说个可能得罪人的话：Sealos 私有化部署，真没大家吹得那么"开箱即用"。

我最近帮几个客户做离线环境部署，踩的坑比预想的多。今天不聊成功案例，专门聊聊那些"官方文档不会告诉你"的风险点。

离线镜像同步是个无底洞

网上教程都说"sealos pull 一下就行"。现实是，你得在一台能联网的机器上先把所有镜像拉下来，打包，再想办法搬到离线环境。

问题来了：镜像依赖链比你想象的长。

你以为拉了 kubernetes 就够了？ingress-nginx、coredns、metrics-server、各种 CRD operator……漏一个，集群就跑不起来。我有次部署，光补镜像就来回搬了三趟 U 盘。

版本兼容是隐形炸弹

Sealos 更新很快，这本来是好事。但在离线环境，这成了风险。

你三个月前打的离线包，今天拿出来用，可能发现：

• 内核版本不匹配

• containerd 版本有 breaking change

• 某个组件的 API 已经废弃

建议：离线包打完，立刻在测试环境跑一遍。别等到现场才发现问题。

DNS 和证书问题被严重低估

内网环境没有公网 DNS，这意味着：

• 你得自己搭 CoreDNS 并维护解析记录

• 自签证书的信任链要手动配置到每个节点

• 如果用了 DevBox 这类功能，域名解析会更复杂

我见过最离谱的 case：客户内网有自己的 DNS，和 K8s 的 CoreDNS 打架，Pod 里解析外部域名正常，解析 Service 就挂。排查了两天。

我的真实建议

1. 别急着上生产，先在完全隔离的测试环境把坑趟一遍

2. 镜像清单要穷举，用sealos images导出完整列表，一个都不能少

3. 文档要自己写，官方文档是给联网环境的，离线环境的特殊配置你得自己记录

Sealos 本身是个好东西，K8s 部署确实被简化了很多。但"简化"不等于"无脑"。离线环境的复杂度，不会因为工具好用就消失。

工具再好，也得看谁用、怎么用。