baobao1270

Anqunx -> 安全

另外如果你打算用 worker ，那么就要点亮橙云，不然流量根本不经过 CF ，worker 也就不起作用了

1. 为什么要禁用 DNSSEC ？建议启用以增强 anquanx
2. 不需要 worker, 直接用 origin rule 配回源端口
3. 不能选 DNS Only Mode ，要把橙云点亮

不算落伍，PHP 还在持续更新呢

toml 配置文件添加 flag node_compat 试过没有

Web 的话主要是 WSGI/ASGI 吧
Flask 有 gunicorn ，FastAPI 有 uvicorn ，都是官方推荐的
正式环境的话一般会套一个 Nginx ，用来做 load balancing 和 SSL offloading ，当然你用云服务厂的 Load Balancer 也是可以的
然后就是建议使用一个现代的包管理器，比如 Poetry 或者 PDM
跨版本部署的话用 pyenv

刚刚测试了一下，Host/SNI 修改需要企业订阅。不交 $200/mo 别想了。

1. 对于大陆境内服务器，Cloudflare 仅支持 80/443 端口回源。Origin rules 可以配置对海外服务器通过任意端口回源，但是是否支持对于大陆境内服务器还有待测试。个人试过阿里云 ECS (杭州) 是不支持的。
2. 阿里云、腾讯云仅在 80/443/8080 等知名端口识别，但其他运营商（例如百度云）会在所有端口进行 SNI 探测。
3. Cloudflare 回源时依然会带上原有的 Host/SNI ，因此依然会被 IDC 识别。但是您可以通过 Origin rules 来修改回源的 Host/SNI 为一个合法网站的域名。这一操作理论上是可行的，但是我没有使用 Cloudflare 测试过。我只通过 Nginx 实现了等效的方案，并且稳定运行一年以上。

1. 是不是必须关闭 BitLocker ？不是。Linux 上可以用第三方软件访问 BitLocker 卷，Windows 上也有第三方软件可以访问 LUKS 卷。但是对于系统盘，只能选择原生的加密方案：Linux 只能用 LUKS (以及其他 Kernel 支持的方案)，Windows 也只能用 BitLocker 。

2. 是不是「启动时必须输入密钥」？是的。原因是不管是什么加密磁盘的方法，要进行系统盘加密，必须在系统启动前解密系统卷。这需要将解密密钥放入 TPM 中。而 TPM 可以被配置为不同的「平台配置寄存器 (PCR) 清除模式」，即在系统发生特定行为（上次启动设备改变、硬件改变、BIOS 设置改变等）行为时，清除 TPM 中的硬盘解密密钥。对于 BitLocker ，这个模式由 Microsoft 选定并不允许用户配置。对于 LUKS ，systemd-boot 允许用户配置 PCR 清除模式，相关的文档可以参见 https://wiki.archlinux.org/title/Trusted_Platform_Module#Accessing_PCR_registers

3. 如果想要加密 Windows 系统盘，并且可以在 Linux 上访问，#3 说的 VeraCrypt 是一个解决方法，但是似乎不支持 TPM （因为其理念是与 TPM 的设计目的相悖，所以永远不会支持 TPM ）。需要指出，想要将系统盘加密，不仅需要 Bootloader 支持，也需要操作系统本身支持。VeraCrypt 写了一个 Bootloader 并添加内核驱动来实现这一点。

@ztmzzz 没用，无法避免每次启动输入密钥