依云's Blog

我喜欢用本地文件听歌：没有广告、没有延迟、没有厂商锁定。但是有个问题：有的歌曲文件音量挺大的，比如 GARNiDELiA 和桃色幸运草Z的都感觉特别吵，需要调小音量，但有的音量又特别小，以至于我时常怀疑音频输出是不是出了问题。

这时候就要用到响度归一化了。响度衡量的是人的主观感知的音量大小，和声强——也就是声波的振幅大小——并不一样。ffmpeg 自带了一个 loudnorm 过滤器，用来按 EBU R128 标准对音频做响度归一化。于是调整好参数，用它对所有文件跑一遍就好了——我最初是这么想的，也是这么做的。

以下是我最初使用的脚本的最终改进版。是的，改进过好多次。小的改进如排除软链接、反复执行时不重做以前完成的工作；大的改进如使用 sem 并行化、把测量和调整两个步骤分开。之所以有两个步骤，是因为我要线性地调整响度——不要让同一个音频不同部分受到不同程度的调整。第一遍是测量出几个参数，这样第二遍才知道怎么调整。只过一遍的是动态调整，会导致调整程度不一，尤其是开头。

至于参数的选择，整体响度 I=-14 听说是 YouTube 它们用的，而真峰值 TP=0 和响度范围 LRA=50 是因为我不想给太多限制。

#!/bin/zsh -e

for f in **/*.{flac,m4a,mp3,ogg,opus,wma}(.); do
  json=$f:r.json
  if [[ -s $json || $f == *_loudnorm.* ]]; then
    continue
  fi
  echo "Processing $f"
  export f json
  sem -j+0 'ffmpeg -i $f -af loudnorm=print_format=json -f null /dev/null </dev/null |& sed -n ''/^{$/,/^}$/p'' > $json; echo "Done with $f"'
done

sem --wait

for f in **/*.{flac,m4a,mp3,ogg,opus,wma}(.); do
  json=$f:r.json
  output=$f:r_loudnorm.$f:e
  if [[ ! -f $json || -s $output || $f == *_loudnorm.* ]]; then
    continue
  fi
  echo "Processing $f"
  export f json output
  sem -j+0 'ffmpeg -loglevel error -i $f -af loudnorm=linear=true:I=-14:TP=0:LRA=50:measured_I=$(jq -r .input_i $json):measured_TP=$(jq -r .input_tp $json):measured_LRA=$(jq -r .input_lra $json):measured_thresh=$(jq -r .input_thresh $json) -vcodec copy $output </dev/null; echo "Done with $f"'
done

sem --wait

不得不说 zsh 的路径处理是真方便。相对地，sem 就没那么好用了。一开始我没加 </dev/null，结果 sem 起的进程全部 T 在那里不动，strace 还告诉我是 SIGTTOU 导致的——我一直是 -tostop 的啊，也没见着别的时候收到 SIGTTOU。后来尝试了重定向 stdin，才发现其实是 SIGTTIN——也不知道 ffmpeg 读终端干什么。另外，给 sem 的命令传数据也挺不方便的：直接嵌在命令里，空格啥的会出问题，最后只好用环境变量了。

等全部处理完毕，for f in **/*_loudnorm.*; do ll -tr $f:r:s/_loudnorm//.$f:e $f; done | vim - 看了一眼，然后就发现问题了：有的文件变大了好多，有的文件变小了好多！检查之后发现是编码参数变了：mp3 文件全部变成 128kbps 了，而 flac 的采样格式从 s16 变成了 s32。

于是又写了个脚本带上参数重新处理。这次考虑到以后我还需要对单个新加的歌曲文件处理，所以要处理的文件通过命令行传递。

#!/bin/zsh -e

doit () {
  local f=$1
  local json=$f:r.json
  local output=$f:r_loudnorm.$f:e

  echo "Processing $f"

  if [[ -s $json || $f == *_loudnorm.* ]]; then
  else
    ffmpeg -i $f -af loudnorm=print_format=json -f null /dev/null </dev/null |& sed -n '/^{$/,/^}$/p' > $json
  fi

  if [[ ! -f $json || -s $output || $f == *_loudnorm.* ]]; then
  else
    local args=()
    if [[ $f == *.mp3 || $f == *.m4a || $f == *.wma ]]; then
      local src_bitrate=$(ffprobe -v error -select_streams a:0 -show_entries stream=bit_rate -of json $f | jq -r '.streams[0].bit_rate')
      args=($args -b:a $src_bitrate)
    fi
    if [[ $f == *.m4a ]]; then
      local src_profile=$(ffprobe -v error -select_streams a:0 -show_entries stream=profile -of json $f | jq -r '.streams[0].profile')
      if [[ $src_profile == HE-AAC ]]; then
        args=($args -acodec libfdk_aac -profile:a aac_he)
      fi
    fi
    if [[ $f == *.opus ]]; then
      local src_bitrate=$(ffprobe -v error -select_streams a:0 -show_entries format=bit_rate -of json $f | jq -r '.format.bit_rate')
      args=($args -b:a $src_bitrate)
    fi
    if [[ $f == *.ogg ]]; then
      local src_bitrate=$(ffprobe -v error -select_streams a:0 -show_entries stream=bit_rate -of json $f | jq -r '.streams[0].bit_rate')
      if [[ $src_bitrate == null ]]; then
        src_bitrate=$(ffprobe -v error -select_streams a:0 -show_entries format=bit_rate -of json $f | jq -r '.format.bit_rate')
      fi
      args=($args -b:a $src_bitrate)
    fi
    if [[ $f == *.flac ]]; then
      local src_sample_fmt=$(ffprobe -v error -select_streams a:0 -show_entries stream=sample_fmt -of json $f | jq -r '.streams[0].sample_fmt')
      args=($args -sample_fmt:a $src_sample_fmt)
    fi
    ffmpeg -loglevel error -i $f -af loudnorm=linear=true:I=-14:TP=0:LRA=50:measured_I=$(jq -r .input_i $json):measured_TP=$(jq -r .input_tp $json):measured_LRA=$(jq -r .input_lra $json):measured_thresh=$(jq -r .input_thresh $json) $args -vcodec copy $output </dev/null
    touch -r $f $output
  fi

}

for f in "$@"; do
  doit $f
done

然后我就神奇地发现，sem 不好用的问题突然没有了——我直接 parallel loudnorm ::: 文件们 就好了嘛……

给服务器上的程序部署邮件服务十分简单，装个 Postfix 就搞定了。然而给人用的话就远远不够了。之所以要干这事，主要原因是之前使用的 Yandex 邮箱老出问题，丢邮件都算小事了，它还不让我登录 Web 界面，非要我填写我从未设置的密保问题的答案……

准备工作

要部署邮件服务，首先当然要有域名和服务器了。需要注意的是，最好使用可以设置 PTR 记录的服务器，有些邮件服务器会要求这个。

邮件传输代理

这是最重要的部分。邮件传输代理，简称 MTA，是监听 TCP 25 端口、与其它邮件服务器交互的服务程序。我最常用的是 Postfix，给服务器上的程序用的话，它相当简单易用。但是要给它配置上 IMAP 和 SMTP 登录服务、以便给人类使用的话，就很麻烦。好在之前听群友说过 maddy，不仅能收发邮件，还支持简单的 IMAP 服务。唯一的缺点是不支持通过 25 端口发送邮件——需要走 465 或者 587 端口，登录之后才能发件。它的账号系统也是独立于 UNIX 账号的，给程序使用需要额外的配置。

具体配置方面，首先是域名和 TLS 证书。我不知道为什么，它在分域名证书的选择上有些问题，最后我干脆全部用通配符证书解决了事。数据库我使用的是 PostgreSQL。要使用本地 peer 鉴权的话，需要把 host 的值设置为 PostgreSQL 监听套接字所在的目录，比如我是这样写的：

dsn "user=maddy host=/run/postgresql dbname=maddy sslmode=disable"

PostgreSQL 监听套接字所在目录是编译时确定的。maddy 是 Go 写的，并不使用 libpq，因此它无法自动确定这个目录在哪里，需要手动指定。

关于邮箱别名，可以使用文本文件配置，也可以使用数据库查询指定。别名功能可以用来实现简单的邮件列表功能——发往某一个地址的邮件会被分发到多个实际收件人的邮箱中。但是它不支持去重，也就是说，往包含自己的别名地址发送邮件，自己会额外收到一份。设置起来大概是这样子的：

table.chain local_rewrites {
    optional_step regexp "(.+)\+(.+)@(.+)" "$1@$3"
    optional_step static {
        entry postmaster postmaster@$(primary_domain)
    }
    optional_step file /etc/maddy/aliases
    step sql_query {
        driver postgres
        dsn "user=maddy host=/run/postgresql dbname=maddy sslmode=disable"                                                                                                                 
        lookup "SELECT mailname FROM mailusers.mailinfo WHERE $1 = ANY(alias) and new = false"
    }
}

哦对了，那个 postmaster 地址需要手动合并，不然就要每个域名创建一个账号了。在别名文件里写上 postmaster@host2: postmaster@host1 就行了。

maddy 会经常检查别名的修改时间然后自动重新加载，数据库查询当然是查出来是什么就是什么，所以还是比 Postfix 每次跑 postalias 命令要方便不少。

DNS 配置

邮件域名的 MX 记录当然要设置上的。邮件服务器 IP 的 PTR 记录也要设置到服务器的域名上（A / AAAA 记录指到服务器）。SPF 的记录也不能忘。DMARC 和 DKIM 的记录没那么重要，不过推荐按 maddy 的文档设置上。

我还给域名设置 imap、imaps 和 submission 的 SRV 记录，但似乎客户端们并不使用它们。

这些设置好之后就可以去 https://email-security-scans.org/ 发测试邮件啦。

反垃圾

maddy 内建对 rspamd 的支持，所以就用它好了。直接在 smtp 的 check 节里写上 rspamd 就好了。rspamd 跟着官方教程走，也基本不需要什么特别的设置，就是官方给的 nginx 配置有些坑人。我是这样设置的：

    location /rspamd/ {
            alias /usr/share/rspamd/www/;
            expires 30d;
            index index.html;
            try_files $uri $uri/ @proxy;
    }
    location @proxy {
            rewrite ^/rspamd/(.*)$ /$1 break;
            proxy_pass  http://127.0.0.1:11334;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header Host $http_host;
    }

注意这里给静态文件设置了过期时间，不然每次访问都要下载那些文件，非常慢。我是挂载在子路径下的，需要通过 rewrite 配置把子路径给删掉再传给 rspamd，不然会出问题。

邮件客户端自动配置

上边提到了 SRV 记录并不管用。实际上管用是在 https://autoconfig.example.org/mail/config-v1.1.xml 的配置文件。具体可以看 Lan Tian 的《编写配置文件，让 Thunderbird 自动配置域名邮箱》这篇文章。

Web 邮件客户端

使用的是 Roundcube，是一个 PHP 软件。可以跟着 ArchWiki 的教程配置。注意最好别跟着配置 open_basedir，因为会影响同一 php-fpm 实例上的其它服务。另外记得配过期时间，不然每次都要下载静态资源，很慢的。

因为上边部署了 rspamd 反垃圾服务，所以也可以给 Roundcube 启用一下 markasjunk 插件，并在 /usr/share/webapps/roundcubemail/plugins/markasjunk/config.inc.php 配置一下对应的命令：

$config['markasjunk_spam_cmd'] = 'rspamc learn_spam -u %u -P PASSWORD %f';
$config['markasjunk_ham_cmd'] = 'rspamc learn_ham -u %u -P PASSWORD %f';

不过我配置这个之后，命令会按预期被调用，但是 rspamd 的统计数据里不知为何总显示「0 Learned」。把垃圾邮件通过命令行手动喂给它又会提示已经学过该邮件了。

本来我是用 iptables 来屏蔽恶意IP地址的。之所以不使用 ipset，是因为我不想永久屏蔽这些 IP。iptables 规则有命中计数，所以我可以根据最近是否命中来删除「已经变得正常、或者分配给了正常人使用」的 IP。但 iptables 规则有个问题是，它是 O(n) 的时间复杂度。对于反 spam 来说，几千上万条规则问题不大，而且很多 spam 来源是机房的固定 IP。但是以文件下载为主、要反刷下行流量的用途，一万条规则能把下载速率限制在 12MiB/s 左右，整个 CPU 核的时间都消耗在 softirq 上了。perf top 一看，时间都消耗在 ipt_do_table 函数里了。

行吧，临时先加补丁先：

iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

这样让已建立的连接跳过后边上万条规则，就可以让正常的下载速度快起来了。

此时性能已经够用了。但是呢，还是时不时需要我手动操作一下，删除计数为零的规则、清零计数、合并恶意 IP 太多的网段。倒不是这些工作自动化起来有困难（好吧，让我用 Python 3.3 来实现可能是有些不便以至于至今我都没有动手），但是这台服务器上有新工具 nftables 可用，为什么不趁机试试看呢？

于是再次读了读 nft 的手册页，意外地发现，它竟然有个东西十分契合我的需求：它的 set 支持超时！于是开虚拟机对着文档调了半天规则，最终得到如下规则定义：

destroy table inet blocker

table inet blocker {
    set spam_ips {
        type ipv4_addr
        timeout 2d
        flags timeout, dynamic
    }
    set spam_ips6 {
        type ipv6_addr
        timeout 2d
        flags timeout, dynamic
    }

    chain input {
        type filter hook input priority 0; policy accept;

        ct state established,related accept
        ip saddr @spam_ips tcp dport { 80, 443 } update @spam_ips { ip saddr timeout 2d } drop
        ip6 saddr @spam_ips6 tcp dport { 80, 443 } update @spam_ips6 { ip6 saddr timeout 2d } drop
    }
}

nftables 是自己创建 table 的，不用和别人「共用一张桌子然后打架」啦。然后定义了两个动态的、支持超时的、默认超时时间是两天的 set。nftables 的 table 可以同时支持 IPv4 和 IPv6，但是规则和 set 不行，所以得写两份。在 chain 定义中设置 hook，就跟 iptables 的默认 chain 一样可以拿到包啦。然后，已建立的连接不用检查了，因为恶意 IP 还没学会连接复用。接下来，如果源 IP 位于 set 内并且是访问 HTTP(S) 的话，就更新 set 的超时时间，然后丢弃包。限制端口是为了避免万一哪天把自己给屏蔽掉了。nftables 的规则后边可以写多个操作，挺直观、易于理解的。

然后让自己的恶意 IP 识别脚本用 nft add element inet blocker spam_ips "{ $IP }" 这样的命令向 set 里添加要屏蔽的 IP 就可以啦。两天不再有请求过来的 IP 会被自动解除屏蔽，很适合国内的三大运营商的动态 IP 呢。

跑了几天，被屏蔽的 IP 数量稳定在 26k—28k 之间。有昼夜周期，凌晨零点多和早上六七点是爆发期，晚间是静默期。性能非常好，softirq 最高占用不到 10%。

nftables 也很好用。虽然 nft 的手册页有点难懂，多看几遍、了解其写作结构之后就好很多了。不过要是支持 IP 地址到 counter 的动态 map 就好了——我想统计各 IP 的流量。nftables 还自带 Python 绑定，虽说这 API 走 JSON 感觉怪怪的，libnftables-json(5) 这文档没有超链接也很难使用，但至少弄明白之后能用。我用来写了个简单的统计脚本：

#!/usr/bin/python3

import os
from math import log10
from itertools import groupby

import nftables

def show_set(nft, name):
  ret, r, error = nft.json_cmd({'nftables': [{'list': {'set': {'family': 'inet', 'table': 'blocker', 'name': name}}}]})
  if ret != 0:
    raise Exception(ret, error)
  try:
    elements = r['nftables'][1]['set']['elem']
  except KeyError: # empty set
    return
  ips = [(x['elem']['val'], x['elem']['expires']) for x in elements]
  ips.sort(key=lambda x: x[1])

  histo = []
  total = len(ips)
  for k, g in groupby(ips, key=lambda x: x[1] // 3600):
    count = sum(1 for _ in g)
    histo.append((k, count))
  max_count = max(x[1] for x in histo)
  w_count = int(log10(max_count)) + 1
  w = os.get_terminal_size().columns - 5 - w_count
  count_per_char = max_count / w
  # count_per_char = total / w
  print(f'>> Histogram for {name} (total {total}) <<')
  for hour, count in histo:
    print(f'{hour:2}: {f'{{:{w_count}}}'.format(count)} {'*' * int(round(count / count_per_char))}')
  print()

if __name__ == '__main__':
  nft = nftables.Nftables()
  show_set(nft, 'spam_ips6')
  show_set(nft, 'spam_ips')

最后，我本来想谴责用无辜开源设施来刷下行流量的行为的，但俗话说「人为财死」，算了。还是谴责一下运营商不顾社会责任、为了私利将压力转嫁给无辜群众好了。自私又短视的人类啊，总有一天会将互联网上的所有好东西都逼死，最后谁也得不到好处。

之前我写过一篇文章，讲述我使用 EasyEffects 的均衡器来调整 Bose 音箱的音效。最近读者 RNE 留言说可以直接通过 PipeWire 实现，于是前几天我实现了一下。

先说一下换了之后的体验。相比于 EasyEffects，使用 PipeWire 实现此功能获得了以下好处：

• 少用一个软件（虽然并没有多大）。
• 不依赖图形界面。EasyEffects 没有图形界面是启动不了的。
• 占用内存少。EasyEffects 有时候会占用很多内存，不知道是什么问题。
• 自己实现的切换逻辑，更符合自己的需求。EasyEffects 只能针对指定设备加载指定的配置，不能指定未知设备加载什么配置。因此，当我的内置扬声器名称在「alsa_output.pci-0000_00_1f.3.analog-stereo」、「alsa_output.pci-0000_00_1f.3.7.analog-stereo」或者「alsa_output.pci-0000_00_1f.3.13.analog-stereo」等之间变化时，我需要一个个名称地指定要加载的配置。
• 只要打开 pavucontrol 就能确认均衡器是否被应用了。EasyEffects 需要按两下Shift-Tab和空格（或者找找鼠标）来切换界面。

缺点嘛，就是我偶尔使用的「自动增益」功能没啦。不过自动增益的效果并不太好，我都是手动按需开关的。没了就没了吧。

配置方法

首先要定义均衡器。创建「~/.config/pipewire/pipewire.conf.d/bose-eq.conf」文件，按《Linux好声音（干净的均衡器）》一文的方式把均衡器定义写进去就好了。我的文件见 GitHub。

然后需要在合适的时候使用这个均衡器。实际上上述配置加载之后，PipeWire 里就会多出来一对名叫「Bose Equalizer Sink」的设备，一个 source 一个 sink。把 source 接到音箱，播放声音的程序接到 sink，就用上了。别问我为什么 source 的名字也是「Sink」，我不会分开定义它们的名字……

自动化应用使用的是 WirePlumber 脚本。它应该放在「~/.local/share/wireplumber/scripts」里，但是我为了方便放到 dotconfig 仓库里管理，在这里放了个到「~/.config/wireplumber/scripts」的软链接。脚本干的事情很简单：在选择输出设备的时候，看看当前默认设备是不是 Bose 音箱；如果是，就选择之前定义的「Bose Equalizer Sink」作为输出目标。不过因为文档匮乏，为了干成这件事花了我不少精力，翻看了不少 WirePlumber 自带脚本和源码。最终的脚本也在 GitHub 上。

结语

PipeWire 挺强大的，就是文档太「瘦弱」啦。能用脚本配置的软件都很棒～

再次感谢读者 RNE 的留言～

请对 systemd 做如下设置，避免它将你的用户进程调整为更容易被杀：

建立 /etc/systemd/user.conf.d/oom.conf 文件，并写入：

[Manager]
DefaultOOMScoreAdjust=0

建立 /etc/systemd/system/user@.service.d/resources.conf 文件（及其中间目录），并写入：

[Service]
OOMScoreAdjust=0

systemd 的默认设置也会干扰火狐浏览器自己的设定，造成与预期相反的行为。

上一篇《btrfs 翻车记》记叙了我们服务器上的 btrfs 出事的情况，好像吓到一些用户了 QAQ。其实那次情况比较特殊啦。一般来说，就算元数据用满了，也不至于改内核代码才能救回来。不过元数据满的问题确实困扰了许多用户，正好这些天群里有不少人遇到了，本文就记录一下元数据满了之后如何处置。

问题和处置

问题的现象是部分文件操作报错「No space left on device」，但是 df 等工具明明报告还有空间。btrfs filesystem usage 的输出是这样：

我们可以看到，还有 373G 的空闲空间（Free）呢。但是呢，「Device unallocated」已经不足 1G 了。在充分大的文件系统上，btrfs 会以 1G 为单位来分配块组（block group，简称 bg）。所以现在这个情况，已经无法分配新的 bg 啦。然后我们再往下看，「Metadata」的部分，总共 4.5G，已经用了 4G。还剩下 512M，刚好是 Global reserve 的大小。也就是说，不算保留空间的话，元数据已经没有空间可用了，所以才会报错。

那现在怎么办呢？如果文件系统上有不需要的很大的文件，并且没有快照，删除后空间可以立即释放的话，可以删除试试，看看能不能刚好空出来一个 bg。不然就试着跑一下 balance，像这样：

这个命令是说，把使用率为 0% 的数据 bg 整理一下。从输出「had to relocate 0 out of ...」可以看出，没有这样的 bg，操作没有效果。可以试试增加 -dusage 的值，看看能不能成功。很遗憾，这个案例中未能成功：

那只有另外添加一些空间来腾挪数据了。如果有闲置的分区（或者暂时用不上的 swap 分区）就可以拿来用。不然的话插个U盘也行。不需要多大，几个 G 就行。挪好数据就可以去掉了，不会长期使用的。另一种很有风险的做法是使用内存来暂存数据，但这样一旦死机或者断电，整个文件系统就完蛋了，不建议使用。

准备好空闲分区后，就可以 btrfs device add 添加上去了。这里通常要加 -f 参数，抹除分区里原有的数据。注意不要添加错设备了哦。

可以看到，设备添加上去之后，又可以往文件系统里写数据了。接下来跑 btrfs balance -dusage=10 之类的命令腾些数据 bg 出来就好了。这里要注意只 balance 数据 bg，不要动元数据的 bg，因为元数据越是集中存放，将来就越可能需要分配新的 bg，就越有可能遇到没 bg 可以分配的情况。

btrfs-heatmap 工具可以查看 bg 的分布和使用情况。以下是 balance 好之后的状态（使用 --curve linear 参数）：

图中，白色的是数据 bg，蓝色的是元数据 bg。颜色越亮，使用率越高。纯黑的是未分配空间。可以看到，这里有大量用得不多的数据 bg。balance 操作就是把它们给合并了一些，空出来不少黑色区域（最下方的黑色部分是新添加的设备上的未分配空间）。这是 usage 截图：

算一算，除去新添加设备的空间，原存储设备上也能有 46G 的未分配空间了（看上去新添加设备并没开始使用，只是让 btrfs 相信它有足够的空间用）。接下来把之前添加的设备删除就可以了：btrfs device del /dev/sdb1 /。等它运行完毕就可以拔掉该设备了（如果是可移动介质的话）。

预防

这个问题的本质就是 bg 的碎片化导致明明看上去有空间，但是元数据用不了，因此报错，需要手动处理。要识别即将出问题的文件系统也很简单：btrfs filesystem usage 看一看，如果「unallocated」很小（不足 1G）就要赶紧 balance 一下了（当然前提是有不少碎片化的空闲空间）。注意，这个时候千万不要删快照！删快照可能会快速消耗保留的元数据空间，从而导致添加设备都加不上、还报错只读的情况。

btrfs 最近添加了自动块组回收（automatic block group reclaim）功能，但默认并没有启用。因为是新功能，可能会有 bug，你也不知道它会什么时候运行，所以我暂时不建议使用。自己写个定时脚本，在系统空闲的时候运行也不错的。

本文中的图像素材均由遇到问题的群友提供。

如标题所言，我用了多年的 btrfs，终于还是遇到翻车啦。由于文件系统翻车了，相关日志内容缺失，所以本文我仅凭记忆描述事件，就不提供准确的日志输出了。

事件经过

出事的是 archlinuxcn 的编译机。那天中午时分我就收到了 Grafana 给我发送的莫名其妙的报警邮件，称某个监控项无数据了。我去面板上瞅了半天，明明有数据的啊。不解，但是忙别的事情去了，也没有细究。晚些时候，我又收到了好些同类告警，遂登录机器打算检查 Grafana 日志。但操作过程中，退出 zsh 的时候我好像看到了写命令历史时出现「read-only filesystem」的字样？于是检查了一下，发生大事不好了，文件系统真变只读了！

这个 btrfs 是我上次迁移机器的时候换上的，因为我觉得过了这么多年，btrfs 挺稳定了啊，而定时快照很方便，devtools 也支持通过快照来快速创建打包用的 rootfs（虽然大部分时候都在 tmpfs 上打包了用不上）。但我们编译机一直以来有个问题：硬盘有多少用多少。前一任编译机用的 1T 硬盘，是刚刚够用，现在换 2T 了，结果用着用着又只剩下200多GiB啦……肥猫最近开始玩 bees 去重了，听说在其它机器上效果显著。不过这台编译机快照多，这「蜂群」嗡嗡了几天都没完事，还出事了。

btrfs filesystem usage 一看就发现，空闲200多G数据是真的（因此没有触发相关报警），但是元数据满了，也没有未分配空间了。这种事群里有多位群友遇到过了，问题不大，加个设备再 balance 一下就好了。我一开始是这么想的，刚好有两个挺大的 swap 分区能够用来腾挪。结果 btrfs 告诉我，文件系统只读，添加设备失败！那好，我 remount rw 一下。结果 btrfs 说文件系统出毛病了，不支持 remount rw！

这个时候我才感觉事情有点难办了。这个 btrfs 文件系统是 /，并不能卸载啊。没有找到在线修理的办法，只好呼叫凤凰卷，通过 iDRAC 进入 archiso。期间服务器重启了一次，但连过去依旧是只读的。进到 archiso 之后，尝试抢在报错之前添加设备，但是并没有成功。会卡住一会儿，然后报错「No space left on device」。按 farseerfc 的建议，clear_cache 和 zero-log 都试过了，但并没有解决问题。有人建议把大文件 truncate 一下，看看能不能刚好释放出 1G 的连续空间出来，但是我有定时快照呀，truncate 了也不会立即释放空间。最后卷直接下单了新机器，开始 btrfs send……

事后

服务器迁移还比较顺利。数据接收完毕，网络配置更新一下，引导器装好，重启，熟悉的编译机就回来啦～除了 nvchecker 好像跑得有点慢？怎么 ping Google 要 60ms 的？原来是忘记更新 /etc/resolv.conf 了，里边还写着旧 ISP 的 DNS 服务器地址呢。systemd-resolved 这次做了回好事，把 DNS 服务 fallback 到了 9.9.9.9。DNS 解析慢是 fallback 过程造成的，而 ping Google 延迟高，是因为 9.9.9.9 不知道怎么回事，给解析到比较远的地方去了。

新编译机 CPU 比之前那台快了不少，硬盘也增加到了 3.4T。挺好的，除了这时机不太好，旧编译机还有近一个月到期……另外由于是突发状况，所以没有及时缩短 DNS TTL，导致迁移完成之后 DNS 解析没有及时跟上（隔天我陆陆续续从另一台使用这台编译机转发邮件的机器那里收到了好些邮件，都是抱怨这编译机连不上的）。

蜂群(bees)也重新开始工作了。这次快照较少，我还专门为了它们暂停过自动快照，过了一段时间之后首次扫描终于完成了。之后它们就能很快跟上进度，不会消耗大量 CPU 了。

我添加了定时任务来执行 btrfs balance start -dusage=10 /，每周释放一些使用率低的数据块组，避免空间分配了又不怎么用，到最后明明有剩余空间却让元数据无处可写。

farseerfc 对出事的 btrfs 进行了更多不同方案的修复尝试，但依然未能修好。

一些抱怨

没想到我用了这么多年的 btrfs，还是被坑到了。明明还有不少空闲空间，但是 btrfs 不知道用。我看到最近有个「automatic block group reclaim」特性，支持自动回收块组了，但是搜索结果第一项结果是今年年初有人在邮件列表上报告说它有问题……出现问题 ro 挺好的，但是这个状态下不让进行维护操作就太难受了。作为 / 文件系统使用时，对于远程机器来说，即使有 iDRAC 或者 IPMI 之类的东西，用起来也费事，还不得不中断可能还活着的服务。而对于不支持远程访问的机器就更麻烦了，比如在家办公时办公室的机器，或者出差旅游探亲时在家的机器。我也考虑过在 initramfs 里配网络、开 sshd，但是并没有现成的工具，事发时再配的话，一次性成功的可能性太低了。

至于事发原因，蜂群(bees)只是加快了元数据空间的使用（dedupe 快照的结果），其本身并没有问题。出事重启之后，在再次被挂载为只读之前，还是写入了不少数据，包括一次成功的快照（后来查 pacman 数据库损坏的问题时发现的）。这可能是后续添加设备都无法成功的原因。

以前用的 ext4，在文件系统快满时只是碎片化严重、效率降低，它甚至还会给 root 保留一部分空间来处理问题。后来用 zfs，快满了就 0B/s，等于废掉。现在 btrfs 遇到空间不足也没有好太多，变只读了。（我还打算抱怨一下新文件系统可靠性不如旧的来着，想想前不久在群里看到 btrfs 抓到了位反转，还是不抱怨了。大家各有千秋。）

2023年07月08日更新：farseerfc 把它救活了！核心方法是把这里的 global reserve 大小由 512M 改成 2G。因为之前重启了一次，那时不仅成功创建了一个新快照，还删掉了一个旧的。然后它删着删着就把 512M 的 global reserve 给用完了，就报错、事务回滚，于是就过不去了。和邮件列表上这个问题是一样的：Global reserve and ENOSPC while deleting snapshots on 5.0.9 — Linux BTRFS。

2023年07月25日更新：其实本文所述内容是罕见情况啦，并没有多少人会遇到的，大家不用害怕。另外新写了一篇《btrfs 元数据满了怎么办》，记录大多数人遇到的元数据满的问题如何解决。

有个服务器需要维护，因此需要将其上的所有服务暂时迁移走。打算直接扔到另一台比较闲的服务器上，直接拿 systemd-nspawn 跑起来得了。简单方便，除了网络之外不需要额外配置。但问题是，这些服务里包含一个使用 docker 运行的 ElasticSearch，在同为容器的 nspawn 里跑会有问题吗？

试了一下，还真有的问题。dockerd 会报权限错误而跑不起来。但稍微搜一下就找到了解决方案：

SYSTEMD_SECCOMP=0 systemd-nspawn --capability=all --network-bridge=br0 --boot -D rootfs

nspawn 默认会限制一些权限。这样可以让其不做任何限制，相当于 docker 的 --privileged 参数。然后就可以嵌套着跑啦。

跑起来之后检查一下，所有服务均正常运作了，没有任何问题。把网络配好，外边的 nginx 负责一下转发（因为懒所以没配外网 IP），就可以接替工作啦。

PS: 迁移的过程中遇到了一个小坑。rsync 不加 --numeric-ids 的话会尽量保持用户名不变，等里边的系统跑起来就各种权限问题了。所以转移 rootfs 的时候一定得记着加上 --numeric-ids。

序

PaddleOCR 发布 2.6 版本了，支持 Python 3.10 啦，于是可以在 Arch Linux 上跑了～所以我决定再部署一次。

我之前跑 PaddleOCR 有两个方案，使用 chroot 加一大堆 systemd 的限制选项，以及使用 bwrap 和用户命名空间。

chroot 的方案总感觉不知道限制够了没。实际上当初那篇文章写完我就意识到这服务怎么用我的 uid 在跑啊，乱发信号好像还能把我的进程都杀掉的样子。另外这个 chroot 其实是我用来学习、研究和适配 Debian 用的，并不是专门跑这个服务的，感觉有点——怎么说呢——碍事？总之不太好。

bwrap 方案更干净一些，不过创建起来挺麻烦的（所以我才只部署了一次嘛）。不使用用户命名空间可能会简单一些，但那样就是用我的用户在跑了。

所以这次我决定试试方案，使用 systemd-nspawn。另外（再次）尝试了使用 NVIDIA GPU 的版本，把我电脑上闲得发慌的 GeForce 940MX 显卡给用上了。

过程

首先去 Arch 镜像里的 iso/latest/ 目录下载个 archlinux-bootstrap-x86_64.tar.gz 回来。在 /var/lib/machines 下创建个叫 paddleocr 的 btrfs 子卷 / zfs 文件系统 / 普通目录用来存放新的 rootfs。sudo bsdtar xf ...... -C /var/lib/machines/paddleocr 解压出来。记得一定要用 bsdtar 以避免丢失某些文件元信息（虽然我不知道那些信息有啥用但是有警告就是不爽嘛）。

然后就可以 systemd-nspawn -M paddleocr 拿到个 shell 了。这里边只安装了 base 和 arch-install-scripts。可以先修改 pacman 镜像然后 pacman -Syu python 滚一下顺便装上 Python。然后 useradd -s /bin/bash -m -U paddleocr 创建个跑 paddleocr 的用户。su - paddleocr 切过去，python -m venv venv 创建虚拟环境，然后进去按 PaddleOCR 的文档装就行了。装好运行起来没问题之后，写个 for 循环把所有支持的语种都识别一遍，以下载各语言的模型（当然你也可以只下载你想要的）。做好之后可以清一下缓存啥的。gdu 就挺好用的。

哦，以上是 CPU 版本的安装流程。GPU 版本的可没有这么简单。首先要把显卡设备传进这个 nspawn 里。创建 /etc/systemd/nspawn/paddleocr.nspawn 文件，然后里边写上：

[Exec]
ResolvConf=off
NoNewPrivileges=true
User=paddleocr

[Files]
Bind=/run/paddleocr
Bind=/var/cache/pacman/pkg

Bind=/dev/nvidia0
Bind=/dev/nvidiactl
Bind=/dev/nvidia-modeset
Bind=/dev/nvidia-uvm
Bind=/dev/nvidia-uvm-tools

[Network]
Private=true

哦，这里有挂载 pacman 缓存目录前边忘了说，不过这个不重要啦。这里指定了用户，但是可以在命令行上用 -u root 覆盖的，不影响进去维护。私有网络，也就是给它配置个网络命名空间，里边除了 lo 外啥网络接口都没有。那它怎么访问网络呢？它访问不了网络啦。所以要 bind mount 进去一个 /run/paddleocr，用于通信的 UNIX 域套接字将会放在这里。网络不通，走文件系统就好啦。

然后找台机器把 AUR 包 cuda-10.2 和 cudnn7-cuda10.2 打一下，但是不用安装。我们不搞 CUDA 开发，里边有一大堆东西都是不需要的。把需要的库复制进 rootfs 里去就行了。至于需要什么库？进那个虚拟环境的 Python 里，import paddle 然后 paddle.utils.run_check() 跑一下就知道了。复制库之后记得跑 ldconfig 啊。

PaddleOCR 能跑起来之后，就可以把我的服务丢进去跑啦。最终命令长这样：

sudo systemd-nspawn -M paddleocr --user=paddleocr /home/paddleocr/paddleocr-http --loglevel=warn -j 4

-j 参数是限制并发识别数的，避免过载 CPU 或者 GPU，并不是线程数。

跑起来之后，sudo setfacl -m u:$USER:rwx /run/paddleocr/http.sock 给自己授权，然后 curl 一下试试：

time curl -sS -F file=@a.png -F lang=zh-Hans --unix-socket /run/paddleocr/http.sock http://localhost:5174/api | jq .

对于小图片的话挺快的，不到一秒就能出结果。我使用 CPU 版本跑的话，会慢个近十倍的样子。顺便说一下，这是我对服务进行性能优化之后的结果。之前每张图都开新进程跑太慢了。大概是需要加载一大堆库，然后把模型上传到 GPU，每张图一进程的话 GPU 版本反而会明显慢于 CPU 版本。代价是服务会一直占用大约 2G 内存，即使你并没有在用。

系统挂起到内存或者休眠到磁盘时，内存里的内容是被保留了，但是 GPU 显存并没有，大概因此会报 cuda runtime error 999。这时候，只需要停止服务，卸载 nvidia_uvm 内核模块然后重新加载，再启动服务就可以恢复了。如果 nvidia_uvm 卸载不掉的话，那就没办法了，要么重启，要么改用 CPU 版本。NVIDIA 是有个把显存 dump 到内存里存起来的方案的，但是没必要啊，尤其是休眠到磁盘上的时候，多浪费时间啊。

文件下载

你可以直接用我做好的文件。通过本地的 IPFS 服务访问：

http://localhost:8080/ipns/k51qzi5uqu5di433o42zgqk2xck3y160q1hyvqbyyerd36au2pk0c2jw3hcqxx/

你也可以用别的网关来访问，都一样。如果 IPNS 解析失败的话，试试

http://localhost:8080/ipfs/QmNV31bApmgRcHCQjGufQ3zrFDaf6JBWvBt8pU2TA2Baz6/

我把用于跑服务、设置权限的配置文件打了个 Arch 软件包。nspawn 用的 rootfs 也打包上传了。PaddleOCR CPU 和 GPU 版本是分开的，所以有两个包。CPU 版本的 nspawn 叫 paddleocr-cpu，服务名也是。把 rootfs 解压到正确的地方之后，systemctl start paddleocr 或者 paddleocr-cpu 就好啦。用户需要加入 paddleocr 组才能访问 HTTP 套接字哦。

如果遇到CUDA error(803), system has unsupported display driver / cuda driver combination报错，请将系统当前的 libcuda.so.1 复制进 nspawn 里：

sudo cp /usr/lib/libcuda.so.1 /var/lib/machines/paddleocr/usr/local/lib

另外服务配置文件放到 GitHub 上了：paddleocr-service。

去年我做了个索引 Telegram 群组的软件——落絮，终于可以搜索到群里的中文消息了。然而后来发现，好多消息群友都是通过截图发送的，落絮就索引不到了。也不能不让人截图嘛，毕竟很多人描述能力有限，甚至让复制粘贴都能粘出错，截图就相对客观真实可靠多了。

所以落絮想要 OCR。我知道百度有 OCR 服务，但是我显然不会在落絮上使用。我平常使用的 OCR 工具是 tesseract，不少开源软件也用的它。它对英文的识别能力还可以，尤其是可自定义字符集所以识别 IP 地址的效果非常好，但是对中文的识别能力不怎么样，图片稍有不清晰（比如被 Telegram JPEG 压缩）、变形（比如拍照），它就乱得一塌糊涂，就不说它给汉字之间加空格是啥奇怪行为了。

后来听群友说 PaddleOCR 的中文识别效果非常好。我实际测试了一下，确实相当不错，而且完全离线工作还开源。但是，开源是开源了，我又没能力审查它所有的代码，用户量太小也不能指望「有足够多的眼睛」。作为基于机器学习的软件，它也继承了该领域十分复杂难解的构建过程，甚至依赖了个叫「opencv-contrib-python」的自带了 ffmpeg、Qt5、OpenSSL、XCB 各种库的、不知道干什么的组件，试图编译某个旧版 numpy 结果由于太旧不支持 Python 3.10 而失败。所以我决定在 Debian chroot 里安装，那边有 Python 3.9 可以直接使用预编译包。所以问题来了：这么一大堆来源不明的二进制库，用起来真的安全吗？

我不知道。但是我知道，如果它联不上网的话，那还是相对安全的。毕竟我最关心的就是隐私安全——一定不能把群友发的图片泄漏给未知的第三方。而且联不上网的话，不管你是要 DDoS 别人、还是想挖矿，收不到指令、传不出数据，都行不通了嘛。我只要它能从外界读取图片，然后把识别的结果返回给我就好了。

于是一个简单的办法是，拿 bwrap 给它个只能访问自己的独立网络空间它不就访问不了互联网了吗？不过说起来简单，做起来还真不容易。首先，debootstrap 需要使用 root 执行，执行完之后再 chown。为了进一步限制权限，我使用了 subuid，但这也使得事情复杂了起来——我自己都难以访问到它了。几经摸索，我找到了让我进入这个 chroot 环境的方法：

#!/bin/bash -e

user="$(id -un)"
group="$(id -gn)"

# Create a new user namespace in the background with a dummy process just to
# keep it alive.
unshare -U sh -c "sleep 30" &
child_pid=$!

# Set {uid,gid}_map in new user namespace to max allowed range.
# Need to have appropriate entries for user in /etc/subuid and /etc/subgid.
# shellcheck disable=SC2046
newuidmap $child_pid 0 $(grep "^${user}:" /etc/subuid | cut -d : -f 2- | tr : ' ')
# shellcheck disable=SC2046
newgidmap $child_pid 0 $(grep "^${group}:" /etc/subgid | cut -d : -f 2- | tr : ' ')

# Tell Bubblewrap to use our user namespace through fd 5.
5< /proc/$child_pid/ns/user bwrap \
  --userns 5 \
  --cap-add ALL \
  --uid 0 \
  --gid 0 \
  --unshare-ipc --unshare-pid --unshare-uts --unshare-cgroup --share-net \
  --die-with-parent --bind ~/rootfs-debian / --tmpfs /sys --tmpfs /tmp --tmpfs /run --proc /proc --dev /dev \
  -- \
  /bin/bash -l

这里给了联网权限，是因为我需要安装 PaddleOCR。没有在创建好 chroot 之后、chown 之前安装，是因为我觉得拿着虽然在 chroot 里但依旧真实的 root 权限装不信任的软件实在是风险太大了。装好之后，再随便找个图，每种语言都识别一遍，让它下载好各种语言的模型，接下来它就再也上不了网啦（为避免恶意代码储存数据在有网的时候再发送）：

#!/bin/bash -e

dir="$(dirname $2)"
file="$(basename $2)"

user="$(id -un)"
group="$(id -gn)"

# Create a new user namespace in the background with a dummy process just to
# keep it alive.
unshare -U sh -c "sleep 30" &
child_pid=$!

# Set {uid,gid}_map in new user namespace to max allowed range.
# Need to have appropriate entries for user in /etc/subuid and /etc/subgid.
# shellcheck disable=SC2046
newuidmap $child_pid 0 $(grep "^${user}:" /etc/subuid | cut -d : -f 2- | tr : ' ')
# shellcheck disable=SC2046
newgidmap $child_pid 0 $(grep "^${group}:" /etc/subgid | cut -d : -f 2- | tr : ' ')

# Tell Bubblewrap to use our user namespace through fd 5.
5< /proc/$child_pid/ns/user bwrap \
  --userns 5 \
  --uid 1000 \
  --gid 1000 \
  --unshare-ipc --unshare-pid --unshare-uts --unshare-cgroup --unshare-net \
  --die-with-parent --bind ~/rootfs-debian / --tmpfs /sys --tmpfs /tmp --tmpfs /run --proc /proc --dev /dev \
  --ro-bind "$dir" /workspace --chdir /workspace \
  --setenv PATH /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin \
  --setenv HOME /home/worker \
  -- \
  /home/worker/paddleocr/ocr.py "$1" "$file"

kill $child_pid

这个脚本会把指定文件所在的目录挂载到 chroot 内部，然后对着这个文件调用 PaddleOCR 来识别并通过返回结果。这个调用 PaddleOCR 的 ocr.py 脚本位于我的 paddleocr-web 项目。

不过这也太复杂了。后来我又使用 systemd 做了个服务，简单多了：

[Unit]
Description=PaddleOCR HTTP service

[Service]
Type=exec
RootDirectory=/var/lib/machines/lxc-debian/
ExecStart=/home/lilydjwg/PaddleOCR/paddleocr-http --loglevel=warn -j 2
Restart=on-failure
RestartSec=5s

User=1000
NoNewPrivileges=true
PrivateTmp=true
CapabilityBoundingSet=
IPAddressAllow=localhost
IPAddressDeny=any
SocketBindAllow=tcp:端口号
SocketBindDeny=any
SystemCallArchitectures=native
SystemCallFilter=~connect

[Install]
WantedBy=multi-user.target

这里的「paddleocr-http」脚本就是 paddleocr-web 里那个「server.py」。

但它的防护力也差了一些。首先这里只限制了它只能访问本地网络，TCP 方面只允许它绑定指定的端口、不允许调用 connect 系统调用，但是它依旧能向本地发送 UDP 包。其次运行这个进程的用户就是我自己的用户，虽然被 chroot 到了容器里应该出不来。嗯，我大概应该给它换个用户，比如 uid 1500，应该能起到跟 subuid 差不多的效果。

顺便提一句，这个 PaddleOCR 说的是支持那么多种语言，但实际上只有简体中文等少数语言支持得好（繁体都不怎么样），别的语言甚至连语言名和缩写都弄错，越南语识别出来附加符号几乎全军覆没。