前几天实现了在 nginx 中使用 lua 实现远程鉴权，今天想试试在 IIS 中能不能实现相同的功能。查询资料发现需要使用 URL 重写和 HTTP 请求模块，没有深究。干脆使用 ASP.NET 中间件来实现吧。

在 StratUp.cs 的 Configure 方法中，或 Program.cs 文件中添加以下代码：

// 远程鉴权
app.Use(async (context, next) =>
{
    var ip = context.Connection.RemoteIpAddress!.ToString();
    var ua = context.Request.Headers.UserAgent.ToString();
    var host = context.Request.Host.Host;
    var uri = new Uri(context.Request.GetDisplayUrl()).PathAndQuery;

    var client = new HttpClient();
    client.Timeout = TimeSpan.FromSeconds(1); // 设置超时时间

    try
    {
        var requestUrl = "https://鉴权地址/";

        var requestMessage = new HttpRequestMessage(HttpMethod.Get, requestUrl);
        requestMessage.Headers.Add("X-Real-IP", ip);
        requestMessage.Headers.Add("User-Agent", ua);
        requestMessage.Headers.Add("X-Forwarded-Host", host);
        requestMessage.Headers.Add("X-Forwarded-Uri", uri);

        // 发送请求
        var response = await client.SendAsync(requestMessage);

        // 检查响应状态码
        if (response.StatusCode == HttpStatusCode.Forbidden)
        {
            // 如果返回403，则拒绝访问
            context.Response.StatusCode = (int)HttpStatusCode.Forbidden;
            await context.Response.WriteAsync("Access Denied");
        }
        else
        {
            // 如果返回其他状态码，则继续执行管道中的下一个中间件
            await next();
        }
    }
    catch (TaskCanceledException ex) when (ex.CancellationToken.IsCancellationRequested)
    {
        // 如果请求超时（任务被取消），则继续执行管道中的下一个中间件
        await next();
    }
    catch
    {
        // 如果遇到错误，则继续执行管道中的下一个中间件
        await next();
    }
});

代码很简单，使用 HttpClient 发送请求，若返回 403 则拒绝访问，其它情况继续执行业务逻辑，超时或报错的情况按需修改即可。

若鉴权接口在私网中，建议将鉴权接口域名和私网 IP 添加到 hosts 文件中。

1. 使 lua 支持 resty.http

2. 在 access_by_lua_block 代码块中实现远程鉴权：

   #鉴权-START
   resolver 223.5.5.5;  # 使用公共 DNS
   access_by_lua_block {
       local http = require("resty.http")
       local httpc = http.new()
       httpc:set_timeout(500)  -- 连接超时
       local res, err = httpc:request_uri("https://鉴权地址/", {
           method = "GET",
           headers = {
               ["X-Real-IP"] = ngx.var.remote_addr,
               ["User-Agent"] = ngx.var.http_user_agent,
               ["X-Forwarded-Host"] = ngx.var.host,
               ["X-Forwarded-Uri"] = ngx.var.request_uri,
           },
           ssl_verify = false, -- 禁用 SSL 验证
           timeout = 500,     -- 读取超时
       })
   
       if not res then
           ngx.log(ngx.ERR, "Failed to request: " .. err)
       end
           
       if res and res.status == 403 then
           ngx.exit(ngx.HTTP_FORBIDDEN)
           -- return ngx.redirect("https://一个显示403友好信息的页面.html")
       end
   }
   #鉴权-END

   注意更改接口地址和友情显示 403 页面地址。

   本示例仅捕获 403 状态码，500、408 等其它异常情况视为允许访问，请根据业务需求自行添加状态码的判断。

   若超时也会进入 if not res then 代码块。

   建议将此代码部署在 nginx 主配置文件的 http 代码块中（宝塔面板中的路径：/www/server/nginx/nginx/conf/nginx.conf），如果你只想为单个网站鉴权，也可以放在网站配置文件的 server 块中。
   

3. 若鉴权接口在私网中，建议将鉴权接口域名和私网 IP 添加到 hosts 文件中。

附

1. 直接输出字符串

   ngx.header.content_type = "text/plain";
   ngx.say("hello world!")

2. 输出到日志

   ngx.log(ngx.ERR, "Response status: " .. res.status)

   日志在网站的 站名.error.log 中查看。

   宝塔面板查看方式：日志 - 网站日志 - 异常

3. 若想获取服务器 CPU 使用率等信息并传递给远程鉴权接口，请参考此文。

4. 常见问题

   no resolver defined to resolve

   原因：没有定义 DNS 解析器

   解决方法：在 http 块或 server 块中添加 resolver 8.8.8.8 valid=30s;，当然使用接入商自己的公共 DNS 可能更合适。

   unable to get local issuer certificate

   原因：没有配置 SSL 证书信息

   解决方法：添加 request_uri 参数：

   ssl_verify = true,  -- 启用 SSL 验证
   ssl_trusted_certificate = "证书路径",  -- 指定 CA 证书路径

   或

   ssl_verify = false,  -- 禁用 SSL 验证

5. 若您不想用 lua，可以用 nginx 原生自带的  auth_request 模块来实现。

鉴权方式有许多，譬如可以用 lua 的 access_by_lua 来实现，这里用 nginx 自带的 auth_request，虽然功能简单，但效率更高。

第一步，确保 nginx 已编译安装 auth_request 模块，见此文。

第二步，打开需要鉴权的网站的 nginx 配置文件，添加以下代码块：

    #鉴权-START
    location / {
        auth_request /auth;
        error_page 403 = @error403;
        
        #PHP-INFO-START  PHP引用配置，可以注释或修改
        include enable-php-**.conf;
        #PHP-INFO-END
    }
    location = /auth {
        internal;
        proxy_pass https://鉴权地址;
        proxy_pass_request_body off;
        proxy_set_header Content-Length "";
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header User-Agent $http_user_agent;
        proxy_set_header X-Forwarded-Host $host;
        proxy_set_header X-Forwarded-Uri $request_uri;
        proxy_intercept_errors on;
        #proxy_read_timeout 1s; # 超时会报 500
    }
    location @error403 {
        #default_type text/plain;
        #return 403 'forbidden';
        return 302 https://一个显示403友好信息的页面.html;
    }
    #鉴权-END

一般放在所有的 location 之前。

这里自定义请求头 X-Forwarded-Host 与 X-Forwarded-Uri 用来传递 host 与 uri。API 应从 Header 中相应取值。

宝塔面板中是通过 include enable-php-**.conf; 的方式调用 PHP ，那么可以将此行移入上面的 location / 代码块中，因为此代码块能匹配所有的请求路径。

最后，若鉴权接口在私网中，将鉴权接口域名和私网 IP 添加到 hosts 文件中。

本文记录于 2024 年 11 月。

版本选择原因：

• Discuz! X5 刚刚发布，生态尚未成熟，考虑到是老论坛升级，所以选择 X3.5。

• Discuz! X3.5 目前最高支持 PHP 8.2、MySQL 8.0。

完整升级步骤：

1. 购买新的 ECS、PolarDB，具体环境配置步骤参此文；

2. 安装宝塔面板并配置；

3. 安装 nginx 及 PHP；

4. 创建网站、配置 SSL、伪静态、防盗链、可写目录禁执行、仅允许部分入口文件执行等（.conf）；

5. 配置 hosts；

6. 如果是正式升级阶段，关闭论坛，防止产生新数据。

7. 备份原网站程序、PolarDB 数据库；

8. PolarDB 创建快照。

   测试阶段：从快照还原到新实例（MySQL 5.6 不能直接恢复到 MySQL 8.0），然后从 5.6 迁移到 8.0.x；

   正式阶段：全量模式直接从原实例迁移到 8.0.x，若增量模式且存在触发器，建议从快照还原；
   

9. 上传原网站程序到新的站点目录下；

10. 按 Discuz! X 升级文档升级 X3.4 至 X3.5；详情见下文 ↓；

11. 升级完成后切换到 PHP 8；
    

12. 配置 OSS、Redis、更新缓存等；

13. 测试论坛基本功能是否正常；检查附件是否能够正常上传；检查附件是否正常显示；全面检查控制台配置；

14. 逐个开启插件并检查兼容性（短信通、马甲引擎等）；

15. 按二开备忘录逐个按需进行二开；

16. 逐个修改调用论坛接口的项目及直接调用论坛数据库的项目；

17. 调试 MAGAPP 接口；

18. 尝试强制 https 访问；
    

19. 将以上所有修改后的程序保留备份；发布升级公告并关闭论坛；重复以上步骤；修改域名解析；开启论坛；
    

20. 配置 IP 封禁、定时器、日志、自动备份、配置其它 ECS 的 hosts 等；

21. 查看搜索引擎中收录的地址，是否有无法访问的情况；
    

22. 尝试将历史遗留的本地附件全部转移到 OSS；

23. 建议 在新服上创建 3 个网站：

1. 第 1 个用来尝试迁移、升级、二开，并测试所有功能；

2. 第 2 个用来再次重复这些步骤，最终保留程序代码及 UGC 文件，作为最终的网站程序，以正式域名作为网站根目录路径；

3. 第 3 个用来正式升级，主要功能是升级最新数据库。完成后修改第 2 个网站的数据库连接指向到最新的数据库，差异化同步新增的 UGC 文件到第 2 个网站。

Discuz! X 升级步骤及注意点：

• 因 PolarDB MySQL 不支持压缩，所以应移除 Discuz! 和 UCenter 代码中所有的 MYSQLI_CLIENT_COMPRESS，将 , MYSQLI_CLIENT_COMPRESS 替换为 /*, MYSQLI_CLIENT_COMPRESS*/。

• 升级前务必先修改 ./config/ 目录下的数据库/缓存连接信息，以防出现新站连接老库的情况；

• 按官方文档进行升级，升级前先修改一下：

• 【UC】先升级 UCenter 1.6 至 1.7。

  将 /uc_server/data 权限改为 777 并递归。

  打开 update_ucenter_adult.php 修改 $limit 值为 10000 以免执行超时。

  因通信失败的“发送通知失败”可以直接改 URL 参数跳过就完成了，原因可能是因数据量大，发送改名通知执行改名时超时。等DZ升级完成后UC会自动重试改名通知，或单独写个 php 文件将 UCenter 的用户名同步到应用的数据库。
  

• 【DZ】运行到 /install/update_adult.php?step=innodb&table=pre_common_member_grouppm 时报错：Duplicate key name 'gpmid' ALTER TABLE common_member_grouppm ADD INDEX gpmid(gpmid);

  解决方法：先删除索引，因保存时提示失败，应同时取消 gpmid 字段的自增，转换成功后再设置自增。
  

• 【DZ】运行到 /install/update_adult.php?step=file 一片空白而停止

  正在解决
  

• 【问题】common_menber 表用户名字段编码转换失败

  原因是部分用户名包含特殊字符（如全角空格），用以下语句查看两个表同一 uid 的不同用户：

  SELECT 
      u.uid, 
      u.username AS ucenter_username, 
      c.username AS common_username
  FROM 
      pre_ucenter_members u
  JOIN 
      pre_common_member c ON u.uid = c.uid
  WHERE 
      u.username <> c.username

  Discuz! 用户登录都是以 UCenter 中的用户名为主，所以可以写个小程序直接将 pre_ucenter_members 的用户名同步到 pre_common_member 中，另外 pre_ucenter_members 的用户数少于 pre_common_member 是正常的。若 pre_common_member_archive 表遇到错误同理。

• 如果用户登录慢，或打开 UCenter 慢，是因为 UC 正在通知 DZ 改用户名，每次打开一个页面会更改一个用户名，具体可以查看 pre_ucenter_notelist 中 closed 为 0 的队列，或进入 UC 后台-数据列表-通知列表 查看。

• 【问题】发布主题遇到错误：(1062) Duplicate entry '*' for key 'pid'

  【原因】forum_post 中的 pid 不是自动增长的，而是由表 forum_post_tableid 中自动增长的 pid 生成的。如果生成的 pid 值已在 forum_post 表中存在，则会出现此错误。

• 【解决】迁移数据库时应关闭论坛，以防止 forum_post 表有新数据插入。

• 【问题】打开帖子页面 ./thread-***-1-1.html 显示 404 Not Found，而 ./forum.php?mod=viewthread&tid=*** 可以正常打开

  【原因】未配置伪静态（可在宝塔面板中选择）

• 【问题】打开 UCenter 时报错：UCenter info: MySQL Query Error SQL:SELECT value FROM [Table]vars WHERE name='noteexists'

  【解决】打开文件 ./uc_server/data/config.inc.php 配置数据库连接

• 【问题】打开登录 UCenter 后一片空白

  【解决】将目录 ./uc_server/data/ 设为可写

• 需要将原来安装的插件文件移回 ./source/plugin/ 目录，并设置可写；

• 界面-表情管理，界面-编辑器设置-Discuz!代码

后续 Discuz! X3.5 小版本升级注意事项：

1. 确认插件是否支持新版本（如短信通）

2. 先创建一个新网站测试二开代码

3. 保留 /config/、/data/、/uc_client/data/、/uc_server/data/、/source/plugin/，其它移入 old

4. 上传文件

5. 移回其它需要的文件，如：

6. -- 勋章/loading/logo/nv 等：/static/image/common/

7. -- 表情：/static/image/smiley/

8. -- 水印：/static/image/common/watermark.*

9. -- 风格：/template/default/style/t2/nv.png 等

10. -- 默认头像：/uc_server/images/noavatar_***.gif

11. -- 根目录 favicon.ico 等
    

12. -- 及其它非 DZ 文件

13. 再次检查可写目录的写入权限和禁止运行 PHP 效果。

要将一个服务公开给外部访问，必须开放端口，例举一些场景的端口映射：

• VMware 实现宿主机端口映射到虚拟机端口：

  打开 VMware 的菜单中的 编辑 - 虚拟网络编辑器，

  在弹出窗口中表格中的选中“NAT”项，点击下方的“NAT设置”（若无法操作需要先点击“更改设置”允许）

  在“NAT设置”中“添加”，填写主机端口和虚拟机端口、虚拟机IP地址。

  这样，宿主机就能访问到虚拟机中的服务了。

• 在 Windows 11 的防火墙中允许端口：

  在“设置”或“控制面板”中打开防火墙，“高级设置”

  在“入站规则”中“新建规则”

  选择“端口”并填写，完成。

  这样，局域网的其它电脑就能访问到这台 Windows 的服务了。

• 小米路由器：

  登录路由器，进入“高级设置”，

  切换到“端口转发”，添加规则，

  这样，外网就能通过路由器的外网IP来访问局域网中的内网服务了。
  

• 华为路由器 AX3 Pro：

  登录路由器，进入“更多功能”，

  展开“安全设置”，选择“NAT服务”，

  点击“+”号设置端口映射。

  这样，外网就能通过路由器的外网IP来访问局域网中的内网服务了。

• H3C ER3200G2 路由器：

  登录路由器，展开“高级设置”，“地址转换”，

  切换到“虚拟服务器”，“新增”，

  填端口和内部服务器IP，完成。

  这样，外网就能通过路由器的外网IP来访问局域网中的内网服务了。

宝塔面板中-安全-系统防火墙 功能非常丰富，特别是“地区规则”用来屏蔽来自国外的请求非常有用，那些通过 URL 来找网站漏洞的恶意请求大多来自国外。但是添加规则经常无反应

于是找到这个功能对应的配置文件：/etc/firewalld/zones/public.xml

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description>For use in public areas. You do not trust the other computers on networks to not harm your computer. Only selected incoming connections are accepted.</description>
  <service name="ssh"/>
  <service name="dhcpv6-client"/>
  <port protocol="tcp" port="80"/>
  <port protocol="tcp" port="443"/>
  <masquerade/>
  <rule family="ipv4">
    <source address="43.131.232.135"/>
    <drop/>
  </rule>
  <rule family="ipv4">
    <source address="103.150.11.45"/>
    <drop/>
  </rule>
  <rule>
    <source ipset="US"/>
    <drop/>
  </rule>
  <rule>
    <source ipset="GB"/>
    <drop/>
  </rule>
</zone>

修改完成后重启防火墙。

但是看到的效果好像并不一致，甚至有时候服务器重启后防火墙是关闭的，但是有时候又是生效的。

关键的问题是CPU占用异常高。

反正宝塔的系统防火墙功能挺好挺强大，但是用起来不稳定不顺手，有些暴殄天物了。

相关阅读：

系统防火墙添加规则转圈卡死

2024年8月30日补充 ：宝塔面板中配置禁用IP等规则时，提示保存成功或未提醒是否成功，但效果是未成功。其实在宝塔自己的配置里已经记录了（包含备注），但在系统防火墙配置文件中未更改成功，手动修改系统防火墙配置文件就能完全修改成功。（系统防火墙配置文件中没有备注信息，根据IP地址等规则与宝塔自己的配置文件里的记录关联后，在宝塔面板安全模块中展示出来就有备注了。）

2024年8月30日下午补充：在宝塔的软件商店找到这个应用，看到红色的说明，啥都明白了：

于是果断关闭了系统防火墙，开始研究其它替代方案。

1. 购买 ECS
   

2. 解析域名（非网站域名）、挂载磁盘（若有另购）、修改实例名称、主机名

3. 设置阿里云（重要）

4. 远程连接进入 ECS（若解析未生效可以先用 IP）（若新服默认使用 3389 端口，可先在安全组临时放行 3389 端口）

5. 开启 Windows 防火墙（使用推荐设置）
   

6. Windows 更新、并在高级选项中开启（更新 Windows 时接收其它 Microsoft 产品的更新）

7. 安装 IIS：服务器管理器-添加角色和功能-勾选“Web 服务器(IIS)”包括管理工具

   建议勾选：

   默认已勾选项

   按需安装 IP 和域限制

   常见 HTTP 功能（不建议安装 WebDAV 发布）

   跟踪（即“失败请求跟踪”）
   

   请求监视器、日志记录工具、

   按需安装 ASP
   

   按需安装 ASP.NET 4.8（会同时勾选 .NET Extensibility 4.8、ISAPI 扩展、ISAPI 筛选器）

   按需安装 WebSocket 协议

   应用程序初始化（建议安装）

   管理服务（用于 Web 部署）

8. 细节：设置任务栏；设置桌面图标；个性化-颜色-勾选“标题栏和窗口边框”；设置输入法；

9. 更改远程桌面端口

10. 按需安装：

    下载 URL 重写（文件名：rewrite_amd64_zh-CN.msi）

    下载 MySQL Connector/NET（文件名：mysql-connector-net-8.0.19.msi）
    

    下载 ASP.NET Core 运行时 Hosting Bundle（文件名：dotnet-hosting-*.*.*-win.exe）
    

    下载 .NET 桌面运行时 Windows x64（文件名：windowsdesktop-runtime-*.*.*-win-x64.exe）

    下载 Web Deploy（文件名：WebDeploy_amd64_zh-CN.msi）

11. 服务：设置“ASP.NET State Service”自动启动
    

12. IIS 日志：路径（如 D:\wwwlogs），每小时（统一设置一个全局的就行了，不需要设置每个网站），按需勾选“使用本地时间进行文件命名和滚动更新”

13. IIS 导入证书：个人、允许导出证书。参

14. 设置默认网站的 https

15. 设置权限：设置网站所在分区（如 D 盘），安全，添加 IIS_IUSRS，全部拒绝（防止跨站）

16. 添加用户：为每个网站创建用户（既能防止跨站，又能跟踪进程），密码不能改、不过期，仅隶属于 IIS_IUSRS，并添加到每个网站的根目录，若用户创建失败看这里。

17. 创建网站：设置访问物理路径的用户；设置应用程序池的“标识”用户；编辑绑定：勾选需要服务器名称指示；检查域名是否绑全；设置写入目录；

18. 重复上面两步

19. 检查所有网站用户是否仅隶属于 IIS_IUSRS（在“组”页面双击 Users 和 IIS_IUSRS 查看成员）

20. 在应用程序池列表页面检查 CLR 版本、管托管道模式和标识；在网站列表页面检查绑定和路径
    

21. 设置 Web 部署

22. 设置“IP 地址和域限制”

23. 废弃旧服时再次检查：IIS 中各功能设置、hosts、安装的应用程序、启动项、服务、防火墙等

24. 更改默认端口

25. 解析各网站域名

26. 其它：资源管理器-查看-选项-查看-去掉“始终显示图标，从不显示缩略图”前的勾

27. 再次检查阿里云设置

28. 私网中若有 ECS 的 hosts 中域名直接绑定到私网 IP 的，做相应更改

29. 在备份工具中添加该服务器的所有备份项

>> 关于域名解析

因各地域名解析生效时间不可控，一般国内域名 1 天内，国际域名 2 天内。

• 若网站数据库在 RDS、上传文件在 OSS，则解析 48 小时后直接停止原网站即可；（比较理想的）

• 文件上传到 ECS 的可使用 FTP 等工具定时同步文件，或直接停止原网站。（网友会遇到新文章中图片无法显示等问题）

• 还有一种方法是新网站提前解析一个备用域名，确保完全生效后再修改正式域名的解析，原网站无条件跳转到备用域名，如果数据库中有保存完整网址路径的，关闭原网站并解绑备用域名之后，进行批量替换。（缺点是可能会影响在搜索引擎的网站权重）

• 部分有定时器的网站要注意，如果两个网站的定时器都正常开启会导致意外的，需要停止其中一个网站的定时器。
  

当然每种方法都有优缺点，选择可以接受且方便的一种即可。

更多文章：

从零搭建一台阿里云 ECS（Alibaba Cloud Linux / CentOS / Linux）并迁移网站

默认端口带来安全隐患，建议更改为 50000-60000 之间的端口号。

Windows 远程桌面（RDP）(3389)

1. 在 Windows 防火墙中放行新端口：在“入站规则”中找到“Open RDP Port 3389”复制并粘贴该规则，修改端口和名称。

   若没有这个规则：新建规则 - 端口 - TCP - 特定本地端口（填写新的端口号）- 允许连接 - 名称

2. 如有其它防火墙或安全组也一并配置（如阿里云 ECS 的安全组）
   

3. 打开注册表（regedit），展开到：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp，右侧双击“PortNumber”切换到“十进制”，将 3389 改为新端口号

4. 重启生效

5. 在防火墙和安全组中禁止原默认端口

SSH (22) 之 CentOS

1. 从阿里云控制台登录服务器（如果未设置 root 密码则先设置），直接跳到第 4 步

2. 在外部防火墙中放行新的端口号（如阿里云 ECS 的安全组）

3. 在内部防火墙中放行新的端口号（如 firewalld 或 iptables），使用宝塔面板的直接在面板“安全”页面设置即可

4. 打开 SSH 配置文件

   sudo vi /etc/ssh/sshd_config

5. 找到并编辑 Port 行的商品号并启用

   #Port 22

6. 重新加载使生效

   sudo systemctl reload sshd

7. 在防火墙和安全组中禁止原默认端口

8. 建议使用 SSH 密钥对代替传统账号密码登录

FTP (21) 之 FileZilla Server Windows 版

1. 一般地，在 Windows Defender 防火墙中是以添加应用 filezilla-server.exe 的方式允许的，所以不需要更改端口。如果以端口方式允许的，那么在入站规则中允许新的端口。

2. 如有其它防火墙或安全组也一并配置（如阿里云 ECS 的安全组）

3. 打开 Administer FileZilla Server，打开菜单 - Server - Configure - Server listeners，右侧窗口中将 Port 改为新端口（强烈建议将 Protocol 改为“Require explicit FTP over TLS”，即禁止 FTP 协议，改为使用 FTPS 协议）

4. 从防火墙和安全组移除 21 端口

FTP (21) 之 Pure-Ftpd（宝塔面板）

1. 在防火墙中放行新的端口号（如阿里云 ECS 的安全组）

2. 进入宝塔面板，打开“安全”，添加端口规则 TCP

3. 在宝塔面板中进入软件商店，找到 Pure-Ftpd 并打开，切换到“配置修改”，搜索“Bind”，删除开头的“#”，将端口号 21 改为新端口号，保存（强烈建议将 TLS 项改为 2，即禁止 FTP 协议，仅允许 FTPS 协议）

4. 切换到“服务”选项卡，点击“重启”

5. 从防火墙和安全组移除 21 端口

MySQL (3306) 之阿里云云数据库 RDS MySQL 版

1. 打开控制台 RDS 实例页，左侧菜单点击“白名单与安全组”，切换到“安全组”查看正在使用的安全组ID

2. （若使用了安全组）打开控制台 ECS 首页，左侧菜单点击“安全组”，找到这个安全组，放行新的端口

3. 打开控制台 RDS 实例页，左侧菜单点击“数据库连接”，点击“修改连接地址”，在弹出框中修改端口

4. 从防火墙和安全组移除原端口（确保没有其它实例正在使用此端口）

PolarDB (3306)

1. 打开控制台 PolarDB 集群实例页，左侧菜单点击“集群白名单”，切换到“安全组”查看正在使用的安全组ID

2. （若使用了安全组）打开控制台 ECS 首页，左侧菜单点击“安全组”，找到这个安全组，放行新的端口

3. 打开控制台 PolarDB 集群实例页，左侧菜单点击“基本信息”，点击“主地址”和“集群地址”的“配置”，在“网线信息”中点击“更多”更改端口

4. 从防火墙和安全组移除原端口（确保没有其它实例正在使用此端口）
   

MSSQL (1433) 之阿里云云数据库 RDS SQL Server 版

1. 打开控制台 RDS 实例页，左侧菜单点击“白名单与安全组”，切换到“安全组”查看正在使用的安全组ID

2. （若使用了安全组）打开控制台 ECS 首页，左侧菜单点击“安全组”，找到这个安全组，放行新的端口

3. 打开控制台 RDS 实例页，左侧菜单点击“数据库连接”，点击“修改连接地址”，在弹出框中修改端口

4. 从防火墙和安全组移除原端口（确保没有其它实例正在使用此端口）
   

Redis (6379) 之阿里云云数据库 Redis 版

1. 打开控制台 Redis 实例页，左侧菜单点击“白名单设置”，切换到“安全组”查看正在使用的安全组ID

2. （若使用了安全组）打开控制台 ECS 首页，左侧菜单点击“安全组”，找到这个安全组，放行新的端口

3. 打开控制台 Redis 实例页，在“连接信息”中点击“修改连接地址”，在弹出框中修改端口

4. 从防火墙和安全组移除原端口（确保没有其它实例正在使用此端口）
   

宝塔面板 (8888)

1. 在防火墙中放行新的端口号（如阿里云 ECS 的安全组），或直接在私网其它 ECS 上的浏览器上直接访问原 8888 端口的地址

2. 进入宝塔面板，打开面板设置，切换到“安全设置”页，找到“面板端口”，点击“设置”

3. 在防火墙和安全组中禁止原默认端口

IIS 管理服务（Web 部署）(8172)

1. 在 Windows 防火墙中放行新端口：在“入站规则”中找到“Web 管理服务(HTTP 流量入站)”因其为预定义规则且复制也无法修改，所以按其设置新建一个，并指定新的端口。

2. 如有其它防火墙或安全组也一并配置（如阿里云 ECS 的安全组）

3. 打开 IIS 管理器 - 管理服务，右侧停止，左侧修改端口，右侧启动

4. VS 中发布配置修改“服务器(E)”项添加端口

5. 在防火墙和安全组中禁止原默认端口

查询占用带宽的设备 IP 地址：

查看 IP 地址对应的 MAC 地址：

或

IP 流量限制：

端口映射：

本文将详细介绍 stable diffusion webui 的下载、安装及问题解决。
Stable Diffusion 是 2022 年发布的深度学习文本到图像生成模型。它主要用于根据文本的描述产生详细图像，尽管它也可以应用于其他任务，如内补绘制、外补绘制，以及在提示词（英语）指导下产生图生图的翻译。它是一种潜在扩散模型，由慕尼黑大学的 CompVis 研究团体开发的各种生成性人工神经网络。它是由初创公司 StabilityAI，CompVis 与 Runway 合作开发的，并得到 EleutherAI 和 LAION 的支持。
其它问题请参考：

• 运行使用时问题《Windows 使用 Stable Diffusion 时遇到的各种问题整理》；

• 模型运用及参数《Stable Diffusion 个人推荐的各种模型及设置参数、扩展应用等合集》；

• 提示词生图咒语《Stable Diffusion 提示词词缀使用指南（Prompt）》；

• 不同类的模型Models说明《解析不同种类的 Stable Diffusion 模型 Models》；

• 绘制人物动作及手脚细节《Stable Diffusion 准确绘制人物动作及手脚细节（需 ControlNet 扩展）》；

• 各种风格对比及实际运用《AI绘图风格对照表/画风样稿详细研究记录及经验总结》；

一、环境准备

（一）硬件方面：

1. 显存

4G 起步，4G 显存支持生成 512*512 大小图片，超过这个大小将卡爆失败。

2. 硬盘

10G 起步，模型基本都在 5G 以上，有个 30G 硬盘不为过吧？现在硬盘容量应该不是个问题。

（二）软件方面：

1. Git

https://git-scm.com/download/win
下载最新版即可，对版本没有要求。

2. Python

https://www.python.org/downloads/
截止发稿（2023.3.6）时，最高版本只能用 3.10.*，用 3.11.* 会出问题。

3. Nvidia CUDA

https://developer.download.nvidia.cn/compute/cuda/11.7.1/local_installers/cuda_11.7.1_516.94_windows.exe
版本 11.7.1，搭配 Nvidia 驱动 516.94，可使用最新版。

4. stable-diffusion-webui

https://github.com/AUTOMATIC1111/stable-diffusion-webui
核心部件当然用最新版本~~但注意上面三个的版本的兼容性。

5. 中文语言包

https://github.com/VinsonLaro/stable-diffusion-webui-chinese
下载 chinese-all-0306.json 和 chinese-english-0306.json 文件

6. 扩展（可选）

https://github.com/Mikubill/sd-webui-controlnet
下载整个 sd-webui-controlnet 压缩包

https://huggingface.co/Hetaneko/Controlnet-models/tree/main/controlnet_safetensors
https://huggingface.co/lllyasviel/ControlNet/tree/main/models
https://huggingface.co/TencentARC/T2I-Adapter/tree/main
试用时先下载第一个链接中的 control_openpose.safetensors 或 第二个链接中的 control_sd15_openpose.pth 文件

7. 模型

https://huggingface.co/models
https://civitai.com
可以网上去找推荐的一些模型，一般后缀名为 ckpt、pt、pth、safetensors ，有时也会附带 VAE（.vae.pt）或配置文件（.yaml）。

这里可以学习一下模型的基本概念《解析不同种类的 Stable Diffusion 模型 Models，再也不用担心该用什么了》

二、安装流程

1. 安装 Git

就正常安装，无问题。

2. 安装 Python

建议安装在非 program files、非 C 盘目录，以防出现目录权限问题。
注意安装时勾选 Add Python to PATH，这样可以在安装时自动加入 windows 环境变量 PATH 所需的 Python 路径。

3. 安装 Nvidia CUDA

正常安装，无问题。

4. 安装 stable-diffusion-webui

国内需要用到代理和镜像，请按照下面的步骤操作：

a) 编辑根目录下 launch.py 文件
将 https://github.com  替换为 https://ghproxy.com/https://github.com，即使用  Ghproxy 代理，加速国内 Git。
如图将代码中所有类似地址都改掉（注意：不仅仅是图中所展示的这些）。

b) 执行根目录下 webui.bat 文件
根目录下将生成 tmp 和 venv 目录。

c) 编辑 venv 目录下 pyvenv.cfg 文件
将 include-system-site-packages = false 改为 include-system-site-packages = true。

d) 配置 python 库管理器 pip
方便起见，在 \venv\Scripts 下打开 cmd 后执行如下命令：

pip config set global.index-url https://mirrors.aliyun.com/pypi/simple/ # 镜像
pip freeze > requirements_versions.txt # 创建文件
pip install -r requirements_versions.txt # 执行此条命令前，请检查你的剩余磁盘空间
pip install xformer # 如果不执行此条命令，启动 Stable Diffusion 时可能会出现错误。xformer 还可以在后续使用中降低显卡占用。

xformer 会安装到 \venv\Lib\site-packages 中，安装失败可以用 pip install -U xformers 命试试。

e) 安装语言包
将文件 chinese-all-0306.json 和 chinese-english-0306.json 放到目录 \localizations 目录中。
运行 webui 后进行配置，操作方法见下。

f) 安装扩展（可选）
将 sd-webui-controlnet 解压缩到 \extensions 目录中。
将 control_sd15_openpose.pth 文件复制到 /extensions/sd-webui-controlnet/models 目录中。
不同的扩展可能还需要安装对应的系统，比如 controlnet 要正常使用则还需要安装 ffmpeg 等。

g) 安装模型
下载的各种模型放在 \models\Stable-diffusion 目录中即可。

h) 再次执行根目录下 webui.bat 文件
用浏览器打开 webui.bat 所提供的网址即可运行。

其中提供了网址：http://127.0.0.1:7860。

打开该网址后在 Settings -> User interface -> Localization (requires restart) 设置语言，在菜单中选择 chinese-all-0220（前提是已经在目录中放入了对应语言包，见上），点击 Apply Settings 确定，并且点击 Reload UI 重启界面后即可。

好了，现在可以开始使用了~~

三、问题及注意点

1. python 版本错误

错误：


ERROR: Could not find a version that satisfies the requirement torch==1.13.1+cu117
ERROR: No matching distribution found for torch==1.13.1+cu117

这是由于 python 版本不对导致的（上面提过了，截止发稿时不能追求新版本），要用 python 3.10.* 版本。
解决来源：https://github.com/AUTOMATIC1111/stable-diffusion-webui/issues/7166

2. pip版本错误

警告：

[notice] A new release of pip available: 22.3.1 -> 23.0.1
[notice] To update, run: D:\stable-diffusion-webui\venv\Scripts\python.exe -m pip install --upgrade pip

提示中已经给出了解决方案：
在 \venv\Scripts\ 目录中打开 cmd，执行

python.exe -m pip install --upgrade pip

3. 安装或执行停滞

如果在执行 webui.bat 进行包下载安装时或者生成图片时会卡很久都没反应，那么这时可以复制包名，进入 python 安装目录或 \venv\Scripts\ 目录中打开 cmd，执行

pip install 包名

也可以通过任务管理查看网络状态，如果网络在玩命下载，那么就等着吧~~

4. xFormers 安装不上

很多同学都反应 xformers 无法安装，可以用以下的方法试试：

• 检查 Dreambooth 要求的 Python 版本：
  如果您的 Python 版本低于 3.6，请安装最新的 Python 版本，并重复尝试安装 xformers。

# 据此可以在终端中运行以下命令，以检查您的 Python 版本：
python --version

• 安装依赖项：xformers 有许多依赖项，如果这些依赖项没有正确安装可能会导致升级失败。您可以尝试安装以下依赖项：

pip install numpy scipy torch torchaudio transformers

• 清除 pip 缓存并重新安装：

# 清除 xformers 缓存：运行以下命令清除 xformers 缓存。
pip uninstall -y xformers
pip cache purge

# 更新 pip：确保您正在使用最新版本的 pip，可以运行以下命令更新 pip。
pip install --upgrade pip

# 安装 xformers：在清除了缓存并更新了 pip 之后，重新安装 xformers。
pip install xformers

• 手动安装 xformers 指定版本
  如果上述步骤仍然无法解决问题，可尝试手动安装 Dreambooth 所需的 xformers 版本。在 Dreambooth 的文档中，可以找到 xformers 的版本要求。

pip install xformers==0.0.17.dev465

• 使用 conda 环境
  如果您使用的是 conda 环境，请尝试在 conda 环境中安装 xformers。

# 创建 conda 环境
conda create --name myenv

# 激活 conda 环境并安装 xformers
conda activate myenv
pip install xformers

• 网络问题
  如果已经配置好了代理，就不要考虑这个了。
  检查网络连接：请确保您的计算机与互联网连接，并且网络连接没有被防火墙或代理服务器阻止：

# 检查网络连接是否正常
ping google.com

• 非必要
  你确定需要使用 xformers 么？如果不需要，可以在 webui-user.bat 中把 --xformers 去掉试试。

• 其它
  如果上述方法还是无法解决问题，请尝试在 OpenAI 的论坛或者 Dreambooth 的 GitHub 页面上寻求更多帮助。-_-!

5. 其他安装问题

删除 /tmp 和 /venv 目录后重启 webui.bat 试试。

6. 硬件问题

一般显卡不达标，就会爆卡，解决办法就是编辑根目录下 webui-user.bat 文件，试一下修改参数 COMMANDLINE_ARGS 即可。

以下几个设置逐一测试看看哪个适合自己。

set COMMANDLINE_ARGS=--lowvram --precision full --no-half --skip-torch-cuda-test
set COMMANDLINE_ARGS=--lowvram --precision full --no-half
set COMMANDLINE_ARGS=--lowvram

本机显存 4G，使用最后一个配置方法，可以烧出 2048*1080 的图，前两种方法反而会在最后爆卡。

最后，预祝各位成功~~

dog drink~~ where is dog?

参考：
【AI 繪畫】Stable-Diffusion 通過骨架分析插件 ControlNet 來製作超有意境的圖片
Stable Diffusion 2.1 + WebUI 的安装与使用（极详细）
低配显卡想玩 Stable Diffusion？修改一个配置就行
整合包