既然用的是 nginx,可以在 github 上找找针对这类攻击的 nginx waf 模块，有针对 cc 攻击的拦截，传统一点的方式就是 ipset+iptables+crontab ，自己写规则了。当然，如果是重要业务，还是建议购买安全服务，各种防护能开的就开一下。如果是自己建站一直被攻击，那就是有 D 狗在故意攻击，为了推销自己的 DDOS 防护服务，随时会跑路的那种

对于个人的安全来说，尤其重要的就是一个信任和责任的问题，付费产品，如果你信任安全服务商的判断，责任就在安全服务商，如果信任可疑软件，责任就在自己。
至于免费产品，无论信任哪方，责任都在自己，所以小心无大错。非要使用，有条件的话，把本地的代理客户端放在单独的硬件环境中，上面的操作系统只开放必要的入站端口提供代理转发，允许内网其他设备访问代理转发端口，类似使用旁路由。

服务器前面套一层 nginx 反向代理，如果本来就用的话就更好了，然后使用 nginx 的流量镜像功能转发流量看下具体的请求内容。然后在反向代理层的 nginx 上加 waf 插件，根据特征自己写防护规则，同时根据业务需求禁止非必要访问 IP 地址段。现在有不少开源的软件 waf ，能满足折腾的想法，同时，花销较少。如果嫌麻烦，看看 CDN 和云 WAF 产品。

目前可用且会被维护同时还有一定知名度的：Cockpit ，能统一管理。
不过，现在使用更广泛的应该是基于云的管理方式，私有云也有可在生产环境使用的全套资源管理方案了。
而且类似 Cockpit 这种 web console 也整合进云了。你的需求场景，确实是 Cockpit 更好用。
https://cockpit-project.org/

如果是私人相册，还是建议数据放在本地，公网的服务器只用来进行异地组网（ wireguard ）即可，或者可以考虑尝试公网 IPV4/V6 加 DDNS （访问难度更低），要是考虑功耗，就开个远程唤醒。

差看过 clash 日志了吗？ api 有没有经过代理？没有的话使用流量重定向工具 proxifier 等把流量指向代理端口，或者开启 tun 模式。

@id4alex 确实是，我就是比较好奇大家为什么会首选 esxi 。vmware 的虚拟化技术更成熟，各种高级参数设置方便，但就个人使用来说，好像优势不是那么明显。