Servicebasierte Netzwerke ohne VPN-Gateways Tailscale erweitert Plattform um anwendungsbasierte Services (Beta)

Anbieter zum Thema

ALE Deutschland GmbH

Mit Tailscale Services (Beta) führt der Anbieter eine Funktion ein, die Anwendungen und Ressourcen eigene virtuelle IPs und DNS-Namen zuweist. Dadurch lassen sich Zugriffe gezielter steuern und interne Services sicher bereitstellen – unabhängig von Geräten oder Netzwerksegmenten.

Tailscale hat im Rahmen seiner Herbst-Updates die neue Kernfunktion Tailscale Services (Beta) vorgestellt. Anwendungen, Container und andere Ressourcen erhalten dabei eine eigene virtuelle IP-Adresse (TailVIP) und einen MagicDNS-Hostnamen. Diese Entkopplung von Geräten ermöglicht eine präzisere Kontrolle des Netzwerkzugriffs und reduziert die Abhängigkeit von VPN-Gateways oder Firewall-Konfigurationen.

Ein Service in Tailscale kann über mehrere Hosts laufen. Damit lassen sich klassische Load-Balancer ersetzen, während integriertes Traffic-Steering die Verteilung des Datenverkehrs übernimmt. Hosts, die einen Service bereitstellen, müssen zuvor validiert und entsprechend getaggt werden. Zugriffe auf die Services werden über sogenannte Grants geregelt: Administratoren können damit gezielt festlegen, welche Benutzergruppen auf bestimmte Ressourcen zugreifen dürfen – entweder über deren DNS-Namen oder direkt über die TailVIP.

Die Lösung befindet sich derzeit in der öffentlichen Beta-Phase und kann ohne Nutzungseinschränkungen getestet werden. Tailscale betont, dass die Services-Funktion mit allen gängigen Umgebungen kompatibel ist – von lokalen Systemen über Cloud-Instanzen bis zu Kubernetes-Clustern. Entwickler können etwa einzelne Container oder Anwendungen innerhalb eines Clusters freigeben, während DevOps-Teams die Service-Registrierung über API-Integrationen oder Tags automatisieren.

Laut dem Anbieter profitieren auch Security-Teams von der neuen Architektur: Audit-Logs dokumentieren sämtliche Aktivitäten und unterstützen die Einhaltung von Compliance-Vorgaben. Gleichzeitig entfallen externe Load-Balancer, DNS-Anycast und Firewall-Komponenten, was die Komplexität und Betriebskosten senken soll.

Weitere Funktionen der Tailscale-Herbstupdates

Neben Services (Beta) führt Tailscale in seiner Herbst-Update-Woche mehrere ergänzende Funktionen ein, die auf eine stärker service- und identitätsorientierte Architektur zielen:

• Peer Relay (Beta): Eine Fallback-Option für Fälle, in denen direkte Peer-to-Peer-Verbindungen nicht möglich sind – etwa durch Firewalls oder NAT. Peer Relay leitet den Datenverkehr verschlüsselt über einen Relay-Server weiter und verbessert damit die Konnektivität, ohne die Sicherheitsarchitektur zu schwächen.

• Visual Editor (GA): Ein grafisches Werkzeug in der Admin Console zum Erstellen und Bearbeiten von Access-Control-Lists (ACLs). Er bietet Vorschau-Funktionen und Validierungen, um Richtlinienänderungen nachvollziehbar und fehlerresistenter zu machen.

• Multiple Tailnets (Open Alpha): Ermöglicht die Verwaltung mehrerer separater Tailnets innerhalb einer Organisation. So lassen sich Entwicklungs-, Test- und Produktionsumgebungen logisch trennen, während in Zukunft Cross-Tailnet-Richtlinien geplant sind, um ausgewählte Ressourcen sicher zu verbinden.

• Workload Identity (Beta): Vergibt eindeutige Identitäten an Workloads und Container – nicht nur an Geräte oder Benutzer. Damit können automatisierte Prozesse und Services mit Least-Privilege-Access authentifiziert werden, was sich insbesondere für CI/CD-Pipelines und Container-Umgebungen eignet.

• Capabilities: Eine neue Schicht granularer Berechtigungen, mit der Anwendungen und Datenbanken spezifische Tailscale-Funktionen nutzen können. Dadurch lassen sich anwendungsspezifische Policies und Authentifizierungsmechanismen direkt auf Service-Ebene durchsetzen.

Services (Beta) ist ab sofort in der Admin Console im neuen Bereich „Services“ verfügbar. Der ebenfalls überarbeitete „Inventory-Tab“ gruppiert dort automatisch alle registrierten Ressourcen. Das Feature bildet zugleich die Grundlage für künftige Erweiterungen wie Workload Identity, Service Gateway und erweiterte Proxy-Integrationen.

(ID:50613084)