Code is cheap, let's talk

万万没想到 6202 年了我还用 crontab + HTTP Header 同步时钟

Thu, 22 Jan 2026 14:30:00 +0800

事情是这样的
#

2026 年 1 月 21 日，目标集群集群告警了。

Prometheus 报错：Warning: Error fetching server time: Detected 38.116000175476074 seconds time difference between your browser and the server. 38 秒，说多不多说少不少，但足够让 Teleport 的安全校验挂掉。

更离谱的是，target02 直接失联了——Teleport 握手失败，根本连不上 SSH。

排查过程
#

第一步：以为是网络问题
#

在 target01 上探测跳板机的连通性：

# TCP 扫描（正常）
for port in 22 80 8888; do nc -zv -w 2 100.64.0.5 $port; done

# UDP 扫描（有猫腻）
nc -uvz -w 2 100.64.0.5 8888  # 显示 success，但收不到回程包

TCP 通，UDP 看起来通但数据包丢了。熟悉的配方，隔离环境的老朋友们都知道这意味着什么。

第二步：抓包确认
#

在跳板机（jump-host）开启抓包，同时从 target01 发送 UDP 包：

# jump-host 执行
sudo tcpdump -i any udp port 8888 -n

# target01 执行
nc -u 100.64.0.5 8888 <<< "test"

结果：跳板机侧完全没有捕获到任何 UDP 包。UDP 在隔离网络层被拦截了。

第三步：检查代理
#

curl -v http://100.64.0.5:8888
# 响应：< Proxy-Agent: gost/2.12.0

8888 端口是 gost 代理，但它主要处理 TCP 隧道。UDP？这儿不接待。

真正的凶手：时钟漂移
#

绕了一圈，问题根源浮出水面——目标节点的时钟已经飞了：

target01：时钟滞后约 38 秒，Prometheus 图表数据断点、查询偏移
target02：时钟偏移更严重，Teleport 安全校验直接 fail

没有 NTP（隔离环境 UDP 114 端口通不过），chrony 也在那儿干瞪眼。

解决方案：HTTP Date Header 手动同步
#

步骤一：禁用失效的 chrony
#

systemctl stop chronyd
systemctl disable chronyd

步骤二：手动对齐时钟
#

跳板机 80 端口的 HTTP 响应头里有个 Date 字段，虽然精度是秒级，但总比没有强：

# 提取 HTTP Header 中的 Date 字段并设置系统时间
HTTP_DATE=$(curl -sI http://100.64.0.5 | grep -i "^Date:" | cut -d" " -f2-)
[ -n "$HTTP_DATE" ] && date -s "$HTTP_DATE"

没错，2026 年了，我还在用 curl + date -s 同步时钟。上次这么干还是在 OpenWrt 上，那已经是十多年前的事了。

步骤三：定时任务持久化
#

在 target01 和 target02 上配置每小时自动同步：

(crontab -l 2>/dev/null; echo '0 * * * * HTTP_DATE=$(curl -sI http://100.64.0.5 | grep -i "^Date:" | cut -d" " -f2-) && [ -n "$HTTP_DATE" ] && date -s "$HTTP_DATE"') | crontab -

教训
#

隔离环境没有 NTP 是常态。UDP 被拦截时，HTTP 是最后的安全通道。
非标端口的陷阱。8888 虽然在 gost 中配置了，但目标客户端没同步配置隧道，直接访问这个 UDP 端口必然失败。
Prometheus 对时间极度敏感。大规模集群里，时间同步的鲁棒性比想象中重要得多。

事后回想这套流程：禁用 chrony → curl HTTP Header → date 设置 → crontab 定时。整个链路充满了"能跑就行"的务实感。

下次再有隔离环境部署，或许该考虑把 HTTP Date 同步做成 systemd timer 服务？

KVM GPU 直通与单节点 K8s 监控落地记录

Thu, 22 Jan 2026 10:00:00 +0800

这是一篇面向实操的记录，按当时的故障路径整理关键修复点、配置片段与验证方式，避免下次重复踩坑。

场景与目标
#

宿主机：GPU 节点，虚拟机：ubuntu_gpu（KVM/libvirt, UEFI/OVMF）
目标：8 卡 H800 + 4 NVSwitch 直通，单节点 K8s + GPU Operator + Prometheus，可采集 DCGM 指标

故障现象与修复路径
#

flowchart TD
  A[VM 启动 + GPU 直通] --> B[黑屏 / 部分 GPU 无法初始化]
  B --> C[切换 OVMF 非 Secure Boot]
  C --> D[扩大 PCI hole64]
  D --> E[NUMA + vCPU 亲和]
  E --> F[8 GPU + NVSwitch 正常]
  F --> G[K8s + GPU Operator + Prometheus]
  G --> H[DCGM 指标验证通过]

1) 黑屏与 PCI 资源不足
#

现象：GPU 直通后 VNC 无画面，驱动报 PCI I/O region invalid
修复：切换 OVMF non-secure，扩大 PCI hole64

关键片段：

 readonly='yes' type='pflash'>/usr/share/edk2/ovmf/OVMF_CODE.cc.fd

   value='-global'/>
   value='q35-pcihost.pci-hole64-size=2048G'/>

2) IP 不通（DHCP 绑定）
#

原因：网卡 MAC 改动导致 DHCP 租约不匹配
修复：恢复旧 MAC，IP 回到 192.168.122.146

# 旧 MAC
52:54:00:a9:a2:11

3) 资源调整（内存 + NUMA）
#

内存调整到 256GB
vCPU 分两组 pin 到对应 NUMA node，GPU 也按 NUMA 归属放置

 unit='KiB'>268435456
 unit='KiB'>268435456

验证方式（GPU / K8s / 监控）
#

GPU：

nvidia-smi -L
nvidia-smi topo -m
nvidia-smi nvlink -s

K8s：

kubectl get nodes -o wide
kubectl get pods -A

Prometheus（DCGM 指标）：

curl http://127.0.0.1:9090/api/v1/query?query=DCGM_FI_DEV_SM_CLOCK

关键配置片段
#

containerd 代理（无外网）
#

# /etc/systemd/system/containerd.service.d/http-proxy.conf
[Service]
Environment="HTTP_PROXY=http://100.64.0.5:8888"
Environment="HTTPS_PROXY=http://100.64.0.5:8888"
Environment="NO_PROXY=127.0.0.1,localhost,10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,100.64.0.0/10"

GPU Operator + Prometheus
#

helm upgrade --install gpu-operator nvidia/gpu-operator \
  -n gpu-operator --create-namespace \
  --set driver.enabled=false --set dcgmExporter.enabled=true

helm upgrade --install kube-prometheus-stack prometheus-community/kube-prometheus-stack \
  -n monitoring --create-namespace

DCGM 指标接入 Prometheus
#

# ServiceMonitor 需要有与 Prometheus release 一致的标签
kubectl -n gpu-operator label servicemonitor nvidia-dcgm-exporter release=kube-prometheus-stack --overwrite

小结（可复用清单）
#

PCIe 资源不足先看 pci-hole64-size，这步最容易被忽略
OVMF Secure Boot 会干扰多卡启动，先用非 Secure Boot 验证
DHCP 租约异常时，先检查 MAC 是否被改过
监控链路：DCGM Exporter 必须匹配 Prometheus 的 release 标签

VPS 迁移与性能压榨手册 (Debian 13 + XanMod + 443 端口复用)

Tue, 20 Jan 2026 10:00:00 +0800

本文档记录了从 DigitalOcean 旧主机 (Ubuntu 20.04) 到新主机 (Debian 13 + XanMod) 的迁移过程及调优细节。

起因是原本 $6/mo 的实例（1GB RAM / 20GB DISK / 1TB BW）资源长期闲置，于是决定顺应“消费降级”的大潮，降配至 $4/mo 方案（512MB RAM / 10GB DISK / 500GB BW），怒省 1/3 的开销，性价比瞬间拉满。

如今博客已托管至“赛博菩萨” Cloudflare Pages，这台 512MB 的小鸡便能卸下重担，转而专职负责备用梯子和吃灰的公众号后台。虽然内存配置直接腰斩，让资源变得捉襟见肘，但在一番极限性能压榨下，这台小机器跑起来依然稳如老狗。

1. 基础环境
#

源主机 (Source): DigitalOcean Ubuntu 20.04 (IP 已隐藏)
新主机 (Target): DigitalOcean Debian 13 Trixie (IP 已隐藏)
Reserved IP: 已挂载至新主机，用于 DNS 解析。
Hostname / PTR: ferstar.org (通过重命名 DigitalOcean Droplet 自动触发 PTR 生成)。

2. 内核与内存优化 (Kernel 6.18+)
#

2.1 升级 XanMod Edge
#

安装具备 BBRv3 和最新调度特性的内核：

wget -qO - https://dl.xanmod.org/archive.key | gpg --dearmor | tee /usr/share/keyrings/xanmod-archive-keyring.gpg > /dev/null
echo 'deb [signed-by=/usr/share/keyrings/xanmod-archive-keyring.gpg] http://deb.xanmod.org releases main' | tee /etc/apt/sources.list.d/xanmod-kernel.list
apt update && apt install linux-xanmod-edge-x64v3 -y

注意：linux-xanmod-edge-x64v3 需要 CPU 支持 x86-64-v3 指令集，若不支持可改用 linux-xanmod-edge-x64v2 或 linux-xanmod-edge-x64。

2.2 内存压榨与持久化 (zswap + MGLRU + KSM)
#

针对 512MB RAM 的极限优化。由于部分内核参数不支持 sysctl 直接持久化，统一通过 crontab 的 @reboot 机制在开机时强制注入：

持久化指令 (crontab -e):

# 开启 MGLRU 所有优化层，显著降低小内存下的 OOM 风险
@reboot echo 7 > /sys/kernel/mm/lru_gen/enabled

# 开启 KSM 内存页合并，减少 Docker 容器间的重复内存占用
@reboot echo 1 > /sys/kernel/mm/ksm/run

# 开启 zswap 收缩器，允许内核更积极地在压缩区与物理 Swap 间平衡数据
@reboot echo Y > /sys/module/zswap/parameters/shrinker_enabled

其他参数:

zswap: 开启内存压缩缓存，当前使用 lzo 算法。
Swap: 1GB 物理文件兜底。

3. 网络架构：443 端口全能复用 (SNI Proxy)
#

利用 Nginx 1.29.4 (Mainline) 的 stream 模块实现基于域名的流量分流：

3.1 Nginx 全局配置 (`/etc/nginx/nginx.conf`)
#

stream {
    map $ssl_preread_server_name $stream_map {
        api.ferstar.org api;   # 微信机器人 -> 转发至本地 8444
        fm.ferstar.org  fm;    # 文件服务器 -> 转发至本地 8445
        default         ssh;   # 非 SSL 或未知域名默认转发至本地 22 (SSH)
    }
    upstream ssh  { server 127.0.0.1:22; }
    upstream api  { server 127.0.0.1:8444; }
    upstream fm   { server 127.0.0.1:8445; }
    
    server {
        listen 443 reuseport;
        proxy_pass $stream_map;
        ssl_preread on;
    }
}

3.2 架构优势
#

极简防火墙: 对外只需暴露一个 443 端口即可承载多种协议（HTTP/SSH/Proxy）。
安全性: 隐藏了 SSH (22) 等敏感端口，有效对抗暴力破解扫描。
协议共存: 真正的协议分流，不影响标准 HTTPS 访问，绕过严苛网络环境。

3.3 异步 IO 优化
#

在 http 块中启用线程池异步 IO，避免大文件读写阻塞主进程：

aio threads;
thread_pool default threads=32 max_queue=65536;
directio 4m;

4. 防火墙配置 (UFW)
#

实施最小化端口开放策略，关闭 22 端口入站（由 443 转发替代）：

ufw reset
ufw default deny incoming
ufw default allow outgoing
ufw allow 80/tcp
ufw allow 443/tcp
ufw allow 443/udp
ufw allow 18443:18445/udp  # 供代理服务使用
ufw enable

5. Let’s Encrypt 泛域名证书管理
#

5.1 DNS 验证配置 (Cloudflare)
#

泛域名证书 (*.ferstar.org) 采用 dns-cloudflare 插件自动续期。

凭证文件: /root/certbot-creds.ini (包含 CF API Token)。
插件安装: apt install python3-certbot-dns-cloudflare -y。

5.2 自动续期逻辑
#

续期配置位于 /etc/letsencrypt/renewal/ferstar.org.conf：

post_hook = systemctl reload nginx && docker restart hysteria hysteria2 tuic-server

6. 应用配置模板
#

6.1 Hysteria v1
#

docker-compose.yml

services:
  hysteria:
    image: tobyxdd/hysteria:v1.3.5
    container_name: hysteria
    logging:
      driver: "json-file"
      options: {max-size: "10m", max-file: "3"}
    restart: unless-stopped
    command: ["-config", "/etc/config.json", "server"]
    volumes:
      - ./config.json:/etc/config.json
      - /etc/letsencrypt:/etc/letsencrypt:ro
    ports: ["18443:443/udp"]
    sysctls: {net.ipv4.tcp_congestion_control: bbr}

config.json

{
  "listen": ":443",
  "cert": "/etc/letsencrypt/live/DOMAIN/fullchain.pem",
  "key": "/etc/letsencrypt/live/DOMAIN/privkey.pem",
  "auth": { "mode": "passwords", "config": ["PASSWORD"] },
  "up_mbps": 1000,
  "down_mbps": 1000
}

6.2 Hysteria v2
#

docker-compose.yml

services:
  hysteria2:
    image: tobyxdd/hysteria:latest
    container_name: hysteria2
    restart: unless-stopped
    command: ["server", "-c", "/etc/hysteria/config.yaml"]
    logging:
      driver: "json-file"
      options: {max-size: "10m", max-file: "3"}
    volumes:
      - ./config.yaml:/etc/hysteria/config.yaml:ro
      - /etc/letsencrypt:/etc/letsencrypt:ro
    ports: ["18445:443/udp"]
    sysctls: {net.ipv4.tcp_congestion_control: bbr}

config.yaml

listen: :443
tls:
  cert: /etc/letsencrypt/live/DOMAIN/fullchain.pem
  key: /etc/letsencrypt/live/DOMAIN/privkey.pem
auth:
  type: password
  password: "PASSWORD"
bandwidth:
  up: 1 gbps
  down: 1 gbps

6.3 TUIC v5
#

docker-compose.yml

services:
  tuic:
    image: ghcr.io/itsusinn/tuic-server:1.4.5
    container_name: tuic-server
    logging:
      driver: "json-file"
      options: {max-size: "10m", max-file: "3"}
    restart: always
    ports: ["18444:443/udp"]
    volumes:
      - ./config.json:/etc/tuic/config.json:ro
      - /etc/letsencrypt:/etc/letsencrypt:ro

config.json

{
    "server": "[::]:443",
    "users": { "UUID": "PASSWORD" },
    "certificate": "/etc/letsencrypt/live/DOMAIN/fullchain.pem",
    "private_key": "/etc/letsencrypt/live/DOMAIN/privkey.pem",
    "alpn": ["h3"],
    "udp_relay_ipv6": true,
    "zero_rtt_handshake": false,
    "dual_stack": true,
    "log_level": "warn"
}

6.4 Filebrowser
#

docker-compose.yml

services:
  filebrowser:
    image: filebrowser/filebrowser:latest
    container_name: filebrowser
    logging:
      driver: "json-file"
      options: {max-size: "10m", max-file: "3"}
    user: 0:0
    ports: ["127.0.0.1:1122:80"]
    volumes:
      - /root/fm/filebrowser/srv:/srv
      - /root/fm/filebrowser/database.db:/database.db
    command: ["--address", "0.0.0.0", "--port", "80", "--database", "/database.db", "--root", "/srv"]
    restart: unless-stopped

AI-First 博客治理记录：SEO、重定向与中英双语落地

Tue, 06 Jan 2026 03:00:00 +0800

这篇更像我的“修房记录”。几小时前，这个站点还只有中文：static/_redirects 里堆着多次迁移留下的规则，热门文章也缺少 description。

我用 Google Search Console (GSC) 先找症结，再动重定向，最后把双语架构和写作规范补齐。AI 在这轮里主要负责“批量脏活”和对照校验，方向和取舍还是我来拍板。

1. GSC 给我的一记闷棍：海外曝光很高，但没人点
#

美国市场：展示量 13,000+，CTR 只有 1.46%
华语市场：CTR 稳定在 6%+

我原本以为“硬核内容会自己传播”，但现实更直接：全中文的页面，对很多海外读者来说就是一道门槛。做双语不是为了显得国际化，而是让搜到的人能读下去。

2. 重定向：最不起眼，但最容易把收录搞崩
#

Farbox -> Bitcron -> Hugo 迁了几次之后，static/_redirects 变得又长又乱。我一开始还想偷懒：把空格换成 -，再把多余的 - 合并掉，应该就差不多了。

然后就踩坑了：Hugo 处理带 & 的文件名时，会生成 google-search-tips--tricks 这种 -- 的 slug。如果脚本把 -- 合并成 -，旧的 Google 结果会直接 404。

最后我的做法是：

同时兼容“单横杠标准版”和“多横杠原始版”（--、--- 等），都精准指向新 slug
把模糊的通配符（比如 /post/*）替换成显式映射，方便后续维护

这轮一口气把 300+ 条规则整理到一个我敢长期用的状态。

3. 双语：我不想要“只有英文摘要”的那种
#

翻译我只设三条硬要求（不满足就不发）：

代码对齐：Shell 指令、Java Hook、内核配置逐字符一致
图表保留：Mermaid 图在英文页面也能正常渲染
细节留存：原文里的坑、取舍、性能数据别被翻成“白开水”

流程上，AI 负责初稿和对照检查，我自己逐段改到读起来顺。首批先把 10+ 篇高流量文章补齐英文。

4. 把规则写下来：AGENTS.md
#

做完这轮我最怕的是“过几个月又忘了自己改过什么”。所以我在仓库里加了 AGENTS.md，把几条底线写死：

双语对称：中文更新，英文必须同步高保真跟进
SEO 公式：description 按 [痛点] + [方案] + [收益] 写
目录约定：content.en/ 的结构和链接规则怎么处理

这样下次不管是我自己回来看，还是让 Agent 继续干活，都能按同一套规矩来。

结语
#

我写博客是为了把“怎么解决问题”留下来；SEO 和双语只是让这些内容更容易被找到、更容易被读完。AI 对我来说更像加速器：它能帮我把脏活做快，但最后的判断和责任，还是得我自己扛。

本文由 ferstar 整理，AI 协助对照与翻译。

基于 Teleport + Tailscale 的 GPU 集群访问控制与审计实战

Sat, 03 Jan 2026 03:58:20 +0800

有几台 DGX H800 在内网，偶尔需要供应商远程调试。目标很明确：

供应商能连上机器干活
全程录屏审计，但别让他知道在录（“静默”）
我们自己人要有特权通道，绕过堡垒机直连

最终方案：Teleport 做堡垒机与审计，Tailscale 负责内网互通与运维绕行通道。下面是踩坑记录和关键配置。

架构速览
#

flowchart LR
  subgraph External[公网用户]
    Vendor[供应商
Web/SSH]
    AppUser[应用访问者
Web]
  end
  subgraph Ops[内部运维]
    Admin[管理员
SSH 直连]
  end
  subgraph Edge[公网接入层]
    Nginx[Nginx 443]
    Teleport[Teleport Proxy 3080]
    FW[DOCKER-USER 防火墙]
    Logs[(会话录屏/日志)]
    ExitNode[Tailscale Exit Node]
  end
  subgraph Intranet[内网 GPU 集群]
    GPU[GPU 节点]
    AppUI[App UI 32000]
  end

  Vendor -- HTTPS/SSH --> Nginx --> FW --> Teleport --> GPU
  AppUser -- HTTPS --> Nginx --> FW --> Teleport --> AppUI
  Admin -- SSH 22 --> TSUser[内部 Tailscale 节点]
  TSUser -- Tailscale 隧道 --> ExitNode --> GPU
  Teleport --> Logs

踩坑 1：端口太多
#

Teleport 默认要开 3022-3080 多个端口，防火墙规则配置很麻烦。启用 Multiplexing 后可单端口搞定：

# teleport.yaml
auth_service:
  proxy_listener_mode: multiplex

原理是 ALPN 自动识别流量类型，HTTPS/SSH/Tunnel 都走 3080。防火墙只管一个口就够了。

踩坑 2：内网节点装 Agent 装不上
#

GPU 节点在隔离内网，装 Teleport Agent 需要走代理。yum/dnf 报证书错误，最后发现要在 repo 里显式配代理：

# /etc/yum.repos.d/teleport.repo
[teleport]
proxy=http://[堡垒机VIP]:8888

踩坑 3：WebSocket 断连
#

Nginx 反代 Teleport Web Terminal，页面能打开但终端立刻断开。查了半天，三个配置缺一不可：

proxy_pass https://127.0.0.1:3080;  # 必须 https
proxy_ssl_verify off;                # 自签名证书
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";

踩坑 4：Docker 端口绕过 iptables
#

这个最坑。Docker 映射的端口会绕过 INPUT 链，直接走 DOCKER-USER。之前写的规则形同虚设，3080 对公网敞开着。

注意：-F 会清空 DOCKER-USER 规则，生产环境请先备份，或改用 -I 插入。

修复版：

iptables -F DOCKER-USER
# 只允许本地和 Tailscale 网段
iptables -A DOCKER-USER -s 127.0.0.1 -p tcp --dport 3080 -j ACCEPT
iptables -A DOCKER-USER -s 100.64.0.0/10 -p tcp --dport 3080 -j ACCEPT
iptables -A DOCKER-USER -p tcp --dport 3080 -j DROP

踩坑 5：Nginx 指向 VPN IP 导致循环依赖
#

早期 Nginx 配的是 Tailscale VPN IP，结果 VPN 一抖，管理页不可用。

改成 127.0.0.1 本地回环，VPN 挂了照样能从公网进管理台。

权限设计
#

角色	登录方式	审计
管理员	SSH 22 端口 + Ed25519 密钥	无
供应商	Web Terminal	全程录屏，自己看不到录像

RBAC 配置要点：给供应商的 restricted-dev 角色剥离 audit 权限，实现"静默审计"。注意：剥离 audit 仅影响录像/日志的可见性，不一定隐藏录制提示，具体以 Teleport 版本与配置为准。

补充两条更实用的限制项：

供应商仅通过 Teleport Web/SSH 访问，不需要装 Tailscale。
供应商角色限制登录账号与可见节点（用标签隔离）。

# 示例：节点打标（供应商名称已脱敏）
labels:
  vendor: vendor-x
  env: prod

# 示例：角色限制（供应商账号与可见节点）
kind: role
spec:
  allow:
    logins: ["vendor-user"]
    node_labels:
      vendor: "vendor-x"
  deny:
    logins: ["root"]

核心配置
#

docker-compose.yml

services:
  teleport:
    ports:
      - '3080:3080'
      - '127.0.0.1:3025:3025'  # 管理 API 只本地

teleport.yaml

proxy_service:
  public_addr: [teleport.example.com:443, 100.64.0.x:3080]

App Access（补充）
#

应用暴露示例

app_service:
  enabled: "yes"
  apps:
  - name: app-ui
    uri: http://10.120.0.0:32000/
    public_addr: app-ui.example.com

代理环境冲突（503）

节点有 HTTP_PROXY 时，Teleport 可能错误走代理访问内网服务，导致 503。给 Systemd 加 NO_PROXY：

# /etc/systemd/system/teleport.service
Environment="NO_PROXY=localhost,127.0.0.1,10.0.0.0/8,100.64.0.0/10"

Nginx 透传 Host 头

多子域访问时必须透传 Host：

proxy_set_header Host $host;

这套下来，供应商走 Web 干活，内部通过 Tailscale 直连。录像审计随时调取，公网侧不暴露集群。

挺好。

NOTE: I am not responsible for any expired content.
Created at: 2026-01-03T03:58:20+08:00
Updated at: 2026-01-03T05:55:29+08:00
Origin issue: https://github.com/ferstar/blog/issues/95

Vibe Coding 实战：当代码不再需要手写

Wed, 31 Dec 2025 21:46:31 +0800

基于 Vibe Coding Skeleton 的工程实践 对齐说明：涉及到具体落地细节时，以本仓库 CLAUDE.md / .pre-commit-config.yaml / ast-grep/ / sgconfig.yml / justfile 为准。

TL;DR：不是“让 AI 写代码”，而是“用工程化让 AI 写对代码”。

一、一个事实
#

1.1 数据冲击
#

某个真实项目（已脱敏），持续迭代约 8 个月，累计 1k+ 次提交。

除了需求拆解、业务梳理、架构调整与最终验收—— 绝大多数代码由 AI 生成，人负责决策与验收。

今天不聊 AI 能不能写代码。聊的是：怎么让 AI 写对代码。

项目概况：

指标	数值（脱敏）
开发周期	约 8 个月
总提交	1k+ commits
活跃天数	200+ 天
活跃日均	~5 commits
Conventional Commits 规范率	>95%

提交类型分布：

类型	占比	说明
feat	≈40%	新功能
fix	≈20%	Bug 修复
refactor	≈20%	重构（含 AI 代码优化）
test	≈5%	测试
其他	其余	chore/docs/perf 等

开发阶段演进（抽象）：

阶段	特征	重点
功能冲刺期	`feat` 占比更高	快速验证主链路 + 质量门禁
稳定迭代期	`fix/refactor` 上升	自动化回归 + 边界/性能验证

1.2 角色转变
#

传统认知 vs 实际情况：

传统认知	实际情况
AI 帮你写一部分代码	AI 生成大部分代码，人负责决策与验收
人 + AI 协作	人指挥，AI 执行，人验收
学会用 AI	学会验 AI、学会喂上下文

新的分工模式：

flowchart TB
    subgraph 人的工作
        A[需求拆解] --> B[业务梳理]
        B --> C[架构决策]
        C --> D[上下文准备]
        D --> E[验证审查]
    end

    subgraph AI的工作
        F[Controller]
        G[Service]
        H[Schema]
        I[Test]
        J[Migration]
        K[Config]
        L[Commit Message]
    end

    D --> F & G & H & I & J & K & L
    F & G & H & I & J & K & L --> E

角色定义：

角色	职责	不可替代性
产品经理	需求拆解、优先级	⭐⭐⭐⭐⭐
架构师	技术选型、模块划分	⭐⭐⭐⭐⭐
QA	验证、边界条件	⭐⭐⭐⭐
~~Coder~~	~~写代码~~	~~AI 替代~~

二、为什么能做到
#

2.1 上下文为王
#

核心公式：

AI 写代码的水平 = 你提供上下文的水平

更完整的版本：

AI 交付质量 = 上下文质量 × 验证自动化 × 任务适配度

没有验证，输出只能算草稿；任务不适配，验证成本会爆炸。

上下文三层模型：

graph TB
    subgraph 上下文金字塔
        P["Project Context
技术栈 / 目录结构 / 命名规范 / 禁令
CLAUDE.md"]
        T["Task Context
需求 / 边界 / 验收标准 / 领域术语
Prompt"]
        S["Session Context
对话历史 / 中间结果
自动累积"]
    end

    P --> T --> S

    style P fill:#4ecdc4,stroke:#333,stroke-width:2px
    style T fill:#f38181
    style S fill:#fce38a

各层级详解：

层级	核心问题	具体内容	载体	投入
Project	这个项目怎么玩？	技术栈、目录约定、命名规范、零容忍规则、常用命令	CLAUDE.md	一次性
Task	这次要做什么？	功能需求、边界条件、不要做什么、相关领域术语	Prompt	每任务
Session	刚才聊了什么？	会话历史、AI 的中间输出、已确认的决策	自动	无

投资回报：

投入产出比：Project >> Task >> Session

Project：8h 投入 → 所有任务受益（复利）
Task：5-10min → 当次任务
Session：0 → 当次对话

结论：Project Context 是"一次投入，持续受益"，复利最高。把精力花在写好 CLAUDE.md 上，是 ROI 最高的投资。

2.2 瓶颈转移
#

开发流程对比：

graph TB
    subgraph 传统开发
        A1[需求] --> A2[设计] --> A3[编码] --> A4[测试] --> A5[部署]
    end
    subgraph AI辅助开发
        B1[需求] --> B2[设计] --> B3[AI生成] --> B4[验证] --> B5[部署]
    end

    style A3 fill:#ff6b6b,stroke:#333,stroke-width:3px
    style B4 fill:#ff6b6b,stroke:#333,stroke-width:3px

我的时间分配：

pie title 时间分配（经验值）
    "需求理解/架构设计" : 20
    "准备上下文" : 15
    "AI 生成(等待)" : 5
    "验证 + 修复" : 40
    "技术债偿还" : 20

关键洞察：

40% 时间在「验」，不是「写」
验证/修复相关的投入往往不低于“写新功能”
这印证了瓶颈从「写」转到「验」

三、怎么做到的
#

3.1 项目级上下文：CLAUDE.md
#

本项目用一个约 300 行的 CLAUDE.md 作为「AI 入职手册」。

注：不同 AI 工具对“上下文文件”的文件名有偏好（例如 CLAUDE.md、.cursorrules、AGENTS.md）。本质都是同一件事：把项目规则写成机器可读的入职手册。

核心结构：

# CLAUDE.md

## Project Overview        # 项目是干什么的
## Technology Stack        # 技术栈：Litestar + PostgreSQL + Redis + OpenDAL + Celery
## Basic Rules             # 基本规则：先激活 venv，用 uv 管理依赖
## Development Commands    # 常用命令：just lint, just test
## Architecture Overview   # 架构：DDD 分层，src/domain/ 下按业务组织
## Coding Style            # 风格：ruff 格式化，150 字符行宽
## Testing Guidelines      # 测试：pytest（fail-fast，warnings-as-errors）
## CLI Commands            # CLI：litestar database upgrade, litestar run

为什么有效：AI 不用猜，直接按规范来。

案例：ast-grep 如何拦截 AI 的坏习惯
#

需求：写一个处理 PDF 临时文件的函数

AI 输出（常见模式）：

import tempfile
from pathlib import Path

def process_pdf(content: bytes) -> str:
    # 使用 delete=False 以便后续处理
    with tempfile.NamedTemporaryFile(suffix=".pdf", delete=False) as tmp:
        tmp_path = Path(tmp.name)
        tmp.write(content)

    try:
        result = parse_pdf(tmp_path)
        return result
    finally:
        tmp_path.unlink(missing_ok=True)  # 手动清理

问题：

delete=False 强迫引入手动清理逻辑，代码更长、维护成本更高
这类清理逻辑一旦遗漏/写错（例如忘记 try/finally），就会引入临时文件泄漏
同类代码越多，review 与一致性成本越高

ast-grep 拦截：

$ git commit -m "feat: add pdf processor"
error[no-tempfile-delete-false]: NamedTemporaryFile with delete=False is forbidden
  --> src/utils/pdf.py:6:10
   |
 6 |     with tempfile.NamedTemporaryFile(suffix=".pdf", delete=False) as tmp:
   |          ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

修复后：

def process_pdf(content: bytes) -> str:
    with tempfile.NamedTemporaryFile(suffix=".pdf") as tmp:  # 默认 delete=True
        tmp_path = Path(tmp.name)
        tmp.write(content)
        tmp.flush()  # 确保写入磁盘

        result = parse_pdf(tmp_path)
        return result
    # 退出 with 块时自动清理，无泄漏风险

关键点：不是靠 AI “自觉遵守” CLAUDE.md，而是靠 ast-grep 强制拦截。AI 可能还是会犯错，但错误代码无法通过 pre-commit 进入代码库。

3.2 自动化验证体系
#

AI 生成的代码必须过质检流水线：门禁不过，就不应该进入主分支（至少先别推送/合入）。

本仓库示例把门禁分布在 pre-commit / commit-msg / pre-push 三个阶段。

验证流水线：

flowchart LR
    A[代码修改] --> B[pre-commit: ruff format]
    B --> C[pre-commit: ruff check]
    C --> D[pre-commit: ast-grep scan]
    D --> E[git commit]
    E --> F[commit-msg: Conventional Commits]
    F --> G[git push]
    G --> H[pre-push: pytest]

    style D fill:#ff6b6b,stroke:#333,stroke-width:2px
    style H fill:#4ecdc4,stroke:#333,stroke-width:2px

pre-commit 核心配置：

Hook（id）	作用	阶段
ruff-format	代码格式化	pre-commit
ruff	静态检查 + 自动修复	pre-commit
ast-grep-lint	项目特定规则	pre-commit
conventional-pre-commit	提交信息规范（Conventional Commits）	commit-msg
pytest	单元测试	pre-push

ast-grep：项目特定的 AI 防护栏
#

AI 不知道项目的特殊约束，但 ast-grep 会自动拦截。

本仓库示例规则（节选）：

规则（ast-grep id）	拦截什么	为什么
no-match-case	`match/case` 语法	Cython 兼容性
no-tempfile-delete-false	`NamedTemporaryFile(delete=False)`	防止临时文件泄漏，减少手写清理逻辑
no-global-src-import-in-cli	`*/cli.py` 全局导入 `src.`	避免启动副作用/循环依赖，CLI 更轻
no-global-src-import-in-tests	测试文件全局导入 `src.*`（常量除外）	提升隔离性，减少副作用
no-local-import-in-production-code	生产代码里的“局部导入”	依赖可见，便于静态检查/审查
no-local-import-stdlib-third-party	函数内导入标准库/三方包	避免隐藏依赖与重复导入

规则定义在 ast-grep/rules/，由 sgconfig.yml 加载，并通过 .pre-commit-config.yaml 在提交前自动执行。

踩坑实录
#

案例：match/case 事件

# AI 生成了 Python 3.10 的 match/case
match value:
    case 1:
        return "one"
    case _:
        return "other"

Cython 编译失败
人工 review 没发现
教训：写了 ast-grep 规则永久拦截

实际效果：AI 生成了 match/case？提交时直接报错，不用等人工 review。

ROI
#

投入	回报
配置 pre-commit（2h）	每次提交自动检查
写 ast-grep 规则（4h）	防止 AI 犯特定错误
维护 CLAUDE.md（持续）	AI 输出质量提升

核心观点：自动化验证是信任 AI 的前提。

3.3 标准化设计
#

标准化 = AI 友好。模式越固定，AI 越准确。

DDD 分层
#

graph TB
    subgraph "src/"
        subgraph "domain/ 业务领域"
            US[users]
            FI[files]
        end

        subgraph "每个领域（固定四件套）"
            C[controller.py
HTTP 端点]
            S[service.py
业务逻辑]
            SC[schema.py
请求/响应 Schema]
            R[repository.py
数据访问]
        end

        DB[db/
models + session]
        UT[utils/
工具函数]
    end

    US --> C & S & SC & R
    FI --> C & S & SC & R
    C --> S --> R --> DB

命名规范
#

类型	后缀	示例
Controller	`*Controller`	`UserController` / `FileController`
Service	`*Service`	`UserService` / `FileService`
Repository	`*Repository`	`UserRepository` / `FileRepository`
Schema	`Request/Response`	`LoginRequest` / `UserResponse` / `FileResponse`
模块	snake_case	`users` / `files`
函数	snake_case	`get_user_by_id`

目录约定（与本仓库一致）
#

src/domain/
  users/
    controller.py
    service.py
    repository.py
    schema.py
  files/
    controller.py
    service.py
    repository.py
    schema.py

3.4 提示词工程
#

分步确认模式
#

我需要开发 [功能]。请按以下步骤：
1. 先读相关代码了解架构
2. 制定实现计划
3. 实现核心功能
4. 写测试
每完成一步暂停等我确认。

为什么有效：复杂任务拆成小步，每步可回退，减少返工。

常用技巧
#

技巧	说明
`@文件路径`	精确引用文件，避免 AI 猜错
`/clear`	清理上下文，保持对话聚焦
`/compact`	压缩历史，释放 token
先要计划	先让 AI 输出实现计划/验收点，再进入编码

注：/clear / /compact 这类命令属于“工具能力”，不同客户端可能不同；核心目的是降噪、聚焦、降低返工。

核心原则
#

flowchart LR
    A[明确具体] --> B[设边界]
    B --> C[分步骤]
    C --> D[验证确认]

    A1["不说「优化一下」
说「这里有 N+1 问题」"] -.-> A
    B1["明确什么要做
什么不要做"] -.-> B
    C1["复杂任务拆开
每步确认"] -.-> C
    D1["重要步骤
要求确认再继续"] -.-> D

四、边界与止损
#

4.1 甜点区 vs 泥潭
#

核心认知：不是「AI 能不能写」—— AI 都能写。是「验证成本高不高」。

flowchart TB
    subgraph 验证成本高
        subgraph Q1["❌ 泥潭区"]
            Q1A["复杂业务"]
            Q1B["性能优化"]
            Q1C["算法设计"]
        end
    end
    subgraph 验证成本低
        subgraph Q3["✅ 甜点区"]
            Q3A["CRUD接口"]
            Q3B["单元测试"]
            Q3C["配置文件"]
            Q3D["数据库迁移"]
        end
    end

    style Q3 fill:#4ecdc4,stroke:#333
    style Q1 fill:#ff6b6b,stroke:#333

判断标准：

任务	AI 能写？	验证成本	结论
CRUD 接口	✅	低（跑测试）	✅ 甜点
单元测试	✅	低（输入输出明确）	✅ 甜点
配置文件	✅	低（格式固定）	✅ 甜点
数据库迁移	✅	低（结构化）	✅ 甜点
复杂业务	✅	高（需领域知识）	⚠️ 谨慎
性能优化	✅	高（需实测）	❌ 泥潭
算法设计	✅	高（需理解）	❌ 泥潭

案例：性能优化的正确姿势（脱敏）
#

案例：N+1 查询优化

问题：测试环境某列表接口响应从百毫秒级飙到秒级。

错误做法 — 让 AI 在缺少数据的情况下“猜”：

我：这个接口太慢了，帮我优化
AI：加预加载 / 加缓存 / 加索引...（缺少证据，很可能无效）

正确做法 — 先把“运行时事实”拿出来：

人：在测试环境执行 EXPLAIN (ANALYZE, BUFFERS)，拿到查询计划
AI（分析型）：根据计划定位瓶颈（例如某子查询导致重复扫描）
人：确认改写思路 + 需要的索引/迁移策略
AI（执行型）：生成代码 + 迁移脚本 + 对应测试
人：跑 `just test` 并做简单压测对比

结果：通常能把“秒级”拉回到“百毫秒级”（具体数字因业务而异）。

关键洞察：

阶段	负责人	为什么
获取运行时证据	人	需要环境访问与判断“该怀疑什么”
分析与归因	AI	有数据就能更高效定位与总结
落地与验证	AI + 人	AI 写代码，人做最终验收

教训：不是“AI 不会优化”，而是“AI 不能替你拿到运行时数据”。

4.2 放弃阈值
#

信号	行动
改 3 次还不对	自己写
解释 > 5 分钟领域知识	自己写
AI 反复犯同样错误	自己写
安全敏感逻辑	自己写 + 仔细审查

核心：设止损线，别在泥潭里死磕。

4.3 AI 常见错误（真实案例）
#

1. 过度简化 — 破坏隐含逻辑
#

# AI "简化"前（正确）
if server_session_id != request.session["id"].encode():

# AI "简化"后（错误）
if server_session_id != request.session["id"]:
# bytes vs str 比较，永远不相等，所有用户被踢出登录

后果：用户认证失败，需回滚

2. 遗漏关键调用 — 上下文不足
#

# AI 生成的代码
async def update_user_email_task(session, repo, user_id: int, email: str):
    await repo.update_email(user_id, email)
    # 忘记 await session.commit() ← 更新不会落库
    return {"status": "success"}

后果：数据库状态未持久化，任务状态丢失

3. 忽略项目约定 — 不知道特殊规则
#

# AI 在 CLI 文件里写了全局导入
from src.domain.users.service import UserService  # ❌ 违反规则

# 应该用局部导入
def create_user():
    from src.domain.users.service import UserService  # ✅

后果：CLI 启动慢，循环依赖风险

应对策略：

错误类型	检测方式	自动化程度
静态问题（语法/风格/禁令）	ruff + ast-grep（pre-commit）	✅ 全自动
行为问题（遗漏调用/边界条件）	pytest（单元/集成）	⚠️ 需要补测试
运行时问题（性能/安全）	运行时数据 + 人工审查	❌ 高成本

原则：能自动拦截的，不靠人工 review。

五、行动清单
#

立即可做（1天内）
#

创建 CLAUDE.md，写清技术栈、架构、规范
固化最小验证闭环（例如 just lint / just test），让“跑一遍验证”成本接近 0
配置 pre-commit hooks（ruff + ast-grep + Conventional Commits 校验 + pre-push pytest）
识别项目中的甜点区任务（CRUD / 测试 / 迁移 / 配置）

中期投入（1周内）
#

写 1-3 条最痛的 ast-grep 规则，拦截项目特定错误（零容忍）
建立提示词模板库
完善测试覆盖率

长期建设
#

持续更新 CLAUDE.md
积累甜点区和泥潭案例
团队分享最佳实践

六、房间里的大象
#

如果你只关心“怎么落地”，建议先看「五、行动清单」和「附录 A：本仓库可复用资产」。

我知道有人听完会想：

“如果代码都 AI 写了，我算什么？”

这个问题值得正面回答。

6.1 你的担忧是合理的
#

担忧	回应
“主要由 AI 生成"是不是 KPI 营销？	是，也不是。Prompt 工程、需求拆解、架构决策、验收验证——这些都是编程，只是换了语言。“主要由 AI 生成"强调的是"不手写代码”，不是"人不参与”。
Junior 怎么练手？	可能更需要通过阅读优秀开源项目、复盘 AI 的错误来反向学习，而不是靠写 CRUD 堆时长。
Review AI 代码很累	对。读别人的代码本来就累，读 AI 的更累——因为它"看起来对"。40% 时间在验，不是吹的。
效率提升 = 裁员信号？	短期是优化人效，长期取决于业务是否扩张。

6.2 几点澄清
#

坏了，我成替身了

换个视角：你不是 AI 的秘书，AI 是你的实习生。

实习生能干活，但你得告诉他干什么
实习生会犯错，你得 Review
实习生干得好，功劳算你的

区别是：这个实习生不睡觉、不抱怨、不要工资，而且你可以同时带 10 个。

门槛降低了吗？

没有。门槛转移了——从"会写代码"转移到"理解系统 + 会验证"。

讽刺的是：AI 时代对工程师的要求更高了，不是更低了。

6.3 最诚实的回答
#

“如果我还没成为架构师，是不是就直接被淘汰了？”

诚实的回答：可能是。

但这不是 AI 带来的新问题——这是软件行业一直存在的问题：

35 岁危机
“写 CRUD 能写一辈子吗”
“不往上走就等着被优化”

AI 只是把这个问题加速暴露了。

6.4 如果你感到焦虑
#

承认焦虑是合理的
但焦虑不解决问题
要么卷（学 Prompt、学架构、往上走）
要么换赛道（AI 不擅长的领域）
要么接受（成为"AI 协作者"，放下对"手写代码"的执念）

今天的分享不是要告诉你"你必须这样做"，而是分享一种可能性。

工具在变，但我们解决问题的核心价值没变。希望大家都能成为那个驾驭 AI 的人，而不是被 AI 驾驭的人。

6.5 认知带宽：那个没人说的瓶颈
#

前面说"40% 时间在验"，但没说清楚：为什么验这么累？

答案是：算力可扩展，认知带宽不可扩展。

维度	AI (硅基)	人 (碳基)
上下文窗口	4K → 1M token	7±2 单位（锁死）
切换成本	毫秒级	分钟级 + 精神力损耗
能源	电（便宜）	多巴胺（不可再生）

后果：

AI 一秒吐出 3000 行代码，你要用 7 个单位的缓存去审
每次被打断（模型报错/追问/工具弹窗），你的"架构思路 KV Cache"就被清空
一天下来，没写几行代码，却比写 1000 行还累——这叫 Decision Fatigue

应对策略：

策略	做法
异步化	任务丢进队列，批处理结果，不要实时盯着 AI 输出
AI 过滤 AI	让另一个模型先做 Review/风险摘要，你只看高风险点
降噪	要求 AI 输出 TL;DR，不看中间思考过程

一句话：效率提升有天花板，天花板就是你的生物学极限。

硅基把 CPU 烧红了，换个散热器就行。碳基把精神力烧干了，那叫 Burnout，重启都难。

附录 A：本仓库可复用资产（落地对照）
#

这套方法论最怕“听懂了，但落不了地”。本仓库把关键资产都固化成了文件与命令：

CLAUDE.md：项目级上下文（技术栈、目录结构、零容忍规则、常用命令）
.pre-commit-config.yaml：提交前质量门禁（ruff/ast-grep/commit-msg 校验等）
sgconfig.yml + ast-grep/rules/：项目特定规则（把“隐含约定”变成“可执行约束”）
justfile：把常用验证命令固化成 just lint / just test
docs/ai-collaboration.md：提示词模板与任务分区（甜点区/谨慎区/止损线）

一个最小闭环（示例）：

source .venv/bin/activate
uv sync --group=dev
just lint
just test

注：如果测试依赖数据库/缓存等外部服务，请按 README.md / CLAUDE.md 完成环境配置后再运行。

附录 B：多模型协作（抽象版）
#

graph TD
    Human((人
Architect + Reviewer))

    subgraph 输入层
        Notes[语音/笔记/需求文档] --> Human
    end

    subgraph 决策层
        Human -->|方案评审/拆解| Planner[LLM
Architecture Review]
    end

    subgraph 执行层
        Planner -->|实现方案| Coder[LLM
Coding + Tests]
        Human -->|Context/CLAUDE.md| Coder
    end

    subgraph 验证层
        Coder --> Gate[ruff + ast-grep + pytest]
        Gate --> Human
    end

核心原则：人是决策节点，AI 是执行层；验证体系是信任的前提。

附录 C：关于本文档（一种自举）
#

本文档由 AI 生成 —— 这本身就验证了文档的核心论点：

代码不用写了，但需求、架构、验证——一个都不能少。

分工：

角色	贡献
人	论点、结构、案例筛选、审校
AI	内容生成、格式排版、润色

用 AI 写「如何用 AI」，是最好的证明。

NOTE: I am not responsible for any expired content.
Created at: 2025-12-31T21:46:31+08:00
Updated at: 2026-01-03T03:58:25+08:00
Origin issue: https://github.com/ferstar/blog/issues/94

多层隧道 MTU 黑洞排查：scp 跑 30KB/s 的玄学

Wed, 31 Dec 2025 12:09:54 +0800

AI 协助编写

问题
#

跨地域算力池部署，Site-A 和 Site-B 之间跑了两层隧道：WireGuard + IPsec。安全合规要求，全站禁 ICMP——ping 和 traceroute 全废。

然后诡异的事情来了：

A → B：50Mbps，跑满，没毛病
B → A：SSH 能连，但 scp 大文件直接掉到 30KB/s

典型的"单行道"症状。链路没断，但某个协议层面的天花板被撞了。

一开始怀疑运营商限速、偷包，甚至想过是不是 QoS 策略在搞鬼。折腾半天，压根没往 MTU 方向想——典型的专家盲区：手里拿着抓包工具，看什么都像协议问题，反而忽略了最基础的链路参数。就像网络高手帮朋友排查问题，tcpdump、wireshark 一顿操作，最后发现是宽带欠费了。

排查：没 ICMP 怎么玩？
#

正常情况用 ping -s -M do 探测路径 MTU。但 ICMP 被封了，收不到任何"包太大"的反馈。

只能靠 TCP 行为指纹 推断。用 iperf3 做对比实验：

1) TCP 默认测试
#

# 接收端
iperf3 -s

# 发送端
iperf3 -c  -t 10

现象：Retr 重传爆炸，带宽锁死在 ~0.4Mbps。

2) UDP 对照
#

iperf3 -c  -u -b 20M -t 10

现象：20Mbps 基本正常，丢包可控。说明链路本身没挂。

3) TCP MSS 步进探测（关键）
#

iperf3 -c  -t 10 -M 1400  # 坍缩，重传爆炸
iperf3 -c  -t 10 -M 1350  # 瞬间恢复 ~49Mbps

破案：典型的 PMTUD 黑洞，在"致盲"环境下触发。

原理：谁在"谋杀"数据包？
#

MSS/MTU 换算
#

TCP MSS = 单个 TCP 段的 payload 上限，受路径 MTU 限制。

IPv4 近似：MSS ≈ MTU - 20(IP) - 20(TCP) - TCP_OPTIONS
以太网 MTU 1500 时，默认 MSS 约 1460

多层隧道（WireGuard + IPsec）下，封装头部持续"吃掉"有效 MTU，默认大 MSS 就变成"超载包"。

为什么变成黑洞？
#

发送方按默认 MSS 发大包
中间节点发现包太大，本该回 ICMP（Fragmentation Needed / Packet Too Big）
但 全站禁 ICMP，这个关键信号被防火墙吃了
发送方收不到通知，误判为"链路丢包"，疯狂重传同样大小的包
吞吐被重传拖死

这就是 MTU 黑洞——包丢了，但没人告诉你为什么。

隧道开销（别迷信固定数字）
#

WireGuard：~60-80 bytes（取决于 IPv4/IPv6、UDP、实现细节）
IPsec ESP：~50-90 bytes（取决于 transport/tunnel 模式、NAT-T、padding、加密套件）

靠谱做法：抓包确认实际封装开销，倒推安全 MTU/MSS。

解决方案
#

A. 根治（理想情况）
#

不是放行 ping，而是只放行 PMTUD 必要的 ICMP：

IPv4：ICMP Type 3 Code 4（Fragmentation Needed）
IPv6：ICMPv6 Type 2（Packet Too Big）

这样 TCP 能自动收敛到正确 MTU，不用硬编码 MSS。

但现实是：这类安全策略往往不归你管，合规要求动不了。往下看。

B. 权宜 1：降隧道 MTU
#

WireGuard/IPsec 嵌套场景，保守降接口 MTU，立刻止血。代价是 payload 利用率略降。

C. 权宜 2：MSS 钳制（我用的方案）
#

既然 ICMP 指望不上，直接在中转网关上暴力改写 SYN 包的 MSS：

#!/bin/bash
set -euo pipefail

# --- 配置 ---
PHY_IF="ens3"
REMOTE_NET="10.0.0.0/24"

# 1. 物理层优化（会增加 CPU 开销，按需开）
ip link set dev "$PHY_IF" mtu 1400
ethtool -K "$PHY_IF" tso off gso off gro off

# 2. MSS 钳制
# 转发流量：1280（保守）
iptables -t mangle -C FORWARD -p tcp -d "$REMOTE_NET" --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1280 2>/dev/null || \
iptables -t mangle -I FORWARD -p tcp -d "$REMOTE_NET" --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1280

# 本地发起：1350（略激进但本案例可用）
iptables -t mangle -C OUTPUT -p tcp -d "$REMOTE_NET" --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1350 2>/dev/null || \
iptables -t mangle -I OUTPUT -p tcp -d "$REMOTE_NET" --tcp-flags SYN,RST SYN -j TCPMSS --set-mss 1350

纯 nftables 环境需要用等价 nft 规则。

验证
#

1) 确认 MSS 被改写
#

tcpdump -ni  -vv 'tcp[tcpflags] & tcp-syn != 0 and host '

2) 确认规则命中
#

iptables -t mangle -vnL FORWARD --line-numbers
iptables -t mangle -vnL OUTPUT  --line-numbers

3) 实测
#

iperf3 或 scp 回归，Retr 显著下降，吞吐恢复。

回滚
#

# 删 mangle 规则（按行号）
iptables -t mangle -D FORWARD <行号>
iptables -t mangle -D OUTPUT <行号>

# 恢复 MTU/offload
ip link set dev  mtu 1500
ethtool -K  tso on gso on gro on

总结
#

MTU 是第一生产力：VPN/Overlay 场景，默认 1500 就是坑
非对称性思维：单向限速通常不是带宽不够，而是包大小不对
宁缺毋滥：MSS 设保守点，牺牲一点载荷效率，换数量级的稳定性提升

在"无声"的网络里排障，理解协议头比会用工具更重要。

NOTE: I am not responsible for any expired content.
Created at: 2025-12-31T12:09:54+08:00
Updated at: 2026-01-03T06:10:01+08:00
Origin issue: https://github.com/ferstar/blog/issues/93

Linux 6.17 网络优化：DualPI2 + BBR 彻底解决 50Mbps 窄带宽 Bufferbloat

Thu, 18 Dec 2025 06:30:04 +0800

背景
#

在一台 50Mbps 带宽的云主机上部署 VPN 中转服务时，遇到了经典的 Bufferbloat（缓冲区膨胀）问题：一旦有大文件下载占满带宽，SSH 延迟从 50ms 飙升到 200ms+，严重影响交互体验。

传统的 fq + bbr 组合在窄带宽场景下效果有限，因为 fq 只做公平队列，无法主动控制排队延迟。

方案：DualPI2 + BBR
#

Linux 6.17 内核引入了 sch_dualpi2 调度器，专为低延迟设计：

调度器	工作方式
`fq`	公平队列，让每个连接平分带宽，但不管排队延迟
`dualpi2`	主动管理排队时间，通过 ECN 标记/丢包强制发送端降速，死守延迟底线

配置步骤
#

1. 内核要求
#

需要 Linux 6.17+ 内核（包含 sch_dualpi2 模块）。

2. sysctl 配置
#

编辑 /etc/sysctl.conf：

# --- 核心调度方案 ---
net.core.default_qdisc = dualpi2
net.ipv4.tcp_congestion_control = bbr

# --- 极致延迟优化 ---
net.ipv4.tcp_ecn = 1              # 必须开启，dualpi2 核心手段
net.ipv4.tcp_fastopen = 3
net.ipv4.tcp_recovery = 1         # RACK 快速修复乱序
net.ipv4.tcp_notsent_lowat = 8192 # 降低 BBR 内核缓冲量

# --- 缓冲区设置（针对 50Mbps，严防膨胀）---
net.core.rmem_max = 4194304
net.core.wmem_max = 4194304
net.ipv4.tcp_rmem = 4096 16384 4194304
net.ipv4.tcp_wmem = 4096 16384 4194304

# --- 稳定性优化 ---
net.core.somaxconn = 2048
net.ipv4.tcp_max_syn_backlog = 2048
net.mptcp.enabled = 1

3. 模块自动加载
#

echo "sch_dualpi2" | sudo tee /etc/modules-load.d/dualpi2.conf

4. 网卡持久化（udev 规则）
#

创建 /etc/udev/rules.d/99-ens3-dualpi2.rules：

ACTION=="add", SUBSYSTEM=="net", NAME=="ens3", RUN+="/sbin/tc qdisc replace dev ens3 root dualpi2"

将 ens3 替换为你的网卡名

5. 应用配置
#

sudo sysctl -p
sudo tc qdisc replace dev ens3 root dualpi2

验证方法
#

检查 dualpi2 状态
#

tc -s qdisc show dev ens3
# 观察 target 值，默认 5ms

压力测试（服务器禁 Ping 方案）
#

传统 ping 在禁 ICMP 的服务器上失效，改用内核 RTT 统计：

# 客户端：打满带宽
iperf3 -c  -t 60

# 服务端：观察内核 RTT
ss -tni
# 关注 rtt:X/Y — X 是平均 RTT，Y 是抖动(mdev)

测试结果
#

在 50Mbps 带宽满载情况下：

指标	结果
满载带宽	50 Mbps（峰值 51.4 Mbps）
满载时 SSH RTT	54.78ms（物理极限 48.33ms）
RTT 抖动	2.08ms ✅
拥塞控制	全连接 BBR 生效
丢包恢复	RACK 快速修复，无拥塞崩溃

满载下载时 SSH 延迟仅高出物理极限 6.4ms，抖动 2ms，Bufferbloat 完全控制。

原理解析
#

DualPI2 在微秒级压制排队延迟，默认 target 5ms
BBR 在毫秒级压制带宽膨胀，周期性探测真实 RTT
ECN 让发送端提前感知拥塞，避免丢包
RACK 快速修复乱序，避免拥塞窗口崩溃

这套组合在 50Mbps 窄带宽下实现了近乎完美的延迟/吞吐平衡。

参考
#

NOTE: I am not responsible for any expired content.
Created at: 2025-12-18T06:30:04+08:00
Updated at: 2025-12-18T12:06:30+08:00
Origin issue: https://github.com/ferstar/blog/issues/92

2025年了，为什么我还要root？

Sat, 04 Oct 2025 14:42:47 +0800

先列个单子，慢填（排名不分先后）

1. 我希望有新的内核特性，榨干硬件性能
#

厂商为了稳定性通常用老内核，但新内核有不少好东西：

BBRv2 拥塞控制，联通4G网速提升明显
f2fs 文件系统优化，配合 UFS 3.1 随机读写有感提升
zstd 压缩的 ZRAM，压缩比比 lz4 高 20%+
自定义 CPU 调度器（试过 EAS），日常使用功耗降低 15% 左右

实际编译过 xaga 和 RMX3888 的内核，开了一堆厂商关掉的 feature，配合 KernelSU 比 Magisk 稳定。

工具：Franco Kernel Manager / UKMM

2. 干掉云控，防止厂商施法负优化
#

厂商最恶心的几个操作：

OTA 后偷偷改配置（120Hz 变回 60Hz）
游戏识别后CPU降频（明明温度还低）
强推广告和全家桶app
收集隐私数据上传

我的做法：

# 冻结系统更新
pm disable com.xxx.ota

# hosts 屏蔽云控域名
echo "127.0.0.1 cloud.manufacturer.com" >> /system/etc/hosts

# LSPosed hook 系统服务拦截配置下发

实用模块：CorePatch（绕签名校验）、Shamiko（隐藏root）

3. 不想被特定生态绑定，迫不得已需要对某些app伪装机型
#

某些银行app限制机型（尤其国际版ROM），某些游戏锁区域，还有薅羊毛限定机型的

技术上就是 hook android.os.Build 类：

XposedHelpers.setStaticObjectField(Build.class, "MODEL", "SM-G9980");
XposedHelpers.setStaticObjectField(Build.class, "MANUFACTURER", "samsung");

或者用现成的模块：Device Faker / Hide My Applist

4. 自动化记账（OCR、无障碍这种稳定性太差了，lsposed hook才是王道）
#

试过几种方案：

通知栏提取：漏记、重复记严重
OCR识别：复杂场景识别率感人
无障碍服务：被系统kill是家常便饭

最后还是 LSPosed hook 靠谱，直接 hook 支付结果回调：

// Hook 微信支付成功回调
findAndHookMethod("com.tencent.mm.plugin.wallet...", "onPaySuccess", 
    new XC_MethodHook() {
        protected void afterHookedMethod(MethodHookParam param) {
            // 拿到金额、商户等信息直接入库
            saveTransaction(param);
        }
    });

准确率100%，跑在app进程里不会被杀，还能区分支付/退款/红包

参考项目：AutoAccounting（开源）

5. 去广告
#

分几个层次：

系统层面：

AdAway：hosts方式
精简内置广告apk（System/app下一堆）

应用层面：

LSPosed + 各种去广告模块
ReVanced（YouTube无广告）
Bilibili HD（首页清爽不少）

网络层面：

# iptables 拦截广告域名
iptables -A OUTPUT -d ad.xxx.com -j REJECT

# 或者透明代理 + AdGuard DNS

激进点的可以反编译SystemUI去掉负一屏广告，重新打包刷入

6. CPU/GPU降压，调教续航
#

原理：同频率降低电压 = 降低功耗和发热

每颗 SoC 体质不同，我的 8 Gen2 测试结果：

原厂：大核 3.2GHz @ 1.05V, GPU 680MHz @ 0.90V
降压：大核 3.2GHz @ 0.98V (-70mV), GPU 680MHz @ 0.85V (-50mV)
效果：续航提升约 18%，温度降 2-3℃

操作方式：

改内核 device tree 电压表（需要重新编译）
Franco Kernel Manager 实时调整（方便）

监控工具：CPU Float（实时频率温度）

7. 解温控、魔改充电协议
#

温控
#

厂商温控太保守，45℃就开始降频，实际芯片耐受温度在85℃以上

修改 /sys/class/thermal/ 配置，提高降频阈值到 55℃左右

# 查看温控策略
cat /sys/class/thermal/thermal_zone*/temp

# 修改降频阈值（需要改内核或开机脚本）
echo 55000 > /sys/class/thermal/thermal_zone0/trip_point_0_temp

充电
#

限制充电功率保护电池（长期插电的设备）：

# 限制充电电流 2A
echo 2000000 > /sys/class/power_supply/battery/constant_charge_current_max

# 充到80%停止
echo 80 > /sys/class/power_supply/battery/charge_control_limit

实用模块：ACC (Advanced Charging Controller)，支持定时充电、智能充电等

8. Termux 完全体
#

无 root 的 Termux 限制太多：

不能访问 /data, /system
不能绑定 80/443 端口
不能用 tcpdump/iptables
某些系统调用受限

root 后解锁：

# 完整 Linux 发行版
proot-distro install debian

# 抓包分析
tcpdump -i wlan0 -w capture.pcap

# 跑 nginx 绑定 80 端口
nginx -c /data/nginx.conf

# 备份分区
dd if=/dev/block/by-name/boot of=/sdcard/boot.img

# 刷自编译内核
dd if=/sdcard/custom_boot.img of=/dev/block/by-name/boot

配合 Tasker 可以做很多自动化，比如：

连特定WiFi时启动 SSH/Samba
监控电池温度自动调性能
定时清理缓存、备份数据

总结
#

2025年root依然是刚需，主要是：

性能压榨（自定义内核）
隐私保护（去云控、去广告）
功能扩展（自动化、跨生态）
学习成长（系统底层知识）

当然也有风险：

保修失效（已过保无所谓）
安全风险（别乱授权）
OTA升级麻烦（习惯手动刷）
部分app检测root（Shamiko能绕过大部分）

我的策略：主力机保守，备机折腾

折腾的过程本身就是学习和乐趣所在

NOTE: I am not responsible for any expired content.
Created at: 2025-10-04T14:42:47+08:00
Updated at: 2025-11-02T06:59:10+08:00
Origin issue: https://github.com/ferstar/blog/issues/90

一个简单的OpenWrt procd 守护脚本

Mon, 05 May 2025 06:38:18 +0800

回老家把家里的红米 AX5固件升级了一下，因为之前用 ShellCrash 固定过 ssh，所以升完以后 ssh 包括 ShellCrash 依然存在，但是之前随手写的 tuic init 脚本因为在/etc/init.d目录，被覆盖掉，需要重写，在这里备忘一下。

procd 守护逻辑
#

OpenWrt 的 procd 系统通过以下逻辑管理服务生命周期，重点在于 respawn 机制：

stateDiagram-v2
    [*] --> Start
    Start --> Instance_Init: procd_open_instance
    Instance_Init --> Running: procd_close_instance
    Running --> Crash: Process Exit
    Crash --> Respawn: Check respawn param
    Respawn --> Running: Restart Process
    Running --> Stop: /etc/init.d/tuic stop
    Stop --> [*]

脚本示例
#

将以下内容保存为 /etc/init.d/tuic：

#!/bin/sh /etc/rc.common

START=99

SERVICE_DAEMONIZE=1
SERVICE_WRITE_PID=1
USE_PROCD=1
COMMAND="/etc/clash/tools/tuic -c /etc/clash/config.json"

start_service() {
        procd_open_instance
        procd_set_param user root
        procd_set_param respawn
        procd_set_param command $COMMAND
        procd_set_param stderr 0
        procd_set_param stdout 0
        procd_close_instance
        
}
stop_service(){
        procd_close_instance
}

使用方法
#

赋权：chmod +x /etc/init.d/tuic
常用命令：
- start / stop / restart: 管理服务当前运行状态。
- enable / disable: 开启/关闭开机自启（符号链接管理）。
- reload: 重新加载配置。

root@XiaoQiang:~# /etc/init.d/tuic
Syntax: /etc/init.d/tuic [command]

Available commands:
        start   Start the service
        stop    Stop the service
        restart Restart the service
        reload  Reload configuration files (or restart if service does not implement reload)
        enable  Enable service autostart
        disable Disable service autostart

NOTE: I am not responsible for any expired content.
Created at: 2025-05-05T06:38:18+08:00
Updated at: 2026-01-04T06:10:00+08:00
comment@https://github.com/ferstar/blog/issues/89

How to Build Kernel for Realme GT5 Pro(RMX3888)

Sat, 25 Jan 2025 10:45:41 +0800

好了，懒人脚本：

git clone git@github.com:ferstar/kernel_manifest.git
cd kernel_manifest
chmod +x build.sh
./build.sh

环境&配置

操作系统 Ubuntu、Debian 都可以，内存 16 GB 起步，不够的自行加 swap，硬盘空间 50GB

装依赖：sudo apt install git gnupg flex bison build-essential zip curl zlib1g-dev unzip rsync python3(如果还有缺的自己补)

装 repo 工具

sudo curl https://mirrors.tuna.tsinghua.edu.cn/git/git-repo > /usr/bin/repo
sudo chmod +x /usr/bin/repo

拉取机型源码&编译

mkdir kernel
cd kernel
export REPO_URL='https://mirrors.tuna.tsinghua.edu.cn/git/git-repo' 
repo init --repo-rev=v2.16 --depth=1 -u https://github.com/ferstar/kernel_manifest.git -b realme/sm8650 -m gt5pro_v.xml
repo sync --no-tags
cd kernel_platform
# 这个必须删，不然内核启动后没法驱动WiFi、蓝牙和4/5G
rm common/android/abi_gki_protected_exports_*
# 编译
python build_with_bazel.py -t pineapple gki  --lto=thin --config=fast --disk_cache=$HOME/.cache/bazel --//msm-kernel:skip_abi=true --//msm-kernel:skip_abl=true -o "$(pwd)/out" || true

因为真我只开源了Kernel和Vendor，没有common source，这个方案是跟一加Ace5杂交的，所以上面的编译最终会有报错，但不影响内核的正常生成：

bazel-out/k8-fastbuild/bin/msm-kernel/pineapple_gki_kbuild_mixed_tree/Image

将其塞进AnyKernel3的压缩包内即可刷入手机。

NOTE: I am not responsible for any expired content.
Created at: 2025-01-25T10:45:41+08:00
Updated at: 2025-01-27T16:26:43+08:00
Origin issue: https://github.com/ferstar/blog/issues/88

How to Build Kernel for Redmi Note11 Turbo Pro(xaga)

Mon, 13 Jan 2025 07:45:39 +0800

很简单，直接看：https://github.com/ferstar/xiaomi_xaga_kernel 中的 buildebug.sh 脚本即可，把该装的依赖装好，完事。

也可以直接用我编译好的内核：

下载： https://ferstar.lanzoum.com/b0ziwk67e 密码：g1mx

NOTE: I am not responsible for any expired content.
Created at: 2025-01-13T07:45:39+08:00
Updated at: 2025-01-25T10:21:24+08:00
Origin issue: https://github.com/ferstar/blog/issues/86

修复联想笔记本Linux下合盖睡死与功能键异常关机问题

Mon, 13 Jan 2025 07:15:03 +0800

问题背景
#

许多使用联想ThinkBook 2024系列笔记本的Linux用户报告了两个典型问题：

合盖睡死问题
当合上笔记本盖时，设备会直接断电关机而非进入挂起状态，导致工作状态丢失
功能键异常关机
使用Fn+F5/Fn+F6组合键时（非高频次使用），可能触发意外关机

该问题在Ubuntu 24.04（内核6.9+）和Arch Linux（内核6.10+）等多个发行版中复现，经排查与ACPI电源管理模块的兼容性有关。

解决方案
#

开源社区开发的ideapad-laptop-tb-dkms内核模块通过以下方式解决问题：

重写ACPI事件处理逻辑
修正电源状态转换机制
禁用异常的功能键信号

兼容设备
#

ThinkBook 2024 16+ IMH
ThinkBook 2024 14 G6+ AHP
ThinkBook 16 G6+ AHP

安装指南
#

对于Arch系发行版
#

sudo pacman -S ideapad-laptop-tb-dkms

通用安装方式（支持Ubuntu/Debian/Fedora等）
#

# 编译并安装DKMS模块
git clone https://github.com/ferstar/ideapad-laptop-tb.git
cd ideapad-laptop-tb-dkms
sudo dkms add .
sudo dkms install ideapad-laptop-tb/6.10  # 版本号需匹配内核版本

# 禁用原生冲突模块
sudo cp dkms/blacklist-ideapad-laptop-tb-dkms.conf /etc/modprobe.d/

# 重启生效
sudo reboot

卸载方法
#

sudo dkms remove ideapad-laptop-tb/6.10 --all
sudo rm /etc/modprobe.d/blacklist-ideapad-laptop-tb-dkms.conf
sudo reboot

注意事项
#

禁麦/音LED灯不亮：移步这个项目 lenovo-wmi-hotkey-utilities，如果你的机型键盘按键并没有这两个LED灯，那么可以忽略

电源状态验证
安装后可通过以下命令测试：

systemctl suspend  # 测试挂起功能
lidctrl close      # 测试合盖响应

NOTE: I am not responsible for any expired content.
Created at: 2025-01-13T07:15:03+08:00
Updated at: 2025-05-24T03:21:49+08:00
Origin issue: https://github.com/ferstar/blog/issues/85

How to Fix High CPU load of kwin_x11 when locking or turning off the screen

Mon, 13 Jan 2025 02:01:49 +0800

TL;DR, use xsecurelock instead of the KDE default screenlocker

好像也没什么好说的，这是一个持续了一年的 bug 至今没有修复：https://bugs.kde.org/show_bug.cgi?id=484323

所以只能曲线救国，换一种锁屏方式，即 xsecurelock。只要把 KDE 自带的锁屏关闭，然后把锁屏快捷键 Meta + L 绑定给 xsecurelock 程序即可。

NOTE: I am not responsible for any expired content.
Created at: 2025-01-13T02:01:49+08:00
Updated at: 2025-01-25T10:03:22+08:00
Origin issue: https://github.com/ferstar/blog/issues/84

How to update InsydeH2O BIOS with pure Linux

Sun, 12 Jan 2025 16:58:10 +0800

作为一个骨灰级 Linux 发烧友，我的电脑到手基本都是第一时间换装 Linux 发行版。这样设备厂商出厂自带的 Windows 系统几乎毫无作用，但我又不能把它干掉——我还得靠它来更新厂商发布的 BIOS。为了偶尔更 BIOS 的需求而不得不保留这近 100GB 磁盘占用的 Windows 着实有些蛋疼，当然我知道可以用类似 WIN2GO 的玩意来更 BIOS，但这又有什么区别呢，还是离不开 Windows。

终于赶在 2024 年的尾巴，我在 Twitter 上闲逛时发现有人提到了纯 Linux 环境更新 BIOS 的方案：https://x.com/felixonmars/status/1876646199207604351

虽然寥寥数语，但激起了心中折腾的一团火：有戏&干之！

我手头笔记本清一色都是联想的 ThinkBook，先拿家里的机器 A 开刀，配置如下：

OS: Ubuntu oracular 24.10 x86_64
Host: 21D0 (ThinkBook 14 G4+ ARA)
Kernel: Linux 6.12.9-bigv
Uptime: 1 day, 53 mins
Packages: 2800 (dpkg), 7 (flatpak)
Shell: zsh 5.9
Display (AUOC391): 2880x1800 @ 90 Hz in 14"
DE: GNOME
WM: Mutter (X11)
WM Theme: Yaru
Theme: Yaru [GTK2/3/4]
Icons: Yaru [GTK2/3/4]
Font: Cantarell (11pt) [GTK2/3/4]
Cursor: DMZ-White (48px)
Terminal: tmux 3.4
CPU: AMD Ryzen 7 6800H (16) @ 4.79 GHz
GPU: AMD Radeon 680M [Integrated]
Memory: 12.95 GiB / 29.55 GiB (44%)
Swap: 5.25 MiB / 32.00 GiB (0%)
Disk (/): 312.72 GiB / 414.32 GiB (75%) - btrfs
Local IP (wlan0): 192.168.31.157/24
Battery (AP16L5J): 77% [AC Connected]
Locale: en_US.UTF-8

下载 Framework 家的 UEFI shell 更新工具，我们只用到H2OFFT-Sx64.efi，把他保存至/boot/efi：https://downloads.frame.work/bios/Framework_Laptop_13_13th_Gen_Intel_Core_BIOS__3.05_EFI.zip
下载 UEFI-Shell，将shellx64.efi保存至/boot/efi：https://github.com/pbatard/UEFI-Shell/releases/tag/24H2
去联想驱动官网下载你笔记本型号对应的 BIOS 更新程序，通常会是j6cn50ww.exe的名字
尝试用7z解压这个exe文件：7z e j6cn50ww.exe，可能有类似的输出：Comments: This installation was built with Inno Setup.
我们需要innoextract来解包：innoextract -e j6cn50ww.exe，你会得到一个新的exe，我这里的名字是J6CN50WW.exe
再用7z解压：7z e J6CN50WW.exe，这次我们应该可以顺利得到真实的 BIOS 固件WinJ6CN50WW.fd
将WinJ6CN50WW.fd保存至/boot/efi

添加 UEFI-Shell 启动项，编辑/etc/grub.d/40_custom，填入如下内容后执行sudo update-grub：

menuentry "UEFI Shell" {
    insmod part_gpt
    insmod chain
    set root='(hd0,gpt1)'
    chainloader /shellx64.efi
}

重启进入 UEFI-Shell，输入：FS0: 回车进入 EFI 分区，再输入：H2OFFT-Sx64.efi WinJ6CN50WW.fd回车
此时熟悉的 BIOS 更新界面出现，耐心等待进度条走完即可完成更新

终于可以把自带的 Windows 分区扔进垃圾堆了✌️

注意：对于某些比较新的联想机型，可能7z就能直接解压得到 BIOS 固件了，一般是 xxx.bin 的命名，innoextract 并不是必须的；还有7z也不不是必须的，你可以换任何能解包exe的工具，比如bsdtar之类。

NOTE: I am not responsible for any expired content.
Created at: 2025-01-12T16:58:10+08:00
Updated at: 2025-01-12T17:04:21+08:00
Origin issue: https://github.com/ferstar/blog/issues/83

Build my own patched Ubuntu mainline kernel

Sun, 12 Jan 2025 16:16:49 +0800

记录下用 ubuntu-mainline-kernel.sh 编译打补丁内核的过程

背景
#

Ubuntu 官方内核太保守，想用 mainline 最新内核，但又需要打自己的补丁（比如硬件驱动、性能优化之类的）

找到个不错的工具：ubuntu-mainline-kernel.sh

工具介绍
#

这个脚本可以：

从 Ubuntu Kernel PPA 直接下载安装 mainline 内核
本地编译内核（实验性功能）
支持 SecureBoot 签名
自动检查新版本

⚠️ 警告：mainline 内核不受官方支持，生产环境慎用，记得保留默认内核做备份

安装脚本
#

# 安装依赖
sudo apt install wget

# 下载脚本
wget https://raw.githubusercontent.com/pimlie/ubuntu-mainline-kernel.sh/master/ubuntu-mainline-kernel.sh

# 赋予执行权限
chmod +x ubuntu-mainline-kernel.sh

# 移动到系统路径
sudo mv ubuntu-mainline-kernel.sh /usr/local/bin/

常用命令
#

查看可用版本
#

# 列出所有远程版本
ubuntu-mainline-kernel.sh -r

# 包括 RC 版本
ubuntu-mainline-kernel.sh -r --rc

# 搜索特定版本
ubuntu-mainline-kernel.sh -r 6.8

安装预编译内核
#

# 安装指定版本
sudo ubuntu-mainline-kernel.sh -i 6.8.0

# 包括 RC 版本
sudo ubuntu-mainline-kernel.sh -i 6.8-rc5 --rc

# 安装 low-latency 版本（低延迟优化）
sudo ubuntu-mainline-kernel.sh -i 6.8.0 --low-latency

卸载内核
#

# 列出已安装的内核
ubuntu-mainline-kernel.sh -l

# 卸载指定版本
sudo ubuntu-mainline-kernel.sh -u 6.8.0

本地编译（打补丁用这个）
#

# 本地编译并安装
sudo ubuntu-mainline-kernel.sh -b 6.8.0

本地编译打补丁流程
#

这是重点，可以在编译前打自己的补丁

准备工作
#

# 安装依赖
sudo apt install git docker.io

# 把自己加到 docker 组（避免每次 sudo）
sudo usermod -aG docker $USER
# 需要重新登录生效

# 预留空间：源码约 3GB，编译过程可能 10GB+
df -h /var/lib/docker

获取内核源码
#

脚本使用 Docker 编译，基于 TuxInvader 的 focal-mainline-builder 镜像

# 克隆源码（脚本会自动做，这里是手动方式）
git clone --depth=1 --branch v6.8 \
  git://git.kernel.org/pub/scm/linux/kernel/git/stable/linux.git \
  linux-6.8

cd linux-6.8

打补丁
#

把自定义补丁放到源码目录：

# 示例：打个驱动补丁
cd linux-6.8
patch -p1 < ~/my-driver.patch

# 或者直接修改源码文件
vim drivers/gpu/drm/amd/amdgpu/amdgpu_drv.c

修改配置（可选）
#

# 复制当前系统内核配置
cp /boot/config-$(uname -r) .config

# 更新配置（使用默认值）
make olddefconfig

# 或者手动配置
make menuconfig

开始编译
#

使用脚本编译：

# -b 参数会自动拉取 Docker 镜像并编译
sudo ubuntu-mainline-kernel.sh -b 6.8.0

# 编译完成后会自动安装

编译参数调整（修改脚本或手动 Docker 编译）：

# 手动 Docker 编译方式
docker run --rm -it \
  -v $(pwd):/build \
  tuxinvader/focal-mainline-builder:latest \
  /bin/bash

# 在容器内
cd /build
make -j$(nproc) bindeb-pkg LOCALVERSION=-custom

安装编译好的内核
#

# 如果是手动编译，会在上层目录生成 .deb 文件
cd ..
ls -lh *.deb

# 安装
sudo dpkg -i linux-*.deb

# 更新 GRUB
sudo update-grub

SecureBoot 签名（需要的话）
#

如果启用了 SecureBoot，需要签名内核

生成签名密钥
#

# 创建密钥目录
mkdir -p ~/sb-keys
cd ~/sb-keys

# 生成 MOK 密钥对
openssl req -new -x509 -newkey rsa:2048 \
  -keyout MOK.priv \
  -outform DER \
  -out MOK.der \
  -days 36500 \
  -subj "/CN=My Kernel Signing Key/" \
  -nodes

# 注册 MOK 密钥（重启后会提示输入密码）
sudo mokutil --import MOK.der
# 设置一个临时密码，重启时输入

签名内核
#

# 签名内核和模块
sudo sbsign --key MOK.priv --cert MOK.der \
  /boot/vmlinuz-6.8.0-custom

# 签名模块（如果需要）
sudo find /lib/modules/6.8.0-custom -name "*.ko" -exec \
  sbsign --key MOK.priv --cert MOK.der {} \;

重启选择签名后的内核启动

常见问题
#

编译失败
#

Docker 镜像可能过期，尝试：

# 拉取最新镜像
docker pull tuxinvader/focal-mainline-builder:latest

# 或者手动编译不用 Docker
sudo apt install build-essential libncurses-dev \
  bison flex libssl-dev libelf-dev
make -j$(nproc) bindeb-pkg

缺少固件
#

某些驱动需要额外固件：

sudo apt install linux-firmware

GRUB 不显示新内核
#

# 更新 GRUB
sudo update-grub

# 检查是否生成
grep menuentry /boot/grub/grub.cfg

参考资料
#

文档已完成

NOTE: I am not responsible for any expired content.
Created at: 2025-01-12T16:16:49+08:00
Updated at: 2025-11-02T07:01:28+08:00
Origin issue: https://github.com/ferstar/blog/issues/82

AI codereview实践

Mon, 06 Jan 2025 14:55:44 +0800

最近在公司内网 CI 工作流里加入了 AI Codereview 的功能，效果确实不错，能发现一些常规 Review 很难发现的问题。废话不多说直接上步骤&代码。

按 author 拆分 commit，获取 diff codes

P_SKIP_CI = re.compile(r"\[(skip\s*ci|ci\s*skip|no\s*ci)]", re.IGNORECASE)

@dataclass
class CommitCache:
    path: Path = Path(tempfile.gettempdir()) / "commits_cache.txt"
    max_size: int = 100
    ids: list[str] = field(default_factory=list)

    def __post_init__(self):
        if self.path.exists():
            self.ids = [i.strip() for i in self.path.read_text().split("\n") if i.strip()]

    def add(self, *ids):
        self.ids = (self.ids + [i for i in ids if i not in self.ids])[-self.max_size :]
        self.path.write_text("\n".join(self.ids))


@dataclass
class CommitDiff:
    rev: str
    author: str
    content: str
    parent_rev: str = field(init=False)

    def __post_init__(self):
        self.parent_rev = run(f"git rev-parse {self.rev}^", hide=True).stdout.strip()

    @property
    def changes(self):
        return f"""```
{run(f"git diff --name-only {self.rev}^!", hide=True).stdout.strip()}
```"""

    @property
    def msg(self):
        return run(f"git log {self.rev}^! --format=%B", hide=True).stdout.strip()

    @property
    def need_review(self):
        return any(
            i.startswith("diff --git") and i.endswith((".py", ".sh")) for i in self.content.split("\n")
        ) and not P_SKIP_CI.search(self.msg)

def prepare_commit_diff(log_range: int = 10, commit_range: int = 3) -> Iterable[CommitDiff]:
    """从指定(默认为最近10次)的提交中提取各 author 最近(默认为最近3次)的修改内容"""
    result = run(f'git log -n {log_range} --pretty=format:"%an" | sort | uniq', hide=True)
    commit_cache = CommitCache()
    for author in result.stdout.split("\n"):
        if not author:
            continue
        result = run(f"""git log --author="{author}" --pretty=format:'%H' -n {commit_range}""", hide=True).stdout
        for commit_id in (i for i in result.split("\n") if i):
            if commit_id not in commit_cache.ids:
                # 避免重复检查
                commit_cache.add(commit_id)
                diff = CommitDiff(
                    author=author,
                    rev=commit_id,
                    content=run(
                        f"git diff --ignore-all-space --diff-algorithm=minimal --function-context --no-ext-diff --no-color {commit_id}^!",
                        hide=True,
                    ).stdout,
                )
                if diff.need_review:
                    yield diff

调整提示词，携带 git diff 调用 GPT

system_instruction = """你是一位资深的 IT 编程专家，精通 `Python 3.12`、`FastAPI`、`Pydantic`、`Shell` 和 `SQL`。你的任务是**严格审查**给定的 `diff` 内容，并找出其中存在的**重大问题**。

**重大问题** 定义如下：

*   **安全漏洞：** 例如 SQL 注入、跨站脚本 (XSS)、未授权访问等。
*   **关键功能缺失：** 例如核心业务逻辑的缺失或错误实现。
*   **语法/编译/运行时错误：** 导致代码无法运行或崩溃的错误。
*   **性能瓶颈：**  导致程序运行缓慢或占用过多资源的瓶颈。
*   **资源泄露：** 例如内存泄漏、文件句柄未关闭等。
*   **关键逻辑错误：** 导致程序产生错误结果或行为的关键性错误。

**请忽略**以下类型的问题：

*   **一般问题：** 代码结构、可读性、潜在性能问题、代码风格、注释、未使用变量等不影响代码功能的因素。
*   **存疑问题：**  需要更多上下文才能确认的问题。
*   **`import` 语句相关的更改或缺失:** 例如新增、删除或修改 `import` 语句。

**请仅按以下格式回复：**

1. 重大问题：

    <重大问题列表，如果没有则回复“无”>

2. 建议：

    <针对重大问题的具体建议，如果没有则回复“无”>

**重要：** 严格按照上述格式输出，只关注重大问题和建议，不要包含任何其他内容。
"""

quality_prompt = """
__insert_diff__
"""


def init_openai_client() -> AsyncOpenAI:
    return AsyncOpenAI(
        api_key=get_config("ai.openai.api_key"),
        base_url=get_config("ai.openai.base_url"),
        default_headers={"Accept": "text/event-stream"},
    )


async def openai_chat_iter(
    messages: list[dict[str, str]], *, client: AsyncOpenAI = None, model: str = None, **options
) -> AsyncIterator[str]:
    client = client or init_openai_client()
    stream = client.chat.completions.create(
        messages=messages,
        model=model or get_config("ai.openai.model"),
        **{
            "temperature": get_config("ai.openai.temperature"),
            "timeout": get_config("ai.openai.timeout") or 10,
            "stream": True,
            **options,
        },
    )
    async for chunk in await stream:
        if chunk.choices and (content := chunk.choices[0].delta.content):
            yield content


async def openai_chat(messages: list[dict[str, str]]) -> str:
    reply = []
    async for chunk in openai_chat_iter(messages):
        reply.append(chunk)
    return "".join(reply)

@lru_cache(maxsize=1)
def get_repository_name():
    return run(r"git remote get-url origin | xargs basename | sed 's/\.git$//'", hide=True).stdout.strip()

async def quality_check(diff: CommitDiff):
    """质量检查&发送通知"""
    messages = [
        {"role": "system", "content": system_instruction},
        {"role": "user", "content": quality_prompt.replace("__insert_diff__", diff.content)},
    ]
    try:
        reply = await openai_chat(messages)
    except Exception as e:
        reply = f"Error: {e}"

    changes = f"xxx.git.com/{get_repository_name()}/-/compare/{diff.parent_rev}...{diff.rev}"
    content = f"""@{diff.author} [Show changes]({changes})

{diff.changes}

{reply}"""
    # 发送 review 通知
    send_notify(xxx)

你应该很容易能把上述片段代码集成到自己的 Workflow 里，成品效果如图，类似这种问题其实很容易在人肉 Review 的时候被忽略掉，但 AI 几乎不会漏。

这玩意其实缺点也很明显，受限于上下文，基本上偏业务逻辑都是瞎点评，但总体作用是积极的，能实际提高 codereview 的效率。

NOTE: I am not responsible for any expired content.
Created at: 2025-01-06T14:55:44+08:00
Updated at: 2025-01-26T03:59:13+08:00
Origin issue: https://github.com/ferstar/blog/issues/81

水一发GoDaddy转域名到Cloudflare的坑

Wed, 10 Jan 2024 03:10:50 +0800

域名迁移其实蛮常规的，只有一个坑点一定要注意：

Domain Transfer Out 的这个窗口从迁移开始到结束必须开着，别关，关了就是莫名其妙的错误，贼坑。

# NOTE: I am not responsible for any expired content.
create@2024-01-10T03:10:50+08:00
update@2024-01-10T03:13:34+08:00
comment@https://github.com/ferstar/blog/issues/80

Try github self-hosted action runner

Sat, 02 Sep 2023 04:23:11 +0800

Official docs: https://docs.github.com/en/actions/hosting-your-own-runners

Simple docker compose file:

version: '3.8'
services:
  worker:
    image: myoung34/github-runner:ubuntu-bionic
    environment:
      REPO_URL: ${RUNNER_REPO}
      RUNNER_NAME: ${RUNNER_NAME}
      RUNNER_TOKEN: ${RUNNER_TOKEN}
      CONFIGURED_ACTIONS_RUNNER_FILES_DIR: ${CONFIGURED_ACTIONS_RUNNER_FILES_DIR}
      DISABLE_AUTOMATIC_DEREGISTRATION: ${DISABLE_AUTOMATIC_DEREGISTRATION}
      RUNNER_WORKDIR: /tmp/runner/work
      ORG_RUNNER: 'false'
      LABELS: linux,x64,home-1
    security_opt:
      # needed on SELinux systems to allow docker container to manage other docker containers
      - label:disable
    volumes:
      - '/var/run/docker.sock:/var/run/docker.sock'
      - '/tmp/runner:/tmp/runner'
      - './data:/data'
      # note: a quirk of docker-in-docker is that this path
      # needs to be the same path on host and inside the container,
      # docker mgmt cmds run outside of docker but expect the paths from within

Your .env file may be like this:

RUNNER_REPO=https://github.com/user/repo
RUNNER_TOKEN=NOT THE GITHUB ACCESS TOKEN
RUNNER_NAME=foo
CONFIGURED_ACTIONS_RUNNER_FILES_DIR=/data
DISABLE_AUTOMATIC_DEREGISTRATION=true

Please note that the RUNNER_TOKEN is not your github access token

visit https://github.com/user/repo/settings/actions/runners/new
get your action’s real token

Some normal running logs:

docker-compose up
Recreating github-actions_worker_1 ... done
Attaching to github-actions_worker_1
worker_1  | Runner reusage is disabled
worker_1  | Configuring
worker_1  |
worker_1  | --------------------------------------------------------------------------------
worker_1  | |        ____ _ _   _   _       _          _        _   _                      |
worker_1  | |       / ___(_) |_| | | |_   _| |__      / \   ___| |_(_) ___  _ __  ___      |
worker_1  | |      | |  _| | __| |_| | | | | '_ \    / _ \ / __| __| |/ _ \| '_ \/ __|     |
worker_1  | |      | |_| | | |_|  _  | |_| | |_) |  / ___ \ (__| |_| | (_) | | | \__ \     |
worker_1  | |       \____|_|\__|_| |_|\__,_|_.__/  /_/   \_\___|\__|_|\___/|_| |_|___/     |
worker_1  | |                                                                              |
worker_1  | |                       Self-hosted runner registration                        |
worker_1  | |                                                                              |
worker_1  | --------------------------------------------------------------------------------
worker_1  |
worker_1  | # Authentication
worker_1  |
worker_1  |
worker_1  | √ Connected to GitHub
worker_1  |
worker_1  | # Runner Registration
worker_1  |
worker_1  |
worker_1  |
worker_1  |
worker_1  | √ Runner successfully added
worker_1  | √ Runner connection is good
worker_1  |
worker_1  | # Runner settings
worker_1  |
worker_1  |
worker_1  | √ Settings Saved.
worker_1  |
worker_1  |
worker_1  | √ Connected to GitHub
worker_1  |
worker_1  | Current runner version: '2.308.0'
worker_1  | 2023-09-02 03:22:29Z: Listening for Jobs
worker_1  | 2023-09-02 03:23:08Z: Running job: build_deb
worker_1  | 2023-09-02 03:26:51Z: Job build_deb completed with result: Succeeded

# NOTE: I am not responsible for any expired content.
create@2023-09-02T04:23:11+08:00
update@2023-09-02T05:21:40+08:00
comment@https://github.com/ferstar/blog/issues/79

信创之从PostgreSQL到GaussDB

Thu, 15 Jun 2023 06:19:44 +0800

信创是个啥玩意具体我懒得说了，简单记录下作为中年 CRUD 仔给 Web 后端换 DB 这件事。

情况大概是这样：

我们 ORM 是 Gino

然后 Gino 依赖 asyncpg 来链接 PostgreSQL，换 GaussDB 的话，由于这玩意是华为从 PostgreSQL 一个古早版本 9.2.4 一通魔改糊起来的，一些特性并不支持，所以这一步就掉坑了：

    return await self._protocol.query(query, timeout)
  File "asyncpg/protocol/protocol.pyx", line 338, in query
asyncpg.exceptions.FeatureNotSupportedError: UNLISTEN statement is not yet supported.

查了下华为云的说明：

https://support.huaweicloud.com/intl/en-us/sqlreference-dws/dws_06_0006.html

嗯，发现不支持 notification 相关特性，那么看来要小改下 asyncpg，见：

https://github.com/ferstar/asyncpg/commit/0be6023443346213a26795a27ef3add7abc79aea

让 asyncpg 识别到 GaussDB 以后关几个 feature 即可，这里的 server_settings 可以通过初始化 DB Pool 的时候传过去。

我们通过 alembic 来做 DB migration，这个环节也出现了类似的问题，就是人家不认这个 GaussDB，解决也简单：改到让他认。

见：https://github.com/sqlalchemy/sqlalchemy/commit/3a0794ce455201a219a5e8491a9c346d69558ad9

然后正常连接是没有问题了，但跑到一些 GaussDB 不支持的迁移脚本时就又扑街：项目用到了 gin 的 extension，看一时半会估计是不太会兼容了，所以么办法只能改写用普通索引。

接下来，项目初始化、DB migration都顺利完成，于是就跑了一发单元测试，再次被打脸：

ProgrammingError: syntax error at or near "ON  CONFLICT ("

也就是说UPDATE ... ON CONFLICT ... DO ...这种也是不支持，要改也简单：先查冲突，然后再更新。

一通操作后，项目总算正常运行。后续有几个需要注意的问题：

代码要考虑兼容性：从base version来看，横跨了好几个大版本，基本上告别 PostgreSQL 新特性
DB 相关组件也要考虑兼容性，自己订制魔改的部分，几乎不太可能被主线合并
组员代码审核：需要维护一个lint机制来自动检测组员提交的 DB 相关代码的兼容性

# NOTE: I am not responsible for any expired content.
create@2023-06-15T06:19:44+08:00
update@2023-06-15T06:19:44+08:00
comment@https://github.com/ferstar/blog/issues/78

Migrate from Tornado to FastAPI

Fri, 09 Jun 2023 12:32:25 +0800

心水 FastAPI 的 ASGI、依赖注入、类型注解和自动在线文档很久，但迫于项目历史依赖（立项的时候 FastAPI 还没出来），迟迟没有迁移的动力。直到某次又翻到过期的接口文档，实在不想继续过文档和代码分割的日子了，于是决定开整。

迫于旧接口太多，一下迁移明显不现实，想了两个过渡方案：

Nginx 分流，旧接口继续使用 Tornado 驱动，新接口走 FastAPI
完全抛弃 Tornado 驱动，利用 WSGI 将旧接口分流、转换成 Tornado 兼容的响应

方案一实施起来最简单，但有个问题是 Session 共享不好解决，另外增加了额外的运维部署复杂度，于是pass；

走方案二的话，就需要写一个中间件来将旧接口分流、转换给原 Tornado 的实现，代码如下：

经典的 Tornado hello world

import asyncio
import tornado


class MainHandler(tornado.web.RequestHandler):
    def get(self):
        self.write("Hello, world")


def make_app():
    return tornado.web.Application([
        (r"/api/v1/", MainHandler),
    ])


async def main():
    app = make_app()
    app.listen(8888)
    await asyncio.Event().wait()


if __name__ == "__main__":
    asyncio.run(main())

本来是打算手撸 ASGI -> WSGI 的，刚好刷推看到 Django 的 a2wsgi，能省不少手撕 WSGI 协议的活，于是果断抄之，最终成品如下：

import asyncio
import contextvars
import functools
import urllib.parse as urllib_parse
from asyncio import Future
from typing import Any, List, Tuple

import tornado
import uvicorn
from a2wsgi.types import Environ, StartResponse
from a2wsgi.wsgi import Body, WSGIResponder, build_environ
from fastapi import FastAPI
from starlette.types import Receive, Scope, Send
from tornado import httputil
from tornado.escape import native_str
from tornado.web import Application


# WSGI has no facilities for flow control, so just return an already-done
# Future when the interface requires it.
def _dummy_future():
    f = Future()
    f.set_result(None)
    return f


class _WSGIRequestContext:
    def __init__(self, remote_ip, protocol):
        self.remote_ip = remote_ip
        self.protocol = protocol

    def __str__(self):
        return self.remote_ip


class _WSGIConnection(httputil.HTTPConnection):
    def __init__(self, method, start_response, context):
        self.method = method
        self.start_response = start_response
        self.context = context
        self._write_buffer = []
        self._finished = False
        self._expected_content_remaining = None
        self._error = None

    def set_close_callback(self, callback):
        # WSGI has no facility for detecting a closed connection mid-request,
        # so we can simply ignore the callback.
        pass

    def write_headers(self, start_line, headers, chunk=None, callback=None):
        if self.method == "HEAD":
            self._expected_content_remaining = 0
        elif "Content-Length" in headers:
            self._expected_content_remaining = int(headers["Content-Length"])
        else:
            self._expected_content_remaining = None
        self.start_response(
            "%d %s" % (start_line.code, start_line.reason),
            [(native_str(k), native_str(v)) for (k, v) in headers.get_all()],
        )
        if chunk is not None:
            self.write(chunk, callback)
        elif callback is not None:
            callback()
        return _dummy_future()

    def write(self, chunk, callback=None):
        if self._expected_content_remaining is not None:
            self._expected_content_remaining -= len(chunk)
            if self._expected_content_remaining < 0:
                self._error = httputil.HTTPOutputError(
                    "Tried to write more data than Content-Length"
                )
                raise self._error
        self._write_buffer.append(chunk)
        if callback is not None:
            callback()
        return _dummy_future()

    def finish(self):
        if (
            self._expected_content_remaining is not None
            and self._expected_content_remaining != 0
        ):
            self._error = httputil.HTTPOutputError(
                f"Tried to write {self._expected_content_remaining} bytes less than Content-Length"
            )
            raise self._error
        self._finished = True


class WSGIAdapter:
    def __init__(self, app):
        self.app = app

    async def __call__(
        self, environ: Environ, start_response: StartResponse
    ) -> List[bytes]:
        method = environ["REQUEST_METHOD"]
        uri = urllib_parse.quote(environ.get("SCRIPT_NAME", ""))
        uri += urllib_parse.quote(environ.get("PATH_INFO", ""))
        if environ.get("QUERY_STRING"):
            uri += "?" + environ["QUERY_STRING"]
        headers = httputil.HTTPHeaders()
        if environ.get("CONTENT_TYPE"):
            headers["Content-Type"] = environ["CONTENT_TYPE"]
        if environ.get("CONTENT_LENGTH"):
            headers["Content-Length"] = environ["CONTENT_LENGTH"]
        for key in environ:
            if key.startswith("HTTP_"):
                headers[key[5:].replace("_", "-")] = environ[key]
        if headers.get("Content-Length"):
            body = await environ["wsgi.input"].aread(int(headers["Content-Length"]))
        else:
            body = b""
        protocol = environ["wsgi.url_scheme"]
        remote_ip = environ.get("REMOTE_ADDR", "")
        if environ.get("HTTP_HOST"):
            host = environ["HTTP_HOST"]
        else:
            host = environ["SERVER_NAME"]
        connection = _WSGIConnection(
            method, start_response, _WSGIRequestContext(remote_ip, protocol)
        )
        request = httputil.HTTPServerRequest(
            method,
            uri,
            "HTTP/1.1",
            headers=headers,
            body=body,
            host=host,
            connection=connection,
        )
        request._parse_body()
        await self.app(request)
        if connection._error:
            raise connection._error
        if not connection._finished:
            raise Exception("request did not finish synchronously")
        return connection._write_buffer


class TornadoMiddleware:
    def __init__(self, app) -> None:
        self.app = WSGIAdapter(app)
        self.executor = None

    async def __call__(self, scope: Scope, receive: Receive, send: Send) -> None:
        if scope["type"] == "http":
            responder = _WSGIResponder(self.app, self.executor)
            return await responder(scope, receive, send)

        if scope["type"] == "websocket":
            await send({"type": "websocket.close", "code": 1000})
            return None


class _Body(Body):
    async def _areceive_more_data(self) -> bytes:
        if not self._has_more:
            return b""
        message = await self.receive()
        self._has_more = message.get("more_body", False)
        return message.get("body", b"")

    async def aread(self, size: int = -1) -> bytes:
        while size == -1 or size > len(self.buffer):
            self.buffer.extend(await self._areceive_more_data())
            if not self._has_more:
                break
        if size == -1:
            result = bytes(self.buffer)
            self.buffer.clear()
        else:
            result = bytes(self.buffer[:size])
            del self.buffer[:size]
        return result


class _WSGIResponder(WSGIResponder):
    async def __call__(self, scope: Scope, receive: Receive, send: Send) -> None:
        body = _Body(self.loop, receive)
        environ = build_environ(scope, body)
        sender = None
        try:
            sender = self.loop.create_task(self.sender(send))
            context = contextvars.copy_context()
            func = functools.partial(context.run, self.awsgi)
            await func(environ, self.start_response)
            self.send_queue.append(None)
            self.send_event.set()
            await asyncio.wait_for(sender, None)
            if self.exc_info is not None:
                raise self.exc_info[0].with_traceback(
                    self.exc_info[1], self.exc_info[2]
                )
        finally:
            if sender and not sender.done():
                sender.cancel()  # pragma: no cover

    def start_response(
        self,
        status: str,
        response_headers: List[Tuple[str, str]],
        exc_info: Any = None,
    ) -> None:
        self.exc_info = exc_info
        if not self.response_started:
            self.response_started = True
            status_code_string, _ = status.split(" ", 1)
            status_code = int(status_code_string)
            headers = [
                (name.strip().encode("latin1").lower(), value.strip().encode("latin1"))
                for name, value in response_headers
            ]
            self.send(
                {
                    "type": "http.response.start",
                    "status": status_code,
                    "headers": headers,
                }
            )

    async def awsgi(self, environ: Environ, start_response: StartResponse) -> None:
        for chunk in await self.app(environ, start_response):
            self.send({"type": "http.response.body", "body": chunk, "more_body": True})

        self.send({"type": "http.response.body", "body": b""})


class HandleDelegate(tornado.web._HandlerDelegate):
    def execute(self):
        if not self.application.settings.get("compiled_template_cache", True):
            with tornado.web.RequestHandler._template_loader_lock:
                for loader in tornado.web.RequestHandler._template_loaders.values():
                    loader.reset()
        if not self.application.settings.get("static_hash_cache", True):
            tornado.web.StaticFileHandler.reset()

        self.handler = self.handler_class(
            self.application, self.request, **self.handler_kwargs
        )
        transforms = [t(self.request) for t in self.application.transforms]

        return self.handler._execute(transforms, *self.path_args, **self.path_kwargs)


class TornadoApplication(Application):
    def get_handler_delegate(
        self,
        request,
        target_class,
        target_kwargs=None,
        path_args=None,
        path_kwargs=None,
    ):
        return HandleDelegate(
            self, request, target_class, target_kwargs, path_args, path_kwargs
        )


class MainHandler(tornado.web.RequestHandler):
    def get(self):
        self.write("Hello, world")


def make_app():
    return TornadoApplication([(r"/api/v1/", MainHandler)])


async def main():
    app = make_app()
    app.listen(8888)
    await asyncio.Event().wait()


app = FastAPI()
app.mount("/api/v1", TornadoMiddleware(make_app()))


@app.get("/api/v2/")
def hello_world():
    return {"message": "Hello, World!"}


if __name__ == "__main__":
    uvicorn.run(app, host="127.0.0.1", port=8888)

测一下：

~ curl http://127.0.0.1:8888/api/v2/
{"message":"Hello, World!"}%
~ curl http://127.0.0.1:8888/api/v1/
Hello, world%

可以看出 v1 接口请求被 FastAPI 通过中间件机制传给 TornadoMiddleware，再由 TornadoMiddleware 完成 ASGI 到 WSGI 再到 Tornado 接口代码的转换工作，完美解决了旧 Tornado 接口与新 FastAPI 接口共存的问题，且不影响现有项目部署流程，十分nice。

# NOTE: I am not responsible for any expired content.
create@2023-06-09T12:32:25+08:00
update@2023-12-27T11:08:32+08:00
comment@https://github.com/ferstar/blog/issues/77

如何在Linux X11开启R9000P2021款笔记本165Hz刷新率

Tue, 25 Apr 2023 02:40:04 +0800

我这款本子是 3050Ti 的显卡，Linux 下偶尔炼个超迷你小丹凑合用一下，平常大部分时候都是闲置状态，所以多数情况用的是混合模式而非独显直通。

这样有个问题，不管是 Archlinux 还是 Ubuntu，进桌面显示器配置就只有 60Hz 的选项，但切到独显直通，165Hz 的高刷就又有了，一通搜索以后，得出结论：在混合模式下系统无法准确获取EDID文件。另外即使是独显直通状态，屏幕回报的刷新率是 165.02Hz，说明这块屏幕不是标准的 165Hz 行刷新率，操作系统并没有正确的屏幕分辨率信息。

我在这里 https://wiki.archlinux.org/title/xrandr#Troubleshooting 找到了这个问题的解决办法：

先在独显直通状态，通过xrandr --verbose记下 60、165Hz 的 Modeline，我的机器是这样的：

# 60Hz
282.7 2560 2608 2640 2720 1600 1603 1609 1732 -HSync -VSync
# 165Hz
777.410 2560 2608 2640 2720 1600 1603 1609 1732 -HSync -VSync

接下来就是把这两种配置用xrandr添加到内屏配置上，由于混合模式和独显直通两种模式下，内屏设备名并不固定，可以通过如下命令找到：

xrandr | grep -i ' connected' | cut -d ' ' -f 1

我的机器输出如下：

eDP-1
DP-1-0  # 这个其实是我的外接屏幕

确定好内屏设备名（eDP-1）以后，就可以来指定我们上面探测到的分辨率配置了：

# 65Hz
xrandr --newmode "2560x1600_60.00" 282.7 2560 2608 2640 2720 1600 1603 1609 1732 -HSync -VSync
xrandr --addmode eDP-1 2560x1600_60.00
# 165Hz
xrandr --newmode "2560x1600_165.00" 777.410 2560 2608 2640 2720 1600 1603 1609 1732 -HSync -VSync
xrandr --addmode eDP-1 2560x1600_165.00

此时打开显示器配置，熟悉的高刷分辨率就回来了，且可以自由切换。

当然你也可以继续用xrandr在命令行切换当前显示器的刷新率：

xrandr --output eDP-1 --mode "2560x1600_165.00"
xrandr --output eDP-1 --mode "2560x1600_60.00"

以上临时注入的配置在重启以后就会消失，Archlinux Wiki 里贴心的写了持久化方案，也就是把配置写到 xorg 文件里。作为懒癌患者，因为偶尔还有不插电的使用场景，所以当然是要搞成自动挡啦：插电 165、电池 60。那么就有两个问题需要解决：

插电、离电条件触发
写个切换分辨率的脚本

KDE 的系统配置==》电源管理==》节能==》（交流供电、电池供电）运行脚本刚好可以解决脚本触发条件的问题，接下来就是上脚本了：

#!/usr/bin/env bash
intern=$(xrandr | grep " connected" | grep "eDP" | cut -d" " -f1)
resolution="2560x1600"
low_mode="${resolution}_60.00"
high_mode="${resolution}_165.00"

function add_mode {
    if [ "$(xrandr | grep -E -c "$1")" -eq 0 ]; then
        if [ "$1" == "$low_mode" ]; then
            xrandr --newmode $low_mode 282.7 2560 2608 2640 2720 1600 1603 1609 1732 -HSync -VSync
            xrandr --addmode "$intern" $low_mode
        elif [ "$1" == "$high_mode" ]; then
            xrandr --newmode $high_mode 777.410 2560 2608 2640 2720 1600 1603 1609 1732 -HSync -VSync
            xrandr --addmode "$intern" $high_mode
        fi
    fi
}

function change_fps {
    if [ "$1" == "low" ]; then
        add_mode "$low_mode"
        xrandr --output "$intern" --mode $low_mode
    elif [ "$1" == "high" ]; then
        add_mode "$high_mode"
        xrandr --output "$intern" --mode $high_mode
    fi
}

if [ "$#" -eq 0 ] || [ "$1" == "-h" ]; then
    echo "Usage: $0 [low|high]"
    exit 1
fi
change_fps "$1"

# NOTE: I am not responsible for any expired content.
create@2023-04-25T02:40:04+08:00
update@2023-05-08T05:52:52+08:00
comment@https://github.com/ferstar/blog/issues/76

记一次莫名的BTRFS修复过程

Tue, 07 Feb 2023 06:32:08 +0800

吃着火锅唱着歌，啪，分区被锁，dmesg 日志飘红 —— 盘挂了

赶紧重启进 LiveCD 尝试挂载mount -o rescue=usebackuproot /dev/nvme0n1p5 /mnt，扑街

[  183.966960] BTRFS info (device nvme0n1p5): using crc32c (crc32c-intel) checksum algorithm
[  183.966967] BTRFS info (device nvme0n1p5): trying to use backup root at mount time
[  183.966968] BTRFS info (device nvme0n1p5): using free space tree
[  183.968909] BTRFS info (device nvme0n1p5): bdev /dev/nvme0n1p5 errs: wr 0, rd 0, flush 0, corrupt 1, gen 0
[  183.985663] BTRFS info (device nvme0n1p5): enabling ssd optimizations
[  183.985665] BTRFS info (device nvme0n1p5): start tree-log replay
[  184.107729] BTRFS error (device nvme0n1p5): incorrect extent count for 122436976640; counted 1577, expected 1575
[  184.107744] BTRFS: error (device nvme0n1p5) in btrfs_replay_log:2395: errno=-5 IO failure (Failed to recover log tree)
[  184.120547] BTRFS error (device nvme0n1p5: state E): open_ctree failed

死马当活马医，btrfsck --repair /dev/nvme0n1p5 有个倒计时警告，不管了，直接上

enabling repair mode
WARNING:

        Do not use --repair unless you are advised to do so by a developer
        or an experienced user, and then only after having accepted that no
        fsck can successfully repair all types of filesystem corruption. Eg.
        some software or hardware bugs can fatally damage a volume.
        The operation will start in 10 seconds.
        Use Ctrl-C to stop it.
10 9 8 7 6 5 4 3 2 1
Starting repair.
Opening filesystem to check...
Checking filesystem on /dev/nvme0n1p5
UUID: 3681c364-deb7-4275-8e5d-9c6991467acb
repair mode will force to clear out log tree, are you sure? [y/N]: y
[1/7] checking root items
Fixed 0 roots.
[2/7] checking extents
data extent[124231548928, 61440] referencer count mismatch (parent 180895744) wanted 0 have 1
data extent[124231548928, 61440] bytenr mimsmatch, extent item bytenr 124231548928 file item bytenr 0
data extent[124231548928, 61440] referencer count mismatch (parent 4503599808266240) wanted 1 have 0
backpointer mismatch on [124231548928 61440]
repair deleting extent record: key [124231548928,168,61440]
adding new data backref on 124231548928 parent 180895744 owner 0 offset 0 found 1
Repaired extent references for 124231548928
super bytes used 112946282496 mismatches actual used 112946118656
No device size related problem found
[3/7] checking free space tree
free space info recorded 1575 extents, counted 1577
There are still entries left in the space cache
cache appears valid but isn't 122436976640
Clear free space cache v2
free space cache v2 cleared
[4/7] checking fs roots
[5/7] checking only csums items (without verifying data)
[6/7] checking root refs
[7/7] checking quota groups skipped (not enabled on this FS)
found 225892401152 bytes used, no error found
total csum bytes: 217257440
total tree bytes: 3289513984
total fs tree bytes: 2747269120
total extent tree bytes: 271155200
btree space waste bytes: 533066137
file data blocks allocated: 2738343133184
 referenced 315154259968

估摸着有戏，赶紧再挂一次mount -o rescue=usebackuproot /dev/nvme0n1p5 /mnt，居然就成了，赶紧dmesg | grep -i btrfs瞧一瞧

[  183.966960] BTRFS info (device nvme0n1p5): using crc32c (crc32c-intel) checksum algorithm
[  183.966967] BTRFS info (device nvme0n1p5): trying to use backup root at mount time
[  183.966968] BTRFS info (device nvme0n1p5): using free space tree
[  183.968909] BTRFS info (device nvme0n1p5): bdev /dev/nvme0n1p5 errs: wr 0, rd 0, flush 0, corrupt 1, gen 0

这时候分区已经正常了，但是这行数字看着扎眼，强迫症不能忍： errs: wr 0, rd 0, flush 0, corrupt 1, gen 0

再来一发btrfs scrub start /mnt，开dmesg -w看下哪些文档没得救

BTRFS info (device nvme0n1p5): scrub: started on devid 1
BTRFS warning (device nvme0n1p5): checksum error at logical 54326345728 on dev /dev/nvme0n1p5, physical 56482217984, root 259, inode 611588, offset 1441792, length 4096, links 1 (path: ferstar/Downloads/log (2).tar.gz)
BTRFS error (device nvme0n1p5): bdev /dev/nvme0n1p5 errs: wr 0, rd 0, flush 0, corrupt 2, gen 0
BTRFS error (device nvme0n1p5): unable to fixup (regular) error at logical 54326345728 on dev /dev/nvme0n1p5
BTRFS warning (device nvme0n1p5): checksum error at logical 123690389504 on dev /dev/nvme0n1p5, physical 125846261760, root 259, inode 2161195, offset 593920, length 4096, links 1 (path: ferstar/pyprojects/hkex/data/files/cf/0cdb845691cbe2c22789c727e00745)
BTRFS warning (device nvme0n1p5): checksum error at logical 123690455040 on dev /dev/nvme0n1p5, physical 125846327296, root 259, inode 2161195, offset 659456, length 4096, links 1 (path: ferstar/pyprojects/hkex/data/files/cf/0cdb845691cbe2c22789c727e00745)
BTRFS error (device nvme0n1p5): bdev /dev/nvme0n1p5 errs: wr 0, rd 0, flush 0, corrupt 3, gen 0
BTRFS error (device nvme0n1p5): bdev /dev/nvme0n1p5 errs: wr 0, rd 0, flush 0, corrupt 4, gen 0
BTRFS error (device nvme0n1p5): unable to fixup (regular) error at logical 123690455040 on dev /dev/nvme0n1p5
BTRFS error (device nvme0n1p5): unable to fixup (regular) error at logical 123690389504 on dev /dev/nvme0n1p5
BTRFS warning (device nvme0n1p5): checksum error at logical 123690463232 on dev /dev/nvme0n1p5, physical 125846335488, root 259, inode 2161195, offset 667648, length 4096, links 1 (path: ferstar/pyprojects/hkex/data/files/cf/0cdb845691cbe2c22789c727e00745)
BTRFS error (device nvme0n1p5): bdev /dev/nvme0n1p5 errs: wr 0, rd 0, flush 0, corrupt 5, gen 0
BTRFS error (device nvme0n1p5): unable to fixup (regular) error at logical 123690463232 on dev /dev/nvme0n1p5
BTRFS info (device nvme0n1p5): scrub: finished on devid 1 with status: 0

把没救的文档删掉，然后清一下错误计数器btrfs dev stats -z /mnt

卸载再挂载一次，日志终于正常，完美

Btrfs loaded, crc32c=crc32c-intel, zoned=yes, fsverity=yes
BTRFS: device fsid 3681c364-deb7-4275-8e5d-9c6991467acb devid 1 transid 104541 /dev/nvme0n1p5 scanned by systemd-udevd (270)
BTRFS info (device nvme0n1p5): using crc32c (crc32c-intel) checksum algorithm
BTRFS info (device nvme0n1p5): disk space caching is enabled
BTRFS info (device nvme0n1p5): enabling ssd optimizations
BTRFS info (device nvme0n1p5): checking UUID tree
BTRFS info (device nvme0n1p5: state M): trying to use backup root at mount time
BTRFS info (device nvme0n1p5: state M): force zstd compression, level 3

附上参考资料：

# NOTE: I am not responsible for any expired content.
create@2023-02-07T06:32:08+08:00
update@2023-02-07T06:32:15+08:00
comment@https://github.com/ferstar/blog/issues/75

Upgrading PostgreSQL from v14 to v15

Fri, 03 Feb 2023 11:51:35 +0800

奶奶的又升16了，都开始刷版本，我不跟了，Docker 钉死先

version: "3.8"

services:
  postgres:
    restart: on-failure
    container_name: pg_pin
    image: postgres:15
    volumes:
      - "./pg_data:/var/lib/postgresql/data"
    environment:
      - DEBUG=false
      - POSTGRES_PASSWORD=xzsDwlk3LqaY
    # ports:
      # - 5432:5432
    network_mode: host

https://wiki.archlinux.org/title/PostgreSQL#Upgrading_PostgreSQL

我的 PG 一般是随项目走的，假设路径：data/pg_data

mv data/pg_data data/pg_data.old
pacman -S postgresql-old-upgrade
initdb -D data/pg_data –locale=zh_CN.UTF-8 –encoding=UTF8
pg_upgrade -b /opt/pgsql-14/bin -B /usr/bin -d data/pg_data.old -D data/pg_data
一切正常后删掉 data/pg_data.old 备份
卸载掉 postgresql-old-upgrade

一些输出：

The files belonging to this database system will be owned by user "ferstar".
This user must also own the server process.

The database cluster will be initialized with locale "zh_CN.UTF-8".
initdb: could not find suitable text search configuration for locale "zh_CN.UTF-8"
The default text search configuration will be set to "simple".

Data page checksums are disabled.

creating directory data/pg_data ... ok
creating subdirectories ... ok
selecting dynamic shared memory implementation ... posix
selecting default max_connections ... 100
selecting default shared_buffers ... 128MB
selecting default time zone ... Asia/Shanghai
creating configuration files ... ok
running bootstrap script ... ok
performing post-bootstrap initialization ... ok
syncing data to disk ... ok

initdb: warning: enabling "trust" authentication for local connections
initdb: hint: You can change this by editing pg_hba.conf or using the option -A, or --auth-local and --auth-host, the next time you run initdb.

Success. You can now start the database server using:

    pg_ctl -D data/pg_data -l logfile start

Performing Consistency Checks
-----------------------------
Checking cluster versions                                   ok
Checking database user is the install user                  ok
Checking database connection settings                       ok
Checking for prepared transactions                          ok
Checking for system-defined composite types in user tables  ok
Checking for reg* data types in user tables                 ok
Checking for contrib/isn with bigint-passing mismatch       ok
Creating dump of global objects                             ok
Creating dump of database schemas
                                                            ok
Checking for presence of required libraries                 ok
Checking database user is the install user                  ok
Checking for prepared transactions                          ok
Checking for new cluster tablespace directories             ok

If pg_upgrade fails after this point, you must re-initdb the
new cluster before continuing.

Performing Upgrade
------------------
Analyzing all rows in the new cluster                       ok
Freezing all rows in the new cluster                        ok
Deleting files from new pg_xact                             ok
Copying old pg_xact to new server                           ok
Setting oldest XID for new cluster                          ok
Setting next transaction ID and epoch for new cluster       ok
Deleting files from new pg_multixact/offsets                ok
Copying old pg_multixact/offsets to new server              ok
Deleting files from new pg_multixact/members                ok
Copying old pg_multixact/members to new server              ok
Setting next multixact ID and offset for new cluster        ok
Resetting WAL archives                                      ok
Setting frozenxid and minmxid counters in new cluster       ok
Restoring global objects in the new cluster                 ok
Restoring database schemas in the new cluster
                                                            ok
Copying user relation files
                                                            ok
Setting next OID for new cluster                            ok
Sync data directory to disk                                 ok
Creating script to delete old cluster                       ok
Checking for extension updates                              ok

Upgrade Complete
----------------
Optimizer statistics are not transferred by pg_upgrade.
Once you start the new server, consider running:
    /usr/bin/vacuumdb --all --analyze-in-stages

Running this script will delete the old cluster's data files:
    ./delete_old_cluster.sh

可能会碰到的报错：

Q: lc_collate values for database “template1” do not match: old “zh_CN.UTF-8”, new “en_US.UTF-8”

A: initdb -D data/pg_data –locale=zh_CN.UTF-8 –encoding=UTF8 指定一样的locale即可

# NOTE: I am not responsible for any expired content.
create@2023-02-03T11:51:35+08:00
update@2023-12-26T02:27:10+08:00
comment@https://github.com/ferstar/blog/issues/74

Linux触控板手势增强之「三指拖拽」

Sun, 29 Jan 2023 02:08:34 +0800

转用 Linux 后一直都比较怀念 macOS 上丝滑的三指拖拽效果，鉴于近几年出的 Windows 本子触控板面积以及跟手性肉眼可见的改善了很多，我觉得是时候在 Linux 上折腾下触控板手势了。

After switching to Linux, I’ve been missing the smooth three-finger drag experience from macOS. Given that recent Windows laptops have significantly improved touchpad size and responsiveness, I decided it was time to tackle touchpad gestures on Linux.

调研与选型 / Research and Selection
#

基本上就是两种实现思路：

解析 libinput debug-events 输出，判断手势进而借用类似 xdotool 之类的工具发送具体的键盘组合或者鼠标点击或位移指令。
直接调用 libinput API，明显此方法性能最优。

实现方案 / Implementation Approach
#

我选择了一个 Rust 实现开抄，负责实现 API 级别的触控手势识别，然后缝合了另一个 Rust 实现，负责实现 API 级别的拖拽效果。

架构逻辑 / Architectural Logic
#

graph TD
    A[Touchpad Event] --> B{libinput}
    B --> C[ferstar/gestures 
Rust Engine]
    C --> D{Display Server}
    D -- X11 --> E[libxdo API]
    D -- Wayland --> F[ydotool daemon]
    E --> G[Smooth Drag / Key Stroke]
    F --> G
    
    style C fill:#f96,stroke:#333,stroke-width:2px
    style G fill:#4ecdc4,stroke:#333,stroke-width:2px

目前项目已发展到 v0.8.1 版本，主要改进包括：

双平台支持：同时支持 X11 和 Wayland（自动检测）
性能优化：
- X11 直接使用 libxdo API，延迟最小
- Wayland 优化 ydotool 集成，60 FPS 节流
- 4 线程池防止 PID 耗尽
- 正则缓存（once_cell::Lazy）
- 事件缓存（1秒）减少配置查找

性能表现 / Performance Metrics
#

CPU 占用极低
- 极限情况：疯狂三指拖拽某窗口，本 fork 实现 CPU 占用不到 1%
- 原实现 5~10%
- Python、Ruby 等实现 20%+
资源占用
- 内存占用不到 5MB
- 程序体积不到 2MB
- 无多余依赖

安装使用 / Installation & Usage
#

依赖安装 / Install Dependencies
#

Ubuntu/Debian:

sudo apt install libudev-dev libinput-dev libxdo-dev xdotool
# Wayland 需要额外安装
sudo apt install ydotool

Arch Linux:

sudo pacman -S libinput xdotool
# Wayland
yay -S ydotool

安装程序 / Install Binary
#

方法 1：直接下载预编译二进制

# 从 Releases 下载最新版本
wget https://github.com/ferstar/gestures/releases/latest/download/gestures
chmod +x gestures
sudo mv gestures /usr/local/bin/

方法 2：Cargo 安装

cargo install --git https://github.com/ferstar/gestures.git

配置说明 / Configuration
#

配置文件使用 KDL 格式，示例：

// 三指拖拽（X11 & Wayland 通用）
gesture "drag" swipe any {
    fingers 3
    acceleration 1.0      // 拖拽速度
    mouse_up_delay 500    // 抬手后延迟（ms）
}

// 四指上滑切换工作区
gesture "switch-workspace-up" swipe up {
    fingers 4
    exec "xdotool" "key" "super+Page_Up"
}

运行程序 / Running the Program
#

Systemd 服务（推荐）/ Systemd Service (Recommended)
#

# 安装服务文件
gestures install-service

# 启动并设为开机自启
systemctl --user enable --now gestures

常见问题 / Common Issues
#

权限问题 / Permission Issues
#

需要将用户加入 input 组：

sudo usermod -aG input $USER

项目链接 / Project Links
#

GitHub: https://github.com/ferstar/gestures
最新发布: https://github.com/ferstar/gestures/releases
问题反馈: https://github.com/ferstar/gestures/issues

Enjoy!

NOTE: I am not responsible for any expired content.
Created at: 2023-01-29T02:08:34+08:00
Updated at: 2026-01-04T06:00:00+08:00
comment@https://github.com/ferstar/blog/issues/73

Do not use Super in comprehension if you need cython

Tue, 24 Jan 2023 01:24:35 +0800

一般项目交付给客户都会把源码打包一下，通常是下面的姿势：

# py to c
cython -X language_level=3 -X annotation_typing=False --directive always_allow_keywords=true debug.py
# c to so
gcc -shared -pthread -fPIC -fwrapv -O2 -Wall -fno-strict-aliasing $(python3-config --includes) -o debug.so debug.c

你会发现源码能行的一些写法，编译以后执行就会报莫名其妙的错误，比如：Super in comprehension

class A:
    def hi(self):
        return range(10)


class B(A):
    @property
    def wow(self):
        return [i for i in super().hi()]


if __name__ == '__main__':
    print(B().wow)

这段代码源码运行没有任何问题，执行B().wow输出就是[0, 1, 2, 3, 4, 5, 6, 7, 8, 9]。但是编译后再运行就会报如下的错：

Python 3.11.6 (main, Nov 14 2023, 09:36:21) [GCC 13.2.1 20230801] on linux
Type "help", "copyright", "credits" or "license" for more information.
>>> import debug
>>> debug.B().wow
Traceback (most recent call last):
  File "", line 1, in 
  File "debug.py", line 10, in debug.B.wow
    
RuntimeError: super(): no arguments

不用担心，这不是你的问题，而是 cython 一个上古的 bug：https://github.com/cython/cython/issues/1828

那团队协作中如何提示组员避免这种写法呢？我们可以借助 pylint 来检查&提示：

from astroid import nodes
from pylint import checkers, interfaces
from pylint.checkers import utils


class SupperInCompChecker(checkers.BaseChecker):
    __implements__ = (interfaces.IAstroidChecker,)

    name = "super-in-comprehension"

    msgs = {
        "R9527": (
            "You need to abstract super() to a variable",
            "do-not-use-super-in-comprehension",
            "Use super() in comprehension may cause compatibility issues with cython.",
        ),
    }
    options = ()

    priority = -1

    @utils.only_required_for_messages(
        "do-not-use-super-in-comprehension",
    )
    def visit_comprehension(self, node: nodes.Comprehension) -> None:
        self._check_super_in_comprehension(node)

    def _check_super_in_comprehension(self, node: nodes.Comprehension) -> None:
        if " super(" not in node.as_string():
            return

        self.add_message("do-not-use-super-in-comprehension", node=node)


def register(linter):
    linter.register_checker(SupperInCompChecker(linter))

至于这个checker怎么用，卖个关子，有心人自己去找：

https://pylint.pycqa.org/en/latest/development_guide/how_tos/custom_checkers.html

最终的效果大概是：

You need to abstract super() to a variable,
do not use super in comprehension...

# NOTE: I am not responsible for any expired content.
create@2023-01-24T01:24:35+08:00
update@2023-12-27T09:08:09+08:00
comment@https://github.com/ferstar/blog/issues/72

gRPC小记

Tue, 24 Jan 2023 01:23:27 +0800

老早前给公司内部写了一个 gRPC 小框架叫 aipod，主要是做模型的搬运工，数据流向大概是这样：

model <-->[train/predict/log]<--> aipod <--> web app

本来是个小玩意，基本跑的还算愉快，但是随着业务发展，传输的数据到M再到G级别时，问题出现了，各种花式断连，不得不重构之，主要干了这么些事情：

改进默认配置
改变传输模式：从简单Unary RPC到Bidirectional Streaming RPC
同步改异步，支持更高的并发
zstd 压缩
引入万能方法，解决多 aipod 实例无法被同 Nginx 分流&负载均衡的问题

改配置
#

实际部署中其实你根本不知道前面会套多少层类似 Nginx 的代理，任意一层超时链接就会被掐掉，所以这里的配置主要是为了降低不必要的断连而准备的，另外增加了超时重试的机制。我直接贴代码，就不解释了

json_config = json.dumps(
    # https://github.com/grpc/proposal/blob/master/A6-client-retries.md
    # https://docs.microsoft.com/en-us/aspnet/core/grpc/retries?view=aspnetcore-6.0#streaming-calls
    {
        "methodConfig": [
            {
                "name": [{"service": "ai.AI"}],
                "retryPolicy": {
                    "maxAttempts": 5,
                    "initialBackoff": "1s",
                    "maxBackoff": "30s",
                    "backoffMultiplier": 2,
                    "retryableStatusCodes": [
                        grpc.StatusCode.INTERNAL.name,
                        grpc.StatusCode.UNAVAILABLE.name,
                        grpc.StatusCode.UNKNOWN.name,
                    ],
                },
                # "retryThrottling":{
                #     "maxTokens": 10,
                #     "tokenRatio": 0.1
                # }
            }
        ]
    }
)
COMMON_OPTIONS = (
    # default is -1, which is unlimited
    ("grpc.max_send_message_length", -1),
    ("grpc.max_receive_message_length", -1),
    ("grpc.default_compression_algorithm", CompressionAlgorithm.gzip),
    ("grpc.grpc.default_compression_level", CompressionLevel.high),
    # References:
    # https://grpc.github.io/grpc/core/group__grpc__arg__keys.html
    # https://cs.mcgill.ca/~mxia3/2019/02/23/Using-gRPC-in-Production
    # https://gist.github.com/xiamx/6f5258511dc9180d3279adef4ffb212a
    # send keepalive ping every 5 second, default is 2 hours
    ("grpc.keepalive_time_ms", 5000),
    # keepalive ping time out after 120 seconds, default is 20 seconds
    ("grpc.keepalive_timeout_ms", 120000),
    # allow keepalive pings when there's no gRPC calls
    ("grpc.keepalive_permit_without_calls", True),
    # allow unlimited amount of keepalive pings without data
    ("grpc.http2.max_pings_without_data", 0),
    # allow grpc pings from client every 5 seconds
    ("grpc.http2.min_time_between_pings_ms", 5000),
    # allow grpc pings from client without data every 5 seconds
    ("grpc.http2.min_ping_interval_without_data_ms", 5000),
)

DEFAULT_CLIENT_OPTIONS = COMMON_OPTIONS + (
    ("grpc.enable_retries", 1),
    ("grpc.service_config", json_config),
)
DEFAULT_SERVER_OPTIONS = COMMON_OPTIONS + (
    # 0 allows the server to accept any number of bad pings
    ("grpc.http2.max_ping_strikes", 0),
)

改传输模式
#

还是为了解决长阻塞任务被中断的问题，关于 Unary RPC 转 Bidirectional Streaming RPC 官方文档都有详细的解释，这里不赘述。本来正常的操作应该是想办法避免、降低长阻塞任务，尽量在超时范围内返回任务结果，但实际上你根本不知道调用方的任务是什么玩意，比如一个预测任务，抠搜客户只给配 CPU 那跑个大几十秒十几分钟都是稀松平常，完全无法控制，也根本无法定一个相对安全的超时时间。所以只能从自己身上下刀了：**分一个线程出来，专门负责给客户端响应心跳，另一个线程等待阻塞任务结束。**这样你甚至不用关心中间到底过多少 Nginx，每个节点的超时时间是多少，再低也不会低于1秒吧？只要下游真正写好异步任务，不阻塞 IO，那么就不会被掐掉链接。

async def chaos(self, request_iter, context):
    raw = Raw(data=b"")
    with tempfile.TemporaryDirectory() as tmp_dir:
        await asyncio.gather(
            self._receive_stream(context, request_iter, raw, tmp_dir),  # 这个方法负责等待阻塞任务结束，收结果。
            self._send_stream(context, raw),
        )

@staticmethod
async def _send_stream(context, var: Raw):
    while not var.data:
        # 没结果就一直发心跳包给客户端
        await context.write(Raw(data=PONG.encode()))
        await asyncio.sleep(1)
    await context.write(var)

改异步
#

这个没说的，别让 CPU 闲着嘛，多浪费。gRPC 官网有很好的示例代码，我顺路增加了 health check 以及 graceful shutdown 支持。

def _configure_maintenance_server(
    server: grpc.Server, address: str
) -> health.HealthServicer:
    server.add_insecure_port(address)
    # Create a health check servicer. We use the non-blocking implementation
    # to avoid thread starvation.
    health_servicer = health.HealthServicer()

    # Create a tuple of all the services we want to export via reflection.
    services = tuple(
        service.full_name for service in ai_pb2.DESCRIPTOR.services_by_name.values()
    ) + (reflection.SERVICE_NAME, health.SERVICE_NAME)

    # Mark all services as healthy.
    health_pb2_grpc.add_HealthServicer_to_server(health_servicer, server)
    for service in services:
        health_servicer.set(service, health_pb2.HealthCheckResponse.SERVING)
    reflection.enable_server_reflection(services, server)
    return health_servicer


async def sig_handler(serve_instance: "Serve", sig_num):
    logger.warning("Signal number: %s received, shutting down...", sig_num)
    serve_instance.health_servicer.enter_graceful_shutdown()
    serve_instance.model_instance.instance_pool.enter_graceful_shutdown()
    while serve_instance.model_instance.instance_pool.pool:
        if serve_instance.model_instance.instance_pool.release():
            break
        logger.warning("Waiting for model instance to be released...")
        await asyncio.sleep(1)
    await serve_instance.server.stop(30)
    logger.info("RPC server shutdown complete")



class Server:
    ...
    async def __aenter__(self):
        self.server = grpc.aio.server(
            futures.ThreadPoolExecutor(
                max_workers=self.rpc_max_workers or None,
            ),
            options=merge_options(DEFAULT_SERVER_OPTIONS, self.options),
        )
        self.model_instance = AIServicer(self.model)
        self.clear_work_dirs(self.model_instance.instance_pool.datapath)
        ai_pb2_grpc.add_AIServicer_to_server(self.model_instance, self.server)
        self.server.add_insecure_port(self.address)
        self.health_servicer = _configure_maintenance_server(self.server, self.address)
        await self.server.start()
        logger.info(f"listening address: {self.address}")
        loop = asyncio.get_event_loop()
        for sig in (signal.SIGHUP, signal.SIGINT, signal.SIGTERM):
            loop.add_signal_handler(
                sig, lambda s=sig: asyncio.create_task(sig_handler(self, s))
            )
        return self

zstd 压缩
#

这玩意比 gzip 压缩率大还快，没理由不用，但 gRPC 暂时还没有支持，咋办？魔改呗，把大二机制参数值用 zstd 自己压一遍，收的时候再解就 OK，虽然费了手续，但能省可观的网络 IO，可太值了。

# 发
def _prepare_stream_data(
    self, binary_data: Union[bytes, Path, str], *, raw_input=False, **kwargs
) -> Generator[Union[Raw, StreamInput], None, None]:
    assert all(
        not k.startswith("_aipod") for k in kwargs
    ), 'The key argument must not start with "_aipod"'
    buffer_size = io.DEFAULT_BUFFER_SIZE * 4  # Usually 8k * 4
    cctx = zstandard.ZstdCompressor()
    if isinstance(binary_data, bytes):
        size = len(binary_data)
        if size > buffer_size:
            logger.warning(
                f"Binary data size {size} is larger than buffer size {buffer_size}, please pass the original path or iterable object instead of binary data"
            )
        bytes_io = io.BytesIO(binary_data)
        bytes_io.seek(0)
        bin_iter = cctx.read_to_iter(bytes_io, write_size=buffer_size)
    elif isinstance(binary_data, (str, Path)):
        path = Path(binary_data) if isinstance(binary_data, str) else binary_data
        size = path.stat().st_size
        bin_iter = read_in_zstd_chunks(path, cctx=cctx, chunk_size=buffer_size)
    else:
        raise TypeError(
            f'"binary_data" must be bytes, str or Path, got {type(binary_data)}'
        )
    kwargs_json = encode_data({**kwargs, BIN_SIZE_KEY: size}, cctx=cctx)
    if raw_input:
        yield Raw(data=kwargs_json)
        for chunk in bin_iter:
            yield Raw(data=chunk)
    else:
        # send params first
        yield StreamInput(
            kwargs_json=kwargs_json,
            version=self.version,
            raw=Raw(data=b""),
        )
        # then send binary data in chunks
        for chunk in bin_iter:
            yield StreamInput(
                kwargs_json=b"{}",
                version="",
                raw=Raw(data=chunk),
            )

    kw_len = len(kwargs_json)
    if kw_len > buffer_size:
        logger.warning(
            f"Kwargs size {kw_len} is larger than buffer size {buffer_size}, please use binary_data instead of kwargs to send large data"
        )

# 收
async def _receive_stream(self, context, request_iter, var: Raw, work_dir):
    meta = dict(context.invocation_metadata())
    logger.info(f"Got stream request: {meta}")
    kwargs = None
    model = None
    dctx = zstandard.ZstdDecompressor()
    lock = FileLock(os.path.join(work_dir, ".lock"))
    compressed_path = os.path.join(work_dir, "compressed")
    decompressed_path = os.path.join(work_dir, "decompressed")
    with lock:
        with open(compressed_path, "wb") as file_obj:
            async for raw in request_iter:
                if kwargs is not None:
                    file_obj.write(raw.data)
                    continue
                kwargs = decode_data(raw.data, dctx=dctx)
                model = self.instance_pool.get(kwargs.get("version"))
                if not hasattr(model, meta.get("x-func-name", "chaos")):
                    context.set_code(grpc.StatusCode.UNIMPLEMENTED)
                    context.set_details(
                        f"\"{model.__class__}.{meta.get('x-func-name', 'chaos')}\" not implemented yet"
                    )
                    var.data = PONG.encode()
                    return
        with open(compressed_path, "rb") as file_in, open(
            decompressed_path, "wb"
        ) as file_out:
            for chunk in dctx.read_to_iter(file_in):
                file_out.write(chunk)
        # 这里是我上面说的万能方法，客户端可以通过meta data选择服务端的func
        result = await getattr(model, meta["x-func-name"])(
            context, decompressed_path, **kwargs
        )
        var.data = encode_data(
            result.decode() if isinstance(result, bytes) else result
        )

多实例 Nginx 均衡
#

鉴于本框架带载能力太强，实测单次超4GB都稳如老狗，所以渐渐有他组产品也来套用，这时候问题来了：protocol 是固定的，假如我接了 xxx yyy zzz 三个模型，这三个模型不巧又同时被一个 Nginx 代理，他们的 location 是一样的/ai.AI 那咋分流呢？改 protocol 是不可能改的，我懒，走了另一条道，其实包括万能方法chaos以内，都已经体现在上面代码里了。剩下 Nginx 的配置简单提一下：

# x-func-name 可以指定 server 端用哪个方法来处理数据
# 至于数据处理以及不同服务分流、负载均衡等均可以利用 gRPC 的 metadata 功能由客户端自由控制（在服务端实现了相应功能`hello`的前提下）
# result = asyncio.run(model.chaos(bin_path, metadata=[('x-upstream', 'xxx'), ('x-func-name', 'hello')], **kwargs))

upstream xxx {
    server 192.168.90.9:1082;
    server 192.168.90.9:1083;
    keepalive 2000;
}

upstream yyy {
    server 192.168.90.10:1082;
    server 192.168.90.10:1083;
    keepalive 2000;
}

upstream zzz {
    server 192.168.90.11:1082;
    server 192.168.90.11:1083;
    keepalive 2000;
}

server {
    location /ai.AI/chaos {
        # 客户端可以通过 metadata.x-upstream 参数来指定具体的后端服务
        # 不指定默认为 chaos
        grpc_pass $http_x_upstream;
        grpc_read_timeout 600s;
        grpc_send_timeout 600s;
        grpc_socket_keepalive on;
        client_max_body_size 0;
    }
}

gRPC Health Checking
#

参考：https://github.com/grpc/grpc/tree/master/examples/python/xds 实现了 Health Checking 支持，可以通过命令行工具grpcurl进行健康检查

> grpcurl --plaintext localhost:50051 grpc.health.v1.Health.Check

{
  "status": "SERVING"  // "NOT_SERVING"即表示该实例处于graceful shutdown状态, 不能再接受新的请求
}

使用 Nginx 时，可以参考：https://www.nginx.com/blog/nginx-plus-r23-released/#New-Features-in-Detail 为服务添加健康检查

# NOTE: I am not responsible for any expired content.
create@2023-01-24T01:23:27+08:00
update@2023-12-25T03:26:04+08:00
comment@https://github.com/ferstar/blog/issues/71

AX3600 终极改造：ShellClash 替换 Clash-Meta 核心，完美支持 Hysteria 2

Tue, 24 Jan 2023 01:17:09 +0800

这个路由的 root 包括安装 shellclash 这个帖子介绍的很清楚：https://qust.me/post/ax3600_shellclash/

我自然懒得赘述，下面主要提一下如何替换 clash-meta 核心以支持 hysteria 以及 tuic 这种非主流代理协议的方法 #66

当然是先下载 clash 的啦（选 arm64 ）：https://github.com/MetaCubeX/Clash.Meta/releases，我用 Alpha，就是这么头铁
解压&塞到路由器里

悲剧的事情发生了：clash-meta 这玩意解压完近 20MB，你看了下折腾完 shellclash 的路由根分区：只剩不到 8MB，灵机一动，掏出加壳压缩大法 upx，同样，先从官网下载 https://github.com/upx/upx

压缩之：upx -9 clash，最后 7MB 不到的样子，可以轻松塞进路由，替换掉原有 clash

root@XiaoQiang:~# du -sh /data/clash/clash
6.6M    /data/clash/clash
root@XiaoQiang:~# file /data/clash/clash
/data/clash/clash: ELF 64-bit LSB executable, ARM aarch64, version 1 (SYSV), statically linked, corrupted section header size
root@XiaoQiang:~# /data/clash/clash -v
Clash Meta alpha-096bb8d linux arm64 with go1.19.5 Mon Jan 23 06:08:40 UTC 2023

你以为这就完了？naive，默认固件有个地方乱拉屎 /data/usr/log，莫名其妙就会被 log 文件塞满，导致网络不定时卡顿，所以得弄个任务定时清一波

root@XiaoQiang:/data/usr/log# crontab -l
*/15 * * * * /usr/sbin/ntpsetclock 60 log >/dev/null 2>&1
#* * * * * /usr/sbin/startscene_crontab.lua `/bin/date "+%u %H:%M"`
0 12 * * * /usr/sbin/recordscene_crontab.lua
45 23 * * * /usr/sbin/points_sysset_pro.lua >/dev/null 2>&1
#*/1 * * * * /usr/sbin/wwdog
0 20 * * * /usr/bin/stat_lan
0 5 * * 3 /etc/init.d/web_filter_record restart >/dev/null 2>&1
0 3 * * * /etc/init.d/sysapihttpd restart >/dev/null 2>&1
0 8,19 * * * /usr/sbin/netdig.sh >/dev/null 2>&1
*/2 * * * * sh /usr/sbin/xqwhc_push.cron >/dev/null 2>&1
#*/1 * * * * /sbin/trafficd_cpucheck_wifisync.sh
0 3 * * * /usr/sbin/rmportscanresult.sh >/dev/null 2>&1
30 3 * * 1~7 /data/clash/start.sh restart >/dev/null 2>&1 #每周1~7的3点30分重启clash服务
*/3 * * * * rm -rf /data/usr/log/*  # 清垃圾日志
*/10 * * * * test -n "$(pidof clash)" && /data/clash/start.sh web_save #每10分钟保存节点配置

看着上面这一坨定时任务不禁有想把这玩意刷个原生 openwrt 的冲动，但回想 N 年前折腾 openwrt 孱弱的无线驱动浪费的青春，算了放弃，又不是不能用，要啥自行车。

One more thing，hysteria 这个协议比较吃 CPU，建议适当限制下行参数以降低路由负载，我一般用 100 mbps 足够用了。

# NOTE: I am not responsible for any expired content.
create@2023-01-24T01:17:09+08:00
update@2023-01-24T17:19:55+08:00
comment@https://github.com/ferstar/blog/issues/70

Ubuntu安装第三方内核后如何使用linux-common-tools

Tue, 24 Jan 2023 01:11:05 +0800

Ubuntu 有点讨厌，内核相关的包给拆好几个，如果一直官方内核倒也没啥，关键官方内核太老，我一般第一时间就会替换成第三方的内核，比如：https://github.com/xanmod/linux

但是一旦换成第三方内核，你要使用类似 perf cpupower 这种内核相关命令的时候就会提示下面的错误：

perf
WARNING: perf not found for kernel 6.1.7-x64v3

  You may need to install the following packages for this specific kernel:
    linux-tools-6.1.7-x64v3-xanmod1
    linux-cloud-tools-6.1.7-x64v3-xanmod1

  You may also want to install one of the following packages to keep up to date:
    linux-tools-xanmod1
    linux-cloud-tools-xanmod1

缺包，但还贴心的给出了提示，估计是做了一层包装，我们拆开看看：

~ head -n 18 $(which perf)
#!/bin/bash
full_version=`uname -r`

# First check for a fully qualified version.
this="/usr/lib/linux-tools/$full_version/`basename $0`"
if [ -f "$this" ]; then
        exec "$this" "$@"
fi

# Removing flavour from version i.e. generic or server.
flavour_abi=${full_version#*-}
flavour=${flavour_abi#*-}
version=${full_version%-$flavour}
this="$0_$version"
if [ -f "$this" ]; then
        exec "$this" "$@"
fi
...

显然是从/usr/lib/linux-tools/$(uname -r)这个目录里去找perl了，解决也很简单：

拉内核源码编译perf二进制塞到上面的目录
因为这种工具代码更新频率很低，所以可以直接从低版本官方内核包中拖出来，丢到上面的目录

迫于太懒，我肯定选方法二：

mkdir -p /usr/lib/linux-tools/$(uname -r)
apt download linux-tools-5.19.0-21
# 把deb解压，/./usr/lib/linux-tools-5.19.0-21/ 目录里的文件全拷贝到 /usr/lib/linux-tools/$(uname -r)

大概的目录结构是这样：

➜  ~ uname -a
Linux u2004-p13 6.1.7-x64v3-xanmod1 #0~20230118.a4fbffc SMP PREEMPT_DYNAMIC Wed Jan 18 23:47:06 UTC  x86_64 x86_64 x86_64 GNU/Linux
➜  ~ tree /usr/lib/linux-tools/6.1.7-x64v3-xanmod1
/usr/lib/linux-tools/6.1.7-x64v3-xanmod1
├── acpidbg
├── bpftool
├── cpupower
├── libperf-jvmti.so
├── perf
├── turbostat
├── usbip
├── usbipd
└── x86_energy_perf_policy

0 directories, 9 files

敲个命令试试看：

➜  ~ cpupower frequency-info
analyzing CPU 0:
  driver: acpi-cpufreq
  CPUs which run at the same hardware frequency: 0
  CPUs which need to have their frequency coordinated by software: 0
  maximum transition latency:  Cannot determine or is not supported.
  hardware limits: 1.40 GHz - 1.80 GHz
  available frequency steps:  1.80 GHz, 1.70 GHz, 1.40 GHz
  available cpufreq governors: conservative ondemand userspace powersave performance schedutil
  current policy: frequency should be within 1.40 GHz and 1.80 GHz.
                  The governor "performance" may decide which speed to use
                  within this range.
  current CPU frequency: Unable to call hardware
  current CPU frequency: 1.90 GHz (asserted by call to kernel)
  boost state support:
    Supported: yes
    Active: no

完美，后续内核有更新的话，只需要重命名一下 /usr/lib/linux-tools/$(uname -r) 即可

有关的几个issue:

# NOTE: I am not responsible for any expired content.
create@2023-01-24T01:11:05+08:00
update@2023-01-24T16:51:52+08:00
comment@https://github.com/ferstar/blog/issues/69

更换Manjaro默认坑爹的grub

Tue, 24 Jan 2023 00:57:55 +0800

前阵子换了个新电脑，重装是不可能的，于是拷一份老机的数据到新机，具体过程不表，基本就是 #32 说的那套。

搞完发现系统么发启动，具体报错忘了，大概就是找不到启动配置的意思，这种一般就是grub的问题，于是进/boot/efi瞧一瞧：

cd /boot/efi/EFI/manjaro
strings grubx64.efi | grep gpt
# 以下为输出
partmap/gpt.c
part_gpt
grub_gpt_partition_map_iterate
(,gpt5)/@/boot/grub

好家伙，这里把grub入口写死了，我旧盘root在gpt5，但新盘是gpt2，咋玩呢？一种方法是搞个Manjaro的rescure镜像，从镜像chroot进去给重装一下grub，见：https://wiki.manjaro.org/index.php/UEFI_-_Install_Guide

鉴于对这种写死做法的鄙夷，我决定换一种优雅的解决办法：

~~随便找了个 Ubuntu 的 Server 镜像，从里面把 /efi/{Boot,ubuntu} 一起拷贝出来~~

~~把 /boot/efi/EFI/Boot/bootx64.efi 用 Ubuntu 的替换掉~~

其实完全可以用grub-mkimage这个工具来自定义生成一个个性的efi文件：

grub-mkimage -o bootx64.efi -O x86_64-efi -p /EFI/helloworld ntfs hfs appleldr \
  boot cat efi_gop efi_uga elf fat hfsplus iso9660 linux keylayouts memdisk \
  minicmd part_apple ext2 extcmd xfs xnu part_bsd part_gpt search \
  search_fs_file chain btrfs loadbios loadenv lvm minix minix2 reiserfs \
  memrw mmap msdospart scsi loopback normal configfile gzio all_video efi_gop \
  efi_uga gfxterm gettext echo boot chain eval ls test sleep png gfxmenu part_msdos

把 /boot/efi/EFI/ubuntu 复制过去，修改一下 grub.cfg 里面的 uuid 指向新盘 root 分区的 uuid 即可

search.fs_uuid f622fc86-161c-42dc-9a19-9c3c756d6ced root
set prefix=($root)'/@/boot/grub'  # 这里我用的是 btrfs 子卷 @ 作为 rootfs
configfile $prefix/grub.cfg

可以看一下 Ubuntu 这个 grubx64.efi 的部分内容 strings grubx64.efi | grep cfg

%s/grub.cfg
feature_net_search_cfg

引导路径是这样的：EFI -> Boot -> bootx64.efi -> grubx64.efi -> grub.cfg -> rootfs/grub.cfg -> boot，比 Manjaro 多了按配置查找 grub.cfg 的这一步，我觉得很赞。

当然这个方式有个小瑕疵：如果你用类似 refind 这种 boot manager 的话，会发现启动 Manjaro 的启动图标变成了 Ubuntu，明显这玩意是靠 /boot/efi/EFI/xxx 来判断目标OS的，对于我这种 N 久不关机的人来说，可以忽略不计。

强迫症患者可以在正常进入 Manjaro 以后自行重装 grub，然后删除 /boot/efi/EFI/ubuntu 即可。

# NOTE: I am not responsible for any expired content.
create@2023-01-24T00:57:55+08:00
update@2023-02-09T15:16:17+08:00
comment@https://github.com/ferstar/blog/issues/68

Code is cheap, let's talk

万万没想到 6202 年了我还用 crontab + HTTP Header 同步时钟

事情是这样的 #

排查过程 #

第一步：以为是网络问题 #

第二步：抓包确认 #

第三步：检查代理 #

真正的凶手：时钟漂移 #

解决方案：HTTP Date Header 手动同步 #

步骤一：禁用失效的 chrony #

步骤二：手动对齐时钟 #

步骤三：定时任务持久化 #

教训 #

KVM GPU 直通与单节点 K8s 监控落地记录

场景与目标 #

故障现象与修复路径 #

1) 黑屏与 PCI 资源不足 #

2) IP 不通（DHCP 绑定） #

3) 资源调整（内存 + NUMA） #

验证方式（GPU / K8s / 监控） #

关键配置片段 #

containerd 代理（无外网） #

GPU Operator + Prometheus #

DCGM 指标接入 Prometheus #

小结（可复用清单） #

VPS 迁移与性能压榨手册 (Debian 13 + XanMod + 443 端口复用)

1. 基础环境 #

2. 内核与内存优化 (Kernel 6.18+) #

2.1 升级 XanMod Edge #

2.2 内存压榨与持久化 (zswap + MGLRU + KSM) #

3. 网络架构：443 端口全能复用 (SNI Proxy) #

3.1 Nginx 全局配置 (/etc/nginx/nginx.conf) #

3.2 架构优势 #

3.3 异步 IO 优化 #

4. 防火墙配置 (UFW) #

5. Let’s Encrypt 泛域名证书管理 #

5.1 DNS 验证配置 (Cloudflare) #

5.2 自动续期逻辑 #

6. 应用配置模板 #

6.1 Hysteria v1 #

6.2 Hysteria v2 #

6.3 TUIC v5 #

6.4 Filebrowser #

AI-First 博客治理记录：SEO、重定向与中英双语落地

1. GSC 给我的一记闷棍：海外曝光很高，但没人点 #

2. 重定向：最不起眼，但最容易把收录搞崩 #

3. 双语：我不想要“只有英文摘要”的那种 #

4. 把规则写下来：AGENTS.md #

结语 #

基于 Teleport + Tailscale 的 GPU 集群访问控制与审计实战

架构速览 #

踩坑 1：端口太多 #

踩坑 2：内网节点装 Agent 装不上 #

踩坑 3：WebSocket 断连 #

踩坑 4：Docker 端口绕过 iptables #

踩坑 5：Nginx 指向 VPN IP 导致循环依赖 #

权限设计 #

核心配置 #

App Access（补充） #

Vibe Coding 实战：当代码不再需要手写

一、一个事实 #

1.1 数据冲击 #

1.2 角色转变 #

二、为什么能做到 #

2.1 上下文为王 #

2.2 瓶颈转移 #

三、怎么做到的 #

3.1 项目级上下文：CLAUDE.md #

案例：ast-grep 如何拦截 AI 的坏习惯 #

3.2 自动化验证体系 #

ast-grep：项目特定的 AI 防护栏 #

踩坑实录 #

ROI #

3.3 标准化设计 #

DDD 分层 #

命名规范 #

目录约定（与本仓库一致） #

3.4 提示词工程 #

分步确认模式 #

常用技巧 #

事情是这样的
#

排查过程
#

第一步：以为是网络问题
#

第二步：抓包确认
#

第三步：检查代理
#

真正的凶手：时钟漂移
#

解决方案：HTTP Date Header 手动同步
#

步骤一：禁用失效的 chrony
#

步骤二：手动对齐时钟
#

步骤三：定时任务持久化
#

教训
#

场景与目标
#

故障现象与修复路径
#

1) 黑屏与 PCI 资源不足
#

2) IP 不通（DHCP 绑定）
#

3) 资源调整（内存 + NUMA）
#

验证方式（GPU / K8s / 监控）
#

关键配置片段
#

containerd 代理（无外网）
#

GPU Operator + Prometheus
#

DCGM 指标接入 Prometheus
#

小结（可复用清单）
#

1. 基础环境
#

2. 内核与内存优化 (Kernel 6.18+)
#

2.1 升级 XanMod Edge
#

2.2 内存压榨与持久化 (zswap + MGLRU + KSM)
#

3. 网络架构：443 端口全能复用 (SNI Proxy)
#

3.1 Nginx 全局配置 (`/etc/nginx/nginx.conf`)
#

3.2 架构优势
#

3.3 异步 IO 优化
#

4. 防火墙配置 (UFW)
#

5. Let’s Encrypt 泛域名证书管理
#

5.1 DNS 验证配置 (Cloudflare)
#

5.2 自动续期逻辑
#

6. 应用配置模板
#

6.1 Hysteria v1
#

6.2 Hysteria v2
#

6.3 TUIC v5
#

6.4 Filebrowser
#

1. GSC 给我的一记闷棍：海外曝光很高，但没人点
#

2. 重定向：最不起眼，但最容易把收录搞崩
#

3. 双语：我不想要“只有英文摘要”的那种
#

4. 把规则写下来：AGENTS.md
#

结语
#

架构速览
#

踩坑 1：端口太多
#

踩坑 2：内网节点装 Agent 装不上
#

踩坑 3：WebSocket 断连
#

踩坑 4：Docker 端口绕过 iptables
#

踩坑 5：Nginx 指向 VPN IP 导致循环依赖
#

权限设计
#

核心配置
#

App Access（补充）
#

一、一个事实
#

1.1 数据冲击
#

1.2 角色转变
#

二、为什么能做到
#

2.1 上下文为王
#

2.2 瓶颈转移
#

三、怎么做到的
#

3.1 项目级上下文：CLAUDE.md
#

案例：ast-grep 如何拦截 AI 的坏习惯
#

3.2 自动化验证体系
#

ast-grep：项目特定的 AI 防护栏
#

踩坑实录
#

ROI
#

3.3 标准化设计
#

DDD 分层
#

命名规范
#

目录约定（与本仓库一致）
#

3.4 提示词工程
#

分步确认模式
#

常用技巧
#

核心原则
#

四、边界与止损
#

4.1 甜点区 vs 泥潭
#

案例：性能优化的正确姿势（脱敏）
#

4.2 放弃阈值
#

4.3 AI 常见错误（真实案例）
#

1. 过度简化 — 破坏隐含逻辑
#