用了很久的Tailscale,我的部署方式最近彻底变了。以前每个LXC容器和虚拟机里都塞一个Tailscale客户端,现在换成了子网路由器的集中式方案。这个改动让我的家庭实验室架构简单了不少,但也暴露出一些之前没意识到的安全隐患。

早期折腾家庭实验室的时候,我喜欢在GitHub上搜罗各种开源项目,用虚拟机和LXC容器当实验田。大部分项目纯属尝鲜,真正用得上的没几个,所以远程访问也不是刚需。当时只在少数几个容器里装Tailscale,笔记本和NAS这两台物理机也装一个,算是够用。

打开网易新闻 查看精彩图片

这种分散部署看起来灵活,每个服务独立可控。但问题随着规模扩大逐渐显现:节点越来越多,每个都要单独维护Tailscale实例,配置碎片化严重。更麻烦的是,这种"每个容器一个代理"的模式,实际上把网络边界搞得更复杂了。

切换到子网路由器之后,整个拓扑清晰了很多。一台设备充当网关,整个子网内的所有节点共享同一个出口,不再需要逐个容器配置。管理界面里的设备列表从几十条缩到几条,排查连接问题也省事多了。

不过安全层面的考量比表面看起来更微妙。子网路由器意味着一旦这台网关被突破,整个子网都暴露在风险中。而之前的分散部署虽然繁琐,但单个容器沦陷的影响范围相对有限。这种权衡没有标准答案,取决于你的威胁模型——是更怕管理疲劳导致的人为失误,还是更怕单点故障的连锁反应。

我的选择是基于实际使用场景:家庭实验室里跑的绝大多数服务都是内部工具,对外暴露的面本来就小。子网路由器加上适当的防火墙规则,比维护十几个分散的Tailscale实例更可持续。如果你也在用类似的工具链,或许值得重新审视一下自己的网络架构——有时候减法比加法更难做,但效果往往更好。