在AI计算集群等场景中，系统级容器的稳定部署、GPU资源高效透传及多容器运行时兼容是核心需求，传统容器方案要么无法良好支持systemd服务管理，要么GPU透传配置复杂、需在容器内重复安装驱动，且难以兼顾Rootless Podman与Docker的二级容器运行需求。本文针对这一现状，详细阐述一套集成Nvidia GPU透传、自动驱动注入、systemd-nspawn容器管理及多二级容器运行时的完整方案，该方案已在某高校AI计算集群中稳定运行数月，可有效降低集群容器化部署的复杂度，提升资源利用率。

针对传统容器部署存在GPU透传配置繁琐、需在容器内额外安装驱动导致环境冗余、systemd支持不足、二级容器运行时兼容性差及Rootless模式适配困难等痛点，本方案核心优势在于无需在容器内安装GPU驱动，可动态扫描并挂载NVIDIA库和工具，完美支持GPU透传与CDI驱动注入，兼容Docker与Rootless Podman两种二级容器运行时，同时通过脚本实现systemd-nspawn容器的自动监控与管理，简化集群部署与运维成本。

功能特性：

• ✅ 多级容器的 NVIDIA GPU 透传支持，支持 DinD/PinD 模式
• ✅ 动态扫描 NVIDIA 库和工具，不需要在容器内安装 GPU 驱动，容器驱动自动跟随宿主机更新
• ✅ 真正的系统级容器，完美支持 systemd 服务管理，同时无Docker一级容器方案的存储冗余、可靠性差等诸多弊端。
• ✅ 支持 Docker 和 Podman 二级容器运行时，容器内可以再运行容器，支持 CDI 方式的 NVIDIA GPU 驱动注入
• ✅ 多节点集群支持，自动配置跨节点路由，支持宿主集群NFS。
• ✅ 支持 Rootless Podman 容器运行时，安全性风险低。
• ✅ 自动监控和管理 systemd-nspawn 容器。

点击阅读全文 →

对于 Windows 10 及 Windows 11，当启用 Hyper-V 或者虚拟机平台后，Windows NAT 服务会随机保留一些端口以便于提供 NAT （网络地址转换） 服务，以实现虚拟机的上网。这些端口范围是随机确定的，因此很容易导致开发时遇到端口占用问题。比如会遇到以下错误：

• Error: listen EADDRINUSE: address already in use :::3000
• 以一种访问权限不允许的方式做了一个访问套接字的尝试。
• An attempt was made to access a socket in a way forbidden by its access permissions

除此以外，还可能会遇到明明服务启动成功但是却访问不了的问题，这也很有可能是因为端口被 WinNAT 给占了。

解决方案

网络上普遍建议重新设置一下「TCP 动态端口范围」（如文章 解决 Windows 10 端口被 Hyper-V 随机保留（占用）的问题 ），但是这种方法并不总是有效，因为你并不知道自己未来会即兴用到哪些端口，如果端口分的少了，又会导致其他问题，比如因为可用端口不够用而妨碍上网。

好在，Windows有一个很有趣的特性，就是用户可以 自行保留端口 给用户态程序使用。被用户保留的端口只能被用户态程序分配使用，却不能被内核驱动程序和服务使用。比如我设置保留 1080 端口后，Clash 这类普通用户态程序可以直接申请到这个端口，但是 IIS、WinNAT 等内核驱动程序和服务试图申请时却会被系统拒绝。这样一来，就可以避免端口被 WinNAT 占用的问题。

点击阅读全文 →

前言

在校园网、小区网等环境中，运营商的光猫通常会被 Technical Report - 069（TR069）和远程维护系统（RMS）远程管理，这些系统会在你不知情的情况下修改你的光猫配置，甚至会在你不知情的情况下重置你的光猫，导致你的网络配置失效，甚至设备全部失联。因此，屏蔽这些远程管理机制是非常有必要的。

然而，不幸地是，新版本的光猫早已修复了一切可以删除 TR069 和 RMS的漏洞，包括但不限于：

• 不可能通过面板直接删除 TR069
• 不可能通过 F12 或者改包、发包的方式变相删除 TR069 或修改接口的配置
• RMS 的配置被写死，不可能通过修改配置文件的方式禁用或修改 RMS
• 没有任何漏洞或后门可以在不拆机的情况下打开 Telenet
• 甚至连拆机都不一定能的打开 Telenet，因为 uart_en=0

本文将介绍一种全新的思路：通过故意制造 IP 冲撞，使得 RMS 服务访问异常，从而达到光猫不能正常拉取远程配置的目的。本方法不仅可以防止配置被远程修改，还能防止局端修改你的光猫超级管理员密码，以实现权限的固化，以解决我在 V2EX 提出的这个问题。

点击阅读全文 →

Windows默认启用的系统恢复机制会定期创建卷影副本，创建的时机通常为安装或卸载软件以及系统更新。卷影副本 (Volume Shadow) 实际上就是我们在 Linux 上经常提到的 “快照(Snapshot)”，它利用写时复制 (CoW) 机制为我们提供了文件系统在某个时间点的一个状态的视图。通过利用这个视图，我们可以找回近期不慎删除或被覆盖的数据，也可以用于某些电子取证场景。实际上，系统恢复就是利用快照机制还原文件到先前某个状态实现的。

注意： 由于卷影副本存在一个严重的bug， 该方法并不可靠！找回的文件数据可能不完整，或需要手动拼接。该方法仅供紧急情况或取证场景使用，切勿以此代替备份软件。

前提条件： 系统恢复未被禁用、文件系统为NTFS、存在可用的系统恢复还原点

利用软链接将卷影副本链接到常规磁盘分区下面，就可以访问这些过去时间点的文件系统视图了。

点击阅读全文 →

WireGuard 隧道一旦建立后，域名就不再重新解析了，一旦服务端的 IP 发生改变，这隧道就断了。

截止文章最后修订，WireGuard 官方始终没有提供 Windows 下的动态 DNS 解析（DDNS）客户端脚本，所以说你想实现，如果你想在 Windows 下使用 WireGuard 配合经常改变 IP 的域名，你就必须要自己写一个动态 DNS 解析脚本。

我基于网上的脚本进行了一番魔改，增加了以下特性：

• 只处理已启用的 WireGuard 隧道，没开的隧道不会处理
• 可以作为服务安装，自带延迟功能
• 增加各类判断条件和错误处理，以便纠错

点击阅读全文 →

背景

通常来说，如果我们划分了另一个网段，流量是需要通过网关来进行路由的。例如 LAN 网段为 172.20.0.0/24，然后我们在家庭 PVE 服务器上创建了一个用于虚拟机的 172.20.1.0/24 网段，其中 PVE 服务器的网卡的 IP 为 172.20.0.3 ，为了能够使得 LAN 的设备能直接访问虚拟机的 IP 段 172.20.1.0/24，就需要在网关设备上添加一个静态路由，指向 172.20.1.0/24，如下图。

诚然，这样做确实可以实现 LAN 的设备能直接访问虚拟机的 IP 段而不需要设置代理，但是这样做有一个缺点：所有访问虚拟机的流量都需要经过网关处理！这就导致了网关的 CPU 负载会变高，而且网关的网络带宽也会被内网访问虚拟机的流量占用。

注意到 PVE 服务器的网卡的 IP 为 172.20.0.3，和 LAN 位于同一网段，有没有什么办法可以直接让 LAN 的设备访问 172.20.1.0/24 段时，直接到达 172.20.0.3 而不要经过网关？

答案是有的，那就是静态路由主动推送。这个功能在 OpenWRT 上可以通过直接在 LUCI 上设置来实现，而在其他 Linux 发行版上可以通过修改 /etc/dnsmasq.conf 来实现。

点击阅读全文 →

症状：打开视频/图片文件夹时，会卡在“正在加载”界面很久，或者直接卡死。此时打开任务管理器，观察到 explorer.exe 的 CPU 占用率很高，有一些磁盘占用。

一开始以为是我把视频和图片文件夹放到了 OneDrive 里，但是把文件夹移出 OneDrive 后问题依旧存在。后偶然观察到在库上打开此文件夹没有这种问题，遂怀疑到是否是因为 排序/分组 的原因。

解决方法：在文件夹中右键，选择“排序”->“无”，然后再选择“分组依据”->“无”，问题解决。

出现这种问题的根本原因是我们用了需要读取图片EXIF和视频文件本身来做排序的属性，Explorer 需要打开该目录下的所有文件（例如对于照片是寻找EXIF），找到需要的信息，然后做完排序才展示出来。而如果我们选择了“无”，则不需要读取文件本身，直接展示即可。

当然，这样的话分组就没了啊？所以有什么替代方案吗？答案是有的，出现这种问题的根本原因是我们用了需要读取图片EXIF和视频文件本身来做排序的属性，那用文件系统本身支持的属性来做排序就可以了。例如对于“日期”（这个日期是照片的EXIF的日期，需要读取文件），我们可以用“修改日期”来排序（这个修改日期是文件系统的文件写入时间），这样就不需要读取文件本身了。当然两者是不完全等价的，不过一般情况是一样的。

点击阅读全文 →

特别注意：禁止任何形式的转载！

本驱动可以解决Windows屎一样的蓝牙音频编码器，向支持 Sony LDAC 协议的耳机提供Windows下蓝牙LDAC音频编码器支持。个人破解版本，非最新版本，反正功能没差。新版授权机制改了，但最近在赶论文，没时间研究，有兴趣的可以自己研究一下（反正又不是不能用嘛 🤣）。

注意：

• LDAC 对蓝牙信号要求比较高，比如我笔记本自带的蓝牙用 LDAC 990Kbps 能卡的六亲不认，可以买个外接 USB 蓝牙用。
• 打游戏时如果觉得 LDAC 导致延迟太高可以在它的面板里切换为 SBC 编码器。
• 由于修改后的驱动没有签名，使得大多数带有反作弊的竞技游戏都会拒绝启动（基本上，除了 CSGO 都没法玩）。有些游戏甚至在只是安装驱动但未加载的情况下也会拒绝启动（点名批评战地2042）。因此，有打竞技游戏的需求则不推荐使用任何破解版本。

点击阅读全文 →

意外断电重启后，发现群晖提示硬盘损毁了，但是实际上硬盘还是正常的，S.M.A.R.T. 状态也良好，但是无法写入数据，系统状态报告为“严重”，群晖的程序也拒绝工作。

我们来先治标再治本。

治标：修复存储空间故障方法

1. 通过 SSH 直接登录 root 账号。如果不方便直接登录 root，则执行：

   cd /
   sudo -i
   

   对于虚拟机黑群晖如果SSH挂了也没事，开个管道模式的串口连接(例如 \\.\pipe\dsm)，然后用Putty或者Xshell 以管理员身份运行 连上管道即可。

2. 检查有问题的存储池，此时可以看到 sdc3 后面的 [E] 表示他现在是错误状态：

cat /proc/mdstat

点击阅读全文 →

本文将分享一些校园网的白嫖思路（WireGuard / SoftEther VPN Server基于 UDP 53 端口的 VPN 三层白嫖、Socks 5 白嫖+科学上网二合一的四层白嫖），也就是不花一分钱就和一般用户一样使用校园网。

2023/2/23: 更新各平台配置NAT命令和L2TP方法，并根据先前在评论区的答复介绍可以直接放弃的一些不可行的思路

前提条件

下面列出的思路均要求使用一个校园网的服务器作为中转，因此，需要能够在不需要付费、认证后就能上网的网络环境（一般为办公区或实验室网络）下放一个电脑（树莓派也行）；或者有任意学校服务器的使用权。

整体思路就是找个在学校里面地方搭个服务器中转流量

各种思路

基于 UDP 53 端口的 VPN 三层白嫖

原理：UDP 53 是 DNS 协议所用端口，由于门户（Portal）认证为了实现 HTTP 劫持跳转到登录页面，必须使得浏览器能够正常地进行 DNS 解析，因此在不认证、不付费的情况下也会放行 UDP 53 端口的流量。

特点：不需要校园网认证，不需要购买校园网，不需要校园网账号。此外由于 VPN 自带加密，因此可以克服开放 Wi-Fi 网络通信完全不加密的缺陷。

下面所列出的两个思路均是三层（IP）级的 VPN 方法，可以转发所有三层报文，因此支持 ICMP 协议（可以用ping）。

注意：使用 UDP 53 端口需要所在网络没有DNS劫持的问题，如果你所在的网络存在DNS劫持（例如，OpenWRT的DHCP/DNS下的”DNS重定向”功能就是DNS劫持），则该方法会失败。

实现思路1：WireGuard

我特别推荐此方案。WireGuard 是几乎无状态的VPN协议，切换网络零感知，不需要重新连接VPN，对于经常睡眠-唤醒的电脑特别有用。睡眠唤醒后可以立刻上网。此外 WireGuard 在 Linux 和 Windows 操作系统上均是纯内核态的实现，性能极其高。

方法：搭建一个 wireguard 服务端，然后端口监听在 53 上

搭建 Linux 服务端的教程很多，一键包也很多。但若要搭建 Windows 服务端，请一定要阅读我之前的这篇文章。

缺点：搭建确实有些复杂，另外配置文件对于不懂计算机网络的人来说实在是晦涩难懂

点击阅读全文 →

本文分为两节，分别是如何在 Windows 上利用 Hyper-V 交换机实现对 VLAN 的支持；以及如何利用 Hyper-V 交换机功能创建多块虚拟网卡，实现单线多拨叠加网速。可以只使用 Hyper-V 交换机而不使用 Hyper-V 虚拟机，所以这不会影响你电脑的性能。以上功能均不需要网卡驱动支持。

效果图：

ℹ️ 使用 Hyper-V 功能需要 Windows 10 专业版 或以上版本，如果你使用的是家庭版，可以通过断网更改产品密钥、再通过KMS服务器激活的方式原地升级到专业版。

点击阅读全文 →

症状

使用Android手机向某些电话号码拨打电话时，由于运营商自动播放视频彩铃，导致电话自动转成视频通话，但由于某些bug，导致电话自动挂断，因而无法打出电话的问题

即：拨打电话，响铃几秒后，提示正在进行运营商视频通话，然后提示通话结束。对方能够听到短时间的响铃。

点击阅读全文 →

在本科学历日渐贬值时代，读研基本成了一个日常话题，然而考研成本甚高，即使是不参与线下培训班、纯网课也往往需要花费万元以上。正好老早就有线下好友吐槽我博客技术文太多 哪有那么多啊，我真的从来都不写复杂技术的文章的啊，乘着手上的拟录取通知还热乎，今天就来分享分享如何用超低成本考研。

我的考研开销情况：

生草的是，学信网上关于考研开销的调查表甚至没有这么低的选项。

点击阅读全文 →