00:00:00你可能听说过或读到过 4 月 19 日发生的 Vercel 安全事件。
00:00:07本期节目不是要讨论这起事件。如果你想了解更多,
00:00:13可以在下方找到链接。那是官方公告文章的链接。但我想重点讨论一个观点,
00:00:20这起事件发生后,我在 X 和其他平台上感受到的,或者说看到并读到的某种想法,
00:00:27那就是现在是时候转向使用 VPS 来托管你的 Web 应用,而不是使用
00:00:34Vercel 了。当然,你也可以把 Vercel 换成任何其他托管服务提供商的名字,
00:00:41因为归根结底,它们都有着相同的优缺点。
00:00:48那么,现在真的是时候用 VPS 取代托管服务商了吗?
00:00:54我认为使用 VPS 有很多好理由,但安全性不是其中之一。绝对
00:01:01不是其中之一。如果我告诉你应该果断转向 VPS,那会很容易,
00:01:08因为我刚好发布了一门关于《VPS 基础》的课程,我在里面教你如何开始
00:01:15使用 VPS,包括设置、配置、SSH 加固以及在上面运行 Web 应用。
00:01:20显然,这门课程是在事件发生前录制和制作的。所以这只是个
00:01:26巧合。我现在完全可以告诉你应该用 VPS 并参加那门课程。
00:01:32我也确实希望你去学习那门课程,但我并不希望你是出于安全原因才去用 VPS。
00:01:38使用 VPS 有其理由,我会回到这一点,但安全性绝不是其中之一。
00:01:42因为你必须明白,安全性显然是一个复杂的话题,你也可能知道这一点,
00:01:48而当你使用 VPS 时,你才是那个不确定因素。而在使用 Vercel 这样的托管
00:01:58服务时,我们看到这次 Vercel 安全事件中,一名员工是
00:02:05问题所在——如果你非要这么说的话,尽管真正的问题当然是
00:02:09内部设置,以及 Vercel 内部某些运作方式,还有它是如何轻易让一个被入侵的
00:02:18用户或员工账户影响到整个系统的。这才是真正的问题所在。
00:02:23所以,当然,这是你需要依赖的一环。你依赖于你的服务提供商(例如 Vercel)所实施的安全措施,
00:02:30这很明显。但如果你使用 VPS,那就只有你自己了。
00:02:38我们面对现实吧,安全性是一个复杂的话题。在我提到的那门课程里,我确实展示了如何
00:02:46正确地设置 VPS,如何加固它,以确保没有人能通过 SSH 连接到它。这是
00:02:54一个重要的步骤。我还向你展示了如何确保系统有自动软件包升级,这样
00:03:00你 VPS 上的软件就能保持更新,至少在自动化的范围内尽可能做到这一点。
00:03:07但当然,安全性不仅仅止步于此。我的意思是,我们有像去年发生的
00:03:12React 服务器组件漏洞那样的攻击。我们有这样的漏洞,
00:03:18这个特定的漏洞实际上允许攻击者接管你的机器并控制它,
00:03:25在你的机器上运行代码。而防御这个问题的唯一方法,就是在 React 和 Next.js 发布补丁时
00:03:32立即更新你的软件包。显然,
00:03:39这只是其中一个例子。Web 应用以及运行 Web 应用的整个系统中,有许多构建块
00:03:44都可能变得脆弱,或者可能被发现存在漏洞。
00:03:49而如果你使用 Vercel,实际上你可以获得他们提供的一些自动保护,
00:03:58因为一旦漏洞被发现,他们就会通过其 Web 应用防火墙服务实施一些自动化的
00:04:06防护措施,这有助于
00:04:12防御此类攻击。虽然这不能保证绝对安全,但它是一个额外的层级,一个附加的
00:04:17层级。所以在针对这种特定攻击时,使用 Vercel 你无需做任何事就能获得一些保护。
00:04:24当然,其他提供商也可能如此。所以如果说有什么不同的话,那就是使用 Vercel 这样的托管服务时安全性反而变得更容易了,
00:04:31尽管当然,它们也并非不可攻破,
00:04:39正如我们看到的 4 月份发生的这类攻击。但在使用 VPS 时,这全是你自己的工作。
00:04:47这当然也有它的弊端。现在,当然,使用 VPS 也有很多理由,
00:04:56而且这些理由在安全事件发生前就存在,因为它们与安全性无关。
00:05:02一个很重要的理由当然是成本。VPS 可以非常有成本效益。
00:05:10你可以每月花几美元租用 Hetzner 的 VPS,而且你知道你每个月
00:05:16只需支付那笔钱。而使用 Vercel 这样的托管提供商,定价系统可能会很复杂。
00:05:24你可能会产生意想不到的开支。我们经常看到有人发帖说他们被扣除的费用
00:05:34远超预期。虽然大部分情况下确实是用户自己的过失,别误会我的意思,
00:05:39但这在一定程度上也是服务商的过失,或者说是他们故意为之,因为他们
00:05:46当然有动机把规则弄得复杂。我们可以这样说。当然,
00:05:52他们另一方面也有动机让客户感到满意。所以事情没那么简单。这世上并不是只有
00:05:57坏人和好人之分。但毫无疑问,使用 VPS,你肯定可以非常具有成本效益,
00:06:03并且清楚地知道你要支付多少钱,这当然是很棒的。而且你很有可能能够运行
00:06:11某些 Web 应用,在托管提供商那里可能需要几十甚至几百美元的成本,
00:06:17在 VPS 上只需区区 20 美元左右就能搞定。这是
00:06:24绝对可能的。我认为这是选择 VPS 而非托管提供商的最大优势和最重要
00:06:31理由之一。显然这并不是什么新鲜事,但这正是你应该关注的地方,而不是安全方面。
00:06:36相反,你应该意识到这样一个事实,即
00:06:41安全性将是你的责任,并伴随着它自己的挑战。这些挑战你可以克服,
00:06:48但它们终究是挑战。VPS 的另一个优势当然是灵活性。你实际上可以在 VPS 上
00:06:57做任何事情,因为它就是一台电脑。它就是一台电脑,仅仅是一台机器,通常安装着
00:07:06Linux。当然你也可以租用安装有其他操作系统的 VPS,但 Linux 是默认的,
00:07:11也是我在课程中使用的。你可以在那个系统上安装
00:07:17任何你想要的东西。你可以在上面运行任何你想要的东西。在大多数情况下,有些提供商会阻止某些与电子邮件相关的端口,
00:07:22但就正常工作流程和正常应用而言,你真的可以在那里做任何事。
00:07:28你可以创建新用户。你可以随意配置。本质上,它就像是你的机器,
00:07:33在某种程度上,就像它摆在你的房间里一样。当然,对于托管提供商,
00:07:40你受限于提供商支持的内容。我有一个很好的例子,比如 Vercel,
00:07:46它不支持 SQLite。虽然它不能和 Vercel 一起使用,但我们确实提供其他的
00:07:55存储解决方案。SQLite 在 Vercel 中不受支持。所以如果你正在构建一个 Web 应用
00:08:01并且想要使用 SQLite 作为数据库,这对于许多 Web 应用来说是一个很棒的选择,
00:08:05它不仅仅是个开发玩具。它是一个真正可用于生产环境、易于使用、易于设置、
00:08:11易于管理,因此总体上是一个很棒的数据库解决方案,但你不能只是构建它、
00:08:18在本地机器上运行它,然后原样部署到 Vercel 上。根本行不通。如果使用 VPS
00:08:24那就没问题了。这其实是我课程中的一个例子。一个
00:08:29我在那上面构建的演示应用,它使用 SQLite,你可以直接放上去,像那样在
00:08:36VPS 上运行。所以你有更大的灵活性。再说一次,这里的缺点是
00:08:43你需要有学习如何使用 Linux 的意愿。显然,
00:08:51AI 可以对此有所帮助。AI 助手可以帮你。据我所知或在我看来,
00:08:56这比过去容易多了,但你必须有深入钻研的意愿。
00:09:01使用托管服务,你通常只需要把应用推送到 GitHub,如果一切
00:09:09配置正确,它就会自动部署更新版本,你完全不需要
00:09:13担心任何事情。回滚到旧版本也很简单。这很简单。这就是优势,
00:09:19但为此付出的代价是限制。VPS 有很多灵活性,但付出的代价是
00:09:25复杂性,或者说你必须有投入其中并获取技术知识的意愿,
00:09:31或者钻研细节以使事情正常工作并正确配置它们。这始终是一种权衡。
00:09:38但是,这对我很重要的一点是,我认为 AI 在这方面非常有帮助。当然,不仅仅是
00:09:45在生成代码等方面,它在配置 VPS、
00:09:51理解 Linux 命令、甚至组合出所有这些复杂的 Linux 命令链,让你
00:10:00把一个复杂命令的输出通过管道传递给另一个命令时,也能提供真正的帮助。这正是让使用 VPS
00:10:07变得极其简单的地方。因此,我认为使用 VPS 来托管
00:10:14Web 应用、运行某些工作流或运行像 OpenClaw 这样的 AI 代理,
00:10:20绝对是一个好主意。在许多情况下,你只需要知道代价是什么,那就是
00:10:25稍微多一点的复杂性,以及你学习如何运作和如何配置系统的意愿。
00:10:32托管提供商很棒。如果你想要易用性,你就要为此付钱。正如生活中的一切,
00:10:37易用性通常是需要花钱的,但就是这样。很简单。如果
00:10:45你考虑的是安全性,那么请选择托管服务商。使用 VPS 并不更简单,也不更
00:10:51安全。