第 4 篇 也是最后一篇 https://mp.weixin.qq.com/s/yneYcKjZvAldRCpcaYmFGA

第 3 篇 https://mp.weixin.qq.com/s/1foakbjt6ZjUltBgLL0LvQ

第 2 篇来了 https://mp.weixin.qq.com/s/YM7WBWI7jdyw7wvDzdZPgw

@buffzty 现在哪个云厂商能开出 11 元/月的云主机？如果您可以真希望能提供链接，不要仅仅是煞有其事地泛泛而谈，也让我们也一起薅羊毛

@buffzty
1 、你举出这只是理论费用，带宽都没有算进去吧，我自己局域网的带宽可以达到 1000M ，使用云服务能达到么？相应的费用要多少？
2 、我就是要通过搭建过程来理解每个组件的作用，一键脚本简单，但失去了学习的过程。
3 、你没有算云盘费用，相比自己买的 TF 卡可以永久持有，性价比肯定更高。
4 、以后的各种二手 pi 也可以废旧利用上

其实最大的问题是，除了用于学习 K8S 的命令和各种操作，有没有实际的应用功能，比如家庭的什么功能，其实我是有想法的，但是还是要先尝试了再来给各位分享

@wsseo 我没有使用离线安装，我把网关变成了透明代理

@shen13176101 非常感谢，我研究一下 ngrok

装翻译插件是一个好事情，如果你对技术感兴趣，一遍看不懂再看第二遍、第三遍，不懂的单词或句子用鼠标选中翻译一下

如果连自己“感兴趣”的英文技术文章都看不懂，或者沉不下心来，问题不在于英文水平，在于不感兴趣，要考虑自己是否适合干这行

@gregy OpenGaussDB 可以本地部署

我现在正在用香橙派搭 K8S 带外部 etcd 集群，技术验证完全可行
3 个 OrangePi 3B 作为 etcd 集群
2 个 OrangePi 3 安装 keepalived+haproxy 作为负载均衡
3 个 OrangePi 3B 作为 control plane
再加 3 个 OrangePi 3B 作为 worker node ，或者用台式机上的虚拟机

这样就是一个功能完整的、具备独立 etcd 机器、独立负载均衡、非常廉价的 K8S 集群，而且没有风扇和噪音，适合放在家里。而且 control plane 完全独立，有多余的机器作为 worker node 加入，非常方便。

orangePi 3B 便宜的只要 200 左右，不用买带 eMMC 的，使用 64GB tf 卡，京东的 V3 速率只要 20 多元，没有比这个性价比更低的方案了

我感觉想考高分难，但是考过也很很简单，我教程都没有买，我是这么准备的

上午的客观题，背历年的真题，有 70%左右的一字不改的原题，网上找原题，提前两周开始背，不用提前太早，太早也会忘记。

下午的两门都是主观题，说实话，如果你的工作内容有写 PPT 、设计方案、技术方案的架构设计，这些日常的工作就是备考过程，你把日常这些文档写好，理解业务场景的特点，应该采用什么技术方案，按照领导和用户要求改好，把这些工作习惯养好后，用在下午的考场上，准过！

算了，似乎全互联网都知道了，大不了换个 ip 或 vps ，反正黑色周五，好多 VPS 打折

我怕被 GFW 的人看到，直接封我 Ip

linux 下使用 dnsmasq + (nftables)iptables + ipset 可以完美解决

dnsmasq 的配置如下

server=/facebook.net/8.8.8.8#53
nftset=/facebook.net/4#inet#wgcross#crs_dst

server=/163.net/223.5.5.5#53
nftset=/163.net/4#inet#wgcross#cn

server 和 nftset 是 dnsmasq 的两个配置项，server 项的作用是收到 dns 请求后进行匹配(可按照域名级别进行匹配)，比如上面例子中*.facebook.net 的域名都被转发给 8.8.8.8 解析，并且将解析的 ip 写入 nftables 中的 wgcross 表的 crs_dst set 进行存储，然后路由表当然也要设置，我的例子如下

chain PREROUTING { # handle 2
type nat hook prerouting priority filter; policy accept;
ip daddr { 23.95.146.49, 65.49.219.226, 193.22.152.174 } accept # handle 4
ip daddr { 0.0.0.0/8, 10.0.0.0/8, 127.0.0.0/8, 169.254.0.0/16, 172.16.0.0/12, 192.168.0.0/16, 224.0.0.0-255.255.255.255 } accept # handle 6
ip daddr @cn accept # handle 8
ip daddr @crs_dst counter name "cnt_cross" meta mark set 0x00000009 accept # handle 10
}

最后两个路由条目，cn set 针对国内的路由，命中这个 set 中的路由就返回上级 chain(及走国内线路)，而另一个 crs_dst set 会 mark 0x9 ，然后在 ip route 中挑出来走海外线路

这个技术路线，必须 DNS\route gateway 的功能集中在一台设备上。

dnsmasq 只能基于域名区别，不能基于源 ip ，iptables 才能干这个

我是一个企业用户，有两个互联网的出口，假设 ip 分别为 10.1.0.1 和 10.2.0.1 ，如何用 Iptables 实现根据内部用户的 ip 地址，分别从不同的出口出去

为了根据内部用户的 IP 地址使流量通过不同的网络出口，可以使用 Linux 的 iptables 和 iproute2 工具。下面的示例假设您的两个互联网出口接口分别为 eth1 和 eth2 ，内部网络接口为 eth0 。

创建路由表：
首先，在/etc/iproute2/rt_tables 文件中添加两个新的路由表，例如 table1 和 table2：
plaintext
Copy code
echo "200 table1" >> /etc/iproute2/rt_tables
echo "201 table2" >> /etc/iproute2/rt_tables
配置路由：
为每个表添加路由。假设默认网关为 10.1.0.1 和 10.2.0.1：
bash
Copy code
ip route add default via 10.1.0.1 table table1
ip route add default via 10.2.0.1 table table2
配置规则：
基于源 IP 地址添加规则，将特定的流量定向到正确的表：
bash
Copy code
ip rule add from 192.168.1.0/24 table table1
ip rule add from 192.168.2.0/24 table table2
在上面的例子中，所有从 192.168.1.0/24 网络来的流量将通过 10.1.0.1 出口，所有从 192.168.2.0/24 网络来的流量将通过 10.2.0.1 出口。

配置 iptables：
如果需要，还可以使用 iptables 来管理、过滤或修改流量：
bash
Copy code
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth2 -j MASQUERADE
上面的命令将确保从指定网络发出的所有数据包都会经过正确的网络接口，并且会应用正确的源地址伪装（ NAT ）。

这样，您就可以根据内部用户的 IP 地址，将流量路由到不同的网络出口。请注意，这个配置可能需要根据您的实际网络环境和需求进行调整。

我没有 IOS 的设备，我只用 android 、Linux 和 windows ，但是 wg 的配置项应该是一样的