Tailscale Peer Relays: 안전하고 유연한 네트워크를 위한 고속 릴레이

• Tailscale Peer Relays는 기존 DERP 서버를 대체하는 새로운 트래픽 릴레이 기능으로, 사용자가 직접 배포하고 관리할 수 있는 구조
• 각 노드는 UDP 포트 하나만 열면 릴레이 역할을 수행할 수 있으며, Tailscale 클라이언트에 내장되어 간단히 활성화 가능
• 고속·고처리량 연결을 지원해, 클라우드 NAT나 방화벽 뒤에서도 직접 연결에 가까운 성능 확보
• 모든 트래픽은 WireGuard® 기반 종단 간 암호화를 유지하며, DERP 및 커스텀 DERP로의 자동 폴백(fallback) 지원
• 현재 공개 베타로 제공되며, 모든 요금제에서 최대 2개의 무료 Peer Relay 사용 가능

Tailscale Peer Relays 개요

• Tailscale Peer Relays는 Tailscale의 관리형 DERP 서버를 대체할 수 있는 사용자 관리형 트래픽 릴레이 메커니즘
  • 어떤 Tailscale 노드든 릴레이로 설정 가능하며, 동일한 tailnet 내 노드 간 트래픽을 중계
  • 릴레이는 자신이 속한 tailnet의 노드만 중계 가능
• 고객이 직접 관리하므로 DERP보다 처리량 제약이 적고, 폐쇄형 클라우드 인프라나 방화벽 환경에서도 높은 성능 제공
• 초기 파트너 테스트에서 직접 연결에 근접한 처리량을 기록, 기존 DERP 대비 수십 배 이상 빠른 성능 확인

Hard NAT 환경 극복

• Tailscale은 NAT 환경에서도 가능한 한 직접 연결(90% 이상) 을 유지하도록 개선된 NAT 트래버설 기술을 적용
• 그러나 일부 클라우드 환경에서는 직접 연결이 불가능하거나 비효율적일 수 있음
• 기존 DERP는 안정적 연결을 제공하지만, QoS 제약과 성능 한계로 인해 일부 배포 환경에서 어려움 존재
• Peer Relays는 성능 중심의 연결 도구로 설계되어, UDP 기반 저지연 통신과 클라이언트 내장형 구조로 배포 용이
• 고객이 직접 릴레이를 배치해 고성능·고유연성 네트워크 구성 가능

작동 방식

• Peer Relay는 양쪽 노드가 접근 가능한 단일 UDP 포트를 사용
• CLI 명령어 tailscale set --relay-server-port로 간단히 활성화 가능
• 직접 연결이 불가능할 경우, Peer Relay → DERP(관리형 또는 커스텀) 순으로 자동 폴백
• 모든 연결은 WireGuard® 암호화로 보호
• 방화벽 예외를 최소화하면서 tailnet 내부 트래픽만 허용하도록 설정 가능
• 지역 간 확장성, 네트워크 장애 내성, DERP 자동 폴백 기능을 모두 지원

다양한 활용 시나리오

• 클라우드 NAT 환경(AWS Managed NAT Gateway 등) 에서 직접 연결 불가 트래픽을 고속 중계
• 엄격한 방화벽 환경에서 단일 UDP 포트만 개방해 승인 절차 단축
• DERP 네트워크 부하 감소 및 커스텀 DERP 유지보수 불필요
• 폐쇄형 고객 네트워크 접근 시 예측 가능한 엔드포인트를 통해 최소 포트만 개방
• 실제 고객들은 Peer Relay를 활용해 비관리 네트워크 접근, 파트너 연결 경로 제어, VPC 피어링 기반 세분화된 네트워크 구성 등을 구현

공개 베타 및 제공 정책

• Tailscale Peer Relays는 공개 베타 버전으로 즉시 사용 가능
• 현재 일부 가시성 및 디버깅 개선 작업이 진행 중
• 초기 파트너들은 손쉬운 배포와 안정적 성능을 확인
• 모든 요금제(무료 포함)에서 최대 2개의 Peer Relay 무료 제공, 추가 릴레이는 확장 가능
• 추가 릴레이 필요 시 Tailscale 영업팀 문의를 통해 확장 가능