引言

Kubernetes CNI(容器网络接口)插件是为 Pod 提供 pod 间通信、服务发现和网络策略的核心组件。Tailscale 作为基于 WireGuard 的零配置安全网络,能否充当完整的 Kubernetes CNI 插件,将 tailnet 转变为 Pod 的网络 overlay?

Tailscale 官方并未提供 CNI 插件,但社区实现与 Tailscale 官方 Kubernetes 集成使其成为可能。本文深入解析社区 CNI 实现、官方替代方案、权衡取舍以及实操指南。

什么是 Kubernetes CNI 插件?

CNI 插件在 Pod 创建/删除时配置网络接口。主流 CNI 包括:

  • Calico/Flannel:Overlay 网络(VXLAN)
  • Cilium:基于 eBPF
  • Multus:多网络支持

Tailscale CNI 的核心能力:

  • 为 Pod 分配 Tailscale IP
  • 将 Pod 流量通过 Tailscale mesh(DERP 中继或直接 WireGuard)路由
  • 无需 VPC 对等互连即可实现跨集群/节点安全通信

社区 Tailscale CNI:rmb938/tailscale-cni

主要社区项目为 rmb938/tailscale-cni(概念验证,非生产级)。

系统要求

  • 所有 Kubernetes 节点上已安装并运行 Tailscale(tailscale up
  • Kubernetes 集群已配置 pod-network-cidr(如 kubeadm init --pod-network-cidr=172.18.0.0/16

安装步骤

  1. 构建并发布 Docker 镜像
  2. 部署 Kustomize 清单,覆盖镜像地址

局限性

  • 不支持 NetworkPolicy
  • POC 状态:需充分测试

GitHub Issue #4794 请求官方支持跨区域/云集群与本地爆发场景。

Tailscale + Kubenet(tailsk8s 方案)

dhermes/tailsk8s 项目使用 kubenet(简单 Linux 网桥)+ Tailscale 子网路由:

配置步骤

  1. 配置 CNI 网桥/回环接口:
{
  "cniVersion": "0.4.0",
  "name": "tailsk8s",
  "type": "bridge",
  "bridge": "cnio0",
  "isGateway": true,
  "ipMasq": true,
  "ipam": {
    "type": "host-local",
    "ranges": [[{"subnet": "10.100.0.0/16"}]]
  }
}
  1. 每个节点将自己的 pod CIDR advertised 为 Tailscale 子网路由:
t a i l s c a l e u p - a c c e p t - r o u t e s - a d v e r t i s e - r o u t e s = 1 0 . 1 0 0 . 2 . 0 / 2 4
  1. 使用 Tailscale API 自动启用路由

节点通过 Tailscale mesh 路由 Pod 流量,跨节点 Pod 通信无缝衔接。

优势:简单直接,复用 Tailscale ACL 劣势:依赖子网路由,规模随节点数增长

Tailscale 官方 Kubernetes 集成

Tailscale 提供了完善的 Kubernetes 支持,但非完整 CNI:

1. Kubernetes Operator

  • 将 Service 暴露给 tailnet(ingress)
  • 访问 tailnet 内部服务(egress)
  • API Server 代理
kubectl apply -f https://github.com/tailscale/tailscale-operator/releases/latest/download/operator.yaml

2. Sidecar 模式

  • 在 Pod 内运行 Tailscale,实现双向 tailnet 访问

3. Proxy 模式

  • 通过 Tailscale Proxy Pod 暴露 ClusterIP Service

4. 子网路由模式

  • 通过 Tailscale 访问整个集群 CIDR

MagicDNS:设置 TS_ACCEPT_DNS=true 启用 Pod 内 DNS。

性能与安全考量

维度 说明
延迟 DERP 中继增加约 50-100ms;直接 WireGuard 接近原生
加密 端到端 WireGuard 加密
访问控制 Tailscale 策略 > Kubernetes NetworkPolicy
规模 大型集群建议按节点部署子网路由
用户空间模式 权限更低,SOCKS5/HTTP 代理用于出口流量

目前无 Tailscale CNI 官方基准测试,但 WireGuard 性能优于 VXLAN overlay。

Tailscale 作为 K8s Overlay 的优缺点

维度 优势 劣势
安全性 零信任、ACL、无需 VPC 对等 社区 CNI 成熟度低
简易性 Mesh VPN、多云/本地统一网络 子网路由管理复杂度
运维 通过 Tailscale API/Terraform 实现 GitOps POC 不支持原生 NetworkPolicy
性能 WireGuard 高速 中继开销

快速入门

  1. 在所有节点安装 Tailscale
  2. 部署社区 CNI 或 kubenet + 子网路由
  3. 跨节点测试 Pod 互通:curl http://<pod-ip>
  4. 通过 Tailscale ACL 保障安全

生产环境建议:优先使用 Operator + 子网路由,而非 POC CNI。

结论

Tailscale 通过社区 CNI 或 kubenet hack 方案可作为 Kubernetes 网络 overlay,官方工具覆盖了大多数场景(ingress/egress)。对跨云爆发场景有需求的用户可关注官方 CNI 进展。

参考来源:GitHub rmb938/tailscale-cni、Tailscale 官方 Kubernetes 文档、Tailscale Discuss 论坛。