IaC on Ops FreeEdge https://ops.freeedge.uk/tags/iac/ Recent content in IaC on Ops FreeEdge Hugo en-us Sat, 04 Apr 2026 03:00:00 +0000 Tailscale Terraform Provider:基础设施即代码与 Tailnet 策略管理深度解析 https://ops.freeedge.uk/posts/tailscale-terraform-provider/ Sat, 04 Apr 2026 03:00:00 +0000 https://ops.freeedge.uk/posts/tailscale-terraform-provider/ <h1 id="tailscale-terraform-provider基础设施即代码与-tailnet-策略管理深度解析">Tailscale Terraform Provider:基础设施即代码与 Tailnet 策略管理深度解析</h1> <h2 id="引言">引言</h2> <p>在现代 DevOps 实践中,基础设施即代码(Infrastructure as Code, IaC)已成为标准范式。Tailscale 作为一款零配置 VPN 解决方案,其 Tailnet(Tailscale 网络)策略管理同样可以借助 Terraform Provider 实现自动化。通过 Tailscale 官方维护的 Terraform Provider(<code>tailscale/tailscale</code>),用户能够以声明式方式管理 ACL(访问控制列表)、DNS 配置、设备标签、认证密钥(Auth Keys)和子网路由等核心资源,实现 GitOps 工作流的全自动化。</p> <p>本文将深入剖析该 Provider 的架构、核心资源、使用示例、GitOps 集成、状态管理和从手动配置向 IaC 迁移的策略。无论是初学者还是资深运维工程师,都能从中获益。</p> <h2 id="tailscale-terraform-provider-概述">Tailscale Terraform Provider 概述</h2> <p>Tailscale Terraform Provider 是 Tailscale 团队基于 Terraform Plugin SDK 开发的官方插件,托管于 <a href="https://registry.terraform.io/providers/tailscale/tailscale/latest">Terraform Registry</a>。其源代码位于 <a href="https://github.com/tailscale/terraform-provider-tailscale">GitHub</a>,支持 Tailscale API v2 的所有相关端点。</p> <h3 id="支持的核心资源">支持的核心资源</h3> <p>Provider 支持以下关键资源,用于 Tailnet 策略管理:</p> <table> <thead> <tr> <th>资源名称</th> <th>描述</th> <th>主要功能</th> </tr> </thead> <tbody> <tr> <td><code>tailscale_acl</code></td> <td>Tailnet 策略文件(ACL)</td> <td>定义 grants、hosts、ACL 等策略规则</td> </tr> <tr> <td><code>tailscale_tailnet_key</code></td> <td>认证密钥(Auth Key)</td> <td>生成可重用、临时、预授权、带标签密钥</td> </tr> <tr> <td><code>tailscale_dns_nameservers</code></td> <td>全局 DNS 名称服务器</td> <td>配置 nameservers 和 fallback</td> </tr> <tr> <td><code>tailscale_dns_search_paths</code></td> <td>分割 DNS 搜索路径</td> <td>限制域名到特定 nameservers</td> </tr> <tr> <td><code>tailscale_dns_preferences</code></td> <td>MagicDNS 偏好设置</td> <td>启用/禁用 MagicDNS、overrides 等</td> </tr> <tr> <td><code>tailscale_device_tags</code></td> <td>设备标签</td> <td>为设备应用 ACL 标签</td> </tr> <tr> <td><code>tailscale_device_subnet_routes</code></td> <td>设备子网路由</td> <td>广告子网路由</td> </tr> <tr> <td><code>tailscale_device_authorization</code></td> <td>设备授权</td> <td>批准设备加入 Tailnet</td> </tr> </tbody> </table> <p>这些资源覆盖了 Tailnet 策略的 90% 以上场景,支持 Hujson/JSON 格式策略定义。</p>