为什么换

• 腾讯云免费证书：手动续期，每季度都得操作一次
• acme.sh：自动申请、自动续期、永久免费、不限次数

方案选择

acme.sh 支持两种验证方式：

1. DNS 验证：需要 DNS 服务商 API Key，支持通配符证书
2. HTTP 文件验证：在网站目录放验证文件，不需要 API Key

我选了 HTTP 验证，不想给 API Key。

操作步骤

1. 创建验证目录

mkdir -p /var/www/acme-challenge  

2. 配置 Nginx

在 server block 里加一个优先级最高的 location，让 ACME 验证请求走静态文件：

server {  
    listen 80;
    server_name example.com;

    location ^~ /.well-known/acme-challenge/ {
        root /var/www/acme-challenge;
    }

    location / {
        # 你原来的配置
        proxy_pass http://backend;
    }
}

443 端口的 server block 也加同样的 location。

测试配置并 reload：

nginx -t && nginx -s reload  

3. 安装 acme.sh

curl https://get.acme.sh | sh -s email=your@email.com  

如果服务器 CA 证书太旧导致 curl SSL 验证失败，可以先下载到本地再传上去：

# 本地
curl -L https://github.com/acmesh-official/acme.sh/archive/master.tar.gz -o acme.sh.tar.gz  
scp acme.sh.tar.gz root@server:/tmp/

# 服务器
cd /tmp && tar xzf acme.sh.tar.gz  
cd acme.sh-master && ./acme.sh --install -m your@email.com  

4. 申请证书

~/.acme.sh/acme.sh --issue -d example.com -w /var/www/acme-challenge

第一次申请会自动注册账号（默认用 ZeroSSL，也可以指定 Let's Encrypt）。

5. 安装证书到 Nginx

~/.acme.sh/acme.sh --install-cert -d example.com \
    --key-file /etc/nginx/ssl/example.com/key.pem \
    --fullchain-file /etc/nginx/ssl/example.com/fullchain.pem \
    --reloadcmd "nginx -s reload"

更新 Nginx 配置里的证书路径：

server {  
    listen 443 ssl;
    ssl_certificate /etc/nginx/ssl/example.com/fullchain.pem;
    ssl_certificate_key /etc/nginx/ssl/example.com/key.pem;
    # ...
}

reload 一下：

nginx -s reload  

6. 确认自动续期

acme.sh 安装时会自动加 cron job：

crontab -l | grep acme  
# 输出类似：51 17 * * * "/root/.acme.sh"/acme.sh --cron ...

每天会自动检查证书，到期前 30 天自动续期并 reload Nginx。 须用 ^~ 前缀，否则可能被其他 location 规则覆盖 3. 证书路径：建议统一放 /etc/nginx/ssl/<domain>/，方便管理

总结

整个过程 10 分钟搞定，以后再也不用手动续证书了。acme.sh 支持几十家 DNS 服务商，如果需要通配符证书可以用 DNS 验证方式。

首先声明：这不是一个严谨的教程，而是折腾的经验，可能会有错误的理解，或者多余的操作，只为分享记录，互相借鉴。以下经验只适用于北京联通。

用关键词北京联通 openwrt IPTV来搜索，网上已经有很多教程了，虽然每个教程的实际设备不太一样，大多都分为三步

1. 硬件配置：光猫桥接，或者分两条线连路由
2. 软件配置：igmpproxy igmpsnooping(igmp嗅探)等等设置
3. 防火墙设置：各种规则

然后原文基本就说大功告成了，一开udpxy就能看电视。

然而自己实际去试，基本不可能一次跑通，多多少少由于设备不同，环境不同，哪里可能需要一些额外配置，下面说说我这种情况下(ODI猫棒DFP-34X-2C2)折腾的过程，和debug的方法。

ODI猫棒的固件列表：https://github.com/Anime4000/RTL960x/tree/main/Firmware/DFP-34X-2C2

一般网上北京联通的教程教你初次配置猫棒时，会让你先安装Vlan_220414固件，配置一个MAC的Mapping表，之后再刷220923固件桥接拨号。所以我现在使用的就是220923

第一步：啥也不动，直接在有线连接的电脑上试一下PotPlayer能不能播放 rtp://239.3.1.129:8008这个链接，能看到画面，说明组播是通的，但是我之后配置udpxy怎么都代理不到这个组播流，很是灵异。为什么没配置IPTV任何东西就有组播流？不知道。为什么udpxy抓不到？不知道。一脸懵逼的开始折腾。

第二步：既然混在一起抓不到，那我单独把IPTV的子网拎出来看看是否可以代理到？ 把220923固件中VLAN设置那个页面里的固定3961改成透传，然后在openwrt中拨号时，用eth0.3961这样的VLAN去拨号，再加一个接口用eth0.3964设置DHCP客户端，这样可以同时连公网并且拿到IPTV的内网IP，算是更近一步的进展。但是我用udpxy代理上游设置到这个接口，继续拿不到组播流。

此时开始了各种排查

• 怀疑igmpproxy没起作用 (没起作用我也能收到组播流啊，忽略)
• 怀疑istore固件里没有接口的物理网络选项卡，以及igmp snooping的勾选。(通过命令行查看network配置发现默认有igmp snooping 1)
• 怀疑防火墙设置 (直接全开排除)
• 怀疑路由表有问题，(尝试修改路由表但是没有弄懂如何traceroute一个组播IP，不了了之)。

如果在折腾中，你怀疑是否真的有rtp的组播流存在于内网，可以在任意直连内网网线的机器里(桥接的虚拟机不行)，试试tcpdump抓包

 tcpdump -T rtp -i eth2 udp portrange 8000-9000

这个命令是抓rtp协议的udp包，端口在8000-9000之间的，也就是联通组播端口的范围。PotPlayer一播放，内网就能抓到比如：

00:52:40.598048 IP 61.135.101.121.8060 > 239.3.1.241.8000: udp/rtp 1316 c33  2542 38265933 [|rtp]  
00:52:40.599834 IP 61.135.101.121.8060 > 239.3.1.241.8000: udp/rtp 1316 c33  2543 38266109 [|rtp]  
00:52:40.600727 IP 61.135.101.121.8060 > 239.3.1.241.8000: udp/rtp 1316 c33  2544 38266197 [|rtp]  
00:52:40.601553 IP 61.135.101.121.8060 > 239.3.1.241.8000: udp/rtp 1316 c33  2545 38266285 [|rtp]  
00:52:40.604313 IP 61.135.101.121.8060 > 239.3.1.241.8000: udp/rtp 1316 c33  2546 38266461 [|rtp]  
00:52:40.605154 IP 61.135.101.121.8060 > 239.3.1.241.8000: udp/rtp 1316 c33  2547 38266548 [|rtp]  

第三步，刷固件换方案。

各种方法实验都不成功，最后找到了国外的一份光猫wiki里说，推荐用220916固件，因为VLAN相关设置是working的。试试换个思路，不在路由器配置，从猫入手。于是更新到这个固件。这个固件的UI有了很大变化，多了一堆可配置的地方，比如可以猫棒拨号，路由设定，组播VLAN设置（最关键的东西）。(我实际更新到的是0916的再下一个版本1209)

广域网可以按照下面的方式配置下：

其中nas0_0是internet拨号，nas0_1是IPTV内网。这样设置完之后，反而PC内网没有rtp组播流了。那么可以判断出，组播流如果不特殊设置，是无法透到下一个子网的，只能在相同内网内广播。这里需要一个igmpproxy但是猫棒里没有，于是准备找找固件里有没有现成的，还真找到了组播VLAN这个页面。

这里应该是配置透传组播信息的地方，先填上3964看看？没变化还是播不了。但是之前看别人教程说北京联通有个组播相关的VLAN是4000，填在这里看看，果真可以正常代理了。。

那么按我的理解这个组播数据流应该是从4000vlan下来的，但是为什么桥接3961/3964拨号时，还可以收到这个流？为什么其他人教程里没有填4000这回事还可以代理？全都不知道。糊里糊涂的就折腾好了，看来接下来还需要补一补网络底层知识。

我猜测第一步第二步时，组播数据带着vlanid4000来到路由器，而udpxy监听的只是跟3961 3964桥接的虚拟接口，所以抛弃了4000不认。但是数据proxy到lan时，抹掉了所有包的vlanid，因为下级没设置vlan，所以内网PC可以抓到流，而路由的软件不行。这个猜测还需要进一步验证。

安装工具

sudo apt-get install cifs-utils  

创建挂载点

sudo mkdir /mnt/nas  

创建smb鉴权文件.smbcredentials，文件内容：

username=$YOUR_USERNAME  
password=$YOUR_PASSWORD  

更改/etc/fstab文件，在最后一行添加

//$YOUR_SMB_SERVER_ADDR/share /mnt/nas cifs credentials=/path/of/.smbcredentials,iocharset=utf8,dir_mode=0777,file_mode=0777,noperm 0 0

其中noperm很重要，不检查文件权限，否则设置来设置去，总是不能777，gitlab备份总是Permission Denied

挂载目录, (如果之前挂的有问题，就先执行sudo umount -a再mount)

sudo mount -a  

将挂在目录的命令mount -a添加到开启自动运行，注意添加在exit 0之前

vim /etc/rc.local  

更改gitlab配置

vim /etc/gitlab/gitlab.rb  

打开如下配置，酌情修改

gitlab_rails['manage_backup_path'] = ture  
gitlab_rails['backup_path'] = "/mnt/nas"  
gitlab_rails['backup_keep_time'] = 604800  

让配置生效

sudo gitlab-ctl reconfigure  

尝试手动备份，在挂载目录看到文件就代表成功

sudo gitlab-rake gitlab:backup:create  

添加定时任务

crontab -e  

增加一行, 每天凌晨4点备份

0 4 * * * /opt/gitlab/bin/gitlab-rake gitlab:backup:create  

最好的迁移方式是在兼容的最新系统里装一个旧版本的相同版本Gitlab，然后用备份恢复方式迁移。

通过gitlab版本寻找适合的OS版本

可以在已部署的gitlab网页中/help目录查看，或者命令行sudo gitlab-rake gitlab:env:info， 我这里是8.9.2

在gitlab旧版本安装包页面 https://packages.gitlab.com/gitlab/gitlab-ce 中搜索8.9.2

Distro/Version是发行版机器版本外号，这个还得查一下比如ubuntu16是xenial， 接下来就去OS官网寻找对应版本安装即可

新系统中安装旧版gitlab

还是在gitlab旧版本安装包页面 https://packages.gitlab.com/gitlab/gitlab-ce 中下载对应OS版本的安装包(下载链接在点进去的右上角)

然后使用对应OS方法安装，参考https://docs.gitlab.com/ee/update/package/index.html#upgrade-using-a-manually-downloaded-package

比如Ubuntu使用 sudo dpkg -i xxxx.deb

这样旧版gitlab就装好了 可以用sudo gitlab-ctl status看下启动正常不

备份待迁移的Gitlab数据，迁移到新机器恢复

进入旧实例的网页/help中，寻找 Administrator documentation里面的Raketasks里面的Backup restore，查看备份和还原方法。(不同版本有微小区别，不能看最新的官方文档)

以8.9.2的deb安装包版本为例，现执行sudo gitlab-rake gitlab:backup:create 产出备份文件到 /var/opt/gitlab/backups/

其他可能需要迁移的配置文件：

/etc/gitlab/gitlab.rb 配置文件须备份
/var/opt/gitlab/nginx/conf nginx配置文件
/etc/postfix/main.cfpostfix 邮件配置备份

想办法用sftp或者scp把文件拷贝到新机器相同目录

在新机器执行

sudo gitlab-rake gitlab:backup:restore BACKUP=123456789  

这里的123456789是备份文件的时间戳前缀，跟着提示两遍yes确认就顺利恢复了。

现在可以启动起来sudo gitlab-ctl start，看一下首页是否正常访问。

此时可能会发现首页正常，但是项目详情页500。

通过sudo gitlab-ctl tail可以查看实时日志

如果是 openssl::cipher::ciphererror (bad decrypt):的报错，其实是数据库加密的密钥没有迁移过来。 可以先将配置文件/etc/gitlab/gitlab-secrets.json 拷贝到新机器，然后执行下列命令

sudo gitlab-rails runner "Project.where.not(import_url: nil).each { |p| p.import_data.destroy if p.import_data }"  

大功告成！

数学是确定的 -> 物理建立在数学基础上，物理是确定的 -> 世界是物理的，世界是确定的 -> 真实世界是随机的，因为有意识存在 -> 意识不属于理论中的世界 -> 意识又存在，所以意识属于被加载进世界的 -> 世界有设计者，世界是虚拟的

意识

意识的本质是记忆+判断

let 记忆 = [];  
let 判断 = (事件,记忆) => 结果;  
while(事情){  
    记忆.push(判断(事情,记忆));
}

中国

中国的本质还是封建

法律

法律存在应该是避免未来发生某种事情，而不是对现在某种事情发生的惩罚/补偿。如果仅仅补偿损失，则犯罪平均期望获利大于0，无法阻止犯罪。

选举

从历史来看，非民选政府一定会被革命推翻，二民选政府不会，只需要把他选下去。从这个角度看，民选可更替政府是最终形态。

政治

政治和写代码一样，初期简单粗暴不做项目管理，会让开发速度加倍，但终有一天需要重构。

如果一开始就上完整的项目管理流程，则会延误时机，从而竞争不过对手过早死亡。

民主(项目管理)是后期天赋，前期不用出，后期必加。

发展

如果人类的设计者想要人类自发的科技进化(或者说自然选择出来的人类为什么会科技进化)。 是需要让(或者说因为)人类有动力，那就是私欲。资源有限，那么私欲就会产生竞争(战争)，战乱中总有一方更为先进，于是获胜一统天下，拉高世界科技水平，然后再因为私欲内部分裂，再次进入混乱，再次有人胜出，继续拉高科技水平。从而做到整个世界的进步。

我用的影驰3090 gamer oc也遇到类似问题，各种软件设置的启停温度阈值都不起作用，经过观察后发现只要gpu clock boost就会启动风扇，哪怕温度只有30度。

分享一种临时解决方案

创建一个 nvdia inspector的快捷方式。参数 -setPStateLimit:0,4

这个快捷方式执行后，显卡最高频率被限制在420mhz，并且启动游戏风扇也不会转了，但此时GPU性能很低，3090大约阉割到1060的样子，适合低负载操作，浏览网页看视频，普通游戏2K60p还是能带动的

恢复方式是 再建一个快捷方式，参数是 -setPStateLimit:0,0

至于为啥是4，我也不知道，我试出来的。。。

bcdedit /debug off  

重启机器

按照流程：双方交换 random1 和 random2

客户端生成 random3 作为 pre master secret，并通过被签名的可靠公钥加密后传给 server，

这样双方都拿 random1 random2 random3 通过算法各自生成 master secret

在这里，只有 random3 是能够保证不被第三人知道的，为什么公开的 random1 和 random2 有存在的必要？为什么不直接生成 master secret 发过去？

查了查资料，这里是因为前向安全性。加入随机参数，使得：即使现在所有密钥都泄露了，历史消息也不会被破解。

https://www.zhihu.com/question/45203206

获取实际根字体大小后再计算比例差值

pxOneRem = pxOneRem * 16 / adapt();  
docEl.style.fontSize = pxOneRem + 'px'  

• 实现胜负判断，并给出赢棋提示。
• 任意一方赢棋，锁定棋盘。
• 尽可能考虑游戏的扩展性，界面可用 DOM/ Canvas 实现，并且切换实现方式代价最小。
• 实现悔棋和撤销悔棋功能。
• 人机对战部分可选。

挺有意思的，尝试自己写一个。

代码:https://github.com/chairuosen/my-five

demo:http://demo.ruosen.io/my-five/dist/

思路

首先，要求渲染层可替换，那么逻辑代码就一定要高度抽象，仅对数据操作，然后每一次变动由数据渲染出画面，应该对外提供一个五子棋类，提供api查询棋盘状态，和下棋，撤销，重置等动作。然后可以注册update事件监听来更新渲染。

类 棋子: 状态[未分配，黑，白] 重置方法

因为要点击空白部分来放置棋子，与其判断点击位置来放置棋子数据，不如一开始就铺满棋子只是不显示，点击事件就放在隐形棋子身上。

类 棋盘: 宽度，高度，二维矩阵[[棋子...]...] 赢棋检查 重置方法

类 玩家

类 五子棋: 棋盘 玩家 历史记录 重置方法

实现起来还是挺简单的，有一点复杂的就是赢棋检查这里，没想到什么高效的算法，遍历棋盘成本稍高，所以加了一层判断缓存。当遍历到某一节点1时，发现某一方向[1,2,3..]n星连珠但组不成5星时，把这n个节点在这一方向的结果都在缓存置为false，下次遍历到2，3，4时不用计算。

//todo AI

function immutable(source) {  
    return new Proxy(source,{
        get:function(target,key){
            try{
                return immutable(target[key]);
            }catch(e){
                return target[key];
            }
        },set:function(){}
    });
}

https://github.com/chairuosen/my-immutable-js