定位太尴尬了。

办公的话，贴吧 400 元左右就能满足需求。

跑影音娱乐，小主机天生缺陷，插不了显卡，或者无法发挥满血显卡，只能跑跑边角料的影音娱乐。

数据存储与 NAS ，小主机主板连个 SATA 接口都没有，谈何数据存储，而且溢价还贼厉害。

这种高性能小主机，适合富哥给绿茶女朋友买来当个颜值玩具。

去医院 X
论坛问诊 √

三甲医院，其中一甲是管理水平。普通体检机构，连二甲都不是，管理混乱太正常了，比如丢样本、操作不规范导致样本污染、员工偷懒造成精度不准确等等。所以要真体检，还得选三甲医院。

另外，罕见病的确不容易筛查，筛查成本也巨高无比。

如果说前端说的有理，那么原因就是前端兼容性差、运行效率低，数据的确适合后端全部做好后，前端直接从后端拿，前端不建议再去对数据做处理。

但如果说前端说的没理，那就是考虑到工作量与工作公平性的问题了。这需要公司内部进行讨论协商。

这是因为作者就没什么美好的家庭生活与恋爱经验，所以在亲朋好友与感情戏上，没办法写出什么真实的经历。另外作者生活清贫，所以也写不出什么大富大贵的细节，因此韩立整个修仙过程中，洞府与装潢几乎都是丐版或一笔带过的。

你如果想看亲情伦理故事，应该去找找正能量的片子，因为网文作者大多都是穷苦底层出生，这种家庭环境去写网文，更容易与家庭不和，所以网文作者大多不擅长写这方面的事情。而家庭和睦、家世显赫的作者，虽然擅长写家庭关系，却又因为很少经历残酷竞争，所以这群人又写不出网文中的打打杀杀、尔虞我诈、打怪升级的场景。

用虚拟机作为下载机，要注意几个问题。

1.要给宿主机预留内存，并且要注意，宿主机对于虚拟机会有额外的内存开销。
比如，宿主机内存只有 8GB ，至少要给宿主机留 2GB 内存，那么虚拟机最多只能分配 6GB 。
但是，考虑到宿主机对虚拟机还有额外的内存开销，所以虚拟机实际上最多只能分配 5GB ，因为要留额外的 1GB 给宿主机来管理虚拟机。

2.虚拟机的下载盘，与宿主机的系统盘，要从物理上分开。
无论是宿主机直接下载，还是用虚拟机下载，因为下载这个操作，非常耗费存储介质的 IOPS ，所以为了不卡住系统，你不能让下载功能，跑在宿主机的系统盘的物理硬盘上。建议是，宿主机的系统盘，用一个单独的 SSD 。

3.不要让虚拟机，用完宿主机的所有逻辑核，至少要给宿主机，留一个逻辑核。
比如宿主机是 4 核 8 线程，也就是 8 个逻辑核，那么虚拟机最多只能占用 7 个逻辑核。

做到以上 3 点，宿主机就不会卡死了。

另外，虚拟机如果被弄坏了，直接重装吧。重要数据要注意设置自动化备份，因为虚拟机不靠谱。

楼上很多人，先别急着否定 600 元的方案，但凡自己尝试一下，从零开始，设计一套智能方案，就会知道要踩多少坑，就会明白其中有多少意想不到的复杂细节。

而且，600 元，如果能帮助楼主避雷，其实性价比是非常高的。

我自己是从零开始，设计智能家庭方案，最后连卧室空调的开关控制，都用了独立的温湿度计进行联动。这里有一个非常重要的细节，那就是卧室的温湿度计，一定要放在靠近人睡觉的位置，越近越好。而且上下限温度的设计，也需要自己去进行一个阶段的磨合。体感热的时候、喝了冰饮料体温下降的时候，以及感冒生病的时候，温度上下限的方案，会变得完全不一样。而且不同的方案之间，还需要能够自动地切换。这些细节，只有自己从零开始设计，才能发现这些问题。

建议，花点小钱，买几套方案，不贵。能让你避雷，能让你少走很多弯路，甚至比你后期更换设备要划算的多。你不一定要按方案去做，但方案能让你了解很多细节。

游戏之所以好玩，本质上是满足了人的各种欲望，比如贪婪、懒惰、色欲、面子、攀比、好胜，等等。

经营类游戏之所以小众，主流不起来，也是因为它满足人的欲望的速度太慢了，甚至几款经典的经营游戏，一局游戏能玩上一两个月。

而王者荣耀、CS2 ，一局游戏就十几分钟，能快速满足人的欲望，绝大部分普通人，自然喜欢。

@julyclyde 我写过基于二开 iptables 的全自动化 NAT + Bridge 的管理器，我认为至少我对 iptables 的理解，比你熟悉，所以你没必要建议我再去学习 iptables 。

你还没抓住这个问题的重点，就是 docker 官方，把业内通用的防火墙白名单机制，反向设计成黑名单形式，还美名为特性。

说白了，docker 官方，没有二开 iptables 的能力。人家 VMware 在 Windows ，没有依赖 Windows 的防火墙，而是通过二开，实现了一套完整的网络管理系统，彻底解决了这个问题。docker 官方没有这个能力，依赖 iptables ，不仅瞎搞，还嘴硬，这是造成这个漏洞的本质原因。

@julyclyde docker 的网络模式取决于 linux 的能力。对于 Debian 来说可以让 docker 有 nat 、host 、bridge 以及隔离。

另外，防火墙，比如 iptables 、Windows 的内置防火墙，设计原理都是白名单制的。也就是默认拒绝，除非添加白名单规则。Docker 这种反向设计，会导致在系统运维时，每一种有共识的设计、逻辑、代码，都需要再验证一次，那么会导致安全这个方面的工作量被迫拉满。

举个假设的例子，Intel 与 AMD ，把加法指令，定义为计算两个操作数之和，多年以来，这种设计已经成为计算机的共识。然而，docker 官方在最近几年，出品了一款 CPU ，它把加法指令与减法指令进行互换，并且称之为 [特性] ，你觉得这是不是重磅漏洞？

@0x535

我遇到太多的场景，是需要通过 OS 内的防火墙，来给 docker instance 设置 IP 白名单，比如以下 3 种经典场景：

1.云服务器并不是从平台直接拿的，而是由同事或运维给的。他们为了图方便，把平台上的防火墙给直通，然后把防火墙的控制权下放给 OS 的内部防火墙，比如 iptables 。

2.拿到的云服务器，是测试用的专用系统，默认所有的安全规则都是清空的。比如 iptables 被清空，selinux 被关闭，直接启用 root 登录等等。

3.乙方拿到甲方机房的 2 台虚拟机，第一台用于 docker db ，第二台用于 docker web server ；甲方机房的同网段内还有其他虚拟机，乙方的 docker db 只能给乙方的 docker web server 使用，因此需要通过 iptables 设置白名单，否则有可能被甲方机房内其他服务器上的病毒或木马攻击。

至于技术信心，这个话题，只是计算机工程专业而已，没任何难度...有难度的是需要依赖数学的算法、数据分析、AI 等专业。当然，docker 官方故意恶心人，对 iptable 进行反向设计，那么无论技术多牛的人，除非纪律性拉满，把测试验证做完，否则都容易被这个问题给坑了。

在安全上，这个所谓的特性，就是重磅安全漏洞，目前已经有很多忽略测试的人被坑了。

@julyclyde

因为当你需要允许某个 IP 能访问本机的某个端口，正规的做法是，写一条规则插入到 INPUT 链中，比如：

iptables --insert INPUT --protocol tcp --dport 3306 --source 11.22.33.44 --jump ACCEPT

思路错了。

你需要经常换机场，是因为机场是共享型的，它就不稳定，还会跑路，才导致你需要经常换配置的折腾。

正确的方法是，自己买个搬瓦工的 CN2 线路优化的独享 VPS ，稳得一批，根本不需要切换。

@allplay 不仅不搞笑，这问题还很严肃。没有得到管理员的认可，在 Update 完成后直接重启，这是个很严重的管理设计的漏洞。

@0x535 并不是标题党，你可以搜一下，不少人发现这个问题。更多的人可能没发现这个问题，导致了白名单端口直接暴露在整个互联网上。

Windows 11 长期开机当服务器。VMware Workstation Pro 跑 Linux 与 docker ，USB 3 硬盘柜作为外挂存储。

问题也有，早期，这玩意 Windows Update 更新完毕后会自动重启。后来我在 github 上找了禁用 Windows Update 的脚本，解决了这个问题。但是，为了安全，需要自己定期把 Windows Update 服务重新打开，进行更新，更新完成后，再禁用 Windows Update 。

我觉得，如果真要当服务器用，建议还是用 Debian 这类 OS 。最新版的 Windows 或 Windows Server 因各种设计原因，不太适合当服务器。

你这破防还不彻底。

空姐、教师、护士、银行前台等等，这些岗位是非常容易被高端群体短择的，从而造成经历奇多，眼光奇高。并且就算结婚了，仍然有被高端群体短择的可能。

虽然这个群体中也有正经人，但数量太少，赌这个概率不划算。