Catch Up

今年年初，开始搭建个人服务器，用的是一台 Dell 7010 SFF 主机，在上面部署了一些应用，例如：Calibre ，Blogs ，Minecraft Server 等。使用的是 frp 做的网络代理，有一台服务器在公网上，买的阿里云的服务，大半年以来运行的都没什么问题，直到 8月底的某一天晚上，例行检查服务器状态的时候，突然发现正确的密码怎么也登不进去，下意识认为服务器被攻击了，然后断网、使用 WinPE 重置了电脑密码，发现中病毒了，还是当时比较新比较流行的勒索病毒，就是那种随机加密的，真的是要命。这次的网络攻击来自境外，地址指向为荷兰的一个地方。

第二天网上找了一家专门做数据恢复的公司，问了一下价格，结果肯定就是没办法恢复了，价格太高了。还好之前不知道哪一天做了一次备份，关键数据还是在的。

分析了一下，发现 frp 在公网暴露了端口号，再加上当时防火墙策略有问题，导致一些关键端口没有关掉，然后服务器就没了。当时还有一个群晖的分区也挂在服务器上，导致这个分区也没了，总共是 500GB + 的数据没了。

这次复盘之后，更换了新的方案：

1. 公网部分，阿里云的服务器更换了最新的 Ubuntu 版本，网络服务从 frp 更换成了 nps，在网络策略里设置只允许国内的 IP 访问。此外在域名解析方面，将境外的域名解析全部定向到 localhost，这样境外的地址就无法访问了，双重保险；
2. 本地服务器的操作系统和杀毒软件需要及时更新，之前防止服务因 Windows 自动重启而终止，我直接关掉了 Windows 自动更新，这明显是一个错误。这会导致一些关键的补丁无法被安装，一些漏洞无法被更新。再加上当时装的杀毒软件过于古老，是几乎和我同龄的需要用光盘安装的瑞星杀毒软件，而并非最新的杀毒软件，这也导致病毒和异常访问无法被识别；
3. NAS 不能直接连接到向公网公开的服务器上，需要拷贝文件的时候要使用专用的存储器；
4. 网络代理服务不能安装到性能较好的机器上，这样遇到大量网络访问的时候，机器性能则可以直接限制一部分攻击；

Docker 和相关应用服务仍然安装到实体机器上，系统更新到 Windows 11 专业版，这就需要一台 NAS 专门做备份工作，一台服务器专门做网络代理服务。但是受限于服务器的耗电量，因此需要搞一台 All in One，虽然说是 All in One ，All in Boom，但是只要用的自己就问题不大。这里就需要安装 ESXi 做虚拟机服务。

Chapter 1 机器准备

这里准备的是一台今年新出的（2022）使用 N5105 处理器的 NAS 主板，上面集成了 Intel 226V 2.5G 网卡，总共有 4 个网口。六个 SATA 口，其中一个是原生的其余五个是扩展出来的，两个 NVMe M.2 插槽，足够用的 USB 插槽，HDMI 和 DP 接口。

我装了两条 DDR4 4GB 的拆机内存条，一块 128GB 的拆机 SSD，一块 500GB 的 HDD，一块 2TB 的 HDD，一块 4TB 的 HDD。这里是我没办法搞到一样容量的硬盘，依然推荐使用多个一样容量的硬盘，这样组磁盘阵列的时候损失的容量会小一些，我这个怎样组都会浪费许多的容量。将这些东西装进机箱里。

使用三根线将四个网口接到交换机上，将 UPS 的控制线接到服务器上。然后，先不要通电，这个主板通电就会立即启动。

Chapter 2 准备 ESXi 启动 U 盘

下载资料点击下方链接
资料在此下载
下载资料点击上方链接
下载资料点击上方链接

找一个大于 8GB 的 U盘，作为启动盘，我这里使用的是一个 16GB 的 MLC 颗粒的短 U盘，使用 Ventoy2Disk 软件将 Ventoy 安装到 U盘。完成后在 我的电脑 里会显示一个命名为 Ventoy 的磁盘，

将 ESXi-7.0U3f-20036589-SYSIN-NUC-USB-NVME-SLIC_2.6.iso 拷贝至 U盘内即可。

Chapter 3 安装 ESXi 至服务器

将刚才的 U盘插入到电脑的任意可以使用的 USB 接口上，将显示器连接至电脑，将键盘连接至电脑，然后开机。

进入 Ventoy 界面后，找到刚才拷贝进去的 ISO 镜像，然后敲击回车键进入安装流程。

等待下方进度条走完，进入安装阶段。

按照提示点击回车。

按下 F11 同意。

然后进入硬盘选择页面，找到我的 128GB 的 TOSHIBA NVMe 硬盘，也就是目标的系统安装磁盘，点击回车。然后进入键盘布局选择页面，不需要管，默认即可，然后回车继续，进入密码设置页面。密码必须有一个大写字母，小写字母，数字，特殊字符。

设置完之后，回车继续，接着按 F11 继续安装。等待进度条走完，选择 Remove the installation media before rebooting 然后继续点击回车。拔掉 U盘。等待重启。

Chapter 4 配置 ESXi 基础设置

在重启之后，按下 F2 输入 root 账号的密码。

进入 Configure Management Network。

点击第一个 Network Adapters 设置 ESXi 管理口，我设置的 ETh3 也就是 vmnic3，有 X 的就是选上的。点击回车完成设置。

进入第三项 IPv4 Configuration ，修改 ESXi 后台管理的 IP 地址。使用最后一个选项即可。如果之前插入了网线，下面会自动出现 IP 地址，没需求修不用改，用默认的就可以，然后再在主路由里将这个 IP 地址分配给这个网口就可以。注意！！！一定一定一定要在主路由里将这个 IP 地址分配给这个 ESXi 管理口，这样路由器再重新分配 IP 的时候这个网口的地址就不会改变。

点击回车，完成设置，按下键盘左上角的 ESC 键

这时有提示是否需要保存刚才的设置，然后输入 Y 确认更改。

到这里，就完成了 ESXi 的安装了，可以将显示器线拔下，将键盘撤走。然后把服务器放置到机架上，将网线正确连接到交换机上，将电源正确连接到 UPS 或 PDU 上，将 UPS 控制线连接至服务器即可。