[Go] juanfont / Headscale：开源 WireGuard 组网方案，自建 Tailscale 企业私有网络

Headscale 是 Tailscale 控制服务器的开源实现，基于 WireGuard 协议构建企业私有网络。支持多云互联、零信任访问控制、点对点加密通信。单二进制部署，兼容全平台客户端，适合混合云和远程办公场景。数据完全自主可控，是运维搭建企业级私有网络的实用工具。

一个真实的运维场景

上周三凌晨，数据库需要紧急扩容。DBA 小李在家里，测试环境在阿里云，生产库在腾讯云。传统 VPN 要么连不上，要么慢得让人抓狂。如果有一个工具，能让分散各地的服务器像在同一个局域网，该有多好？

Headscale 就是为解决这类问题而生的开源项目。

Headscale 是什么

Headscale 是 Tailscale 控制服务器的开源实现。Tailscale 是基于 WireGuard 的商业 VPN 服务，而 Headscale 让你可以自己搭建控制服务器，数据完全掌握在自己手里。

项目用 Go 语言开发，单个二进制文件就能运行，兼容 Tailscale 全平台客户端（Windows、Mac、Linux、iOS、Android）。底层基于 WireGuard 协议，性能直接由内核保障。

运维场景中的实际应用

多云环境打通
公司业务分散在阿里云、腾讯云、AWS 三个平台，以往需要配置复杂的 VPN 网关和路由规则。用 Headscale 后，各节点自动建立加密 Mesh 网络，服务器之间点对点直连。

开发环境访问
开发同学需要连接测试环境的 Kubernetes 集群调试问题。用 Headscale 生成一个预授权密钥，一行命令就能加入网络，比传统堡垒机方案简单很多。

零信任网络落地
通过 ACL 策略文件，可以精确控制哪些节点能访问哪些服务。比如只允许运维组访问生产服务器的 22 端口，开发组只能访问测试环境。所有流量都经过 WireGuard 加密传输。

数据自主可控
所有节点信息、路由配置、访问策略都存储在自己的数据库里，不依赖任何第三方服务。对于有合规要求的企业，这点尤其重要。

部署步骤

云原生架构： https://yunpan.plus/t/81-1-1

服务端配置

# 下载最新版本
wget https://github.com/juanfont/headscale/releases/latest/download/headscale_linux_amd64

# 创建配置文件 config.yaml
server_url: https://vpn.example.com
listen_addr: 0.0.0.0:8080
database:
  type: sqlite3
  path: /var/lib/headscale/db.sqlite

# 启动服务
./headscale serve

客户端接入

# 服务端生成预授权密钥
headscale preauthkeys create --user ops --expiration 1h

# 客户端加入网络
tailscale up --login-server=https://vpn.example.com --authkey=生成的密钥

两台机器之间的加密隧道就建立完成了。

技术架构说明

Headscale 采用控制平面和数据平面分离的设计：

控制平面（Headscale 服务器）负责节点注册认证、分发 WireGuard 密钥、同步路由信息、提供 HTTP API 和监控指标。

数据平面（Tailscale 客户端）负责建立 WireGuard 隧道、点对点加密通信、NAT 穿透和中继回退。

这里有个关键点：Headscale 不转发任何业务流量，只负责协调工作。真正的数据传输是节点之间直接连接，所以服务器压力很小。

生产环境注意事项

数据库选择
测试环境用 SQLite 没问题，生产环境建议换成 PostgreSQL，方便做备份和高可用。

HTTPS 配置
Tailscale 客户端强制要求 HTTPS 连接。可以用 Nginx 或 Caddy 做反向代理，配置 Let's Encrypt 证书。

监控接入
Headscale 提供 Prometheus metrics 接口，可以接入现有监控系统：

metrics_listen_addr: 127.0.0.1:9090

访问控制
ACL 策略用 JSON 文件定义，建议放到 Git 仓库管理：

{
  "acls": [
    {"action": "accept", "src": ["group:ops"], "dst": ["*:22"]}
  ]
}

适用场景总结

混合云或多云架构，需要统一网络层；远程办公场景，员工安全访问内网资源；开发测试环境，本地直连云端服务；IoT 设备管理，边缘节点统一接入。

使用建议

客户端和服务端版本要匹配，升级时注意查看兼容性说明。节点数量多的时候，建议部署自己的 DERP 中继服务器，提升连接成功率。定期备份数据库，里面包含所有节点状态和配置信息。

写在最后

Headscale 让运维工程师可以用开源方案搭建企业级私有网络，既有 WireGuard 的性能，又有自托管的灵活性。如果你正在找 VPN 替代方案，或者想落地零信任网络架构，这个项目值得尝试。

---

关注《云栈运维云原生》，持续分享运维、SRE、DevOps 领域的开源工具和实践经验。

项目地址： https://github.com/juanfont/headscale
官方文档： https://headscale.net
DevOps教程： https://yunpan.plus/t/81-1-1

标签：#Headscale #Github #WireGuard #零信任网络 #企业组网 #开源工具 #云原生