开源

Headscale vs Tailscale 托管版：自托管权衡与运营成本深度对比 引言 在现代网络架构中，Tailscale 以其基于 WireGuard 的零配置 VPN 解决方案脱颖而出。它利用 NAT 穿越技术和 DERP（Detour Encrypted Routing Protocol）中继，实现设备间的 P2P 连接。自托管开源实现 Headscale 作为 Tailscale 控制服务器（Coordination Server）的替代品，提供完全控制权，但带来了运维负担。本文深入剖析 Headscale 的架构、与 Tailscale 托管版的对比、功能对等性、运营成本、迁移路径，并为不同团队规模给出推荐。 Headscale 架构剖析 协调服务器（Coordination Server） Headscale 是 Tailscale 控制平面（Control Plane）的自托管实现，主要负责节点注册、公钥交换、IP 地址分配、ACL（Access Control List）策略执行和路由管理。它使用 Go 语言编写，支持单一 tailnet（Tailscale 网络），适合个人或小型团队。 核心组件包括： 节点注册：支持 Web 认证、预认证密钥（Pre-auth Keys）。 数据库：SQLite、PostgreSQL 或 MySQL 存储节点状态、用户和密钥。 API 服务：gRPC 和 HTTP 接口，用于客户端通信和 CLI 操作。 示例配置文件 config.yaml： server_url: https://headscale.example.com:8080 listen_addr: 0.0.0.0:8080 private_key_path: /var/lib/headscale/private.key noise: private_key_path: /var/lib/headscale/noise_private.key db_type: sqlite3 db_path: /var/lib/headscale/db.sqlite dns: magic_dns: true base_domain: example.com nameservers: - 1.1.1.1 acl_policy_path: /etc/headscale/acl.hujson derp: urls: - https://controlplane.tailscale.com/derpmap/default DERP 中继服务器替换 Tailscale 使用 DERP 服务器作为最后手段中继流量，当 P2P 失败时介入。Headscale 支持嵌入式 DERP 服务器，或指向 Tailscale 的公共 DERP 地图。但为完全自托管，可部署自定义 DERP： ...