VS Code Remote Tunnels 通过出站 HTTPS 连接微软中继服务建立加密反向隧道，无需公网 IP 或防火墙配置，依赖设备 OAuth 令牌、短期证书及签名时效 URL 实现安全免配；支持跨设备开发、教学协作与远程调试，但仅限 HTTP/HTTPS 和 VS Code 协议，不支持 TCP 转发。

VS Code Remote Tunnels 不是把本地端口直接暴露给公网，而是通过微软托管的中继服务建立加密反向隧道——你的机器主动连接云端中继节点，所有流量经 TLS 加密、双向认证，不开放任何入站端口，也不依赖你配路由器或防火墙。

它怎么做到“安全又免配置”？

核心机制是“出站优先”：本地 VS Code 启动后，会通过 HTTPS（443 端口）主动连接微软的 tunnel relay 服务，握手时使用设备级 OAuth 令牌和短期证书。公网用户（比如协作同事）拿到的是一个带签名的、有时效的 tunnel URL（形如 https://abcd1234-5678.vsc.tun01.vscode-cdn.net），该 URL 只能访问你明确共享的端口或远程开发环境，且默认 24 小时自动过期。

• 没有公网 IP？没关系，NAT 或企业内网下也能连
• 不用开 22、3000、5000 这类端口，防火墙零改动
• 每次连接都需你本地确认（弹窗授权），防静默接入
• 支持细粒度权限控制：可限制只允许打开文件、不允许终端或调试

谁在用？适合什么场景？

典型用户不是想搭个人博客或 API 服务，而是需要临时、可控、低门槛的远程协作或跨设备开发：

• 学生交作业前请助教快速看一眼本地运行效果（比如 React 预览页）
• 在家调试公司内网无法直连的测试服务，用隧道把本地 dev server “透出去”给 QA 验收
• 用 iPad 或 Chromebook 连自己笔记本上的完整 VS Code 环境，写代码不卡顿
• 面试时共享一个干净的编码环境，对方只能看到你开的文件夹和允许的端口

几个关键注意事项

它很轻量，但不是万能代理，用之前看清边界：

• 免费账户最多同时开启 4 个隧道；付费 GitHub / Microsoft 账户可升到 10 个
• 不支持 TCP 端口转发（比如数据库、SSH、自定义协议），只支持 HTTP/HTTPS 和 VS Code Remote 协议
• 中继节点目前主要部署在美东、西欧、日本等区域，亚洲用户可能有轻微延迟（通常
• 本地机器必须在线且 VS Code 正在运行——关机、休眠或退出客户端，隧道就断了

基本上就这些。它不复杂，但容易忽略“它是 VS Code 的延伸，不是 ngrok 替代品”。用对场景，就是一把安静又可靠的钥匙。