Tailscale ACL 策略管理深度解析
ACL 机制与策略结构 Tailscale ACL(Access Control Lists)在 tailnet policy file(huJSON)中定义,采用声明式 deny-by-default 模式。所有设备间连接均需显式授权。ACL 语法核心为 src(来源)和 dst(目标)规则,授权粒度精确到用户、组、标签和 CIDR。 基础语法结构 " ] a c { l s " " a : c t [ i o n " : " a c c e p t " , " s r c " : [ " u s e r : a l i c e @ e x a m p l e . c o m " ] , " d s t " : [ " t a g : s e r v e r : 2 2 " ] } action:accept(允许)或 drop(拒绝,隐式 deny)。 src/dst:支持 user:、group:、tag:、autogroup:、*。 端口协议:dst 格式为 [identity]:[port]/[proto],如 tag:prod:443/tcp。 Tags:服务节点身份体系 Tags(标签)是非用户设备专用身份标识,解决传统 IP-based ACL 的动态性问题。 ...