Alliot's blog

　　在云服务高度绑定、系统权限不断收紧、厂商深度定制愈发封闭的今天，解锁 Bootloader、Root、刷 Rom 这些曾经被视为 Android 精神内核的操作，正在逐渐从“折腾的乐趣”变成“高风险行为”。马上 2026 年了，你还在玩 Android 机吗？

　　使用 Argo CD 部署 kube-prometheus-stack 的时候，出现 the metadata.annotations is invalid: Too long: must have at most 262144 bytes 的问题，导致整个 Application 出现 Sync Error。 这是由于Kubernetes 对于 metadata.annotations 字段总长度有限制，通常不能超过262144字节（256KB），而执行 kubectl apply 时会在 annotation 中加入 last-applied-configuration, 从而导致 annotation 过大无法 apply。

　　前面群晖系列提到过，为了防止市电非预期断电导致数据丢失，我入了一台 UPS —— APC BR550g CN, 一晃眼，已经服役近好几年了，续航时间也已经缩短到了5分钟以内, 很明显它的蓄电池已经到达了使用寿命， 趁清灰时机， 更换一下电池， 顺便校准一下容量。

　　支持在 M1(Apple Sillicon) 平台上原生运行的 Node.js 最低版本为 16， 在这之前的版本要想在 M1 的 Mac 上运行，需要使用 Rosetta 2 转译运行。

　　Bitwarden(Vaultwarden) 提供了命令行版本的客户端, 利用 Ansible 的 vault_password_file, 我们可以很方便的在使用 ansible-vault 时调用 Bitwarden 里的密码。

　　赛博大善人的 Cloudflare Tunnel(前 Argo Tunnel) 只需要一个域名、一个 Cloudflare 帐号便可以将服务接入到 Cloudflare 的网络，提供了非常方便的内网穿透方式， 同时还提供了 ZeroTrust、防护等功能， 而这一切基本几乎都是免费的，相信看到此文的小伙伴已经薅上一段时间了，不过由于 Cloudflare Tunnel 官方的服务节点分布有限，在部分时空/场景下，Tunnel 连通性会面临一些挑战， 这时候要是能够通过前置代理去连接到 Tunnel 服务，问题便能得到解决，可惜官方目前并没打算支持这个特性。

　　Vaulwarden 是一个开源自托管的密码管理工具，这个项目使用 Rust 实现了一套 Bitwarden Server API， 很多小伙伴都用它来管理密钥与凭证。 本文将利用 fail2ban 来实现在 CDN 场景下的防暴力破解。

我在这里分享一下我最近在香港中银行成功开户的经历。

　　雷池(SafeLine) 是长亭科技部分开源的一款 Web 防火墙，社区版本已经有较为完善的 WAF 功能，可以满足个人项目的基本 Web 防护需求。 不过目前(v5.2.0)雷池对于证书的操作，仅支持从 UI 导入或使用 Let’s Encrypt 的 HTTP-01 验证方法 来配置证书， 这对于使用 DNS 验证的短期证书用户来说非常不方便，可以看到社区有这样的需求的小伙伴还是挺多的： [建议] 证书增加使用路径导入方式 | Github issue， 因此便写了个小脚本来实现这个需求。

　　在 基于Terraform在AWS ECS中构建Jenkins持续集成体系 一文中， Alliot 采用了 EFS 作为 Jenkins 容器的数据卷，直接挂载了 /var/jenkins_home 目录。
正如评论区提到的， 我们在使用 bursting 模式的 EFS 时，遇到了 IO 性能的问题， 虽然 master + slave 架构的 Jenkins 将构建任务分发到了 slave 节点，减少了 master 节点的压力，但是在启动构建任务时， master 节点依然会有大量的 IO 操作， 这个时候会导致 bursting 模式下的 EFS 瞬间打光 Credit 从而导致整个 master 挂掉。当然，我们可以使用 Provisoning 模式缓解性能问题，但其价格又非常贵，性价比不高。
　　好在从今年(2024)的一月开始， AWS ECS 的 Fargate 支持使用 EBS 卷作为 Volume 了。 目前官网的文档还比较分散，这里小记一些需要注意的点。