无KYC
一路对称到底。
在一家对你做过完整 KYC 的主机上路由免 KYC 的支付,等于在低一层重新引入了 Bitcoin 当初设计要去除的咽喉点。免 KYC 注册、仅加密货币计费、没有卡留底,意味着「这个路由节点由谁运营」这条监管链无法通过主机的财务部门被传唤。协议是无许可的;主机至少对无许可友好。
使用场景 · Bitcoin 与 Lightning
·
2026 年更新
你自己的 Bitcoin 节点。
你自己的 Lightning 通道。端到端免 KYC。
在 Garrison($11.90/月)上运行的 bitcoind + LND 技术栈,默认通过 Tor 路由,BTCPay 就绪。用免 KYC 的主机来路由免 KYC 的支付——这种对称性很重要。
简而言之
- 01
Garrison $11.90/月 可以轻松运行 pruned 模式的 bitcoind + LND;Ravelin $23.90/月 可以在 NVMe 上承载完整的约 700 GB 主网,并为 BTCPay 留出余量。
- 02
默认仅通过 Tor 路由——你的节点是一个 .onion,不会向公开的 LN 图谱泄漏 IP,也没有端口扫描留下的痕迹。需要时路由节点仍可使用 Clearnet + Tor。
- 03
免 KYC 注册 + 仅加密货币计费 + 北欧司法管辖且无任何 KYC-AML 条约义务要求记录路由费收入。一路对称到底。
为什么要折腾
究竟为什么要自托管节点。
Bitcoin 的招牌特性——「不要信任,去验证」——一旦你使用托管钱包或轻客户端钱包,就退化成了「不要信任,去问钱包服务商」。运行你自己的 bitcoind 意味着你签发或收到的每一笔交易都由你自己那份共识规则验证过;你花掉的每一个 UTXO 都是你节点亲自知道的。验证是协议被设计出来让其成为可能的能力;自托管是让它真正发生的事情。
Lightning 把论点又叠加了一层。一个路由节点的经济学、通道余额纪律、强制关闭时的链上费用策略——这些决策没有一项是你愿意委托给一个持有你密钥的第三方的。Lightning 规范在书写时就假定运维者控制着机器;跑在别人的托管之下,是一种不同的(也更差的)产品。
一台小型 VPS 让这件事变得可行。Garrison 跑 pruned 模式的 bitcoind + LND 还有余地;如果你的使用场景需要,Ravelin 可以在 NVMe 上承载完整的主网历史。BTCPay Server 叠在上面负责商户流程。整条流水线——从收到聪、到路由 HTLC、到开具发票——都跑在你自己管理的一台(或两台)机器上。
正确的问题不是抽象地讨论「自托管还是托管」——而是「我把我的密钥当作我自己的,还是当作别人的产品」。如果答案是前者,这一页接下来的内容就是配方。
规模选择
为这件事选对 NordBastion 档位。
对于在 Tor 上运行的 pruned bitcoind + LND——处理个人支付、少量通道和一个隐私化支付路由姿态的入门级标准配置——Garrison($11.90/月,4 vCPU、8 GB、240 GB NVMe)是合适的档位。Pruned bitcoind 约占 5 GB,LND 再增加 1–3 GB,剩下的 200+ GB 留给你用于日志、通道状态备份和偶尔的重新 IBD。
对于在同一台机器上同时运行完整归档 bitcoind(约 700 GB 且仍在增长)加上 LND 或 CLN 再加上 BTCPay Server,Ravelin($23.90/月,8 vCPU、16 GB、480 GB NVMe)是正确选择。NVMe 才是关键部分——Bitcoin Core 在验证期间的 UTXO 写入对随机 IO 极其敏感,NVMe 与 SATA 的差距在 IBD 上表现为「小时 vs 天」,在区块尖端追赶上表现为「秒 vs 分钟」。
对于一个正经的路由节点——开启数十条通道、为费用收益做优化、运行主动管理的流动性策略——Bulwark 档位的余量,或一台机器一档的两机拆分(bitcoind 在一档、LND + BTCPay 在另一档,通过 WireGuard 连接),是自然的下一步。我们乐于带你梳理这种布局;到那一步时开一张工单找我们。
这些方案都不是什么:面向终端用户的托管型 Lightning 服务。NordBastion 提供机器——密钥、通道状态、路由策略和资金托管完全属于运维者的领域。
搭建
从全新 VPS 到第一条 Lightning 通道。六个步骤,约三十六小时(大部分是 IBD)。
一份骨架式的速写——Bitcoin Core 的文档和 LND 教程仍是细调的标准参考。下面的流程是阻力最小的路径。
-
01
安装 bitcoind
通过 Ubuntu 的 bitcoin.org PPA,或用经过验证的 GPG 签名的上游 tarball。这一项不要相信发行版的随机软件包。
add-apt-repository \ ppa:bitcoin/bitcoin apt update && apt install \ bitcoind -
02
编写 bitcoin.conf
开启 pruned 模式、启用 ZMQ(LND 需要 block 和 tx 馈送)、RPC 限制在 localhost。一开始保持最小化。
prune=550 zmqpubrawblock=tcp://127.0.0.1:28332 zmqpubrawtx=tcp://127.0.0.1:28333 rpcbind=127.0.0.1 -
03
等待 IBD
在 Garrison 上 pruned 模式约 24 小时,在 Ravelin 上完整归档约 48 小时。用 tail debug.log 和 bitcoin-cli getblockchaininfo 查看进度。
systemctl enable \ --now bitcoind bitcoin-cli \ getblockchaininfo -
04
安装 LND,仅 Tor 模式
使用 lightninglabs 的发布二进制,验证签名。设置 tor.active=true,并仅在 .onion 服务上监听。
# /etc/lnd/lnd.conf [tor] tor.active=true tor.v3=true tor.streamisolation=true -
05
创建并备份钱包
lncli create 只会写一次种子——把 24 个单词写在纸上,没有例外。然后立即启用 channel.backup 的离机传送。
lncli create # 离线记录 24 个单词的种子# 每次变更后用 rclone 把 channel.backup 传出本机 -
06
开启第一条通道
挑选一个连接良好的中枢(LN+ marketplace、Amboss、BoltzExchange),以符合当前内存池状况的费率开通通道。等待确认。
lncli openchannel \ <NODE_PUBKEY> 1000000 \ --sat_per_vbyte 8
为什么用这台主机做这件事
为什么特别选 NordBastion 来跑 Lightning 节点。
北欧司法管辖
没有条约义务要求记录路由费用。
瑞典、芬兰、挪威和冰岛都不向恰好托管 Bitcoin 节点的基础设施运营者强加 KYC-AML 报告义务——在这四国中,运行一个节点都不是受监管的金融活动。对「我转发 HTLC」这件事,没有美国 MSB 备案那样的等同物,没有任何义务要求作为主机的我们去知道哪个钱包赚了哪笔路由费。这些记录在我们这一侧根本不存在。
NVMe + 不限量
IBD 与通道图谱同步赖以为生的地方。
每一档都配 NVMe——而不是作为升级项加价售卖——把 Bitcoin Core 那条 UTXO 写入密集的验证路径变成无足轻重的小事,并让 LND 的通道图谱 gossip 摄入保持快速。1 Gbps 不限量上行吸收 IBD 下载和稳态 gossip,不再额外计费。这两项在很多主机那里是分开售卖的;在这里是基线。
结论
在 Garrison 上跑 pruned 模式的 bitcoind + LND。仅 Tor。离机的 channel.backup。然后看着通道开起来。
自托管一个 Bitcoin + Lightning 节点,是协议所设计的「不要信任,去验证」这一特性在运维层面的表达。用相当于一个托管钱包「高级」档位的价格,你就能获得验证节点 + 路由通道的基础设施——它的密钥住在你的机器上,它的路由费永远不经过第三方,而它的主机也不知道这些钱包属于谁。
NordBastion 对这件事真正关键的部分有自己的意见——免 KYC 注册让监管链终止在你的预付余额,北欧司法管辖且无 MSB 式报告义务,每一档都有 NVMe 让 IBD 不至于跑上一周——其余部分则刻意保持平淡。bitcoind 就是 bitcoind。LND 就是 LND。Tor 就是上游守护进程。机器就是机器。
「先 pruned,再扩展」的路径是正确的起点姿态:先把节点跑起来,开通第一条通道,让 channel.backup 离机传送的 rclone 任务跑通。关于正经路由节点的决策可以放到以后,在 Bulwark 上或两机拆分时再考虑。第一个节点就是一台 Garrison 加一个晚上。
常见问题 · 在 VPS 上跑 Bitcoin + Lightning
最先冒出来的那些问题。
节点运维者在 lncli openchannel 之前真正会问的八个问题。通道备份纪律之所以排在第四,是有原因的。
Pruned 模式的 bitcoind 还是完整归档——我想要哪一种?
对一个支付路由节点和一个 BTCPay 前端来说,pruned=550(磁盘约 5 GB)完全够用——LND、CLN 和 BTCPay 只需要 UTXO 集合和最近的区块历史就能验证和路由。Pruned 模式将存储需求从约 700 GB 降到个位数 GB,把「IBD 然后保持同步」的工作负载从「数周」降到「数天」。只有当你有需要按高度访问历史区块数据的研究或区块浏览器场景时,才运行完整归档;否则在每一条运维轴上 pruned 都胜出。
LND vs Core Lightning vs Eclair——选哪个实现?
LND 部署最广(占公开 Lightning Network 图谱的约 70%),拥有最大的工具生态(Thunderhub、ride-the-lightning、Balance of Satoshis),与 BTCPay 的集成也最为打磨。Core Lightning(CLN)是更保守的代码库,有最干净的插件架构,也是许多「运维者的运维者」出于路由业务原因而选择的实现。Eclair 是 Scala 实现,多见于 ACINQ 钱包背后。对于第一个节点,把 LND 跑在 Garrison 上是阻力最小的路径;如果你想推升路由性能并在意插件可扩展性,那么 CLN 是正确选择。
节点用 Tor-only 还是 clearnet + Tor?
Tor-only(tor.active=true,不开 clearnet 监听)是隐私至上的默认配置——你的节点只能通过 .onion 访问,没有 IP 泄漏,没有端口扫描留下的痕迹。Clearnet + Tor(双监听)能带来更好的通道发现和更低的路由延迟,代价是把你的节点 IP 暴露给公开图谱。大多数运维者从 Tor-only 起步,因为开放一个 clearnet 端口的运维成本并不小(防火墙、9735 端口、仔细辨识 LN 相关日志),等到真正在意路由费用优化时再升级为双监听。
我如何在不损失资金的情况下备份 channel.db?
使用 Static Channel Backups(SCB)——每当通道开启或关闭时,LND 都会写入 channel.backup,这个文件足以恢复链上资金(由对手方一侧强制关闭),但不足以恢复通道本身。每次变化都把 channel.backup 传出本机(用 rclone 推到加密的 Backblaze,或写一个小脚本上传到另一台 VPS)。让人付出聪数的一条铁律:永远不要恢复旧的 channel.db。恢复过期状态会触发对手方的「正义交易」(justice transaction),让你失去通道资金。SCB 才是安全的路径。
路由资金用热钱包还是冷存储?
Lightning 路由节点的钱包按定义就必然是热钱包——密钥必须实时签署 HTLC 承诺。纪律在于规模:只保留你运营的通道余额所需的部分,把路由节点钱包视为流动资金(而不是储蓄),并按固定节奏把多余的链上余额转出到冷存储。对小规模运维者来说,热钱包里 $500–$2,000 是典型值;对一个正经的路由节点而言,热钱包余额反映的是你承诺投入的通道容量。
VPS 扛得住 Initial Block Download 吗?
在 Garrison 的 4 vCPU / 8 GB / 240 GB NVMe 上,一台 pruned 节点通过 1 Gbps 上行链路约 24 小时完成 IBD——这段时间的大部分是签名验证,属于 CPU 密集型。在 Ravelin(8 vCPU / 16 GB / 480 GB NVMe)上,完整归档节点约 48 小时完成。NVMe 很关键:机械硬盘会让 IBD 变成持续数日的事情,因为 Bitcoin Core 的 UTXO 写入对随机 IO 极其敏感。NordBastion 在每一档都用 NVMe。
BTCPay 怎么和节点共存在同一台 VPS 上?
BTCPay Server 的 docker-compose 技术栈期望同时拥有 bitcoind + 一个 LN 实现 + nbxplorer + BTCPay Web 层。在 Ravelin 上,你可以为一家小商户(每年几千笔交易)把整套技术栈装在一台机器上;在 Garrison 上,一旦 nbxplorer 索引开始翻动,压力就实实在在了,所以我们建议把 BTCPay 拆到第二台机器——Garrison 跑节点,Sentinel 跑 BTCPay 并通过 WireGuard 反向代理回节点。两条链路都端到端免 KYC。
什么是对称性论点?
Bitcoin 的价值主张是无许可结算。一旦你的路由基础设施运行在一家「了解客户」「做过 AML」「持卡留底」的主机上,你就在基础设施层而非协议层重新引入了一个咽喉点。为免 KYC 的支付基础设施提供免 KYC 的主机并不是绝对主义;这是在抹除「这个路由节点由谁运营」这条监管链可以被传唤的那一环。协议是无许可的;主机至少应当对无许可友好。