Tailscale 2026 上半年重要特性一览（来源：Tailscale Blog）

Tailscale 2026 上半年更新一览：Peer Relays、Services、Aperture，以及 macOS 终于有窗口了

Tailscale 这两年迭代速度很快，但 2026 上半年的更新幅度还是有点出乎意料——Winter Update Week 直接上了四个 GA 功能，加上 macOS 客户端终于有了正经的窗口界面，还有不止一个安全修复。作为一个在 NAS 和几台机器上都跑着 Tailscale 的用户，这篇把值得关注的变化挑出来说说。

Peer Relays：NAT 穿不过去？中继顶上

Peer Relay 在直接连接失败时自动启用中继通道

Tailscale 一直靠 DERP 中继做兜底，但 Peer Relays 是另一回事——它在两端之间建一个优化的中继通道，不仅处理对称 NAT 等极端场景，吞吐也比旧 DERP 好不少。特别是多核系统上用到了 SO_REUSEPORT，服务端压力分散得更均匀。

对于家里有对称 NAT 的移动网络、或者办公楼里网络策略特别严的场景，Peer Relays 能显著减少连接失败。不过大多数用户可能感知不大——本来就连得好好的。

Services：虚拟 IP 自动接受，少一个配置烦恼

之前要让其他节点访问某个 Tailscale 节点上的服务，可能需要手动配置 --accept-routes。Services GA 之后，虚拟 IP 自动被所有客户端接受，不用再操心路由宣告的事。

如果你在 NAS 上跑了一些只给 tailnet 内访问的服务（比如 Immich、Home Assistant），这个改进可以让新加入的节点直接看到这些服务。没什么惊天动地的变化，但确实少了一个配置步骤。

Workload Identity Federation：CI/CD 可以不用 API Key 了

GitHub Actions 和 GitLab CI 现在可以直接通过 Tailscale 获得身份令牌，不需要手动配置 API Key。与之前相比，CI 流程的安全性提升很明显——密钥管理的攻击面缩小了。

对 Homelab 用户来说，可能只有少数自动化场景用得上，但思路是对的。

Aperture by Tailscale：AI 网关

这是 Winter Update 里最”企业”的一环——一个 AI 网关，给团队分配 AI 模型的访问权限，同时可视化使用情况。对个人用户意义不大，看看就好。

macOS 窗口化界面：终于来了

以前 Tailscale macOS 客户端只有一个菜单栏图标，想看网络状态得用命令行。v1.96.2 开始有了正式的窗口界面，可以直接看节点列表、连 Ping、用 Taildrop 传文件。虽然对老用户来说命令行早就习惯了，但新手友好度提升不少。

另外还修复了一个命令注入漏洞 TS-2026-001，如果你在 macOS 上跑 Tailscale，建议尽快升级到 v1.96.4+。

其他值得留意的

• OpenWrt 25.12.0+ 用户注意：apk 包管理器下的 Tailscale 更新已修复，之前可能有兼容性问题
• tailscale wait 新命令：等 Tailscale 资源就绪后再执行后续操作，写脚本时很好用
• tailscale ip --assert=<IP>：检查自己的 IP 是否符合预期，可以用来做健康检查或状态校验
• 修复了高网络地图更新频率下的内存泄漏问题
• K8s Operator：出口代理支持 Service VIP，写入副本不再提供过期的 TLS 证书

要不要升级？

如果你在用 Tailscale，建议升到最新的 1.96.x。这次更新里既有功能改进（Peer Relays 和 Services 的稳定性落地）、也有安全修复（macOS 命令注入、K8s 证书问题），升级代价很小——Tailscale 的客户端更新一直很顺滑，基本不用操心兼容性。

唯一需要注意的可能是 OpenWrt 上如果还在用 25.12.0 之前的版本、并且不是 apk 包管理器的话，最好先确认跑的是官方支持的分支再升。

（以上信息来自 Tailscale March 2026 Product Update 和 Winter Update Week 公告，都是公开的官方来源。）