更新：2025-11-08
踩坑，不选小 idc 还是有原因的，总是有些地方给你埋雷
为什么这 IDC 限制了 UDP 53 端口的流量出站，什么乱七八糟的奇奇怪怪的审计
云上防火墙和本地检查过了，就是公网流量出口进行的阻断

root@kk-0uvyx32w7b1ci9ex2jqv:~# nc -vzu 119.29.29.29 53
Connection to 119.29.29.29 53 port [udp/domain] succeeded!

; <<>> DiG 9.18.39-0ubuntu0.24.04.2-Ubuntu <<>> +tcp @114.114.114.114 www.baidu.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 16777
;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.baidu.com.                 IN      A

;; ANSWER SECTION:
www.baidu.com.          378     IN      CNAME   www.a.shifen.com.
www.a.shifen.com.       304     IN      A       180.101.51.73
www.a.shifen.com.       304     IN      A       180.101.49.44

前面还没什么问题，UDP 53 端口 可以建立 socket
但是下面这里直接 timetou 超时没有收到响应

root@kk-0uvyx32w7b1ci9ex2jqv:~# dig @119.29.29.29 www.baidu.com
;; communications error to 119.29.29.29#53: timed out
;; communications error to 119.29.29.29#53: timed out
;; communications error to 119.29.29.29#53: timed out

; <<>> DiG 9.18.39-0ubuntu0.24.04.2-Ubuntu <<>> @119.29.29.29 www.baidu.com
; (1 server found)
;; global options: +cmd
;; no servers could be reached

改为强制 tcp 发起 DNS 请求，成功请求收到响应

dig +tcp @114.114.114.114 www.baidu.com
;; ANSWER SECTION:
www.baidu.com. CNAME ... A 180.101.51.73 ...

进一步验证

root@kk-0uvyx32w7b1ci9ex2jqv:~#tcpdump -i ens3 port 53

返回

tcpdump: verbose output suppressed, use -v[v]... for full protocol decode listening on ens3, link-type EN10MB (Ethernet), snapshot length 262144 bytes
listening on ens3, link-type EN10MB (Ethernet), snapshot length 262144 bytes
15:33:46.190561 IP 11.45.1.4.44785 > 8.8.8.8.domain: 25011+ [1au] AAAA? super.2k5u.ru. (42)
15:33:46.190646 IP 11.45.1.4.57725 > 8.8.8.8.domain: 60139+ [1au] A? super.2k5u.ru. (42)
15:33:46.263020 IP 11.45.1.4.51810 > 119.29.29.29.domain: 42431+ PTR? 8.8.8.8.in-addr.arpa. (38)
15:33:51.190713 IP 11.45.1.4.42433 > 8.8.8.8.domain: 60373+ [1au] AAAA? super.2k5u.ru. (42)
15:33:51.190831 IP 11.45.1.4.37330 > 8.8.8.8.domain: 59293+ [1au] A? super.2k5u.ru. (42)
15:33:51.268096 IP 11.45.1.4.50456 > 119.28.28.28.domain: 42431+ PTR? 8.8.8.8.in-addr.arpa. (38)
15:33:56.192066 IP 11.45.1.4.34285 > 8.8.8.8.domain: 44184+ [1au] A? super.2k5u.ru. (42)
15:33:56.192082 IP 11.45.1.4.52712 > 8.8.8.8.domain: 21947+ [1au] AAAA? super.2k5u.ru. (42)
15:33:56.273142 IP 11.45.1.4.51810 > 119.29.29.29.domain: 42431+ PTR? 8.8.8.8.in-addr.arpa. (38)
15:34:01.278193 IP 11.45.1.4.50456 > 119.28.28.28.domain: 42431+ PTR? 8.8.8.8.in-addr.arpa. (38)
15:34:02.193458 IP 11.45.1.4.59480 > 8.8.8.8.domain: 39921+ [1au] A? super.2k5u.ru. (42)
15:34:02.193471 IP 11.45.1.4.32990 > 8.8.8.8.domain: 22537+ [1au] AAAA? super.2k5u.ru. (42)
15:34:26.292202 IP 11.45.1.4.54875 > 119.29.29.29.domain: 32963+ PTR? 29.29.29.119.in-addr.arpa. (43)
15:34:46.310143 IP 11.45.1.4.43962 > 119.29.29.29.domain: 18564+ PTR? 28.28.28.119.in-addr.arpa. (43)
15:34:49.198476 IP 11.45.1.4.49400 > 8.8.8.8.domain: 45303+ [1au] AAAA? super.2k5u.ru. (42)
15:34:49.198486 IP 11.45.1.4.46209 > 8.8.8.8.domain: 1052+ [1au] A? super.2k5u.ru. (42)
15:35:10.200239 IP 11.45.1.4.54494 > 8.8.8.8.domain: 9189+ [1au] AAAA? super.2k5u.ru. (42)
15:35:10.200319 IP 11.45.1.4.40901 > 8.8.8.8.domain: 3584+ [1au] A? super.2k5u.ru. (42)
15:35:15.200591 IP 11.45.1.4.48566 > 8.8.8.8.domain: 21855+ [1au] A? super.2k5u.ru. (42)
15:35:15.200665 IP 11.45.1.4.53770 > 8.8.8.8.domain: 16087+ [1au] AAAA? super.2k5u.ru. (42)

查询包全部发出去了，目标是 8.8.8.8、119.29.29.29、119.28.28.28 等公共 DNS，但是没有返回 DNS 响应包，懒得怼工单客服了

我还测试了国内其他著名的公共 DNS，也是如此，很明显 IDC 对 UDP DNS 出口请求的限制，且不区分国内外方向
最后只能让系统强制走 TCP DNS 或 DoH/DoT，修改 /etc/systemd/resolved.conf

[Resolve]
DNS=1.1.1.1
FallbackDNS=8.8.8.8
DNSOverTLS=yes

重启 systemctl restart systemd-resolved
统一指向 systemd-resolved stub resolver (127.0.0.53)

rm /etc/resolv.conf
ln -s /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf

后面能 ping 域名了
但是代理端也得跟着改，所有基于 UDP 协议的 DNS 字段配置都得改。以 clash 为例

DNS 相关配置修改为

  default-nameserver:
    - tcp://4.2.2.2
    - tcp://4.2.2.1
  nameserver:
    - tcp://119.29.29.29
    - tcp://119.28.28.28
  fallback:
    - tcp://1.0.0.1
    - tcp://8.8.4.4

重新构建编译拉取依赖，没问题了

快快网络 厦门电信
R9-9950x
2c4g
10 Mbps
30 GB PCIe NVMe SSD
Ubuntu_24.04_x64

从没用过这么好的 CPU o(￣︶￣)o

fio Disk Speed Tests (Mixed R/W 50/50)

Block Size | 512k          (IOPS) | 1m            (IOPS)
  ------   | ---            ----  | ----           ---- 
Read       | 771.77 MB/s   (1.5k) | 753.92 MB/s    (736)
Write      | 812.77 MB/s   (1.5k) | 804.13 MB/s    (785)
Total      | 1.58 GB/s     (3.0k) | 1.55 GB/s     (1.5k)

iperf3 Network Speed Tests (IPv4):

Geekbench 6 Benchmark Test:

---------------------------------
Test            | Value                         
                |                               
Single Core     | 2744                          
Multi Core      | 4724                          
Full Test       | https://browser.geekbench.com/v6/cpu/14647484


----------

在一众均值里面算是中等，但也是十分哇塞的跑分和性能，以前过得都是什么苦日子 o(╥﹏╥)o
这里看到一个也是 2c 的 r9 9950x：https://browser.geekbench.com/v6/cpu/14734027
单双核得分：3428/5990

用过一些杂牌小厂，甚至怀疑过是 OneMan ....，因为他们的网页 UI 一眼就知道是 智简魔方 搭建的公有云平台，母鸡 CPU 具体不详，写个 E5v2 不带具体型号的都是有点良心的了，所以小厂的 vCPU 数量也就没了意义，并且毫无意外的都是使用低频 CPU 并核心数作为卖点宣传，垃圾营销策略和节省成本的手段

即使如此，我一般也不会特地去跑分测试服务器性能，纯粹是商家不当人，编译一些东西太慢太慢太慢了，花费时间是我预期时间的 5 倍 +，才去测试

比如某杂牌小厂云，卖的是 4c4g
宿主机 Intel 金牌 CPU Gold 6152
正常情况下单核 900 -1100
测了 GB5 单核 384，多核 1310
讲个笑话，远古 CPU E5v2 都有 400 分+ 水平

发工单得到人机客服回复
服务器虚拟化后，CPU 性能会有一定损失，云服务器的核心单位是 vCPU，也就是虚拟核（线程），并没有存在超售的情况
虚拟化后的 CPU 频率是不支持超频的，跑不到睿频的单核性能

脸都不要了那没办法了
虚拟化正常情况下损失在 3%～10%，这个多倍差距看样子打脸还不够响

• 其他参考
  宿主母机 Intel(R) Xeon(R) Platinum 8255C CPU @ 2.50GHz
  腾讯云轻量服务器
  2c4g
  Ubuntu 24.04.3

Geekbench 6 Benchmark Test:
---------------------------------
Test            | Value                         
                |                               
Single Core     | 1116                          
Multi Core      | 1308                          
Full Test       | https://browser.geekbench.com/v6/cpu/14648496