鼠标，B 能立刻看到；B 输入网址，A 能立刻跳转。非常适合教学和演示。

低配置要求：本地电脑再卡也没关系，网页加载速度取决于 VPS 的性能（搬瓦工 GIA 线路加载极快）。

=== 二、环境准备与配置要求 ===
由于浏览器是“吃内存大户”，而在本教程中我们主要针对搬瓦工 E-Commerce 1GB 内存的入门款进行优化，因此请务必关注以下要求：

'''1.服务器推荐：''' 搬瓦工 E-Commerce 或 CN2 GIA 系列（低延迟是鼠标操作跟手的关键）。

'''2.系统要求：''' Debian 12

'''3.内存要求：'''最低 1GB 内存，推荐配置 2GB 以上。

'''4.进阶要求'''：安装 Nginx Proxy Manager ，[[在搬瓦工上部署 NEKO，打造多人同步的“云浏览器”|参考教程]]

=== 三、部署 Docker 和 NEKO ===
我们将部署资源占用相对较小的 Firefox 版本，并针对 1G 内存进行了参数调优，本部分将一并完成 Docker 环境的安装。

==== 1.SSH 连接与基础工具安装 ====
使用 SSH 工具连接到您的搬瓦工服务器（推荐使用 Xshell 等工具，如果你是个人或家庭使用，可以下载 Xshell：[https://www.xshell.com/zh/free-for-home-school/ 下载链接]），

然后执行下方命令安装必要的工具。<syntaxhighlight lang="abap">apt-get install wget curl vim sudo unzip -y</syntaxhighlight>为了优化编辑体验，执行以下命令，防止后期使用 <code>vi</code> 编辑时出现剪贴板或格式报错：<syntaxhighlight lang="abap">
echo set clipboard=unnamed >> ~/.vimrc
</syntaxhighlight>增加 1G swap，保证程序的运行：<syntaxhighlight lang="abap">
sudo bash -c 'fallocate -l 1G /swapfile && chmod 600 /swapfile && mkswap /swapfile && swapon /swapfile && grep -qxF "/swapfile none swap sw 0 0" /etc/fstab || echo "/swapfile none swap sw 0 0" | tee -a /etc/fstab'
</syntaxhighlight>

==== 2.安装并启动Docker ====
执行下方命令安装 Docker，安装过程预计耗时数十秒。<syntaxhighlight lang="abap">wget -qO- get.docker.com | bash</syntaxhighlight>Docker 安装完成后，逐条执行以下命令启动 Docker 服务并设置开机自启：<syntaxhighlight lang="abap">
systemctl start docker
systemctl enable docker
</syntaxhighlight>

==== 3. 创建部署目录 ====
连接 SSH，执行以下命令：<syntaxhighlight lang="abap">
mkdir -p /root/neko && cd /root/neko
</syntaxhighlight>

==== 4. 创建 Docker Compose 配置文件 ====
<syntaxhighlight lang="abap">
vim docker-compose.yml
</syntaxhighlight>直接复制粘贴以下内容（集成了 NEKO 和 Caddy）：

提示：请务必将 '''your_secure_password''' 和 '''admin_password''' 修改为复杂密码。<syntaxhighlight lang="abap">
version: "3.4"
services:
neko:
image: m1k1o/neko:firefox
restart: always
# 【针对 1G 内存优化】将共享内存设为 1gb，配合 Swap 使用
shm_size: "1gb"
ports:
- "8080:8080" # Web 访问端口
- "52000-52100:52000-52100/udp" # WebRTC 需要的 UDP 端口范围
environment:
# 【针对 1G 内存优化】分辨率设为 720P，显著降低 CPU 和内存压力
# 如果你是 2G 内存以上机器，可改为 1920x1080@30
- NEKO_SCREEN=1280x720@30
- NEKO_PASSWORD=guest_password # 【重要】普通用户密码（用于观看和操作）
- NEKO_PASSWORD_ADMIN=admin_password # 【重要】管理员密码（拥有踢人、强制抢夺控制权等权限）
- NEKO_EPR=52000-52100
- NEKO_ICELITE=1
- NEKO_NAT_1_2_3_4=127.0.0.1 # 这里不需要改，程序会自动识别公网IP
cap_add:
- SYS_ADMIN
</syntaxhighlight>按下 <code>Esc</code> 键，输入 <code>:wq</code> 保存并退出。

==== 5. 启动服务 ====
执行以下命令启动所有容器：<syntaxhighlight lang="abap">
docker compose up -d
</syntaxhighlight>

=== 三、配置域名与 HTTPS (使用 Nginx Proxy Manager) ===
直接使用 IP+端口访问（HTTP）存在两个问题：

'''1.安全性低：''' 密码明文传输，容易被拦截。

'''2.功能受限：''' 浏览器的'''剪贴板共享'''和'''麦克风权限'''通常要求必须在 '''HTTPS''' 环境下才能正常工作。

因此，强烈建议使用 '''Nginx Proxy Manager (NPM)''' 配置反向代理和 SSL 证书。

==== 1.准备工作 ====

* 确保你已经安装了 Nginx Proxy Manager（[[在搬瓦工上部署 NEKO，打造多人同步的“云浏览器”|参考教程]]）。
* 将你的域名（例如 <code>neko.yourdomain.com</code>）解析到搬瓦工 VPS 的 IP 地址。

==== 2.配置步骤 ====

# '''登录 NPM 后台'''，点击 Dashboard 上的 '''Proxy Hosts''' -> '''Add Proxy Host'''。
# '''配置 Details (基本信息)：'''
#* '''Domain Names:''' 填写你的域名 <code>neko.yourdomain.com</code>
#* '''Scheme:''' 保持 <code>http</code>
#* '''Forward Hostname / IP:''' 填写 <code>127.0.0.1</code> (因为 NEKO 和 NPM 都在同一台 VPS 上)
#* '''Forward Port:''' 填写 <code>8080</code>
#* '''Websockets Support:''' '''【关键】必须勾选此项'''，否则画面无法实时同步。
#* '''Block Common Exploits:''' '''勾选此项'''。
# '''配置 SSL ：'''
#* 点击 '''SSL''' 选项卡。
#* '''SSL Certificate:''' 选择 <code>Request a new SSL Certificate</code>。
#* '''Force SSL:''' '''务必勾选'''，强制使用 HTTPS 访问。
#* '''Email Address:''' 填写你的邮箱（可以随意填写）。
#* '''I Agree:''' 勾选同意协议。
# '''保存并测试：'''
#* 点击 '''Save''' 按钮。等待几秒钟，证书申请成功后，列表状态会变为 <code>Online</code>。
#* 现在，在浏览器输入 <code><nowiki>https://yourdomain.com</nowiki></code>，你会看到浏览器地址栏有“小锁”图标。

=== 四、如何使用与访问 ===

==== 1. 访问域名 ====
在浏览器输入你的域名：<nowiki>https://yourdomain.com</nowiki>

==== 2.登录说明 ====
'''Username:''' 这是一个显示昵称，不需要填写系统特定的用户名。你可以随意填写，例如 "Boss", "Guest"。这主要用于在右侧列表区分当前房间里有谁。

'''Password:''' 填写你在 docker-compose.yml 中设置的密码。

如果你输入 NEKO_PASSWORD，会'''作为普通用户'''进入。

如果你输入 NEKO_PASSWORD_ADMIN，会'''作为管理员'''进入。

==== 3.开启操作功能 ====
在图示序号2部分点击键盘图标，则可以开启操作功能，正常使用浏览器。

[[File:Neko登录并开启.png|900x900px]]

=== 五、注意事项 ===
'''1.控制标签页数量：''' 对于 1GB 内存的机器，建议同时打开的标签页不要超过 3-5 个。用完及时关闭，避免卡死。

'''2.不要登录个人敏感账号：''' NEKO 是一个共享环境。虽然有密码保护，但建议将其视为“公共网吧电脑”，使用隐私模式浏览，或用完后登出账号。

'''3.带宽消耗：''' NEKO 本质是实时视频流。如果多人同时在线，会消耗较多 VPS 带宽。搬瓦工 E-Commerce 系列带宽通常很大（2.5Gbps），足以支撑几人同时流畅观看。
[[Category:500 常见应用指南 — Application Guides]]

在搬瓦工上部署 NEKO，打造多人同步的“云浏览器”

2026-02-19T02:37:34Z

Air：

在日常工作和生活中，我们经常遇到以下两个棘手的场景：

'''1.向零基础客户/朋友展示国际资源：''' 你需要向客户演示一个国外的网站，或者发一个 YouTube 视频给朋友看。但对方'''不懂技术'''，也不会安装代理软件（VPN），导致沟通受阻。

'''2.团队异地协同演示：''' 你需要和异地的同事或客户一起浏览同一个网页，进行实时讲解。传统的“屏幕共享”画质差、延迟高，且对方无法进行交互操作。

今天，我们将利用搬瓦工 VPS 的 '''海外网络环境''' 和 '''CN2 GIA 低延迟''' 优势，部署一个运行在 Docker 里的“云端浏览器”（'''NEKO''' ）。

'''这套方案的优势在于：''' 对方'''无需安装任何软件'''，只需在自己的浏览器里打开你发的链接，就能像操作本地电脑一样，访问国际互联网，且你们看到的画面是'''毫秒级同步'''的。

=== 一、核心优势与原理 ===
无需翻墙：浏览器实际上是运行在搬瓦工 VPS 上的，你的本地浏览器只是在接收“视频流”。因此，访客端不需要任何代理工具。

多人同屏：支持多人同时进入房间。A 移动鼠标，B 能立刻看到；B 输入网址，A 能立刻跳转。非常适合教学和演示。

低配置要求：本地电脑再卡也没关系，网页加载速度取决于 VPS 的性能（搬瓦工 GIA 线路加载极快）。

=== 二、环境准备与配置要求 ===
由于浏览器是“吃内存大户”，而在本教程中我们主要针对搬瓦工 E-Commerce 1GB 内存的入门款进行优化，因此请务必关注以下要求：

'''1.服务器推荐：''' 搬瓦工 E-Commerce 或 CN2 GIA 系列（低延迟是鼠标操作跟手的关键）。

'''2.系统要求：''' Debian 12

'''3.内存要求：'''最低 1GB 内存，推荐配置 2GB 以上。

'''4.进阶要求'''：安装 Nginx Proxy Manager ，[[在搬瓦工上部署 NEKO，打造多人同步的“云浏览器”|参考教程]]

=== 三、部署 Docker 和 NEKO ===
我们将部署资源占用相对较小的 Firefox 版本，并针对 1G 内存进行了参数调优，本部分将一并完成 Docker 环境的安装。

==== 1.SSH 连接与基础工具安装 ====
使用 SSH 工具连接到您的搬瓦工服务器（推荐使用 Xshell 等工具，如果你是个人或家庭使用，可以下载 Xshell：[https://www.xshell.com/zh/free-for-home-school/ 下载链接]），

然后执行下方命令安装必要的工具。<syntaxhighlight lang="abap">apt-get install wget curl vim sudo unzip -y</syntaxhighlight>为了优化编辑体验，执行以下命令，防止后期使用 <code>vi</code> 编辑时出现剪贴板或格式报错：<syntaxhighlight lang="abap">
echo set clipboard=unnamed >> ~/.vimrc
</syntaxhighlight>增加 1G swap，保证程序的运行：<syntaxhighlight lang="abap">
sudo bash -c 'fallocate -l 1G /swapfile && chmod 600 /swapfile && mkswap /swapfile && swapon /swapfile && grep -qxF "/swapfile none swap sw 0 0" /etc/fstab || echo "/swapfile none swap sw 0 0" | tee -a /etc/fstab'
</syntaxhighlight>

==== 2.安装并启动Docker ====
执行下方命令安装 Docker，安装过程预计耗时数十秒。<syntaxhighlight lang="abap">wget -qO- get.docker.com | bash</syntaxhighlight>Docker 安装完成后，逐条执行以下命令启动 Docker 服务并设置开机自启：<syntaxhighlight lang="abap">
systemctl start docker
systemctl enable docker
</syntaxhighlight>

==== 3. 创建部署目录 ====
连接 SSH，执行以下命令：<syntaxhighlight lang="abap">
mkdir -p /root/neko && cd /root/neko
</syntaxhighlight>

==== 4. 创建 Docker Compose 配置文件 ====
<syntaxhighlight lang="abap">
vim docker-compose.yml
</syntaxhighlight>直接复制粘贴以下内容（集成了 NEKO 和 Caddy）：

提示：请务必将 '''your_secure_password''' 和 '''admin_password''' 修改为复杂密码。<syntaxhighlight lang="abap">
version: "3.4"
services:
neko:
image: m1k1o/neko:firefox
restart: always
# 【针对 1G 内存优化】将共享内存设为 1gb，配合 Swap 使用
shm_size: "1gb"
ports:
- "8080:8080" # Web 访问端口
- "52000-52100:52000-52100/udp" # WebRTC 需要的 UDP 端口范围
environment:
# 【针对 1G 内存优化】分辨率设为 720P，显著降低 CPU 和内存压力
# 如果你是 2G 内存以上机器，可改为 1920x1080@30
- NEKO_SCREEN=1280x720@30
- NEKO_PASSWORD=your_secure_password # 【重要】普通用户密码（用于观看和操作）
- NEKO_PASSWORD_ADMIN=admin_password # 【重要】管理员密码（拥有踢人、强制抢夺控制权等权限）
- NEKO_EPR=52000-52100
- NEKO_ICELITE=1
- NEKO_NAT_1_2_3_4=127.0.0.1 # 这里不需要改，程序会自动识别公网IP
cap_add:
- SYS_ADMIN
</syntaxhighlight>按下 <code>Esc</code> 键，输入 <code>:wq</code> 保存并退出。

==== 5. 启动服务 ====
执行以下命令启动所有容器：<syntaxhighlight lang="abap">
docker compose up -d
</syntaxhighlight>

=== 三、配置域名与 HTTPS (使用 Nginx Proxy Manager) ===
直接使用 IP+端口访问（HTTP）存在两个问题：

'''1.安全性低：''' 密码明文传输，容易被拦截。

'''2.功能受限：''' 浏览器的'''剪贴板共享'''和'''麦克风权限'''通常要求必须在 '''HTTPS''' 环境下才能正常工作。

因此，强烈建议使用 '''Nginx Proxy Manager (NPM)''' 配置反向代理和 SSL 证书。

==== 1.准备工作 ====

* 确保你已经安装了 Nginx Proxy Manager（[[在搬瓦工上部署 NEKO，打造多人同步的“云浏览器”|参考教程]]）。
* 将你的域名（例如 <code>neko.yourdomain.com</code>）解析到搬瓦工 VPS 的 IP 地址。

==== 2.配置步骤 ====

# '''登录 NPM 后台'''，点击 Dashboard 上的 '''Proxy Hosts''' -> '''Add Proxy Host'''。
# '''配置 Details (基本信息)：'''
#* '''Domain Names:''' 填写你的域名 <code>neko.yourdomain.com</code>
#* '''Scheme:''' 保持 <code>http</code>
#* '''Forward Hostname / IP:''' 填写 <code>127.0.0.1</code> (因为 NEKO 和 NPM 都在同一台 VPS 上)
#* '''Forward Port:''' 填写 <code>8080</code>
#* '''Websockets Support:''' '''【关键】必须勾选此项'''，否则画面无法实时同步。
#* '''Block Common Exploits:''' '''勾选此项'''。
# '''配置 SSL ：'''
#* 点击 '''SSL''' 选项卡。
#* '''SSL Certificate:''' 选择 <code>Request a new SSL Certificate</code>。
#* '''Force SSL:''' '''务必勾选'''，强制使用 HTTPS 访问。
#* '''Email Address:''' 填写你的邮箱（可以随意填写）。
#* '''I Agree:''' 勾选同意协议。
# '''保存并测试：'''
#* 点击 '''Save''' 按钮。等待几秒钟，证书申请成功后，列表状态会变为 <code>Online</code>。
#* 现在，在浏览器输入 <code><nowiki>https://yourdomain.com</nowiki></code>，你会看到浏览器地址栏有“小锁”图标。

=== 四、如何使用与访问 ===

==== 1. 访问域名 ====
在浏览器输入你的域名：<nowiki>https://yourdomain.com</nowiki>

==== 2.登录说明 ====
'''Username:''' 这是一个显示昵称，不需要填写系统特定的用户名。你可以随意填写，例如 "Boss", "Guest"。这主要用于在右侧列表区分当前房间里有谁。

'''Password:''' 填写你在 docker-compose.yml 中设置的密码。

如果你输入 NEKO_PASSWORD，会'''作为普通用户'''进入。

如果你输入 NEKO_PASSWORD_ADMIN，会'''作为管理员'''进入。

==== 3.开启操作功能 ====
在图示序号2部分点击键盘图标，则可以开启操作功能，正常使用浏览器。

[[File:Neko登录并开启.png|900x900px]]

=== 五、注意事项 ===
'''1.控制标签页数量：''' 对于 1GB 内存的机器，建议同时打开的标签页不要超过 3-5 个。用完及时关闭，避免卡死。

'''2.不要登录个人敏感账号：''' NEKO 是一个共享环境。虽然有密码保护，但建议将其视为“公共网吧电脑”，使用隐私模式浏览，或用完后登出账号。

'''3.带宽消耗：''' NEKO 本质是实时视频流。如果多人同时在线，会消耗较多 VPS 带宽。搬瓦工 E-Commerce 系列带宽通常很大（2.5Gbps），足以支撑几人同时流畅观看。
[[Category:500 常见应用指南 — Application Guides]]

在搬瓦工上部署 NEKO，打造多人同步的“云浏览器”

2026-02-19T02:25:32Z

Air：完善内容

在日常工作和生活中，我们经常遇到以下两个棘手的场景：

'''1.向零基础客户/朋友展示国际资源：''' 你需要向客户演示一个国外的网站，或者发一个 YouTube 视频给朋友看。但对方'''不懂技术'''，也不会安装代理软件（VPN），导致沟通受阻。

'''2.团队异地协同演示：''' 你需要和异地的同事或客户一起浏览同一个网页，进行实时讲解。传统的“屏幕共享”画质差、延迟高，且对方无法进行交互操作。

今天，我们将利用搬瓦工 VPS 的 '''海外网络环境''' 和 '''CN2 GIA 低延迟''' 优势，部署一个运行在 Docker 里的“云端浏览器”（'''NEKO''' ）。

'''这套方案的优势在于：''' 对方'''无需安装任何软件'''，只需在自己的浏览器里打开你发的链接，就能像操作本地电脑一样，访问国际互联网，且你们看到的画面是'''毫秒级同步'''的。

=== 一、核心优势与原理 ===
无需翻墙：浏览器实际上是运行在搬瓦工 VPS 上的，你的本地浏览器只是在接收“视频流”。因此，访客端不需要任何代理工具。

多人同屏：支持多人同时进入房间。A 移动鼠标，B 能立刻看到；B 输入网址，A 能立刻跳转。非常适合教学和演示。

低配置要求：本地电脑再卡也没关系，网页加载速度取决于 VPS 的性能（搬瓦工 GIA 线路加载极快）。

=== 二、环境准备与配置要求 ===
由于浏览器是“吃内存大户”，而在本教程中我们主要针对搬瓦工 E-Commerce 1GB 内存的入门款进行优化，因此请务必关注以下要求：

'''1.服务器推荐：''' 搬瓦工 E-Commerce 或 CN2 GIA 系列（低延迟是鼠标操作跟手的关键）。

'''2.系统要求：''' Debian 12

'''3.内存要求：'''最低 1GB 内存，推荐配置 2GB 以上。

'''4.进阶要求'''：安装 Nginx Proxy Manager ，[[在搬瓦工上部署 NEKO，打造多人同步的“云浏览器”|参考教程]]

=== 三、部署 Docker 和 NEKO ===
我们将部署资源占用相对较小的 Firefox 版本，并针对 1G 内存进行了参数调优，本部分将一并完成 Docker 环境的安装。

==== 1.SSH 连接与基础工具安装 ====
使用 SSH 工具连接到您的搬瓦工服务器（推荐使用 Xshell 等工具，如果你是个人或家庭使用，可以下载 Xshell：[https://www.xshell.com/zh/free-for-home-school/ 下载链接]），

然后执行下方命令安装必要的工具。<syntaxhighlight lang="abap">apt-get install wget curl vim sudo unzip -y</syntaxhighlight>为了优化编辑体验，执行以下命令，防止后期使用 <code>vi</code> 编辑时出现剪贴板或格式报错：<syntaxhighlight lang="abap">
echo set clipboard=unnamed >> ~/.vimrc
</syntaxhighlight>

==== 2.安装并启动Docker ====
执行下方命令安装 Docker，安装过程预计耗时数十秒。<syntaxhighlight lang="abap">wget -qO- get.docker.com | bash</syntaxhighlight>Docker 安装完成后，执行以下命令启动 Docker 服务并设置开机自启：<syntaxhighlight lang="abap">
systemctl start docker
systemctl enable docker
</syntaxhighlight>

==== 3. 创建部署目录 ====
连接 SSH，执行以下命令：<syntaxhighlight lang="abap">
mkdir -p /root/neko && cd /root/neko
</syntaxhighlight>

==== 4. 创建 Docker Compose 配置文件 ====
<syntaxhighlight lang="abap">
vim docker-compose.yml
</syntaxhighlight>直接复制粘贴以下内容（集成了 NEKO 和 Caddy）：

提示：请务必将 '''your_secure_password''' 和 '''admin_password''' 修改为复杂密码。<syntaxhighlight lang="abap">
version: "3.4"
services:
neko:
image: m1k1o/neko:firefox
restart: always
# 【针对 1G 内存优化】将共享内存设为 1gb，配合 Swap 使用
shm_size: "1gb"
ports:
- "8080:8080" # Web 访问端口
- "52000-52100:52000-52100/udp" # WebRTC 需要的 UDP 端口范围
environment:
# 【针对 1G 内存优化】分辨率设为 720P，显著降低 CPU 和内存压力
# 如果你是 2G 内存以上机器，可改为 1920x1080@30
- NEKO_SCREEN=1280x720@30
- NEKO_PASSWORD=your_secure_password # 【重要】普通用户密码（用于观看和操作）
- NEKO_PASSWORD_ADMIN=admin_password # 【重要】管理员密码（拥有踢人、强制抢夺控制权等权限）
- NEKO_EPR=52000-52100
- NEKO_ICELITE=1
- NEKO_NAT_1_2_3_4=127.0.0.1 # 这里不需要改，程序会自动识别公网IP
cap_add:
- SYS_ADMIN
</syntaxhighlight>按下 <code>Esc</code> 键，输入 <code>:wq</code> 保存并退出。

==== 5. 启动服务 ====
执行以下命令启动所有容器：<syntaxhighlight lang="abap">
docker compose up -d
</syntaxhighlight>

=== 三、配置域名与 HTTPS (使用 Nginx Proxy Manager) ===
直接使用 IP+端口访问（HTTP）存在两个问题：

'''1.安全性低：''' 密码明文传输，容易被拦截。

'''2.功能受限：''' 浏览器的'''剪贴板共享'''和'''麦克风权限'''通常要求必须在 '''HTTPS''' 环境下才能正常工作。

因此，强烈建议使用 '''Nginx Proxy Manager (NPM)''' 配置反向代理和 SSL 证书。

==== 1.准备工作 ====

* 确保你已经安装了 Nginx Proxy Manager（[[在搬瓦工上部署 NEKO，打造多人同步的“云浏览器”|参考教程]]）。
* 将你的域名（例如 <code>neko.yourdomain.com</code>）解析到搬瓦工 VPS 的 IP 地址。

==== 2.配置步骤 ====

# '''登录 NPM 后台'''，点击 Dashboard 上的 '''Proxy Hosts''' -> '''Add Proxy Host'''。
# '''配置 Details (基本信息)：'''
#* '''Domain Names:''' 填写你的域名 <code>neko.yourdomain.com</code>
#* '''Scheme:''' 保持 <code>http</code>
#* '''Forward Hostname / IP:''' 填写 <code>127.0.0.1</code> (因为 NEKO 和 NPM 都在同一台 VPS 上)
#* '''Forward Port:''' 填写 <code>8080</code>
#* '''Websockets Support:''' '''【关键】必须勾选此项'''，否则画面无法实时同步。
#* '''Block Common Exploits:''' '''勾选此项'''。
# '''配置 SSL (HTTPS证书)：'''
#* 点击 '''SSL''' 选项卡。
#* '''SSL Certificate:''' 选择 <code>Request a new SSL Certificate</code>。
#* '''Force SSL:''' '''务必勾选'''，强制使用 HTTPS 访问。
#* '''Email Address:''' 填写你的邮箱（可以随意填写）。
#* '''I Agree:''' 勾选同意协议。
# '''保存并测试：'''
#* 点击 '''Save''' 按钮。等待几秒钟，证书申请成功后，列表状态会变为 <code>Online</code>。
#* 现在，在浏览器输入 <code><nowiki>https://neko.yourdomain.com</nowiki></code>，你会看到浏览器地址栏有“小锁”图标。

=== 四、如何使用与访问 ===

==== 1. 访问域名 ====
在浏览器输入你的域名：[https://yourdomain.com https://neko.yourdomain.com]

==== 2.登录说明 ====
'''Username:''' 这是一个显示昵称，不需要填写系统特定的用户名。你可以随意填写，例如 "Boss", "Guest"。这主要用于在右侧列表区分当前房间里有谁。

'''Password:''' 填写你在 docker-compose.yml 中设置的密码。

如果你输入 NEKO_PASSWORD，会'''作为普通用户'''进入。

如果你输入 NEKO_PASSWORD_ADMIN，会'''作为管理员'''进入。

==== 3.开启操作功能 ====
在图示序号2部分点击键盘图标，则可以开启操作功能，正常使用浏览器。

[[File:Neko登录并开启.png|900x900px]]

=== 五、注意事项 ===
'''1.控制标签页数量：''' 对于 1GB 内存的机器，建议同时打开的标签页不要超过 3-5 个。用完及时关闭，避免卡死。

'''2.不要登录个人敏感账号：''' NEKO 是一个共享环境。虽然有密码保护，但建议将其视为“公共网吧电脑”，使用隐私模式浏览，或用完后登出账号。

'''3.带宽消耗：''' NEKO 本质是实时视频流。如果多人同时在线，会消耗较多 VPS 带宽。搬瓦工 E-Commerce 系列带宽通常很大（2.5Gbps），足以支撑几人同时流畅观看。

在搬瓦工上部署 NEKO，打造多人同步的“云浏览器”

2026-02-18T16:20:25Z

Air：创建页面，内容为“在日常工作和生活中，我们经常遇到以下两个棘手的场景： # '''向零基础客户/朋友展示国际资源：''' 你需要向客户演示一个国外的网站，或者发一个 YouTube 视频给朋友看。但对方'''不懂技术'''，也不会安装代理软件（VPN），导致沟通受阻。 # '''团队异地协同演示：''' 你需要和异地的同事或客户一起浏览同一个网页，进行实时讲解。传统的“屏幕共…”

在日常工作和生活中，我们经常遇到以下两个棘手的场景：

# '''向零基础客户/朋友展示国际资源：''' 你需要向客户演示一个国外的网站，或者发一个 YouTube 视频给朋友看。但对方'''不懂技术'''，也不会安装代理软件（VPN），导致沟通受阻。
# '''团队异地协同演示：''' 你需要和异地的同事或客户一起浏览同一个网页，进行实时讲解。传统的“屏幕共享”画质差、延迟高，且对方无法进行交互操作。

今天，我们将利用搬瓦工 VPS 的 '''海外网络环境''' 和 '''CN2 GIA 低延迟''' 优势，部署一个运行在 Docker 里的“云端浏览器”（'''NEKO''' ）。

'''它的神奇之处在于：''' 对方'''无需安装任何软件'''，只需在自己的浏览器里打开你发的链接，就能像操作本地电脑一样，访问国际互联网，且你们看到的画面是'''毫秒级同步'''的。

=== 一、核心优势与原理 ===
无需翻墙：浏览器实际上是运行在搬瓦工 VPS 上的，你的本地浏览器只是在接收“视频流”。因此，访客端不需要任何代理工具。

多人同屏：支持多人同时进入房间。A 移动鼠标，B 能立刻看到；B 输入网址，A 能立刻跳转。非常适合教学和演示。

低配置要求：本地电脑再卡也没关系，网页加载速度取决于 VPS 的性能（搬瓦工 GIA 线路加载极快）。

=== 二、环境准备与配置要求 ===
由于浏览器是“吃内存大户”，而在本教程中我们主要针对搬瓦工 E-Commerce 1GB 内存的入门款进行优化，因此请务必关注以下要求：

'''1.服务器推荐：''' 搬瓦工 E-Commerce 或 CN2 GIA 系列（低延迟是鼠标操作跟手的关键）。

'''2.系统要求：''' Debian 11/12 或 Ubuntu 20.04+。

'''3.内存要求：'''最低配置： 1GB 内存（必须开启 Swap 交换分区）。

推荐配置： 2GB 及以上内存（体验更流畅）。

'''4.基础环境：'''已经安装docker

=== 三、一键部署 NEKO + Caddy (轻量 HTTPS 版) ===
为了在'''不使用域名'''且'''节省内存'''的前提下实现 HTTPS（解决剪贴板同步问题），我们将使用 '''Caddy''' 作为反向代理。

==== 1. 创建部署目录 ====
连接 SSH，执行以下命令：<syntaxhighlight lang="abap">
mkdir -p /root/neko && cd /root/neko
</syntaxhighlight>

==== 2. 创建 Caddy 配置文件 ====
我们需要告诉 Caddy 如何处理流量。执行：<syntaxhighlight lang="abap">
vim Caddyfile
</syntaxhighlight>复制以下内容（注意：:443 表示监听 HTTPS 端口）：<syntaxhighlight lang="abap">
{
auto_https disable_redirects
}

:443 {
reverse_proxy neko:8080
tls internal
}

</syntaxhighlight>保存退出（Esc -> :wq）。

==== 3. 创建 Docker Compose 配置文件 ====
<syntaxhighlight lang="abap">
vim docker-compose.yml
</syntaxhighlight>直接复制粘贴以下内容（集成了 NEKO 和 Caddy）：

修改提示：请务必将 your_secure_password 和 admin_password 修改为复杂密码。<syntaxhighlight lang="abap">
version: "3.4"
services:
neko:
image: m1k1o/neko:firefox
restart: always
# 【针对 1G 内存优化】将共享内存设为 1gb，配合 Swap 使用
shm_size: "1gb"
ports:
- "52000-52100:52000-52100/udp" # WebRTC UDP 端口
environment:
# 【针对 1G 内存优化】分辨率设为 720P
- NEKO_SCREEN=1280x720@30
- NEKO_PASSWORD=your_secure_password # 【重要】普通用户密码
- NEKO_PASSWORD_ADMIN=admin_password # 【重要】管理员密码
- NEKO_EPR=52000-52100
- NEKO_ICELITE=1
- NEKO_NAT_1_2_3_4=127.0.0.1 # 这里不需要改，程序会自动识别公网IP
cap_add:
- SYS_ADMIN

caddy:
image: caddy:alpine
restart: always
ports:
- "443:443"
volumes:
- ./Caddyfile:/etc/caddy/Caddyfile
depends_on:
- neko
</syntaxhighlight>保存退出（Esc -> :wq）。

==== 4. 启动服务 ====
执行以下命令启动所有容器：<syntaxhighlight lang="abap">
docker compose up -d
</syntaxhighlight>

=== 四、如何使用与访问 ===

==== 1. 通过 HTTPS 访问（IP 直连） ====
在浏览器输入：<nowiki>https://你的VPSIP</nowiki>

==== 2. 处理“不安全”警告 ====
由于我们使用的是 IP 自签名证书，浏览器（如 Chrome/Edge）会弹出一个红色警告页面，提示“您的连接不是私密连接”。

解决方法：点击页面上的 “高级” (Advanced) -> “继续前往...” (Proceed to...)。

注：这只是因为证书是自己签发的，不代表传输不加密。为了剪贴板功能，这是必须的妥协。

==== 3. 登录 ====
Username: 随意填写昵称（如 User1）。

Password: 填写你在配置文件里设置的密码。

以下是登录并开启操作功能的图示：

[[File:Neko登录并开启.png|900x900px]]

=== 五、注意事项 ===

==== 1.小内存的VPS注意： ====
不要打开太多标签页。

如果浏览器卡死，可以在 SSH 里执行 docker compose restart neko 快速复活。

==== 2.关于带宽： ====
搬瓦工 CN2 GIA 线路虽然延迟低，但视频流非常吃带宽。如果画面模糊，通常是网络拥堵。

720P 分辨率下，单人使用大约占用 2-4Mbps 带宽。
[[Category:500 常见应用指南 — Application Guides]]

File:Neko登录并开启.png

2026-02-18T16:19:11Z

Air：

Neko登录并开启

如何在搬瓦工服务器上搭建私有镜像加速器

2026-02-18T15:08:53Z

Air：添加分类目录

在国内网络环境下，拉取 Docker Hub 的官方镜像经常遇到速度极慢、连接超时，甚至完全无法下载的情况。虽然可以使用阿里云、腾讯云等公共加速器，但它们有时也会因为种种原因不稳定。

现在有个比较稳妥的方案，就是用你手中线路优秀的 '''搬瓦工 ( CN2 GIA 线路）'''，搭建一个属于自己的 '''Docker Registry Proxy（镜像缓存代理）'''。

它的工作原理是：

# 本地（NAS/电脑）请求你的 VPS。
# VPS 帮你去 Docker Hub 拉取镜像。
# VPS 将镜像缓存在本地硬盘。
# 下次再拉取同样的镜像，直接从 VPS 缓存读取，速度飞快。

这篇教程将教你在一台全新的 Debian/Ubuntu VPS 上，从零开始部署这个神器。

== 准备工作 ==

* 服务器：一台搬瓦工 VPS（推荐 Debian 11/12 或 Ubuntu 20.04/22.04）。
* 端口：确保防火墙放行 5000 端口。

----

== 第一步：系统初始化与环境安装 ==
作为一台全新的机器，首先要确保系统软件是最新的，并安装必要的基础工具。
# 1. 更新软件包列表并升级系统
sudo apt update && sudo apt upgrade -y

# 2. 安装基础工具 (vim, curl, wget, git)
sudo apt install -y vim curl wget git apache2-utils</code>
''注意：<code>apache2-utils</code> 是为了后续生成密码文件使用，它包含 <code>htpasswd</code> 工具。''
----

== 第二步：安装 Docker 环境 ==
我们需要官方最新版的 Docker Engine 来运行 Registry 容器。
# 1. 卸载可能存在的旧版本
'''for''' pkg '''in''' docker.io docker-doc docker-compose podman-docker containerd runc; '''do''' sudo apt-get remove $pkg; '''done'''

# 2. 添加 Docker 官方 GPG 密钥
sudo install -m 0755 -d /etc/apt/keyrings
sudo curl -fsSL <nowiki>https://download.docker.com/linux/debian/gpg</nowiki> -o /etc/apt/keyrings/docker.asc
sudo chmod a+r /etc/apt/keyrings/docker.asc

# 3. 添加 Docker 软件源
echo \
"deb [arch=$(dpkg --print-architecture) signed-by=/etc/apt/keyrings/docker.asc] <nowiki>https://download.docker.com/linux/$(</nowiki>. /etc/os-release && echo "$ID") \
$(. /etc/os-release && echo "$VERSION_CODENAME") stable" | \
sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

# 4. 更新源并安装 Docker
sudo apt update
sudo apt install -y docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

# 5. 启动并设置开机自启
sudo systemctl start docker
sudo systemctl enable docker</code>
----

== 第三步：规划目录与配置 Registry ==
我们将使用官方的 <code>registry:2</code> 镜像。核心在于修改它的配置文件，使其工作在“Proxy（代理）”模式，而不是普通的存储模式。

=== 1. 创建工作目录 ===
sudo mkdir -p /opt/docker-registry/data
sudo mkdir -p /opt/docker-registry/config
cd /opt/docker-registry</code>

=== 2. 编写 Registry 配置文件 ===
使用 <code>vim</code> 创建配置文件：
sudo vim config/config.yml</code>
按 <code>i</code> 进入编辑模式，粘贴以下内容：
version: 0.1
log:
fields:
service: registry
storage:
cache:
blobdescriptor: inmemory
filesystem:
rootdirectory: '''/var/'''lib/registry
delete:
enabled: true
http:
addr: :5000
headers:
X-Content-Type-Options: [nosniff]
# 核心配置：代理模式
proxy:
# 目标地址：Docker Hub 官方地址
remoteurl: <nowiki>https://registry-1.docker.io</nowiki></code>
配置解读：

* <code>storage</code>: 镜像缓存存储的位置。
* <code>proxy</code>: 这一段告诉 Registry，如果在本地找不到镜像，就去 <code>remoteurl</code> 拉取并缓存下来。

保存并退出（按 <code>Esc</code>，输入 <code>:wq</code>，回车）。
----

== 第四步：配置访问密码（可选但推荐） ==
如果不设置密码，互联网上任何人都能通过你的 IP 消耗你的 VPS 流量。为了安全，我们设置一个简单的 Basic Auth。

=== 1. 生成密码文件 ===
将 <code>your_username</code> 替换为你想要的用户名（例如 <code>admin</code>）：
# 在 config 目录下生成 htpasswd 文件
cd /opt/docker-registry/config
sudo htpasswd -Bc htpasswd your_username</code>
系统会提示你输入并确认密码。

=== 2. 修改 config.yml 启用认证 ===
再次编辑配置文件：
sudo vim config.yml</code>
在 <code>http:</code> 字段下增加 <code>auth</code> 配置，注意缩进格式：
http:
addr: :5000
headers:
X-Content-Type-Options: [nosniff]
# 新增以下内容
auth:
htpasswd:
realm: basic-realm
path: '''/etc/'''docker'''/registry/'''htpasswd</code>
保存并退出 (<code>:wq</code>)。
----

== 第五步：编写 Docker Compose 启动文件 ==
回到 <code>/opt/docker-registry</code> 根目录，创建启动文件。
cd /opt/docker-registry
sudo vim compose.yaml</code>
粘贴以下内容：
version: '3'
services:
registry:
restart: always
image: registry:2
ports:
- "5000:5000"
volumes:
# 挂载我们刚才写的配置文件
- .'''/config/'''config.yml:'''/etc/'''docker'''/registry/'''config.yml
# 挂载密码文件
- .'''/config/'''htpasswd:'''/etc/'''docker'''/registry/'''htpasswd
# 挂载数据目录（缓存的镜像存这）
- ./data:'''/var/'''lib/registry</code>
保存并退出 (<code>:wq</code>)。
----

== 第六步：启动服务与测试 ==
# 启动容器
sudo docker compose up -d

# 查看日志确保没有报错
sudo docker compose logs -f</code>
如果看到 <code>listening on [::]:5000</code> 字样，说明服务启动成功。按 <code>Ctrl+C</code> 退出日志查看。
----

== 第七步：在客户端（本机/NAS）使用 ==
由于我们搭建的是 HTTP 服务（没有配置 SSL 证书），Docker 默认禁止连接非 HTTPS 的仓库。我们需要在客户端配置“不安全的注册表”。

=== 1. 修改客户端 Docker 配置 ===
在你的本地电脑、NAS 或另一台国内服务器上：

编辑 <code>/etc/docker/daemon.json</code> (Linux) 或在 Docker Desktop 设置中找到 Daemon 配置。

加入 <code>"insecure-registries"</code> 字段：
{
"registry-mirrors": [],
"insecure-registries": [
"你的VPS_IP:5000"
]
}</code>
重启本地 Docker：
sudo systemctl restart docker</code>

=== 2. 测试拉取镜像 ===
现在，尝试通过你的 IP 拉取一个镜像。假设你的 VPS IP 是 <code>1.2.3.4</code>，用户名是 <code>admin</code>，密码是 <code>123456</code>。

先登录（如果设置了密码）：
'''docker''' login 1.2.3.4:5000 -u admin -p 123456</code>
拉取镜像：原本的命令是 <code>docker pull nginx</code>，现在需要加上你的 IP 前缀：
'''docker''' pull 1.2.3.4:5000/library/nginx</code>
''注意：官方镜像（如 nginx, mysql）属于 library 组，所以要加上 <code>/library/</code>。如果是第三方镜像（如 <code>mysql/mysql-server</code>），则直接替换为 <code>1.2.3.4:5000/mysql/mysql-server</code>。''
[[Category:500 常见应用指南 — Application Guides]]

使用nftables预防被端口扫描

2026-02-18T15:08:19Z

Air：添加分类目录

我想很多人有这样的困惑, 明明自己改了默认端口, 一看日志, 仍然还有陌生IP在对端口进行暴力破解, 即便是上了类似Fail2ban这种防护工具, 日志里陌生IP的记录也永远不会消停; 想上白名单, 但每次自己的IP变了之后, 还要再手动加进白名单里, 比较麻烦.

这时候, 我们就可以用 <code>nftables</code> 自动拉黑那些尝试扫描端口的陌生IP.
----

=== 1. 准备 ===
确保 nftables 已经安装<syntaxhighlight>
nft --version
</syntaxhighlight>若没有安装, 以Debian13为例<syntaxhighlight>
apt update
apt install nftables
systemctl enable nftables
</syntaxhighlight>拷贝原有的nftables配置, 到一个好找的目录里, 以 <code>/main/nftables</code> 为例, 再对原路径进行链接<syntaxhighlight>cp /etc/nftables.conf /main/nftables/
ln -f /main/nftables/nftables.conf /etc/nftables.conf</syntaxhighlight>并准备好编辑 <code>/main/nftables/nftables.conf</code>
----

=== 2. 基础策略 ===
如果你之前配置过nftables, 那就在原有基础上进行新增或合并

现在假设我不希望ssh端口被扫中, 默认的22端口肯定不得使用, 需要将ssh端口开放到一个'''没有任何协议所使用的的默认端口上''' (比如ssh开放到80端口)

一般的陌生IP暴力破解一个端口, 需要先进行网络嗅探, 陌生IP可以自行扫描获取端口协议, 也可以使用其他平台公示的端口, 端口扫描器肯定优先扫描一些协议的默认端口, 绝对不能使用这些

端口扫描器扫完常见协议的端口, 之后大部分只会按照端口顺序进行扫描, 但这样基本上是不可能扫中的, 只有随机顺序扫描才有可能扫中

=== 3. 配置 ===
这里以ssh开放在46端口为例

我们可以分成两种方式:

* 设立陷阱端口, 只有尝试建立连接时才会封禁, 推荐设为一些协议的默认端口, 误封概率适中
<syntaxhighlight>table inet prevent_scanning {
set tmp_blacklist_ipv4 {
type ipv4_addr
flags timeout
# 封禁时间
timeout 30m
}

set tmp_blacklist_ipv6 {
type ipv6_addr
flags timeout
timeout 20m
}

chain input {
type filter hook input priority 0;
policy drop;

# 放行本地/已建立/相关的连接
iif lo accept;
ct state established,related accept;

# 不希望被ping到可以注释掉
ip protocol icmp accept;
ip6 nexthdr ipv6-icmp accept;

ip saddr @tmp_blacklist_ipv4 drop;
ip6 saddr @tmp_blacklist_ipv6 drop;

# 放行后不会往后执行
tcp dport { 46 } ct state new accept;

# 自行配置陷阱端口
tcp dport { 1-25, 3300-3500, 6379, 8080 } ct state new add @tmp_blacklist_ipv4 { ip saddr } drop;
tcp dport { 1-25, 3300-3500, 6379, 8080 } ct state new add @tmp_blacklist_ipv6 { ip6 saddr } drop;
udp dport { 50-70, 110-170, 514, 1194, 5353 } ct state new add @tmp_blacklist_ipv4 { ip saddr } drop;
udp dport { 50-70, 110-170, 514, 1194, 5353 } ct state new add @tmp_blacklist_ipv6 { ip6 saddr } drop;
}
}</syntaxhighlight>

* 任何端口没被放行后, 直接拉黑, 端口被扫中的概率最低, 但误封率较高 (比如不小心访问到80端口)
<syntaxhighlight line="1" start="0">table inet prevent_scanning {
set tmp_blacklist_ipv4 {
type ipv4_addr
flags timeout
timeout 30m
}

set tmp_blacklist_ipv6 {
type ipv6_addr
flags timeout
timeout 20m
}

chain input {
type filter hook input priority 0;
policy drop;

iif lo accept;
ct state established,related accept;

# 不希望被ping到可以注释掉
ip protocol icmp accept;
ip6 nexthdr ipv6-icmp accept;

ip saddr @tmp_blacklist_ipv4 drop;
ip6 saddr @tmp_blacklist_ipv6 drop;

tcp dport { 46 } ct state new accept;

ct state new add @tmp_blacklist_ipv4 { ip saddr } drop;
ct state new add @tmp_blacklist_ipv6 { ip6 saddr } drop;
}
}</syntaxhighlight>

=== 4. 完成配置 ===
根据自己的喜好进行调整后保存, 重启<syntaxhighlight>
systemctl restart nftables.service
</syntaxhighlight>查看封禁了哪些IP<syntaxhighlight>
nft list set inet prevent_scanning tmp_blacklist_ipv4
nft list set inet prevent_scanning tmp_blacklist_ipv6
</syntaxhighlight>
[[Category:500 常见应用指南 — Application Guides]]

通过搬瓦工 KiviVM 面板的 VNC (Interactive Shell) 强制重置 VPS 的 Root 密码

2026-02-08T10:56:59Z

Air：修改内容

一般情况下，如果你忘记了搬瓦工 VPS 的 root 密码，首选方案是使用 KiwiVM 面板自带的 '''Root password reset''' 功能。

但是，如果你的系统经过了深度修改（如更换了内核），或者通过 DD 脚本自行安装系统，面板自带的重置功能往往会失效。此时，我们就需要动用一些硬核的方式——通过 '''VNC (Interactive Shell)''' 进入系统底层，修改引导参数来强制重置密码。

本文将分别演示在 '''Debian、Ubuntu 和 CentOS''' 三大主流系统下的操作流程。虽然原理和流程相同，但界面略有差异。

=== 一、进入VNC (Interactive Shell) ===
无论是什么系统，第一步都是先进入搬瓦工的 VNC 界面：

1.登录搬瓦工 KiwiVM 后台。

2.在左侧菜单找到 '''KiwiVM Admin Controls''' -> '''Root shell – interactive'''。

3.点击 '''Launch''' 按钮，浏览器会弹出一个新的 VNC 黑色窗口。

[[File:Debian修改01.png|900x900px]]

=== 二、Debian 系统强制重置密码 ===

==== 1.重启并拦截引导 ====
在 VNC 窗口右上角点击 Send CtrlAltDel 按钮重启 VPS。当看到蓝底白字的启动界面时，立即按下键盘上的 “e” 键，进入编辑模式。

[[File:Debian修改02.png|900x900px]]

==== 2.修改内核参数 ====
在编辑界面中，使用键盘方向键（↓）向下寻找，找到以 linux 开头的行。

根据图示标注，删除 ro 及其后面的内容，并替换为以下内容：<syntaxhighlight lang="abap">
rw init=/bin/bash
</syntaxhighlight>[[File:Debian修改03.png|900x900px]]

==== 3.启动并修改密码 ====
修改完成后，按下 Ctrl + x 键启动系统。系统会快速启动并进入一个命令行界面。

输入 passwd 并回车，根据提示输入两次新密码。

密码修改成功后，输入以下命令强制重启系统：<syntaxhighlight lang="abap">
exec /sbin/reboot -f
</syntaxhighlight>[[File:Debian修改05.png|900x900px]]
重启后，就可以使用新密码登录了。

=== 三、Ubuntu 系统强制重置密码 ===
Ubuntu 的操作流程与 Debian 非常相似。

==== 1.重启并拦截引导 ====
在 VNC 窗口点击 Send CtrlAltDel。当屏幕出现启动列表时，迅速按下 “e” 键进入编辑界面。

[[File:Ubt修改02.png|900x900px]]

==== 2.修改内核参数 ====
在编辑界面中，使用键盘方向键（↓）向下寻找，找到以 linux 开头的行。

根据图示标注，删除 ro 及其后面的内容，并替换为以下内容：<syntaxhighlight lang="abap">
rw init=/bin/bash
</syntaxhighlight>[[File:Ubt修改03.png|900x900px]]

==== 3.启动并修改密码 ====
修改完成后，按下 Ctrl + x 键启动系统。进入单用户模式后：

输入 passwd 并回车，根据提示输入两次新密码。

密码修改成功后，输入以下命令强制重启系统：<syntaxhighlight lang="abap">
exec /sbin/reboot -f
</syntaxhighlight>重启后，就可以使用新密码登录了。

[[File:Ubt修改04.png|900x900px]]

=== 四、CentOS 系统强制重置密码 ===
CentOS 的引导和最后命令行界面略有不同。

==== 1.重启并拦截引导 ====
在 VNC 窗口点击 Send CtrlAltDel。当看到包含 Centos Linux 字样的列表时，按下 “e” 键进入编辑模式。

[[File:Ct修改02.png|900x900px]]

==== 2.修改内核参数 ====
在编辑界面中，使用键盘方向键（↓）向下寻找，找到以 linux 开头的行。

根据图示标注，删除 ro 及其后面的内容，并替换为以下内容：<syntaxhighlight lang="abap">
rw init=/bin/bash
</syntaxhighlight>[[File:Ct修改03.png|900x900px]]

==== 3.启动并修改密码 ====
按下 Ctrl + x 启动系统。

输入 passwd，系统会提示 Changing password for user root（注意 CentOS 7 因为一些原因，此界面输入命令行会显示串行，但是不影响执行）。

输入两次新密码（注意：输入时屏幕不会显示字符）。

密码修改成功后，输入以下命令强制重启系统：<syntaxhighlight lang="abap">
exec /sbin/reboot -f
</syntaxhighlight>[[File:Ct修改05.png|900x900px]]

重启后，就可以使用新密码登录了。

=== 五、最后总结 ===
这个方法的原理其实非常简单：通过修改 GRUB 引导参数，让 Linux 内核在启动时跳过正常的初始化流程，直接以读写模式 (rw) 挂载硬盘，并运行 Bash Shell，从而绕过身份验证直接获得 Root 权限。掌握了这个技巧，无论折腾什么系统都不怕密码丢失了。
[[Category:300 VPS 设置与管理 — VPS Setup and Management]]

通过搬瓦工 KiviVM 面板的 VNC (Interactive Shell) 强制重置 VPS 的 Root 密码

2026-02-08T10:55:46Z

Air：创建页面，内容为“一般情况下，如果你忘记了搬瓦工 VPS 的 root 密码，首选方案是使用 KiwiVM 面板自带的 '''Root password reset''' 功能。但是，如果你的系统经过了深度定制（如更换了内核），或者是通过 DD 脚本自行安装的非官方系统，面板自带的重置功能往往会失效。此时，我们就需要动用一些硬核的方式——通过 '''VNC (Interactive Shell)''' 进入系统底层，修改引导参数来…”

一般情况下，如果你忘记了搬瓦工 VPS 的 root 密码，首选方案是使用 KiwiVM 面板自带的 '''Root password reset''' 功能。

但是，如果你的系统经过了深度定制（如更换了内核），或者是通过 DD 脚本自行安装的非官方系统，面板自带的重置功能往往会失效。此时，我们就需要动用一些硬核的方式——通过 '''VNC (Interactive Shell)''' 进入系统底层，修改引导参数来强制重置密码。

本文将分别演示在 '''Debian、Ubuntu 和 CentOS''' 三大主流系统下的操作流程。虽然原理和流程相同，但界面略有差异。

=== 一、通用准备工作：进入 VNC ===
无论是什么系统，第一步都是先进入搬瓦工的 VNC 界面：

1.登录搬瓦工 KiwiVM 后台。

2.在左侧菜单找到 '''KiwiVM Admin Controls''' -> '''Root shell – interactive'''。

3.点击 '''Launch''' 按钮，浏览器会弹出一个新的 VNC 黑色窗口。

[[File:Debian修改01.png|900x900px]]

=== 二、Debian 系统强制重置密码 ===

==== 1.重启并拦截引导 ====
在 VNC 窗口右上角点击 Send CtrlAltDel 按钮重启 VPS。当看到蓝底白字的启动界面时，立即按下键盘上的 “e” 键，进入编辑模式。

[[File:Debian修改02.png|900x900px]]

==== 2.修改内核参数 ====
在编辑界面中，使用键盘方向键（↓）向下寻找，找到以 linux 开头的行。

根据图示标注，删除 ro 及其后面的内容，并替换为以下内容：<syntaxhighlight lang="abap">
rw init=/bin/bash
</syntaxhighlight>[[File:Debian修改03.png|900x900px]]

==== 3.启动并修改密码 ====
修改完成后，按下 Ctrl + x 键启动系统。系统会快速启动并进入一个命令行界面。

输入 passwd 并回车，根据提示输入两次新密码。

密码修改成功后，输入以下命令强制重启系统：<syntaxhighlight lang="abap">
exec /sbin/reboot -f
</syntaxhighlight>[[File:Debian修改05.png|900x900px]]
重启后，就可以使用新密码登录了。

=== 三、Ubuntu 系统强制重置密码 ===
Ubuntu 的操作流程与 Debian 非常相似。

==== 1.重启并拦截引导 ====
在 VNC 窗口点击 Send CtrlAltDel。当屏幕出现启动列表时，迅速按下 “e” 键进入编辑界面。

[[File:Ubt修改02.png|900x900px]]

==== 2.修改内核参数 ====
在编辑界面中，使用键盘方向键（↓）向下寻找，找到以 linux 开头的行。

根据图示标注，删除 ro 及其后面的内容，并替换为以下内容：<syntaxhighlight lang="abap">
rw init=/bin/bash
</syntaxhighlight>[[File:Ubt修改03.png|900x900px]]

==== 3.启动并修改密码 ====
修改完成后，按下 Ctrl + x 键启动系统。进入单用户模式后：

输入 passwd 并回车，根据提示输入两次新密码。

密码修改成功后，输入以下命令强制重启系统：<syntaxhighlight lang="abap">
exec /sbin/reboot -f
</syntaxhighlight>重启后，就可以使用新密码登录了。

[[File:Ubt修改04.png|900x900px]]

=== 四、CentOS 系统强制重置密码 ===
CentOS 的引导和最后命令行界面略有不同。

==== 1.重启并拦截引导 ====
在 VNC 窗口点击 Send CtrlAltDel。当看到包含 Centos Linux 字样的列表时，按下 “e” 键进入编辑模式。

[[File:Ct修改02.png|900x900px]]

==== 2.修改内核参数 ====
在编辑界面中，使用键盘方向键（↓）向下寻找，找到以 linux 开头的行。

根据图示标注，删除 ro 及其后面的内容，并替换为以下内容：<syntaxhighlight lang="abap">
rw init=/bin/bash
</syntaxhighlight>[[File:Ct修改03.png|900x900px]]

==== 3.启动并修改密码 ====
按下 Ctrl + x 启动系统。

输入 passwd，系统会提示 Changing password for user root（注意 CentOS 7 因为一些原因，此界面输入命令行会显示串行，但是不影响执行）。

输入两次新密码（注意：输入时屏幕不会显示字符）。

密码修改成功后，输入以下命令强制重启系统：<syntaxhighlight lang="abap">
exec /sbin/reboot -f
</syntaxhighlight>[[File:Ct修改05.png|900x900px]]

重启后，就可以使用新密码登录了。

=== 五、最后总结 ===
这个方法的原理其实非常简单：通过修改 GRUB 引导参数，让 Linux 内核在启动时跳过正常的初始化流程，直接以读写模式 (rw) 挂载硬盘，并运行 Bash Shell，从而绕过身份验证直接获得 Root 权限。掌握了这个技巧，无论折腾什么系统都不怕密码丢失了。

[[Category:300 VPS 设置与管理 — VPS Setup and Management]]

File:Ct修改05.png

2026-02-08T10:51:53Z

Air：

Ct修改05

File:Ct修改03.png

2026-02-08T10:51:31Z

Air：

Ct修改03

File:Ct修改02.png

2026-02-08T10:51:01Z

Air：

Ct修改02

File:Ubt修改04.png

2026-02-08T10:50:31Z

Air：

Ubt修改04

File:Ubt修改03.png

2026-02-08T10:50:02Z

Air：

Ubt修改03

File:Ubt修改02.png

2026-02-08T10:49:15Z

Air：

Ubt修改02

File:Debian修改05.png

2026-02-08T10:48:03Z

Air：

Debian修改05

File:Debian修改03.png

2026-02-08T10:47:38Z

Air：

Debian修改03

File:Debian修改02.png

2026-02-08T10:47:04Z

Air：

Debian修改02