📝 文字 ● 初级更新于 2026-05-13

从 DigitalOcean 购买服务器

DigitalOcean Droplet 是"按小时租用的小型 Linux 服务器"中最受欢迎的选择——定价透明、上手简单、默认配置合理，非常适合只想在互联网上跑一台机器的人。每月五美元就能让你有一台真正可以做事的服务器。

在决定购买哪种 VPS 之前，先想清楚自己是否真的需要 VPS。很多以前必须租 Linux 服务器才能做的事情，现在已经不需要了。静态网站放在 Vercel、Netlify 或 Cloudflare Pages 上——比跑 Nginx 的 $5 Droplet 更好、更便宜、更快。后端 API 放在托管运行时（Vercel Functions、Cloudflare Workers、Fly.io）上，可以省去 VPS 的大量运维工作。就连数据库，往往放在 Supabase、Neon 或 PlanetScale 上也比自己管理更合适。

当你需要完整的 root 权限、需要安装托管平台不支持的软件、对规模化成本敏感，或者想亲眼看看自己的软件在真实机器上是怎么运行的——这时候 VPS 才是正确答案。这些都是合理的理由，只是和"我需要一个地方放 Next.js 网站"不一样——后者用托管主机比用 Droplet 更合适。

如果你已经确定需要 VPS，DigitalOcean 是各个靠谱选择中最友好的一个。界面简洁，文档质量真的不错，最便宜的套餐（$5/月，1GB 内存、1 vCPU、25GB 磁盘）是真实可用的，而且这家公司存在已久，平台不会说消失就消失。唯一的取舍是，DigitalOcean 在同等价格下已不再是最便宜的 VPS——Hetzner 在欧洲提供了更高的性价比。DO 贵在它的打磨程度和文档质量。

你将学到什么

是否真的需要 VPS（还是托管主机更合适）
根据工作负载选择合适的 Droplet 套餐
在创建 Droplet 之前先将 SSH 密钥添加到账户
登录后的最初十分钟——防火墙、非 root 用户、系统更新
何时纵向扩容，何时横向扩展

第 1 步：确定套餐

Basic Droplet 足以应对几乎所有场景

DO 有很多 Droplet 系列，大多数可以忽略。你会用到的只有两种：

Basic。普通 Intel 或 AMD CPU，定价透明。$5/月含 1GB/1vCPU/25GB；$12/月含 2GB/1vCPU/50GB。适合小型应用、个人项目和学习环境。$5 的套餐是真实可用的——很多独立项目的生产环境就跑在上面。
Premium AMD / Intel。规格相同，CPU 更快，每个档位贵约 $1–2。仅在 CPU 是瓶颈且已经实测过的情况下才值得升级。

"CPU 优化"、"内存优化"、"GPU" Droplet 是针对特定场景的（高强度计算、内存缓存、ML 推理）。第一台服务器先跳过这些。

第 2 步：先添加 SSH 密钥

在创建 Droplet 之前操作，而不是之后

如果 Mac 上还没有 SSH 密钥对，先生成一个：

ssh-keygen -t ed25519 -C "[email protected]"
# 路径直接回车使用默认值；密码可以设也可以留空

这会生成 ~/.ssh/id_ed25519（私钥）和 ~/.ssh/id_ed25519.pub（公钥）。复制公钥：

pbcopy < ~/.ssh/id_ed25519.pub

在 DO 控制台中，进入 Settings → Security → SSH Keys → Add SSH Key，粘贴公钥，起个名字（比如 "my-mac"），保存。之后每次创建 Droplet 都可以选择这个密钥，实现无密码安全登录。

为什么要用 SSH 密钥而不是密码：互联网上随时都有机器人扫描 SSH 服务器并尝试常见密码。SSH 密钥无法被猜出来，暴力破解的攻击面直接消失。用过一次密钥登录，你就再也不想回到密码登录了。

第 3 步：创建 Droplet

镜像、地区、规格、密钥、名称

点击 Create → Droplets，做五个选择：

镜像：Ubuntu LTS（目前是 24.04）。熟悉度高、文档完善，大量社区教程拿来就能用。
地区：离用户最近的节点。个人项目就选离自己最近的。NYC3、SFO3、AMS3、FRA1、SGP1 都是常见选择。
规格：先从 Basic $5/月开始。之后可以调整（注意：磁盘只能扩大，不能缩小）。
认证方式：SSH Key（选第 2 步中添加的那个）。切记不要用密码。
主机名：取一个好记的名字——web-1、blog-prod 都行。这个名字会出现在你的终端提示符中。

点击 Create Droplet。约 60 秒后 Droplet 就上线了，控制台里会显示它的 IPv4 地址。

第 4 步：SSH 登录

第一次连接

在 Mac 终端中执行：

ssh root@<droplet-ip>

第一次连接时，SSH 会询问你是否信任该主机指纹——输入 yes。现在你已经进入 Droplet 的 root shell。运行 uname -a 应该能看到 Linux 和 Ubuntu 的版本号。这台服务器是你的了。

第 5 步：登录后十分钟的安全加固

立即要做的三件事

在安装任何其他软件之前：

# 更新软件包列表并升级已安装的软件
apt update && apt upgrade -y

# 创建一个非 root 用户（将 'deploy' 替换为你喜欢的名字）
adduser deploy
usermod -aG sudo deploy

# 将 SSH 密钥复制给新用户，以便直接登录
rsync --archive --chown=deploy:deploy ~/.ssh /home/deploy

# 启用防火墙，只允许 SSH
ufw allow OpenSSH
ufw enable

打开第二个终端，运行 ssh deploy@<droplet-ip> 来测试新用户是否能正常登录。确认可以后，编辑 /etc/ssh/sshd_config，将 PermitRootLogin 设为 no，然后重启 sshd（systemctl restart sshd）。这样 root 就完全无法直接登录了，所有操作都通过你的 deploy 用户进行，需要 sudo 才能执行特权操作。

随着后续安装服务，你也可以添加相应的防火墙规则（ufw allow http、ufw allow https）。

在确认非 root 用户可以正常登录之前，不要禁用 root 登录。如果配置有误把自己锁在外面了，只能通过 DO 的恢复控制台进入——麻烦但不是绝路。"同时开两个终端"这个小技巧可以完全避免这种情况。

第 6 步：绑定域名

在 DNS 服务商处添加 A 记录

在你的域名注册商（或 DNS 服务商）处，添加一条 A 记录：

名称：@（根域名）或子域名，例如 app
值：你的 Droplet IPv4 地址
TTL：3600（默认值即可）

完整的 DNS 配置流程请参阅将域名连接到服务器。DNS 生效后（通常只需几分钟），yourdomain.com 就会解析到你的 Droplet。

之后在 Droplet 上安装 Nginx 或 Caddy，配置 Let's Encrypt 启用 HTTPS，你就拥有了一台真正对外提供服务的 Web 服务器。

第 7 步：何时纵向扩容，何时横向扩展

先纵向，再横向

纵向扩容（换更大的 Droplet）只需一次点击——关机、调整规格、开机。存储可以增加但无法缩小。适用于某个进程受 CPU 或内存限制、只需要更多资源的情况。

横向扩展（多台 Droplet + 负载均衡器）工作量大得多，但在单台机器不够用或需要冗余时是正确的选择。DO 的托管负载均衡器是独立产品（$12/月），可以为多台 Droplet 提供流量分发。

对 95% 的个人项目来说，正确的策略是："先把单台 Droplet 升到不再划算为止，再考虑其他方案。"

快照是你的存档点。在做任何有风险的操作之前（升级主要软件包、更换内核等），从 Droplet 的 Snapshots 标签页创建一个快照。快照存在期间会产生少量月费，但一旦出问题你可以从中恢复，相当于给服务器上了保险。