清明从成都沿川藏南线西行。最迷人的是地理的剧烈过渡：一天内从四川盆地爬到横断山高原，植被从阔叶林变灌丛再变草甸。

亚丁三神山：仙乃日（6032m）、央迈勇（5958m）、夏诺多吉（5958m）。徒步到牛奶海、五色海那段海拔从 4000 爬到 4600，最累也最值——一汪松石绿出现在央迈勇脚下时，所有的累都值了。

理塘海拔 4000+，高反最明显，第一晚别洗澡别剧烈运动。

伊犁河谷是个向西敞开的喇叭口，接住大西洋暖湿气流，被天山挡住降雨，于是别处干旱这里水草丰美。

路线：赛里木湖（高山蓝湖+残雪）→ 果子沟大桥 → 那拉提/喀拉峻草原 → 霍城薰衣草。

新疆"地广"是真的，两景点动辄三四百公里，见加油站就加满；早晚温差大。

一条河谷把湖泊、草原、雪山、花田、峡谷全给你看齐了。

Go 写的轻量监控，hub + agent 都在本机，~20MB。hub 听 127.0.0.1:8090 由 Caddy 反代，agent 听 45876 仅本机。

systemctl status beszel-hub beszel-agent

对比 Netdata（200-500MB），Beszel 在小内存 VPS 上是最佳选择。

Caddy 是总入口，最大优点是自动签发/续期 Let’s Encrypt：

clv.890714.xyz  { reverse_proxy 127.0.0.1:8090 }
blog.890714.xyz { root * /var/www/blog/public
                  file_server }

caddy validate --config /etc/caddy/Caddyfile && systemctl reload caddy

证书到期前自动续，缓存在 /var/lib/caddy/，装好不用管。

ufw 默认拒绝入站，只放行必要端口：

ufw default deny incoming
ufw allow 37362/tcp   # SSH（注意非标准端口！）
ufw allow 80,443/tcp  # Caddy
ufw allow 28635       # Shadowsocks
ufw enable

ufw enable 前务必先放行 SSH 端口，否则断连。

工具：vnstat(流量)、nethogs(进程带宽)、btop、ncdu、mtr、tmux。

shadowsocks-libev + AEAD 加密：

{ "server_port": 28635, "method": "aes-256-gcm", "mode": "tcp_and_udp", "fast_open": true }

别用默认 8388（专门被扫），用随机高端口。配合 BBR（见下）跨境提速明显。