Vercel Sandbox Agora Aceita Postgres Sem Configuração Extra – Fim das Gambiarras de Rede
A Vercel silenciosamente removeu o maior obstáculo entre ambientes serverless e bancos de dados reais. O firewall do Sandbox agora compreende o handshake do Postgres — e isso muda completamente a forma como você desenvolve, testa e escala.
O fim da era das gambiarras
Até ontem, conectar um banco Postgres a partir do Sandbox da Vercel era um exercício de frustração. O firewall baseado em SNI esperava tráfego HTTPS tradicional — o handshake do Postgres não se encaixava nesse modelo. Primeiro vinha a conexão TCP crua. Depois, a negociação para subir para TLS. O firewall via isso como tráfego suspeito e bloqueava tudo.
Agora, o jogo virou.
O firewall foi reescrito para entender o protocolo Postgres nativamente. Ele identifica o fluxo de bytes, aguarda o upgrade TLS acontecer e só então aplica as regras de domínio. Sem configuração extra. Sem proxies. Sem listas brancas de IP.
| Cenário | Antes | Agora |
|---|---|---|
| Conexão com Neon | Bloqueada pelo firewall | Liberada automaticamente |
| Lista de IPs | Manutenção manual constante | Não necessária |
| Túnel SSH/Proxy | Praticamente obrigatório | Desnecessário |
| Segurança TLS | Frágil, com workarounds | Imposta e garantida |
Por que essa mudança é profunda?
O valor real está na eliminação do atrito. O Sandbox da Vercel é usado para testes isolados, previews e desenvolvimento local realista. Exigir configurações manuais de rede para acessar um banco gerenciado era um contrassenso — especialmente em um ecossistema que promete deploy instantâneo e ambientes efêmeros.
Os malabarismos clássicos incluíam:
- Fixar IPs estáticos em listas brancas — frágil e difícil de manter em escala
- Criar regras de firewall manuais — um pesadelo para equipes com múltiplos ambientes
- Recorrer a tunelamento com Ngrok ou proxies reversos — latência extra e pontos de falha desnecessários
Agora o ritual é simples: adicione o host do banco à lista de domínios permitidos e conecte. O banco se torna parte natural do ambiente, como sempre deveria ter sido.
O Sandbox deixou de ser uma jaula para se tornar um verdadeiro playground de produção.
Implicações técnicas
Firewall baseado em SNI agora entende Postgres
Diferente do HTTPS, que envia o SNI já no ClientHello, o Postgres inicia com uma conexão TCP simples. Só depois ocorre a negociação explícita de upgrade para TLS. A Vercel implementou uma detecção inteligente que reconhece essa dança protocolar e espera o momento exato para validar o domínio e liberar o tráfego.
Requisitos de conexão — anote para não quebrar
- TLS é obrigatório: use
sslmode=requireno mínimo. Conexões plain-text são recusadas sem exceção. - GSSAPI encryption não funciona: se sua stack usa Kerberos com
sslmode=require, a conexão falhará. Migre para TLS puro antes de mudar. - Sem downgrade silencioso: mesmo com
sslmode=prefer, se o banco não suportar TLS, a conexão será intencionalmente recusada. O firewall prioriza segurança.
Importante: bancos legados que ainda operam em plain-text precisarão continuar com a abordagem antiga via liberação por IP. A nova inteligência exige TLS — e isso é proposital.
Bancos testados e totalmente funcionais
- Neon
- Supabase
- AWS RDS (Postgres)
- Nile
- Prisma Postgres
Se o seu banco está nesta lista, a conexão é imediata.
O impacto no mercado
A Vercel não está apenas corrigindo um comportamento — está removendo atrito estratégico da experiência do desenvolvedor. As implicações são claras:
- Redução drástica da barreira de entrada para usar o Sandbox com bancos reais
- Eliminação de workarounds frágeis e aceleração dos ciclos de teste e deploy
- Provedores de Postgres gerenciado se tornam cidadãos de primeira classe no ecossistema Vercel, o que pode significar mais adoção e retenção compartilhada
O recado é claro: o serverless da Vercel está amadurecendo e tratando bancos relacionais como parceiros naturais, não como intrusos.
Riscos e limitações
- TLS mandatório, sem exceção. Ambientes legados sem suporte a TLS precisarão de liberação por IP — a abordagem antiga e menos granular.
- GSSAPI não funciona. Clientes que dependem de Kerberos terão que migrar para autenticação baseada puramente em TLS ou repensar a estratégia.
- Foco exclusivo em Postgres por enquanto. Outros bancos como MySQL ou Redis com handshake semelhante ainda enfrentam o mesmo problema original e dependem de implementações específicas futuras.
Como testar agora mesmo
O caminho é curto e direto:
- No Vercel Sandbox, vá até Settings → Firewall
- Adicione o host do seu banco (ex:
db.neon.tech) à lista de domínios permitidos - Na string de conexão, garanta
sslmode=require— ouverify-fullpara produção - Conecte normalmente. O firewall agora entende o upgrade TLS e libera o tráfego
Exemplo direto com Node.js e o pacote pg:
const { Pool } = require('pg');
const pool = new Pool({
connectionString: process.env.DATABASE_URL,
ssl: { rejectUnauthorized: true }
});Nada de sslmode=disable. Nada de ?ssl=false. Apenas a configuração segura e direta que você usaria em qualquer outro lugar.
Resumo prático
- Firewall do Vercel Sandbox agora entende o handshake TLS do Postgres
- Basta adicionar o host do banco à lista de domínios permitidos — zero configuração extra
- TLS é obrigatório; GSSAPI não é suportado
- Neon, Supabase, AWS RDS, Nile e Prisma Postgres são totalmente compatíveis
- Adeus túneis, proxies e listas brancas manuais de IP
A Vercel redefiniu o que significa ser serverless. O futuro é de firewalls inteligentes que entendem protocolos, não apenas portas. Configure uma vez, conecte em qualquer lugar — e aproveite o playground de produção que o Sandbox se tornou.