yinmin

另外，公司生产环境建议不要使用 Let's Encrypt 免费证书。因为某些地方在某些时期会无法访问使用 Let's Encrypt 证书的网站。公司生产环境还是购买收费证书稳妥。

证书不会在客户端缓存的。iOS 访问 https 优先使用 ECH ，其他的操作系统一般不会优先使用 ECH 。我猜测，也许你的问题是 ECH 配置错误造成的。

找一个 dig 版本较新的 (ubuntu 20.04 或者 debian 11 以上)，运行：
dig @223.5.5.5 subdomain.yourdomain.com https 看配置是否有问题。

举一个示例：查看 www.cloudflare.com 的 ECH
dig @223.5.5.5 www.cloudflare.com https
结果是：
www.cloudflare.com. 1 IN HTTPS 1 . alpn="h3,h2" ipv4hint=104.16.123.96,104.16.124.96 ipv6hint=2606:4700::6810:7b60,2606:4700::6810:7c60

iOS 会使用 ipv4hint 和 ipv6hint 的地址去访问服务器，不再使用 A/AAAA 记录。如果你的 DNS type65( https)配置有误，或者是 DNS type65 的 ttl 有误，会导致 iOS 连接了发生错误。

hyper-v 与 vmware 比，优点：windows 内置、动态内存、相对轻量些； 缺点是：不支持 usb 设备、没 3D 加速(只有 N 卡的部分型号可以配置虚拟 GPU)

@imjiaoyuan #14 担心内存问题，就用 hyper-v 。hyper-v 支持动态内存的，推荐开机内存 2GB 或 3GB ，最大内存 8G 或 16GB 。虚拟机关闭应用程序释放内存，过几分钟虚拟机内存会归还给宿主机统一调配的。

(win 对小内存有优化，你可以对比一下开机内存 2GB 和 4GB ，虚拟机进程数量和占用内存还是有很大差别的)

接#12 docker 容器尽量基于 debian 或 ubuntu ，不推荐 alpine 。

debian/ubuntu 基础镜像默认是不含网络工具的（没有 ping 、wget 、curl 、nc 等），黑客利用漏洞入侵时往往需要用到这些工具。

alpine 基础镜像有 busybox 功能太多，有 wget 、nc 、ping 都是黑客的最爱，黑客注入 shell 入侵时会用到 wget 、nc 等工具。