银河麒麟(KylinOS)下DeepSeek的四种使用场景

如何在银河麒麟使用DeepSeek？
最近国内AI大模型DeepSeek爆火，相信使用银河麒麟操作系统的用户也非常急迫的想体验一把，接下来，一文给大家介绍在银河麒麟操作系统玩转DeepSeek的四种场景！

四种使用场景

一、网页版

浏览器搜索DeepSeek官网访问体验，或麒麟软件商店安装“DeepSeek网页版”：

二、客户端（Chatbox Community Edition）

除网页访问，我们还可以通过桌面客户端使用DeepSeek。

Chatbox AI便是一款易用的AI客户端应用和智能助手，支持众多先进的AI模型和 API，可以从麒麟软件商店获取安装：

安装完毕后，运行Chatbox并配置DeepSeek官方API：

API配置完毕后，就可以愉快的和DeepSeek对话了：

附：DeepSeek API Key获取方法：
访问网址https://platform.deepseek.com/api_keys ，登录，点击”创建API key”按钮，输入API key名称并创建，会出现API key，务必妥善保存。

三、本地部署+客户端访问

银河麒麟桌面操作系统和银河麒麟高级服务器操作系统都可实现本地部署DeepSeek。
为了提升DeepSeek的性能和算力，若选择本地部署，我们推荐在银河麒麟高级服务器操作系统环境进行，具体流程如下（桌面环境步骤相同）。

1. 系统介绍

本例中使用服务器操作系统版本信息：
:
cpu信息：

2. 安装并启动ollama

（1）安装ollama

# wget https://ollama.com/download/ollama-linux-amd64.tgz
# tar -C /usr/local -zxvf ollama-linux-amd64.tgz

ollama官网：https://ollama.com/

若需要使用客户端远程接入，则需添加环境变量

# export OLLAMA_HOST=0.0.0.0
# export OLLAMA_ORIGINS=*

（2）启动ollama

# ollama serve

另起终端，查看版本

# ollama -v

3. 下载deepseek模型

可根据机器配置选择模型大小，数字越大需求的配置越高，详细可参考官方文档介绍：

本示例使用1.5b模型

开始运行deepseek-r1:1.5b：

# ollama run deepseek-r1:1.5b

首次运行模型时，如果模型尚未下载，ollama会自动从模型库中下载，需要确保网络连接正常，以避免下载失败。

模型下载完成后，会自动进入对话界面，可简单对话验证是否成功：

4. 配置客户端连接

此时DeepSeek已部署完毕，若需要一个更好的交互界面，我们可以在桌面端通过 Chatbox Community Edition 客户端接入 DeepSeek 进行使用。

配置相关接口：

• API域名：填写本地DeepSeek的ip+端口（端口默认是11434）
• 模型：选择部署的模型

5. 开始使用本地DeepSeek

开始与本地DeepSeek问答：

到此完成DeepSeek本地部署以及客户端连接访问。

四、VSCode集成DeepSeek

针对开发者用户，可在Visual Studio Code中接入DeepSeek，实现辅助编程。

1. 下载Visual Studio Code

可从麒麟软件商店安装Visual Studio Code：

2. 安装cline插件

点击扩展，搜索cline插件并安装：

3. 配置cline连接DeepSeek

（1）打开cline插件

（2）API Provider选择DeepSeek

（3）输入DeepSeek API Key，并点击”Let’s go!”按钮

（4）发送简单对话，得到回复证明已成功

（5）辅助编程示例：输入需求

自动生成代码：

执行代码，成功！

安全加固

由于ollama部署DeepSeek等大模型时，会在本地启动一个Web服务，默认监听端口11434，且无任何鉴权机制，只要网络相通就可以随意访问，甚至会导致数据泄露和利用漏洞投毒等现象，所以建议一定要进行安全加固的操作，以下是几种安全加固的方式：

限制ollama监听范围

默认情况下，如果没有设置OLLAMA_HOST=0.0.0.0，则默认仅绑定127.0.0.1，如果之前已经配置过，则需修改为OLLAMA_HOST=127.0.0.1

# export OLLAMA_HOST=127.0.0.1

启动后还可通过查看监听验证：

# ss -tnlp | grep 11434
LISTEN    0         512              127.0.0.1:11434            0.0.0.0:*        users:(("ollama",pid=3810829,fd=3))

监听地址改为127.0.0.1:11434即可。

配置防火墙规则

我们还可以通过配置防火墙规则来实现对11434端口的限制，这里使用常见的iptables进行演示
添加规则：

# iptables -A INPUT -p tcp -s 10.10.10.10 --dport 11434 -j ACCEPT
# iptables -A INPUT -p tcp --dport 11434 -j DROP

仅接收源ip为10.10.10.10，目的端口为11434的流量，其他访问11434端口的流量全部拒绝

查看规则：

# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  10.10.10.10          0.0.0.0/0            tcp dpt:11434
DROP       tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:11434

通过反向代理配置认证或白名单

这里演示使用nginx配置反向代理+白名单限制的限制，来进行安全加固
(1) 也要将ollama监听范围修改为127.0.0.1，使其远端访问只能通过nginx来请求：

# export OLLAMA_HOST=127.0.0.1

(2) 配置nginx

server {
    listen 11499;  # 对外暴露的代理端口
    #server_name your_domain.com;  # 域名（若无可移除）

    location / {
        # 允许的 IP 列表
        allow 192.168.1.0/24;  # 允许整个子网
        allow 12.3.22.53;          # 允许单个 IP
        deny all;                         # 拒绝其他所有 IP

        # 转发到本地 Ollama 服务
        proxy_pass http://localhost:11434;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
}

(3) 保存启动nginx，即可实现白名单配置

# nginx -t
# systemctl restart nginx

(4) 找未在白名单中的ip，验证是否生效

# curl 10.10.10.130:11499
<html>
<head><title>403 Forbidden</title></head>
<body>
<center><h1>403 Forbidden</h1></center>
</body>
</html>

访问时返回403，即表示生效

后续如果不满足安全需求，还可通过Basic认证来配置账号密码，实现鉴权访问。

结语

以上即是使用银河麒麟操作系统使用DeepSeek的4种场景，用户可根据个人需求选择合适的场景进行使用，快来试试吧！