Cloudflare Zero-trust에서 Tailscale까지
Source: Dev.to
지난 해에 나는 내 Home Assistant와 Synology NAS에 Cloudflare Tunnels를 구현하는 데 시간을 좀 보냈다.
Mastodon에서 나는 Tailscale을 홍보하는 댓글자를 한 명이 아니라 두 명이나 만났다:
Nicolas Fränkel 🇪🇺🇺🇦🇬🇪 – “나는 여러 소셜 미디어 플랫폼에 걸쳐 게시물을 예약하는 애플리케이션을 만들기 시작했다. 자세한 내용은 이 글과는 무관하다. 간단히 말해, 모듈은 집에 있는 #Docker 컨테이너와 #SynologyNAS에서 실행되고 있다. 집에 있을 때는 접근이 가능하다. 하지만 곧 몇 주 동안 호주로 여행을 갈 예정이며, 계속해서 콘텐츠를 게시하고 싶다. 그래서 질문이 생겼다: 그곳에서 어떻게 안전하게 접근할 수 있을까?”
태그: #TOTP #Cloudflare
내가 Tailscale로 전환한 이유
Tailscale를 한번 써보고 서버와 디바이스를 옮겨보기로 했습니다. Heiko Does와 higgins 덕분에 더 깊게 살펴볼 수 있었어요!
Tailscale란 무엇이며, 어떻게, 왜 쓰나요?
“레거시 VPN, SASE, PAM을 대체하고 원격 팀, 멀티‑클라우드 환경, CI/CD 파이프라인, Edge & IoT 디바이스, AI 워크로드를 연결하는 제로‑트러스트 기반 아이덴티티 연결 플랫폼.” – Tailscale
다시 말해, Tailscale는 메시 VPN(자세히 보기)을 만들어 디바이스들이 전 세계와 격리된 채 사적으로 통신할 수 있게 합니다.
Cloudflare Zero‑Trust 설정에서는 사용자 디바이스가 네트워크에 포함되지 않아 공개 엔드포인트를 노출해야 했고, 이로 인해 프라이버시와 보안 문제가 생겼습니다. Tailscale를 쓰면 이런 필요가 사라집니다: 디바이스가 동일한 격리된 네트워크에 합류하므로 공개 엔드포인트가 필요 없게 됩니다.
Tailscale 온보딩
온보딩 경험은 뛰어납니다. 아이덴티티 제공자(IdP)를 선택하면 Tailscale가 모든 인증을 해당 IdP에 위임합니다. 신중히 선택하세요—계정은 여러 IdP에 동시에 바인딩될 수 없으니, 백업용 IdP를 별도로 두기 어렵습니다.
기본으로 14일 무료 Enterprise 체험을 제공합니다. 추가 기능이 필요 없으면 개인 무료 플랜(사용자 3명, 디바이스 100대)으로 전환할 수 있습니다. 제 사용 사례에는 충분합니다.
서버와 디바이스 추가
각 머신에 Tailscale를 설치하고 IdP를 통해 인증했습니다. 지원 플랫폼은 다음과 같습니다:
- Linux
- Windows
- macOS
- iOS
- Android
- Synology
디바이스가 IdP 인증용 웹 UI를 제공하지 못한다면, 전용 enrollment key로 준비된 스크립트를 생성할 수 있습니다(이를 위한 API도 제공됩니다).
Note: 여기서는 서버와 디바이스라는 용어를 의도적으로 구분합니다.
디바이스는 사람의 아이덴티티와 연결되고, 서버는 그렇지 않습니다. 인증이 완료된 서버는 태그에 할당할 수 있습니다(문서 보기). 태그는 서비스 계정과 비슷하지만 더 유연합니다—하나의 디바이스에 여러 태그를 부여할 수 있습니다.
얻은 것과 잃은 것
Cloudflare Tunnel/공개 엔드포인트에서 Tailscale로 마이그레이션하면서 여러 장점과 약간의 트레이드‑오프가 있었습니다.
| 항목 | 이전 (Cloudflare) | 이후 (Tailscale) |
|---|---|---|
| 공개 엔드포인트 | 필요 (서브도메인 + TLS 인증서) | 불필요; Tailscale가 *.ts.net 서브도메인 제공 |
| 원격 SSH | 불가능 | 메시에 연결된 모든 디바이스에서 사용 가능 |
| 미디어 동기화 (Synology) | 내부 IP로만 가능 | 어느 디바이스에서든 Tailscale IP/이름으로 접근 가능 |
| 네이밍 | 수동 IP 관리 | MagicDNS – 디바이스를 이름(nas.pTsDVj8tCL11XNTRL.ts.net 혹은 간단히 nas)으로 참조 |
| 보안 | 인터넷에 노출 | 제로‑트러스트, 사설 메시 |
접근 방법
| 유형 | 예시 |
|---|---|
| IPv4 | 100.98.98.68 |
| IPv6 | fd7a:115c:a1e0::3701:6261 |
| Fully qualified name | nas.pTsDVj8tCL11XNTRL.ts.net |
| Simple name | nas (MagicDNS 사용) |
Migrating to Tailscale – A Quick Recap
그리고 마침내 집 라우터의 모든 포트‑포워딩 규칙을 제거할 수 있었습니다.
위의 모든 것이 순수 이득이지만, 손실도 있습니다. 서브도메인을 포기했기 때문에 같은 호스트에 여러 앱이 있을 때 포트를 기억해야 합니다. Tailscale은 포트를 별칭으로 지정할 수 있는 services를 제공하지만, Synology 플러그인에 포함된 Tailscale 버전은 이를 지원하지 않습니다.
기본적으로 Tailscale은 내부 서버에 대해 TLS를 제공하지 않습니다. 다만 인증서 생성은 가능합니다. 현재는 인증서를 설정할 귀찮음이 있지만, 프라이빗 메시가 중간자 공격으로부터 보호해줄 것이라고 생각합니다. 게다가 Tailscale이 트래픽을 엿듣고 싶다면, 어차피 인증서를 생성하므로 가능할 수도 있습니다.
마지막 장벽은 Tailscale이 지원하지 않는 기기, 예를 들어 스마트 워치에서의 네트워크 접근입니다. 이론적으로는 Garmin 시계의 관련 앱을 통해 Home Assistant에 접속할 수 있어야 합니다. 저는 앱을 설치했지만 사용해 본 적은 없습니다. 공개 엔드포인트도 특수 소프트웨어도 없으니 이제는 사용할 수 없습니다. 이 특정 사용 사례를 위해 Tailscale은 Subnets을 제공합니다.
나중에 기능들을 살펴볼 필요가 있습니다.
결론
Tailscale로 마이그레이션하는 것은 큰 도전이었지만, 정말 잘한 선택이라고 생각합니다. 프라이버시와 보안 측면 모두에서 제 설정이 크게 개선되었습니다. 또한 제 요구사항에 비추어 훨씬 간단해졌습니다. 여러분도 한 번 살펴보시길 권합니다.
더 알아보기
원본은 A Java Geek에 2026년 1월 11일에 게시되었습니다.