下载
返回博客
技术··9 分钟阅读

iCloud Private Relay 与 VPN 有什么区别?

语言: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнськаTiếng Việt繁體中文

如果你订阅了 iCloud+,Settings 里某个地方已经默默开着 Private Relay。许多 iPhone 用户理所当然地认为这已经足够保护自己——以为它是 Apple 内置的安静 VPN,无需再多操心。

事情没那么简单。关于 iCloud Private Relay 与 VPN 的诚实答案是:它们是为不同用途而生的不同工具。Private Relay 设计精良,对某些人来说确实够用;但对很多人来说,它留下了他们未曾察觉的巨大漏洞。本文将逐一说明 Private Relay 实际上能做什么、不能做什么,以及如何判断你属于哪一类用户。

Private Relay 究竟是什么

Private Relay 是 iCloud+ 的一项功能,并非独立产品。任何付费 iCloud 存储套餐都会附带它。

一句话概括它的作用:它将你的 Safari 浏览请求以及部分 iCloud 相关的后台流量通过两台服务器进行代理,使得任何单一方都无法同时知道你是谁以及你在访问什么。仅此而已。它没有被作为 VPN 来推广,Apple 也从未将其称为 VPN,尽管大多数人习惯将两者混为一谈。

你手机上的其他一切——Instagram、Chrome、TikTok、银行 App、邮件客户端、任何游戏、任何第三方浏览器——都走正常连接。Private Relay 不会碰它们。

Private Relay 的工作原理(通俗解释)

Private Relay 有趣的地方在于其双跳架构。这是一个经过认真设计的方案,即便你最终选择使用 VPN,也值得了解一下。

两跳,两个参与方

当 Safari 在 Private Relay 开启的情况下加载页面时,你的请求会依次经过两个中继:

  • 入口中继由 Apple 运营。它能看到你的真实 IP 地址(因为你的手机直接连接到它),但它看不到你要访问哪个网站。目标网址被一把入口服务器没有的独立密钥加密。
  • 出口中继由第三方合作伙伴运营(根据地区不同,可能是 Cloudflare、Fastly 或 Akamai)。它可以解密目标地址,但看不到你的真实 IP。在入站方向,它看到的只是入口中继的地址。

关键在于:目标 URL 和你的 IP 分别用两把不同的密钥加密,分别由两个不同的参与方持有。Apple 持有揭示你身份的密钥;合作伙伴持有揭示你访问目标的密钥。任何一方都永远无法同时掌握两半信息,因此任何单独一方都无法建立你的浏览记录。

这是真正的隐私提升,而且比标准的单跳 VPN 设计更有原则——单跳 VPN 中,一个服务商能看到所有内容。假设 Apple 和出口合作伙伴不共享数据,Private Relay 确实为 Safari 流量树立了更高的隐私标准。

那问题在哪里?

问题在于覆盖范围。Private Relay 只保护:

  • Safari 浏览
  • 少量系统级 iCloud 和 Apple 服务
  • 使用系统网络 API 的 App 中极少数的非加密(HTTP)流量

其他一切——而在一部普通 iPhone 上,"其他一切"才是你手机大部分的网络活动——都走普通连接,双跳设计对它们无效。

举个具体例子:打开 Instagram 刷动态。App 的图片请求、分析调用、广告 SDK 向服务器汇报你滑动行为——这些都不经过 Private Relay。你的 ISP 可以看到你的手机在连接哪些服务器以及大致时间。目标端点可以记录你的原始 IP。从 Safari 切换到任何第三方 App,实际上就相当于关掉了 Private Relay,而你不会收到任何提示。

Private Relay 做不到的事

这部分是大多数用户忽略的地方。以下清单不是对 Private Relay 的批评,只是如实描述它的边界。

  • 它不隧传非 Safari App 的流量。打开 Chrome、Firefox、任何社交 App、任何通讯软件、任何游戏、任何银行 App,你的 IP 以及该 App 的流量对你的 ISP 和中间的任何节点都是可见的。
  • 它不让你选择国家或地区。你可以在"保持大致位置"和"使用国家和时区"之间选择,但你无法从德国路由到美国的服务器。没有服务器选择器,因为 Private Relay 本来就不打算成为那样的工具。
  • 它在许多国家不可用。Private Relay 在包括中国、俄罗斯、沙特阿拉伯、白俄罗斯和埃及在内的多个地区无法使用或被屏蔽,且名单随时可能变化。如果你要前往这些地区,值得在出发前查阅 Apple 当前的可用性页面。抵达这些地方后,该功能会直接关闭,而你未必会收到提示。
  • 它无法屏蔽 App 追踪器。嵌入第三方 App 的追踪 SDK 能看到你的真实 IP,因为那个 App 本来就没有经过 Private Relay。
  • 它不能在恶意 Wi-Fi 上保护非 Safari 流量。连接到可疑的酒店或机场网络时,你的非 Safari App 照样暴露,和没有 Private Relay 没有任何区别。

以上都不是 Private Relay 的缺陷。它在做它被设计来做的事。错误在于以为它能做更多。

Private Relay 是 VPN 吗?

严格来说:不是。VPN 建立一条加密隧道,捕获离开你设备的所有流量,并通过你选择的服务器路由。Private Relay 是一个范围有限、设计固定的代理,它有意不提供服务器选择器,也有意不隧传所有流量。

如果朋友问"Private Relay 是不是 VPN",简短的答案是:"它是一个针对 Safari 具备部分 VPN 特性的隐私功能,但它不能替代 VPN。"

Private Relay 何时已经够用

对某些人来说,Private Relay 确实足够。如果以下情况都符合你,你大概就属于这类用户:

  • 你几乎所有浏览都在 Safari 中完成,几乎不用第三方浏览器。
  • 你不需要看起来身处某个特定国家(无论是为了流媒体、测试、出行,还是在海外访问国内内容)。
  • 你不经常前往或居住在 Private Relay 不可用的国家。
  • 你可以接受:你打开的任何 App——包括内嵌广告 SDK 的——都能看到你的真实 IP。

如果以上四点都符合,Private Relay 加 Safari 是一个合理的基础配置,你可能不需要单独的 VPN。这也是一份 iPhone 隐私清单的合理起点。

何时真正需要 VPN

如果以下任何一条适用于你,你可能需要真正的 VPN,而不只是 Private Relay:

  • 你希望所有流量都经过隧道,而不只是 Safari。手机上的每个 App、每个浏览器、每个后台服务都走同一条加密连接。Private Relay 做不到这一点。
  • 你需要选择国家。为了出行、访问只在特定地区提供的内容,或者只是想让自己看起来在别处,都需要一个带服务器选择器的真正 VPN。
  • 你经常使用公共 Wi-Fi。咖啡馆、酒店、机场、共享办公空间。VPN 保护你设备上的所有流量,而不只是你开着的那个 Safari 标签页。如果你想深入了解在这种场景下无日志政策为何重要,可以阅读 无日志 VPN 究竟意味着什么
  • 你前往 Private Relay 不可用的地区。中国、俄罗斯、中东和中亚部分地区。在这些地方,Private Relay 要么被屏蔽,要么无法使用——而这恰恰是你最需要隐私工具的时刻。VPN 能给你 Private Relay 无法提供的保护,这也是许多用户在中国寻找翻墙科学上网工具的原因。
  • 你希望纵深防御。Private Relay 是一种机制,VPN 是另一种。两者防护的威胁有重叠但也各有侧重,部分用户希望两者兼备。

如果你刚接触这个领域,想先了解基础知识,可以阅读 VPN 是什么的入门介绍

可以同时运行 Private Relay 和 VPN 吗?

可以。两者在 iOS 上可以共存,不会冲突。

实际情况是:当 VPN 激活并隧传所有流量时,你的 Safari 请求和其他流量一样走 VPN。Private Relay 的双跳路径变得多余——你的流量已经通过 VPN 服务商路由了,在前面再加一层 Apple 的中继除了增加延迟,改变不了多少。

因此,大多数使用完整 VPN 的用户最终会关掉 Private Relay,或者根本不在意 iOS 悄悄绕过它。这样做不会损失任何东西;你只是把两个重叠的隐私层合并成了一个覆盖范围更广的层。

实用建议:如果你决定使用 VPN,就以 VPN 为默认,把 Private Relay 作为 VPN 关闭时的备用方案(切换服务器之间、App 无法通过隧道工作时等)。在 iOS 上你不必在设置层面二选一。两者可以同时开启,当下激活的那个会处理 Safari 流量。同时保持两者开启的唯一代价,是 VPN 关闭后 Private Relay 接管时 Safari 加载稍慢一些。

结论

iCloud Private Relay 是一个设计精良、职责专一的功能:保护你的 Safari 浏览以及少量系统流量,不被任何单一方监视。它把这项工作做得很好,双跳架构比大多数 VPN 设计更有原则。

但它不是 VPN,也没有声称自己是。它不覆盖非 Safari App,不让你选择地区,在多个国家无法使用,在 Safari 之外的恶意 Wi-Fi 场景下也帮不了你。如果这些缺口对你来说很重要——对许多 iPhone 用户来说确实如此——你需要一个真正的 VPN,作为 Private Relay 的补充或替代。

正确的问题不是"iCloud Private Relay 与 VPN,哪个更好?",而是"我究竟想保护什么,哪个工具能覆盖它?"对于只使用 Safari、且身处支持地区的用户,Private Relay 单独使用是合理的。对其他人来说,VPN 能做到 Private Relay 从未打算做的事。

如果你考虑清楚后决定需要一个覆盖手机上所有 App 而不只是一个浏览器的 VPN,Snap VPN 正是为此而生。无需邮箱注册,不记录流量,账户与你的名字无关。订阅绑定你的 Apple ID,覆盖主要地区,底层使用 WireGuard。macOS 版本即将推出。

The Snap VPN Team
Editorial