利用 Tailscale 打造企业内网零信任安全架构

在企业多办公地点、远程办公及多云部署的大背景下，传统的基于 IP 的访问控制方式面临巨大挑战。零信任安全架构强调身份优先、持续验证、最小权限，而 Tailscale 则基于 WireGuard 协议提供了极简、安全、可拓展的零信任网络方案。

本文将手把手教你如何基于 Tailscale 打造一套高效、安全、零运维的企业内网 VPN 系统，并接入关键系统（如 GitLab、Jenkins、K8s Dashboard）。

二、架构总览

• Tailscale：构建基于身份的虚拟专网
• ACL Policy：定义访问策略，支持 GitHub/GitLab 身份认证
• Tailnet Subnet Router：将传统私网（如数据库内网）暴露至 Tailnet 网络
• Tailscale Funnel（可选）：将内网服务暴露为公网入口，替代 Nginx/Ingress

三、环境准备

• 一台或多台 Linux 服务器（支持 Ubuntu、Debian、CentOS）
• 已注册的 GitHub 或 Google 账户
• Tailscale 账户（https://tailscale.com/ 免费注册）
• 可选组件：GitLab、Jenkins、K8s 集群等测试服务

四、操作步骤

1. 安装 Tailscale

curl -fsSL https://tailscale.com/install.sh | sh

sudo tailscale up

首次执行会跳转到浏览器登录界面，使用 GitHub 或 Google 登录完成注册。

2. 配置子网路由（Subnet Router）

将某台 Linux 服务器配置为网关以暴露内网网段（如数据库内网）：

sudo tailscale up --advertise-routes=192.168.0.0/24 --accept-routes

在 Tailscale 管理后台 > Machines > Enable Subnet Routes

3. 配置 ACL 策略控制访问权限

进入 Tailscale 管理后台：

• 打开“Access Controls”页面
• 配置示例 ACL JSON：

{

"ACLs": [

{

"Action": "accept",

"Users": ["group:devops"],

"Ports": ["192.168.0.10:22", "192.168.0.11:3306"]

}

],

"Groups": {

"group:devops": ["alice@company.com", "bob@company.com"]

}

}

4. 接入 Kubernetes Dashboard

部署 K8s Dashboard 并通过 Tailscale 安全访问：

kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.7.0/aio/deploy/recommended.yaml

kubectl proxy --address=0.0.0.0 --accept-hosts='^.*#39;

在服务器上运行：

tailscale funnel 8001

通过 https://.ts.net:8001 访问 Dashboard

5. 自动化接入 GitLab 与 Jenkins

• 安装 GitLab Runner 与 Jenkins Agent 并接入 Tailscale
• 所有 DevOps 工具均可在 Tailnet 内通信
• 配置 Pipeline 时，无需暴露公网，只需使用 xxx.ts.net 形式即可互访

五、使用最佳实践

• 启用 MagicDNS，实现服务名称访问
• 启用 Key Expiry & Device Approval，增强终端控制
• 使用 OIDC 接入企业身份系统（如 Azure AD）

六、企业级拓展建议

• 使用 Tailscale SSH 实现无密钥登录，支持基于身份审计
• 利用 Tailscale Funnel 将 Dev 服务暂时暴露给客户，无需配置复杂防火墙
• 整合 Sentry/Datadog/Prometheus 实现行为可视化

七、总结

Tailscale 提供了前所未有的轻量级、即插即用的零信任网络构建能力，远远降低了企业 VPN 的部署与维护成本，同时结合身份访问控制、子网穿透和服务暴露等特性，成为构建现代 DevOps 内网平台的绝佳选择。