1 | https://pypi.tuna.tsinghua.edu.cn/simple |
查看当前镜像地址
1 | pip config list |
1 | pip install numpy -i https://pypi.tuna.tsinghua.edu.cn/simple |
1 | pip config set global.index-url https://pypi.tuna.tsinghua.edu.cn/simple |
1 | pip config unset global.index-url |
在K3s集群中部署Redis,需依托Kubernetes资源清单,完成组件配置、存储挂载、网络访问等全流程操作。本文基于实际可直接复用的YAML配置文件,详细拆解Redis在K3s环境中的部署步骤,解析核心配置要点,确保部署过程规范、可落地。
本次部署基于K3s集群,选用Redis 6.0.8版本,所有相关资源统一部署在redis命名空间下(需提前执行命令kubectl create namespace redis完成命名空间创建)。部署采用StatefulSet控制器保障Redis实例的稳定运行,结合PersistentVolumeClaim(PVC)实现数据持久化,通过IngressRouteTCP暴露外部访问入口,借助ConfigMap统一管理Redis配置文件,形成完整的部署闭环。
创建redis-config.yaml文件,通过ConfigMap存储Redis核心配置参数,涵盖网络绑定、数据持久化策略、密码认证等关键配置,确保Redis运行参数可灵活调整、统一管理,具体配置如下:
1 | apiVersion: v1 |
配置文件创建完成后,执行以下命令部署ConfigMap:
1 | kubectl apply -f redis-config.yaml |
K3s集群默认内置local-path存储类,可满足日常Redis数据持久化需求。本次部署提供两种PVC配置方式,用户可根据实际存储场景灵活选择。
创建redis-pvc-local-path.yaml文件,申请2Gi存储容量,访问模式设为ReadWriteOnce(仅允许单个节点读写),适配单节点Redis部署场景,配置如下:
1 | apiVersion: v1 |
执行部署命令:
1 | kubectl apply -f redis-pvc-local-path.yaml |
若需自定义存储路径,可创建redis-pvc-host-path.yaml文件,手动定义PersistentVolume(PV)和PVC。其中PV指定宿主机/mnt/redis/data路径作为存储目录,容量设为5Gi;PVC关联local-path存储类,申请2Gi存储容量,配置如下:
1 | apiVersion: v1 |
执行部署命令:
1 | kubectl apply -f redis-pvc-host-path.yaml |
创建redis-deployment.yaml文件,采用StatefulSet控制器管理Redis Pod,配置包含初始化容器(调整内核参数)、存储卷挂载、配置文件挂载、启动命令指定等核心内容,确保Redis实例稳定启动,配置如下:
1 | apiVersion: apps/v1 |
执行部署命令,启动Redis StatefulSet:
1 | kubectl apply -f redis-deployment.yaml |
创建redis-service.yaml文件,定义ClusterIP类型Service,暴露Redis 6379端口,供K3s集群内其他应用程序访问Redis服务,配置如下:
1 | apiVersion: v1 |
执行部署命令:
1 | kubectl apply -f redis-service.yaml |
基于K3s默认集成的Traefik IngressController,创建redis-ingress.yaml文件,通过IngressRouteTCP暴露Redis的6379端口,实现集群外部对Redis服务的访问,配置如下:
1 | apiVersion: traefik.io/v1alpha1 |
执行部署命令:
1 | kubectl apply -f redis-ingress.yaml |
注意:需提前在Traefik中配置名为redis的entryPoint(监听6379端口),否则IngressRouteTCP无法正常生效。
Redis相关资源部署完成后,需通过以下命令检查资源状态,并验证服务可正常访问。
1 | # 检查StatefulSet运行状态 |
若所有资源状态均为Running/Bound,说明部署成功。
集群内访问:通过集群内部服务地址redis.redis.svc.cluster.local:6379访问,访问密码为配置文件中设置的passwd。
集群外访问:通过Traefik节点IP+6379端口访问,访问密码同样为passwd。
内核参数调整:通过初始化容器(initContainers)执行sysctl -w net.core.somaxconn=511,提升Redis网络连接上限,避免因连接数不足导致服务异常。
数据持久化:通过PVC挂载/var/lib/redis目录,结合Redis配置中的RDB和AOF双重持久化策略,确保数据不丢失;hostPath模式下,数据实际存储在宿主机/mnt/redis/data目录,local-path模式下存储在集群默认存储路径。
配置管理:通过ConfigMap挂载redis.conf配置文件,后续需修改Redis运行参数时,仅需更新ConfigMap并重启Pod即可,无需重建镜像,提升维护效率。
网络安全:采用ClusterIP类型Service限制集群内访问,通过IngressRouteTCP实现外部可控访问,同时Redis配置密码认证,多重保障服务安全。
本文基于实际生产可用的YAML配置文件,完成了K3s集群中Redis的标准化部署,覆盖配置管理、数据持久化、网络访问、部署验证等核心环节。所有配置均保持原始内容不变,可直接复用至K3s环境,无需额外修改,能够满足中小规模业务场景下Redis的稳定运行需求,为K3s环境中Redis的部署提供了可落地的实践参考。
本文作为GitOps环境搭建系列的第四篇,聚焦cert-manager证书管理的部署与配置。在K3s集群环境中,TLS/SSL证书是保障服务通信安全的核心基础设施,无论是公网HTTPS服务还是内网私有服务,都需要规范的证书管理方案。
在GitOps环境中,cert-manager扮演”证书自动化管理中枢”角色,为所有组件(Traefik、Gitea、ArgoCD、Tekton、Harbor等)提供自动化的证书签发、续签和轮换服务。通过cert-manager,可以实现Let’s Encrypt公网证书的自动获取,或自签名证书的内网安全通信,确保整个GitOps环境的HTTPS安全访问。
部署前需验证K3s集群状态及Traefik运行情况:
1 | # 1. 验证K3s集群状态 |
前置条件检查清单:
1 | # 添加cert-manager官方Helm仓库 |
1 | # 查看cert-manager组件状态 |
cert-manager通过ClusterIssuer定义证书签发规则,支持Let’s Encrypt(公网)和自签名(内网)两种模式。
1 | # letsencrypt-staging.yaml |
1 | # letsencrypt-prod.yaml |
Let’s Encrypt速率限制说明:
对于内网GitOps环境,推荐使用自签名CA证书。以下配置创建自签名CA并基于该CA签发子证书:
1 | # selfsigned-issuer.yaml |
配置说明:
ClusterIssuer:用于生成根CA证书Certificate资源:定义根CA证书的规格,生成后存储在root-secret中ClusterIssuer:基于生成的根CA证书,用于签发其他子证书应用配置:
1 | # 应用自签名CA配置 |
如果已有自定义CA证书,可先导入到Secret中,再创建引用该CA的ClusterIssuer:
1 | # 导入自定义CA证书 |
1 | # custom-ca-issuer.yaml |
K3s默认CA说明:
K3s会在首个Server节点启动时生成自签名CA证书,有效期为10年,存储在:
/var/lib/rancher/k3s/server/tls/client-ca.crt/var/lib/rancher/k3s/server/tls/server-ca.crt如需轮换K3s默认CA证书,可使用:
1 | k3s certificate rotate-ca |
1 | # 应用ClusterIssuer配置 |
使用自签名CA签发GitOps环境通配符证书:
1 | # gitops-certificates.yaml |
1 | # traefik-certificate.yaml |
1 | # 应用证书配置 |
1 | # 查看所有证书 |
1 | # 创建测试IngressRoute使用证书 |
1 | # 创建带自动签发注解的IngressRoute |
在IngressRoute资源中添加注解,实现证书自动签发。cert-manager会自动检测注解并创建对应的Certificate资源:
1 | # gitops组件自动签发示例 |
支持的高级注解:
cert-manager.io/cluster-issuer: 指定签发机构cert-manager.io/issuer: 指定命名空间级签发机构cert-manager.io/common-name: 证书通用名称cert-manager.io/duration: 证书有效期(默认90天)cert-manager.io/renew-before: 续签提前时间(默认30天)cert-manager.io/usages: 证书用途(如server auth, client auth)cert-manager.io/private-key-algorithm: 私钥算法(如RSA, ECDSA)通配符证书配置:
1 | apiVersion: traefik.io/v1alpha1 |
优势:
1 | # 导出自签名CA证书和GitOps组件证书 |
| 问题现象 | 排查方向 | 修复方案 |
|---|---|---|
| 证书签发失败 | ClusterIssuer配置 | 检查ClusterIssuer状态:kubectl describe clusterissuer <name> |
| 证书一直Pending | 域名验证失败 | 检查域名解析,确认Traefik可访问,查看cert-manager日志 |
| 证书过期未续签 | 续签配置错误 | 检查renewBefore设置,查看cert-manager控制器日志 |
| Let’s Encrypt速率限制 | 请求过于频繁 | 切换到测试环境,或等待限制解除 |
| 证书Secret不存在 | 签发过程错误 | 查看Certificate资源事件:kubectl describe certificate <name> |
| HTTPS访问证书错误 | 证书域名不匹配 | 检查证书dnsNames是否包含访问域名 |
| 自签名CA证书无效 | CA证书未就绪 | 等待CA证书生成:kubectl wait --for=condition=Ready certificate selfsigned-ca |
所有cert-manager配置文件和部署脚本请参考:
https://gitee.com/Chemmy/kube-template/tree/master/devops/cert-manager
该目录包含:
本文完成了cert-manager在K3s集群中的标准化部署,实现了GitOps环境证书的自动化管理。通过cert-manager,可以轻松管理Let’s Encrypt公网证书和自签名内网证书,确保所有组件的HTTPS安全访问。
配置完成后,建议为每个GitOps组件配置相应的证书,并在IngressRoute资源中启用TLS自动签发。下一篇文章将部署Gitea代码仓库,为GitOps环境提供代码托管能力。
清华 https://mirrors.tuna.tsinghua.edu.cn
腾讯 https://mirrors.tencent.com
华为 https://mirrors.huaweicloud.com
中国科技大学 https://mirrors.ustc.edu.cn
华中科技大学 http://mirror.hust.edu.cn
网易 http://hub-mirror.c.163.com
中国科技大学 https://docker.mirrors.ustc.edu.cn (不可用)
道客 https://docker.m.daocloud.cn (参考官方文档)
腾讯 https://mirror.ccs.tencentyun.com
华为 https://mirror.swr.myhuaweicloud.com
阿里云 https://registry.cn-hangzhou.aliyuncs.com
[^注]: 阿里可申请私有加速,需注册账号,注册后地址修改为 https://{私有ID}.mirror.aliyuncs.com。详细信息参考官方文档
阿里 https://registry.aliyuncs.com/google_containers
中科大 https://gcr.mirrors.ustc.edu.cn (2022.8之后不再更新镜像,校外访问返回403)
华为 https://mirror.swr.myhuaweicloud.com
道客 https://m.daocloud.io/k8s.gcr.io 文档
道客 https://m.daocloud.io/quay.io 参考支持镜像列表
道客 https://m.daocloud.io/ghcr.io 参考支持镜像列表
ArtifactHub https://artifacthub.io/
华为 https://mirrors.huaweicloud.com/helm/
bitnami https://charts.bitnami.com/bitnami
Google https://gcr.io/kubernetes-helm
Docker(/etc/docker/daemon.json )
1 | { |
Containerd(/etc/containerd/config.toml)
1 |
|
K3s中Containerd容器(/var/lib/rancher/k3s/agent/etc/containerd/config.toml)
K3s 默认的 containerd 配置文件目录为/var/lib/rancher/k3s/agent/etc/containerd/config.toml,但直接操作 containerd 的配置文件去设置镜像仓库或加速器相比于操作 docker 要复杂许多。K3s 为了简化配置 containerd 镜像仓库的复杂度,K3s 会在启动时检查/etc/rancher/k3s/中是否存在 文件,如果存在该文件,就会根据 registries.yaml 的内容转换为 containerd 的配置并存储到/var/lib/rancher/k3s/agent/etc/containerd/config.toml,从而降低了配置 containerd 镜像仓库的复杂度。
1 | mirrors: |
containerd 与 docker 都有默认仓库,并且都为 docker.io。如果配置中未指定 mirror 为 docker.io,重启 containerd 后会自动加载 docker.io 配置。与 docker 不同的是,containerd 可以修改 docker.io 对应的 endpoint( 默认为 https://registry-1.docker.io ),而 docker 无法修改。
docker 中可以通过 registry-mirrors 设置镜像加速地址。如果 pull 的镜像不带仓库地址(项目名+镜像名:tag),则会从默认镜像仓库去拉取镜像。如果配置了镜像加速地址,会先访问镜像加速仓库,如果没有返回数据,再访问默认吧镜像仓库。
k3s完整配置文件
1 | mirrors: |
镜像转换
1 |
|
转换为gcr.io镜像
1 | docker pull registry.aliyuncs.com/google_containers/coredns:1.6.5 |
K8S批量下载docker images
1 | kubeadm config images list |
1 |
|
更新版
1 |
|
或(V1.3以上)
1 | kubeadm init --image-repository registry.aliyuncs.com/google_containers \ |
本文是基于K3s搭建GitOps环境的系列文章总览,包含完整的组件规划和部署路线图。本系列旨在帮助您在K3s轻量级Kubernetes集群上构建完整的GitOps环境,实现从代码到部署的自动化流水线。
1 |
|
| 端口 | 用途 | 说明 |
|---|---|---|
| 53 | CoreDNS服务 | 内网域名解析 |
| 443, 80 | Traefik入口 | HTTPS/HTTP访问入口 |
| 5432/3306 | 数据库服务 | PostgreSQL/MySQL(二选一) |
| 6379 | Redis缓存 | 缓存服务 |
| 8022 | SSH管理 | 服务器管理端口 |
| 22 | Git SSH | git+ssh方式代码上传 |
| 组件 | 访问地址 | 说明 |
|---|---|---|
| Traefik Dashboard | https://traefik.example.io | 反向代理管理界面 |
| Harbor | https://harbor.example.io | 私有镜像仓库,支持镜像签名与安全扫描 |
| Gitea | https://gitea.example.io | 轻量级代码仓库 |
| Tekton | https://tekton.example.io | 云原生CI流水线 |
| ArgoCD | https://argocd.example.io | GitOps持续部署核心 |
| Notary | https://notary.example.io | 镜像签名服务(Harbor集成) |
所有组件的详细配置文件和部署脚本请参考:KubeTemplate-devops
该仓库包含:
example.io,实际部署时请替换为您的域名A: K3s是轻量级Kubernetes发行版,专为边缘计算和资源受限环境设计,相比标准K8s:
A: GitOps的核心思想是”Git作为单一可信源”:
A: 本系列支持两种数据库方案:
本文作为GitOps环境搭建系列的第一篇,聚焦K3s集群的部署与基础配置。K3s是Rancher Labs推出的轻量级Kubernetes发行版,专为边缘计算、IoT设备和资源受限环境设计。相比标准Kubernetes,K3s具有安装包小(约40MB)、内存占用低、启动快速等优势,是构建轻量级GitOps环境的理想选择。
在GitOps环境中,K3s作为底层容器编排平台,承载所有GitOps组件(Gitea、ArgoCD、Tekton、Harbor等)的运行,提供容器调度、服务发现、存储管理、网络通信等核心能力。
部署前需验证服务器环境,确保满足K3s运行要求:
1 | # 1. 检查操作系统版本(支持Ubuntu 20.04+/CentOS 7+/RHEL 8+) |
前置条件检查清单:
执行以下命令安装K3s Master节点:
1 | # 使用国内镜像源加速安装 |
安装参数说明:
INSTALL_K3S_MIRROR=cn:使用中国区镜像源,加速安装过程--write-kubeconfig-mode=644:设置kubeconfig文件权限为644,便于多用户访问--service-node-port-range=1-65535:解除NodePort端口限制(默认30000-32767)--advertise-address=192.168.1.100:指定集群管理IP(替换为实际IP)--disable=traefik:禁用Traefik(如需自定义Traefik配置)--disable=local-path:禁用本地存储(如需使用其他存储方案)在Worker节点执行以下命令加入集群:
1 | # 获取Master节点的token(在Master节点执行) |
参数说明:
<k3s-server-ip>:Master节点的IP地址<token>:从Master节点获取的加入令牌配置kubectl访问凭证:
1 | # 设置KUBECONFIG环境变量 |
K3s默认使用local-path存储类,其回收策略为Delete(删除Pod时会删除关联的PV)。生产环境建议改为Retain,防止数据误删。
1 | # 查看当前存储类配置 |
如需自定义存储路径,可在安装时指定:
1 | # 安装时指定存储路径 |
Helm是Kubernetes的包管理工具,后续组件部署将大量使用:
1 | # 在线安装(推荐) |
配置命令自动补全,提升操作效率:
1 | # 安装bash-completion |
K3s支持配置私有镜像库,加速镜像拉取或使用内网镜像仓库:
1 | # 创建registries.yaml配置文件 |
1 | # 配置带认证的私有仓库 |
1 | # 1. 创建测试应用 |
1 | # 查看所有节点状态 |
1 | # 查看集群信息 |
1 | # 查看指定命名空间资源 |
1 | # 查看charts的values文件 |
| 问题现象 | 排查方向 | 修复方案 |
|---|---|---|
| 节点NotReady | 网络/容器运行时 | 检查网络连通性,重启containerd:sudo systemctl restart containerd |
| Pod一直Pending | 资源不足/存储问题 | 检查节点资源:kubectl describe pod <pod-name>,查看事件 |
| 镜像拉取失败 | 镜像仓库/网络 | 检查镜像地址,配置镜像加速器或私有仓库 |
| kubeconfig权限错误 | 文件权限 | 设置正确权限:sudo chmod 644 /etc/rancher/k3s/k3s.yaml |
| Helm安装失败 | 网络/版本 | 检查网络,使用国内镜像源或离线安装 |
所有配置文件和部署脚本请参考:
https://gitee.com/Chemmy/kube-template/tree/master/devops/k3s
该目录包含:
本文完成了K3s集群的标准化部署,包括Master节点安装、Worker节点加入、存储配置优化、管理工具安装等核心步骤。K3s作为轻量级Kubernetes发行版,为后续GitOps组件部署提供了稳定可靠的底层平台。
部署完成后,建议进行全面的功能测试,确保集群各项功能正常。下一篇文章将基于此K3s集群,部署Traefik反向代理,为后续组件提供统一的访问入口。
在某些云服务器环境(如本文提到的宿迁服务器)中,运营商可能会屏蔽标准的 NTP 端口(如 UDP 123),导致系统默认的时间同步服务失效。本文将介绍两种解决方案。
首先,使用以下命令查看系统时间与同步状态:
1 | timedatectl status |
关键输出解读:
Local time**:本地时间(时区转换后)。Universal time**:协调世界时(UTC)。System clock synchronized:核心指标。显示 yes 表示已同步,no 表示未同步。NTP service**:显示当前活跃的时间同步服务(active 或 n/a)。如果 System clock synchronized 显示为 no,则需要按照本指南进行配置。
确保系统时区设置为中国标准时间:
1 | sudo timedatectl set-timezone Asia/Shanghai |
systemd-timesyncd(推荐)Ubuntu 16.04 及更高版本默认使用 systemd-timesyncd 服务进行时间同步。它轻量、集成度高,是首选方案。
编辑配置文件:
1 | sudo nano /etc/systemd/timesyncd.conf |
找到 [Time] 部分,取消 NTP= 行的注释,并填入自定义的 NTP 服务器地址。可以指定多个,用空格分隔。
1 | [Time] |
常用国内 NTP 服务器:
ntp.aliyun.comntp.tencent.comcn.pool.ntp.org、ntp.ntsc.ac.cn1 | # 重启 timesyncd 服务 |
等待几分钟后,再次运行 timedatectl status。当 System clock synchronized 变为 yes 时,表示配置成功。
重要提示:同步不是即时的,需要等待服务完成一轮时间同步(通常几分钟内)。
ntp 服务如果 systemd-timesyncd 因故无法工作(例如,安装了其他时间服务导致冲突),可以安装传统的 ntp 包。
1 | sudo apt update |
安装过程会自动停止并禁用 systemd-timesyncd 服务。
编辑 NTP 主配置文件:
1 | sudo nano /etc/ntp.conf |
找到 server 或 pool 配置行。注释掉默认的 pool *.debian.pool.ntp.org 行,添加自定义的服务器。
1 | # 默认池(可注释掉) |
iburst 选项可以在服务启动时快速进行初始同步。1 | sudo systemctl restart ntp |
使用 ntpq 工具查看与上游 NTP 服务器的连接状态:
1 | ntpq -p |
输出关键列解读:
remote**:NTP 服务器地址。refid**:服务器本身参考的上一级时间源。st**:层级(stratum),数值越小越接近权威时间源。t**:类型(u=单播,p=池)。when**:距上次查询的秒数。poll**:查询间隔(秒)。reach**:八进制表示的连接成功历史(值 377 表示最近8次查询全部成功)。delay**:网络延迟(毫秒)。offset:时间偏移量(毫秒),关键指标,绝对值越小越好。jitter**:时间抖动(毫秒)。理想状态:至少有一个服务器前有 *(当前主同步源)或 +(良好的备用源),且 reach 值不为 0。
如果自动同步不理想,可以手动触发:
1 | sudo ntpdate -s ntp.aliyun.com |
注意:
ntpdate可能与正在运行的ntpd服务冲突。更安全的方式是重启ntp服务或使用ntpd -gq(需先停止服务)。
1 | # 查看 systemd-timesyncd 日志 |
如果同时安装了多个时间服务(如 chrony、ntp、systemd-timesyncd),它们会相互冲突。确保只启用一个:
1 | # 禁用 systemd-timesyncd(如果使用 ntp) |
确保硬件时钟设置为 UTC,避免双系统时间混乱:
1 | # 查看当前设置 |
如果使用自定义防火墙(如 ufw),确保放行 NTP 流量(UDP 123端口):
1 | sudo ufw allow out 123/udp |
| 特性 | systemd-timesyncd (方法一) |
ntp (方法二) |
|---|---|---|
| 复杂度 | 简单,集成于 systemd | 稍复杂,功能更全 |
| 配置 | 编辑 /etc/systemd/timesyncd.conf |
编辑 /etc/ntp.conf |
| 控制 | systemctl |
systemctl 和 ntpq |
| 适用场景 | 大多数桌面和服务器,简单同步 | 需要更精确时间、复杂网络或作为 NTP 服务器 |
操作流程建议:
systemd-timesyncd。它更现代、更简单。ntp。安装前可尝试卸载冲突软件:sudo apt remove ntp chrony。timedatectl status 显示 System clock synchronized: yes 为准。本文参考了 OPNsense中文手册 和 OPNsense 防火墙系列一 等优秀资料。
OPNsense® 是一个基于 FreeBSD 的开源、易用且易于构建的防火墙和路由平台。它集成了商业防火墙中的大部分高级功能,同时具备开源项目的透明性和可验证性。
使命:为用户、开发人员和企业提供友好、稳定和透明的环境,使其成为使用最广泛的开源安全平台。
在开始前,请务必了解以下关键点:
DUP!问题,且内存占用计算不准确。DUP!,但会导致OpenWrt无法访问OPNsense,且影响Docker MacVlan。以下为作者环境(i5-1135G7, 64G DDR4, 1T NVMe, ESXi 8)下的占用情况:
| 场景 | 处理器占用 (ESXi) | 内存占用 (ESXi/OPNsense) | 存储 |
|---|---|---|---|
| 轻负载 | 761 MHz | 16G / 7% | 120G |
| 满速下载 (92MB/s) | 4.6 GHz | 16G / 高 | 120G |
| 等级 | 处理器 | 内存 | 存储目标 |
|---|---|---|---|
| 最低要求 | 500 MHz 单核 | 512 MB | 4GB SD/CF卡 (使用nano镜像) |
| 合理要求 | 1 GHz 双核 | 1 GB | 40 GB SSD |
| 推荐要求 | 1.5 GHz 多核 | 4 GB | 120 GB SSD |
注意:实际需求取决于吞吐量和启用功能。例如,Squid代理、大型状态表、高并发强制门户会显著增加CPU和内存消耗。推荐使用英特尔(Intel)网卡以获得最佳性能和稳定性。
系统架构:支持 x86-32 (i386) 和 x86-64 (amd64)。对于新部署,强烈建议使用64位版本。
Architecture: amd64 -> Image Type: DVD -> Mirror: Aivian 或 Peking University。login:) 处输入:用户名 installer,密码 opnsense。Install (UFS)。da0)。https://192.168.1.1。223.5.5.5,辅助 119.29.29.29。Asia/Shanghai。默认源速度较慢,建议更换:
Aivian (HTTPS,Shangxing,CN)。(custom),填入:http://mirrors.pku.edu.cn/opnsense/http://mirrors.163.com/opnsense/注意:请勿自行改为
https。
进入 接口 -> 分配,查看和管理接口。
WAN, LAN。vmx0)。Assign a new interface 选择设备并填写描述(英文/数字)。进入 **接口 -> [WAN]**。
阻止私有网络 和 拦截bogon网络。PPPoE,在下方的PPPoE配置中填入宽带账号密码。DHCP。静态IPv4,填写IP、掩码,并添加上游网关(标记为默认网关)。进入 **接口 -> [LAN]**。
阻止私有网络 和 拦截bogon网络。静态IPv4。192.168.1.1)和子网掩码(如 24)。如果不慎删除了管理口,可通过控制台恢复:
1) 接口分配,按提示重新分配WAN、LAN等接口的物理网卡。2) 接口设置,为指定接口(如LAN)重新配置IP地址等。进入 防火墙 -> 规则 -> LAN,点击 + 添加。
| 选项 | 设置 |
|---|---|
| 操作 | 通过 |
| 接口 | LAN |
| 方向 | in |
| TCP/IP版本 | IPv4 |
| 协议 | any |
| 源 | LAN网络 |
| 目标 | any |
| 目标端口范围 | any |
| 描述 | Default allow LAN to any rule |
同样在LAN规则页面,点击 + 添加。
| 选项 | 设置 |
|---|---|
| 操作 | 阻止(或拒绝) |
| 接口 | LAN |
| 方向 | in |
| TCP/IP版本 | IPv4 |
| 协议 | any |
| 源 | LAN网络 |
| 目标 | 223.5.5.5 (单个主机或网络) |
| 目标端口范围 | 53 |
| 描述 | 禁止访问阿里DNS |
阻止:直接丢弃数据包。拒绝:返回拒绝数据包。
DNS服务器 中填入公共DNS(如 223.5.5.5),并为其选择对应的WAN网关。启用Unbound 和 启用DNSSEC支持。使用系统DNS服务器,手动添加转发服务器(如 223.5.5.5)。223.5.5.5853dns.alidns.com进入 **服务 -> DHCPv4 -> [LAN]**。
启用。从 192.168.1.10 到 192.168.1.245。进入 服务 -> 网络时间 -> 常规,可添加以下推荐的NTP服务器:
ntp.aliyun.com, ntp.tencent.com, ntp.sjtu.edu.cn, cn.pool.ntp.orgtime.google.com, time.cloudflare.com, pool.ntp.org接口 -> [WAN],IPv6配置类型 选 DHCPv6。在DHCPv6客户端配置中,打开 仅请求IPv6前缀、发送IPv6前缀提示,前缀委派大小 设为 60(需与运营商下发一致)。接口 -> [LAN],IPv6配置类型 选 跟踪接口,并在 跟踪IPv6接口 中打开 允许手动调整DHCPv6和路由器通告。防火墙 -> 设置 -> 高级,在IPv6选项中打开 允许IPv6。服务 -> DHCPv6 -> [LAN] 中启用并设置范围。服务 -> 路由器通告 -> [LAN],路由器通告 选 Assisted,勾选 通告默认网关,填入DNS服务器(如 2400:3200::1)。接口 -> [LAN],IPv6配置类型 选 静态IPv6,使用ULA地址(如 fd00::1/64)。防火墙 -> NAT -> 出站,模式改为 混合生成出站NAT规则。转换/目标 设为 接口地址,并勾选 静态端口。这是实现端口限制型NAT的关键。若 test-ipv6.com 提示大包错误,需调整MSS:
MSS 值。MSS = PPPoE MTU(通常1492) - 60,约为 1430。可尝试 1420 或 1400。ping -l 1500 baidu.com 逐步减小 -l 后数值直到通,该值即为可用MSS。以创建HTTP流量优先级为例:
防火墙 -> 流控 -> 管道,创建上传/下载管道,设置带宽(如 160Mbit/s上传,1000Mbit/s下载)。防火墙 -> 流控 -> 队列,为不同协议创建队列并绑定到管道,设置权重(值越低优先级越高)。HTTP上传队列 权重50, 其他流量队列上传 权重80。防火墙 -> 流控 -> 规则,创建规则将特定流量(如目标端口80/443)指向高优先级队列。防火墙 -> 流控 -> 状态 中查看队列状态。别名用于批量管理IP、端口等,是防火墙规则的强大工具。
防火墙 -> 别名,点击 **+**,选择类型并填入内容(如IP列表、URL)。相比UPnP更安全可控。
防火墙 -> NAT -> 转发,点击 **+**。WANTCP/UDPWAN地址LAN目标 / 反转LAN网络DNS192.168.1.2DNS前提:两台OPNsense,接口分配完全一致,并有一个专用HA接口用于心跳同步。
接口 -> 虚拟IP -> 设置 中,为LAN(或WAN)添加CARP虚拟IP(如 192.168.1.1/24),设置VHID和密码。系统 -> 高可用 -> 设置,启用同步,指定同步接口(HA口)、对端IP和密码,选择同步模块。禁用抢占、断开拨号接口。接口 -> 概况 中,主防火墙的虚拟IP旁有绿色图标,备防火墙为灰色。进入 系统 -> 设置 -> 可调参数,可添加以下参数提升性能(部分):
1 | hw.ibrs_disable=1 # 禁用Spectre V2缓解,提升性能 |
注意:调整需谨慎,建议参考 FreeBSD网络性能调优指南。
系统 -> 网关 -> 配置,确保各WAN口网关监控状态为“正常”。系统 -> 网关 -> 组,点击 **+**。层级1,WAN2_DHCP为层级2。丢包。网关选项改为新建的网关组。登录后出现此白色错误页,通常是因为浏览器缓存或会话问题。
https://192.168.1.1/(不带后续路径)。如仍不行,可尝试重启OPNsense的Web服务(非重启系统)。若通过Nginx等反向代理访问OPNsense管理界面,需在OPNsense中关闭某些检查:
禁用Web GUI重定向规则、禁用DNS重绑定检查、禁用HTTP_REFERER强制检查。启用安全Shell、允许root用户登录、允许密码登录。全部或指定接口。版权声明:本文部分内容参考并整合了多位社区作者的经验,特别感谢 OPNsense中文手册 和博主“鐵血男兒”的分享。本文旨在为初学者提供一个清晰的指引,更多深入细节请查阅官方文档和社区论坛。