DevOps

引言 Tailscale 的 REST API v2 提供了 tailnet 的全生命周期管理接口，支持设备注册、ACL 更新、DNS 配置和 key 生成等 CRUD 操作。相较于 CLI，此 API 更适合 IaC（Infrastructure as Code）集成，如 Terraform Provider 和 GitOps 管道。 本文聚焦 API 核心端点实战，包含 Python/curl 示例、Terraform 配置，以及企业级自动化方案。通过表格总结端点权限，帮助构建零接触网络部署，实现从代码到 tailnet 的全自动化。 Tailscale API 采用 OAuth2（API Key 或 OIDC），速率限制为 100 req/min，支持 webhook 事件驱动。 Tailscale REST API 核心概念与认证 API 认证与权限模型 使用 Tailscale API Key（headless 或 interactive），通过 Authorization: Token tskey-xxxx。 端点类型 HTTP 方法 权限要求 示例路径 设备管理 GET/POST/DELETE devices:read/write /api/v2/tailnets/{net}/devices ACL 配置 PATCH acls:write /api/v2/tailnets/{net}/policy DNS 设置 PUT dns:write /api/v2/tailnets/{net}/dns Key 生成 POST authkeys:write /api/v2/tailnets/{net}/keys # curl 示例：列出设备 curl -H "Authorization: Token tskey-api-xxxx" \ https://api.tailscale.com/api/v2/tailnets/tskey-xxxx/devices \ | jq '.' 设备 CRUD 操作详解 # Python 示例：使用 requests 自动化设备管理 import requests TS_API_KEY = "tskey-api-xxxx" NET_ID = "tskey-net-xxxx" base_url = f"https://api.tailscale.com/api/v2/tailnets/{NET_ID}" headers = {"Authorization": f"Token {TS_API_KEY}"} # 创建设备 device = { "hostname": "k3s-node-01", "ephemeral": True, "tags": ["tag:k3s"] } resp = requests.post(f"{base_url}/devices", json=device, headers=headers) print(resp.json()) 基础设施自动化：Terraform 与 GitOps Terraform Tailscale Provider 集成 官方 provider 支持 HCL 声明式管理。 ...

Tailscale Terraform Provider：基础设施即代码与 Tailnet 策略管理深度解析 引言 在现代 DevOps 实践中，基础设施即代码（Infrastructure as Code, IaC）已成为标准范式。Tailscale 作为一款零配置 VPN 解决方案，其 Tailnet（Tailscale 网络）策略管理同样可以借助 Terraform Provider 实现自动化。通过 Tailscale 官方维护的 Terraform Provider（tailscale/tailscale），用户能够以声明式方式管理 ACL（访问控制列表）、DNS 配置、设备标签、认证密钥（Auth Keys）和子网路由等核心资源，实现 GitOps 工作流的全自动化。 本文将深入剖析该 Provider 的架构、核心资源、使用示例、GitOps 集成、状态管理和从手动配置向 IaC 迁移的策略。无论是初学者还是资深运维工程师，都能从中获益。 Tailscale Terraform Provider 概述 Tailscale Terraform Provider 是 Tailscale 团队基于 Terraform Plugin SDK 开发的官方插件，托管于 Terraform Registry。其源代码位于 GitHub，支持 Tailscale API v2 的所有相关端点。 支持的核心资源 Provider 支持以下关键资源，用于 Tailnet 策略管理： 资源名称 描述 主要功能 tailscale_acl Tailnet 策略文件（ACL） 定义 grants、hosts、ACL 等策略规则 tailscale_tailnet_key 认证密钥（Auth Key） 生成可重用、临时、预授权、带标签密钥 tailscale_dns_nameservers 全局 DNS 名称服务器 配置 nameservers 和 fallback tailscale_dns_search_paths 分割 DNS 搜索路径 限制域名到特定 nameservers tailscale_dns_preferences MagicDNS 偏好设置 启用/禁用 MagicDNS、overrides 等 tailscale_device_tags 设备标签 为设备应用 ACL 标签 tailscale_device_subnet_routes 设备子网路由 广告子网路由 tailscale_device_authorization 设备授权 批准设备加入 Tailnet 这些资源覆盖了 Tailnet 策略的 90% 以上场景，支持 Hujson/JSON 格式策略定义。 ...