TailScale 实现远端访问整段局域网(ZeroTier另一选择)

发布于六月 06, 2022

前言:

之前的贴文分享了[ZeroTier 实现远端访问局域网](https://kingtam.win/archives/zerotier-route.html) ，最近发现一款软件`TailScale`(数码小树人的貼文-让你可以随时随地用NAS和家里的电脑)感觉设定上更简单一点，仅仅透过帐号登入就可以接入`TailScale`网络内。

`TailScale`是以[Wireguard](https://www.wireguard.com/)的协议加密，所以安全性更高，而且是P2P连线，流量不经伺服器，延迟更低、私密性更高。

目录内容:

安装及加入到TailScale网络
透过设定其中1部TailScale的装置为网关「Subnet Router」，可以访问整个内网网段

1. 安装及加入到「TailScale」网络

如果是Windows用户可以到官网下载安装Tailscale，或者透过Chocolatey软件包安装。

choco install tailscale -y

双击桌面右下角的图示

使用谷歌或者微软账号进行登录

成功授权后可以查看分配到的IP地址

Linux用户可以到Download · Tailscale找到相对应的CPU平台及架构安装.

我以Ubuntu 20.04为范例

添加 Tailscale 的金钥和软件仓库地址

curl -fsSL https://pkgs.tailscale.com/stable/ubuntu/focal.gpg | sudo apt-key add - curl -fsSL https://pkgs.tailscale.com/stable/ubuntu/focal.list | sudo tee /etc/apt/sources.list.d/tailscale.list

安装Tailscale

sudo apt update sudo apt install tailscale

启用Tailscale 及透过网址验证登入到Tailscale 网络

sudo tailscale up

此页面显示成功授权

返回到Linux 终端查看分配到的IP地址

tailscale ip

Tailscale 网络内的装置可以互通

2. 透过设定其中1部「TailScale」的装置为网关「Subnet Router」，可以访问整个内网网段

因为不是每一部设备都可以安装到Tailscale ，所以这样设定「Subnet Route」的好处是家里内网只要1部Linux装置接入到Tailscale 网络，其他所有的外网的Tailscale装置都可以透过这部Linux装置作为网关访问家里内网所有的设备，如: 印表机，路由器，伺服器等等。

启用 Linux 上的 IP 转发(IP Forwarding)

因为「Subnet Route」的设定需要用到 IP 转发(IP Forwarding)特性

使用以下指命启用

echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.conf sudo sysctl -p /etc/sysctl.conf

以Linux作为「Subnet Route」(子网路由网关)连接到Tailscale

Tailscale 不需要防火墙配置，会自动管理规则，以允许转发。设定过程也没涉及到iptable，一条指令可以完成。

sudo tailscale up --advertise-routes=20.13.3.0/24

20.13.3.0/24替换为自己的网段，可以是IPV4或者IPV6。

登入到网页控制台 > Machines

Enable All允许转发所有

基于安全特性，Tailscale每隔6个月需要重新授权装置，作为「Subnet Router」(子网路由网关)，建议停用。

外网的Tailscale装置线路测试

可以看到是经节点「Subnet Router」IP 100.101.41.50 接入到内网 20.13.3.1，延迟也很理想。

以下是使用内网IP连入家里的各服务及装置

测速

结语:

TailSale和ZeroTier的使用场景上非常相近，没有那个占优，根据自身网络环境的连线质量较佳去选取。
透过ZeroTier 实现远端访问局域网的设定不是对所有自定网段有效，如今次的20.13.3.0/24的网段失效，Zerotier误判为外网网段而不能访问。而使用TailSale的设定可以实现远端访问网段为20.13.3.0/24的局域网。

参考资料:

来源：https://post.smzdm.com/p/ad2kw7xx/

此博客中的热门博文

远离你身边的煤气灯人

发布于一月 04, 2022

今天讲个煤气灯人的故事，这可不是一个关于张牙舞爪的喷火小木偶的恐怖故事。我想说的远比恐怖故事惊悚多了。它毁人心智，杀人于无形。何为煤气灯人？如果你感觉这个词很陌生，那么朋友，你听说过PUA吗？ PUA（Pick-up Artist，把妹达人），一个近年来广为人知的群体，与其相关的理论亦称为“泡学”。大量不善交际的尝试者，几经辗转购入高价PUA课程，并将其珍若江湖两性秘笈。但同时在更多人眼中，PUA群体也沦为过街之鼠，人人喊打。甚至还有人故意在人际交往中，突显自己的直男直女本性，与“套路”二字划清界限。但你真以为自己能摆脱PUA吗——Nope，甚至也许你就是正在进行“情感操纵”的PUA本A 。 01. PUA，其实就是一种煤气灯人现今意义上的PUA，上可追溯至1944年，由美国导演乔治·库克执导的一部惊悚片《煤气灯下》（Gaslight）中的主角安东。在电影中，钢琴师安东（CharlesBoyer饰）为了将妻子宝拉（Ingrid Bergman饰）所要继承的大额财产据为己有，一面将自己伪装成潇洒体贴的丈夫，另一面又不断使用各种心理战术，联合家中的女佣企图将妻子逼疯。在丈夫缜密的心理操纵下，宝拉逐渐变得神经兮兮，怀疑现实、质疑自己，最后在精神上几乎完全依附于安东。这种试图破坏他人对现实的感知的情感操纵，也因该电影而得名为 Gaslighting（煤气灯操纵）。下面我挑选了几个经典的Gaslighting片段让大家品品： Part 1 信息封锁：在一段时间内不断重复强调某一信息安东和宝拉新婚满三个月时，外出去伦敦塔游玩。出门前安东送给妻子一枚小巧的白色胸针，声称是母亲去世前留给他的，并嘱咐宝拉把它收好。此时安东略显刻意地强调了一句： “你可能会弄丢，你知道的，你经常丢三落四” 。这是电影中安东第一次对宝拉实施Gaslighting，也是宝拉初步对自己产生怀疑。但是在二人离去之后，两位女佣之间的对话又再次佐证了，宝拉从未体现出任何异常。但是男主人安东，却不断向他们传输“女主人生病了”这一信息。如果说此时，仆人们还对女主人生病一事尚有所怀疑。那么接下来的事情，就令他们对于这一言论深信不疑了。当天的游玩结束后，安东便以饰物常年未佩戴、需要修理为由，向宝拉索要胸针。由于安东从一开始就并未将胸针放入宝拉的手包，而是偷偷将其藏在手心转移至别处，...

阅读全文

高可用用户中心设计

发布于五月 09, 2020

概述我们公司现在的账户体系比较混乱，每个系统都有一套自己的账户体系，没有办法进行统一的账户管理，比如统计一个人在哪个系统有账号，这样操作是比较麻烦的，还有就是我们如何进行用户行为分析，最终综合用户的信息进行用户的画像。这些都是需要解决的问题。常规的用户设计是统一账号和统一登录验证，统一注册等信息。但是结合我们公司的实际，发现这样的话我们的系统可能会出问题，我们无法屏蔽很多细节。我们的现状是：系统需要向用户隐藏是同一个公司的这个事实。也就是说我们做了用户中心的设计，但是不能让用户感知这个系统的存在。也就是说多个系统之间的登录都是需要隔离的。离论上不能做统一账号的登录，但是可以做统一账号的验证。同一个系统可能有多个马甲app，我想马甲app之间也需要登录隔离，虽然他们调用的是同一个后台系统，那么我们不得不面对一个问题，同一个用户同时下单的逻辑处理，需要后台做这种处理，否则就会出现严重的并发错误，而开发人员可能都没有注意到这个事实的存在，从而导致一些稀奇古怪的事情出现。 web端与app端应该是需要同时登录的，我们好像没有web的要求，但是好像有微信的web端的事情。假如我们有web端的登录，那么问题来了，我们要不要实现二维码登录web。目前看是可以先不实现的，但是作为设计考量我们不得不考虑这些。第三方账户的登录，我们是通过手机号作为唯一标识，那么不太好实现第三方的登录注册。但是我们可以后期实现，如果实现第三方的登录注册，那么问题来了，我们的设计貌似不支持，需要改动，就是改掉手机作为唯一标识的问题，但是想想好像是不影响的，只要数据能插入问题就不大，因为没有手机号，这些用户是不能登录需要手机的app，但是有的系统可以做特殊处理，从而支持第三方账户的登录注册。但是这样做也有缺点，就是用户利用多种方式进行注册，也就是说我们不得不解决一个问题就是用户可能存在多个账户的可能性。加入用户有微信注册的账户，然后又用手机登录，绑定微信，这个时候我们可能需要去系统中用微信的unionId或者openId查找一下是否有用户，有就不能绑定，没有才能绑定。如果有我们可能也知道了这个人有重复号的可能性。这个可能需要在做的时候处理。验证保密问题，公司居然都没有人提到这点。不过也对我们是通过手机号进行验证的。但是如果以后我们不在使用手机号，可能我们需要验证问题。还需要判断用户的活动记录...

阅读全文

一、前言你在通往架构师的路上吗？程序员这个行业就像是在不断的打怪升级，突破每一阶段的瓶颈期。从毕业前想通过实习拿到offer、毕业后想通过试用期到转正留下、转正后程序员想做到高级开发、从高级该开发想做到架构师、从架构师想做到更高的总监或者CTO。往后的路越来越不容易，既需要需要个人不断的沉淀学习，也需要一定的机遇机会。在这条路线上架构师是一个瓶颈期的重要转折点，因为这个阶段远不止个人的技术栈学习，还有很多其他能力，几乎可以包括的有如下几点；有中大型项目开发落地经验有可靠的交付质量和统筹能力能解决复杂项目的架构设计和推进执行有一定的技术广度和深度，改的了bug，处理的了事故定得了规范、设计了架构有一定的认知范围，熟悉业务、产品和运营，了解运营规划和业务发展带得了小组，推进项目落地和组内技术成长有一定的专业影响力，能用技术创造价值有紧急情况的应对能力流程规范制定、方法论、开源项目的相关经验一个技术架构师要求可能不只这十点，还有很多软实力。但这些很难通过培训或者上课学来，因为这些能力都是实操经验，需要长时间的磨练。其实即使没有架构师也不会缺少系统架构，这样的小组并不需要养一个架构师，很多都是成套的快速搭建的技术，尤其像 SpringBoot 一整套服务，很适合小型公司使用。但如果有非常复杂的系统架构和业务场景设计，包括几十个系统的分组安排开发，提供支撑上百万的QPS、秒杀的活动瞬时就有几万、以及需要随着业务发展扩展到可以支撑几百万DAU的后台服务。就需要架构师来整体把控，因为他可以从下单、到交易、到支付、到结算、到活动、到玩法，怎么支撑、怎么设计，提供出一整套的解决的方案，那么这个体量复杂程度的系统，就不在是一个小作坊团队能承担下来的了。二、技术栈闭环学习你的技术能力足以支撑整个系统吗？其实很多程序员👨‍💻‍大部分都被局限在产品的PRD里，除此之外对整个全局并没有太多的认知。而且只是在技术范畴内也同样被限定在某个语言下，比如后端研发基本开发不出一个完整的前端页面、前端同学同样也写不出后端接口。当然在某个技术语言下深扎不一定是什么坏事，甚至可能还有一番创造和成绩。只不过缺少了全局的认知和了解，在某些时候会被限定到一个瓶颈期里，在想成长到下一个阶段就很难了。或者更简单...

阅读全文

大项目解决方法：代码解耦与团队解耦

发布于五月 18, 2021

一、引言大学有一门课程《软件工程》，研究如何组织和管理软件项目。说实话，这门课不适合本科生，因为学生可能体会不到，课程到底要解决什么问题。只有亲身参与过大项目的开发，经历过大团队，才能感受为什么软件工程很重要，又很难做对。软件开发有一个难题，叫做"扩展"（scaling），即怎样服务更多的用户。你有10000个并发用户，跟你有10个并发用户，这是完全不同的概念，哪怕功能完全相同，背后的实现是完全不一样的。并发用户数上升一个数量级，软件就必须重构，大量问题随之产生。大项目的技术难度高，管理难度更高，而且大团队的生产率往往很低，行动缓慢。《软件工程》就是研究，如何扩展软件和团队，适应大项目的需要。国外有很多专著，研究这个问题。前些日子，我读到一篇文章，推荐了两本书。第一本叫做《加速：构建和扩展高性能技术组织》，第二本叫做《规模：生物，城市和公司的普遍法则》。我看了这两本书的介绍，觉得很有启发，下面就做一些摘录。二、大项目的困境一个典型的大型软件项目，开发过程通常是下面这样。最开始的时候，它是一个小项目，开发人员就是两三个人，甚至可能只有一个人。产品比较简单，功能很有限。第一版发布后，拿给客户使用，反响不错。客户要求的新功能，能够很快开发出来，Bug 修补也很快，因为早期客户往往可以与开发人员直接沟通，快速反馈。公司于是决定投入更多人员，开发这个项目。团队慢慢变大了，软件开始变得复杂，开发速度逐渐变慢了，2.0 版花费的时间比预期要长一点。Bug 的修复难度开始增加。总之，新功能的开发日程变久了。公司的自然反应是进一步扩充团队。但是更多的新成员其实会降低其他人的生产率，一个普遍现象是团队规模越大，每个人的平均生产率越低。几年以后，代码逐渐老化，复杂性不断增加，项目开始停滞不前。某些极端的情况下，软件的维护成本变得非常高昂，并且几乎不可能进行更改。最终，这个项目成为技术债务，等待被新项目替换。三、为什...

阅读全文