Network

记录一次 Docker Registry Proxy 的 HTTPS 证书续期排查 背景 我有一套自建的 Docker Registry Proxy 服务 可看这篇博客docker自建镜像加速 | 安落滢 Blog - 技术分享与生活记录，用来代理 Docker Hub、GHCR、Quay、GCR、K8S、MCR、NVCR 等镜像源。 服务整体跑在 Debian 服务器上，Nginx 运行在 Docker 容器中，由于没有 80、443 端口。对外统一暴露 5050 端口。 假设我的域名是 666.xyz ，访问方式大概是： 1 2 3 4 5 6 7 8 https://hubcmd.666.xyz:5050/ https://ghcr.666.xyz:5050/ https://quay.666.xyz:5050/ https://gcr.666.xyz:5050/ https://k8s.666.xyz:5050/ https://mcr.666.xyz:5050/ https://elastic.666.xyz:5050/ https://nvcr.666.xyz:5050/ 这些域名都在 Cloudflare 做 DNS 解析，并且关闭了小黄云代理，直接解析到服务器公网 IP。 这次问题的起因，是我在服务器通过mirror拉取镜像时遇到报错，报错如下。 1 ERROR: failed to solve: python:3.12-slim: failed to resolve source metadata for docker.io/library/python:3.12-slim: failed to do request: Head "https://hub.666.xyz:5050/v2/library/python/manifests/3.12-slim?ns=docker.io": tls: failed to verify certificate: x509: certificate has expired or is not yet valid: current time 2026-06-02T16:35:32+08:00 is after 2026-05-31T06:13:08Z 好家伙，证书过期，这是第一次纯手工部署的项目证书过期，之前偷懒都是用的宝塔、1panel 这些平台托管，想起来了 certbot 什么的可以用，但我还没试过，刚好试试。 ...

这个工具是 boss 推荐的，尽管他想到的使用场景是大炮打蚊子（指 在 windows wsl 安装 mitmproxy 来抓宿主机 web 页面的 restful 接口，而实际 console 的 network 足矣）但是也不去纠正了，我来试试这个工具的真实能力。 GitHub - mitmproxy/mitmproxy: An interactive TLS-capable intercepting HTTP proxy for penetration testers and software developers. · GitHub 看到这个的时候心中暗喜，我以为开箱即用，配个证书就行。 1 brew install mitmproxy 我刚开始以为他只有 cli 工具，没想到还有 web，那真的很方便了。 结果装完就遇到 Apple could not verify mitmproxy is free of malware that may harm your Mac or compromise your privacy. 啊？第一次在 homebrew 装完的东西碰到这个问题。我一时怀疑装错了。 问了下 G 老师，说 app 身上还带着 quarantine 标记，首次运行的时候拦我一下 xattr -dr com.apple.quarantine /opt/homebrew/Caskroom/mitmproxy/*/mitmproxy.app ...

TL;DR 本地网络一切正常，能够正常访问外网/使用 Codex 没有问题 远程主机：只能通过 SSH 连接，无法联网（主要是翻墙不可用，无网的情况比较少） 之前使用 Cursor 时，网络请求走本地，context 在远端，所以迁移到 Codex 和 Claude Code 会有些许不便，今天才有空处理一下 简单来说，直接设置代理即可 本文以 VS Code 为例，因为 VS Code + Remote SSH + Codex 插件组合使用比较方便 最近 GPT-5.4 的好用程度加上 Claude 的获取太难。以半价怒冲了 200 美元的 GPT Pro，确实非常爽。 第一步：在 VS Code 中配置 SSH 反向转发 在本机的 VS Code 上打开命令面板（ Ctrl+Shift+P (Mac 上是 Cmd+Shift+P)） 输入 SSH: Open SSH Configuration File 找到你的配置文件（通常是 ~/.ssh/config 或 C:\Users\你的用户名\.ssh\config） 在你需要配置的服务器上添加如下操作： Clash 默认是 7890，如果使用的是 Clash Verge 默认的是 7897 ...

Info 成为魔法师已经不知道多少年、为了魔法，年少无知的深夜不知多少次抓耳挠腮 某一天、某论坛、刷到一个路由器的推荐：H3CNX30pro，至今为止我都能背出型号，实在是第一个折腾的给到的印象太深。当时给到的教程配套了刷机教程，刷了 immortalwrt，一个裁剪后的 openwrt，虽然功能不多，但是核心功能已有，让我体验了丝滑的上网体验，但是如果家中只有这一台路由器，当魔法失效时，全家的网都会崩溃。 随后在前辈的指引下，他给了我一台 R2S，实在是太美好了，小巧的机身，极致极客的金属质感。起初我在这台完整的 openwrt 作为入网主路由，LAN 口后面带着 H3C 做 AP，但是这依旧没有解决魔法失效全家网络崩溃的问题。于是我找到了旁路由这个方案，随后由于魔法频繁失效、至最近半年无法订阅等各种问题出现，一直没有解决，所以我的 R2S 已经荒废已久。在今晚，他迎来了重生！！！ 环境情况 至今，我家里的网络拓扑如下 这里直接用 iStoreOS 的图表示了 其中 WIFI-路由器是我的主路由，入网用以及担任 zerotier 组网 还有无线 AP 其中一条 LAN 口连接 R2S 的 LAN 口 H3C IP：192.168.6.1 R2S IP：192.168.6.80 以往使用时，我会将需要魔法的设备网关指定 R2S 来使用，而如果我修改了这个配置、他是对我的网络适配器做修改，也就是说当我换一个环境和网络，他连上不同的网络还用这个固定配置，就会失效（这里我没仔细研究，只是觉得不方便）这是我的第一个需求，要能自动从路由器发 IP 的时候就自动分开，但是老版本的 immortalwrt 或者 R2S 的完整 openwrt，DHCP 的 GUI 界面里面都暂时没有这种功能。分配静态地址时只能指定 IP 给指定 MAC 所以也一直搁置着，昨晚我购买了一份更昂贵的套餐后，选择复活 R2S 升级固件 刚开始来到 passwall2的页面，再次尝试订阅和手动导入，都没有成功。于是我推测是 Xray 那些固件太老了。于是我尝试通过页面手动更新，结果直接失败。 那我就想找到新的 passwall2 来手动更新整个服务 Releases · Openwrt-Passwall/openwrt-passwall2 ...

基础概念 CDN（Content Delivery Network / Content Distribution Network） 内容分发网络（或内容交付网络）。它是一个分布在全球各地的服务器网络，把你的网站内容（图片、JS、CSS、视频、HTML 等）缓存到离用户更近的服务器上，从而加快访问速度、减轻源站压力、提高可用性。 源站（Origin Server / 源服务器） 你自己的服务器（你例子里的服务器 A），存放网站原始内容的服务器。CDN 所有内容最初都来自这里。 边缘节点（Edge Node / PoP - Point of Presence） CDN 在全球各地部署的“边缘”服务器。用户访问时，CDN 会把请求调度到离用户最近的边缘节点。如果节点有缓存，就直接返回；没有就去源站拉取（回源）。 初次使用CDN 部署了网站，假设域名为 666.com 客户反馈访问经常断联。那是由于我的服务器在地球的另一端，所以域名直接解析到的是我的服务器IP 由于使用的DNS服务商并没有像CF的小黄云代理我的网络，所以这个做法一来是连接不稳定、二来是暴露服务器公网地址容易被打死，所以在这个情况下，逼我去看了一下CDN 首先看了一下阿里云的（贵，放弃了） 在热佬的社区留言发现了这个平台，Doki CDN 配置过程 环境情况 我已有美国服务器A，域名666.com直接指向服务器A的地址，A部署nginx代理并且部署证书开启TSL 配置CDN 我购买了一个套餐，选择了我要加速的域名 平台会给到我一个用来CNAME指向的域名，让我去DNS解析平台配置，而我为了快速上线，这里没有切换主域名的使用，而是选择加速了一个www.666.com DokiDoki CDN 侧完整配置步骤 登录 DokiDoki CDN 控制台（dooki.cloud 后台）： 添加加速域名 去「CDN加速」→ 点击「添加网站」。 加速域名 填：www.666.com（强烈推荐子域名） 源站类型：选「源站 IP」→ 填服务器 A 的 IP（或者选「源站域名」填原来的域名也行）。 回源协议：建议选「协议跟随」或「HTTP」（先用 HTTP 回源最稳，等全通后再改 HTTPS）。 提交，等待审核通过（一般几分钟）。 上传证书（必须做！） 去「证书管理」或「SSL 证书」页面 → 「添加证书」/「上传证书」。 证书名称：随便起个（如 666-letsencrypt）。 证书公钥（PEM）：复制 Let’s Encrypt fullchain.pem（或 crt 文件）全部内容（从 —–BEGIN CERTIFICATE—– 到结束，包含中间证书链）。 私钥（PEM）：复制 privkey.pem（或 .key 文件）全部内容。 保存。 回到刚添加的域名配置里，找到 HTTPS 设置 → 选择刚上传的证书 → 开启 HTTPS。 获取 CNAME 在域名列表里找到 www.666.com，复制它对应的 CNAME 值 填写到DNS解析平台处，我这里www原本有一个默认的 www 的A记录，直接改了就行 Hint ...