ScaleTail bringt Docker-Dienste ins Tailscale-Netz |
ScaleTail bringt Docker-Dienste ins Tailscale-Netz
ScaleTail bringt Docker-Dienste per Tailscale ins eigene Tailnet. Private Webdienste bleiben erreichbar, ohne im offenen Internet zu landen.
Tailscale sitzt vor dem Dienst.
Vorlagen für typische Selfhosting-Dienste
Proxmox dient als sauberer Unterbau
ScaleTail bietet nicht nur Container, sondern auch ganze Standorte
Serve bleibt privat, Funnel jedoch nicht
Bei vielen Homelabs wird irgendwann nicht mehr nur ein einzelner Dienst genutzt. Zunächst wird in der Regel ein DNS-Filter wie AdGuard oder Pi-Hole installiert, später folgen dann beispielsweise ein Medienserver, eine Dokumentenverwaltung, ein Passwortmanager, ein Monitoring-Tool, ein Lesezeichen-Archiv oder eine lokale KI-Oberfläche. Das ist lokal natürlich problemlos möglich. Die Schwierigkeit entsteht erst, wenn diese Dienste auch unterwegs erreichbar sein sollen. Dann kommen schnell Portfreigaben, Reverse Proxy, Zertifikate, Subdomains und alte Testregeln ins Spiel, wodurch die ganze Sache sehr kompliziert wird. ScaleTail könnte die Lösung dafür sein. ScaleTail liefert fertige Docker-Compose-Stacks, um selbst gehostete Dienste recht einfach über ein privates Netzwerk zu veröffentlichen.
Genau dafür hält Tailscale fertige Docker-Compose-Stacks bereit. Tailscale ist ein VPN-/Mesh-Netzwerk-Dienst auf Basis von WireGuard. Es läuft dabei als Sidecar neben der eigentlichen Anwendung. Der Dienst erhält eine Adresse im eigenen Tailnet und muss nicht direkt über den Host veröffentlicht werden.
Wer Portainer, Umbrel oder ein eigenes Docker-Setup nutzt, ersetzt damit jedoch nicht die zugrunde liegende Infrastruktur. ScaleTail ist von Tailscale und deshalb näher an der darunterliegenden Infrastruktur. Es geht um Dienste, die erreichbar sein sollen, ohne automatisch zu einem öffentlichen Webdienst zu werden.
Tailscale sitzt vor dem Dienst.
Bei ScaleTail läuft neben der Anwendung ein eigener Tailscale-Container, das bereits erwähnte Sidecar. Die App nutzt dessen Netzwerk-Stack und hängt damit am Tailnet. Im Template ist diese Struktur bereits vorgesehen. Die Anwendung wird über network_mode: service: an den Tailscale-Container gebunden, während Tailscale den Zugriff und die Zugriffsverwaltung darauf übernimmt. Damit hängt die Weboberfläche nicht automatisch an einem offenen Host-Port.
Der Dienst bleibt zwar erreichbar, ist aber nicht sofort öffentlich. Diese Voreinstellung ist essenziell, natürlich geht es auch anders. Viele Setups scheitern nicht an Docker – auch wenn es manchmal wirklich knifflig ist –, sondern an der Frage, wie jeder neue Dienst später erreichbar gemacht wird.
Ohne klare Linie entsteht schnell eine Sammlung aus offenen Ports, Sonderregeln und vergessenen Freigaben. ScaleTail verhindert das nicht automatisch. Es gibt jedoch eine Vorlage, bei der privater Zugriff zuerst kommt und öffentliche Freigabe eine bewusste, aktive Entscheidung und Umsetzung bleibt.
Vorlagen für typische Selfhosting-Dienste
Im Repository sind bereits viele Stacks für bekannte Homelab-Dienste verfügbar. Dazu gehören unter anderem AdGuard Home, Pi-hole, Technitium DNS, Immich, Jellyfin, Plex,........