组织管理

引言 Tailscale 传统上在单一 tailnet（连接设备的安全私有网络）内运行。然而随着组织规模扩大，对多个隔离网络的需求日益增长。多 Tailnet 支持正是为此设计——允许单个 Tailscale 组织托管多个共享同一身份提供商（IdP）的 tailnet。这一功能解决了开发/预发布/生产环境隔离、客户服务隔离或沙箱测试等场景，且无需碎片化的身份管理。 本文深入解析多 tailnet 管理机制，并探讨跨 tailnet 访问的解决方案。 多 Tailnet 管理 启用多 Tailnet 多 tailnet 功能目前为 Alpha 阶段（截至 2026 年文档），需联系 Tailscale 销售团队启用： 提供显示名称（最多 65 个字符，支持字母、数字、空格、撇号、连字符）。 指定所有者（现有用户邮箱）。 选择是否"列出"（在登录选择器中可见）或未列出。 所有 tailnet 共享相同的域名和 IdP（例如 Google Workspace、Okta）。未来更新可能支持混合 IdP。 用户体验 登录选择器：用户登录时选择 tailnet。未加入的 tailnet 显示在底部（除非未列出）。 管理控制台切换：个人资料下拉菜单 → 选择 tailnet。 设备认证：OAuth 期间选择 tailnet 或使用各 tailnet 的认证密钥。 策略与配置 独立策略：ACL、标签、设备、设置均独立管理。 组同步：在一个 tailnet 启用后，可跨所有 tailnet 引用组（只读）。 用户审批：可限制加入。 ACL 示例（tailnet-policy 文件）： // Tailnet 1: group1 访问预发布环境 { "acls": [ {"action": "accept", "src": ["[email protected]"], "dst": ["tag:staging:443"]} ], "tests": [ {"action": "check", "src": ["[email protected]"], "dst": ["tag:staging:443"], "expect": "deny"} ] } 可视化策略编辑器同样支持多 tailnet 配置。 ...