vaultwarden 部署在个人家庭网的服务器内，WireGuard 实现公网的加密访问（类似内网穿透的效果）。

这个方案的目的：

1. 数据私有化。数据是完全存储在我自己的服务器，自己的硬件上的。
2. 可在多个设备、任何地点安全的访问（公网访问）。每个设备独立一份 WireGuard 配置，需通过客户端加入 WireGuard 网络后才能访问到 vaultwarden 服务器（网络层面）。

本身 WireGuard 起到了认证和加密通信的作用。WireGuard 协议的设计是无状态（你需要知道 WireGuard 服务器上的公钥，才能发现我的 WireGuard 服务），应对服务探测、安全渗透、DoS 攻击都很不错（作为所有内网服务的公网入口是一个不错的选择）。

各位如果想实现上面两点，不妨试试 WireGuard + Vaultwarden + 私有服务器 的方案。

在虚拟化构建虚拟的集群
ansible/saltstack 写代码
code review/虚拟集群内走一遍
基本上后面也不会有太大的风险

主要是做什么操作？

可以看看 Arch Linux DevOps Team 的思路：

https://gitlab.archlinux.org/archlinux/infrastructure/-/tree/master/playbooks?ref_type=heads

基本上他们的服务都在这了。

Arch Linux + KVM + QEMU + libvirtd + virsh

https://blog.jinmiaoluo.com/posts/virsh-tips/

ios & macos: https://git.zx2c4.com/wireguard-apple

可以参考： https://git.zx2c4.com/wireguard-android

@cong 虽然，但是，西西弗斯

请问联系方式是？

@FlytoSirius 挺认同的，特别是上到一定的规模，且业务本身对质量有很迫切的需求。哈哈哈，有这样的团队介绍一下吗，我要去应聘

对于关键服务的服务器，有效的备份系统是保证长期（几年到几十年）运行很重要的一环，这里面会有备份策略，成本，有效性的考量。

@mzfbwu 备份系统：borg restic

@sacuba

> 感觉你的 key 都是可用的，建议隐藏一下

有意为之。key 相关的公网（内网）服务器是临时资源，验证完文章的正确性后就回收了。保持 key 的可用，可以让文章的读者更顺利的复现。

@sacuba 哈哈哈，我现在才明白你想跟我表达的意思。

@hallomou 阿里云张家口节点 2C0.5G T6 实例，5 年 300 元，折合每年 60 元（其他机房会贵一点，100 每年）。100 元里面不包含流量费（按量付费，0.8 元/G ，80Mbits/sec ）

自建，阿里云 T6 实例（ 2C0.5G)，每年 100 元，流量按量付费（峰值带宽 80Mbits/sec ），足够支撑一整个团队了。

- https://blog.jinmiaoluo.com/posts/wireguard-remote-development-network/
- https://blog.jinmiaoluo.com/posts/wireguard-leased-line-for-private-cloud/