Tailscale近期连续新发布了几个重量级特性,首先是Multiple Tailnet的支持,但此功能只面向企业组织账号发布;此外就是一个比较重要的Peer Relay特性。
Peer Relay主要解决如下问题:
1、困难NAT模式下,比如像云环境下NAT Gateway后面的主机安装了tailscale,由于采用对称模式NAT,如果与其通信的其他tailscale终端也处于困难NAT模式,两个终端之间的基于Tailscale的通信,百分百需要走中转,而Tailscale的DERP作为免费服务,并不能保证较好的质量。
2、对于自建DERP的用户,DERP的部署比较复杂,要考虑证书部署、终端验证等问题;DERP除了中转之外,还会参与到P2P打洞功能,如果端口配置有问题,很容易影响到本身能打洞的的场景。
基于此,Peer Relay目前正式以beta特性对公众发布,它的主要特点如下:
1、只要满足一些条件(如具备可以被互联网访问的公网端口),可以将即有Tailscale终端指定为Peer Relay节点。
2、Tailnet中的任意两台机器通信时,将按照 优先直连打洞,次优经Peer Relay节点访问,最后回落到DERP的方式实现通信,这样对于前面提到的困难NAT场景,如果用户有终端启用了Peer Relay,则就可以通过自已的Peer Relay中转访问,只要启用Peer Relay的终端性能够好,网络够好,那么就可以保障不错的访问体验。
3、Peer Relay终端本身属于用户自己的Tailnet,且只能被本Tailnet的机器使用,天然支持良好的鉴权机制,无需像部署DERP时还需要额外部署tailscale客户端以实现鉴权,避免被其他人盗用。
4、Peer Relay采用UDP机制通信,具有比较好的低延迟特性。
5、通过技术保证流量仍然是端到端加密处理。
当然Peer Relay实际上用起来还是有些复杂,首先Peer Relay节点要有具备公网访问能力的端口,然后需要配置Tailscale控制台新引入的Grant(替代之前的ACL)来允许使用Peer Relay,学习成本较高。
作为基于Tailscale深度定制的xEdge 干将互联产品,我们之前也有用户反馈有类似的需求,我们将密切关注此功能,待其稳定后作好易用性引入。#tailscale #xEdge #干将互联 #异地组网
Peer Relay主要解决如下问题:
1、困难NAT模式下,比如像云环境下NAT Gateway后面的主机安装了tailscale,由于采用对称模式NAT,如果与其通信的其他tailscale终端也处于困难NAT模式,两个终端之间的基于Tailscale的通信,百分百需要走中转,而Tailscale的DERP作为免费服务,并不能保证较好的质量。
2、对于自建DERP的用户,DERP的部署比较复杂,要考虑证书部署、终端验证等问题;DERP除了中转之外,还会参与到P2P打洞功能,如果端口配置有问题,很容易影响到本身能打洞的的场景。
基于此,Peer Relay目前正式以beta特性对公众发布,它的主要特点如下:
1、只要满足一些条件(如具备可以被互联网访问的公网端口),可以将即有Tailscale终端指定为Peer Relay节点。
2、Tailnet中的任意两台机器通信时,将按照 优先直连打洞,次优经Peer Relay节点访问,最后回落到DERP的方式实现通信,这样对于前面提到的困难NAT场景,如果用户有终端启用了Peer Relay,则就可以通过自已的Peer Relay中转访问,只要启用Peer Relay的终端性能够好,网络够好,那么就可以保障不错的访问体验。
3、Peer Relay终端本身属于用户自己的Tailnet,且只能被本Tailnet的机器使用,天然支持良好的鉴权机制,无需像部署DERP时还需要额外部署tailscale客户端以实现鉴权,避免被其他人盗用。
4、Peer Relay采用UDP机制通信,具有比较好的低延迟特性。
5、通过技术保证流量仍然是端到端加密处理。
当然Peer Relay实际上用起来还是有些复杂,首先Peer Relay节点要有具备公网访问能力的端口,然后需要配置Tailscale控制台新引入的Grant(替代之前的ACL)来允许使用Peer Relay,学习成本较高。
作为基于Tailscale深度定制的xEdge 干将互联产品,我们之前也有用户反馈有类似的需求,我们将密切关注此功能,待其稳定后作好易用性引入。#tailscale #xEdge #干将互联 #异地组网
