ハクソク

世界を動かす技術を、日本語で。

Tailscale Peer Relaysが一般提供開始されました

96日前原文(tailscale.com)

概要

  • Tailscale Peer Relays の一般提供開始
  • 高スループット信頼性 を実現するリレー機能
  • 制約の多いクラウド環境 での活用を強化
  • 監査性・可視性 の向上
  • すべてのTailscaleプランで 利用可能

Tailscale Peer Relays 一般提供開始

  • Tailscale Peer Relays の一般提供(GA)開始
  • カスタマー運用型 リレーによる高スループット中継の本番運用対応
  • DERPリレー に加え、任意ノードでのリレー機能実現
  • NAT越え困難 な環境でも安定した接続維持
  • パフォーマンス・信頼性・可視性 の大幅向上

パフォーマンスとスケーラビリティの強化

  • 多数クライアント 同時中継時のスループット向上
  • 複数インターフェース・アドレスファミリから 最適な経路自動選択
  • ロック競合改善 によるパケット処理効率化
  • 利用可能な場合、 複数UDPソケット へのトラフィック分散
  • メッシュネットワーク に近いパフォーマンス実現

制約の多いクラウド環境での静的エンドポイント対応

  • パブリッククラウド や厳格なファイアウォール環境での自動エンドポイント発見の困難
  • --relay-server-static-endpoints フラグで 固定IP:ポート を広告
  • AWS Network Load Balancer 等のインフラ背後でもリレー利用可能
  • NATトラバーサル不可 な環境での高スループット接続確保
  • サブネットルーター代替 としても活用、MagicDNSやTailscale SSH等のコア機能利用

監査性・可視性の向上

  • tailscale ping との連携でリレー経路の利用・到達性・遅延確認
  • トラブルシュート時 の中継状況・リレー正常性・パフォーマンス影響把握
  • tailscaled_peer_relay_forwarded_packets_totaltailscaled_peer_relay_forwarded_bytes_total 等のクライアントメトリクス提供
  • PrometheusやGrafana 等の監視システム連携
  • リレー利用状況・トラフィック傾向・異常検知・ヘルス監視 の実現

今後の展望と導入方法

  • 本番ネットワークでの コア機能 として位置付け
    • 直接経路不可時 の高スループット・低遅延接続
    • 静的エンドポイント 経由のクラウド展開
    • プライベートサブネット でのフルメッシュ構成
  • インテリジェントな経路選択堅牢な可観測性・監査性・デバッグ性
  • エンドツーエンド暗号化・最小権限アクセス・シンプル運用 の維持
  • CLI経由 で任意ノードにPeer Relay有効化
  • ACLによる制御 や既存リレー基盤との段階的併用が可能
  • 全プラン対応 (Personalプラン含む)
  • 導入支援やスループット要件 はサポートへ問い合わせ推奨

Hackerたちの意見

つい最近これを設定したんだけど、pingが16msから10msに下がって、帯域幅も3倍になったよ。リモートのNATサイトから自宅のMatterデスクトップに接続してるんだ。Moonlight/Sunshineを使えば、MacBookからLinuxデスクトップでWindowsゲームがプレイできるようになって、50Mbps/10msでストリーミングできてる。今のところ順調だよ!ポートフォワードは一切してないし、ルーターをピアノードとして設定しただけ。

ネットワーク側でどんなハードウェア使ってる?

いくつかのポートが開いてるけど(自分で開けるわけじゃなくてTailscaleが開ける)、ピアリレー用のポートも含まれてる。いくつかはVPN用のポートだけど、リレーサーバー用のポートはVPN用じゃないから、あれはそのポートをリッスンしてるソフトウェアがWireGuardやOpenVPNに比べてずっと安全性が低いんじゃないかなって思う。

いい使い方だね。でも正直言うと、NATトラバーサルやポートフォワーディングを、自分ではコントロールできない自動的なヘルパープロトコルに「オフロード」しただけだよね。

Apolloを試してみるのもいいかもね: https://github.com/ClassicOldSong/Apollo (サンシャインについて)

それ、めっちゃワクワクするね!もし一般公開にゲームストリーミングを共有したいなら、相手もデバイスにTailscaleをインストールしたりログインしたりしなきゃいけないの?それってどういう仕組みなの?Tailscaleは一般の人とじゃなくて、信頼できる人とリソースを共有するために作られてるって考えていいのかな?

Tailscaleはどうやってお金を稼いでるの?サービスはすごく気に入ってるけど、将来的に rug pull されるんじゃないかと心配なんだ。他にFOSSの代替案を試した人いる?それと、時々Tailscaleでレート制限されてる気がするんだけど、同じ経験した人いる?これは複数のSSH接続を同時にしてる時によく起こるんだ。

3ユーザーまでは無料だよ。それ以降はお金を払わなきゃいけない。

Tailscale大好きだけど、君の言う通りかもね。買収されるゾーンに入ってきて、みんながガッカリすることになりそう。Salesforce、近寄らないで!

この懸念についてブログ記事を書いてるよ:「https://tailscale.com/blog/free-plan」

今のところ、Tailscaleがすごくうまく動いててめっちゃ満足してるから、そろそろ自宅ネットワークをHeadscale [0]に移行する時期かなって思ってる。ラグプルが痛すぎるかもしれないしね! [0]: https://headscale.net/

それに、時々Tailscaleでレート制限されてる気がする。私の理解では、すべてがうまくいってれば、Tailscaleのインフラを使った初回接続の後にピアツーピアのWireGuard接続になるはずなんだよね。つまり、レート制限されるものはないはず。ネットワーク環境によっては、この投稿に書かれているリレーの一つが必要になる例外もあるけど。オープンソースの代替案については、https://github.com/juanfont/headscaleがTailscaleの初期コーディネーションサーバーの代わりになりそうだし、https://netbird.io/は急速に発展しているフルスタックの代替案に見えるね。

うちの会社はプレミアムビジネスプランを月18ドル/ユーザーで契約してる。チームが数人を超えると、下位プランでもお金を払わなきゃいけないんだよね。プレミアムプランには、serve/funnelやSSHみたいな結構便利な機能がいくつかあるけど、必須ってわけじゃないかな。一方で、zerotierについても気になる。Tailscaleの前は数年間zerotierを使ってたけど、最初の3〜4年は特に追加で必要なものがなかったから、何も払わなかったんだ。結局、もっとユーザーを追加するためにアップグレードしたけど、月5ドルくらい(合計で、ユーザーごとじゃない)だったよ。

Tailscaleは、無料プランを使って開発者に人気を得て、その後彼らが自分の会社に製品を広めるっていう完璧な例だね。会社はビジネススケールのプランにお金を払う。

ピアツーピア接続を促進するのは安上がりだよね。Cloudflareみたいに、健全な無料プランがたくさんの幸せで忠実なユーザーを生むんだ。一部のユーザーはビジネスニーズがあって、有料機能やサポートを利用するんだ。

ピアツーピア接続を促進するのは安上がりだよね。Cloudflareみたいに、健全な無料プランがたくさんの幸せで忠実な開発者ユーザーを生むんだ。その中にはビジネスニーズがあって、有料機能やサポートを利用するユーザーもいて、マネージャーを説得して購入させるんだよね。

ラグプルが心配なら、その心配は正しいよ。Tailscaleが怪しいからじゃなくて、VC資金で成り立ってるインフラがそういうもんだから。無料プランはロックインを作るために存在してるだけで、優しさからじゃない。Headscaleもあるけど、正直Tailscaleにユーザーあたり$18払うのと比べると運用が面倒だよ。重要なインフラなら、Wireguardを直接運用して、コーディネーションレイヤーを自分で持つべきだ。それ以外は便利さを借りてるだけ。

自宅のNASをNode Proxy Managerコンテナで設定して、リクエストを異なるDockerマシンのポートに転送してるんだ。TTS/STT/LLMサービスをローカルでホストしてるよ。インターネット向けのノードの帯域幅を増やすためには、これを使うべき?それとももっとシンプルな解決策がある?

それってタイプミスで、Nginx Proxy Managerのこと?

ピアリレーって、以前あったカスタムリレーの一種で、今はコマンド一つで使えるってこと?つまり、STUNサーバーみたいなのを使って、発見と中継をしてるってことかな。

ピアリレーは、以前のカスタムDERPサーバーとはちょっと違うんだ。カスタムDERPはトラフィックを中継するけど、他の仕事のためにたくさんの設定や管理が必要で、平均的な顧客にはちょっと厳しい可用性の問題があるんだ。一方で、ピアリレーはDERPの上に構築されてるから、ピアディスカバリーをする必要がなく、接続はDERPのフリートを介して仲介されて、ある意味「アップグレード」されるんだ。だから、すごく軽量でデプロイや管理が簡単なんだよね。それに、水平スケーリングができるから、ネットワーク全体にたくさんのピアリレーをデプロイできるし、ダウンタイムにも強い(DERPに戻るだけだから)。

これ読みたいんだけど、モバイルでこの[0]やつが出てきて、閉じるボタンがなくて、モーダルの外をクリックしても閉じないんだよね。0: https://i.postimg.cc/14h3Q9mD/Screenshot-20260219-001356-Chr... 編集: あ、見つけた。変なところにあったな。

モーダルの右下に青いボックスの中に白いXが見えるんだけど、それのこと?

すごく混乱してる。ピアリレーと自己ホスティングのDERPサーバーの違いって何なの?

ちょっと適当なこと言うけど、Tailscaleに関しては、使いやすさや手動設定の少なさ以外はあんまり違いがないと思う。彼らがやってることは以前は不可能じゃなかったけど、世界中でプライベートネットワークを簡単にアクセスできるようにしてるのが大きな勝利だね。自分のローカルメディアサーバーを持ってる友達をオンボーディングして、みんなでコンテンツを共有したりストリーミングしたりしてるよ。

(Tailscaleの創業者です)二つの主な違いがあります。まず、あなたのtailnetで使われるすべてのDERPサーバーは、tailnet内のすべてのノードから常にアクセス可能でなければなりません。そうでないと、デバッグが難しいネットスプリットが発生します。これは非常に高いハードルなので、歴史的に見ても試みないことをお勧めしています。一方、ピアリレーは「特定のノードペアがどのリレーを通じても接続できるなら、やってみて」という感じなので、導入することは常にパフォーマンスと信頼性の向上になります。次に、ピアリレーはUDPをサポートしていますが、DERPはTCP専用です。これはDERPプロトコルを改善することで解決できるかもしれませんが、そのオプションを検討した結果、より完全なソリューションとしてピアリレーレイヤーを実装することに決めました。

先日試してみたけど、正直言って今のところいい結果に驚いてる!

Tailscaleが「オープン」であることに惹かれているなら(彼らがHeadscaleの開発を半公式にサポートしているからね)、注意してほしいのは、同時に彼らのクライアントの中にはクローズドソースでプロプライエタリなものもあって、Appleみたいに完全に彼らと公式の流通チャネルにコントロールされているってこと。こういう立場の理由は本当にバカげてるよね。 > 「ユーザーがオープンじゃないOSを使うことに抵抗がないなら、雇用主も従業員がオープンじゃないOSを使うことに抵抗がないはずだから、Tailscaleがそのプラットフォームでオープンじゃないことにも抵抗がないべきだ。」 https://github.com/tailscale/tailscale/issues/13717 こういう解決策は、接続性や可用性が限られた状況では本当に頼れないよ。技術的には競合をほとんど上回ってもね。ビジネスであることを忘れないで。できるなら無料の代替品をサポートしてあげて。たとえそれがいくつかの指標で劣っていても。

これが理由でNetbirdに切り替えたよ。

ZeroTierとNetbirdを選んだんだけど、そんなに悪くないよ。

Headscaleには比較的満足してたけど、今MacOS/iOSユーザーがいるから、Netbirdみたいな代替品をテストしてるところ。TailscaleのKubernetesオペレーターがHeadscaleと互換性がないのには驚いたよ。

(Tailscalarから)はっきり言っておくけど、特定のプラットフォームでクローズドソースなのはGUIだけだよ。

「できるなら無料の代替品をサポートしてあげて。たとえそれがいくつかの指標で劣っていても。」私はパフォーマンスよりも「コントロール」を重視してる。より良いパフォーマンスは、私の意見では、コントロールを犠牲にする理由にはならないけど、これは私の考えね。ユーザーがコントロールを持っている、つまりソースからコンパイルできるなら、理論的にはDIYや他の人の努力でパフォーマンス向上が可能だよ。でもパフォーマンスだけが重要な問題じゃないこともある。今日の商業ソフトは急いで作られていて、質が低く、肥大化してることが多い。徹底的にテストされた最終製品の代わりに、常にリモートでインストールされる「アップデート」を必要とする進行中のソフトウェアをリリースするのが普通になってる。コントロールがなければ、パフォーマンスやソフトウェアの他の部分が不満足でも、ユーザーには何もできないんだ。

なんか変なことを気にしてるね。俺のMacに入ってるアプリのほとんどはクローズドソースだし、そのちっちゃいTailscaleのメニューバーアイテムなんてほんとに大したことないよ。もし気になるなら、コマンドラインからでも操作できるし。Tailscaleはbrewにもあるはずだよ。

その言い分、正直そんなに馬鹿げてるとは思わないな。特にクローズドソースの部分がほとんどプラットフォーム特有のGUIや統合コードだけならね。iOSアプリをオープンソースにして、ユーザーがApp Storeからダウンロードするバージョンがオープンソースのものと全く同じだって確認できる実用的な仕組みってあるのかな?

過去に、ポートフォワーディングなしで自分のローカルマシンでMinecraftのゲームサーバーをホストするためにTailscaleを調べたことがあるんだけど、どうやらTailscaleは主に知ってる人と信頼できる人とだけ使うように設定されてるみたい。Peer Relaysがtailwind funnelの制限を少し和らげてくれることを期待してたんだけど、代替案知ってる人いる?

誰かTailscaleについて質問に答えてくれる人いないかな?自分で管理してるWireGuardネットワークがあるんだけど、動いてるけどあんまりスマートじゃないしエレガントでもないんだ。Tailscaleは目標を達成するために「魔法」みたいなことをたくさんやってるみたいで、その中には「魔法」って名前がついてるものもあるんだよね。システム管理者として、ユーザーフレンドリーを名目にDNS解決やルーティングテーブル、ファイアウォールルールを自動的にいじろうとするものに何度も痛い目にあってきたからさ。(OS自体に付属してるものも多いし。)Tailscaleが裏で何をやってるのか詳しく説明してるドキュメントや記事ってある?https://tailscale.com/docs/conceptsは見つけたけど、全部はカバーしてないみたい。もし「すごくカスタム」なネットワーク設定の仮想化ホストがあった場合、干渉する可能性はどれくらいあるのかな?複雑なネットワーク設定をうまく回避してくれるのか、それとも一般的なケース(1つのネットワークインターフェース、デフォルトルート、パブリックネームサーバー)だけをエレガントに扱う感じなのかな?