前言

每次登录深信服 BBC（Business Behavior Control）时，都会被登录页面上那个花里胡哨的粒子动画困扰——漂浮的小点、连线，看起来酷炫，实际毫无用处，纯纯画蛇添足、华而不实，还白白浪费 CPU 和 GPU 资源。

firewalld 支持通过 Policy 对象实现跨区域流量转发。本文介绍如何配置策略，允许 internal 区域的流量转发到 public 区域，使内网主机可以通过防火墙访问外部网络。

前提条件

• firewalld 已安装并运行（systemctl status firewalld）
• 有 root 或 sudo 权限
• 了解 firewalld 的 Zone 和 Policy 概念

前言

VyOS 是一个开源的路由器操作系统，ZeroTier 则是一个易于使用的 SD-WAN 方案。将两者结合，可以用 VyOS 作为各站点的网关设备，通过 ZeroTier 组建虚拟网络，实现站点间的安全通信。

相比传统的 IPsec VPN 或 BGP over WireGuard 方案，ZeroTier 的优势在于：无需公网 IP、无需手动配置隧道对端、通过 Central 控制台统一管理路由。适合中小规模的多站点部署。

Active Directory（AD）新建用户和计算机时，默认存放在 CN=Users 和 CN=Computers 容器中。这两个是容器（Container）而非组织单元（OU），无法直接应用组策略（GPO）。在生产环境中，通常需要将默认位置指向自定义 OU，以便统一管理策略和权限。

Windows Server 提供了 redirusr.exe 和 redircmp.exe 两个内置工具来完成这一操作。

在国内网络环境下，直接从 Docker Hub 拉取镜像经常遇到超时或被限流的问题。搭建一个本地 Docker Mirror 代理仓库可以有效解决这个痛点。本文介绍如何使用官方 Registry v2 搭建私有镜像代理仓库。

为什么要搭 Docker Mirror

1. Docker Hub 公网限速

Docker Hub 对匿名用户的拉取限速为 100 次/6 小时，免费账户为 200 次/6 小时。在 CI/CD 流水线或多人团队环境下，这个限额很容易触达。通过自建 Mirror 代理，所有节点的拉取请求汇聚到 Mirror 节点，Mirror 对上游只产生一次请求，有效规避限额。

2. 缓存加速 Build

在 CI/CD 构建中，每次 docker build 都需要拉取基础镜像。即使代码没有变化，基础镜像也会被反复从公网拉取，浪费时间。Mirror 缓存了基础镜像后：

• 首次构建：从上游拉取并缓存
• 后续构建：直接从 Mirror 拉取，速度提升 5-10 倍
• 多节点并行构建：共享同一个 Mirror，只消耗一次外网流量

在日常运维中，我们经常需要临时切换 DNS 服务器来排查域名解析问题。传统做法是修改 /etc/resolv.conf，但在使用 systemd-resolved 的现代 Linux 发行版中，resolvectl 提供了更优雅的解决方案。