Tailscale 완벽 가이드 (1편) - 아키텍처 이해

아키텍처 이해부터 프로덕션 설치까지

홈랩을 운영하거나 셀프호스팅 서비스를 관리하다 보면, 외부에서 내부 서버에 접속해야 하는 순간이 반드시 찾아옵니다. 그때마다 포트 포워딩을 설정하고, 방화벽 규칙을 열고, DDNS를 구성하고, OpenVPN 서버를 올리는 과정을 반복하게 됩니다. 이 모든 과정이 복잡할 뿐 아니라, 보안 취약점을 만들 가능성도 높습니다.

 

Tailscale은 이러한 문제를 근본적으로 해결하는 WireGuard 기반의 메시(mesh) VPN 서비스입니다. 포트 포워딩 없이, 방화벽 뒤에서도, 어디서든 안전하게 디바이스를 연결할 수 있습니다. 이 글에서는 Tailscale의 아키텍처를 깊이 있게 분석하고, 간단한 개인 사용부터 Docker 기반의 프로덕션 환경까지 단계별 설치 가이드를 제공합니다.

Tailscale은 모든 디바이스를 암호화된 메시 네트워크로 직접 연결합니다

---

목 차

• 1. Tailscale이란 무엇인가?
• 2. Tailscale 아키텍처 심층 분석
• 3. 설치와 설정  |  간단 버전  |  Quick Start
• 4. 설치와 설정  |  프로덕션 버전
• 5. 마무리 
• 참고 자료
• 관련 키워드

---

1. Tailscale이란 무엇인가?

기존 VPN의 한계

전통적인 VPN은 "허브-스포크(hub-and-spoke)" 방식으로 동작합니다. 중앙에 VPN 서버(허브)를 두고, 모든 클라이언트(스포크)가 이 서버를 거쳐 통신하는 구조입니다. OpenVPN이나 IPsec 기반의 VPN이 대표적인 예시입니다. 이 방식은 설정이 복잡하고, 중앙 서버가 모든 트래픽의 병목이 되며, 서버가 다운되면 전체 네트워크가 마비되는 단일 장애 지점(Single Point of Failure)을 갖고 있습니다. 또한 서울에 있는 디바이스와 부산에 있는 디바이스가 통신하려면, 미국에 위치한 VPN 서버를 거쳐야 할 수도 있어서 불필요한 지연이 발생합니다.

전통적 VPN기반 보안모델과 Tailscale Zero Trust의 보안 모델 비교

메시 VPN이라는 새로운 접근

Tailscale은 이러한 허브-스포크 모델을 완전히 뒤집습니다. 모든 디바이스가 다른 모든 디바이스와 직접(peer-to-peer) 연결되는 메시(mesh) 네트워크를 구축합니다. 중앙 서버를 거치지 않으므로 병목이 없고, 디바이스 간 최단 경로로 통신하므로 지연 시간이 최소화됩니다. 이 메시 네트워크의 기반이 되는 암호화 프로토콜은 WireGuard입니다. WireGuard는 OpenVPN보다 코드 양이 약 1/100 수준으로 간결하면서도, 최신 암호화 알고리즘(ChaCha20, Curve25519)을 사용하여 더 빠르고 안전합니다. Tailscale은 이 WireGuard 위에 자동 키 교환, NAT 통과(NAT Traversal), 접근 제어(ACL) 같은 관리 기능을 얹어서 누구나 쉽게 사용할 수 있도록 만든 서비스입니다.

graph TB
    subgraph hub["기존 VPN (허브-스포크)"]
        direction TB
        S[VPN 서버<br/>중앙 허브]
        A1[노트북] -->|모든 트래픽 경유| S
        A2[서버] -->|모든 트래픽 경유| S
        A3[스마트폰] -->|모든 트래픽 경유| S
        A4[NAS] -->|모든 트래픽 경유| S
    end

    subgraph mesh["Tailscale (메시 네트워크)"]
        direction TB
        B1[노트북] <-->|직접 연결| B2[서버]
        B1 <-->|직접 연결| B3[스마트폰]
        B1 <-->|직접 연결| B4[NAS]
        B2 <-->|직접 연결| B3
        B2 <-->|직접 연결| B4
        B3 <-->|직접 연결| B4
    end

Tailnet - 나만의 프라이빗 네트워크

Tailscale에 디바이스를 등록하면, 해당 디바이스는 사용자의 "Tailnet(테일넷)"이라는 프라이빗 네트워크에 참여하게 됩니다. Tailnet 안에 있는 디바이스들은 마치 같은 LAN(로컬 네트워크)에 있는 것처럼 서로 통신할 수 있습니다. 물리적으로 서울의 집, 부산의 사무실, AWS 클라우드에 흩어져 있더라도, Tailnet 안에서는 모두 하나의 네트워크입니다. 각 디바이스에는 100.x.y.z 대역의 고유한 Tailscale IP가 할당되며, MagicDNS 기능을 통해 IP 대신 디바이스 이름(예: my-server.tailnet-name.ts.net)으로 접속할 수도 있습니다.

지원 플랫폼과 요금제

Tailscale은 거의 모든 플랫폼을 지원합니다. Linux(Ubuntu, Debian, CentOS, Fedora 등), Windows, macOS, iOS, Android는 물론이고 Docker 컨테이너, Kubernetes 클러스터, Synology NAS, QNAP NAS, Raspberry Pi까지 Tailscale 클라이언트를 설치할 수 있습니다. 심지어 Tesla 차량이나 로봇 청소기에서도 동작하는 사례가 보고되고 있습니다.

 

무료 플랜(Personal)에서는 최대 100대의 디바이스와 3명의 사용자를 지원하며, WireGuard 암호화, MagicDNS, Taildrop(파일 공유) 등 핵심 기능을 모두 사용할 수 있습니다. 유료 플랜에서는 SSO(Single Sign-On) 통합, 고급 ACL, 감사 로그, Device Posture 검증 같은 엔터프라이즈 기능이 추가됩니다.

[i] Tailnet이란? Tailscale에 연결된 디바이스들의 집합으로, 사용자 계정에 귀속되는 프라이빗 가상 네트워크입니다. 같은 Tailnet에 속한 디바이스들은 물리적 위치와 무관하게 서로 직접 통신할 수 있습니다.

---

2. Tailscale 아키텍처 심층 분석

Tailscale의 아키텍처는 크게 세 가지 구성 요소로 나뉩니다. 디바이스 등록과 정책을 관리하는 Control Plane(제어 패널), 실제 트래픽이 흐르는 Data Plane(데이터 패널), 그리고 직접 연결이 불가능할 때 중계 역할을 하는 DERP 릴레이 서버입니다. 이 세 요소가 어떻게 협력하여 안전하고 빠른 메시 네트워크를 만드는지 자세히 살펴보겠습니다.

핵심 구성 요소

Control Plane  |  코디네이션 서버

Control Plane은 Tailscale이 운영하는 클라우드 서비스로, 네트워크의 "두뇌" 역할을 담당합니다.

디바이스가 Tailscale에 로그인하면, Control Plane은 해당 디바이스의 공개키를 등록하고 Tailnet에 참여시킵니다. 또한 ACL(접근 제어 목록) 정책을 각 디바이스에 배포하여, 어떤 디바이스가 어떤 디바이스와 통신할 수 있는지를 결정합니다. 중요한 점은 Control Plane이 트래픽 자체를 중계하지 않는다는 것입니다. 오직 메타데이터(공개키, IP 주소, 정책)만 다루며, 실제 데이터는 항상 디바이스 간 직접 전달됩니다.

Data Plane  |  WireGuard P2P 터널

Data Plane은 디바이스 간에 WireGuard 터널을 통해 실제 데이터가 흐르는 경로입니다.

Tailscale의 핵심 가치가 바로 이 Data Plane에 있습니다. 대부분의 트래픽은 중앙 서버를 거치지 않고 디바이스 간 직접(P2P) 연결로 전달됩니다. WireGuard의 End-to-End 암호화가 적용되므로, 네트워크 경로 상의 어떤 중간자도 트래픽 내용을 볼 수 없습니다. Tailscale 자체도 트래픽을 복호화할 수 없는 구조입니다. 개인키는 절대 디바이스를 벗어나지 않으며, 이 사실은 오픈소스로 공개된 클라이언트 코드를 통해 직접 검증할 수 있습니다.

DERP  |  Detour Encrypted Routing Protocol   |  릴레이 서버

모든 환경에서 P2P 직접 연결이 성공하는 것은 아닙니다. 양쪽 디바이스가 모두 대칭 NAT(Hard NAT) 뒤에 있거나, 기업 방화벽이 UDP 트래픽을 차단하는 경우에는 직접 연결이 불가능합니다. 이때 DERP 서버가 릴레이 역할을 수행합니다. DERP는 Tailscale이 전 세계에 분산 배치한 릴레이 서버로, 직접 연결을 시도하는 동안 임시로 트래픽을 중계하고, NAT Traversal이 성공하면 자동으로 P2P 직접 연결로 업그레이드합니다. DERP를 통과하는 트래픽도 여전히 WireGuard로 E2E 암호화되어 있으므로, DERP 서버는 트래픽 내용을 볼 수 없습니다.

다음은 Tailscale의 전체 아키텍처를 도식화한 것입니다.

Tailscale Architecture Overview  Control Plane (Coordination Server) Key Exchange

연결 수립 과정

디바이스 A가 디바이스 B에 연결하려고 할 때, Tailscale 내부에서는 다음과 같은 과정이 진행됩니다. 처음에는 반드시 DERP 릴레이를 통해 연결이 시작되고, 이후 직접 연결로 자동 업그레이드되는 것이 핵심입니다.

sequenceDiagram
    participant A as 디바이스 A<br/>(MacBook)
    participant CS as Tailscale<br/>Coordination Server
    participant DERP as DERP 중계 서버<br/>(tok - 도쿄)
    participant B as 디바이스 B<br/>(Home Server)

    Note over A,B: Phase 1: 노드 등록 및 키 교환

    A->>CS: 로그인 + WireGuard 공개키 전송
    CS-->>A: Tailnet 정보 + 다른 노드 공개키 목록
    B->>CS: 로그인 + WireGuard 공개키 전송
    CS-->>B: Tailnet 정보 + 다른 노드 공개키 목록

    Note over A,B: Phase 2: NAT Traversal (직접 연결 시도)

    A->>CS: 내 엔드포인트 정보 (IP:Port) 전달
    B->>CS: 내 엔드포인트 정보 (IP:Port) 전달
    CS-->>A: 디바이스 B의 엔드포인트 정보
    CS-->>B: 디바이스 A의 엔드포인트 정보

    A->>B: STUN hole-punching 시도 (UDP)
    B->>A: STUN hole-punching 시도 (UDP)

    alt P2P 직접 연결 성공
        Note over A,B: Phase 3a: WireGuard 터널 수립 (직접)
        A->>B: WireGuard 암호화 터널 수립 (P2P Direct)
        B->>A: WireGuard 암호화 터널 확인 (P2P Direct)
        Note over A,B: 지연시간: 최소 (LAN에 가까운 속도)
    else NAT 제한으로 직접 연결 실패
        Note over A,B: Phase 3b: DERP 중계 연결
        A->>DERP: 암호화된 패킷 전송
        DERP->>B: 암호화된 패킷 중계
        B->>DERP: 암호화된 응답 전송
        DERP->>A: 암호화된 응답 중계
        Note over A,B: 지연시간: 중간 (중계 서버 경유)
        Note over DERP: DERP는 암호화된 패킷만 중계<br/>내용은 확인 불가 (E2E 암호화)
    end

    Note over A,B: Phase 4: 지속적 연결 유지
    
    loop 주기적 Keepalive
        A->>B: WireGuard Keepalive
        B->>A: WireGuard Keepalive
    end
    
    A->>CS: 상태 업데이트 (Endpoint 변경 시)
    CS-->>B: 업데이트된 Endpoint 정보

 

이 과정에서 핵심적인 기술이 NAT Traversal(NAT 통과)입니다.

대부분의 디바이스는 NAT(Network Address Translation) 뒤에 위치하고 있어서, 외부에서 직접 접근하기 어렵습니다. Tailscale은 STUN(Session Traversal Utilities for NAT) 프로토콜을 사용하여 디바이스의 외부 IP와 포트를 파악하고, ICE(Interactive Connectivity Establishment) 프레임워크를 통해 최적의 연결 경로를 찾습니다. 양쪽 디바이스가 동시에 상대방의 외부 주소로 UDP 패킷을 보내는 "홀 펀칭(Hole Punching)" 기법으로 NAT를 통과합니다.

 

그러나 양쪽 모두 대칭 NAT(Hard NAT) 뒤에 있는 경우에는 홀 펀칭이 실패할 수 있습니다. 대칭 NAT는 목적지마다 외부 포트가 달라지기 때문에, 상대방이 예측할 수 있는 안정적인 포트가 존재하지 않습니다. 이런 경우 Tailscale은 DERP 릴레이를 통해 트래픽을 중계합니다. 2025년 현재 Tailscale은 FreeBSD PF의 Endpoint-Independent Mapping 패치 등을 통해 NAT Traversal 성공률을 지속적으로 개선하고 있습니다.

주요 기술 스택

WireGuard   |  암호화의 핵심

Tailscale의 모든 통신은 WireGuard 프로토콜로 암호화됩니다. WireGuard는 ChaCha20(대칭 암호화), Curve25519(키 교환), BLAKE2s(해시 함수), SipHash24(해시테이블 키)를 사용합니다. 전체 코드가 약 4,000줄로, 수십만 줄에 달하는 OpenVPN이나 IPsec에 비해 보안 감사(audit)가 훨씬 용이합니다. 이러한 간결함은 코드에 숨겨진 취약점이 있을 확률을 크게 낮추며, 실제로 여러 독립적인 보안 감사를 통과한 바 있습니다.

MagicDNS   |  자동 이름 해석

MagicDNS는 Tailnet 내의 디바이스에 자동으로 DNS 이름을 부여하는 기능입니다. 디바이스의 호스트명이 "my-server"이고 Tailnet 이름이 "example"이라면, "my-server.example.ts.net"이라는 도메인으로 접속할 수 있습니다. 100.x.y.z 같은 IP 주소를 외울 필요 없이, 사람이 읽기 쉬운 이름으로 디바이스에 접근할 수 있어서 운영 편의성이 크게 향상됩니다.

Userspace Netstack  |  TSNet

Tailscale에는 gVisor 기반의 사용자 공간(userspace) 네트워크 스택이 내장되어 있습니다. TSNet이라는 Go 라이브러리를 사용하면, 별도의 인프라 없이 프로그램 자체가 Tailnet에 직접 참여할 수 있습니다. 이는 일반적인 VPN 클라이언트와 차별화되는 매우 독특한 기능으로, 최근 AI Gateway 같은 고급 활용 사례에서 핵심적으로 사용되고 있습니다.

보안 모델

Tailscale의 보안 모델은 "Tailscale 자체도 신뢰할 필요가 없는" 구조로 설계되어 있습니다. WireGuard의 개인키(private key)는 디바이스 로컬에서 생성되며, 절대 네트워크를 통해 전송되지 않습니다. Control Plane(코디네이션 서버)은 공개키만 교환하므로, Tailscale 서버가 해킹되더라도 트래픽을 복호화할 수 없습니다. 추가적인 보안 계층으로 Tailnet Lock이 있습니다. Tailnet Lock을 활성화하면, 새로운 노드가 Tailnet에 참여하려면 기존 노드의 서명이 필요합니다. 이는 코디네이션 서버가 침해되더라도 공격자가 임의의 노드를 Tailnet에 추가하는 것을 방지합니다.

[i] Tailnet Lock이란? Tailnet의 노드 목록에 대한 서명 체인을 유지하여, 코디네이션 서버의 단독 권한으로는 새 노드를 추가할 수 없도록 하는 보안 기능입니다. 신뢰 체인(chain of trust)을 기존 노드에 분산시켜 보안을 강화합니다.

---

3. 설치와 설정  |  간단 버전  |  Quick Start

Tailscale의 가장 큰 장점 중 하나는 설치의 간편함입니다. 복잡한 서버 설정이나 인증서 관리 없이, 2~3단계만으로 디바이스를 연결할 수 있습니다. 이 섹션에서는 가장 빠르게 Tailscale을 체험할 수 있는 방법을 안내합니다.

계정 생성

먼저 https://login.tailscale.com 에서 계정을 생성합니다. Tailscale은 자체 계정 시스템 대신 기존 Identity Provider(IdP)를 활용합니다. Google, Microsoft, GitHub, Apple, Okta 등의 계정으로 바로 로그인할 수 있으며, 별도의 비밀번호를 만들 필요가 없습니다. 로그인하면 Admin Console이 표시되며, 여기서 디바이스 목록, ACL 정책, DNS 설정 등을 관리할 수 있습니다.

디바이스 설치

다음은 주요 플랫폼별 설치 방법입니다.

 

Linux (Ubuntu/Debian)

아래 명령어 한 줄로 Tailscale 저장소 추가와 설치가 완료됩니다. 설치 후 tailscale up 명령어를 실행하면 브라우저 인증 링크가 표시되며, 해당 링크를 통해 로그인하면 디바이스가 Tailnet에 자동으로 등록됩니다.

# Tailscale 저장소 추가 및 설치 (원라이너)
curl -fsSL https://tailscale.com/install.sh | sh

# Tailscale 시작 및 인증
sudo tailscale up

 

macOS

macOS에서는 App Store에서 "Tailscale"을 검색하여 설치하거나, Homebrew를 사용하여 설치할 수 있습니다. App Store 버전은 자동 업데이트가 지원되므로, 특별한 이유가 없다면 App Store 설치를 권장합니다. 물론 홈서버를 운영중이거나 Tailscale이 항상 운영되어야 하는 경우에는 CLI를 이용한 homebrew를 이용한 설치를 권장합니다. (다음 편 상세설치 참조)

# Homebrew를 사용한 설치 (선택사항)
brew install --cask tailscale

 

Windows

Windows에서는 Tailscale 공식 사이트에서 MSI 설치 파일을 다운로드하여 실행합니다. 설치가 완료되면 시스템 트레이에 Tailscale 아이콘이 나타나며, 클릭하여 로그인하면 즉시 Tailnet에 연결됩니다. 서버 환경에서는 명령줄 설치도 가능합니다.

 

Synology NAS

Synology의 경우 패키지 센터에서 "Tailscale"을 검색하여 직접 설치할 수 있습니다. 설치 후 Tailscale 패키지를 열면 웹 기반 인증 화면이 표시됩니다. 다만 Synology에 내장된 Tailscale 버전은 공식 최신 버전보다 약간 뒤처질 수 있으므로, 최신 기능이 필요한 경우 Docker를 통한 설치를 고려해볼 수 있습니다. 물론 패키지센터에서 간편하게 설치할 수 도 있지만 보다 다양한 옵션선택이 필요한 경우는 Dockere를 이용한 설치를 고려해야 합니다. (다음 편 상세설치 참조)

연결 확인

두 대 이상의 디바이스에 Tailscale을 설치하고 같은 계정으로 로그인했다면, 바로 연결이 완료된 것입니다. 다음 명령어들로 상태를 확인할 수 있습니다.

# 현재 연결된 디바이스 목록 확인
tailscale status

# 출력 예시:
100.64.0.1    my-laptop      user@gmail.com  linux   active; direct 192.168.1.10:41641
100.64.0.2    my-server      user@gmail.com  linux   active; direct 10.0.0.5:41641
100.64.0.3    my-nas         user@gmail.com  linux   active; relay "tok" (DERP)

# 특정 디바이스와의 연결 상태 확인 (P2P 직접 연결 여부)
tailscale ping my-server

# 출력 예시:
pong from my-server (100.64.0.2) via 10.0.0.5:41641 in 3ms

# MagicDNS를 이용한 접속 테스트
ping my-server.tailnet-name.ts.net

 

tailscale status 출력에서 "direct"는 P2P 직접 연결이 수립되었음을 의미하고, "relay"는 DERP 릴레이를 통해 연결되고 있음을 나타냅니다. 대부분의 환경에서는 잠시 후 자동으로 direct 연결로 업그레이드됩니다.

기본 기능 체험

연결이 확인되었으면, Tailscale의 핵심 기능들을 바로 사용해볼 수 있습니다.

SSH 접속

Tailscale IP 또는 MagicDNS 이름으로 SSH에 접속할 수 있습니다. 포트 포워딩이나 공인 IP가 필요 없으며, 방화벽 뒤의 서버에도 바로 접근이 가능합니다.

# Tailscale IP로 SSH 접속
ssh user@100.64.0.2

# MagicDNS 이름으로 SSH 접속 또는 machine이름 만으로도 간단히 접속 가능
ssh user@my-server.tailnet-name.ts.net

Taildrop  |   파일 공유

Tailscale에 내장된 파일 전송 기능인 Taildrop을 사용하면, AirDrop처럼 디바이스 간에 파일을 간편하게 전송할 수 있습니다. 별도의 서버나 클라우드 스토리지 없이, P2P로 직접 전달되므로 속도도 빠릅니다.

# 파일 전송
tailscale file cp ./my-document.pdf my-server:

# 파일 수신 (수신 측에서 실행)
tailscale file get ./received-files/

Exit Node  |  전체 트래픽 라우팅

Exit Node(출구 노드)를 설정하면, 특정 디바이스를 통해 모든 인터넷 트래픽을 라우팅할 수 있습니다. 해외 출장 중에 집의 서버를 Exit Node로 사용하면, 마치 집에서 인터넷을 사용하는 것처럼 접속할 수 있습니다.

# 서버 측: Exit Node로 광고
sudo tailscale up --advertise-exit-node

# 클라이언트 측: 특정 Exit Node를 통해 모든 트래픽 라우팅
sudo tailscale up --exit-node=my-server

flowchart LR
    subgraph step1["Step 1"]
        A1[계정 생성<br/>SSO 로그인]
    end
    subgraph step2["Step 2"]
        A2[디바이스에<br/>Tailscale 설치]
    end
    subgraph step3["Step 3"]
        A3[tailscale up<br/>인증 완료]
    end
    subgraph step4["Step 4"]
        A4[연결 확인<br/>즉시 사용]
    end
    step1 --> step2 --> step3 --> step4

---

4. 설치와 설정  |  프로덕션 버전

간단 버전이 개인 디바이스 간의 빠른 연결에 초점을 맞춘 것이었다면, 프로덕션 버전은 서버 인프라, Docker 컨테이너, 홈랩 환경에서 Tailscale을 본격적으로 운용하기 위한 고급 설정을 다룹니다. ACL 정책 설계, Subnet Router 구성, 자동화된 노드 관리 등 실제 운영에 필수적인 내용입니다.

Docker 환경에서의 Tailscale

Docker 기반 인프라에서 Tailscale을 사용하는 방법은 크게 두 가지입니다.

• 첫 번째는 호스트 머신에 Tailscale을 설치하고 컨테이너가 호스트 네트워크를 공유하는 방법이고,
• 두 번째는 각 서비스 옆에 Tailscale 컨테이너를 "사이드카(sidecar)"로 배치하여 서비스별로 독립적인 Tailscale 노드를 부여하는 방법입니다. 사이드카 패턴은 서비스별로 개별 ACL 정책을 적용할 수 있어서, 보안과 관리 면에서 훨씬 유연합니다.

사이드카 패턴  |  Docker Compose 예시

다음은 Uptime Kuma(모니터링 서비스)를 Tailscale 사이드카와 함께 배포하는 Docker Compose 예시입니다. Tailscale 컨테이너가 네트워크 인터페이스를 담당하고, Uptime Kuma 컨테이너가 이 네트워크를 공유하는 구조입니다.

version: "3.9"
services:
  # Tailscale 사이드카 컨테이너
  tailscale-uptime:
    image: tailscale/tailscale:stable
    container_name: ts-uptime-kuma
    hostname: uptime-kuma              # Tailnet에 표시될 이름
    restart: unless-stopped
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    environment:
      - TS_AUTHKEY=tskey-auth-xxxxx    # Pre-auth Key (Admin Console에서 생성)
      - TS_STATE_DIR=/var/lib/tailscale
      - TS_SERVE_CONFIG=/config/ts-serve.json
      - TS_EXTRA_ARGS=--advertise-tags=tag:container
    volumes:
      - tailscale-uptime-state:/var/lib/tailscale
      - ./ts-serve.json:/config/ts-serve.json:ro

  # 실제 서비스 컨테이너
  uptime-kuma:
    image: louislam/uptime-kuma:latest
    container_name: uptime-kuma
    restart: unless-stopped
    network_mode: service:tailscale-uptime  # Tailscale 네트워크 공유
    volumes:
      - uptime-kuma-data:/app/data
    depends_on:
      - tailscale-uptime

volumes:
  tailscale-uptime-state:
  uptime-kuma-data:

 

위 Compose 파일에서 핵심은 network_mode: service:tailscale-uptime 설정입니다. 이 설정으로 Uptime Kuma 컨테이너는 Tailscale 컨테이너의 네트워크 네임스페이스를 공유하게 되며, Tailnet에서 "uptime-kuma"라는 이름으로 접근할 수 있게 됩니다.

tailscale serve 기능을 활용하면 HTTPS 인증서가 자동으로 발급되어, Tailnet 내부에서도 HTTPS로 안전하게 서비스에 접근할 수 있습니다. 이를 위한 ts-serve.json 설정 파일은 다음과 같습니다.

{
  "TCP": {
    "443": {
      "HTTPS": true
    }
  },
  "Web": {
    "${TS_CERT_DOMAIN}:443": {
      "Handlers": {
        "/": {
          "Proxy": "http://127.0.0.1:3001"
        }
      }
    }
  },
  "AllowFunnel": {
    "${TS_CERT_DOMAIN}:443": false
  }
}

TSDProxy를 활용한 자동 노드 등록

컨테이너 수가 많아지면 각각에 사이드카를 붙이는 것이 번거로울 수 있습니다. TSDProxy(TailScale Docker Proxy)는 이 문제를 해결하는 오픈소스 도구입니다. Docker 라벨만 추가하면 TSDProxy가 자동으로 각 컨테이너를 Tailnet에 등록하고 리버스 프록시를 설정합니다. 마치 Traefik이나 Nginx Proxy Manager와 비슷한 역할을 Tailnet 환경에서 수행하는 것입니다.

version: "3.9"
services:
  tsdproxy:
    image: ghcr.io/almeidapaulopt/tsdproxy:latest
    container_name: tsd-proxy
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
      - tsdproxy-data:/data
      - ./config/:/config
    restart: unless-stopped
    ports:
      - 8080:8080

  # TSDProxy 라벨만 추가하면 자동 등록
  portainer:
    image: portainer/portainer-ce:alpine
    container_name: portainer
    restart: always
    volumes:
      - /var/run/docker.sock:/var/run/docker.sock
      - portainer-data:/data
    labels:
      tsdproxy.enable: "true"
      tsdproxy.name: "portainer"

volumes:
  tsdproxy-data:
  portainer-data:

Subnet Router 설정

Subnet Router(서브넷 라우터)는 Tailscale이 설치되지 않은 디바이스들이 있는 네트워크 전체를 Tailnet에 연결하는 기능입니다. 예를 들어, 가정의 LAN(192.168.1.0/24)에 프린터, 스마트홈 기기, IoT 센서 등 Tailscale 클라이언트를 직접 설치할 수 없는 장비가 있을 때, LAN에 있는 하나의 디바이스(예: Raspberry Pi, NAS, Mac Mini)를 Subnet Router로 설정하면, Tailnet의 다른 디바이스에서 이 LAN 전체에 접근할 수 있게 됩니다.

Linux에서 Subnet Router 설정

Linux 환경은 Subnet Router 설정이 가장 직관적입니다. tailscale up 명령어에 --advertise-routes 옵션으로 광고할 네트워크 대역을 지정하면 됩니다. 여러 대역을 쉼표로 구분하여 동시에 광고할 수 있으며, Admin Console에서 해당 라우트를 승인해야 실제로 활성화됩니다.

# Subnet Router로 설정 (LAN 대역을 Tailnet에 광고)
sudo tailscale up --advertise-routes=192.168.1.0/24,10.0.0.0/24

# 여러 대역을 동시에 광고할 수 있습니다
# Admin Console에서 해당 라우트를 승인해야 활성화됩니다

 

Linux에서는 서브넷 라우팅이 동작하려면 IP 포워딩이 반드시 활성화되어야 합니다. 다음 명령어로 커널 파라미터를 설정하면 재부팅 후에도 유지됩니다.

# Linux에서 IP 포워딩 활성화 (영구 설정)
echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
sudo sysctl -p /etc/sysctl.d/99-tailscale.conf

# 현재 세션에서 즉시 활성화 확인
sysctl net.ipv4.ip_forward
# 출력: net.ipv4.ip_forward = 1

macOS에서 Subnet Router 설정

macOS에서도 Subnet Router를 설정할 수 있습니다. Mac Mini를 홈 서버로 사용하는 경우에 특히 유용합니다. 다만 macOS의 Tailscale은 App Store 버전과 Standalone(독립 실행형) 버전이 있는데, Subnet Router 기능은 Standalone 버전에서만 CLI를 통해 설정할 수 있습니다. App Store 버전에서는 GUI의 메뉴를 통해 제한적으로 설정할 수 있지만, 세부 옵션 제어를 위해서는 Standalone 버전을 권장합니다.

# macOS - Standalone 버전에서 Subnet Router 설정
# Tailscale CLI 경로 확인 (Standalone 설치 시)
# 일반적으로 homebrew를 통해 설치된 경우 path 자동 설정 : /opt/homebrew/bin/tailscale

/Applications/Tailscale.app/Contents/MacOS/Tailscale up \
  --advertise-routes=192.168.1.0/24

# 또는 PATH에 alias 설정 후 사용

alias tailscale="/Applications/Tailscale.app/Contents/MacOS/Tailscale"
tailscale up --advertise-routes=192.168.1.0/24

 

macOS에서는 IP 포워딩 활성화 방법이 Linux와 다릅니다. sysctl 명령어를 사용하되, 설정 파일 경로와 방식이 다르며, 재부팅 시 초기화될 수 있으므로 LaunchDaemon으로 영구화하는 것이 좋습니다.

# macOS에서 IP 포워딩 즉시 활성화
sudo sysctl -w net.inet.ip.forwarding=1
sudo sysctl -w net.inet6.ip6.forwarding=1

# 현재 상태 확인
sysctl net.inet.ip.forwarding
# 출력: net.inet.ip.forwarding: 1

 

macOS에서 재부팅 후에도 IP 포워딩을 유지하려면, LaunchDaemon plist 파일을 생성해야 합니다. 다음 내용으로 /Library/LaunchDaemons/com.tailscale.ipforwarding.plist 파일을 생성합니다.

http://www.apple.com/DTDs/PropertyList-1.0.dtd">
    Label
    com.tailscale.ipforwarding
    ProgramArguments
         /usr/sbin/sysctl
        -w
        net.inet.ip.forwarding=1
    
    RunAtLoad

# LaunchDaemon 등록 및 즉시 실행
sudo launchctl load /Library/LaunchDaemons/com.tailscale.ipforwarding.plist

 

[!] macOS App Store 버전 참고: App Store 버전의 Tailscale에서는 메뉴바 아이콘 클릭 -> 설정(Preferences) -> 해당 머신의 "Subnet Routes" 항목에서 GUI로 서브넷을 추가할 수 있습니다. 다만 CLI보다 옵션이 제한적이므로, Subnet Router를 본격적으로 운용할 계획이라면 Standalone 버전(tailscale.com/download에서 직접 다운로드)을 사용하는 것을 권장합니다.

Synology NAS에서 Subnet Router 설정 (Docker 기반)

Synology NAS는 홈랩에서 Subnet Router로 활용하기에 매우 적합한 디바이스입니다. 24시간 상시 가동되며, 홈 네트워크에 항상 연결되어 있기 때문입니다. Synology 패키지 센터에서 설치한 기본 Tailscale 패키지로도 Subnet Router를 설정할 수 있지만, 버전이 뒤처지거나 기능이 제한되는 경우가 있습니다. Docker(Container Manager)를 사용하면 최신 Tailscale 이미지를 직접 배포할 수 있어 더 유연한 구성이 가능합니다.

다음은 Synology NAS의 Docker에서 Tailscale을 Subnet Router로 설정하는 Docker Compose 예시입니다.

version: "3.9"
services:
  tailscale-subnet-router:
    image: tailscale/tailscale:stable
    container_name: ts-subnet-router
    hostname: synology-nas               # Tailnet에 표시될 이름
    restart: unless-stopped
    cap_add:
      - NET_ADMIN
      - SYS_MODULE
    environment:
      # Admin Console -> Settings -> Keys에서 생성
      - TS_AUTHKEY=tskey-auth-xxxxxxxxxxxxx
      - TS_STATE_DIR=/var/lib/tailscale
      # Subnet Router + Exit Node 동시 설정
      - TS_EXTRA_ARGS=--advertise-routes=192.168.1.0/24 --advertise-exit-node --accept-dns=false
    volumes:
      - tailscale-state:/var/lib/tailscale
      - /dev/net/tun:/dev/net/tun
    # host 네트워크 모드가 Subnet Router에 필수
    network_mode: host
    sysctls:
      - net.ipv4.ip_forward=1
      - net.ipv6.conf.all.forwarding=1

volumes:
  tailscale-state:
    driver: local

 

위 구성에서 핵심 포인트가 몇 가지 있습니다.

• 첫째, network_mode: host는 Subnet Router에서 필수입니다. bridge 네트워크 모드에서는 컨테이너가 호스트의 LAN 대역에 직접 접근할 수 없으므로, 서브넷 라우팅이 동작하지 않습니다. host 모드를 사용하면 컨테이너가 NAS의 네트워크 인터페이스를 직접 사용하게 됩니다.
• 둘째, sysctls 옵션으로 컨테이너 레벨에서 IP 포워딩을 활성화합니다. Synology DSM에서는 호스트 커널의 sysctl을 직접 수정하기 어려울 수 있으므로, Docker Compose의 sysctls 지시어를 활용하는 것이 편리합니다. 다만 일부 Synology 모델에서는 Docker의 sysctls 지시어가 동작하지 않을 수 있는데, 이 경우에는 DSM의 작업 스케줄러(Task Scheduler)에서 부팅 시 실행되는 스크립트를 등록하여 IP 포워딩을 활성화해야 합니다.

# Synology DSM - 작업 스케줄러에 등록할 스크립트
# 제어판 -> 작업 스케줄러 -> 생성 -> 트리거된 작업 -> 부팅 시
#!/bin/bash
sysctl -w net.ipv4.ip_forward=1
sysctl -w net.ipv6.conf.all.forwarding=1

• 셋째, --accept-dns=false 옵션은 Synology NAS의 DNS 설정이 Tailscale에 의해 변경되는 것을 방지합니다. NAS는 자체 서비스(DSM, Docker 컨테이너 등)를 위해 기존 DNS 설정을 유지해야 하므로, Subnet Router 역할만 수행하는 경우에는 DNS 수신을 비활성화하는 것이 안정적입니다.

Docker Compose 파일을 작성한 후, Synology의 SSH 또는 Container Manager에서 컨테이너를 시작합니다.

# SSH로 Synology에 접속하여 실행
cd /volume1/docker/tailscale    # Compose 파일 위치
sudo docker compose up -d

# 컨테이너 상태 확인
sudo docker logs ts-subnet-router

# 정상 시작 시 다음과 유사한 로그가 출력됩니다:
# To approve this machine, visit: https://login.tailscale.com/...
# (Auth Key 사용 시에는 자동으로 인증됨)

 

컨테이너가 시작되면, Admin Console(https://login.tailscale.com/admin/machines)에서 "synology-nas" 디바이스의 라우트 설정을 승인합니다. "Edit route settings"를 클릭하고, 192.168.1.0/24 라우트를 활성화하면 Tailnet의 모든 디바이스에서 NAS가 위치한 LAN 전체에 접근할 수 있게 됩니다.

[i] Synology 패키지 센터 버전 vs Docker 버전: 패키지 센터의 Tailscale은 설치가 간편하지만 버전 업데이트가 느리고, 일부 고급 옵션(Exit Node, 커스텀 DERP 등)이 제한될 수 있습니다. Docker 버전은 최신 기능을 바로 사용할 수 있고, 환경 변수로 세밀한 설정이 가능하지만, Docker 환경 관리에 익숙해야 합니다. Subnet Router 용도라면 Docker 버전을 권장합니다.

플랫폼별 Subnet Router 설정 비교

항목	Linuc(Ubuntu/Debian)	MacOS	Synology NAS(Docker)
설치 방법	curl 원라이너 설치	App Store 또는 Standalone	Docker Compose
라우트 광고	tailscale up --advertise-routes=	CLI (Standalone) 또는 GUI (App Store)	TS_EXTRA_ARGS=--advertise-routes=
IP 포워딩	/etc/sysctl.d/ 설정 파일	sysctl -w + LaunchDaemon	Docker sysctls 또는 작업 스케줄러
네트워크 모드	해당 없음 (호스트 직접 실행)	해당 없음 (호스트 직접 실행)	network_mode: host 필수
재부팅 영구화	sysctl.d 자동 적용	LaunchDaemon plist 필요	Docker restart policy + sysctls
권장 대상	서버, Raspberry Pi, VPS	Mac Mini 홈서버, 개발 머신	Synology/QNAP NAS, 상시 운영 장비

트러블슈팅 - 자주 발생하는 문제

문제 1: 라우트가 Admin Console에 표시되지 않는 경우

tailscale up 또는 Docker 컨테이너가 정상적으로 시작되었는데도 Admin Console에 라우트가 표시되지 않는다면, 다음을 확인합니다.

# 현재 광고 중인 라우트 확인
tailscale status --json | jq '.Self.AllowedIPs'

# Docker 컨테이너 내부에서 확인
docker exec ts-subnet-router tailscale status

 

문제 2: 라우트 승인 후에도 LAN 디바이스에 접근이 안 되는 경우

IP 포워딩이 실제로 활성화되어 있는지 확인합니다. Docker 환경에서는 컨테이너 내부뿐 아니라 호스트 커널에서도 IP 포워딩이 활성화되어야 할 수 있습니다.

# 호스트에서 IP 포워딩 상태 확인
cat /proc/sys/net/ipv4/ip_forward
# 출력이 1이어야 합니다

# Docker 컨테이너 내부에서 확인
docker exec ts-subnet-router cat /proc/sys/net/ipv4/ip_forward

 

문제 3: macOS에서 "administrator approval required" 메시지

macOS Ventura 이상에서는 네트워크 확장(Network Extension)에 대한 관리자 승인이 필요합니다. 시스템 설정 -> 개인 정보 보호 및 보안 -> 네트워크 확장에서 Tailscale을 허용해야 합니다. Standalone 버전의 경우 설치 시 시스템 확장 승인 팝업이 표시되며, 이를 허용하지 않으면 Subnet Router 기능이 동작하지 않습니다.

Site-to-Site 구성

서로 다른 물리적 위치의 네트워크를 연결하는 Site-to-Site 구성도 Subnet Router를 활용합니다. 서울 사무실(192.168.1.0/24)과 부산 데이터센터(10.0.0.0/24)에 각각 Subnet Router를 설치하면, 두 네트워크의 디바이스들이 마치 같은 LAN에 있는 것처럼 통신할 수 있습니다. VPN 장비 없이도 Site-to-Site 터널이 완성되는 것입니다. 서울에는 Synology NAS(Docker), 부산에는 Linux 서버처럼 서로 다른 플랫폼의 Subnet Router를 혼합하여 사용해도 문제없이 동작합니다.

graph TB
    subgraph seoul["서울 사무실"]
        SR1[Synology NAS<br/>Subnet Router<br/>Docker 기반]
        SD1[프린터<br/>192.168.1.100]
        SD2[IoT 센서<br/>192.168.1.150]
        SD3[스마트홈<br/>192.168.1.200]
        SR1 --- SD1
        SR1 --- SD2
        SR1 --- SD3
    end

    subgraph busan["부산 데이터센터"]
        SR2[Linux Server<br/>Subnet Router]
        BD1[DB 서버<br/>10.0.0.10]
        BD2[App 서버<br/>10.0.0.20]
        BD3[백업 NAS<br/>10.0.0.30]
        SR2 --- BD1
        SR2 --- BD2
        SR2 --- BD3
    end

    subgraph remote["외부 (원격 근무)"]
        MAC[Mac Mini<br/>Subnet Router<br/>+ Exit Node]
        PHONE[스마트폰<br/>Tailscale Client]
    end

    SR1 <-->|"WireGuard P2P<br/>Tailnet"| SR2
    SR1 <-->|"WireGuard P2P<br/>Tailnet"| MAC
    SR2 <-->|"WireGuard P2P<br/>Tailnet"| MAC
    PHONE <-->|"WireGuard P2P<br/>Tailnet"| SR1

    style SR1 fill:#aaabae,stroke:#4a90d9,stroke-width:2
    style SR2 fill:#aaabae,stroke:#4a90d9,stroke-width:2
    style MAC fill:#aaabae,stroke:#4a90d9,stroke-width:2

ACL(Access Control List) 정책 설계

Tailscale의 ACL은 JSON(또는 HuJSON) 형식으로 작성되며, Admin Console의 "Access Controls" 탭에서 편집합니다. 기본 상태에서는 모든 디바이스가 서로 통신할 수 있지만, 프로덕션 환경에서는 최소 권한 원칙(Principle of Least Privilege)에 따라 ACL을 세밀하게 설정해야 합니다. 다음은 실전에서 자주 사용되는 ACL 정책 예시입니다.

{
  // 그룹 정의
  "groups": {
    "group:admin":  ["user@gmail.com"],
    "group:dev":    ["dev1@gmail.com", "dev2@gmail.com"],
    "group:family": ["family1@gmail.com", "family2@gmail.com"]
  },

  // 태그 소유자 정의
  "tagOwners": {
    "tag:server":    ["group:admin"],
    "tag:container": ["group:admin"],
    "tag:media":     ["group:admin"]
  },

  // 접근 제어 규칙
  "acls": [
    // 관리자는 모든 디바이스에 접근 가능
    {
      "action": "accept",
      "src":    ["group:admin"],
      "dst":    ["*:*"]
    },

    // 개발자는 서버의 SSH(22)와 웹(80, 443)만 접근 가능
    {
      "action": "accept",
      "src":    ["group:dev"],
      "dst":    ["tag:server:22", "tag:server:80", "tag:server:443"]
    },

    // 가족은 미디어 서버(Jellyfin 8096포트)만 접근 가능
    {
      "action": "accept",
      "src":    ["group:family"],
      "dst":    ["tag:media:8096"]
    },

    // 컨테이너는 서버와만 통신 가능 (컨테이너 간 격리)
    {
      "action": "accept",
      "src":    ["tag:container"],
      "dst":    ["tag:server:*"]
    }
  ],

  // SSH 정책
  "ssh": [
    {
      "action": "accept",
      "src":    ["group:admin"],
      "dst":    ["tag:server"],
      "users":  ["autogroup:nonroot", "root"]
    }
  ]
}

 

위 ACL 설정은 네 가지 핵심 원칙을 보여줍니다.

• 첫째, 그룹(group)을 사용하여 사용자를 역할별로 분류합니다.
• 둘째, 태그(tag)를 사용하여 디바이스를 용도별로 분류합니다.
• 셋째, 포트 단위로 접근을 제한하여 필요한 서비스만 노출합니다.
• 넷째, 명시적으로 허용되지 않은 모든 통신은 자동으로 차단됩니다(Default Deny).

이러한 설계는 Zero Trust 네트워크의 핵심 원칙인 "최소 권한"을 자연스럽게 구현합니다.

Auth Key와 자동화

서버나 컨테이너 환경에서는 브라우저를 통한 대화형 인증이 불가능한 경우가 많습니다. 이때 Pre-authentication Key(사전 인증 키)를 사용하면 무인(unattended) 환경에서도 디바이스를 자동으로 Tailnet에 등록할 수 있습니다. Auth Key는 Admin Console의 "Settings" -> "Keys"에서 생성할 수 있으며, 일회용(single-use) 또는 재사용 가능(reusable)으로 설정할 수 있습니다.

# Auth Key를 사용한 무인 인증
sudo tailscale up --authkey=tskey-auth-kBP1CNTRL-xxxxxxxxxxxxx

# Ephemeral 노드로 등록 (연결 해제 시 자동 삭제)
# CI/CD 러너, 임시 컨테이너에 적합
sudo tailscale up --authkey=tskey-auth-kBP1CNTRL-xxxxxxxxxxxxx

 

Ephemeral(임시) 속성이 부여된 Auth Key로 등록된 노드는 연결이 끊어지면 자동으로 Tailnet에서 제거됩니다. CI/CD 파이프라인에서 일시적으로 생성되는 러너나, Docker 컨테이너처럼 수명이 짧은 환경에 적합합니다. 이를 통해 사용하지 않는 노드가 Tailnet에 누적되는 것을 방지할 수 있습니다.

Terraform을 이용한 인프라 자동화

대규모 인프라에서는 Terraform Provider를 사용하여 Tailscale 설정을 코드로 관리할 수 있습니다. ACL 정책, Auth Key 생성, DNS 설정 등을 모두 Infrastructure as Code(IaC) 방식으로 관리하면, 설정 변경 이력을 추적하고 여러 환경에 일관된 정책을 적용하는 것이 가능해집니다.

# Terraform으로 Tailscale ACL 관리 예시
resource "tailscale_acl" "main" {
  acl = jsonencode({
    acls = [
      {
        action = "accept"
        src    = ["group:admin"]
        dst    = ["*:*"]
      }
    ]
  })
}

# Auth Key 자동 생성
resource "tailscale_tailnet_key" "server_key" {
  reusable      = true
  ephemeral     = false
  preauthorized = true
  expiry        = 7776000  # 90일 (초 단위)
  tags          = ["tag:server"]
}

Tailscale SSH

Tailscale SSH는 기존 SSH 키 관리를 완전히 대체할 수 있는 기능입니다.

일반적인 SSH에서는 authorized_keys 파일에 공개키를 등록하고, 개인키를 안전하게 관리해야 합니다. Tailscale SSH를 사용하면, Tailscale의 ID 기반 인증이 SSH 인증을 대신하므로, SSH 키를 별도로 관리할 필요가 없어집니다. ACL에서 SSH 접근 규칙을 정의하면, 해당 사용자가 Tailscale에 로그인한 상태에서만 SSH 접속이 허용됩니다.

# 서버에서 Tailscale SSH 활성화
sudo tailscale up --ssh

# 클라이언트에서 접속 (SSH 키 없이 인증됨)
ssh user@my-server.tailnet-name.ts.net

 

Tailscale SSH는 세션 녹화(Session Recording) 기능도 제공합니다. SSH 세션의 전체 내용을 녹화하여 감사(audit) 목적으로 활용할 수 있으며, 이는 보안 컴플라이언스가 중요한 기업 환경에서 특히 유용합니다. 모든 SSH 접속 기록은 Admin Console에서 확인할 수 있으며, 누가 언제 어떤 서버에 접속했는지를 추적할 수 있습니다.

Headscale  |  셀프호스팅 대안

Tailscale의 Control Plane(코디네이션 서버)은 Tailscale 회사가 운영하는 클라우드 서비스입니다. 대부분의 사용자에게는 이것이 편리하지만, 데이터 주권(data sovereignty)이 중요하거나 외부 서비스에 의존하고 싶지 않은 경우에는 Headscale이라는 대안이 있습니다. Headscale은 Tailscale의 Control Plane을 오픈소스로 재구현한 프로젝트로, 직접 서버에 설치하여 운영할 수 있습니다. Tailscale의 공식 클라이언트를 그대로 사용하면서, 코디네이션 서버만 자체 호스팅하는 구조입니다.

# Docker를 이용한 Headscale 설치 (간략 버전)
docker run -d \
  --name headscale \
  -v $(pwd)/config:/etc/headscale \
  -p 8080:8080 \
  headscale/headscale:latest

# 네임스페이스(사용자) 생성
docker exec headscale headscale namespaces create homelab

# 클라이언트에서 Headscale 서버로 연결
tailscale up --login-server=https://headscale.example.com

 

Tailscale과 Headscale 중 어떤 것을 선택할지는 다음 기준으로 판단할 수 있습니다.

구분	Tailscale (공식)	Headscale (셀프호스팅)
설치/운영 복잡도	매우 간단 (SaaS)	직접 서버 운영 필요
데이터 위치	Tailscale 클라우드	자체 서버
DERP 릴레이	글로벌 분산 (20+ 리전)	직접 구축 필요
기능 완성도	전체 기능 지원	대부분의 핵심 기능 지원
적합한 사용자	대부분의 개인/기업	데이터 주권이 중요한 경우, 완전한 자체 통제가 필요한 경우

[!] 주의: Headscale을 선택하면 DERP 릴레이 서버도 직접 구축해야 하며, 글로벌 분산 배치가 어려울 수 있습니다. NAT Traversal 성능이 Tailscale 공식 서비스보다 낮을 수 있으므로, 명확한 필요성이 있는 경우에만 Headscale을 고려하는 것을 권장합니다.

---

5. 마무리 

1편에서는 Tailscale의 기본 개념과 메시 VPN으로서의 정체성, Control Plane/Data Plane/DERP로 구성되는 아키텍처, 그리고 간단한 개인 사용부터 Docker 기반 프로덕션 환경까지의 설치 가이드를 다루었습니다.

 

Tailscale의 핵심 가치는 "복잡한 네트워크 구성을 단순하게 만들면서도, 보안은 타협하지 않는다"는 것입니다. 포트 포워딩, 방화벽 규칙, SSL 인증서 관리 같은 반복적인 작업을 자동화하고, WireGuard E2E 암호화와 ACL 기반 접근 제어로 Zero Trust 수준의 보안을 제공합니다.

 

2편에서는 이 기반 위에 다음 내용을 심도 있게 다룰 예정입니다.

• Zero Trust 네트워크와 도메인 서비스: MagicDNS, Split DNS, HTTPS 인증서 자동 발급, Tailscale Funnel을 활용한 Zero Trust 아키텍처 구현 방법
• Tailscale vs Cloudflare Tunnel 특장점 비교: 아키텍처, 성능, 보안, 비용 관점의 상세 비교와 선택 기준
• Tailscale + Cloudflare 복합 활용 전략: "프라이빗은 Tailscale, 퍼블릭은 Cloudflare"의 원칙에 따른 하이브리드 구성법과 Docker Compose 예시
• 실전 활용 사례 모음: 홈랩, DevOps, 원격 근무, IoT, AI 에이전트까지 다양한 시나리오

Tailscale은 무료 플랜만으로도 충분히 강력한 기능을 제공하므로, 아직 사용해보지 않았다면 지금 바로 시작해볼 수 있습니다. https://tailscale.com 에서 계정을 만들고 두 대의 디바이스에 설치하면, 5분 안에 자신만의 Tailnet을 경험할 수 있습니다.

---

참고 자료

• Tailscale 공식 아키텍처 설명: https://tailscale.com/blog/how-tailscale-works
• Tailscale NAT Traversal 개선: https://tailscale.com/blog/nat-traversal-improvements-pt-1
• Tailscale 공식 문서: https://tailscale.com/kb
• WireGuard 프로토콜: https://www.wireguard.com
• Headscale GitHub: https://github.com/juanfont/headscale
• TSDProxy GitHub: https://github.com/almeidapaulopt/tsdproxy

---

관련 키워드

Tailscale, WireGuard, 메시 VPN, mesh VPN, P2P VPN, Tailnet, NAT Traversal, DERP 릴레이, MagicDNS, ACL, Subnet Router, Exit Node, Tailscale SSH, Taildrop, Docker 사이드카, TSDProxy, Headscale, 셀프호스팅, 홈랩 네트워크, 포트 포워딩, Zero Trust, 제로 트러스트, WireGuard 설치