作者： zsj

中科大开源镜像站（mirrors.ustc.edu.cn）服务器拟定于今天（北京时间2018年2月27日）晚上 23:30 至 23:59 进行停机维护。届时，HTTP/HTTPS 访问将被重定向到其它站点上，rsync 服务将指向清华 TUNA 镜像站（mirrors.tuna.tsinghua.edu.cn），git、ftp 服务将无法使用。

于 2018年2月28日 01:31 维护完成。

由于 Debian 将给 <CC>.debian.org 域名设置 CAA 记录，并禁止给 *.<CC>.debian.org 签署 HTTPS 证书，所以我们无法再提供 https://ftp.cn.debian.org 的访问。

由于国内 ISP 经常会错误地缓存镜像站的内容，所以我们不鼓励用户使用 HTTP 访问镜像站，请大家把地址更改为 https://mirrors.ustc.edu.cn

目前 ftp.cn.debian.org 的证书将于 2017年10月28日 过期，我们会在此之前取消 https://ftp.cn.debian.org 的访问。

备注：镜像站的安全性不靠 HTTPS 保证，提供 HTTPS 访问仅为了避免 ISP 错误缓存内容，引起各种缓存不一致的问题。

Debian 的公告见 https://lists.debian.org/debian-mirrors-announce/2017/09/msg00000.html，以下为邮件摘录：

Hi,

the debian mirrors team needs to be able to point the
ftp.<CC>.debian.org aliases at different backends based on their status.
As such, the only service that is guaranteed to be available at these
names is HTTP. Offering HTTPS on these names means breakage whenever
they are pointed at a different mirror.

Accordingly, we have set CAA records (RFC 6844) on the <CC>.debian.org
domains to disallow any certificate issuance, and we’d like to ask
mirror operators who were offering HTTPS under these names to stop doing
so. They are of course free to continue offering the service under a
non-debian.org domain name.

Thanks,
Julien

我们将于北京时间 2017-04-26 24:00 对镜像站进行软件升级，届时所有服务将暂停，预计持续 30 分钟，望周知。

04-27 0:30 维护时间延长1小时

04-27 1:10 软件升级失败，已回滚，服务恢复

我们将于北京时间 2017-04-27 24:00 对镜像站重新进行软件升级，届时所有服务将暂停，预计持续 1 小时，望周知。

04-28 0:30 软件升级成功，服务恢复

监控显示 Mirrors 于  3-17 7:30 无法访问，域名已于 10:41 切换到备用服务器，所有请求将转跳到其他可用镜像站。

2017-03-17 12:21 更新:

Mirrors 暂时恢复正常, 故障原因正在調查.

近日，Mirrors 由于增加了 Bcache 缓存，导致服务器负载出现不明异常，进而影响多项服务。
在排查原因的同时，我们会优先保证 HTTP/HTTPS 服务，但无法保证 Rsync, Git 等服务的可靠性。

在此期间，用户可以选择 Tsinghua Mirrors 作为替代。

给您造成不便，请谅解。

UPDATE 2016-11-14
目前外部磁盘阵列有一块盘损坏，Raid 控制器正在 Rebuild。Rebuild 时间较长，且影响性能。

UPDATE 2016-11-14 18:19:18
卸载了正在rebuild的阵列，该阵列上的软件源的HTTP/HTTPS请求会被重定向到其他站点。

UPDATE 2016-11-16 11:00:00
Mirrors 早上失联，已将域名解析到备份站点，所有访问将被重定向到其他镜像站，
重定向规则见 https://git.ustclug.org/mirrors/mirrors-backup/blob/master/redirect.lua

只有 HTTP/HTTPS 会被重定向，Rsync, Git 暂停服务。

UPDATE 2016-11-21 14:13:51

去掉bcache后仍然出现了好几次宕机，但仍然没有定位到原因。而且没有了缓存机制镜像站的负载居高不下（60~70），近两天还发现内部阵列（raid5）有两块服役56328小时的硬盘smart信息很不乐观（Raw_Read_Error_Rate已经高达98884520和235269563）。近期镜像站极其不稳定，不论是硬件软件都频出问题，非常抱歉给大家带来诸多不便。我们会尽快排查问题并提供更稳定的服务。

此外，我们已经联系学校的网络中心老师，筹备买新机器的事宜，但不确定什么时间能上线。最后，欢迎提供帮助(联系我们or捐赠)

当使用浏览器（User Agent 中带有 Mozilla）下载科大 Mirrors 的 ISO 时，用户会被重定向到 iso.mirrors.ustc.edu.cn，这会是一个使用 javascript 设置 cookie 的转跳页面。最后用户会被转跳到 verify.iso.mirrors.ustc.edu.cn，此时会验证用户的 cookie 是否有效，无效则会返回 403 拒绝下载。

使用 Wget 等方式下载不受影响；教育网用户亦不受影响。

如果你在下载时出现问题，请与我们联系。

技术细节

server_name iso.mirrors.ustc.edu.cn;
location ~ \.iso$ {
  types {}
  default_type text/html;
  content_by_lua '
    local s1 = [[]] ..
    [[]]
    ngx.say(string.format(s1, ngx.var.uri, ngx.var.remote_addr))
  ';
}

server_name verify.iso.mirrors.ustc.edu.cn;
access_by_lua '
  if ngx.var.cookie_addr == ngx.var.remote_addr then
    return
  else
    ngx.exit(ngx.HTTP_FORBIDDEN)
  end
';

为了加快 Docker Hub 镜像在校内及其他地方的访问速度，USTC Mirrors 新增了 Docker Hub Registry Mirror。注意，通过这个 Mirror 只能用于从 Docker Hub 上 pull 镜像，也就是只读 Mirror，用户无法通过 USTC Mirror push 新的镜像到 Docker Hub 上。并且即使只是 pull 镜像，用户仍旧需要访问 index.docker.io

docker 用户可以通过以下方式来使用：

参考 https://docs.docker.com/articles/registry_mirror/#step-1-configure-your-docker-daemons-to-use-the-local-registry-mirror

将 –registry-mirror=https://docker.mirrors.ustc.edu.cn 加入 docker 的启动参数。

Ubuntu 用户（包括使用 systemd 的 Ubuntu 15.04）可以修改 /etc/default/docker 文件，加入如下参数：

DOCKER_OPTS="--registry-mirror=https://docker.mirrors.ustc.edu.cn"

其他 systemd 用户可以新建 /etc/systemd/system/docker.service.d/override.conf （通过 sudo systemctl edit docker.service 命令）

[Service]
ExecStart=
ExecStart=/usr/bin/docker -d -H fd:// --registry-mirror=https://docker.mirrors.ustc.edu.cn