核心概念
本章节定义 Larktun 在产品、部署和运维中的核心对象与边界。理解这些概念后,可以更准确地完成网络规划、权限配置、客户端接入与故障定位。
租户(Tenant)
租户是 Larktun 的最高管理边界。每个租户拥有独立网络空间、成员体系、ACL 策略与审计数据。
- 个人用户可以“一人一租户”独立使用
- 企业可按组织、部门或项目划分租户边界
- 不同租户之间默认不共享设备、策略与日志
网络空间与地址池
每个租户都有独立的虚拟网络地址空间,用于设备组网与服务访问。
- 默认地址池为
100.64.0.0/16 - 支持自定义为如
192.168.6.0/24的网段 - 建议与现有家庭、办公、数据中心网段错开,避免地址冲突
ACL(访问控制列表)
ACL 定义“谁在什么条件下可以访问哪些目标资源”,并以租户为边界独立生效。
- 主体可按用户、用户组、设备标签定义
- 条件可包含时间窗、来源设备、目标端口等
- 支持审批、临时授权与自动回收,降低长期过权风险
ACLs 策略模型(多租户)
在 Larktun 中,ACLs 不是单条规则集合,而是一个租户内完整策略文档。策略结构可参考 Headscale ACL 思路,但在 Larktun 中按租户独立维护和执行。
- 身份层:
users/groups/tagOwners/autogroups - 资源层:
hosts/tags/subnets/autogroup:internet - 授权层:
acls(网络访问)与ssh(会话访问) - 自动化层:
autoApprovers(路由与出口节点自动审批) - 验证层:
tests(策略回归校验)
策略评估遵循“租户内闭环”原则:仅对当前租户对象做匹配和判定,不跨租户解析身份或资源。
设备与设备名称
设备是接入 Larktun 网络的基础节点,可为办公电脑、服务器、NAS、工业设备或移动终端。
- 支持自定义设备名称,按人员、地点、用途命名
- 支持通过标签组织设备,便于策略批量管理
- 建议在企业环境中建立统一命名规范,提升运维效率
连接路径(直连与中继)
Larktun 在访问链路上优先尝试端到端直连,无法直连时自动切换中继转发。
- 直连路径:延迟更低,传输效率更高
- 中继路径:在复杂 NAT、跨网络限制下提供稳定可达性
- 路径切换自动完成,用户侧感知最小化
中继服务器
中继服务器负责在非直连条件下承接加密流量转发。可按场景选择不同模式:
- 共享中继:适合个人免费用户,以及快速验证、小规模上线团队
- 专用中继:适合对稳定性、容量和路径可控性要求更高的企业
- 自建中继:适合对地域部署、网络边界或合规有明确要求的组织
子网路由(Subnet Router)
子网路由用于将未安装客户端的内网网段接入 Larktun 网络,使租户内设备可以按策略访问传统内网资源。
- 可发布一个或多个子网段到租户网络
- 可与 ACL 结合,对网段内服务进行精细化授权
- 常用于总部与分支互联、机房服务访问、工业现场设备纳管
出口节点(Exit Node)
出口节点是租户网络中的统一公网出口。启用后,指定设备的外网流量可经该节点转发。
- 适合需要固定公网出口 IP 的访问场景
- 可用于跨地域访问时统一出口策略与审计口径
- 建议与 ACL、审批和会话审计结合使用,确保可控可追溯
Magic DNS
Magic DNS 为租户网络提供稳定命名与解析能力,让设备间访问从“记 IP”转为“用名字”。
- 自动维护设备与服务名称到内网地址的映射
- 降低设备重装、地址变更对连接配置的影响
- 提升日常运维、故障定位与跨团队协作效率
客户端代理
客户端运行在终端设备或服务器上,负责建立加密连接并执行 ACL 策略。
- 桌面端支持 Windows、macOS、Linux
- 移动端支持 Android、iOS
- 具备低内存、低打扰、可长期稳定运行特性
审计与诊断
审计与诊断能力用于支撑安全治理和故障排查。
- 审计数据包含会话记录、策略命中、异常事件与链路质量指标
- 诊断过程可基于日志和链路状态快速定位根因
- 可用于权限复盘、风险追踪与合规留存
一次访问请求如何生效
以下流程描述了从“设备发起访问”到“访问结果落地”的关键路径:
- 设备加入租户网络并完成身份认证
- 通过 Magic DNS 或目标地址定位访问对象
- 用户或设备命中对应 ACL 规则,系统评估授权状态
- 系统根据目标类型选择路径:直连、中继、子网路由或出口节点
- 访问行为写入审计日志,供后续诊断与合规查询