tailscale 简介
- Tailscale 是一种现代 VPN 服务,基于 WireGuard 协议开发。它可以在你的网络中的计算机之间创建一个覆盖网络,并使用 NAT 穿透技术进行连接
tailscale 特点
- NAT 穿透:Tailscale 使用 NAT Traversal 技术来实现不同网络之间的连接,使得不同位置的设备能够无缝连接。
- 开放源代码:Tailscale 大部分是开源的,包括 WireGuard 协议的实现
- 控制服务器:Tailscale 的控制服务器负责在 Tailscale 网络(tailnet)中的节点之间交换 WireGuard 公钥。它负责分配客户端的 IP 地址,管理用户之间的边界,支持用户之间的机器共享,并暴露节点的广告路由
- 专属网络:Tailscale 网络(tailnet)是一个专属网络,由 Tailscale 分配给用户,可以是私人用户也可以是组织。通过这个网络,用户可以在多个设备之间创建安全、私有的连接
- headscale 是开源自托管的 tailscale 控制服务器实现
tailscale 工作原理
数据平面: Tailscale 使用 WireGuard 在节点之间创建加密隧道
- 它可以实现多点 VPN 连接,优化流量路由,提高效率
控制平面: Tailscale 使用一个称为协调服务器的中央服务器(例如 login.tailscale.com)来管理密钥交换和网络配置
- 每个节点生成一个随机的公钥/私钥对,并将公钥与身份关联
身份验证和登录: Tailscale 通过 OAuth2、OIDC 或 SAML 提供商进行身份验证。用户登录后,会自动在协调服务器上创建一个安全的密钥共享空间
- NAT 穿透: Tailscale 使用 STUN 和 ICE 标准进行 NAT 穿透,即使节点位于不同的防火墙后面,仍可以相互连接
加密 TCP 转发(DERP): 在某些情况下,网络可能会阻止 UDP 流量。Tailscale 提供了 DERP 服务器,以通过 HTTPS 流量进行转发
其他
访问控制列表(ACL)和安全策略: Tailscale 使用中央协调服务器上的安全策略来管理节点的访问控制
- 审计日志: Tailscale 允许您将每个节点的内部网络连接异步记录到中央日志服务,以进行审计和监控
- 增量部署: Tailscale 可以逐步部署,起初只需在两个设备上安装 Tailscale 节点软件,然后随着信心增加,可以在更多的服务器或容器上安装 Tailscale
- Author:白鸟3
- URL:https://blog.kun2peng.top/operation/tailscale_intro
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
