Tailscale 多 Tailnet：管理多个组织与跨网络访问深度解析

Fri, 03 Apr 2026 18:00:00 +0000

引言

Tailscale 传统上在单一 tailnet（连接设备的安全私有网络）内运行。然而随着组织规模扩大，对多个隔离网络的需求日益增长。多 Tailnet 支持正是为此设计——允许单个 Tailscale 组织托管多个共享同一身份提供商（IdP）的 tailnet。这一功能解决了开发/预发布/生产环境隔离、客户服务隔离或沙箱测试等场景，且无需碎片化的身份管理。

本文深入解析多 tailnet 管理机制，并探讨跨 tailnet 访问的解决方案。

多 Tailnet 管理

启用多 Tailnet

多 tailnet 功能目前为 Alpha 阶段（截至 2026 年文档），需联系 Tailscale 销售团队启用：

提供显示名称（最多 65 个字符，支持字母、数字、空格、撇号、连字符）。
指定所有者（现有用户邮箱）。
选择是否"列出"（在登录选择器中可见）或未列出。

所有 tailnet 共享相同的域名和 IdP（例如 Google Workspace、Okta）。未来更新可能支持混合 IdP。

用户体验

登录选择器：用户登录时选择 tailnet。未加入的 tailnet 显示在底部（除非未列出）。
管理控制台切换：个人资料下拉菜单 → 选择 tailnet。
设备认证：OAuth 期间选择 tailnet 或使用各 tailnet 的认证密钥。

策略与配置

独立策略：ACL、标签、设备、设置均独立管理。
组同步：在一个 tailnet 启用后，可跨所有 tailnet 引用组（只读）。
用户审批：可限制加入。

ACL 示例（tailnet-policy 文件）：

// Tailnet 1: group1 访问预发布环境
{
  "acls": [
    {"action": "accept", "src": ["group1@example.com"], "dst": ["tag:staging:443"]}
  ],
  "tests": [
    {"action": "check", "src": ["group2@example.com"], "dst": ["tag:staging:443"], "expect": "deny"}
  ]
}

可视化策略编辑器同样支持多 tailnet 配置。

跨网络访问 on Ops FreeEdge

Tailscale 多 Tailnet：管理多个组织与跨网络访问深度解析

引言

多 Tailnet 管理

启用多 Tailnet

用户体验

策略与配置