2015 on Liangweidong's blog

Windows 系统效率工具：7-Zip / AutoHotkey / 截图标注 / 输入法 / Pandoc

Sun, 15 Nov 2015 00:00:00 +0800

一、Windows 效率工具"五件套"

2015 年的 Windows 桌面，没有官方效率工具——Microsoft Office 越来越重、Windows 10 自动更新强制弹通知、DPI 缩放还时不时抽风。本文整理 5 款开源/免费效率工具，覆盖压缩 / 自动化 / 截图 / 输入 / 文档转换5 个场景。

阅读建议：本文所有工具都个人免费 / 开源，可放心用于商业项目。

二、7-Zip：开源压缩之王

2.1 定位

7-Zip 1999 年由 Igor Pavlov 开发，支持 7z / ZIP / GZIP / BZIP2 / TAR / RAR / ISO 等几乎所有格式。比 WinRAR 强：

完全免费开源（WinRAR 是试用 40 天 + 弹广告）
7z 格式压缩比最高（LZMA2 算法）
AES-256 加密
命令行 + GUI + Windows 资源管理器集成

2.2 安装

官方 https://www.7-zip.org/：

选对版本：32 位 / 64 位 / ARM64
装好后资源管理器右键自动有"7-Zip"菜单

2.3 常用操作

压缩：

右键 → 7-Zip → 添加到压缩包
格式选 7z（压缩比最高）
压缩等级：标准（快）/ 最大（慢但更小）/ 极限（非常慢）
加密：勾选 加密文件名（AES-256）

解压：

右键 → 7-Zip → 解压到 <name>\
或 提取到当前目录

命令行：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# 解压
7z x archive.7z

# 压缩
7z a -t7z -mx=9 archive.7z files/

# 分卷压缩（每卷 100 MB）
7z a -v100m archive.7z files/

# 列出内容
7z l archive.7z

# 测试完整性
7z t archive.7z

2.4 与 WinRAR 对比

维度	7-Zip	WinRAR
价格	完全免费	试用 + 弹广告
7z 压缩比	最高	次之
RAR 解压	需独立模块	原生
资源占用	极低	较高
命令行	完善	完善
加密	AES-256	AES-128/256
国产软件	✓	✗

结论：7-Zip 几乎全面碾压 WinRAR，唯一短板是 RAR 写入（解压可以，写入要 WinRAR）。

三、AutoHotkey：Windows 自动化神器

3.1 定位

AutoHotkey（AHK）2003 年由 Chris Mallet 开发，专门为 Windows 写"快捷键宏 + 自动化脚本"。能干啥：

快捷键重映射（CapsLock → Ctrl）
自动输入文字（输入"邮箱"自动写完整邮箱）
窗口操作自动化（打开应用、点击按钮、读取文本）
GUI 程序（用 AHK 写完整应用）

3.2 安装

官方 https://www.autohotkey.com/：

v1.1：老语法，生态丰富
v2.0：新语法，更规范（2014+ 重写）

推荐：新项目用 v2.0；老脚本找 v1.1 兼容。

3.3 v1.1 经典案例

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27


; 注释
;这是一个单行注释
/*
多行注释
不能写成一行的
*/

; 特殊按键修饰符
; ! = Alt
; ^ = Ctrl
; + = Shift
; # = Win

; CapsLock 改成 Ctrl
CapsLock::Ctrl

; 输入"email"自动展开完整邮箱
::email::your.email@example.com

; 重新映射快捷键
^n::Send Hello, World{Enter}

; 启动应用
#n::Run notepad.exe

; 窗口置顶
^SPACE::Winset, AlwaysOnTop, Toggle, A

3.4 关键字

关键字	作用
`Run`	启动程序 / 打开文件
`Send`	模拟键盘输入
`SendInput`	更快更准的输入
`Click`	模拟鼠标点击
`WinWait`	等待窗口出现
`WinGetTitle`	取窗口标题
`return`	函数 / 热键结束
`If`	条件判断
`Loop`	循环
`MsgBox`	弹窗

3.5 配置文件位置

%USERPROFILE%\.ahk（用户级）或 C:\Program Files\AutoHotkey\（系统级）：

启动时自动加载 %USERPROFILE%\AutoHotkey.ahk
多个脚本：#Include lib/

3.6 v2.0 语法

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


#Requires AutoHotkey v2.0

; 热键
^!r::Reload() ; Ctrl+Alt+R 重载

; 热字符串
::btw::by the way

; 函数
Reload() {
 Reload
}

3.7 实战：自动填表

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


; F1 自动填表
F1::
 Send user@example.com{Tab}
 Send password123{Tab}
 Send {Enter}
 return

; F2 自动登录 GitHub
F2::
 Run https://github.com/login
 Sleep 2000
 Send user@example.com{Tab}
 Send password{Tab}
 Send {Enter}
 return

3.8 实战：键位重映射

1
2
3
4
5
6
7
8


; CapsLock 改成 Ctrl
CapsLock::Ctrl

; 右 Alt 改成 Compose
RAlt::AppsKey

; Ctrl+Q 关闭当前窗口
^q::WinClose A

四、Pointofix：免费屏幕标注

4.1 定位

Pointofix 2007 年开源，轻量级屏幕标注工具。比 Windows 自带"截图工具"强：

任意屏上画（不只是截图）
多种笔触（钢笔、荧光笔、箭头、矩形）
白板/黑板模式（讲课神器）
免费

4.2 安装

http://www.pointofix.de/：

单文件绿色版，无需安装
启动后常驻托盘
F1 退出 / F9 切换

4.3 快捷键

键	作用
`左键 + 拖动`	画线
`右键 + 拖动`	荧光笔（半透明）
`Shift`	直线
`Ctrl`	矩形 / 椭圆
`滚轮`	笔粗细
`滚轮 + Ctrl`	调色
`F`	字体
`C`	清空
`S`	保存（PNG / JPEG）
`M`	隐藏 / 显示
`Esc`	退出标注

4.4 实战场景

远程会议 标重点
录视频教程 加注释
演示 PPT 圈关键数据
修图给同事圈 bug

4.5 替代品对比

工具	优势
Pointofix	免费 + 轻量 + 全屏标注
Snipaste	截图 + 贴图（国产神器）
PicPick	全功能（含滚动截图）
Windows 截图工具	系统自带（功能弱）
ZoomIt	Sysinternals 出品（适合 IT）

经验法则：讲课/演示用 Pointofix，日常截图用 Snipaste。

五、搜狗五笔：老牌拼音/五笔输入法

5.1 定位

搜狗五笔 2010 年发布，搜狗输入法的"五笔版"。国内占有率最高。

5.2 安装

https://wubi.sogou.com/：

装好后自动接管 Windows 默认输入法
旧版 QQ 五笔（QQ 自带五笔）现在合并到搜狗

5.3 关键特性

特性	说明
五笔 + 拼音混输	不会五笔的字可临时拼音
86/98/新世纪版	多种五笔字型
皮肤	大量可选（小心装病毒皮肤）
词库同步	登录后多端同步
细胞词库	行业词库（法律、医学、IT）
截屏/翻译	集成 OCR / 划词翻译

5.4 高级设置

属性设置 → 高级：

初始状态：英文模式（五笔党必备）
候选词：5 个（够用）
快捷键：
- Shift + 空格：全角 / 半角
- Ctrl + Shift：切换输入法
- Ctrl + ,：打开设置
- Ctrl + .：打开 Emoji

5.5 与微软拼音对比

维度	搜狗五笔	微软拼音
打字速度	★★★★★	★★★★
词库	★★★★★	★★★
资源占用	★★★	★★★★
隐私（2020 后强关注）	弹广告	无
联想能力	★★★★★	★★★
自定义短语	完善	弱

搜狗的争议：

2018 后频繁弹"双 11"广告
2020 腾讯收购后隐私担忧
隐私党替代品：
- 微软拼音（Win 10/11 自带）
- RIME 中州韵（开源）
- 小狼毫（RIME 的 Windows 版）

六、ElevenClock：Win 11 时钟增强

6.1 定位

ElevenClock 是 GitHub 开源工具（https://github.com/marticliment/ElevenClock），专门解决 Win 11 的"日期面板残缺"问题——

6.2 Win 11 原生痛点

日期面板只显示 1 个日历，不能显示多个月
秒数不能一直显示（默认关闭）
不能自定义位置 / 格式

6.3 ElevenClock 能力

显示秒数
显示多个月份
自定义位置（主屏 / 副屏 / 全屏）
Win 10 也能用（双屏必备）

6.4 安装

官方 https://github.com/marticliment/ElevenClock/releases
Microsoft Store 安装（自动更新）
装好后自动启动，托盘右键设置

七、Pandoc：万能文档转换器

7.1 定位

Pandoc 2006 年由 John MacFarlane 开发，被誉为"文档转换的瑞士军刀"。能转：

Markdown ↔ HTML / PDF / Word / LaTeX / EPUB / JSON / Jira / MediaWiki …
30+ 输入格式 × 80+ 输出格式 = 2500+ 转换组合

7.2 安装

https://pandoc.org/installing.html：

Windows：winget install JohnMacFarlane.Pandoc
macOS：brew install pandoc
Linux：apt install pandoc

7.3 常用命令

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26


# Markdown → Word
pandoc input.md -o output.docx

# Markdown → PDF（需要 LaTeX：TinyTeX / MiKTeX）
pandoc input.md -o output.pdf

# Markdown → HTML（独立 HTML）
pandoc input.md -o output.html --standalone

# HTML → Markdown
pandoc input.html -o output.md

# Markdown → EPUB（电子书）
pandoc input.md -o output.epub

# Word → Markdown
pandoc input.docx -o output.md

# 多个文件合并
pandoc ch1.md ch2.md ch3.md -o book.docx

# 引用书目（CSL JSON）
pandoc input.md --cite --csl=ieee.csl --bibliography=refs.bib -o output.pdf

# 模板（自定义 Word 样式）
pandoc input.md --reference-doc=template.docx -o output.docx

7.4 Markdown 写作工作流

1
2
3
4
5
6
7
8
9


Obsidian / VSCode 写 Markdown
 ↓
Pandoc 转 Word
 ↓
提交给老板 / 客户
 ↓
Pandoc 转 PDF
 ↓
存档 / 出版

7.5 实战：技术文档多格式输出

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 准备一个 Markdown
echo "# My Doc" > doc.md
echo "" >> doc.md
echo "Hello **world**!" >> doc.md

# 转 4 种格式
pandoc doc.md -o doc.html
pandoc doc.md -o doc.docx
pandoc doc.md -o doc.pdf # 需要 LaTeX
pandoc doc.md -o doc.epub

7.6 自定义 CSS / Word 模板

1
2
3
4
5


# HTML 用 CSS
pandoc doc.md -o doc.html --css=style.css --standalone

# Word 用模板
pandoc doc.md -o doc.docx --reference-doc=my-template.docx

my-template.docx 的样式（标题、代码块、引用）会被复用。

八、组合实战

8.1 办公日常

1
2
3
4


截图：Snipaste / Pointofix（讲课）
压缩：7-Zip
输入法：搜狗五笔
文档转换：Pandoc

8.2 自动化提效

1
2
3
4
5
6
7


; AutoHotkey 一键启动工作套件
F12::
 Run, code
 Run, wechat
 Run, https://github.com
 Run, "C:\Program Files\7-Zip\7zFM.exe"
 return

8.3 文档输出流水线

1
2
3
4
5
6
7


Markdown 源 (Obsidian)
 ↓ Pandoc 转 Word
Word 提交老板
 ↓ Pandoc 转 PDF
PDF 归档
 ↓ Pandoc 转 HTML + CSS
Web 文档

九、常见问题

9.1 7-Zip 解压 RAR 失败

装独立 RAR 模块（7-Zip 自带）：https://www.rarlab.com/rar/winrar-x64-624.exe

9.2 AHK 脚本不生效

检查 v1.1 / v2.0 兼容性
路径有空格要加引号
Run 找不到文件 → 用 RunWait 看错误

9.3 Pointofix 启动后看不到

右键托盘 → 11clock 看是否在后台运行。F1 退出后再启动。

9.4 搜狗五笔弹广告

升级到最新版（2020+ 已大幅减少）
设置 → 高级 → 关闭热点资讯
或者换微软拼音 / RIME

9.5 Pandoc 转 PDF 失败

PDF 输出需要 LaTeX：

1
2
3
4
5


# 装 TinyTeX（轻量）
winget install TinyTeX.tinytex

# 或装 MiKTeX
winget install MiKTeX.MiKTeX

十、下一步

想看完整 IDE：IntelliJ IDEA / VSCode / Android Studio 章节
想看 GitHub 高级搜索：[2014-11-15 Git 与版本控制]
想看 Docker 化文档：[2022-08-15 Docker 安装与基础]

本文写于 2015 年，回看当时：7-Zip 至今仍是开源压缩的事实标准；AutoHotkey v2 历经 8 年重写终于稳定；ElevenClock 2021 才发布（Win 11 在 2021-10 发布）；Pandoc 至今仍是"会写 Markdown 的人"的必备工具——这 5 款工具 10 年后依然不过时。

CentOS 7 全面实战：阿里源、Docker、Harbor 与 Nginx+Let's Encrypt

Tue, 15 Sep 2015 00:00:00 +0800

一、为什么 2015 年要写这份"一站式"

2015 年的 CentOS 7 服务器基本就是"yum 源 + Docker + Web 服务"三件套。本篇把三个场景串成一篇深度文——从国内 yum 源选择、装 Docker CE、起 Harbor 私有仓库，到 Docker 化部署 Nginx + 申请 Let’s Encrypt 免费证书并自动续期。每个环节的坑都标出来了。

本文写于 2015-09-15。Let’s Encrypt 2015-09-14 进入公开 beta，2016-04 正式 GA，本文示例贴近 Let’s Encrypt 早期生态。CentOS 7 已 2024-06-30 进入 ELS 阶段，新机器建议直接 Rocky / Alma 9。

二、国内 yum 源选择

CentOS 7 装好后第一件事就是换源——官方源国内外都慢，国内服务器一定要换。常见选择：

源	特点
阿里云 `mirrors.aliyun.com/repo/Centos-7.repo`	同步快、稳定、企业用得多
网易 163 `mirrors.163.com/.help/CentOS7-Base-163.repo`	老牌、文档多
中科大 USTC	高校机房友好
清华 TUNA	高校机房友好

阿里云（企业最常见）：

1
2
3
4


mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak
curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
yum clean all && yum makecache
yum update

装 EPEL 源（很多 Python 包靠它）：

1

yum install -y epel-release

三、Docker CE 安装

3.1 卸载旧版

1
2
3
4
5
6
7
8


sudo yum remove docker \
 docker-client \
 docker-client-latest \
 docker-common \
 docker-latest \
 docker-latest-logrotate \
 docker-logrotate \
 docker-engine

注意：/var/lib/docker 目录（镜像、容器、卷、网络）默认不会删，重装后数据还在。

3.2 走官方 yum 源

1
2
3


sudo yum install -y yum-utils device-mapper-persistent-data lvm2
sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo
sudo yum install docker-ce

想装指定老版本：

1
2


yum list docker-ce --showduplicates | sort -r
sudo yum install docker-ce-18.09.1

3.3 走 get.docker.com 一键脚本

2015-2017 社区更常用：

1
2
3


curl -sSL https://get.docker.com/ | sh
systemctl start docker
systemctl enable docker

3.4 加 docker 用户组

1
2


sudo usermod -aG docker <your-user>
# 重新登录生效

3.5 验证

1

sudo docker run hello-world

四、配置阿里云 Docker 镜像加速

DockerHub 拉镜像国内极慢，必须配镜像加速器。2015-2016 年用得最多的是 daocloud.io：

1
2
3
4
5
6
7
8
9


mkdir -p /etc/docker
tee /etc/docker/daemon.json <<-'EOF'
{
 "registry-mirrors": ["http://f1361db2.m.daocloud.io"],
 "insecure-registries": []
}
EOF
systemctl daemon-reload
systemctl restart docker

多镜像源写法（2020+ 推荐）：

1
2
3
4
5
6
7


{
 "registry-mirrors": [
 "https://mirror.ccs.tencentyun.com",
 "https://docker.mirrors.ustc.edu.cn"
 ],
 "insecure-registries": ["<your-private-registry>:5000"]
}

验证是否生效：

1
2


ps -ef | grep docker
# 命令行里看到 --registry-mirror=... 就对了

五、装 docker-compose

5.1 早期：pip 装（2015-2017）

1
2


yum install -y python-pip
pip install docker-compose

5.2 中期：二进制直装

1
2
3
4


curl -L "https://github.com/docker/compose/releases/download/1.25.0/docker-compose-$(uname -s)-$(uname -m)" \
 -o /usr/local/bin/docker-compose
chmod +x /usr/local/bin/docker-compose
docker-compose version

5.3 2020+：Docker CLI plugin

1
2
3
4
5
6


# Compose v2
mkdir -p ~/.docker/cli-plugins
curl -SL https://github.com/docker/compose/releases/download/v2.23.3/docker-compose-linux-x86_64 \
 -o ~/.docker/cli-plugins/docker-compose
chmod +x ~/.docker/cli-plugins/docker-compose
docker compose version

六、Harbor 私有仓库

Harbor 是 VMware 开源的镜像仓库（2016-03 第一个 release），到 2017-2018 年成为国内事实标准。2017-2019 期间安装用 离线包最稳：

6.1 下载离线安装包

1
2
3


wget https://github.com/vmware/harbor/releases/download/v1.9.1/harbor-offline-installer-v1.9.1.tgz
tar -xvf harbor-offline-installer-v1.9.1.tgz
cd harbor

6.2 改配置

1
2
3
4
5
6


vim harbor.yml

hostname: <your-registry-ip-or-domain> # 例: 192.168.6.128
http:
 port: 28083
harbor_admin_password: <your-admin-pass>

6.3 装 + 启

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16


./install.sh

# 启停
docker-compose stop
docker-compose start

# 改完配置要重生效
docker-compose down -v
vim harbor.yml
./prepare
docker-compose up -d

# 推镜像
docker login <your-registry-ip>:28083
docker tag alpine <your-registry-ip>:28083/dev/alpine:3.10.3
docker push <your-registry-ip>:28083/dev/alpine:3.10.3

6.4 默认凭据

admin 账号：admin / Harbor12345（生产环境一定要改）
db_auth PostgreSQL root：root123（同上）

七、Docker 容器日志切割

不切日志，/var/lib/docker/containers/ 下的 *-json.log 可以把磁盘塞满：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# /etc/docker/daemon.json
{
 "log-driver": "json-file",
 "log-opts": {
 "max-size": "500m",
 "max-file": "3"
 }
}
systemctl daemon-reload
systemctl restart docker

坑提醒：只对新建容器生效，老容器需要 docker rm 后重建。

清空单个容器日志：

1

truncate -s 0 /var/lib/docker/containers/<container-id>/*-json.log

八、Nginx + Let’s Encrypt 免费证书

Let’s Encrypt 2015-09-14 公开 beta、2016-04 正式 GA，把免费 HTTPS 证书从"程序员折腾"变成了"运维 5 分钟"。证书有效期 90 天，必须用 certbot renew 自动续期。

8.1 安装 certbot

1
2


yum install -y epel-release
yum install -y certbot

8.2 申请证书（webroot 方式）

要求域名已经解析到本机：

1
2
3
4
5


certbot certonly --webroot \
 -w /var/www/html \
 -d mydemo.com \
 -m <your-email> \
 --agree-tos

成功后证书在：

1
2
3
4
5


/etc/letsencrypt/live/mydemo.com/
├── cert.pem # 用户证书
├── chain.pem # 中间证书
├── fullchain.pem # cert + chain
└── privkey.pem # 私钥

8.3 查有效期

1
2
3


openssl x509 -noout -dates -in /etc/letsencrypt/live/mydemo.com/cert.pem
# notBefore=...
# notAfter=...

8.4 配合 Docker Nginx

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# docker-compose.yml
services:
 nginx:
 image: nginx
 container_name: nginx
 ports:
 - "80:80"
 - "443:443"
 volumes:
 - /var/www/html:/usr/share/nginx/html:ro
 - /webser/etc/nginx:/etc/nginx/conf.d
 - /webser/logs/nginx:/var/log/nginx
 - /etc/ssl:/etc/ssl
 - /etc/letsencrypt:/etc/letsencrypt

8.5 Nginx 配置

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21


server {
 listen 443 ssl http2;
 server_name mydemo.com;

 ssl_certificate /etc/letsencrypt/live/mydemo.com/fullchain.pem;
 ssl_certificate_key /etc/letsencrypt/live/mydemo.com/privkey.pem;

 ssl_session_timeout 1d;
 ssl_session_cache shared:SSL:50m;
 ssl_session_tickets on;

 # 前向保密（PFS）参数
 ssl_dhparam /etc/ssl/private/dhparam.pem;

 ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
 ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:...:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK';
 ssl_prefer_server_ciphers on;

 root /usr/share/nginx/html;
 index index.html;
}

dhparam.pem 生成（一次性，2-3 分钟）：

1
2


mkdir -p /etc/ssl/private
openssl dhparam 2048 -out /etc/ssl/private/dhparam.pem

8.6 自动续期 crontab

1
2
3
4


crontab -e

# 每月 1 号 05:00 续期 + 重启 nginx
00 05 01 * * /usr/bin/certbot renew --quiet && docker restart nginx

坑提醒：续期时网站必须能访问到 /.well-known/acme-challenge/——也就是说 HTTP 80 端口必须能从公网访问到 webroot。

九、Docker 存储路径搬家

/var/lib/docker 默认在根盘，根盘很容易塞满：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15


systemctl stop docker
mkdir -p /home/docker

vim /usr/lib/systemd/system/docker.service
# ExecStart=/usr/bin/dockerd \
# --graph=/home/docker \ # Docker 17.05+ 推荐 data-root
# -H fd:// \
# --containerd=/run/containerd/containerd.sock

systemctl disable docker
systemctl enable docker
systemctl daemon-reload
systemctl start docker
docker info | grep "Docker Root Dir"
# Docker Root Dir: /home/docker

17.05+ 推荐用 data-root 而不是 --graph，后者已 deprecated。

十、磁盘空间排查速查

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 全局
df -h

# 各目录占用
du -sh /*

# 当前目录前 10 大
du -hd 1 | sort -hr | head

# 删除 7 天前的文件
find ./ -mtime +7 | xargs rm -rf

生产环境慎用 rm -rf / 这类命令——本文示例中所有路径都加了具体子目录，是基本的安全习惯。

十一、典型坑速查

现象	原因	处理
`docker run` 报 “Cannot connect to the Docker daemon”	daemon 没启 / 装完没 reload	`systemctl daemon-reload && systemctl restart docker`
拉镜像超慢	没配镜像加速	改 `/etc/docker/daemon.json` 的 `registry-mirrors`
`docker-compose` 命令找不到	只装了 docker，没装 compose	走 §5 装 compose
容器日志把磁盘塞满	没切日志大小	改 `daemon.json` 的 `log-opts`
Let’s Encrypt 续期失败	80 端口被占 / 域名解析不到	`certbot renew --dry-run` 模拟一次排查
Harbor 装完访问 502	端口冲突 / yml 改完没 `prepare`	改完 yml 必跑 `./prepare`

十二、下一步

想把 Harbor 升级到 v2.x → 见 Harbor 升级文档，先备份 /data/database 再升级
想换 SSL 自动化方案（acme.sh / Caddy） → 见 2017-09-15 CentOS 7 开发环境
想上 Kubernetes → 走 kubeadm，先关 swap（见 2012-12-15 CentOS 7 早期实践）
不想自己维护 Harbor → 换 Docker Hub Pro / 阿里云 ACR / 腾讯云 TCR

参考资料

2024 视角：Docker 24+ / 25+ / 26+ 已经"云原生一体化"

2015 那篇是 Docker 1.7~1.12 时代。2024 视角下 Docker 已经 26+（2024-04），加上 containerd / BuildKit / compose v2 已经"完全成熟"。

一、Docker 24 → 26+（2024 主流）

Docker 24.0（2023-05）：引入 Docker Scout（镜像漏洞扫描）、Docker Debug。
Docker 25.0（2024-01）：Compose v2 全面替代 Compose v1（v1 已废弃）。
Docker 26.0（2024-04）：BuildKit 默认启用、WebAssembly 支持。
Docker 27.0（2024-06）：Testcontainers 集成、容器测试能力。

1
2
3
4


docker --version
# Docker version 26.1.4, build 5650f9b
docker compose version
# Docker Compose version v2.27.0

二、containerd 替代 dockerd 的趋势

2024 大量 K8s 集群已经直接用 containerd（不再用 Docker）：
- containerd 1.7+（2023-04）：K8s CRI 兼容
- nerdctl：containerd 的 Docker-like CLI
- ctr（containerd 原生 CLI）

1
2


# 用 nerdctl 跑容器（语法跟 docker 一样）
nerdctl run -d --name nginx -p 80:80 nginx:1.25

2024 趋势：K8s 节点不要装 Docker，直接装 containerd——少 30% 资源占用。

三、BuildKit 时代

BuildKit（Docker 18.09+ 实验 → 26+ 默认）大幅提升 docker build 速度：
- 并行构建（多 stage 一起）
- 缓存复用（跨 build 共享层缓存）
- mount 语法（--mount=type=cache）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# BuildKit 语法（2024 推荐）
# syntax=docker/dockerfile:1
FROM golang:1.22 AS builder
WORKDIR /app
COPY . .
RUN --mount=type=cache,target=/root/.cache/go \
 go build -o /out/app

FROM alpine
COPY --from=builder /out/app /app

四、Harbor v2.x 已成事实标准

2015 那篇是 Harbor v1.9 时代。2024 主流：

Harbor 2.10+（2024）：支持 OCI 标准、镜像签名（cosign）、P2P 镜像分发（kraken）。
Harbor 2.11+（2024-05）：AI 模型管理（ML Model Registry）—— LLM 镜像 / 权重文件直接托管。

1
2
3
4
5
6


# 2024 装 Harbor 2.10
wget https://github.com/goharbor/harbor/releases/download/v2.10.0/harbor-offline-installer-v2.10.0.tgz
tar xvf harbor-offline-installer-v2.10.0.tgz
cd harbor
cp harbor.yml.tmpl harbor.yml
./install.sh

五、Let’s Encrypt 的"现代"姿势

2015 那篇是 certbot + crontab。2024 主流：

acme.sh：单脚本，80+ DNS 厂商支持，更轻量：

1
2
3
4
5
6
7
8


curl https://get.acme.sh | sh
export Ali_Key="xxx"
export Ali_Secret="yyy"
acme.sh --issue -d example.com --dns dns_ali
acme.sh --install-cert -d example.com \
 --key-file /etc/nginx/ssl/example.com.key \
 --fullchain-file /etc/nginx/ssl/example.com.crt \
 --reloadcmd "systemctl reload nginx"

lego（Go 写）：另一个 ACME 客户端，比 certbot 快。
Caddy：内置 ACME——配置即用：

1
2
3
4


example.com {
 reverse_proxy localhost:3000
}
# 自动 HTTPS + 自动续期

六、阿里云 Docker 镜像加速 2024 现状

2015 那篇的 daocloud.io 已经 2020 起停止免费服务。

2024 推荐：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


{
 "registry-mirrors": [
 "https://docker.m.daocloud.io", # DaoCloud 现仍可
 "https://mirror.baidubce.com", # 百度云
 "https://hub-mirror.c.163.com", # 网易
 "https://docker.mirrors.ustc.edu.cn", # 中科大
 "https://docker.nju.edu.cn", # 南京大学
 "https://docker.mirrors.sjtug.sjtu.edu.cn" # 上交大
 ]
}

2024 国内云厂商镜像（更稳定）：
- 阿里云：<regionId>.mirror.aliyuncs.com（每个 region 独立）
- 腾讯云：mirror.ccs.tencentyun.com
- 华为云：swr.cn-north-4.myhuaweicloud.com

七、`docker-compose` → `docker compose` 时代

2024 已无 docker-compose（v1 命令），统一用 docker compose（v2 plugin）。
2023-08 Docker 移除 Compose v1，所有项目必须迁移：

1
2
3
4
5


# 旧
docker-compose up -d

# 新
docker compose up -d

八、Docker 在 K8s 时代的"角色"

2024 大量生产项目已经不用 Docker 跑生产——直接用 K8s + containerd。
Docker 仍用的场景：
- 本地开发
- CI/CD 构建
- 小规模部署（< 10 容器）
- 个人项目
K8s 时代：
- K3s（轻量 K8s，单二进制）
- K0s（CNCF 零摩擦 K8s）
- MicroK8s（Ubuntu 出的）
- minikube（本地开发）

九、Docker 替代品

Podman（Red Hat 出，CentOS Stream / RHEL 9 默认）：无 daemon 架构，rootless 容器。
nerdctl（containerd CLI）：K8s 节点首选。
Buildah：专为 build 场景，无 daemon。
LXC / LXD：系统容器（类似 VM 的容器）。

VMware 与虚拟化实战：Windows 下的多系统工作站

Sat, 15 Aug 2015 00:00:00 +0800

一、VMware 在 2015 的地位

2015 年的桌面虚拟化市场，VMware Workstation 是不二之选——VirtualBox 还偏玩家、Hyper-V Server Core 体验不佳、Parallels Mac only。VMware 12（2015-08 发布） 带来 Windows 10 完整支持、DirectX 10 / OpenGL 3.3 加速。本文整理 VMware 全套实战。

阅读建议：本文面向开发者 + 渗透测试 + 多系统用户，重点在网络调优 + 多系统安装。

二、VMware 版本选型

版本	价格	适合
VMware Workstation Player	个人免费	已有镜像 / 只用开
VMware Workstation Pro	商业付费	完整功能（快照、克隆、Teams）
VMware Fusion	Mac 商业付费	macOS
ESXi	企业授权	服务器裸金属

2015 时代：

Workstation 12 Pro：商业付费 $249
旧版 11/10：大量"个人授权"流传（不推荐）
替代品：VirtualBox 5.x（免费开源）

三、安装与初始配置

3.1 安装

官方 https://www.vmware.com/products/workstation-pro.html：

双击安装包 → 接受许可
勾选 Enhanced Keyboard Driver（Linux 虚拟机推荐）
勾选 Add VMware to system PATH
首次启动要许可证密钥

3.2 关键配置

Edit → Preferences：

配置	推荐
`Memory` → `Fit all virtual machine memory into reserved host RAM`	勾选（预留内存）
`Priority` → `High`	抓取输入更跟手
`Display` → `Autofit`	客户机自动适应窗口
`Devices` → `Enable drag and drop`	双向拖放

3.3 17.x 时代的演进

VMware 17（2022）：TPM 2.0 + Secure Boot 强制（Win 11 需要）
16/15：Windows 11 装不上（缺 TPM）
兼容 Win 11：Workstation 17+ 模拟 TPM

四、网络类型详解

VMware Workstation 提供三种网络模式：

4.1 Bridged（桥接）

1
2


虚拟机 = 物理网段的一台独立设备
VM IP = 同网段独立 IP（DHCP / 静态）

适用：

服务器多网卡环境
虚拟机需要对外提供服务（如 Web/SSH）
多台虚拟机互访

配置：虚拟机设置 → Network Adapter → Bridged，选具体物理网卡。

4.2 NAT（地址转换）

1
2


VM → VMnet8 (NAT) → 物理网卡 → 外网
VM 默认从 VMware DHCP (10.0.0.0/24) 拿 IP

适用：

默认选项（新手友好）
虚拟机只需上网，不需要被外面访问
笔记本在不同 Wi-Fi 间切换也能用

配置：虚拟机设置 → Network Adapter → NAT。

4.3 Host-only（仅主机）

1
2


VM = VMnet1 (Host-only) 隔离网段
VM 只能跟 Host 通信，不能上外网

适用：

内网测试（不污染真实网络）
模拟 DMZ 区
学习网络协议

配置：虚拟机设置 → Network Adapter → Host-only。

4.4 自定义网络

Edit → Virtual Network Editor：

添加 VMnet2 / VMnet3（可设任意网段）
NAT 模式：可改网关 IP、DHCP 范围
生产中常用 VMnet2 做隔离实验

4.5 三种模式速查

维度	Bridged	NAT	Host-only
上外网	✓	✓	✗
主机访问	✓	✓	✓
局域网其他主机访问	✓	✗	✗
隔离性	差	中	强
性能	优	良	良

五、磁盘与 IO 类型

5.1 磁盘类型

模式	特性
`IDE`	老旧模式，XP/2003 必需
`SCSI`	默认推荐
`SATA`	Win 7+ 客户机
`NVMe`	Win 10+ 客户机（性能最佳）

2015 推荐：Linux 客户机 SCSI，Win 10+ 客户机 NVMe。

5.2 磁盘分配

Allocate all disk space now：预分配（性能好但占空间）
Split virtual disk into 2GB files：分卷（移动硬盘友好）
Store virtual disk as a single file：单文件（性能好）

实战建议：

SSD 上：单文件 + 预分配（性能最佳）
机械硬盘：分卷 + 精简（空间灵活）
移动 U 盘：分卷（FAT32 文件系统最大 4GB 限制）

5.3 磁盘 IO 性能调优

虚拟机设置 → Hard Disk → Advanced：

Independent 模式：
- Independent-Non-persistent：每次重启丢失更改（测试场景）
- Independent-Persistent：独立 IO（性能好）
Disk mode 磁盘模式：
- Default：跟随快照
- Independent-Normal：避免快照影响 IO

5.4 IO 控制器

控制器	性能	客户机
`BusLogic`	差	Win XP
`LSI Logic`	中	通用
`LSI Logic SAS`	良	Win 7+
`Paravirtualized SCSI (PVSCSI)`	最佳	Linux 优化
`NVMe`	最佳	Win 10+

Linux + 数据库场景推荐 PVSCSI。

六、内存与 CPU 调优

6.1 内存分配原则

总内存 = 物理内存的 50%-80%（别榨干 Host）
预留 4 GB 给 Host OS
Linux 客户机：MemAvailable 至少 1 GB 留给内核
Win 10 客户机：至少 4 GB

6.2 CPU 配置

Number of processors × Number of cores per processor = 总核数
超线程：VMware 12+ 自动支持
虚拟化引擎：Edit → Preferences → Processors：
- Virtualize Intel VT-x / AMD-V：勾选（必需）
- Virtualize CPU performance counters：性能分析用
- Accelerate 3D graphics：3D 加速（游戏 / CAD 必需）

七、快照与克隆

7.1 快照（Snapshot）

拍摄快照：保存当前状态（含内存）
恢复到快照：一键回滚
快照链：每次拍摄都创建 delta 文件，避免长时间累积

实战：装系统 → 拍快照"干净系统" → 装软件 → 拍快照"配置完成"。

7.2 克隆（Clone）

Current State：当前状态
Existing Snapshot：从指定快照克隆
Full Clone：完全独立（耗空间）
Linked Clone：依赖父磁盘（省空间）

实战：

Full Clone：测试多版本
Linked Clone：批量部署多台客户机

八、Hyper-V 与 VMware 共存

8.1 核心冲突

VMware 和 Hyper-V 都是 Hypervisor——同一台机器只能启用一个（除非用 WSL 2 / Credential Guard）。

8.2 解决方案

方案 1：关闭 Hyper-V

1
2
3


# 管理员 PowerShell
bcdedit /set hypervisorlaunchtype off
# 重启

方案 2：用 WSL 2 替代 Hyper-V

Windows 11 默认开启 WSL 2，基于 Hyper-V 架构。VMware 17+ 支持 Hyper-V 模式（“VMware Workstation uses Windows Hypervisor Platform”）：

Edit → Preferences → Compatibility → 勾选 Use Windows Hypervisor Platform。

8.3 三个 Hypervisor 的对比

工具	类型	适合
VMware	Type 2	全功能商业
VirtualBox	Type 2	免费开源
Hyper-V	Type 1	Windows 原生
KVM	Type 1	Linux 原生
WSL 2	Type 1	Windows 上的 Linux 容器

九、Kali Linux 实战

9.1 安装

镜像：https://www.kali.org/get-kali/
虚拟机 → 新建 → 典型：
- 客户机操作系统：Linux / Debian 10.x 64-bit
- 磁盘：50 GB（Kali 装工具后 30GB 起）
启动 → 图形安装

9.2 网络配置

关键点：

NAT 模式（默认）：自动获取 IP
SSH 服务默认关闭：要先 systemctl start ssh
root 密码默认空：sudo passwd root 改

9.3 工具集

Kali 内置 600+ 渗透测试工具：

类别	工具
信息收集	nmap, maltego, recon-ng
漏洞扫描	OpenVAS, Nikto
无线	aircrack-ng, wifite
密码	hashcat, john
Web	Burp Suite, sqlmap, OWASP ZAP
逆向	gdb, radare2

十、Ubuntu 22.04 实战

10.1 安装

镜像：https://releases.ubuntu.com/22.04/
典型安装：
- 客户机操作系统：Linux / Ubuntu 64-bit
- 磁盘：30 GB
- 内存：4 GB 起
启动 → 选择 Try or Install Ubuntu

10.2 open-vm-tools

VMware 推荐用 open-vm-tools（开源）而非 vmware-tools（闭源）：

1
2
3


sudo apt update
sudo apt install -y open-vm-tools open-vm-tools-desktop
sudo reboot

10.3 共享文件夹

虚拟机设置 → Options → Shared Folders：

Always Enabled：总是启用
Map as a network drive in Windows guests：自动挂载
添加：D:\share → /mnt/hgfs/share

手动挂载：

1

sudo vmhgfs-fuse .host:/ /mnt/hgfs -o allow_other

10.4 共享剪贴板

虚拟机设置 → Options → Guest Isolation：

☑ Enable copy and paste
☑ Enable drag and drop

十一、Android-x86 实战

11.1 镜像

https://www.android-x86.org/download。版本：

9.0 r2（稳定）
11.0 r2
13.0 r2

11.2 客户机配置

操作系统：Linux 2.6.x kernel
内存：2 GB
磁盘：20 GB
网络：NAT

11.3 安装

启动镜像 → Installation - Install Android-x86 to harddisk
Create/Modify partitions → New → Primary → Bootable → Write → Quit
选择 sda1 → ext4
Install GRUB + Install EFI GRUB（引导）
安装 → 启动

11.4 启动后配置

Wi-Fi 跳过（虚拟机没 Wi-Fi）
语言选 简体中文
App 安装：装应用宝 / 酷安

11.5 快捷键

快捷键	作用
`Ctrl + I`	侧边栏
`Ctrl + Esc`	后台应用
`Ctrl + H`	主屏幕
`Ctrl + Q`	退出
`F2`	截图

十二、OpenWrt 软路由（x86 架构）

12.1 定位

OpenWrt x86 通用版 装到 VMware，做软路由：

网络拓扑：物理网卡 → OpenWrt 虚机 → 内部 VMnet
用 iKuaiOS、ROS 也行

12.2 优势

多 WAN 接入
广告过滤（AdGuardHome）
科学上网
DNS 分流

十三、常见问题

13.1 虚拟机启动黑屏

Edit → Virtual Network Editor → Restore Defaults

13.2 客户机时间漂移

1
2


# 主机时间同步客户机
vmware-toolbox-cmd timesync enable

13.3 客户机分辨率固定 1024×768

1
2


# 装好 open-vm-tools 后
sudo systemctl restart vmtoolsd

13.4 客户机不能上外网

NAT 模式：检查 VMware NAT Service 是否启动
桥接模式：检查宿主网卡是否禁用 / 被防火墙拦
客户机 DNS：/etc/resolv.conf 配 nameserver 8.8.8.8

13.5 桥接模式下虚拟机拿不到 IP

物理网卡禁用 / 驱动异常 / Wi-Fi 桥接失败（Wi-Fi 默认不能桥接）。改 NAT 模式或换有线网卡。

13.6 客户机占用 100% CPU

关闭 3D 加速
关闭 Hyper-V（如果开了 WSL 2）
升级 VMware 到最新版

十四、下一步

想看 Linux 调优：[2014-09-15 Linux 通用命令速查]
想看 Docker 虚拟化：[2022-08-15 Docker 安装与基础]
想看 K8s 集群：k8s 章节

本文写于 2015 年，回看当时：VMware 12 Pro 还在卖 $249，2022 年 VMware 17 个人免费（从商业转身"开发者友好"）；Hyper-V 一直被吐槽体验差，直到 WSL 2 才扳回一城；VirtualBox 至今仍是 Oracle 旗下最被低估的产品——桌面虚拟化 10 年格局基本没变，但价格战打完了。

CentOS 7 内核升级：ELRepo 与 GRUB2 实战

Sun, 15 Mar 2015 00:00:00 +0800

一、为什么 2015 年要升级 CentOS 7 内核

CentOS 7 默认内核是 3.10.0-1160.el7.x86_64——RHEL 7 的"长期维护"线，稳定性极高但新硬件支持差。到 2018-2019 年以后，新出的 Intel 网卡（i40e/ice）、AMD EPYC、新 NVMe 控制器都靠这个老内核打补丁勉强支持，性能也跑不满。

2015 年开始国内运维圈开始批量给生产机升级内核，标准做法是 ELRepo 仓库 + GRUB2——ELRepo 提供 kernel-ml（mainline，主线最新版）和 kernel-lt（longterm，长期维护版）两套线，按需选。

包	来源	适用
`kernel-lt`	linux-stable	服务器、追求稳定
`kernel-ml`	linux-mainline	新硬件支持、想用 Btrfs/OverlayFS 新特性
`kernel-ml-devel`	linux-mainline	编译 DKMS 模块

本文写于 2015-03-15，示例基于 CentOS 7.9（2020-09 发布），但 ELRepo 流程在 7.x 全版本通用。

二、查清当前内核

1
2


uname -r
# 3.10.0-1160.el7.x86_64

三、装 ELRepo 仓库

1
2
3
4
5


# 导入公钥
rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org

# 装仓库（7.x 通用）
yum install https://www.elrepo.org/elrepo-release-7.el7.elrepo.noarch.rpm

坑提醒：如果 rpm --import 报 SSL 错误，先 yum update nss（NSS 库太老）。

四、查可用版本

1

yum --disablerepo="*" --enablerepo="elrepo-kernel" list available

会列出当前 elrepo 仓库里可装的全部 kernel 系列。

五、安装新版内核

5.1 装最新稳定版（mainline）

1

yum install -y kernel-ml kernel-ml-devel --enablerepo=elrepo-kernel

5.2 装指定版本

1

yum install -y kernel-lt-5.4.171-1.el7.elrepo --enablerepo=elrepo-kernel

kernel-ml-devel 是配套的内核头文件，装 Docker / VirtualBox Guest Additions / NVIDIA 驱动时要用。

六、查启动项

1
2
3
4
5
6
7
8


# 看默认启动项
grub2-editenv list
saved_entry=CentOS Linux (3.10.0-1160.el7.x86_64) 7 (Core)

# 看所有已装内核
awk -F\' '$1=="menuentry " {print i++ " : " $2}' /etc/grub2.cfg
# 0 : CentOS Linux (5.15.4-1.el7.elrepo.x86_64) 7 (Core)
# 1 : CentOS Linux (3.10.0-1160.el7.x86_64) 7 (Core)

坑提醒：/etc/grub2.cfg 在某些机器上是符号链接到 /boot/grub2/grub.cfg 的。如果 awk 命令报"找不到文件"，就先重建：

1

grub2-mkconfig -o /boot/grub2/grub.cfg

七、设置默认启动版本

1
2
3


grub2-set-default 0
# 也可以直接用名称
# grub2-set-default "CentOS Linux (5.15.4-1.el7.elrepo.x86_64) 7 (Core)"

再 grub2-editenv list 确认已切换。

八、重启验证

1

reboot

启动后：

1
2


uname -r
# 5.15.4-1.el7.elrepo.x86_64

强烈建议：第一次升级新内核先别删旧内核。生产机保留 1-2 个老内核作为回退，至少观察一周再清理。

九、清理旧内核

确认新内核稳定后，可以清理：

1
2
3
4
5
6
7
8


# 列出现有内核
rpm -qa | grep kernel

# 删除老内核（注意只删自己确认要删的版本）
yum remove kernel-3.10.0-1160.el7.x86_64 \
 kernel-tools-libs-3.10.0-1160.102.1.el7.x86_64 \
 kernel-3.10.0-1160.102.1.el7.x86_64 \
 kernel-tools-3.10.0-1160.102.1.el7.x86_64

坑提醒：kernel-tools / kernel-tools-libs 是系统工具包，别全删，保留一个版本对应你当前启动的内核。

十、UEFI 环境的特殊处理

如果你的机器是 UEFI 启动（云主机 / 物理机新硬件），grub2-set-default 之外还要重建 EFI 启动项：

1
2


yum install -y grub2-efi shim
grub2-mkconfig -o /boot/efi/EFI/centos/grub.cfg

否则升级完内核可能直接卡在 UEFI 启动界面。

十一、典型坑速查

现象	原因	处理
重启后还是老内核	`grub2-set-default` 没生效 / UEFI 启动项没更新	检查 `grub2-editenv list`、重建 EFI 启动项
Docker 启动报 “kernel too old”	容器 runtime 要求内核 ≥ 3.10 部分特性	升到 `kernel-ml` 5.x
编译模块找不到头文件	没装 `kernel-ml-devel`	装对应版本的 `kernel-ml-devel`
升级后 K8s kubelet 启动失败	内核 cgroup driver 跟 systemd 不一致	kubelet 加 `--cgroup-driver=systemd` 或编辑 `/etc/sysconfig/kubelet`
网络断流 / 驱动 panic	新内核不识别老硬件	进老内核（grub 选上一项），回退

十二、下一步

装新内核后想开 Btrfs / OverlayFS 高级特性 → 见 2015-09-15 CentOS 7 全面实战 的 Docker 部分
想给老机器回退到 3.10 内核 → 删 kernel-ml，重启在 GRUB 选老内核，重设 grub2-set-default 1
批量升级多台机器 → 用 Ansible 推 yum + reboot + 验证三件套
已经上了 K8s 1.22+ → 注意 cgroup driver 必须是 systemd（Docker 19.03+ 默认识别）

参考资料

2024 视角：ELRepo 仍是 7.x 时代的"老朋友"，9.x 时代要换思路

本文写于 2015-03-15——2015 那时候升级 CentOS 7 内核是"激进动作"。2024 视角下，CentOS 7 已经 EOL，新机器直接上 Rocky / Alma 9 + ELRepo 9 即可。

一、CentOS 7 升级到 kernel-ml 5.x 已成"非主流"

2015-2019 年代生产服务器升到 5.x 是"前沿"。
2024 视角下：
- CentOS 7 / Rocky 7 默认内核仍是 3.10（但 7 已 EOL，不应该再升）。
- Rocky / Alma 9默认内核是 5.14 LTS（基于 RHEL 9），直接是 5.14+，不需要 ELRepo 升级。
ELRepo 的角色变化：
- 2015：唯一可靠的"主线内核"仓库
- 2024：仍是"主线 / 长期支持"仓库，但新机器默认内核已够用

二、kernel-ml 5.x 升到 6.x LTS（2024 推荐）

2024 主流 LTS 内核：
- 5.15 LTS（EOL 2026-10，RHEL 9 的基础内核）
- 5.10 LTS（EOL 2026-12，长期支持）
- 6.1 LTS（EOL 2028-12，新机器推荐）
- 6.6 LTS（EOL 2026-12，Ubuntu 24.04 默认）
- 6.10（非 LTS，2024-07 发布，2025-07 EOL）
2024 推荐：kernel-ml-6.1 LTS 或 6.6 LTS

1
2
3


# 装 6.6 LTS
yum --enablerepo=elrepo-kernel install -y kernel-ml-6.6.*
# 自动加 GRUB 启动项、保留老内核

三、CentOS Stream 9 + ELRepo 9 的玩法

CentOS Stream 9 / Rocky Linux 9 / AlmaLinux 9 用 ELRepo 9 仓库：

1
2
3
4
5
6
7
8


rpm --import https://www.elrepo.org/RPM-GPG-KEY-elrepo.org
yum install https://www.elrepo.org/elrepo-release-9.el9.elrepo.noarch.rpm

# 看可用版本
yum --disablerepo='*' --enablerepo='elrepo-kernel' list available

# 装 kernel-ml（最新主线）
yum --enablerepo=elrepo-kernel install -y kernel-ml kernel-ml-devel

grub 配置同 7.x：grub2-set-default 0

四、cgroup v2 时代的内核选择

2015 那篇升级内核主要为了"新硬件支持"。
2024 升级内核的另一个理由：cgroup v2（systemd 244+ 默认）。

cgroup v1	cgroup v2	2024 推荐
CentOS 7 默认	需内核 4.5+	升 5.10+
CentOS 8 / Rocky 8 默认	默认 v1	升 5.14+ 改 v2
Rocky 9 / Alma 9	默认 v2	直接用

1
2
3


# 看当前 cgroup 版本
cat /sys/fs/cgroup/cgroup.controllers
# cgroup2 才有这个文件

五、Btrfs 时代的"新选择"

2015 那篇升内核为了"用 Btrfs / OverlayFS"。

2024 视角：
- Btrfs 在 Fedora 33+ / openSUSE 是默认 FS，RHEL 9 不默认（保守策略）。
- OverlayFS（容器基础）所有现代内核都支持。
- 新文件系统：
  - EROFS（华为 2018+）：只读压缩 FS，华为云 / 鸿蒙 OS 大量用。
  - bcachefs（2023 推出）：Kent Overstreet 设计，对标 Btrfs / ZFS，Linux 6.7+ 实验支持。

六、kpatch / livepatch：免重启升级

2015 那篇所有升级都需要重启。2024 有"livepatch"：

Canonical Livepatch（Ubuntu）：内核安全更新不重启。
Kpatch（Red Hat / RHEL）：kpatch-build 编译 + livepatch 应用。
KernelCare（CloudLinux 商业）：CentOS / RHEL 全系列支持。

1
2
3
4
5
6


# RHEL 9 / Rocky 9 安装 kpatch
dnf install kpatch
dnf install kpatch-patch-X.X.X
# 应用（不重启）
kpatch load
kpatch list

生产环境升级内核的"零停机"姿势。

七、安全启动 + 内核模块签名

2015 那篇没提 UEFI Secure Boot。
2024 视角：
- Secure Boot 默认开启（云厂商、Win11 PC）
- 自编译内核模块（DKMS）需要签名
- NVIDIA 驱动 / VirtualBox 必须用 distro 签名的版本

1
2
3


# 装 mokutil（管理 MOK 密钥）
mokutil --import /path/to/MOK.der
# 重启后进 UEFI 确认

八、内核升级的"安全策略"

生产服务器：
- 只升 LTS 内核（5.15 / 5.10 / 6.1 / 6.6）
- 保留至少 1 个老内核（回退用）
- 重大版本升级（如 5.10 → 6.1）先在测试机跑 2 周
- kernel-ml 慎用生产（主线，非 LTS）
开发机 / 容器：
- 可以激进（kernel-ml 6.10+）
- 容器化场景内核升级对应用透明（应用跑在用户态）

Linux 系统工具命令速查：cat/grep/sed/find/tar/tmux/top 等 20+ 工具精要

Sun, 15 Mar 2015 00:00:00 +0800

一、为什么是 2015 年这一份

2015 年这个时间点前后，Linux 命令行工具进入"成熟稳定期"：

核心三剑客（cat/grep/sed/awk/find）自 1980 年代起就没大改过
GNU coreutils 系列（ls/cat/md5sum/envsubst 等）2015 已是 8.x
systemd 在 RHEL 7（2014）/ CentOS 7（2014）/ Ubuntu 15.04（2015）陆续上位
top 3.x 时代 / tmux 1.x 稳定（tmux 2.0 是 2015-04 发布的）
glances 2.x 时代（glances 2.0 是 2014-12 发布的）

这一篇覆盖日常 Linux 工作中出现频次最高的 20+ 工具——文件查看、文本处理、进程管理、压缩归档、系统信息、杂项命令。每条只给"够用"的参数速查，不展开手册（详见各命令的 man 页）。

阅读建议：本文按"主题归类"组织，每个小节独立可读。遇到具体场景直接 Ctrl+F 搜命令名。

二、文件查看与操作

2.1 `cat`：查看文件内容

cat 是"concatenate"的简写，2015 已是 8.x 时代。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 查文件内容
cat filename

# 把 EOF 加上引号，变量就不会被解析
cat <<"EOF" > docker-compose.yaml
version: "3"
services:
 base:
 image: ...
EOF

重要细节：cat <<"EOF" vs cat <<EOF 区别在引号。带引号时 shell 不解析 $VAR、反引号等，写 Dockerfile / K8s manifest 这种带 $VAR 的模板文件时必须用引号。

2.2 `ls`：列出文件信息

1
2
3
4
5


# 查文件大小
ls -l 文件名 | awk '{print $5}'

# 字节数
stat -c "%s" 文件名

2.3 `md5sum`：校验文件完整性

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13


# 生成校验码
md5sum docker-compose > docker-compose-md5sums.txt

# 多个文件
md5sum 文件1 文件2 > fs.md5
md5sum 文件1 文件2 >> fs.md5

# 校验（输出 OK / FAILED）
md5sum -c docker-compose-md5sums.txt

# 只看退出码（CI/CD 场景）
md5sum --status -c docker-compose-md5sums.txt
echo $? # 0=全 OK，1=有 FAILED

2.4 `hdparm`：测试磁盘读写速度

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 测试读取效率
hdparm -t /dev/sda

# 测试硬盘缓存的读取速度
hdparm -T /dev/sda

# 直接测试（绕过缓存）
hdparm -tT --direct /dev/sda

# 查看 DMA 情况
hdparm -cdt /dev/sda

2.5 `rm`：删除文件/目录

大量文件不能用 rm *，会触发 -bash: /bin/rm: 参数列表过长。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


# 查看大文件/目录
du -sh * | sort -hr | head

# 方法一：find + rm
find . -type f -mtime +0 -exec rm -f {} +

# 方法二：xargs 分组
find . -name "*" | xargs rm -rf '*'

# 方法三：ls + xargs 限定每组 9 个
ls | xargs -n 9 rm -rf

# 清理两天前的数据
find ./ -mtime +1 | xargs rm -rf

三、文本处理三剑客

3.1 `grep`：搜索匹配行

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


# 显示上下行数
grep -C 50 pattern file

# 显示前 / 后
grep -B 5 pattern file
grep -A 5 pattern file

# 不区分大小写
grep -i pattern file

# 实战：查 docker 日志里最后百万行有 error 关键字的不区分大小写前后 10 行
docker logs -f --tail=1000000 appbackend | grep -C 10 -i error

3.2 `sed`：流编辑器

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20


# 内容追加
# 首行追加
sed -i "1i\内容" 文件名
sed -i "1i\SET FOREIGN_KEY_CHECKS = 0;" /tools/safety.sql

# 尾行追加
echo "内容" >> 文件名

# 打印第一行 / 最后一行
sed -n 1p /tools/safety.sql
sed -n '$p' /tools/safety.sql
tail -n 1 /tools/safety.sql
awk 'END{print}' /tools/safety.sql

# 删除
sed -i '1d' /tools/safety.sql # 删第一行
sed -i '$d' /tools/safety.sql # 删最后一行

# 全局替换
sed -i 's/原字符串/新字符串/g' 文件名

3.3 `find`：查找文件

1
2
3
4
5
6
7
8
9


# 当前目录下找名为 file.txt 的文件
find . -name file.txt

# 找大文件 / 旧文件
find . -type f -size +100M
find . -type f -mtime +30

# 找并执行命令
find . -name "*.log" -exec rm -f {} \;

四、进程管理

4.1 `ps`：查看进程

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 经典组合
ps -aux
# a: 显示所有程序
# u: 以用户为主的格式
# x: 显示所有程序，不以终端机区分

# 查指定进程
ps -aux | grep test.sh | grep -v grep

# 内存占用高的前 20
ps aux | head -1; ps aux | grep -v PID | sort -rn -k +4 | head -20

grep -v grep：把 grep 命令本身从结果里排除掉，否则会看到自己。

4.2 `kill`：杀进程

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 优雅退出
kill <pid>

# 强制退出
kill -9 <pid>

# 杀某用户的所有进程
pkill -u 用户名

# 杀进程并踢出登录
pkill -kill -t tty

4.3 `top`：实时进程监控

top 是 1991 年起的"上古"工具，至今仍是 Linux 性能观测的入门首选。

1

top -c -bw 512 # 显示完整命令行，输出宽度 512

输出解读：

行	含义
第 1 行	当前时间、运行时间、当前用户、CPU 平均负载（1/5/15 分钟）
第 2 行	总/运行/休眠/停止/僵尸进程数
第 3 行	us（用户）/ sy（内核）/ ni（调整优先级）/ id（空闲）/ wa（等待 IO）/ hi（硬件中断）/ si（软件中断）/ st（虚拟化偷走）
第 4 行	物理内存总量、空闲、已用、内核缓存
第 5 行	虚拟内存总量、空闲、已用、下一波分配量

进程字段：

字段	含义
PID	进程 ID
USER	进程用户名
PR	动态优先级
NI	静态优先级（可被 nice 调整）
VIRT	虚拟内存
RES	物理内存
SHR	共享内存
S	状态（D 不可中断 / I idle / R 运行 / S 睡眠 / T 停止 / Z 僵尸）
%CPU / %MEM	CPU / 内存占用
TIME+	累计 CPU 时间
COMMAND	命令

Java 进程的 VIRT 异常大：Java 8+ 用 Metaspace 取代 PermGen，元空间放在 OS 本地内存。每个线程都分配一个 arena（64MB），线程一多 VIRT 就巨大。这不是真用了那么多内存——要用 pmap 查真实占用。

1
2
3


pmap -x <pid> | sort -n -k3
# 输出内存块详细信息
cat /proc/<pid>/smaps

常用快捷键：

快捷键	功能
`shift+m`	按内存排序
`shift+P`	按 CPU 排序
`shift+t`	按时间排序
`shift+n`	按 PID 排序
`m`	内存显示模式
`E`	内存总览单位
`e`	进程内存单位
`c`	显示完整命令行
`i`	不显示闲置
`l`	启动时间和平均负载

4.4 `tmux`：终端复用

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22


# 安装
yum -y install tmux # CentOS
apt install -y tmux # Debian/Ubuntu

# 新建会话
tmux new -s session_name

# 退出（不关会话）
# ctrl + b 再输入 d

# 进入已有会话
tmux attach -t session_name

# 查看所有会话
tmux ls
# ctrl + b 再输入 s 交互式切换

# 关闭指定会话
tmux kill-session -t session_name

# 关闭所有会话
tmux ls | grep : | cut -d. -f1 | awk '{print substr($1, 0, length($1)-1)}' | xargs kill

4.5 `nohup`：不挂断运行

1
2


# 不挂断运行 test.sh，输出重定向到 output.log
nohup ~/user/test.sh > output.log 2>&1 &

0 —— 键盘输入
1 —— 屏幕输出（标准输出）
2 —— 错误输出
2>&1 —— 把错误输出重定向到标准输出
最后的 & —— 后台运行

jobs 命令只对当前终端有效，关闭终端后 jobs 就看不到后台进程了，此时用 ps。

1
2
3
4
5


# 显示所有任务的进程号
jobs -l

# 显示任务状态变化
jobs -n

五、压缩归档

5.1 `tar`：归档与压缩

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23


# 五个独立命令
# -c: 建立压缩档案
# -x: 解压
# -t: 查看内容
# -r: 向压缩归档文件末尾追加文件
# -u: 更新原压缩包中的文件

# 可选参数
# -z: gzip
# -j: bz2
# -Z: compress
# -v: 显示所有过程
# -O: 将文件解开到标准输出
# -f: 使用档案名字（必须是最后一个参数）

# 压缩
tar -zcvf xxx.tar.gz xxx

# 解压
tar -zxvf xxx.tar.gz

# 解压到指定文件夹（文件夹必须已存在）
tar -zxvf /file/xxx.tar.gz -C /home/docker

六、系统信息

6.1 CPU 信息

1
2
3
4
5
6
7
8


# 最详细
cat /proc/cpuinfo

# 简单
lscpu

# 最简单：只显示核心数
nproc

统计 CPU 数量：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 总核数 = 物理 CPU 个数 × 每颗物理 CPU 的核数
# 总逻辑 CPU 数 = 物理 CPU 个数 × 每颗物理 CPU 的核数 × 超线程数

# 物理 CPU 个数
cat /proc/cpuinfo | grep "physical id" | sort | uniq | wc -l

# 每个物理 CPU 的核数
cat /proc/cpuinfo | grep "cpu cores" | uniq

# 逻辑 CPU 个数
cat /proc/cpuinfo | grep "processor" | wc -l

# 线程数 = 逻辑 CPU 数
grep 'processor' /proc/cpuinfo | sort -u | wc -l

# 超线程：cpu cores 和 siblings 不一致则开启
cat /proc/cpuinfo | grep -e "cpu cores" -e "siblings" | sort | uniq

6.2 内存信息

1
2
3
4
5
6
7


# 查所有内存设备的详细信息
sudo dmidecode | grep -P -A5 "Memory\s+Device" | grep Size | grep -v Range
# 或
dmidecode -t 17

# 完整版
dmidecode | grep -A16 'Memory Device'

6.3 主板/PCI 设备

1
2
3
4
5


yum install -y pciutils # centos 安装（ubuntu 22.04+ 自带）
lspci -v

# 网卡驱动详细信息
ethtool -i eno1

6.4 `journalctl`：systemd 日志查询

journalctl 是 systemd 的日志工具，2015 年起在主流发行版成为默认日志系统。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17


# 看本机启动以来的所有日志
journalctl

# 看指定服务
journalctl -u nginx

# 看内核日志
journalctl -k

# 看最近 10 分钟
journalctl --since "10 min ago"

# 跟踪（类似 tail -f）
journalctl -f

# 看指定时间段
journalctl --since "2024-01-01" --until "2024-01-02"

七、`glances`：htop 的"加强版"

glances（2014-12 发布 2.0）提供一屏式综合监控，常被推荐为 htop 的替代品。

1
2
3
4
5
6
7
8
9


# 安装
yum -y install glances # CentOS
apt install -y glances # Debian/Ubuntu

# 配套：硬件温度监控
yum -y install lm_sensors

# 启动
glances

关于 htop：htop 在 2015 仍是 top 的"事实标准"加强版。glances 的差异在"一屏看 CPU / 内存 / 磁盘 / 网络 / 进程全维度"。本文不展开，详见独立文章。

八、环境变量与模板：`envsubst`

envsubst 是 GNU gettext 套件里的小工具，专门做"模板 + 环境变量 → 配置"：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31


# 1. 模板文件 t.yaml
cat << "EOF" > t.yaml
systeminfo:
 OS: $OS
 user: $USER
 home: $HOME
 args:
 [
 "$args"
 ]
EOF

# 2. 脚本 t.sh
cat << "EOF" > t.sh
#!/usr/bin/env bash
export OS=$(uname -s)
export args="/wait.sh 10.8.33.127:8848 -t 0"
ports=(100 200 300)
nodePort=30000
for p in ${ports[*]}; do
 nodePort=$[$nodePort+1]
 sed -i "8a \ - name: port$p\n port: $p\n targetPort: $p\n nodePort: $nodePort" t.yaml
done
envsubst < t.yaml > t1.yaml
EOF

# 3. 跑脚本
bash t.sh

# 4. 清理
rm -rf t.yaml t1.yaml t.sh

典型场景：用模板生成 K8s 部署文件——一份 YAML 模板 + 多个环境变量 → 多份目标 manifest。

九、`pciutils`：网卡/PCI 设备排查

lspci 是排查网卡驱动问题最常用的工具。当一个新机器装完系统发现网卡识别不到，先看 lspci 找到芯片型号，再去厂商站下载驱动。

1
2
3
4
5


# 显示网卡
yum install -y pciutils # centos 安装（ubuntu 22.4+ 自带）
lspci -v
# 或
ethtool -i eno1

常见坑：Realtek r8168 网卡在 CentOS 7 默认驱动下表现不佳，需要从 Realtek 官网下载驱动源码手动编译。常见编译错误 ether_addr_copy 重定义、ndo_change_mtu 等都需要手动改源码适配内核版本。

十、`nohup` + 进程组：`2>&1` 的真意

2>&1 的写法非常常见但很多人不理解。这里给一个完整图：

文件描述符	含义	默认指向
`0`	stdin（键盘输入）	键盘
`1`	stdout（标准输出）	屏幕
`2`	stderr（错误输出）	屏幕

1
2
3
4
5
6
7
8


# 把 stderr 重定向到 stdout
command > out.log 2>&1

# 把 stdout 重定向到 file，stderr 仍走屏幕
command > out.log

# 把 stdout 和 stderr 都丢进黑洞
command > /dev/null 2>&1

nohup + & + > log 2>&1 是后台跑长任务的标准三件套。

十一、`systemctl` 资源限制

systemctl edit 是给已有 service 加 overlay 配置（不修改原 unit 文件）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


# 编辑 sshd 的 overlay
systemctl edit sshd

[Service]
CPUQuota=20%
MemoryLimit=256M
Nice=-10
IOWeight=100

sudo systemctl daemon-reload
sudo systemctl restart sshd

字段	含义
`CPUQuota=20%`	限制最多用 20% 单核 CPU
`MemoryLimit=256M`	限制最大 256M 内存
`Nice=-10`	优先级（-20~19，越小越高）
`IOWeight=100`	IO 权重（1~10000）

十二、前置知识 / 下一步

想看 journalctl 完整用法 → man journalctl
想看 top 完整字段 → man top
想看 sed 完整正则语法 → man sed
想看 fio 性能压测 → 翻本系列《Linux 磁盘与 LVM 深度实践》
想看 systemctl 完整服务管理 → 翻本系列《Linux 远程登录与安全实践》中的 service 文件部分

十三、参考资源

GNU Coreutils：https://www.gnu.org/software/coreutils/manual/
man 各命令手册页
TLDP Advanced Bash Scripting Guide：https://tldp.org/LDP/abs/html/
Linux man-pages project：https://www.kernel.org/doc/man-pages/

2024 视角：10 年后这 20+ 工具的"现代化"姿势

2015 年这份速查在 2024 仍有 90% 适用——这正是 GNU coreutils 三剑客的"长青"价值。但在 2024 年的服务器上，有几处需要更新：

一、net-tools 真的可以删了

2015 年时 netstat 还在主流发行版，2024 年 RHEL 9 / Ubuntu 24.04 已彻底移除 net-tools。

ss（iproute2）已经完全替代：

1
2
3


ss -tulnp # 替代 netstat -tulnp
ss -s # 替代 netstat -s（统计）
ss -tin # TCP 连接详细信息（含拥塞窗口、重传）

ifconfig 替代品：

1
2


ip -br addr show # 简洁模式
ip -c addr show # 彩色输出

route 替代品：

1
2


ip route show
ip -6 route show # IPv6 路由

二、`htop` 仍是 `top` 首选替代

htop 3.x（2022+）已经支持鼠标操作、横向滚动、进程树折叠，2024 是事实标准。
btop（2021 推出）更激进：CPU/内存/磁盘/网络一屏 + 图形化 sparkline，颜值党首选。
glances 仍是 Web/API 化的最佳选择：可以 glances -w 启 Web 服务（默认 61208 端口），浏览器看监控。

三、`tmux` 3.x 的新特性

tmux 3.0（2021-04 重大版本）之后：
- status-line 支持字符串插值（#{...} 语法）
- popup 弹窗（display-popup -E "cmd"）
- mouse 模式改进

2024 推荐配置 ~/.tmux.conf：

1
2
3


set -g mouse on
set -g default-terminal "tmux-256color"
set -ag terminal-overrides ",xterm-256color:RGB"

四、systemd 资源控制的"现代写法"

2015 那篇给的 CPUQuota=20% 仍是有效写法，但 2024 更精细的有：

CPU 亲和性：
1 2

[Service] CPUAffinity=0-3

内存 + 交换空间硬限制：

1
2


MemoryMax=512M
MemorySwapMax=0 # 禁用 swap

IO 控制器（systemd 240+）：

1
2


IOReadBandwidthMax=/dev/sda 100M
IOWriteBandwidthMax=/dev/sda 50M

五、`journalctl` 仍是事实标准

但 2024 推荐结构化查询：

1
2
3
4


journalctl -u nginx --since "1 hour ago" --output=json | jq .
journalctl -u nginx -p err -n 50 -f # 跟踪错误
journalctl --vacuum-size=200M # 限制日志大小
journalctl --list-boots # 看启动历史

六、`fzf` 应该是 2024 必装

2015 年没提的"现代神器"——fzf（命令行模糊查找器）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10


# 装
apt install fzf # 或 brew install fzf

# 用
Ctrl-R # 模糊搜索历史命令
Ctrl-T # 模糊搜索文件
Alt-C # 模糊切换目录

# 管道
ps aux | fzf | awk '{print $2}' | xargs kill

fzf 让"在 1 万条历史命令里找刚才那条"变成 < 1 秒，是 2015 → 2024 提效最大的一颗"小宝石"。