快连Linux端CLI命令行如何配置静默后台代理？

功能定位：为什么需要“静默后台代理”

在服务器、NAS、树莓派等无图形界面场景，kuailian的Linux CLI若以前台方式运行，SSH断开后进程随即退出，网络也随之掉线。静默后台代理（headless daemon）把核心引擎转为守护进程，支持开机自启、故障自恢复，并通过本地REST 8945端口暴露状态，方便Ansible、Cron等脚本调用。

与桌面端“一键连接”相比，CLI模式剔除了Qt/WebEngine依赖，内存占用下降约40%，适合长期挂机；代价是需手动维护配置文件与路由表，误操作可能造成远程失联，务必提前准备带外管理口或IPMI。

前置条件与版本边界

截至当前最新版本（5.3.1），官方已将守护模式代码合并进主线，无需单独编译。系统需≥systemd 239、内核≥4.14，且已安装iproute2、iptables-nft或nftables。Debian 11+/Ubuntu 22.04+/CentOS 8 Stream可直接使用deb/rpm包；Alpine需切换glibc仓库，否则会出现Protocol not supported错误。

安装与最小可用配置

1. 下载仓库并校验签名

curl -fsSL https://repo.kuailian.io/linux/debian/gpg | gpg --dearmor | sudo tee /etc/apt/trusted.gpg.d/kuailian.gpg
echo "deb [arch=amd64] https://repo.kuailian.io/linux/debian stable main" | sudo tee /etc/apt/sources.list.d/kuailian.list
sudo apt update && sudo apt install kuailian-cli

2. 生成最小配置文件

首次运行会交互式提示登录，但CI场景需要无交互，因此先手动创建/etc/kuailian/config.json：

{
  "account": {
    "login": "[email protected]",
    "passwd_cmd": "cat /etc/kuailian/.sshpass"   // 避免明文密码，用文件权限400保护
  },
  "daemon": {
    "enabled": true,
    "restPort": 8945,
    "logLevel": "warn",        // 可选debug/info/warn/error
    "logFile": "/var/log/kuailian-daemon.log"
  },
  "tunnel": {
    "proto": "lightwire",      // 回退wireguard需手动写"wireguard"
    "multiHop": 0,             // 0表示单跳，节省延迟
    "killSwitch": true         // 系统级防火墙，掉线0秒断网
  }
}

保存后执行chmod 600 /etc/kuailian/config.json，防止其他用户读取。

注册为systemd服务

官方包已自带单元文件，但默认未启用。执行：

sudo systemctl enable --now kuailian-daemon

若需自定义环境变量（如http_proxy），可创建override：

sudo systemctl edit kuailian-daemon
# 输入：
[Service]
Environment="HTTP_PROXY=http://127.0.0.1:7890"
Environment="NO_PROXY=localhost,127.0.0.1,10.0.0.0/8"

验证守护进程是否真正“静默”

1. 检查监听端口：ss -tlnp | grep 8945应返回users:(("kuailian-daemon",pid=xxx,fd=xx))。
2. 查看出口IP：curl -4 https://ifconfig.me，与官网节点列表比对，确认已切换。
3. 观察日志：journalctl -u kuailian-daemon -n 50，若出现Handshake latency 32 ms字样，说明LightWire隧道已就绪。

经验性观察：在2 vCPU/2 GB内存的KVM小鸡上，守护进程常驻RSS约38 MB；若把logLevel调到debug，日志量每小时可膨胀至20 MB，长期运行建议warn或error。

性能与成本取舍：何时不该用

场景	建议	原因
OpenVZ 6/7 老架构	放弃	内核缺少WireGuard模块，且TUN/TAP需手动开启，稳定性差。
月流量<100 MB的IoT采集节点	用反向代理即可	守护进程38 MB常驻，比业务本身还重，不划算。
需要固定出口IP的支付接口	锁定单节点+关闭AI预诊	AI预诊会在晚高峰自动切点，导致IP变化，支付网关容易风控。

自动化脚本示例：定时测速并切换

利用REST 8945端口，可写一行Bash实现“延迟>200 ms就换节点”：

#!/bin/bash
TOKEN=$(curl -s -X POST http://127.0.0.1:8945/api/v1/login \
  -d '{"username":"[email protected]","password":"'$(cat /etc/kuailian/.sshpass)'"}' \
  | jq -r .token)
LAT=$(curl -s -H "Authorization: Bearer $TOKEN" \
  http://127.0.0.1:8945/api/v1/tunnel/stats | jq -r .latency)
if (( $(echo "$LAT > 200" | bc -l) )); then
  curl -X POST -H "Authorization: Bearer $TOKEN" \
    http://127.0.0.1:8945/api/v1/tunnel/switch -d '{"region":"auto"}'
fi

把脚本放进/etc/cron.d/kuailian-latency，每5分钟跑一次，即可在晚高峰自动逃生。若节点池全部拥堵，脚本会无限循环切点，建议加每日最大切换次数上限（如10次），避免账号被风控。

故障排查速查表

现象：systemctl start后一直“activating”

原因：账户密码错误，守护进程反复重登。验证：执行journalctl -u kuailian-daemon | grep -i "login fail"，若出现code 401，需重新写入正确密码。

现象：curl能上网，apt update报“Temporary failure”

原因：IPv6未分流，apt优先AAAA记录。处置：在config.json的splitTunnel里把ipv6 = false，或echo 'Acquire::ForceIPv4 "true";' > /etc/apt/apt.conf.d/99force-ipv4。

现象：守护进程占用CPU 100%

原因：开debug且QPS高，日志写入阻塞。处置：logLevel改error，并把logFile指向/dev/null，重启服务。

FAQ（使用FAQPage Schema）

最佳实践清单（可打印）

1. 首次配置先在本地VM验证，确认systemctl restart三次无失联再上生产。
2. 把config.json纳入git，但用git-crypt或sops加密密码字段，CI/CD拉取时自动解密。
3. 开启logLevel=warn，并配置logrotate，防止/var/log撑爆。
4. 对支付/邮件API，把对应域名写进splitTunnel的“锁定出口”列表，避免AI预诊切点。
5. 每月手动触发一次systemctl stop; sleep 10; systemctl start，验证killSwitch是否残留规则。

收尾：下一步行动

至此，快连Linux端CLI的静默后台代理已可稳定运行。建议先在测试机跑满24小时，观察延迟、CPU、日志量三项指标，确认符合预期后再批量推送至生产集群。若需进一步集成Prometheus，可抓取8945端点的/metrics路径（5.3.1已暴露tunnel_latency_seconds、bytes_sent等），结合Grafana面板实现可视化。

遇到官方版本更新，先用apt list --upgradable | grep kuailian查看changelog，确认无破坏性变更再升级；升级前记得systemctl edit备份override文件，避免端口或环境变量被覆盖。祝你配置顺利，保持在线。