md5.pw - 用户贡献 [zh]

如何避免 Docker 端口意外暴露

2026-04-12T15:43:28Z

ZhiChao：

== 前言 ==
刚接触 Docker 或者平常只使用 1Panel 这类面板的小白用户，最常遇到的问题应该就是明明 UFW 里没开放端口，但公网却可以直接通过端口访问容器。

以 1Panel 为例，如果你在应用商店安装应用时，勾选了“端口外部访问”，此时的容器就会监听 <code>0.0.0.0</code>
[[File:Bwh-docker-port-1.webp|center]]
无论你有没有在 UFW 中开放这个端口，它都已经暴露到了公网。
[[File:Bwh-docker-port-2.webp|center]]
这个“陈年老坑”的原理很简单，因为 Docker 会直接修改 Linux 的 <code>iptables</code> 规则，而这些规则的优先级高于 UFW，并且在 UFW 中也不会显示 Docker 添加的规则。

要想解决这个问题并不难，下面介绍一下最常见的几种解决方法。

== 解决方法 ==

=== 禁用 iptables（不推荐） ===
既然 Docker 会直接修改 iptables 绕过 UFW ，那直接禁用掉 iptables 自动配置，不就轻松秒杀了吗？

在 <code>/etc/docker/daemon.json</code> 中添加：<code>{"iptables": false}</code>
[[File:Bwh-docker-port-3.webp|center]]
相信你看到过网上许多的“庸医”教程就是这么教的，虽然说能够解决端口意外暴露的问题，但禁用 iptables 自动配置的同时还可能导致容器无法访问外部网络或容器间通信失败。

因此'''非常不推荐'''直接禁用 iptables。

=== 安全组（暂不支持） ===
如果你买的服务器有安全组功能，这个问题解决起来就非常的简单了，只要在后台的安全组中禁用端口，Docker 无论如何也不可能绕过安全组。

但是可惜'''搬瓦工'''暂时还不支持类似安全组的外置防火墙，可以接着看下面的解决方案，通过合理配置 Docker 和 iptables 来解决这个问题。

=== 监听 127.0.0.1（推荐） ===
对于大多数用户，端口映射时监听本地 <code>127.0.0.1:8080:80</code> 是最好的解决方法，对应 1Panel 中就是不勾选“端口外部访问”。

==== Docker ====
<syntaxhighlight lang="sh">
-p 127.0.0.1:8080:80
</syntaxhighlight>

==== Docker Compose ====
<syntaxhighlight lang="yaml">
ports:
- "127.0.0.1:8080:80"
</syntaxhighlight>'''本机'''的其他应用可以正常通过端口访问到容器，而外部访问不了，如果是 Web 应用可以直接用 Nginx 反向代理。

但这个方法也不是完美的，当你想用'''另一台'''服务器反向代理时，监听 <code>127.0.0.1</code> 会导致装有 Nginx 的服务器也访问不到容器。

=== host 模式 ===
直接使用 host 模式也是一个比较常用的解决方案，在 host 模式下，容器不会获得独立的网络命名空间，而是直接共享宿主机的 IP 和端口，自然就可以用 UFW 来控制端口是否开放。

==== Docker ====
<syntaxhighlight lang="sh">
--network
</syntaxhighlight>

==== Docker Compose ====
<syntaxhighlight lang="yaml">
network_mode: "host"
</syntaxhighlight>但'''缺点'''也非常的明显，共享宿主机的网络会导致网络没有隔离、端口冲突等一系列副作用。例如，几个容器的端口都为 80，就没法同时运行了。

=== 虚拟局域网 ===
如果你有用'''另一台'''服务器反代的需求，又不希望使用 host 模式，可以用 ZeroTier、Tailscale 之类的组网工具，给两台服务器组一个虚拟局域网，也是个不错的解决方案。

'''当然如果你两台服务器都是搬瓦工的并且位于同一个机房，可以直接利用 Private Network 开启内网，可以省去组建虚拟局域网的步骤'''

可以参考这篇文章 [[搬瓦工进阶教程：利用 Private Network 构建高速内网集群]]

在容器映射端口时，除了映射本机的 <code>127.0.0.0.1:8080:80</code>，再加上一条虚拟局域网的 IP，如 <code>192.168.100.1:8080:80</code>，另一台服务器反代时，填写 <code>192.168.100.1:8080</code> 即可。

==== Docker ====
<syntaxhighlight lang="sh">
-p 127.0.0.1:8080:80 \
-p 192.168.100.1:8080:80
</syntaxhighlight>

==== Docker Compose ====
<syntaxhighlight lang="yaml">
ports:
- "127.0.0.1:8080:80" # 仅本机访问
- "192.168.100.1:8080:80" # 仅通过特定局域网 IP 访问
</syntaxhighlight>

=== ufw-docker（推荐） ===
要是你既不想用组网工具，又不想（或不能）用 host 模式，还想用另一台服务器的 Nginx 来反代容器，有没有'''更完美'''的解决方法呢？

有的，兄弟有的。

ufw-docker 是 GitHub 上开源的一个解决方案，具体原理可以查看仓库的 README，我们这里简单介绍一下如何使用。

==== 手动配置 ====
修改 UFW 的配置文件 <code>/etc/ufw/after.rules</code>，在最后添加上如下规则：<syntaxhighlight lang="text" line="1">
# BEGIN UFW AND DOCKER
*filter
:ufw-user-forward - [0:0]
:ufw-docker-logging-deny - [0:0]
:DOCKER-USER - [0:0]
-A DOCKER-USER -j ufw-user-forward

-A DOCKER-USER -m conntrack --ctstate RELATED,ESTABLISHED -j RETURN
-A DOCKER-USER -m conntrack --ctstate INVALID -j DROP
-A DOCKER-USER -i docker0 -o docker0 -j ACCEPT

-A DOCKER-USER -j RETURN -s 10.0.0.0/8
-A DOCKER-USER -j RETURN -s 172.16.0.0/12
-A DOCKER-USER -j RETURN -s 192.168.0.0/16

-A DOCKER-USER -j ufw-docker-logging-deny -m conntrack --ctstate NEW -d 10.0.0.0/8
-A DOCKER-USER -j ufw-docker-logging-deny -m conntrack --ctstate NEW -d 172.16.0.0/12
-A DOCKER-USER -j ufw-docker-logging-deny -m conntrack --ctstate NEW -d 192.168.0.0/16

-A DOCKER-USER -j RETURN

-A ufw-docker-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW DOCKER BLOCK] "
-A ufw-docker-logging-deny -j DROP

COMMIT
# END UFW AND DOCKER
</syntaxhighlight>接着重启 UFW <code>systemctl restart ufw</code>。

此时即便你的容器监听的是 <code>0.0.0.0</code>，外部也是无法访问的，同时也不会影响 Docker 容器内部网络以及容器之间的通信。<blockquote>⚠️ '''注意：'''如果重启 UFW 仍不生效，可能需要重启服务器。</blockquote>假设现在有一个监听了 <code>0.0.0.0:8080:80</code> 的容器，私有地址为 <code>172.17.0.2</code>，如果要开放端口可以执行以下命令：<blockquote>⚠️ '''注意：'''<code>port</code> 为内部的 80 端口，并非映射的 8080 端口</blockquote>
<syntaxhighlight lang="sh">
ufw route allow proto tcp from any to 172.17.0.2 port 80
</syntaxhighlight>
如果没有填写私有地址 <code>172.17.0.2</code>，则会开放所有内部端口为 80 的容器
<syntaxhighlight lang="sh">
ufw route allow proto tcp from any to any port 80
</syntaxhighlight>
'''如果你有大量容器需要让另一台服务器反代，可以直接对那台服务器的 IP 开放'''
<syntaxhighlight lang="sh">
ufw route allow proto tcp from x.x.x.x to any
</syntaxhighlight>
想要查看或删除规则，可以执行
<syntaxhighlight lang="sh">
ufw status numbered
</syntaxhighlight>
删除只需要执行 <code>ufw delete</code> + 编号
<syntaxhighlight lang="sh">
ufw delete 2
</syntaxhighlight>

==== 工具 ====
如果觉得以上操作过于繁琐，也没关系，ufw-docker 还提供了'''工具'''简化所有操作
<syntaxhighlight lang="sh">
wget -O /usr/local/bin/ufw-docker \
<nowiki>https://github.com/chaifeng/ufw-docker/raw/master/ufw-docker</nowiki>
chmod +x /usr/local/bin/ufw-docker
</syntaxhighlight>
使用以下命令可以一键修改 UFW 的 <code>after.rules</code> 文件
<syntaxhighlight lang="sh">
ufw-docker install
</syntaxhighlight>
具体的操作可以通过 <code>ufw-docker help</code> 查看，这里就不过多介绍了。
<syntaxhighlight lang="sh">
ufw-docker allow mysql 3306/tcp
</syntaxhighlight>
<syntaxhighlight lang="sh">
ufw-docker delete allow mysql 3306/tcp
</syntaxhighlight>

[[Category:500 常见应用指南 — Application Guides]]

如何避免 Docker 端口意外暴露

2026-04-12T15:42:07Z

ZhiChao：

== 前言 ==
刚接触 Docker 或者平常只使用 1Panel 这类面板的小白用户，最常遇到的问题应该就是明明 UFW 里没开放端口，但公网却可以直接通过端口访问容器。

以 1Panel 为例，如果你在应用商店安装应用时，勾选了“端口外部访问”，此时的容器就会监听 <code>0.0.0.0</code>
[[File:Bwh-docker-port-1.webp|center]]
无论你有没有在 UFW 中开放这个端口，它都已经暴露到了公网。
[[File:Bwh-docker-port-2.webp|center]]
这个“陈年老坑”的原理很简单，因为 Docker 会直接修改 Linux 的 <code>iptables</code> 规则，而这些规则的优先级高于 UFW，并且在 UFW 中也不会显示 Docker 添加的规则。

要想解决这个问题并不难，下面介绍一下最常见的几种解决方法。

== 解决方法 ==

=== 禁用 iptables（不推荐） ===
既然 Docker 会直接修改 iptables 绕过 UFW ，那直接禁用掉 iptables 自动配置，不就轻松秒杀了吗？

在 <code>/etc/docker/daemon.json</code> 中添加：<code>{"iptables": false}</code>
[[File:Bwh-docker-port-3.webp|center]]
相信你看到过网上许多的“庸医”教程就是这么教的，虽然说能够解决端口意外暴露的问题，但禁用 iptables 自动配置的同时还可能导致容器无法访问外部网络或容器间通信失败。

因此'''非常不推荐'''直接禁用 iptables。

=== 安全组（暂不支持） ===
如果你买的服务器有安全组功能，这个问题解决起来就非常的简单了，只要在后台的安全组中禁用端口，Docker 无论如何也不可能绕过安全组。

但是可惜'''搬瓦工'''暂时还不支持类似安全组的外置防火墙，可以接着看下面的解决方案，通过合理配置 Docker 和 iptables 来解决这个问题。

=== 监听 127.0.0.1（推荐） ===
对于大多数用户，端口映射时监听本地 <code>127.0.0.1:8080:80</code> 是最好的解决方法，对应 1Panel 中就是不勾选“端口外部访问”。

==== Docker ====
<syntaxhighlight lang="sh">
-p 127.0.0.1:8080:80
</syntaxhighlight>

==== Docker Compose ====
<syntaxhighlight lang="yaml">
ports:
- "127.0.0.1:8080:80"
</syntaxhighlight>'''本机'''的其他应用可以正常通过端口访问到容器，而外部访问不了，如果是 Web 应用可以直接用 Nginx 反向代理。

但这个方法也不是完美的，当你想用'''另一台'''服务器反向代理时，监听 <code>127.0.0.1</code> 会导致装有 Nginx 的服务器也访问不到容器。

=== host 模式 ===
直接使用 host 模式也是一个比较常用的解决方案，在 host 模式下，容器不会获得独立的网络命名空间，而是直接共享宿主机的 IP 和端口，自然就可以用 UFW 来控制端口是否开放。

==== Docker ====
<syntaxhighlight lang="sh">
--network
</syntaxhighlight>

==== Docker Compose ====
<syntaxhighlight lang="yaml">
network_mode: "host"
</syntaxhighlight>但'''缺点'''也非常的明显，共享宿主机的网络会导致网络没有隔离、端口冲突等一系列副作用。例如，几个容器的端口都为 80，就没法同时运行了。

=== 虚拟局域网 ===
如果你有用'''另一台'''服务器反代的需求，又不希望使用 host 模式，可以用 ZeroTier、Tailscale 之类的组网工具，给两台服务器组一个虚拟局域网，也是个不错的解决方案。

'''当然如果你两台服务器都是搬瓦工的并且位于同一个机房，可以直接利用 Private Network 开启内网，可以省去组建虚拟局域网的步骤'''

可以参考这篇文章 [[搬瓦工进阶教程：利用 Private Network 构建高速内网集群]]

在容器映射端口时，除了映射本机的 <code>127.0.0.0.1:8080:80</code>，再加上一条虚拟局域网的 IP，如 <code>192.168.100.1:8080:80</code>，另一台服务器反代时，填写 <code>192.168.100.1:8080</code> 即可。

==== Docker ====
<syntaxhighlight lang="sh">
-p 127.0.0.1:8080:80 \
-p 192.168.100.1:8080:80
</syntaxhighlight>

==== Docker Compose ====
<syntaxhighlight lang="yaml">
ports:
- "127.0.0.1:8080:80" # 仅本机访问
- "192.168.100.1:8080:80" # 仅通过特定局域网 IP 访问
</syntaxhighlight>

=== ufw-docker（推荐） ===
要是你既不想用组网工具，又不想（或不能）用 host 模式，还想用另一台服务器的 Nginx 来反代容器，有没有'''更完美'''的解决方法呢？

有的，兄弟有的。

ufw-docker 是 GitHub 上开源的一个解决方案，具体原理可以查看仓库的 README，我们这里简单介绍一下如何使用。

==== 手动配置 ====
修改 UFW 的配置文件 <code>/etc/ufw/after.rules</code>，在最后添加上如下规则：<syntaxhighlight lang="text" line="1">
# BEGIN UFW AND DOCKER
*filter
:ufw-user-forward - [0:0]
:ufw-docker-logging-deny - [0:0]
:DOCKER-USER - [0:0]
-A DOCKER-USER -j ufw-user-forward

-A DOCKER-USER -m conntrack --ctstate RELATED,ESTABLISHED -j RETURN
-A DOCKER-USER -m conntrack --ctstate INVALID -j DROP
-A DOCKER-USER -i docker0 -o docker0 -j ACCEPT

-A DOCKER-USER -j RETURN -s 10.0.0.0/8
-A DOCKER-USER -j RETURN -s 172.16.0.0/12
-A DOCKER-USER -j RETURN -s 192.168.0.0/16

-A DOCKER-USER -j ufw-docker-logging-deny -m conntrack --ctstate NEW -d 10.0.0.0/8
-A DOCKER-USER -j ufw-docker-logging-deny -m conntrack --ctstate NEW -d 172.16.0.0/12
-A DOCKER-USER -j ufw-docker-logging-deny -m conntrack --ctstate NEW -d 192.168.0.0/16

-A DOCKER-USER -j RETURN

-A ufw-docker-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW DOCKER BLOCK] "
-A ufw-docker-logging-deny -j DROP

COMMIT
# END UFW AND DOCKER
</syntaxhighlight>接着重启 UFW <code>systemctl restart ufw</code>。

此时即便你的容器监听的是 <code>0.0.0.0</code>，外部也是无法访问的，同时也不会影响 Docker 容器内部网络以及容器之间的通信。<blockquote>⚠️ '''注意：'''如果重启 UFW 仍不生效，可能需要重启服务器。</blockquote>假设现在有一个监听了 <code>0.0.0.0:8080:80</code> 的容器，私有地址为 <code>172.17.0.2</code>，如果要开放端口可以执行以下命令：<blockquote>⚠️ '''注意：'''<code>port</code> 为内部的 80 端口，并非映射的 8080 端口</blockquote>
<syntaxhighlight lang="sh">
ufw route allow proto tcp from any to 172.17.0.2 port 80
</syntaxhighlight>
如果没有填写私有地址 <code>172.17.0.2</code>，则会开放所有内部端口为 80 的容器
<syntaxhighlight lang="sh">
ufw route allow proto tcp from any to any port 80
</syntaxhighlight>
'''如果你有大量容器需要让另一台服务器反代，可以直接对那台服务器的 IP 开放'''
<syntaxhighlight lang="sh">
ufw route allow proto tcp from x.x.x.x to any
</syntaxhighlight>
想要查看或删除规则，可以执行
<syntaxhighlight lang="sh">
ufw status numbered
</syntaxhighlight>
删除只需要执行 <code>ufw delete</code> + 编号
<syntaxhighlight lang="sh">
ufw delete 2
</syntaxhighlight>

==== 工具 ====
如果觉得以上操作过于繁琐，也没关系，ufw-docker 还提供了'''工具'''简化所有操作
<syntaxhighlight lang="sh">
wget -O /usr/local/bin/ufw-docker \
<nowiki>https://github.com/chaifeng/ufw-docker/raw/master/ufw-docker</nowiki>
chmod +x /usr/local/bin/ufw-docker
</syntaxhighlight>
使用以下命令可以一键修改 UFW 的 <code>after.rules</code> 文件
<syntaxhighlight lang="sh">
ufw-docker install
</syntaxhighlight>
具体的操作可以通过 <code>ufw-docker help</code> 查看，这里就不过多介绍了。
<syntaxhighlight lang="sh">
ufw-docker allow mysql 3306/tcp
</syntaxhighlight>
<syntaxhighlight lang="sh">
ufw-docker delete allow mysql 3306/tcp
</syntaxhighlight>

[[index.php?title=Category:500 常见应用指南 — Application Guides]]

如何避免 Docker 端口意外暴露

2026-04-12T15:35:27Z

ZhiChao：创建页面，内容为“== 前言 == 刚接触 Docker 或者平常只使用 1Panel 这类面板的小白用户，最常遇到的问题应该就是明明 UFW 里没开放端口，但公网却可以直接通过端口访问容器。以 1Panel 为例，如果你在应用商店安装应用时，勾选了“端口外部访问”，此时的容器就会监听 <code>0.0.0.0</code> center 无论你有没有在 UFW 中开放这个端口，它都已经暴露到…”

== 前言 ==
刚接触 Docker 或者平常只使用 1Panel 这类面板的小白用户，最常遇到的问题应该就是明明 UFW 里没开放端口，但公网却可以直接通过端口访问容器。

以 1Panel 为例，如果你在应用商店安装应用时，勾选了“端口外部访问”，此时的容器就会监听 <code>0.0.0.0</code>
[[File:Bwh-docker-port-1.webp|center]]
无论你有没有在 UFW 中开放这个端口，它都已经暴露到了公网。
[[File:Bwh-docker-port-2.webp|center]]
这个“陈年老坑”的原理很简单，因为 Docker 会直接修改 Linux 的 <code>iptables</code> 规则，而这些规则的优先级高于 UFW，并且在 UFW 中也不会显示 Docker 添加的规则。

要想解决这个问题并不难，下面介绍一下最常见的几种解决方法。

== 解决方法 ==

=== 禁用 iptables（不推荐） ===
既然 Docker 会直接修改 iptables 绕过 UFW ，那直接禁用掉 iptables 自动配置，不就轻松秒杀了吗？

在 <code>/etc/docker/daemon.json</code> 中添加：<code>{"iptables": false}</code>
[[File:Bwh-docker-port-3.webp|center]]
相信你看到过网上许多的“庸医”教程就是这么教的，虽然说能够解决端口意外暴露的问题，但禁用 iptables 自动配置的同时还可能导致容器无法访问外部网络或容器间通信失败。

因此'''非常不推荐'''直接禁用 iptables。

=== 安全组（暂不支持） ===
如果你买的服务器有安全组功能，这个问题解决起来就非常的简单了，只要在后台的安全组中禁用端口，Docker 无论如何也不可能绕过安全组。

但是可惜'''搬瓦工'''暂时还不支持类似安全组的外置防火墙，可以接着看下面的解决方案，通过合理配置 Docker 和 iptables 来解决这个问题。

=== 监听 127.0.0.1（推荐） ===
对于大多数用户，端口映射时监听本地 <code>127.0.0.1:8080:80</code> 是最好的解决方法，对应 1Panel 中就是不勾选“端口外部访问”。

==== Docker ====
<syntaxhighlight lang="sh" line="1">
-p 127.0.0.1:8080:80
</syntaxhighlight>

==== Docker Compose ====
<syntaxhighlight lang="yaml" line="1">
ports:
- "127.0.0.1:8080:80"
</syntaxhighlight>'''本机'''的其他应用可以正常通过端口访问到容器，而外部访问不了，如果是 Web 应用可以直接用 Nginx 反向代理。

但这个方法也不是完美的，当你想用'''另一台'''服务器反向代理时，监听 <code>127.0.0.1</code> 会导致装有 Nginx 的服务器也访问不到容器。

=== host 模式 ===
直接使用 host 模式也是一个比较常用的解决方案，在 host 模式下，容器不会获得独立的网络命名空间，而是直接共享宿主机的 IP 和端口，自然就可以用 UFW 来控制端口是否开放。

==== Docker ====
<syntaxhighlight lang="sh" line="1">
--network
</syntaxhighlight>

==== Docker Compose ====
<syntaxhighlight lang="yaml" line="1">
network_mode: "host"
</syntaxhighlight>但'''缺点'''也非常的明显，共享宿主机的网络会导致网络没有隔离、端口冲突等一系列副作用。例如，几个容器的端口都为 80，就没法同时运行了。

=== 虚拟局域网 ===
如果你有用'''另一台'''服务器反代的需求，又不希望使用 host 模式，可以用 ZeroTier、Tailscale 之类的组网工具，给两台服务器组一个虚拟局域网，也是个不错的解决方案。

'''当然如果你两台服务器都是搬瓦工的并且位于同一个机房，可以直接利用 Private Network 开启内网，可以省去组建虚拟局域网的步骤'''

可以参考这篇文章 [[搬瓦工进阶教程：利用 Private Network 构建高速内网集群]]

在容器映射端口时，除了映射本机的 <code>127.0.0.0.1:8080:80</code>，再加上一条虚拟局域网的 IP，如 <code>192.168.100.1:8080:80</code>，另一台服务器反代时，填写 <code>192.168.100.1:8080</code> 即可。

==== Docker ====
<syntaxhighlight lang="sh" line="1">
-p 127.0.0.1:8080:80 \
-p 192.168.100.1:8080:80
</syntaxhighlight>

==== Docker Compose ====
<syntaxhighlight lang="yaml" line="1">
ports:
- "127.0.0.1:8080:80" # 仅本机访问
- "192.168.100.1:8080:80" # 仅通过特定局域网 IP 访问
</syntaxhighlight>

=== ufw-docker（推荐） ===
要是你既不想用组网工具，又不想（或不能）用 host 模式，还想用另一台服务器的 Nginx 来反代容器，有没有'''更完美'''的解决方法呢？

有的，兄弟有的。

ufw-docker 是 GitHub 上开源的一个解决方案，具体原理可以查看仓库的 README，我们这里简单介绍一下如何使用。

==== 手动配置 ====
修改 UFW 的配置文件 <code>/etc/ufw/after.rules</code>，在最后添加上如下规则：<syntaxhighlight>
# BEGIN UFW AND DOCKER
*filter
:ufw-user-forward - [0:0]
:ufw-docker-logging-deny - [0:0]
:DOCKER-USER - [0:0]
-A DOCKER-USER -j ufw-user-forward

-A DOCKER-USER -m conntrack --ctstate RELATED,ESTABLISHED -j RETURN
-A DOCKER-USER -m conntrack --ctstate INVALID -j DROP
-A DOCKER-USER -i docker0 -o docker0 -j ACCEPT

-A DOCKER-USER -j RETURN -s 10.0.0.0/8
-A DOCKER-USER -j RETURN -s 172.16.0.0/12
-A DOCKER-USER -j RETURN -s 192.168.0.0/16

-A DOCKER-USER -j ufw-docker-logging-deny -m conntrack --ctstate NEW -d 10.0.0.0/8
-A DOCKER-USER -j ufw-docker-logging-deny -m conntrack --ctstate NEW -d 172.16.0.0/12
-A DOCKER-USER -j ufw-docker-logging-deny -m conntrack --ctstate NEW -d 192.168.0.0/16

-A DOCKER-USER -j RETURN

-A ufw-docker-logging-deny -m limit --limit 3/min --limit-burst 10 -j LOG --log-prefix "[UFW DOCKER BLOCK] "
-A ufw-docker-logging-deny -j DROP

COMMIT
# END UFW AND DOCKER
</syntaxhighlight>接着重启 UFW <code>systemctl restart ufw</code>。

此时即便你的容器监听的是 <code>0.0.0.0</code>，外部也是无法访问的，同时也不会影响 Docker 容器内部网络以及容器之间的通信。<blockquote>⚠️ '''注意：'''如果重启 UFW 仍不生效，可能需要重启服务器。</blockquote>假设现在有一个监听了 <code>0.0.0.0:8080:80</code> 的容器，私有地址为 <code>172.17.0.2</code>，如果要开放端口可以执行以下命令：<blockquote>⚠️ '''注意：'''<code>port</code> 为内部的 80 端口，并非映射的 8080 端口</blockquote>
ufw route allow proto tcp from any to 172.17.0.2 port 80
如果没有填写私有地址 <code>172.17.0.2</code>，则会开放所有内部端口为 80 的容器
ufw route allow proto tcp from any to any port 80
'''如果你有大量容器需要让另一台服务器反代，可以直接对那台服务器的 IP 开放'''
ufw route allow proto tcp from x.x.x.x to any
想要查看或删除规则，可以执行
ufw status numbered
删除只需要执行 <code>ufw delete</code> + 编号
ufw delete 2

==== 工具 ====
如果觉得以上操作过于繁琐，也没关系，ufw-docker 还提供了'''工具'''简化所有操作
wget -O /usr/local/bin/ufw-docker \
<nowiki>https://github.com/chaifeng/ufw-docker/raw/master/ufw-docker</nowiki>
chmod +x /usr/local/bin/ufw-docker
使用以下命令可以一键修改 UFW 的 <code>after.rules</code> 文件
ufw-docker install
具体的操作可以通过 <code>ufw-docker help</code> 查看，这里就不过多介绍了。
ufw-docker allow mysql 3306/tcp

ufw-docker delete allow mysql 3306/tcp

File:Bwh-docker-port-3.webp

2026-04-12T15:28:43Z

ZhiChao：

禁用 iptabls

File:Bwh-docker-port-2.webp

2026-04-12T15:28:07Z

ZhiChao：

nmap 测试

File:Bwh-docker-port-1.webp

2026-04-12T15:27:15Z

ZhiChao：

端口外部访问

Affiliate 项目介绍

2025-11-23T15:46:24Z

ZhiChao：

== 简介 ==
加入推广计划完全是自愿的。当有用户通过你的'''推广链接'''成功下单时，你将获得订单金额 '''22% 的佣金'''。<blockquote>'''搬瓦工的佣金比例是业内最高水平之一。'''</blockquote>更重要的是，这是'''循环佣金'''：当该用户进入下一个计费周期并完成续费，你仍然可以获得续费金额 '''22% 的佣金'''。

== 推广规则 ==
如果你决定参与，为确保能够正常获得佣金，你'''必须遵守'''以下规则：

=== 基本规则 ===

* 推广链接必须由'''真实用户'''在正常浏览你的'''博客、网站'''时点击。
* 可以使用'''短链接'''或'''隐藏链接'''的方式推广，但必须保证用户是'''自愿点击'''，而非被误导或混淆。
* 我们可能会检查推广链接的来源情况，以确保符合规定。如果我们无法确认点击来源，可能会'''拒绝'''你的提现请求。

=== 严格禁止 ===
以下行为严格禁止，一经发现将'''永久禁止参与推广计划'''：

* 通过 '''Cookie 填充'''（如隐藏的图片）等方式偷偷加载推广链接。
* 任何'''人为增加'''推广链接访问量的行为（例如互相点击等）
* 在电子邮件、论坛帖子、私信、即时通信软件等'''未经允许'''的沟通中发送推广链接。
* 用推广链接为'''自己、家人'''或'''代替他人'''购买服务。
* 冒充'''搬瓦工官方'''（Bandwagon Host），以任何方式'''假装代表'''搬瓦工官方（Bandwagon Host）进行推广，包括但不限于使用官方 Logo，模仿网站设计等。
* 通过'''返利'''来诱导他人点击你的推广链接。

== 佣金发放 ==

* '''获得佣金'''：用户支付订单后，你将立刻可以在 Affiliate 页面查看到'''待处理佣金'''；如用户购买的服务未发生退款，'''31 天'''后你将可以提取该佣金。
* '''最低提现金额'''：无门槛，'''$0.01''' 起！
* '''提现方式'''：'''PayPal''' 或 '''账户余额'''。
* '''提现时效'''：除'''首次提现'''需人工审核外，后续大部分提现为'''实时'''付款（无需等待付款处理）

[[Category:800 推广与返利专区 — Affiliate Section]]

Affiliate 项目介绍

2025-11-23T15:43:59Z

ZhiChao：创建页面，内容为“== 简介 == 加入推广计划完全是自愿的。当有用户通过你的'''推广链接'''成功下单时，你将获得订单金额 '''22% 的佣金'''。<blockquote>'''搬瓦工的佣金比例是业内最高水平之一。'''</blockquote>更重要的是，这是'''循环佣金'''：当该用户进入下一个计费周期并完成续费，你仍然可以获得续费金额 '''22% 的佣金'''。 == 推广规则 == 如果你决定参与，为确保能够正…”

== 简介 ==
加入推广计划完全是自愿的。当有用户通过你的'''推广链接'''成功下单时，你将获得订单金额 '''22% 的佣金'''。<blockquote>'''搬瓦工的佣金比例是业内最高水平之一。'''</blockquote>更重要的是，这是'''循环佣金'''：当该用户进入下一个计费周期并完成续费，你仍然可以获得续费金额 '''22% 的佣金'''。

== 推广规则 ==
如果你决定参与，为确保能够正常获得佣金，你'''必须遵守'''以下规则：

=== 基本规则 ===

* 推广链接必须由'''真实用户'''在正常浏览你的'''博客、网站'''时点击。
* 可以使用'''短链接'''或'''隐藏链接'''的方式推广，但必须保证用户是'''自愿点击'''，而非被误导或混淆。
* 我们可能会检查推广链接的来源情况，以确保符合规定。如果我们无法确认点击来源，可能会'''拒绝'''你的提现请求。

=== 严格禁止 ===
以下行为严格禁止，一经发现将'''永久禁止参与推广计划'''：

* 通过 '''Cookie 填充'''（如隐藏的图片）等方式偷偷加载推广链接。
* 任何'''人为增加'''推广链接访问量的行为（例如互相点击等）
* 在电子邮件、论坛帖子、私信、即时通信软件等'''未经允许'''的沟通中发送推广链接。
* 用推广链接为'''自己、家人'''或'''代替他人'''购买服务。
* 冒充'''搬瓦工官方'''（Bandwagon Host），以任何方式'''假装代表'''搬瓦工官方（Bandwagon Host）进行推广，包括但不限于使用官方 Logo，模仿网站设计等。
* 通过'''返利'''来诱导他人点击你的推广链接。

== 佣金发放 ==

* '''获得佣金'''：用户支付订单后，你将立刻可以在 Affiliate 页面查看到'''待处理佣金'''；如用户购买的服务未发生退款，'''31 天'''后你将可以提取该佣金。
* '''最低提现金额'''：无门槛，'''$0.01''' 起！
* '''提现方式'''：'''PayPal''' 或 '''账户余额'''。
* '''提现时效'''：除'''首次提现'''需人工审核外，后续大部分提现为'''实时'''付款（无需等待付款处理）

<nowiki>[[Category:800 推广与返利专区 — Affiliate Section]]</nowiki>

Affiliate 链接设置与常见问题

2025-11-20T05:50:50Z

ZhiChao：创建页面，内容为“== 获取链接 == === 常规链接 === 进入 '''Affiliates''' 页面后，你会获得一条类似如下的推广链接： <nowiki>https://bandwagonhost.com/aff.php?aff={AFF_ID}</nowiki> 这个链接会将用户引导到搬瓦工的'''主页'''。 === 产品链接 === 如果你希望精准推广某个具体产品，可以在 URL 中拼接 <code>pid</code> 参数，使链接'''直达产品页面'''： <nowiki>https://bandwagonhost.com/aff.php?aff={AFF_ID}&…”

== 获取链接 ==

=== 常规链接 ===
进入 '''Affiliates''' 页面后，你会获得一条类似如下的推广链接：
<nowiki>https://bandwagonhost.com/aff.php?aff={AFF_ID}</nowiki>
这个链接会将用户引导到搬瓦工的'''主页'''。

=== 产品链接 ===
如果你希望精准推广某个具体产品，可以在 URL 中拼接 <code>pid</code> 参数，使链接'''直达产品页面'''：
<nowiki>https://bandwagonhost.com/aff.php?aff={AFF_ID}&pid={PID}</nowiki>
对于产品的 PID，有两种方式可以获取：

'''方式一：''' 将鼠标悬停在页面上的 '''“Order”''' 按钮，浏览器左下角会显示对应链接，从中可以找到 <code>pid</code>
[[File:Bwh-affiliate-link-1.png|border|center|1000x1000px]]
'''方式二：''' 使用 '''F12''' 打开浏览器开发者工具，定位到 “Order” 按钮的 <code>a</code> 标签，在 <code>href</code> 属性中找到包含的 <code>pid</code>
[[File:Bwh-affiliate-link-2.png|center|1000x1000px]]
以图示套餐为例，其 <code>pid</code> 为 '''87'''，因此完整的推广链接为：
<nowiki>https://bandwagonhost.com/aff.php?aff={AFF_ID}&pid=87</nowiki>

=== 产品组链接 ===
除了单一产品以外，还可以通过在 URL 中拼接 <code>gid</code> 的方式来'''直达'''某个产品组：
<nowiki>https://bandwagonhost.com/aff.php?aff={AFF_ID}&gid={GID}</nowiki>
目前搬瓦工只有一个产品组，因此可以直接将 <code>gid</code> 设置为 1，即可展示所有的产品：
<nowiki>https://bandwagonhost.com/aff.php?aff={AFF_ID}&gid=1</nowiki>

=== 注册链接 ===
对于推广新用户，也可以直接在 URL 中拼接 <code>register=true</code> 直接将链接引导到'''注册页面'''：
<nowiki>https://bandwagonhost.com/aff.php?aff={AFF_ID}&register=true</nowiki>

== 常见问题 ==

=== 无法访问 bandwagonhost.com ===
针对中国用户访问受限的问题，可以将 <code>bandwagonhost.com</code> 替换为任一官方镜像站（例如 <code>bwh81.net</code>），'''不会影响推广效果'''。
<nowiki>https://bandwagonhost.com/aff.php?aff={AFF_ID}</nowiki>
等效于：
<nowiki>https://bwh81.net/aff.php?aff={AFF_ID}</nowiki>

=== 无法跳转具体产品链接 ===
如果拼接 <code>pid</code> 时，输入了一个不存在的 <code>pid</code> 的，那么将无法找到具体的产品，页面会引导到 <code><nowiki>https://bandwagonhost.com/cart.php</nowiki></code>，展示所有的产品。

因此，在推广某一具体产品时，请务必确认 <code>pid</code> 是否正确。

=== 未追踪到订单 ===
搬瓦工 Affiliate 通过 Cookie 中的 <code>WHMCSAffiliateID</code> 追踪订单。如果用户下单前发生以下情况，可能导致订单未被追踪：

* 清理浏览器缓存，导致 Cookie 被删除
* 开启了广告屏蔽插件，屏蔽了该 Cookie 写入
* 点击过其他 Affiliate 成员的推广链接，Cookie 被覆盖为他人的 Affiliate ID

File:Bwh-affiliate-link-2.png

2025-11-20T05:47:52Z

ZhiChao：

AFF 链接 2

File:Bwh-affiliate-link-1.png

2025-11-20T05:47:29Z

ZhiChao：

AFF 链接 1

Affiliate 提现

2025-11-20T03:28:35Z

ZhiChao：

== 概念 ==
在开始提现之前，需要先简单了解几个与佣金相关的基础概念：<blockquote>⚠️ 温馨提示：以下金额示例 '''仅用于流程说明'''，请以实际金额为准。</blockquote>

* '''佣金比例（Commission percentage）'''：搬瓦工的佣金比例为 '''22%'''。例如，当用户购买了价值 $'''100 USD''' 的服务，你将获得 $'''22 USD''' 的佣金。
* '''待处理佣金（Pending commission）'''：订单支付后的 31 天内，佣金处于'''待处理'''状态，此阶段'''无法提现'''。
* '''目前可提现（Currently available for withdrawal）'''：如果用户在 31 天内未取消服务，'''待处理佣金'''将转换为'''可提现佣金'''，此时可以发起提现。
* '''支付总额（Total amount paid）'''：已经成功提现到账的佣金总和。

== 提现 ==
当你作为推广新人完成第一笔推广后，进入 '''Affiliates''' 页面会看到类似下图的界面：此时由于佣金仍处于'''待处理状态'''，页面上不会显示提现按钮，需要耐心等待 31 天。
[[File:Bwh-affiliate-withdrawal-1.png|center|1000x1000px]]
翻译可以参照下表：
{| class="wikitable"
|+Affiliate
!'''项目'''
!'''数额'''
|-
|佣金比例
|22%
|-
|待处理佣金
|$22.00 USD
|-
|目前可提现
|$0.00 USD
|-
|支付总额
|$0.00 USD
|}
在此期间，只要用户未取消服务，佣金就会自动转换为'''可提现佣金'''。

待处理佣金转为可提现佣金后，页面会显示一个绿色提示框，通知你可以发起提现操作。
[[File:Bwh-affiliate-withdrawal-2.png|center]]
你可以选择以下两种方式提现：

* '''提现到 PayPal（To Paypal account）'''：填写你的 PayPal 邮箱即可（对于中国推广者，国区 PayPal 也是可以接收佣金的）
* '''提现到账户余额（To account balance, to be used to pay for services）'''：无需填写信息，佣金会直接进入账户余额，可用于购买或续费服务。

在佣金满足搬瓦工'''推广要求'''的情况下，大多数提现申请都会由系统自动处理，通常几分钟即可到账。

如果是'''首次提现'''或使用了'''新的 PayPal 地址'''，系统可能需要人工审核，处理时间约 '''3 个工作日'''。在此期间，你可能需要通过工单提供推广渠道信息（如网站、博客等）

Affiliate 提现

2025-11-20T03:27:17Z

ZhiChao：创建页面，内容为“ == 概念 == 在开始提现之前，需要先简单了解几个与佣金相关的基础概念：<blockquote>⚠ 温馨提示：以下金额示例 '''仅用于流程说明'''，请以实际金额为准。</blockquote> * '''佣金比例（Commission percentage）'''：搬瓦工的佣金比例为 '''22%'''。例如，当用户购买了价值 $'''100 USD''' 的服务，你将获得 $'''22 USD''' 的佣金。 * '''待处理佣金（Pending commission）'''：订…”

== 概念 ==
在开始提现之前，需要先简单了解几个与佣金相关的基础概念：<blockquote>⚠ 温馨提示：以下金额示例 '''仅用于流程说明'''，请以实际金额为准。</blockquote>

* '''佣金比例（Commission percentage）'''：搬瓦工的佣金比例为 '''22%'''。例如，当用户购买了价值 $'''100 USD''' 的服务，你将获得 $'''22 USD''' 的佣金。
* '''待处理佣金（Pending commission）'''：订单支付后的 31 天内，佣金处于'''待处理'''状态，此阶段'''无法提现'''。
* '''目前可提现（Currently available for withdrawal）'''：如果用户在 31 天内未取消服务，'''待处理佣金'''将转换为'''可提现佣金'''，此时可以发起提现。
* '''支付总额（Total amount paid）'''：已经成功提现到账的佣金总和。

== 提现 ==
当你作为推广新人完成第一笔推广后，进入 '''Affiliates''' 页面会看到类似下图的界面：此时由于佣金仍处于'''待处理状态'''，页面上不会显示提现按钮，需要耐心等待 31 天。
[[File:Bwh-affiliate-withdrawal-1.png|center|1000x1000px]]
翻译可以参照下表：
{| class="wikitable"
|+Affiliate
!'''项目'''
!'''数额'''
|-
|佣金比例
|22%
|-
|待处理佣金
|$22.00 USD
|-
|目前可提现
|$0.00 USD
|-
|支付总额
|$0.00 USD
|}
在此期间，只要用户未取消服务，佣金就会自动转换为'''可提现佣金'''。

待处理佣金转为可提现佣金后，页面会显示一个绿色提示框，通知你可以发起提现操作。
[[File:Bwh-affiliate-withdrawal-2.png|center]]
你可以选择以下两种方式提现：

* '''提现到 PayPal（To Paypal account）'''：填写你的 PayPal 邮箱即可（对于中国推广者，国区 PayPal 也是可以接收佣金的）
* '''提现到账户余额（To account balance, to be used to pay for services）'''：无需填写信息，佣金会直接进入账户余额，可用于购买或续费服务。

在佣金满足搬瓦工'''推广要求'''的情况下，大多数提现申请都会由系统自动处理，通常几分钟即可到账。

如果是'''首次提现'''或使用了'''新的 PayPal 地址'''，系统可能需要人工审核，处理时间约 '''3 个工作日'''。在此期间，你可能需要通过工单提供推广渠道信息（如网站、博客等）

File:Bwh-affiliate-withdrawal-2.png

2025-11-20T03:24:54Z

ZhiChao：

AFF 提现 - 步骤2

File:Bwh-affiliate-withdrawal-1.png

2025-11-20T03:22:32Z

ZhiChao：

AFF 提现 - 步骤1

快照、备份与恢复

2025-11-18T07:22:39Z

ZhiChao：

== 介绍 ==
搬瓦工的 KiwiVM 面板提供了快照与备份功能，其创建与存储'''完全免费'''，无需支付任何额外费用。

在面板中，你会看到 '''快照 Snapshots''' 和 '''备份 Backups''' 两个选项。它们的共同点都是用于数据备份，但有所区别：快照需要手动创建，而备份则会自动生成。

=== 快照 Snapshots ===

* 快照是虚拟机的'''完整副本'''，可用于备份，需要'''手动创建'''。
** 创建快照时，会保存当前的'''所有状态'''，包括系统、设置、文件以及安装的应用。
** 恢复快照时，会'''原封不动'''的将当前系统恢复到创建时的状态。
* 快照默认保存 '''30 天'''，超过时间会自动删除。
* 设置为置顶 '''set sticky''' 的快照不受时间限制，可'''长期保存'''，每台虚拟机最多可设置 '''2 个置顶快照'''。
* 若需要长期保存更多快照，可通过'''下载链接'''将其保存到本地，恢复时再从本地上传导入。
* 快照不仅可以导入当前虚拟机，还可以通过 '''export''' 功能导出到其他虚拟机，作为数据迁移的一种方式。

=== 备份 Backups ===

* 备份功能是 '''KiwiVM 面板自动进行'''的，频率大约在一周一次，无法控制具体备份的时间和频率。
* 备份时不会打断系统的运行，无需关机或重启。
* 备份会保留 3 ~ 4 份左右，当你想要恢复时，可以将其导入到快照中。

== 快照 Snapshots ==

=== 创建快照 ===
进入 KiwiVM 面板，在侧边栏中选择 '''“Snapshots”''' 选项卡，然后在右侧点击 '''“Create new snapshot”'''，即可进入快照创建页面。<blockquote>⚠️ '''注意：''' 创建快照的过程中，虚拟机会'''自动重启'''！</blockquote>
[[File:Bwh-create-snapshots-1.png|center|1000x1000px]]
接下来，为快照添加一个简短的描述。建议用 “日期 + 操作” 来命名，方便后续识别和恢复，例如，<code>2025-11-06_nginx_installed</code>

最后，点击右侧的 '''“Create new snapshot”''' 按钮，即可开始创建。
[[File:Bwh-create-snapshots-2.png|center|1000x1000px]]
根据虚拟机硬盘容量的不同，快照创建可能需要几分钟到一小时不等。过程中虚拟机会'''自动重启'''。
[[File:Bwh-create-snapshots-3.png|center|1000x1000px]]
当快照创建完成后，系统会自动向你的搬瓦工绑定的邮箱发送'''通知邮件'''。
[[File:Bwh-create-snapshots-4.png|center]]

=== 恢复快照 ===
在恢复快照之前，虚拟机必须处于'''关机'''状态。

进入 KiwiVM 面板，在侧边栏中选择 '''“Main controls”''' 选项卡，然后在 “Actions” 区域点击 '''“Stop”''' 按钮关闭虚拟机。
[[File:Bwh-restore-snapshots-1.png|center|thumb|1000x1000px]]
关闭后，返回 '''“Snapshots”''' 选项卡，即可看到之前创建的快照。点击对应快照右侧的 '''“restore”''' 按钮，进入快照恢复流程。<blockquote>⚠️ '''注意：''' 恢复快照后，虚拟机将回到快照创建时的状态。自那之后的所有更改都将被'''完全覆盖并丢失'''。</blockquote>
[[File:Bwh-restore-snapshots-2.png|center|thumb|1000x1000px]]
确认无误后，点击下方的 '''“I agree with full data overwrite, restore snapshot”''' 按钮，系统会开始执行恢复操作。
[[File:Bwh-restore-snapshots-3.png|border|center|1000x1000px]]

=== 保存快照 ===
默认情况下，创建的快照会在 '''30 天后自动删除'''。

如果希望长期保留某个快照，可以点击 '''“set sticky”''' 将其设置为'''置顶'''，置顶快照不会过期。每台虚拟机最多可置顶 '''2 个快照'''。
[[File:Bwh-sticky-snapshots.png|center|thumb|1000x1000px]]
若需要长期保留的快照超过 2 个，可以将其余快照'''下载到本地'''。

在页面下方找到 '''“HTTP Download link”''' 或 '''“HTTPS Download link”'''，点击后方的 '''“Copy”''' 按钮复制下载链接，然后使用下载器将快照文件保存到本地。
[[File:Bwh-download-snapshots.png|center|1000x1000px]]

=== 导出快照 ===
除了在当前虚拟机恢复快照外，你还可以点击 '''“export”''' 按钮，将此快照导出。
[[File:Bwh-export-snapshots-1.png|center|1000x1000px]]
导出快照后，你会获取到快照的 <code>VEID</code> 与 <code>TOKEN</code> ，可以轻松实现多台虚拟机之间的'''数据迁移'''。<blockquote>⚠️ '''注意：''' 请勿泄露 <code>VEID</code> 与 <code>TOKEN</code></blockquote>
[[File:Bwh-export-snapshots-2.png|center|1000x1000px]]

=== 导入快照 ===
当你购置了新的搬瓦工虚拟机后，可以直接将旧虚拟机的快照导入实现'''数据迁移'''。

进入 KiwiVM 面板，在侧边栏中选择 '''“Snapshots”''' 选项卡，然后在右侧点击 '''“Import a snapshot”''' 按钮。
[[File:Bwh-import-snapshots-1.png|center|1000x1000px]]
在新页面中，输入之前保存的 <code>VEID</code> 和 <code>TOKEN</code>，然后点击下方的 '''“Import”''' 按钮开始导入。

与创建快照的时候一样，快照导入完成后，系统也会自动向你搬瓦工绑定的邮箱发送'''通知邮件'''。
[[File:Bwh-import-snapshots-2.png|center|1000x1000px]]
导入成功后，即可按照前文“恢复快照”的步骤进行系统恢复。

== 备份 Backups ==
备份功能是'''自动运行'''的，无需手动操作。<blockquote>⚠️ '''注意：'''该功能无法保证备份的可用性或质量，请不要将此服务作为唯一的备份方案使用。使用本服务需自行承担风险。</blockquote>进入 KiwiVM 面板，在侧边栏中选择 '''“Backups”''' 选项卡，即可查看系统近期自动创建的备份。<blockquote>⚠️ '''注意：'''如果你是刚购买的搬瓦工虚拟机，此时备份还未创建，不显示内容是正常的</blockquote>
[[File:Bwh-auto-backups-1.png|center|1000x1000px]]
当需要恢复时，点击下方的 '''“Import to my Snapshots”''' 按钮，将备份导入到快照中，随后即可按照前文介绍的快照恢复方式进行系统恢复。
[[File:Bwh-auto-backups-2.png|center|1000x1000px]]

File:Bwh-auto-backups-2.png

2025-11-18T07:17:35Z

ZhiChao：

自动备份 - 步骤2

File:Bwh-auto-backups-1.png

2025-11-18T07:16:52Z

ZhiChao：

自动备份 - 步骤1

File:Bwh-import-snapshots-2.png

2025-11-18T07:14:51Z

ZhiChao：

导入快照 - 步骤2

File:Bwh-import-snapshots-1.png

2025-11-18T07:14:21Z

ZhiChao：

导入快照 - 步骤1

File:Bwh-export-snapshots-2.png

2025-11-18T07:13:16Z

ZhiChao：

导出快照 - 步骤2

File:Bwh-export-snapshots-1.png

2025-11-18T07:12:07Z

ZhiChao：

导出快照 - 步骤1

File:Bwh-download-snapshots.png

2025-11-18T07:09:43Z

ZhiChao：

下载快照

File:Bwh-sticky-snapshots.png

2025-11-18T07:09:08Z

ZhiChao：

置顶快照

File:Bwh-restore-snapshots-3.png

2025-11-18T07:08:36Z

ZhiChao：

恢复快照 - 步骤3

File:Bwh-restore-snapshots-2.png

2025-11-18T07:07:58Z

ZhiChao：

恢复快照 - 步骤2

File:Bwh-restore-snapshots-1.png

2025-11-18T07:06:51Z

ZhiChao：

恢复快照 - 步骤1

File:Bwh-create-snapshots-4.png

2025-11-18T07:04:56Z

ZhiChao：

创建快照 - 步骤4

File:Bwh-create-snapshots-3.png

2025-11-18T07:04:27Z

ZhiChao：

创建快照 - 步骤3

File:Bwh-create-snapshots-2.png

2025-11-18T07:03:23Z

ZhiChao：

创建快照 - 步骤2

File:Bwh-create-snapshots-1.png

2025-11-18T07:00:11Z

ZhiChao：

创建快照 - 步骤1

启用 KiwiVM 面板 2FA

2025-11-18T04:27:27Z

ZhiChao：

== 双因素验证 '''2FA''' ==
默认情况下，从搬瓦工后台进入 KiwiVM 面板时'''无需额外验证'''。

这意味着，一旦攻击者能够登录搬瓦工后台，就能直接进入 KiwiVM 面板，获得虚拟机的'''全部操作权限'''，甚至可以访问和读取其中的数据。

开启双因素验证 '''2FA''' 后，从搬瓦工后台进入 KiwiVM 面板时，还需要额外输入一组 '''6 位动态验证码'''进行验证。

该动态验证码存储在手机的身份验证器 '''Authenticator App''' 中，每 '''30s''' 自动更新一次。即使验证码被截图或他人看到，'''30 秒后也会立即失效'''，从而有效提升账户安全性。

== 下载身份验证器 ==
要想开启 2FA，需要在你的手机中下载一个身份验证器 App 用于存放动态验证码。

在应用商店中搜索 Authenticator，挑选一个你喜欢的 App 下载，例如 Microsoft Authenticator 或者 Google 身份验证器。
[[File:Bwh-authenticator-app.png|center]]

== 开启 2FA ==
来到 KiwiVM 面板中，在左侧选项卡中找到 '''“Two-factor authentication”'''，然后点击右侧的 '''“I understand, continue...”'''。
[[File:Bwh-2fa-enable-1.png|center|thumb|1000x1000px]]
在新的页面中，你会看到一个二维码和一串密钥 Key，如果你安装的身份验证器 App 支持'''扫码'''，可以直接扫描下方的二维码来添加动态验证码；如果你正在 PC 等不支持扫码的设备上使用身份验证器 App，则需要手动输入这一串 Key 进行添加。
[[File:Bwh-2fa-enable-2.png|center|1000x1000px]]
添加完成后，你会在身份验证器上看到一组 '''6 位动态验证码'''，将其填写到最后的输入框中，点击 '''“Complete setup”'''
[[File:Bwh-2fa-enable-3.png|center|1000x1000px]]
开启 2FA 后，会显示一个备用密钥 '''backup key'''，建议将其将它保存到安全的地方（如抄写在笔记本中），当无法使用手机或身份验证器 App 损坏时，可以用这个备用密钥 '''backup key''' 进入到 KiwiVM 面板中。
[[File:Bwh-2fa-enable-4.png|center|1000x1000px]]

== 验证 2FA ==
为了验证 2FA 是否已成功开启，可重新尝试进入 KiwiVM 面板。与之前不同，这次系统不会直接进入面板，而是会弹出一个验证窗口。

在该窗口中输入身份验证器 App 中显示的 '''6 位动态验证码'''，验证通过后即可正常访问 KiwiVM 面板。
[[File:Bwh-2fa-test.png|center]]
如果你的身份验证器 App 损坏了，无法获取到 '''6 位动态验证码'''，则可以在验证框中直接输入保存的'''备用密钥'''。

== 绑定手机号 ==
如果你是个非常粗心的人，'''强烈建议'''你同时绑定上手机号，即便是'''身份验证器 App''' 与'''备用密钥'''同时丢失了，你也可以通过短信的方式来获取备用密钥。<blockquote>⚠️ '''注意：'''未绑定手机号时，如果'''身份验证器 App''' 与'''备用密钥'''同时丢失，将无法在'''保留数据'''的情况下恢复对该服务的访问。</blockquote>返回 KiwiVM 面板中，在左侧选项卡中找到 '''“Two-factor authentication”'''，然后点击右侧的 '''“Add phone”'''。
[[File:Bwh-2fa-phone-1.png|center|1000x1000px]]
在新的页面中，填写'''备份密钥'''以及'''完整手机号'''（带国际区号），例如国内手机号需要以 <code>+86</code> 开头。
[[File:Bwh-2fa-phone-2.png|center|1000x1000px]]
接着你的手机会收到一条短信验证码，将验证码填写到输入框中，点击 '''“Verify”'''。
[[File:Bwh-2fa-phone-3.png|border|center|1000x1000px]]
最后提示 '''“Success: Phone has been added”''' 就添加成功了。
[[File:Bwh-2fa-phone-4.png|center|1000x1000px]]

== 关闭 2FA ==
如果你不再需要 2FA，可以返回到选项卡中找到 '''“Two-factor authentication”'''，然后点击右侧的 '''“Unlink phone”'''，先将手机号移除。
[[File:Bwh-2fa-disable-1.png|border|center|1000x1000px]]
在下一个页面中点击 '''“I confirm”''' 确认将手机号移除。<blockquote>⚠️ '''注意：'''移除手机号前，请确保'''身份验证器 App''' 能正常工作</blockquote>
[[File:Bwh-2fa-disable-2.png|center|thumb|1000x1000px]]
如果你没有绑定过手机号，则可以直接点击右侧的 '''“Deactivate”'''。
[[File:Bwh-2fa-disable-3.png|center|1000x1000px]]
接着在新页面中，填写 '''6 位动态验证码'''后，点击 '''“Disable”''' 即可将其关闭。
[[File:Bwh-2fa-disable-4.png|center|1000x1000px]]

File:Bwh-2fa-disable-4.png

2025-11-18T04:08:05Z

ZhiChao：

关闭 2FA - 步骤4

File:Bwh-2fa-disable-3.png

2025-11-18T04:07:42Z

ZhiChao：

关闭 2FA - 步骤3

File:Bwh-2fa-disable-2.png

2025-11-18T04:06:51Z

ZhiChao：

关闭 2FA - 步骤2

File:Bwh-2fa-disable-1.png

2025-11-18T04:06:25Z

ZhiChao：

关闭 2FA - 步骤1

File:Bwh-2fa-phone-4.png

2025-11-18T04:05:36Z

ZhiChao：

2FA 绑定手机号 - 步骤4

File:Bwh-2fa-phone-3.png

2025-11-18T04:04:47Z

ZhiChao：

2FA 绑定手机号 - 步骤3

File:Bwh-2fa-phone-2.png

2025-11-18T04:04:17Z

ZhiChao：

2FA 绑定手机号 - 步骤2

File:Bwh-2fa-phone-1.png

2025-11-18T04:03:53Z

ZhiChao：

2FA 绑定手机号 - 步骤1

File:Bwh-2fa-test.png

2025-11-18T04:02:17Z

ZhiChao：

验证 2FA

File:Bwh-2fa-enable-4.png

2025-11-18T03:29:31Z

ZhiChao：

开启 2FA - 步骤4

File:Bwh-2fa-enable-3.png

2025-11-18T03:28:58Z

ZhiChao：

开启 2FA - 步骤3

File:Bwh-2fa-enable-2.png

2025-11-18T03:27:00Z

ZhiChao：

开启 2FA - 步骤2

File:Bwh-2fa-enable-1.png

2025-11-18T03:24:13Z

ZhiChao：

开启 2FA - 步骤1

快照、备份与恢复

2025-11-11T02:51:38Z

ZhiChao：创建页面，内容为“== 介绍 == 搬瓦工的 KiwiVM 面板提供了快照与备份功能，其创建与存储'''完全免费'''，无需支付任何额外费用。在面板中，你会看到 '''快照 Snapshots''' 和 '''备份 Backups''' 两个选项。它们的共同点都是用于数据备份，但有所区别：快照需要手动创建，而备份则会自动生成。 === 快照 Snapshots === * 快照是虚拟机的'''完整副本'''，可用于备份，需要'''手动创…”

== 介绍 ==
搬瓦工的 KiwiVM 面板提供了快照与备份功能，其创建与存储'''完全免费'''，无需支付任何额外费用。

在面板中，你会看到 '''快照 Snapshots''' 和 '''备份 Backups''' 两个选项。它们的共同点都是用于数据备份，但有所区别：快照需要手动创建，而备份则会自动生成。

=== 快照 Snapshots ===

* 快照是虚拟机的'''完整副本'''，可用于备份，需要'''手动创建'''。
** 创建快照时，会保存当前的'''所有状态'''，包括系统、设置、文件以及安装的应用。
** 恢复快照时，会'''原封不动'''的将当前系统恢复到创建时的状态。
* 快照默认保存 '''30 天'''，超过时间会自动删除。
* 设置为置顶 '''set sticky''' 的快照不受时间限制，可'''长期保存'''，每台虚拟机最多可设置 '''2 个置顶快照'''。
* 若需要长期保存更多快照，可通过'''下载链接'''将其保存到本地，恢复时再从本地上传导入。

* 快照不仅可以导入当前虚拟机，还可以通过 '''export''' 功能导出到其他虚拟机，作为数据迁移的一种方式。

=== 备份 Backups ===

* 备份功能是 '''KiwiVM 面板自动进行'''的，频率大约在一周一次，无法控制具体备份的时间和频率。
* 备份时不会打断系统的运行，无需关机或重启。
* 备份会保留 3 份，当你想要恢复时，可以将其导入到快照中。

== 快照 Snapshots ==

=== 创建快照 ===
进入 KiwiVM 面板，在侧边栏中选择 '''“Snapshots”''' 选项卡，然后在右侧点击 '''“Create new snapshot”'''，即可进入快照创建页面。<blockquote>⚠️ '''注意：''' 创建快照的过程中，虚拟机会'''自动重启'''！</blockquote>[图]

接下来，为快照添加一个简短的描述。建议用 “日期 + 操作” 来命名，方便后续识别和恢复，例如，<code>2025-11-06_nginx_installed</code>

[图]

最后，点击右侧的 '''“Create new snapshot”''' 按钮，即可开始创建。

根据虚拟机硬盘容量的不同，快照创建可能需要几分钟到一小时不等。过程中虚拟机会'''自动重启'''。

当快照创建完成后，系统会自动向你的搬瓦工注册邮箱发送'''通知邮件'''。

[图]

=== 恢复快照 ===
在恢复快照之前，虚拟机必须处于'''关机'''状态。

进入 KiwiVM 面板，在侧边栏中选择 '''“Main controls”''' 选项卡，然后在 “Actions” 区域点击 '''“Stop”''' 按钮关闭虚拟机。

[图]

关闭后，返回 '''“Snapshots”''' 选项卡，即可看到之前创建的快照。点击对应快照右侧的 '''“Restore”''' 按钮，进入快照恢复流程。<blockquote>⚠️ '''注意：''' 恢复快照后，虚拟机将回到快照创建时的状态。自那之后的所有更改都将被'''完全覆盖并丢失'''。</blockquote>确认无误后，点击下方的 '''“I agree with full data overwrite, restore snapshot”''' 按钮，系统会开始执行恢复操作。

[图]

=== 保存快照 ===
默认情况下，创建的快照会在 '''30 天后自动删除'''。

如果希望长期保留某个快照，可以点击 '''“set sticky”''' 将其设置为'''置顶'''，置顶快照不会过期。每台虚拟机最多可置顶 '''2 个快照'''。

[图]

若需要长期保留的快照超过 2 个，可以将其余快照'''下载到本地'''。

在页面下方找到 '''“HTTP Download link”''' 或 '''“HTTPS Download link”'''，点击后方的 '''“Copy”''' 按钮复制下载链接，然后使用下载器将快照文件保存到本地。

[图]

=== 导出快照 ===
除了在当前虚拟机恢复快照外，你还可以点击 '''“export”''' 按钮，获取到快照的 <code>VEID</code> 与 <code>TOKEN</code> 将此快照导出。

通过导出快照的方式，可以轻松实现多台虚拟机之间的'''数据迁移'''。<blockquote>⚠️ '''注意：''' 请勿泄露 <code>VEID</code> 与 <code>TOKEN</code></blockquote>[图]

=== 导入快照 ===
当你购置了新的搬瓦工虚拟机后，可以直接将旧虚拟机的快照导入实现'''数据迁移'''。

进入 KiwiVM 面板，在侧边栏中选择 '''“Snapshots”''' 选项卡，然后在右侧点击 '''“Import a snapshot”''' 按钮。

[图]

在新页面中，输入之前保存的 <code>VEID</code> 和 <code>TOKEN</code>，然后点击下方的 '''“Import”''' 按钮开始导入。

与创建快照的时候一样，快照导入完成后，系统也会自动向你的搬瓦工注册邮箱发送'''通知邮件'''。

[图]

导入成功后，即可按照前文“恢复快照”的步骤进行系统恢复。

== 备份 Backups ==
备份功能是'''自动运行'''的，无需手动操作。<blockquote>⚠️ '''注意：'''该功能无法保证备份的可用性或质量，请不要将此服务作为唯一的备份方案使用。使用本服务需自行承担风险。</blockquote>进入 KiwiVM 面板，在侧边栏中选择 '''“Backups”''' 选项卡，即可查看系统近期自动创建的备份。

当需要恢复时，点击下方的 '''“Import to my Snapshots”''' 按钮，将备份导入到快照中，随后即可按照前文介绍的快照恢复方式进行系统恢复。

[图]

启用 KiwiVM 面板 2FA

2025-11-11T02:34:49Z

ZhiChao：创建页面，内容为“== 双因素验证 '''2FA''' == 默认情况下，从搬瓦工后台进入 KiwiVM 面板时'''无需额外验证'''。这意味着，一旦攻击者能够登录搬瓦工后台，就能直接进入 KiwiVM 面板，获得虚拟机的'''全部操作权限'''，甚至可以访问和读取其中的数据。开启双因素验证 '''2FA''' 后，从搬瓦工后台进入 KiwiVM 面板时，还需要额外输入一组 '''6 位动态验证码'''进行验证。该…”

File:Bwh-authenticator-app.png

2025-11-11T02:30:47Z

ZhiChao：

Authenticator App