Hetzner Cloud 服务器管理指南：使用 hcloud CLI 创建、配置防火墙与自动化部署

hetzner-server by connorads/dotfiles

158 周安装量

13 GitHub Stars

GitHub

安装命令

npx skills add https://github.com/connorads/dotfiles --skill hetzner-server

云服务开发运维命令行工具

🇨🇳中文介绍

Hetzner 服务器管理

使用 hcloud CLI 创建和管理 Hetzner Cloud 服务器。

前提条件

已安装 hcloud CLI（通过 mise：hcloud = "latest"）
已认证：使用来自 https://console.hetzner.cloud 的 API 令牌执行 hcloud context create <name>

云防火墙

在服务器创建时应用的可重用防火墙配置文件。防火墙可以在运行中的服务器上更换——使用 apply-to-resource / remove-from-resource。

防火墙	规则	用例

广告位招租

在这里展示您的产品或服务

触达数万 AI 开发者，精准高效

联系我们

在运行中的服务器上更换防火墙

hcloud firewall remove-from-resource ts-ssh --type server --server dev
hcloud firewall apply-to-resource ts-only --type server --server dev

# 优先选择 ARM（性价比最高）
hcloud server create \
  --name dev \
  --type cax21 \
  --image ubuntu-24.04 \
  --location nbg1 \
  --ssh-key connorads \
  --ssh-key connor@penguin \
  --firewall ts-ssh

# x86 备选方案
hcloud server create \
  --name dev \
  --type cpx21 \
  --image ubuntu-24.04 \
  --location nbg1 \
  --ssh-key connorads \
  --ssh-key connor@penguin \
  --firewall ts-ssh

# 仅 IPv6（每月节省约 $0.60 的 IPv4 费用）
hcloud server create \
  --name dev \
  --type cax21 \
  --image ubuntu-24.04 \
  --location nbg1 \
  --ssh-key connorads \
  --ssh-key connor@penguin \
  --firewall ts-ssh \
  --without-ipv4

使用用户数据（自动运行安装脚本）

# 使用 heredoc - 进程替换 <(echo '...') 会错误地转义 shebang
hcloud server create \
  --name dev \
  --type cax21 \
  --image ubuntu-24.04 \
  --location nbg1 \
  --ssh-key connorads \
  --ssh-key connor@penguin \
  --firewall ts-ssh \
  --user-data-from-file - <<'EOF'
#!/bin/bash
curl -fsSL https://raw.githubusercontent.com/connorads/dotfiles/master/install.sh | bash
EOF

点文件安装大约需要 5 分钟。要监控进度：

# 快速状态检查
ssh connor@$(hcloud server ip dev) "cloud-init status"

# 查看最近的安装日志
ssh connor@$(hcloud server ip dev) "sudo journalctl -u cloud-final -n 50 --no-pager"

# 实时跟踪安装过程
ssh connor@$(hcloud server ip dev) "sudo journalctl -u cloud-final -f"

# 检查工具是否已安装
ssh connor@$(hcloud server ip dev) "which zsh mise && echo \$SHELL"

使用交换空间（生产环境推荐）

Ubuntu 云镜像默认不包含交换空间。在创建时通过 cloud-init 添加交换空间：

# 创建带有 16GB 交换空间的服务器（16GB RAM 服务器的 1:1 比例）
hcloud server create \
  --name dev \
  --type cax33 \
  --image ubuntu-24.04 \
  --location nbg1 \
  --ssh-key connorads \
  --ssh-key connor@penguin \
  --firewall ts-ssh \
  --user-data-from-file - <<'EOF'
#cloud-config
swap:
  filename: /swapfile
  size: 16G
  maxsize: 16G
EOF

推荐的交换空间大小：

4GB RAM → 4-8GB 交换空间
8GB RAM → 8GB 交换空间
16GB+ RAM → 16GB 交换空间（1:1 比例）

向现有服务器添加交换空间：

# 创建 16GB 交换文件
ssh connor@$(hcloud server ip dev) "sudo fallocate -l 16G /swapfile && \
  sudo chmod 600 /swapfile && \
  sudo mkswap /swapfile && \
  sudo swapon /swapfile && \
  echo '/swapfile none swap sw 0 0' | sudo tee -a /etc/fstab"

# 验证交换空间已激活
ssh connor@$(hcloud server ip dev) "free -h"

# 列出服务器
hcloud server list

# 获取服务器 IP
hcloud server ip dev

# SSH 连接到服务器
ssh connor@$(hcloud server ip dev)

# 删除服务器
hcloud server delete dev

# 电源操作
hcloud server poweroff dev
hcloud server poweron dev
hcloud server reboot dev

# 重建（重装操作系统，保留 IP）
hcloud server rebuild dev --image ubuntu-24.04

服务器类型（常用）

欧盟区域的价格（美元）（美国区域价格高约 20%）：

类型	架构	vCPU	内存	磁盘	约美元/月
cax11	ARM	2	4GB	40GB	$4.50
cax21	ARM	4	8GB	80GB	$8
cax31	ARM	8	16GB	160GB	$16
cpx21	x86	3	4GB	80GB	$9
cpx31	x86	4	8GB	160GB	$18

完整列表：hcloud server-type list

ID	城市	国家
fsn1	法尔肯施泰因	德国
nbg1	纽伦堡	德国
hel1	赫尔辛基	芬兰
ash	阿什本	美国
hil	希尔斯伯勒	美国
sin	新加坡	新加坡

# 列出密钥
hcloud ssh-key list

# 添加密钥
hcloud ssh-key create --name mykey --public-key-from-file ~/.ssh/id_ed25519.pub

# 列出系统镜像
hcloud image list --type system

# ARM 镜像
hcloud image list --type system --architecture arm

克隆 GitHub 仓库（SSH 代理转发）

使用启用了代理转发的 <name>-agent SSH 主机来克隆私有仓库，无需将密钥复制到服务器。如果遇到主机密钥错误，请先添加 GitHub 的主机密钥。

# 仅首次需要：添加 GitHub 的主机密钥
ssh dev "ssh-keyscan github.com >> ~/.ssh/known_hosts 2>/dev/null"

# 确认转发的代理可见
ssh dev-agent "ssh-add -l"

# 使用代理转发进行克隆（使用 -agent 后缀）
ssh dev-agent "mkdir -p ~/git && cd ~/git && git clone git@github.com:you/repo.git"

# 克隆特定分支
ssh dev-agent "mkdir -p ~/git && cd ~/git && git clone git@github.com:you/repo.git && cd repo && git checkout branch-name"

# 使用代理转发进行推送/拉取
ssh dev-agent "cd repo && git push"

对于交互式会话（例如，lazygit）：

ssh dev-agent
# 然后在服务器上：git clone/push/pull 可以使用转发的代理

创建服务器后，务必清除该 IP 的任何旧主机密钥（Hetzner 会重用 IP）：

ssh-keygen -R $(hcloud server ip dev) 2>/dev/null
ssh-keyscan $(hcloud server ip dev) >> ~/.ssh/known_hosts 2>/dev/null

然后生成/更新 SSH 配置条目：

hcssh              # 使用所有 Hetzner 服务器更新 ~/.ssh/config
hcssh --dry-run    # 预览而不写入

这会在托管块（# BEGIN/END hetzner-managed）内为每个服务器创建两个 Host 条目：

<name> — 无代理转发（对 AI 代理安全）
<name>-agent — 带有代理转发（用于向 GitHub 推送/拉取）

创建/删除服务器后再次运行 hcssh 以保持 SSH 配置同步。这使得 VS Code Remote-SSH 可以在下拉列表中显示服务器。

可选：将 SSH 限制为仅限 Tailscale

在 ts up 并确认通过 Tailscale 的 SSH 可以工作（ts ssh connor@dev）之后，在服务器上运行 tsonlyssh 以从 UFW 中移除公共端口 22。这使得 SSH 只能通过 Tailscale 接口访问。

备用方案：如果被锁定，使用 Hetzner Cloud Console VNC。

ARM (cax*) 服务器对于开发工作性价比最高
仅 IPv6 可以节省费用，但从 IPv4 网络访问需要 Tailscale/cloudflared
用户数据在首次启动时以 root 身份运行
点文件 install.sh 处理创建用户 connor、安装 Nix、home-manager 和 mise 工具

🇺🇸English

Hetzner Server Management

Create and manage Hetzner Cloud servers using the hcloud CLI.

Prerequisites

hcloud CLI installed (via mise: hcloud = "latest")
Authenticated: hcloud context create <name> with API token from https://console.hetzner.cloud

Cloud Firewalls

Reusable firewall profiles applied at server creation. Firewalls can be swapped on running servers — use apply-to-resource / remove-from-resource.

Firewall	Rules	Use case
`ts-ssh`	UDP 41641 (Tailscale) + TCP 22 (SSH)	Dev boxes — initial setup, swap to `ts-only` after `tsonlyssh`
`ts-only`	UDP 41641 (Tailscale)	Tailscale-only access, no public ports
`ts-web`	UDP 41641 (Tailscale) + TCP 80,443 (HTTP/S)	Servers accepting public web traffic

Swapping firewalls on a running server

hcloud firewall remove-from-resource ts-ssh --type server --server dev
hcloud firewall apply-to-resource ts-only --type server --server dev

Quick Reference

Create a server

# Prefer ARM (best value)
hcloud server create \
  --name dev \
  --type cax21 \
  --image ubuntu-24.04 \
  --location nbg1 \
  --ssh-key connorads \
  --ssh-key connor@penguin \
  --firewall ts-ssh

# x86 fallback
hcloud server create \
  --name dev \
  --type cpx21 \
  --image ubuntu-24.04 \
  --location nbg1 \
  --ssh-key connorads \
  --ssh-key connor@penguin \
  --firewall ts-ssh

# IPv6-only (saves ~$0.60/month on IPv4)
hcloud server create \
  --name dev \
  --type cax21 \
  --image ubuntu-24.04 \
  --location nbg1 \
  --ssh-key connorads \
  --ssh-key connor@penguin \
  --firewall ts-ssh \
  --without-ipv4

With user-data (auto-run install script)

# Use heredoc - process substitution <(echo '...') escapes the shebang incorrectly
hcloud server create \
  --name dev \
  --type cax21 \
  --image ubuntu-24.04 \
  --location nbg1 \
  --ssh-key connorads \
  --ssh-key connor@penguin \
  --firewall ts-ssh \
  --user-data-from-file - <<'EOF'
#!/bin/bash
curl -fsSL https://raw.githubusercontent.com/connorads/dotfiles/master/install.sh | bash
EOF

The dotfiles installation takes ~5 minutes. To monitor progress:

# Quick status check
ssh connor@$(hcloud server ip dev) "cloud-init status"

# View recent installation logs
ssh connor@$(hcloud server ip dev) "sudo journalctl -u cloud-final -n 50 --no-pager"

# Follow installation in real-time
ssh connor@$(hcloud server ip dev) "sudo journalctl -u cloud-final -f"

# Check if tools are installed
ssh connor@$(hcloud server ip dev) "which zsh mise && echo \$SHELL"

With swap (recommended for production)

Ubuntu cloud images don't include swap by default. Add swap via cloud-init at creation:

# Create server with 16GB swap (1:1 ratio for 16GB RAM server)
hcloud server create \
  --name dev \
  --type cax33 \
  --image ubuntu-24.04 \
  --location nbg1 \
  --ssh-key connorads \
  --ssh-key connor@penguin \
  --firewall ts-ssh \
  --user-data-from-file - <<'EOF'
#cloud-config
swap:
  filename: /swapfile
  size: 16G
  maxsize: 16G
EOF

Recommended swap sizes:

4GB RAM → 4-8GB swap
8GB RAM → 8GB swap
16GB+ RAM → 16GB swap (1:1 ratio)

Add swap to existing server:

# Create 16GB swap file
ssh connor@$(hcloud server ip dev) "sudo fallocate -l 16G /swapfile && \
  sudo chmod 600 /swapfile && \
  sudo mkswap /swapfile && \
  sudo swapon /swapfile && \
  echo '/swapfile none swap sw 0 0' | sudo tee -a /etc/fstab"

# Verify swap is active
ssh connor@$(hcloud server ip dev) "free -h"

Common commands

# List servers
hcloud server list

# Get server IP
hcloud server ip dev

# SSH to server
ssh connor@$(hcloud server ip dev)

# Delete server
hcloud server delete dev

# Power operations
hcloud server poweroff dev
hcloud server poweron dev
hcloud server reboot dev

# Rebuild (reinstall OS, keeps IP)
hcloud server rebuild dev --image ubuntu-24.04

Server types (commonly used)

Prices in USD for EU regions (US regions ~20% higher):

Type	Arch	vCPU	RAM	Disk	~USD/mo
cax11	ARM	2	4GB	40GB	$4.50
cax21	ARM	4	8GB	80GB	$8
cax31	ARM	8	16GB	160GB	$16
cpx21	x86	3	4GB	80GB	$9
cpx31	x86	4	8GB	160GB

Full list: hcloud server-type list

Locations

ID	City	Country
fsn1	Falkenstein	DE
nbg1	Nuremberg	DE
hel1	Helsinki	FI
ash	Ashburn	US
hil	Hillsboro	US
sin	Singapore	SG

SSH keys

# List keys
hcloud ssh-key list

# Add a key
hcloud ssh-key create --name mykey --public-key-from-file ~/.ssh/id_ed25519.pub

Images

# List system images
hcloud image list --type system

# ARM images
hcloud image list --type system --architecture arm

Cloning GitHub repos (SSH agent forwarding)

Use the <name>-agent SSH host (which has agent forwarding enabled) to clone private repos without copying keys to the server. If you hit host key errors, add GitHub's host key first.

# First time only: add GitHub's host key
ssh dev "ssh-keyscan github.com >> ~/.ssh/known_hosts 2>/dev/null"

# Confirm forwarded agent is visible
ssh dev-agent "ssh-add -l"

# Clone with agent forwarding (use -agent suffix)
ssh dev-agent "mkdir -p ~/git && cd ~/git && git clone git@github.com:you/repo.git"

# Clone specific branch
ssh dev-agent "mkdir -p ~/git && cd ~/git && git clone git@github.com:you/repo.git && cd repo && git checkout branch-name"

# Push/pull with agent forwarding
ssh dev-agent "cd repo && git push"

For interactive sessions (e.g., lazygit):

ssh dev-agent
# Then on server: git clone/push/pull works with forwarded agent

Post-creation setup

After creating a server, always clear any old host keys for that IP (Hetzner reuses IPs):

ssh-keygen -R $(hcloud server ip dev) 2>/dev/null
ssh-keyscan $(hcloud server ip dev) >> ~/.ssh/known_hosts 2>/dev/null

Then generate/update SSH config entries:

hcssh              # update ~/.ssh/config with all Hetzner servers
hcssh --dry-run    # preview without writing

This creates two Host entries per server inside a managed block (# BEGIN/END hetzner-managed):

<name> — no agent forwarding (safe for AI agents)
<name>-agent — with agent forwarding (for git push/pull to GitHub)

Run hcssh again after creating/deleting servers to keep SSH config in sync. This enables VS Code Remote-SSH to show the server in the dropdown.

Optional: Restrict SSH to Tailscale only

After ts up and confirming SSH works via Tailscale (ts ssh connor@dev), run tsonlyssh on the server to remove public port 22 from UFW. This leaves SSH accessible only via the Tailscale interface.

Fallback: Hetzner Cloud Console VNC if locked out.

Notes

ARM (cax*) servers are best value for dev work
IPv6-only saves money but requires Tailscale/cloudflared for access from IPv4 networks
User-data runs as root on first boot
The dotfiles install.sh handles creating user connor, installing Nix, home-manager, and mise tools

Weekly Installs

112

Repository

connorads/dotfiles

GitHub Stars

First Seen

Jan 24, 2026

Security Audits

Gen Agent Trust HubPass SocketFail SnykFail

Installed on

opencode107

gemini-cli106

codex106

github-copilot104

claude-code101

amp98