Tailscale 2025 秋 大型アプデを全部まとめる!
はじめに
先週(10/27週)に開催されたTailscaleの2025年秋アップデートウィーク。1週間にわたって毎日新しいアップデートが発表され、合計8個の新機能や改善が公開されました。
その内容は、「ネットワーク管理の簡素化」から「CI/CDとの安全な連携」、さらには「Tailscale自体を認証基盤として使う」といった、Tailscaleが単なる接続ツールから「開発・運用のためのプラットフォーム」へと進化しようとする野心的なものばかりでした。
この記事では、発表された8つのアップデートを、私が(ITインフラ/開発者の目線で)感じた重要度・影響度を最大★5で評価しながら、その全容を解説します。
今回の8つのアップデートは、大きく4つのカテゴリに分類できます。
-
管理をもっとラクに
- Visual Policy Editor ★★★☆☆
- Multiple Tailnet ★★★★★
-
サービス同士を安全につなぐ
- Tailscale Services ★★★★★
- Workload Identity Federation ★★★★☆
-
よりスムーズな接続
- Tailscale Peer Relay ★★★☆☆
- デスクトップアプリ (macOS) ★★☆☆☆
-
アプリの基盤としてのTailscale
- App Capabilities ★★★☆☆
- tsidp (Tailscale の認証情報を利用した IdP) ★★☆☆☆
1. 管理をもっとラクに
Visual Policy Editor ★★★☆☆
これは、Tailnet のACL(アクセスコントロールリスト)をGUI上で編集できるエディターです。
以前までは、ACLの設定を行うにはJSON(正確にはHuJSON)形式のデータを直接編集する必要がありました。今回のアップデートによって、これをGUI上で行えるようになります。
これによって、ACLの記法を学ばなくても、エンジニアではない人でもACLを作成・編集しやすくなりますね。この機能は以前からベータ版で公開されていましたが、今回ついに一般提供(GA)となりました。
Multiple Tailnet ★★★★★
今回のアップデートで、一つの組織(Organization)に対して複数の Tailnet を作成できるようになりました。
以前は、基本的に1組織に対して1つのTailnetが対応していました。しかし今回のアップデートにより、例えば「用途ごと」だったり「より細かいチーム単位」といった定義でTailnetを作成できます。
これによって、具体的には以下のようなことができるようになります。
- サンドボックス用にTailnetを作成して、そこで色々な設定を試す
- 研究や実験用にTailnetを隔離する
- 開発環境や本番環境ごとにTailnetを分ける
- 顧客ごとにTailnetを分けて、それぞれを完全に独立させた状態で運用する
それぞれのTailnetは完全に個別のポリシー、タグ、デバイス、設定を持つことができ、お互い独立しています。
また、大きな特徴として、この新しいTailnetの作成をAPI経由で自動化できるというのも面白い点です。これによってTailscaleの応用範囲がかなり広がったのではないでしょうか。
個人的に、この「複数のTailnetが作れる」というアップデートはかなり興味があります。 まだ実際に試してはいませんが、近いうちに実際に試してみて、その内容をまた個別の記事として公開したいと思います。
2. サービス同士を安全につなぐ
Tailscale Services ★★★★★
「Tailscale Services」は、Tailscale上に「サービス」という論理的なリソースを定義して、そこにTailscale上のMagicDNSの名前を割り振ることができる新機能です。
ちょっとイメージがつきにくいかもしれませんが、以前のTailscaleだと、基本的には「1つのマシン」に対して「一つのMagicDNSの名前」が対応していました。この場合、例えば以下のようなケースで少し不便さがありました。
- 1つのマシン上で複数のサービス・アプリを起動している時、それぞれに別のMagicDNS名を付けられない。
- 可用性を高めるために複数のホストにアプリを分散させた時、Tailnet上ではそれらは別々のマシンとして扱われてしまう。
どちらの場合も、ロードバランサやリバースプロキシを自前で用意する手間がありました。
しかし、今回のアップデートで「サービス」という論理的な単位が生まれたことにより、例えば「一つのサービス名に複数のマシンを対応させて、シンプルなロードバランサーのように使う」ことや、「一つのマシンに対して複数のサービス名を割り振って管理する」ことが可能になりました。
個人的にこの機能はかなり嬉しいです。ちょうど2つの内部向けアプリを1つのマシン上にホストしようとしていたので、 Tailscale Services が発表された直後に利用しました。
Workload Identity Federation ★★★★☆
これは、例えばGitHub ActionsやGCP、AWS、Azureなどで動いているワークロード(CI/CDや一時的なVM、Lambdaなど)を認証するための機能です。
クラウド側が発行するOIDCトークンを使って、そのワークロードをTailscaleが認証できるようになります。
以前までは、こうしたワークロードをTailnetに参加させるには、長期間使えるAPIキー(Auth Key)などを利用する必要がありました。当然それだと、キーが流出した際のリスクを常に考えなくてはいけません。
今回のWorkload Identity Federationによって、一時的かつ最小権限のトークンを自動で発行するというようなことが簡単になり、より安全にCI/CDなどをTailnetに接続できますね。
3. よりスムーズな接続
Tailscale Peer Relay ★★★☆☆
これは接続の安定性やスループットに関わる改善です。
TailscaleはP2P(ピアツーピア)での直接接続を試みますが、複雑なNAT環境などではそれが失敗し、Tailscaleが用意するリレーサーバー(DERP)経由になることがあります。DERPは確実につながりますが、必ずしも高速ではありませんでした。
今回の「Peer Relay」機能を使うと、Tailnet内の特定のノード(マシン)を自分たち専用の中継点として指定できます。
P2P直結が無理な環境でも、この自前のPeer Relayを経由させることで、DERPよりも高いスループット(通信速度)が期待できるようになります。厳しいファイアウォール下でも、特定のUDPポートさえ開ければ接続品質を改善できるようになります。
デスクトップアプリ(macOS) ★★☆☆☆
私は Windows ユーザーなので試せませんが、Mac ユーザーには朗報です。TailscaleクライアントのUIが改善されました。
これまではメニューバーにある小さなドロップダウンがメインのUIでしたが、これに加えて通常の「ウィンドウ」として開くUIが追加されました。
これにより、Tailnet内のデバイス一覧の検索、MagicDNSやIPアドレスのコピー、Exit Nodeの選択、接続エラーの確認などが格段にしやすくなっています。
Windows版についても、同様のUIが今後提供予定とのことです。
4. アプリの基盤としてのTailscale
「App Capabilities」とこの「tsidp」は、Tailscaleが単なるネットワークツールから、「アイデンティティを扱うプラットフォーム」へと進化しようとしているのを感じさせるアップデートです。
App Capabilities ★★★☆☆
Tailscaleを利用して、Tailnetに接続しているユーザーしかアクセスできない内部向けアプリをホストすることができます。「App Capabilities」は、それをさらに強化する機能です。
この機能を有効にすると、アプリにアクセスしてきたユーザーの「権限情報」がHTTPヘッダーとしてアプリ側に渡されます。アプリ側はそのヘッダー情報を見て、認証・認可を行うことができます。
Tailscaleというと「VPNでいろんな環境のデバイス同士を接続できるサービス」という印象が強いです。しかし今回のアップデートによって、単に接続するだけでなく「認証」までTailscaleが担うような、アプリを構築するための基盤としての側面も強くなりました。
tsidp ★★☆☆☆
これは新機能というより、Tailscaleを基盤としてアプリや社内サービスを作れる、というのを示すデモです。
Tailscaleの認証情報(「誰がアクセスしているか」という情報)を使って、シンプルなIDP(Identity Provider)を構築することができます。これによって、Tailscaleにログインさえしていれば、そのまま(OIDCなどで)外部アプリを認証できる、というようなデモになっています。
まとめ
どれも Tailscale の可能性を広げるような、興味深いアップデートばかりでした。特に Multiple Tailnet、Tailscale Services は応用範囲が広そうです。個別に記事にしてみようと思います。
Discussion