前言

前段时间刮台风，我原来的路由器被水淹了

把路由器拿起来水都从缝隙漏出来了

所以索性换路由器了 因为我家两条宽带 所以选择用iKuai去分流

然后咸鱼收了一台H3C S5800作为核心交换机

十年前的玩意了 居然有4万兆 16千兆 才300块钱

光猫接到iKuai的直通网口，一条万兆接口接到交换机

路由器不是重点，重点是交换机的配置

前言

换了条宽带，现在我拥有动态的公网IPV4地址了

我打算暴露一些服务出去以便我使用

例如Openlist RDP Gitlab

但是 我并不打算公开 我只打算自己使用

前面我们搭建了Authentik作为SSO单点登录，刚好雷池WAF支持通过单点登录鉴权来允许访问

这样我就可以实现把ESXi挂到公网 但是不登录都过不了防火墙

前言

前段时间去办了商宽，可算是有公网IP了 CloudFlare Tunnel实在太慢了

然后我白嫖了免费的pp.ua域名托管到了CF 现在只需要定期给域名申请证书就好了

前言

我之前给blog配图的时候一直都是用QQ截图然后手动拖进上传sm.ms 然后把他生成出来的markdown格式复制进来

这样的话我需要：

QQ截图->保存->打开浏览器->打开图床->拖进图床->点上传->复制Markdown->找到配图的地方->粘贴

这一套流程下来导致我真的懒得配图

然后在我这几天高频写blog的时候我想起来我用的图床是有api的

尼玛 那我之前古法上传图片算什么

前言

我之前一直让K8s的Node直接走软路由代理

那包能用的 但一直这样也不是个办法 我别的设备（比如我自己电脑上的WSL）现在都还下不来Docker镜像

傻逼微软的HyperVisior跟史一样 时不时给我电脑蓝一下

然后我需要迁移以前的Docker镜像到集群中 最好是能找个地方暂存一下我的镜像

顺便作为镜像加速站 这是最好的

目前在强大和易部署之间比较平衡的应该就是Harbor

我们已经解决了K8s内集群的证书 现在需要解决我们直接跑在虚拟机上的一些服务的证书签名了

之前是自己签名 现在发现可以用根证书+ACME统一签名

因为是根证书 实际上可以在Ingress里设置任何一个域名（即使他已经存在）

甚至可以把baidu换成google（

前言

我们成功搭建起了K8s 接下来我们需要搭建一些额外的服务来满足我的需求

写在前面

太好了孩子们 这次基本全都是命令行操作 我不用截图了

以下几乎全是命令 几乎一张图片没有 如果你想做为参考的话请仔细阅读每一行

前言

昨天我在折腾Authentik认证服务的时候 一直在思考用什么反代服务

常见的可以用Nginx Proxy Manager,Caddy,Traefik

这里面我觉得比较好用的是Traefik，但是即使是Traefik想要自动申请证书之类的你也需要在docker compose里写一堆lable去定义

再加上我的服务越来越多 之前都是宝塔和1Panel混着用来管理docker

这太不健康了

我认为是时候开始大一统了

前言

在Authentik的折腾中由于我们没有https导致passkey无法使用

并且想使用passkey必须要可用的证书 Chrome提示什么不安全的连接即使有https也是无法使用的

所以我们需要给.lan域名签一个证书并信任他

前言

Passkey(通行密钥)作为一种新的身份验证方式近几年开始慢慢流行起来了

该说不说 真的很好用

其安全且方便，理论来说Passkey的安全性是高于传统的2FA的（尤其是有生物认证的情况下）

但是目前只有一些大厂 比如Google Github 或者一些虚拟货币平台支持

国内几乎没有厂商支持 为数不多支持的微信还要求你用非+86的手机注册才可以用

我就在想，我局域网一些设备用的是弱密码 首先这不安全 其次这导致我需要记住几个不同的密码

有点麻烦 何况很多时候Chrome的密码补全是不工作的

有时候我root都输完了Chrome才提示让我填入密码 那我手都输完了

我就在想，可不可以将局域网里面的一些服务比如ESXi vCenter TrueNAS。甚至是Windows远程桌面 SSH

用反代 让他们强行支持Passkey

况且前段时间我暴露的RDP服务老是被爆破 即使不是3389端口 我用了几万后的端口也会被扫到

所以我需要一个局域网内的身份验证服务