Tailscale Peer Relays: aproveitando seus próprios dispositivos como relays de alta velocidade

 (tailscale.com)
2 pontos por GN⁺ 2026-02-19 | 1 comentários | Compartilhar no WhatsApp
  • Tailscale Peer Relays foi lançado oficialmente, permitindo que os usuários aproveitem seus próprios dispositivos como nós de relay de alto desempenho
  • Oferece encaminhamento de tráfego estável e rápido mesmo em ambientes onde conexões diretas são difíceis devido a firewall, NAT e restrições de rede na nuvem
  • O desempenho melhora bastante em conexões com muitos clientes graças a maior throughput, melhorias na contenção de locks e distribuição do processamento entre sockets UDP
  • Com a integração de endpoints estáticos, é possível operar relays por trás de AWS NLB e similares mesmo em ambientes de nuvem onde a descoberta automática não é viável
  • A integração com visibilidade e monitoramento permite entender claramente o caminho do tráfego, a latência e o estado dos relays, algo importante para operar redes em larga escala

Visão geral do Tailscale Peer Relays

  • Peer Relays é um recurso que permite executar a função de relay de alto desempenho em seus próprios dispositivos
    • Além dos relays DERP existentes, também é possível usar como relay nós implantados diretamente pelo usuário
    • Desde a beta, desempenho, estabilidade e visibilidade melhoraram bastante, elevando a solução a um nível pronto para produção
  • O recurso começou como uma forma de contornar ambientes NAT complexos e se expandiu para uma opção de conectividade para redes em larga escala
    • Ele oferece uma estrutura na qual equipes podem obter desempenho, controle e flexibilidade

Melhorias de desempenho e confiabilidade

  • Quando muitos clientes se conectam por meio de um relay, o throughput aumenta significativamente
    • Os clientes selecionam automaticamente a interface e a família de endereços mais adequadas dentro do relay
    • O relay melhora a eficiência no processamento de pacotes com redução da contenção de locks e distribuição entre múltiplos sockets UDP
  • Com essas melhorias, o desempenho e a estabilidade aumentam mesmo no tráfego cotidiano e, quando a conexão direta não é possível, o recurso oferece um desempenho próximo ao de uma rede mesh

Suporte a endpoints estáticos

  • Em ambientes de nuvem pública, muitas vezes a descoberta automática de endpoints é difícil
    • Em alguns casos, não é possível abrir portas arbitrárias por causa de regras de firewall, port forwarding e load balancers
  • Peer Relays pode anunciar pares fixos de IP:porta por meio da flag --relay-server-static-endpoints
    • Mesmo por trás de infraestruturas como o AWS Network Load Balancer, clientes externos podem encaminhar tráfego pelo relay
  • Com isso, é possível garantir conectividade de alta velocidade mesmo em ambientes de nuvem restritos e substituir subnet routers para viabilizar uma topologia full mesh

Integração com visibilidade e monitoramento

  • Peer Relays se integra diretamente às ferramentas de observabilidade da Tailscale, permitindo entender claramente o funcionamento do relay
    • Com o comando tailscale ping, é possível verificar se o relay está sendo usado, sua alcançabilidade, a latência e o impacto na confiabilidade
    • Quando ocorre algum problema, é possível identificar de imediato se o tráfego está passando pelo relay e se o estado dele está normal
  • Como métricas de monitoramento, são fornecidas tailscaled_peer_relay_forwarded_packets_total e tailscaled_peer_relay_forwarded_bytes_total
    • É possível integrá-las com Prometheus, Grafana e outros para analisar padrões de tráfego, detectar anomalias e monitorar o estado da rede

Disponibilidade geral e forma de implantação

  • Peer Relays, agora em disponibilidade geral, se consolida como um componente central da escalabilidade do Tailscale
    • Fornece conexões rápidas e de baixa latência quando um caminho direto não é possível
    • Funciona mesmo em ambientes de nuvem restritos com implantações baseadas em endpoints estáticos
    • Dá suporte a topologias full mesh dentro de sub-redes privadas e à configuração de caminhos de controle de entrada e saída
  • Mantém os princípios básicos de segurança da Tailscale, como criptografia de ponta a ponta, acesso com privilégio mínimo e comportamento previsível
  • Pode ser ativado via CLI em todos os nós compatíveis e oferece controle baseado em ACL e implantação gradual
  • Peer Relays está disponível em todos os planos, incluindo o plano Personal gratuito

Leituras relacionadas

1 comentários

 
GN⁺ 2026-02-19
Comentários no Hacker News

  • Se o Tailscale é confiável por ser “aberto”, também é preciso saber que alguns clientes são fechados
    Eles são distribuídos apenas por canais oficiais de distribuição, como a Apple App Store, e ficam totalmente sob controle da empresa
    A lógica usada para justificar isso é absurda: algo como “se o usuário aceita usar um SO proprietário, então não tem problema o Tailscale também ser proprietário”
    Esse tipo de estrutura é difícil de confiar em ambientes com conectividade restrita
    Mesmo que tecnicamente seja melhor que os concorrentes, no fim continua sendo um negócio. Se possível, deveríamos apoiar alternativas de software livre
    Issue relacionada no GitHub

    • Quero deixar claro que, em algumas plataformas, só a GUI é fechada (Tailscalar)
    • Eu valorizo mais o controle do que desempenho
      Se o usuário puder compilar direto do código-fonte, até dá para melhorar o desempenho, mas sem controle não há como corrigir partes insatisfatórias
      Software comercial muitas vezes tem qualidade baixa, depende demais de atualizações e prioriza velocidade de lançamento em vez de acabamento
    • O cliente CLI para macOS pode ser compilado diretamente a partir do código-fonte
      Dá para instalar com o comando go install tailscale.com/cmd/tailscale{,d}@latest, e isso está explicado na wiki oficial
      A GUI é fechada, mas a CLI é totalmente aberta, então pode ser usada até em ambientes de rede restritos
    • A maioria dos apps de Mac é fechada, então um ícone a mais na barra de menus do Tailscale não me incomoda
      Se isso realmente for incômodo, dá para controlar por brew ou pela CLI
    • Acho que o modelo híbrido entre open source e comercial é um meio-termo realista
      Eu mesmo estou desenvolvendo um app com estrutura parecida: a CLI será totalmente open source e a GUI será vendida
      Assim dá para continuar desenvolvendo e ganhar a vida
      Estou desenvolvendo GUI e CLI com base na biblioteca validate

  • Configurei o Tailscale recentemente e o ping caiu de 16 ms para 10 ms, enquanto a largura de banda triplicou
    Usando junto com Moonlight/Sunshine, consigo transmitir jogos de Windows de um desktop Linux para um MacBook a 50 Mbps/10 ms
    Não precisei de port forwarding; só configurei o roteador como nó peer

    • Sobre o Sunshine, talvez valha testar o Apollo
    • É um caso de uso interessante, mas na prática isso só delegou NAT traversal e port forwarding para um protocolo automatizado
    • Para disponibilizar streaming de jogos ao público geral, a outra pessoa também precisa instalar o Tailscale?
      Quero entender se o Tailscale é voltado por padrão para compartilhamento entre usuários confiáveis
    • Tentei uma configuração parecida com um roteador OpenWRT, mas achei que ainda seria necessário abrir portas
      Nesse caso, continuo confuso se isso ainda não deixa o serviço exposto à internet

  • Tenho curiosidade sobre o modelo de receita do Tailscale. Gosto do serviço, mas me preocupo com a sustentabilidade no longo prazo
    Às vezes também parece que há algum tipo de rate limit

    • Nossa empresa usa o plano Business, de US$ 18 por usuário/mês
      Quando a equipe cresce, o plano pago acaba sendo indispensável, e recursos como serve/funnel e SSH são úteis
      Antes usávamos o Zerotier; ficamos anos no gratuito e, quando o número de usuários aumentou, passamos a pagar só uns US$ 5 por mês
    • Em princípio, o Tailscale estabelece uma conexão P2P via WireGuard depois da conexão inicial, então não deveria haver limitação de velocidade
      Mas, dependendo do ambiente de rede, pode ser necessário usar relay
      Como alternativas open source, há Headscale e Netbird
    • Vale consultar a explicação do plano gratuito no blog oficial
    • É um caso clássico de modelo freemium: ganha popularidade com o plano gratuito para desenvolvedores e depois converte empresas para planos pagos
    • Como conexões P2P quase não geram custo, faz sentido usar a camada gratuita para criar lealdade entre desenvolvedores

  • A mudança para Peer Relay é uma grande vitória para quem faz self-hosting em ambiente NAT
    Não é mais preciso configurar um servidor DERP manualmente, o que melhora a UX

    • (Alex, funcionário do Tailscale) Nós também enfrentávamos esse mesmo problema
      O Peer Relay foi implementado reaproveitando a infraestrutura existente de subnet router e exit node, então o custo de implementação não foi tão grande
      Isso é essencial para conexões estáveis até em ambientes NAT restritivos, como os da AWS
      No fim, tanto a latência quanto a experiência do usuário melhoraram
    • Havia o problema de DERPs centrais engolirem o tráfego como um buraco negro, mas recentemente a estabilidade melhorou
      Com a adoção do Peer Relay, parece provável que esse tipo de problema diminua ainda mais

  • O ponto principal é que o Peer Relay suporta UDP
    O DERP é baseado em TCP, então havia problemas de latência em streaming de jogos e comunicação por voz
    Como o Peer Relay usa UDP, ele é muito mais adequado para tráfego em tempo real
    Também pode ser ativado diretamente em subnet routers existentes, sem precisar configurar uma instância DERP separada

    • Mas, vendo uma sequência de comentários positivos vindos de contas novas e, em alguns casos, respondidos por funcionários do Tailscale, isso parece PR com IA
      Esse tipo de comentário gerado por IA prejudica a confiança da comunidade e deveria ser evitado

  • Quando existem vários relays, tenho curiosidade se o Tailscale escolhe automaticamente o nó com menor latência

  • O Tailscale tem ajudado muito em um ambiente real de CGNAT
    Estou rodando um sistema de visão computacional com IA no Google Cloud Run, e a ISP estava bloqueando port forwarding
    Com o Tailscale, o contêiner no Cloud Run e a câmera conseguem se comunicar como se estivessem na mesma LAN
    Também espero que o Peer Relay reduza os problemas de latência que aconteciam quando o contêiner reiniciava com frequência
    Mas tenho curiosidade sobre como funciona a escolha de relay em ambientes com nós ephemeral

  • Eu já uso uma rede WireGuard configurada manualmente, e queria entender o que exatamente o Tailscale faz por baixo dos panos
    Há muita “mágica” de ajuste automático de DNS, roteamento, firewall etc., e isso me deixa desconfiado
    Li a documentação oficial, mas faltam detalhes
    Quero saber se funciona bem até em configurações de rede complexas

    • (Funcionário do Tailscale) É difícil manter uma documentação perfeita, mas tentamos documentar ao máximo as heurísticas adaptativas ao ambiente
      No Linux, a variedade de padrões de configuração torna tudo mais complexo
      Isso também é explicado neste post do blog
      O comportamento principal é o seguinte
      • Roteamento baseado em regras para evitar conflitos
      • Integração prioritária com systemd-resolved; se não existir, altera /etc/resolv.conf
      • Suporte a iptables e nftables, com compatibilidade com ufw/firewalld
      • O login via SSH foi implementado com o máximo de compatibilidade possível, levando em conta diferenças entre distribuições
      • É necessário um caminho MTU de 1360 bytes para comunicação estável
        Em ambientes muito customizados, ainda podem surgir problemas, mas normalmente dá para resolver com suporte
    • O cliente é open source, e alguns funcionários até contribuem para servidores obtidos por engenharia reversa, como o Headscale
    • O Headscale é uma alternativa open source que vale conhecer

  • Abri a página no celular e não via o botão de fechar, então não consegui fechar o modal
    Veja este screenshot
    Depois consegui achar, mas a posição era estranha

    • O botão de fechar é o X branco dentro da caixa azul no canto inferior direito do modal