从开始有数据记录算起，断断续续跑步已经 9 年了。我自己也没想到，居然能坚持这么久，跑了这么远。看着 Keep 里一条条不断累积的跑步记录，总会冒出一个念头： 能不能把这些零散的数据，整理成一个真正属于自己的跑步主页？

昨天突然发现公司网络连不上我的 VPS，使用手机流量又可以连上，应该是被屏蔽了。既然Cloudflared可以代理容器的服务，为啥不用来代理SSH呢？问了一下AI，发现这是可行的，于是就有了这篇文章。

在公网暴露端口一直是很多 VPS 用户担心的安全问题：

• 不想暴露内部服务的端口
• 又希望能通过域名访问这些服务

Cloudflare Tunnel(Cloudflared) 给出了完美的解决方案： VPS 完全不需要暴露任何端口，所有流量通过 Cloudflare 全球网络中转，再进入 VPS 容器网络。

在自建多个服务的情况下，如果每个容器都需要暴露端口到宿主机，不仅不安全，还容易端口冲突。

更优雅的方式是：所有服务与 Nginx Proxy Manager（NPM）放在同一个 Docker 网络中，不需要对宿主机暴露任何业务端口，只暴露 NPM 自己的 80 / 443 / 81 即可。

吃灰两年的阿里云服务器马上到期了，不想续费，感觉一直放着挺浪费。不过 RackNerd 黑五又有优惠，忍不住入手了一台 2 核 VPS，花了 17 刀，续费同价，用着也比较安心，就顺手记录一下云服务器的安全加固流程。