AI 帮你写好了一个页面终端里显示Local: http://localhost:3000你转手发给同事对方回你一句打不开。这可能是 AI 编程时代最常见的小尴尬应用已经跑起来了但它只跑在你的电脑里。你想让产品看一眼页面让设计确认一下细节让客户提前体验一下 Demo让第三方平台回调到本地接口结果突然被部署、服务器、域名、证书、Nginx、安全组这一串词拦住。明明只是想让别人看一下为什么像要临时当半个运维Sealtun解决的就是这个问题。它是一款面向 Sealos Cloud 和 Kubernetes 用户的本地隧道 CLI。你可以把本地 Web、SSH、数据库、调试服务快速暴露到公网也可以反过来让本机直接访问集群内的 Service 和 Pod。但第一次认识 Sealtun不需要先记一堆命令。先记住两个核心能力把本地服务一键变成公网 HTTPS 链接让本机直接访问 Sealos/Kubernetes 集群内服务**一键暴露把本地服务发给任何人看**假设你的项目正在本地 3000 端口运行。首次使用或切换账号、region 时先登录 Sealos Cloudsealtun login然后执行sealtun expose3000Sealtun 会返回一个可信任的 HTTPS URL。把这个链接发给同事、客户、测试同学、Webhook 平台或者让 AI Agent 继续拿它做联调对方就能直接访问你本机正在运行的服务。它最爽的地方不是能暴露端口而是把一堆原本很烦的准备工作直接省掉不用为了一个 Demo 先部署到云服务器不用临时配置 Nginx 反代不用手动申请 HTTPS 证书不用开安全组、配防火墙、改一堆网络规则不用让非技术同学理解什么叫 localhost很多时候你不是想上线一个系统。你只是想让别人马上看见。Sealtun 把这件事缩短成了一条命令。如果目标服务不在本机端口而是在当前机器可以访问到的某个 HTTP 地址也可以直接暴露这个 upstreamsealtun expose --target http://10.0.0.12:8080这对临时展示内网服务、调试开发环境 API、接第三方回调都很顺手。分享链接不等于裸奔链接临时预览最怕什么怕链接被转发。怕忘记关。怕谁拿到都能访问。Sealtun 的 HTTPS 隧道可以直接加访问控制。比如给预览链接加 Basic AuthexportSEALTUN_BASIC_AUTH_PASSWORDchange-mesealtun expose3000\--basic-auth-user admin\--basic-auth-password-env SEALTUN_BASIC_AUTH_PASSWORD还可以创建 1 小时后自动失效的临时分享链接sealtun share create --name review --ttl 1h除此之外HTTPS 隧道还支持 Bearer Token、IP allowlist/denylist、限流、访问审计、server secret 轮换。这些能力不需要小白用户一上来全部学会但它们很关键当发给别人看一下变成真实工作流访问控制和可回收能力就必须跟上。集群内访问把 Sealos 服务拉到本机前面的 expose 是把本地服务推到公网。Sealtun 还有一个反方向的能力connect。它可以让你的本机直接访问当前 Sealos/Kubernetes namespace 里的 Service FQDN、Service ClusterIP 和 Pod IP。使用前需要有 Sealos Cloud 登录态。首次使用或切换账号、region 时先执行sealtun login在 Linux 下执行sealtun connect--checksudosealtun connect启动后你可以像访问普通网络地址一样访问集群里的服务curlhttp://my-service.ns-xxxx.svc.cluster.local:8080curlhttp://10.96.0.12:8080curlhttp://10.244.0.22:3000这件事对开发体验的提升很明显。以前你想让本机工具访问集群里的服务常见做法是端口转发、代理、临时脚本或者给不同客户端分别配置 SOCKS/HTTP 代理。工具一多配置就乱。Sealtun 的 connect 走的是透明 TCP 模式。它会临时写入本机 iptables 和 /etc/hosts把目标 TCP 连接转发到 Kubernetes pods/portforward。也就是说MySQL、Redis、curl、浏览器、本地调试工具都不需要各自单独配置代理。你只要正常访问目标地址。适合这些场景本地代码要调用集群里的 API本机工具要连接集群内数据库或缓存临时排查某个 Service 或 Pod不想为了访问集群服务反复写 kubectl port-forward停止也很清楚sudo sealtun disconnect正常 Ctrl-C 或 disconnect 会清理 Sealtun 写入的网络规则。需要注意的是connect 当前主要面向 Linux 透明 TCP 场景需要 root 权限不支持 ICMP/ping 和 UDP。macOS 和 Windows 会明确提示暂不支持。为什么说它特别适合 Sealos 用户普通内网穿透工具解决的是公网能不能访问我。Sealtun 更进一步它把隧道放回 Sealos 和 Kubernetes 的工作流里。公网入口、证书、Ingress、Service、Pod、日志、事件、诊断、资源状态都在同一个上下文里。这意味着链接打不开时你不用在多个平台之间来回猜是本地端口没启动是本地 daemon 断了是远端 Pod 没 Ready是 Service 或 Ingress 出问题是证书或域名没生效可以直接用这些命令排查sealtun list sealtun doctor sealtun doctortunnel-idsealtun logstunnel-idsealtun eventstunnel-idsealtun resourcestunnel-id也可以打开本地工作台sealtun dashboard --openDashboard 可以看隧道状态、日志、指标、事件、资源也可以创建、停止、恢复、清理隧道。对不想一直敲命令的人来说它就是一个更直观的本地控制台。让 AI 也学会用 Sealtun现在越来越多人不是自己从零写项目而是让 Codex、Cursor、Claude Code 这类 AI 工具先把应用跑起来。AI 很擅长告诉你服务已启动请访问 http://localhost:3000但问题是下一步往往不是“我自己打开看看”而是发给同事预览填到 Webhook 回调地址让另一个 Agent 继续联调临时暴露给手机或外部系统测试这时候AI 只知道“应用跑在 localhost”还不够。它还应该知道怎么把这个本地服务安全地暴露出去什么时候应该只给你命令建议什么时候必须先检查登录态、本地端口和隧道状态什么时候不能擅自执行会改变云端资源的操作。所以 Sealtun 仓库里准备了一份给 Codex 使用的 Skill。你可以把它理解成一份“AI 可读的 Sealtun 使用说明书”npx skills add https://github.com/gitlayzer/sealtun安装后当你在 Codex 里说“把本地 3000 端口暴露出去”“Sealtun给我一个SealtunWebhook回调地址”、“Sealtun 给我一个 Sealtun Webhook 回调地址”、“Sealtun给我一个SealtunWebhook回调地址”、“Sealtun 帮我排查 Sealtun 隧道为什么打不开”时AI 不需要从零猜命令也不需要临时翻 README。它会更快理解你要用的是 Sealtun要连接的是 Sealos Cloud要处理的是本地服务、公网访问、集群内服务访问或隧道排障。更重要的是它不只是让 AI 记住几个命令而是让 AI 更懂操作边界。比如你只是问怎么用它优先给命令说明不直接创建隧道你明确要求执行它会先检查登录、端口和当前状态你在排障它会先看本地端口、session、daemon、远端资源和证书状态遇到 expose、apply、domain set、stop、cleanup 这类会改变状态的命令它会更谨慎❝AI 编程时代CLI 不能只对人友好也要对 Agent 友好。Sealtun 的 Skill 做的就是这件事不是让你去学习 Skill而是让 AI 更会使用 Sealtun。这样 AI 不只是帮你写代码也能更可靠地帮你打通本地到公网、本地到集群的最后一段路。进阶功能留给想继续探索的人如果你只是想把本地页面发出去记住首次使用或切换账号/region 时执行sealtun loginsealtun expose 3000如果你想从本机访问集群内服务记住首次使用或切换账号/region 时执行sealtun login sealtun connect--checksudosealtun connect这两条路径已经能覆盖很多日常场景。更多偏极客的能力Sealtun 也已经准备好了自定义域名domain plan/add/verify/status/doctor临时分享链接share create/list/revoke/rotateSSH 公网访问sealtun expose 22 --protocol ssh通用 TCP 暴露sealtun expose 5432 --protocol tcp协议模板template https|ssh|tcp|mysql|postgres|redis|mqtt声明式配置用 sealtun.yaml 管理多条隧道状态诊断doctor、logs、events、metrics、resources本地工作台sealtun dashboard --open不确定命令怎么写时可以用 sealtun init 做引导。它会根据当前登录状态和本地监听端口推荐命令和 sealtun.yaml但它不是必经步骤。❝Sealtun 项目地址https://github.com/gitlayzer/sealtun Sealos 国内集群地址https://cloud.sealos.run如果你经常被 localhost 分享、Webhook 回调、本地调集群服务这些问题打断可以试试 Sealtun。别让一个已经跑起来的 Demo卡在别人打不开这一步。