CTO 花冤枉钱的五个云技术陷阱：GitHub 定价、Lambda 账单与 DoS 防御的真相

CTO 花冤枉钱的五个云技术陷阱：GitHub 定价、Lambda 账单与 DoS 防御的真相

Photo by Mayara Caroline Mombelli on Pexels

选云服务的时候，大多数 CTO 第一个问题是"多少钱"。但行业经验告诉我，第二个问题往往才是关键——"最终账单是多少？"这两个问题之间，隔着好几层你可能还不知道的隐性成本。

这不是危言耸听。我见过年营收数亿的出海企业，在 GitHub Enterprise 续费时才发现，真正吃掉预算的是用量。我见过技术团队选了最便宜的 Lambda 方案，结果月度账单是预估的三倍。我还见过公司以为买了个 WAF 就搞定了 DoS 防护，结果真被攻击时连第一波流量都没扛住。

在东南亚做云架构决策，你面对的不仅是 AWS、Azure、GCP 三选一，还有 GitHub vs GitLab 的代码平台之争、Serverless vs 容器的成本博弈，以及 DoS vs DDoS 两种完全不同量级的安全威胁。这些问题单独看都不复杂，但放在一起，就构成了出海企业云成本的第一批隐形炸弹。

本文把这些陷阱逐个拆开，帮你看清楚"便宜"背后的真实账单。

Photo by Saravanan Narayanan on Pexels

GitHub Enterprise 定价：你的团队真的需要那个 tier 吗？

选 GitHub tier 的时候，大多数人直接看 per-user 报价。GitHub Team $4/人/月，GitHub Enterprise Cloud $21/人/月，差距似乎很大。但实际成本结构远比这个数字复杂。

以一个 23 人工程团队为例：GitHub Team 每年 $1,104，听起来很合理。但如果加上 Copilot Business 扩展 ($21/user/month)，全年支出立刻跳到 $8,088。更关键的是，大多数中型团队在评估 GitHub Enterprise 时，完全没有算进去 Advanced Security 套件 ($49/user/month 包含 GHAS) 的合规价值——这恰恰是对东南亚出海企业最有实际意义的部分。

真正的决策框架应该是：你的团队当前是否受 PCI-DSS、GDPR 或当地 PDPA 约束？如果是，Advanced Security 的 secret scanning 和 dependency review 就不是可选项，而是合规基础设施的一部分。把它加进去，23 人团队的年度 Enterprise Cloud 成本在 $13,524 左右——比 Team 方案贵，但比引入外部安全工具的叠加成本低得多。

还有一点容易被忽略：GitHub Actions 的用量。营销文案写的分钟数只是基础额度。重型 CI/CD 流程在容器镜像构建阶段轻松突破免费额度，overage 费用 $0.008/分钟，积累下来是一笔不大不小的意外支出。

Lambda 真实账单：你以为的 $0.2/百万请求，只是冰山一角

AWS Lambda 的官方定价看起来极具吸引力：$0.20/百万请求，GB-second 计费，每 GB-second $0.0000166667。100 万次请求、1GB 内存、1 秒执行，合计 $16.87。这个数字很多技术选型报告都引用过，但生产环境的真实账单远不止这些。

Lambda 的完整成本结构里，有几项往往被忽略：数据传输出口（egress）费用是大头——当 Lambda 函数查询 RDS、调用外部 API 或返回数据给用户时，跨区域和公网 egress 的费用会快速累积。API Gateway 触发费用是第二项，$1.26/百万 API 调用，叠加在 Lambda 请求费之上。如果你的 Lambda 部署在 VPC 里，还要算上 NAT Gateway 的数据处理费——每个 GB 数据通过 NAT Gateway 处理都收费，这在高频调用场景下是隐藏的持续支出。

从 TCO 对比来看，Lambda 适合低吞吐、突发流量、执行时间短（100 req/sec）、有长连接或容器化需求的场景，Fargate 固定月费更划算。超过 1,000 req/sec 稳态负载，预留 EC2 实例 TCO 最低。

DoS 和 DDoS 防御方案怎么选？
DoS（单一来源）通过 WAF + rate limit + IP block 即可防御。DDoS（分布式）需要 CDN 边缘吸收 + 流量清洗 + 7×24 SOC 监控。年 ARR 超过 $5,000 万或处于监管行业的出海企业，建议引入持有 APN Security 资质的 MSS 合作伙伴做整体安全架构设计。