05 · 云端与远程环境
基于官方 Codex 教程,帮新手分清 Cloud、联网权限和远程开发环境各自解决什么问题。
这一组不是在讲“怎么让 Codex 变强”,而是在讲“Codex 到底在哪里运行、能不能联网、能不能碰你的真实开发环境”。新手最容易出错的地方,是把 Cloud、联网权限、远程开发机混成一件事。
先记住一句话:运行环境决定 Codex 能看到什么,联网权限决定它能访问什么外部站点,远程开发决定它在哪里执行命令。
先理解:三种问题不是一件事
想让 Codex 在云端隔离环境里做长任务,看 配置云端运行环境。你要关心的是依赖安装、仓库准备、环境变量和任务能否复现。
想控制 Codex 能不能访问外网,看 管理 Agent 联网权限。你要关心的是 setup 阶段和 agent 运行阶段的域名白名单,不要为了省事直接全放开。
想在远程开发机上使用本地交互体验,看 连接远程开发环境。你要关心的是代码、凭据和命令到底在哪台机器上执行。
怎么判断该选哪种环境
如果你只是刚开始学 Codex,先用本地 CLI 或 IDE。等你已经知道 Codex 会改哪些文件、会跑哪些命令,再进入云端或远程环境。
如果任务耗时长、依赖复杂、适合异步处理,用 Codex Cloud。它适合“交给 Codex 跑一段时间,稍后看结果”的任务。
如果任务需要访问公司内网、私有服务、本机密钥或特定机器环境,用远程开发机。这个时候重点不是“云”,而是“执行环境和权限边界”。
如果任务需要下载依赖、查官方文档或访问 API,单独配置联网权限。联网不是默认越大越好,应该按任务需要逐步放开。
新手常见坑
- 以为 Cloud 就等于能联网:Cloud 运行环境和 agent 联网权限是两层设置。
- 以为远程开发只是换个终端:命令在哪台机器执行,文件就在哪台机器被修改。
- 把安装依赖和 agent 自主联网混在一起:setup 阶段需要的网络,不一定应该给到后续 agent。
- 没有记录环境变量:本地能跑、Cloud 不能跑,常见原因就是变量和凭据没有准备好。
- 直接开放所有域名:短期省事,长期会增加供应链和数据外泄风险。
建议学习顺序
先读 Cloud runtime,理解云端任务为什么需要可复现环境。
再读 Network permissions,理解“让 Codex 联网”其实是在做权限设计。
最后读 Remote development,理解当代码和凭据在远程机器上时,本地界面只是入口,真正的执行边界在远程主机。
读完后你应该能回答
- 这个任务应该在本地、Cloud,还是远程开发机上跑?
- Codex 需要哪些依赖、环境变量和凭据?
- 哪些外部域名必须开放,哪些不该开放?
- 命令执行失败时,应该查本地机器、Cloud 环境,还是远程主机?
- 任务完成后,如何确认改动、日志和敏感信息没有越界?