🏠

晓东 - 对外

综合

整体

经常巡查对外发表之内容,以免影响使用者:
  • 对外发表类型有:域名网址、文件存储、定时任务、IM邮箱等。
  • 定时任务:Github每日执行
  • 操作系统环境:
  Debian 13 - Linux Kernel=6.1、nginx=v1.26.x、default-jdk=v21、docker.io=v26.1.x
    说明 - Linux内核6.1已够用,无需自行升级了;
          Nginx 1.25起方支持HTTP/3.0;JDK 21起方支持虚拟线程。
  • 自用服务间所调用API接口等
持续改造为 出错响应标准 RFC 9457时间间隔标准 ISO 8601
  • 云平台服务账号:
  Google登录用户(用于Cloud Shell或GCP之外/权限较高/g*@gmail.com)
    Google Cloud Run - Artifact Registry Administrator用于推送jib镜像(gcp-faas)
      说明 - project-123456.appspot.com 有免费额度;网页控制台无法指定子目录,故用命令行挂载。
      gcloud beta run services update java-main \
        --add-volume name=gcp-faas-dir,type=cloud-storage,bucket=project-123456.appspot.com,mount-options="only-dir=more/gcp-faas-dir" \
        --add-volume-mount volume=gcp-faas-dir,mount-path=/opt/gcp-faas-dir/
      访问 - https://*.asia-east1.run.app/.well-known/x/gcp-faas-dir/us.svg

  Google云服务账号(用于GCP GCE内/普通权限/123456789012-compute@developer.gserviceaccount.com):
    ...

  Google云服务账号(用于GCP GAE内/普通权限/project-123456@appspot.gserviceaccount.com):
    ...
  • 开发并应用新技术:
Quarkus 原生编译 - 将虚拟机程序编译为原生本地程序,节省内存、提升启动速度。
Java CRaC(基于Linux CRIU) - 快照化启动后的程序内存,跳过启动阶段,加速提供服务;已用于 Open Liberty InstantOn。
对外服务一览表:
按服务类型:
类型 内容 其他
Web服务 
Docker免配置即可“开机启动”,故暂不用Podman。
阿里云企业版服务器(199元/年)较优惠
 Nginx、HAProxy
纯静态 Java和Godot文档 - https://item.congci.com/ 服务器重建时需要下载文档,并解压至 /var/www/ 目录
PaaS GAE - 文章发布管理;每日、每周等执行计划 GAE会将 HTTP/2 请求都转换为 HTTP/1.1 请求。
GAE请求+响应超时时间为10分钟。
FaaS、Serverless
Cloud Functions		 谷歌将Cloud Functions并入了Cloud Run
指向ghs.googlehosted.com后国内ping高达300ms		 因Nginx的proxy_http_version和GAE均不支持HTTP/2
故使用 Google Cloud Run+Jetty(h2c) 来直连Web,测试新技术。
存储、备份、网盘 GCS、COS(为GCS的同步镜像) ...
Google Apps Script Google Maps API/Gmail API/iframe网页 个人账号或G Suite免费版每天总运行时间为90分钟
Google Workspace则为6小时
网址在"管理部署"中。
Email GAE Mail API
谷歌 Apps Script
SendGrid/Mailgun Email API
Amazon SES		 需开通Google Cloud
需开通Google Workspace
Send 100 emails/day for free(免信用卡)
仅首年免费
FCM 每月给每个设备发一条高优先级消息进行保活!
数据库/数据表、文档集合:
类型 项目 描述 其他
数据库 
oauth、other
 OAUTH2用户表和CMS文章表
Firestore GlobalAPI-KV-Forever
GlobalAPI-KV-Weekly
Push-AllDevices
_ah_SESSION		 永久Key/Value存储(约1MiB内)
SHARE-TEMP-DATA_前缀文档用于“文件在线分享”
Web Push API+FCM设备上报表
GAE应用保持Session会话		 需添加额外到期日TTL字段(expireAt),非精确时间清除。
GCS gs://staging.project-123456.appspot.com/more/gcp-faas-dir 临时上传文件(15天自动删除)
服务器性能:
类型 项目 描述 其他
主营 从此网 ping值25ms-36ms(阿里云杭州) CMS、游戏服务器
国外 abc.passed.app ping值82ms-130ms(Vultr新加坡/亲测联通晚高峰至次日3点丢包45%) GCP、AI集成
自用 Xiaodo.ng ping值193ms-204ms(搬瓦工洛杉矶) Xray(v2ray-core)
敏感易墙 ghs.googlehosted.com
faas.passed.app		 ping值214ms-240ms(任播) HTTP/2流式上传
GCP免费主机 IP不固定 ping值210ms(美国西部) 新技术试验场
其他:
类型 项目 描述 其他
空白favicon.ico favicon-temporary.ico 支持301转向 256x256px
主要

对外资源总表

原则
综述
标准端口(80/443)被封 - 通过HTTP/3的Alt-Svc头自定义Web服务端口。
裸域名(Naked Domain) - CNAME与MX记录冲突问题可通过"SVCB/HTTPS记录"解决,静态资源应使用子域名,避免请求时总是带上Cookie头。
网站、服务器
生产服务器 若无额外组件的容器JVM参数合理值为 -XX:MaxRAMPercentage=95
非重要JVM程序可开启参数:--enable-preview
容器内存合理值观察命令:docker stats our-cms-web
技术方案内存低占用排序:
    Quarkus(GraalVM)、JVM、Open Liberty(只开启所用能力项,勿全量);
    Spring(仅用于OAuth2 Server) - 由于 spring-authorization-server 不支持暴露 @WebServlet("/x/*") 和 @jakarta.websocket.server.ServerEndpoint 标注的路径,故该项目不使用非 Spring 控制器的服务。
      纯 Spring 项目用 spring-boot-starter-websocket 库的 @Bean 提供 ServerEndpointExporter 及 @EnableWebSocket 即可暴露其路径。

服务器 综述:
  安装后更新下源列表: 
    sudo apt update
    [可选/升级] sudo apt upgrade  遇到协议文档则在冒号后输入q代表已看。

  Debian系统Stable版软件都太老旧,故应启用依然稳定的“反向移植”新版本:
    sudo vim /etc/apt/sources.list  将 bookworm-backports 行前注释移除。
    sudo apt update
    sudo apt -t bookworm-backports upgrade  若输入Y则更新全部反向移植包。
    sudo apt -t bookworm-backports search curl  加 -t 临时切源;或 线上搜索包
    sudo apt -t bookworm-backports install curl

    若自用系统,可将sources.list内所有代号(比如bookworm)换为testing字样。

    说明 - ifconfig命令包net-tools已停止开发,并被iproute2包取代了,对应命令为ip addr。

  服务器业务工具:
    Debian 12.8稳定版nginx为不支持HTTP/3的v1.22.1,故切换为testing源的v1.26.0。
    Debian 12.8稳定版docker容器为v20,Docker 23+才支持CHECKPOINT_RESTORE,故切换为testing源的v26+。

服务器 安全:
  暴力破解防护:
    最近登录账户命令 last 所在包为 sudo apt install wtmpdb
    查看失败登录日志,若同一秒多次失败就可能是暴力破解:
      lastb -30    该命令已删除,用以下命令取代👇
      journalctl --facility=auth -t sshd -g "fail|invalid|error|timeout" -n 30
    由于基于root账户名破解的居多,故禁止该账号远程访问,通过小号 sudo ls / + 小号密码切换用:
      sudo vim.tiny /etc/ssh/sshd_config 注释掉 PermitRootLogin yes 即为禁止root+密码访问 PermitRootLogin prohibit-password
      sudo service ssh restart
    屏蔽暴力破解者的IP地址(独立于防火墙/Debian可用/其他Linux另说):
      sudo vim.tiny /etc/hosts.deny 按行追加 sshd:218.92.0.246 后马上生效
      或用 自动化禁IP工具 sudo apt install fail2ban

网站应用多域名网址规划:
  裸域名 - https://congci.com/.well-known/static/images/core/logo.svg
  子域名 - https://fun.congci.com/.well-known/static/images/more/websites/fun/chinese-beauty-1024x1024.jpg
  • 文件存储 - GCS、COS https://cdn.openle.com/
  说明 - 大陆采用海外域名 https://tsc.openle.com 跳转至国内主机的方式,海外则直接用海外域名 https://staticfiles.openle.com https://abc.passed.app 。
  GCS - 主要存储方式
    长期不删存储 - 存储桶:project-123456.appspot.com  文件:staticfiles.openle.com/.well-known/static/public/v1/storage/people/more/ 或 main/ 或 other/2024/x.txt
    随时可删存储 - 存储桶:project-123456.appspot.com  文件:staticfiles.openle.com/.well-known/static/public/v1/storage/people/temporary/anytime/
    按期删除存储 - 存储桶:project-123456.appspot.com  文件:staticfiles.openle.com/.well-known/static/public/v1/storage/people/temporary/time/yearly/、monthly/、weekly/
    满了才删存储(不设失效期) - 存储桶:project-123456.appspot.com  文件:staticfiles.openle.com/.well-known/static/public/v1/storage/people/temporary/fifo/
    
    常用工具链接 跳转映射:
        映射为 https://staticfiles.openle.com/.well-known/static/public/v1/storage/people/more/app-tools/vmware/[latest-version].exe
                                
  • 网站服务器(mainweb/大陆服务器速度快):
  网关、反向代理 - nginx非容器 配置文件路径:/etc/nginx/conf.d/default.conf
  从此 - docker容器 https://congci.com/、https://info.congci.com/、https://nav.congci.com/、https://fun.congci.com/、https://download.congci.com/
  怕啥 - docker容器(自定义端口可规避备案) https://passed.app/、https://games.passed.app/
    对外主要接口 - 发文章用的拼音+横杠 https://passed.app/main/apis/more/default/ga/anonymous/main/pinyin-url-slug
  技术服务中心 - docker容器 https://tsc.openle.com/
    对外脚本和样式表 - https://tsc.openle.com/.well-known/static/scripts/pv.js、https://tsc.openle.com/.well-known/static/styles/top-n-area.css
  开放度 - docker容器 https://openness.openle.com/ 
  • 次要服务器(moreweb/Vultr新加坡机房):
  注意 - 由于docker和ufw网络冲突,故关闭后者 ufw disable ,换用云后台防火墙。
  网关、反向代理 - nginx非容器 配置文件路径:/etc/nginx/conf.d/default.conf
  Anywhere But China - docker容器(Docker 23+支持CHECKPOINT_RESTORE) https://abc.passed.app/
    安装Docker 23+:
      curl -fsSL https://get.docker.com -o get-docker.sh
      sudo sh ./get-docker.sh
    API接口 - 上传文件至GCS临时目录 https://abc.passed.app/main/apis/more/default/ga/anonymous/upload/upload-to-abc-cloud-storage-temporary-directory
  怕啥 - nginx反向代理至主服务器 https://passed.app/、https://games.passed.app/
  LRA - docker容器+数据目录~/lra-os http://实际ip:8080/ 
  • GAE:
  服务器信息:JDK21、Jetty12、HTTP/1.1
  Maven仓库 - https://staticfiles.openle.com/
  面向海外的网站 - https://openle.com/ 
  • GCP - MariaDB数据库 https://maindb.openle.com/、备用SS代理、直连Web支持HTTP/2或3
  服务器信息:Quarkus(JDK23/Netty只支持"HTTP/2")、HTTP/3
  数据库备份至谷歌网盘的API接口 - https://xiaodo.ng/main/apis/more/ga/anonymous/main/back-up-to-google-drive
  • 自用服务器(mainserver):
  网关、反向代理 - haproxy;nginx非容器 配置文件路径:/etc/nginx/conf.d/default.conf
  个人网站 - docker容器 https://xiaodo.ng/
  https证书签发 - Let's Encrypt命令行
  主用SS代理
域名
  • 综合:
  域名特性 - DNSSEC(递归验证至根域名/iOS16+)、HTTP Alternative Services(Alt-Svc头/支持80和443之外的默认端口)、HSTS(HTTP Strict Transport Security/强制转HTTPS)
    DNSSEC:
      递归验证至根域名 - 若未通过验证则直接响应失败,但国内部分DNS商会直接忽略响应的DNSSEC数据,虽说不影响访问,但没起到实际效果。
      iOS16+
      用子域名先试验下

  域名 http://www.example.com 和 https://www.example.com 通过301方式永久跳转至 https://example.com
  squarespace 域名后台支持 自动签发 Let's Encrypt 免费 https://www.example.com 证书,故启用下。
  • 主用 - Squarespace
其他 - Name阿里云万网
云平台、云函数、监测
  • 在大陆服务器上检测网页 - 登录“阿里云”控制台->右上角点开“云命令行”(可用1小时候)执行: curl -I https://congci.com 
  • SES邮件发送API - AWS
  • 域名邮局 - Google Workspace免费版
软件、App应用
  • Android 通知渠道名(NotificationChannel)约定:
  常量类 - GlobalNaming.Constants.AndroidCore.NotificationChannelId.MORE_NC
  core-push=重要推送、more-push=普通推送、often-push=日常推送、ad-push=广告推送、upgrade-push=升级推送
  core-nc=重要通知、more-nc=默认通知、often-nc=日常通知、ad-nc=广告通知 upgrade-nc=升级通知
  • 嵌入程序的WebView页面或超链接:
  隐私权 - https://tsc.openle.com/.well-known/general/privacy/
  反馈 - https://tsc.openle.com/.well-known/general/feedback/?...
  分享上传(App:得心应手/上限100MiB) - https://passed.app/main/apis/more/default/ga/anonymous/main/android/upload-file-for-share-processing?...
  Web聊天(App:都能聊) - https://tsc.openle.com/.well-known/general/feedback/?...
其他 
部分VPN工具(xray等)会禁止回国流量,即切换至全局模式时,直接就无法访问国内IP的域名了;若开发时想测试从海外IP访问国内,可开个临时云主机,搭个简单的代理短期用下。