网络架构

Tailscale 出口网关：出站流量策略与 Hairpin 路由深度解析 出口网关概念 Tailscale 的出口网关（Egress Gateway，也称为 Exit Node）是一种高级功能，允许 tailnet 中的设备将所有非 Tailscale 流量（即 0.0.0.0/0 和 ::/0）路由通过指定的出口节点。这类似于传统 VPN 的全隧道模式，但 Tailscale 通过 WireGuard® 协议实现零信任安全连接。 出口网关的核心作用包括： 地理位置伪装：通过位于特定地区的出口节点访问受地域限制的服务。 安全出站：在不信任网络（如公共 Wi-Fi）中，所有流量经由可信出口节点加密转发。 合规性：满足企业要求的所有流量必须经过集中审计的场景。 配置出口网关需满足前提： 出口节点设备运行 Tailscale v1.20+（Linux、macOS、Windows、Android 或 tvOS）。 通过 tailscale up --advertise-exit-node 广告出口角色。 在 admin console 中批准（Machines 页面 > Edit route settings > Use as exit node）。 使用时，客户端通过 tailscale up --exit-node=<节点 IP 或名称> 指定出口，或使用自动建议节点（--exit-node=auto:any）。 出站流量策略 Tailscale 的出站流量策略主要通过访问控制列表（ACLs）和新一代 Grants 实现 deny-by-default 原则。默认策略允许所有 tailnet 内通信，但出口使用需显式授权 autogroup:internet。 ...

引言 Kubernetes CNI（容器网络接口）插件是为 Pod 提供 pod 间通信、服务发现和网络策略的核心组件。Tailscale 作为基于 WireGuard 的零配置安全网络，能否充当完整的 Kubernetes CNI 插件，将 tailnet 转变为 Pod 的网络 overlay？ Tailscale 官方并未提供 CNI 插件，但社区实现与 Tailscale 官方 Kubernetes 集成使其成为可能。本文深入解析社区 CNI 实现、官方替代方案、权衡取舍以及实操指南。 什么是 Kubernetes CNI 插件？ CNI 插件在 Pod 创建/删除时配置网络接口。主流 CNI 包括： Calico/Flannel：Overlay 网络（VXLAN） Cilium：基于 eBPF Multus：多网络支持 Tailscale CNI 的核心能力： 为 Pod 分配 Tailscale IP 将 Pod 流量通过 Tailscale mesh（DERP 中继或直接 WireGuard）路由 无需 VPC 对等互连即可实现跨集群/节点安全通信 社区 Tailscale CNI：rmb938/tailscale-cni 主要社区项目为 rmb938/tailscale-cni（概念验证，非生产级）。 系统要求 所有 Kubernetes 节点上已安装并运行 Tailscale（tailscale up） Kubernetes 集群已配置 pod-network-cidr（如 kubeadm init --pod-network-cidr=172.18.0.0/16） 安装步骤 构建并发布 Docker 镜像 部署 Kustomize 清单，覆盖镜像地址 局限性： ...

引言 Tailscale 传统上在单一 tailnet（连接设备的安全私有网络）内运行。然而随着组织规模扩大，对多个隔离网络的需求日益增长。多 Tailnet 支持正是为此设计——允许单个 Tailscale 组织托管多个共享同一身份提供商（IdP）的 tailnet。这一功能解决了开发/预发布/生产环境隔离、客户服务隔离或沙箱测试等场景，且无需碎片化的身份管理。 本文深入解析多 tailnet 管理机制，并探讨跨 tailnet 访问的解决方案。 多 Tailnet 管理 启用多 Tailnet 多 tailnet 功能目前为 Alpha 阶段（截至 2026 年文档），需联系 Tailscale 销售团队启用： 提供显示名称（最多 65 个字符，支持字母、数字、空格、撇号、连字符）。 指定所有者（现有用户邮箱）。 选择是否"列出"（在登录选择器中可见）或未列出。 所有 tailnet 共享相同的域名和 IdP（例如 Google Workspace、Okta）。未来更新可能支持混合 IdP。 用户体验 登录选择器：用户登录时选择 tailnet。未加入的 tailnet 显示在底部（除非未列出）。 管理控制台切换：个人资料下拉菜单 → 选择 tailnet。 设备认证：OAuth 期间选择 tailnet 或使用各 tailnet 的认证密钥。 策略与配置 独立策略：ACL、标签、设备、设置均独立管理。 组同步：在一个 tailnet 启用后，可跨所有 tailnet 引用组（只读）。 用户审批：可限制加入。 ACL 示例（tailnet-policy 文件）： // Tailnet 1: group1 访问预发布环境 { "acls": [ {"action": "accept", "src": ["[email protected]"], "dst": ["tag:staging:443"]} ], "tests": [ {"action": "check", "src": ["[email protected]"], "dst": ["tag:staging:443"], "expect": "deny"} ] } 可视化策略编辑器同样支持多 tailnet 配置。 ...

引言 在安全网络领域，Tailscale 以其基于 WireGuard 的网状 VPN 彻底改变了设备互联方式。其中 Tailscale Serve 是内置的服务暴露工具，可将本地 HTTP 服务安全地共享给 tailnet 内的其他设备。但与经过实战检验的 NGINX 和新兴的 Caddy 相比，Tailscale Serve 在反向代理能力上表现如何？本文聚焦负载均衡、HTTPS 支持、Header 操控、缓存、健康检查及易用性等维度进行深度横评。 Tailscale Serve：Tailnet 原生服务暴露 Tailscale Serve（tailscale serve）是集成在 Tailscale 客户端内的 CLI 命令，通过 Tailscale 加密的 WireGuard 隧道向 tailnet 其他节点暴露本地 HTTP/HTTPS 服务。 核心特性 简易暴露：运行 tailscale serve http://localhost:8080 即可通过 MagicDNS（例如 http://mydevice.tailnet.ts.net）将本地服务代理到 tailnet。 自动 HTTPS 证书：通过 tailscale cert 获取 Let’s Encrypt 证书，支持 --https=443 安全服务。 路径前缀：支持按路径代理，例如 tailscale serve /api/ http://localhost:8080。 基础认证与 Header：能力有限，依赖 Tailscale ACL 做认证，无内置 Header 重写。 负载均衡：不支持，仅支持单一上游目标。 健康检查：不支持。 Tailnet 范围限定：默认仅 tailnet 内可达，安全策略由 ACL 兜底。 局限性： ...

引言 Tailscale 是构建在 WireGuard 之上的零配置 VPN，长期以来在其 Linux 平台上默认使用用户空间实现（wireguard-go）而非内核模块。这一选择优先考虑了跨平台一致性、简化部署以及 NAT 穿透、访问控制等附加功能。然而关于内核模块是否提供更优性能的问题一直存在争议。本文深入解析架构设计、历史背景、Tailscale 的性能优化策略，以及在内核与用户空间两种模式下 Tailscale 的基准测试对比。 背景：内核模块 vs 用户空间 WireGuard 内核模块（wireguard-linux） 引入时间：Linux 内核 5.6（2020 年）。 工作原理：原生内核网络栈处理加密/解密与数据包转发，最小化用户空间参与，减少上下文切换与复制开销。 优势：每包 CPU 开销更低，适合高吞吐（>1Gbps）、高 PPS（>100kpps）或低功耗设备（如树莓派）。 劣势：需要 root 权限，Linux 独占，内核漏洞影响整个系统安全边界。 用户空间（wireguard-go） 使用方：Tailscale（默认）、官方 WireGuard 工具用户空间模式。 工作原理：通过 TUN/TAP 接口在用户空间运行，数据包需多次穿越内核-用户空间边界（读写 TUN、UDP socket）。 优势：可移植（支持非 Linux 系统），无需安装内核模块，与用户空间功能集成更简单。 劣势：系统调用、内存复制与用户空间加密带来更高开销。 需要特别说明的是，Tailscale 的数据平面还额外叠加了 DERP 中继、ACL、MagicDNS、子网路由等功能，这使得与纯 WireGuard 的性能对比变得复杂。 Tailscale 的优化演进 Tailscale 对 wireguard-go 进行了激进的优化以缩小与内核模块的性能差距： 2022 年：吞吐量改进（v1.36） 关键改进： 在 TUN 接口上启用 TCP 分段卸载（TSO）和通用接收卸载（GRO）。 使用 sendmmsg()/recvmmsg() 实现批量 I/O。 影响：吞吐量提升 2.2 倍。在 AWS c6i.8xlarge 上的测试结果： ...

ACL 机制与策略结构 Tailscale ACL（Access Control Lists）在 tailnet policy file（huJSON）中定义，采用声明式 deny-by-default 模式。所有设备间连接均需显式授权。ACL 语法核心为 src（来源）和 dst（目标）规则，授权粒度精确到用户、组、标签和 CIDR。 基础语法结构 " ] a c { l s " " a : c t [ i o n " : " a c c e p t " , " s r c " : [ " u s e r : a l i c e @ e x a m p l e . c o m " ] , " d s t " : [ " t a g : s e r v e r : 2 2 " ] } action：accept（允许）或 drop（拒绝，隐式 deny）。 src/dst：支持 user:、group:、tag:、autogroup:、*。 端口协议：dst 格式为 [identity]:[port]/[proto]，如 tag:prod:443/tcp。 Tags：服务节点身份体系 Tags（标签）是非用户设备专用身份标识，解决传统 IP-based ACL 的动态性问题。 ...

摘要 Tailscale Funnel（公网 HTTPS 暴露）和 SSH（ts ssh Tailscale 托管 SSH）是两种核心公网暴露机制。Funnel 通过 --funnel CLI 实现公网反代，自动 Let’s Encrypt 证书；SSH 利用 Node Key 绕过传统公钥认证，依赖 ACL/Grants 细粒度控制。零信任原则：默认拒绝，ACL/Grants 显式授权。 1. Tailscale Funnel：公网 HTTPS 暴露核心 Funnel (tailscale funnel <target>) 将本地服务/文件暴露至公网 HTTPS，TLS 终止于 Tailscale Daemon。关键约束： 端口限制：仅 443/8443/10000。 Target 类型： 类型 示例 行为 HTTP 反代 tailscale funnel localhost:3000 公网 → ts.net → 127.0.0.1:3000 (HTTP) 文件/目录 tailscale funnel /path/to/dir 目录列表 + 文件服务 静态文本 tailscale funnel 'text:Hello World' 纯文本响应 TLS 终止 TCP --tls-terminated-tcp=443 localhost:8443 TCP 转发 + TLS 卸载 CLI 示例（持久化 --bg）： s # # u d 状 关 o 态 闭 : : t a t t i a a l i i s l l c s s a c c l a a e l l e e f u f f n u u n n n e n n l e e l l - s 4 b t 4 g a 3 t u o - s f h f t t - p j s s = o 4 n 4 3 l o c a l h o s t : 8 0 8 0 DNS：稳定 node.ts.net 子域，自动 CNAME 管理。 PROXY Protocol：--proxy-protocol=2 保留客户端真实 IP（后端可见原 IP/端口）。 2. Tailscale Serve vs Funnel：内部 vs 公网对比 维度 Serve (tailscale serve) Funnel (tailscale funnel) 范围 Tailnet 内（MagicDNS/100.x IP） 公网（ts.net HTTPS） TLS 可选 Let’s Encrypt 强制，Daemon 自动颁发/续期 端口 任意本地端口转发 限 443/8443/10000 用例 内网调试/协作 临时公网 Demo/Webhook 测试 风险 Tailnet ACL 隔离 公网暴露，强制 ACL + Lock 3. Tailscale SSH：托管 SSH 机制 tailscale ssh [user@]host 利用 WireGuard Node Key 双层加密，绕过传统 ~/.ssh/authorized_keys： ...

MagicDNS 机制 MagicDNS 是 Tailscale 的核心 DNS 功能，默认启用，自动为 tailnet 中的设备生成 DNS 名称。每个设备使用其 machine name 结合 tailnet DNS 名称（格式：<machine-name>.<tailnet-name>.ts.net）形成完全限定域名（FQDN）。 解析流程：设备通过本地 Quad100 DNS 解析器（IPv4: 100.100.100.100:53，IPv6: fd7a:115c:a1e0::53）处理 MagicDNS 查询。该解析器是 stub resolver，本地处理 tailnet 主机名，无需外部 DNS 服务器（Tailscale v1.20+）。 mDNS over Tailscale：MagicDNS 非标准 mDNS，而是 Tailscale 控制平面注册设备名称，本地 stub resolver 缓存并解析。避免外部 DNS 查询，绕过 DNS rebinding 防护。 限制：不支持任意记录添加（见 GitHub issue #1543）。 禁用：admin console DNS 页切换，或客户端拒绝 Tailscale DNS（Linux: tailscale set --accept-dns=false）。 Nameservers 覆盖与自定义 Tailnet DNS 设置位于 admin console DNS 页，分为全局（global）和受限（restricted）nameservers。 ...

引言 Tailscale 的 Subnet Routers 和 Exit Nodes 是构建零信任网络架构的核心组件，用于扩展 tailnet 访问本地子网或互联网流量。不同于 DERP（中继服务器，仅用于穿透 NAT 的 fallback），Tailscale 强调 WireGuard 内核级加密 + 策略路由，Subnet Routers 暴露物理子网路由（Layer 3 IP 转发），Exit Nodes 劫持默认路由（0.0.0.0/0），支持多跳拓扑和高性能内核模式。 部署基础：Flags 与系统预备 Subnet Router 部署 使用 tailscale up --advertise-routes=<CIDR> 广告路由，例如： s u d o t a i l s c a l e u p - a d v e r t i s e - r o u t e s = 1 9 2 . 1 6 8 . 1 . 0 / 2 4 , 1 0 . 0 . 0 . 0 / 8 前提：Linux/macOS/Windows，支持内核模式（Linux root）或用户空间（non-root/非 Linux）。 IP 转发启用（Linux 内核模式，必备）： e e s c c u h h d o o o ' ' s n n y e e s t t c . . t i i l p p v v - 4 6 p . . i c p e _ n t f f c o . / r a s w l y a l s r . c d f t o l = r . w d 1 a / ' r 9 d 9 | i - n t s g a u i d = l o s 1 c t ' a e l e | e . - s c a u o d n / o f e t t c e / e s y - s a c t / l e . t d c / / 9 s 9 y - s t c a t i l l . s d c / a 9 l 9 e - . t c a o i n l f s c a l e . c o n f 未启用将导致路由黑洞。用户空间模式（--tun=userspace-networking）无需此步，但仅支持 TCP/UDP 重建。 Exit Node 部署 s u d o t a i l s c a l e u p - a d v e r t i s e - e x i t - n o d e 劫持客户端默认路由（0.0.0.0/0, ::/0），所有非 tailnet 流量经此节点上网。 客户端启用：tailscale up --exit-node=<TS-IP|hostname> 或 --exit-node=auto:any（自动选低延迟）。 LAN 访问：--exit-node-allow-lan-access 允许客户端保留本地网络（默认禁用，避免泄露）。 Admin 批准：Machines 页 Edit route settings → 启用 “Use as exit node” / “Use as subnet router”。 ...

DERP 架构与机制 DERP（Designated Encrypted Relay for Packets，指定加密数据包中继）是 Tailscale 的核心中继基础设施，用于处理 tailnet（Tailscale 网络）内设备间的连接协商与加密数据转发。DERP 服务器主要承担两类职责： 连接协商与 NAT 穿越辅助：通过 DISCO（Discovery）协议转发低带宽的发现消息，帮助设备交换直接连接细节。设备首先会连接到其“Home DERP”（基于延迟测算选定的最近服务器），随后尝试基于 UDP 的直接点对点（P2P）连接。在此过程中的 DISCO 数据包被用于 NAT 打洞（包含 STUN 探测）。 数据中继回退（Fallback）：当端到端直连失败（如遇到硬 NAT、对称 NAT、或防火墙严格阻挡 UDP 流量）时，DERP 将作为回退路径，负责转发已加密的 WireGuard 数据包。所有的流量路径为：源设备 → DERP → 目标设备。数据保持端到端的 WireGuard 加密，DERP 节点本身无任何解密能力，仅执行盲转（Blind Forwarding）。 架构上，DERP 支持 IPv4/IPv6 双栈，并通过协调服务器（Control Plane）向客户端分发 DERP 地图（包含 RegionID、节点 IP/主机名、端口等信息的 JSON）。客户端在本地缓存该地图，即使协调服务器短暂宕机，也支持本地回退选路。 部署自定义 DERP 的原因与时机 Tailscale 全球部署的公共 DERP 节点已覆盖 28 个以上的区域，多数场景下无需自建。部署自定义 DERP（运行 二进制文件）通常是应对极端场景的最后手段，优先建议优化本地网络配置或使用内网的 Peer Relay（子网中继）。其典型适用时机包括： 极端的 NAT 穿越失败：遭遇 Endpoint-Dependent Mapping（对称 NAT）、CGNAT（运营商级 NAT）多层嵌套、或 UDP 协议被完全阻挡。虽然公共 DERP 依然可用，但会受到共享带宽的 QoS 限速影响。 特定链路的延迟优化：当跨大洲或跨区域流量被迫绕行远程公共 DERP 导致过高延迟时，在用户级专线或低延迟 IDC 内部署自定义 DERP 可以改善体验。 绕过限制性防火墙：部分企业或云网络默认丢弃未知 UDP 流量，但普遍放行 TCP 443（HTTPS）。自定义 DERP 可提供基于 TCP 443 端口的 TLS 隧道以及 UDP 3478 的 STUN 服务作为稳定入口。 合规与隔离需求：因合规政策明确禁止流量流经任何公共中继节点（即便流量已端到端加密），企业必须实现全链路的私有化路由控制。 部署前提与架构 前提条件说明： ...