文档
网关(Gateway)
Tailscale(网关仪表板)

Tailscale(网关仪表板)

适用范围

在以下情况使用此页面:

  • 在 localhost 之外公开网关控制 UI
  • 自动化 tailnet 或公共仪表板访问

Moltbot 可以为网关仪表板和 WebSocket 端口自动配置 Tailscale Serve(tailnet)或 Funnel(公共)。这使网关绑定到回环,而 Tailscale 提供 HTTPS、路由和(对于 Serve)身份验证标头。

模式

  • serve:通过 tailscale serve 仅限 tailnet 的 Serve。网关保持在 127.0.0.1 上。
  • funnel:通过 tailscale funnel 提供公共 HTTPS。Moltbot 需要共享密码。
  • off:默认(无 Tailscale 自动化)。

身份验证

设置 gateway.auth.mode 来控制握手:

  • token(当设置 MOLTBOT_GATEWAY_TOKEN 时默认)
  • password(通过 MOLTBOT_GATEWAY_PASSWORD 或配置共享机密)

tailscale.mode = "serve"gateway.auth.allowTailscaletrue 时, 有效的 Serve 代理请求可以通过 Tailscale 身份验证标头 (tailscale-user-login)进行身份验证,而无需提供令牌/密码。Moltbot 通过本地 Tailscale 守护进程(tailscale whois)解析 x-forwarded-for 地址并在接受之前将其与标头匹配来验证身份。仅当请求从回环到达并带有 Tailscale 的 x-forwarded-forx-forwarded-protox-forwarded-host 标头时,Moltbot 才将其视为 Serve。 若需要显式凭据,请设置 gateway.auth.allowTailscale: false 或强制 gateway.auth.mode: "password"

配置示例

仅限 Tailnet(Serve) 

{
  gateway: {
    bind: "loopback",
    tailscale: { mode: "serve" }
  }
}

打开:https://<magicdns>/(或您配置的 gateway.controlUi.basePath

仅限 Tailnet(绑定到 Tailnet IP)

当您希望网关直接在 Tailnet IP 上监听(无 Serve/Funnel)时使用此选项。

{
  gateway: {
    bind: "tailnet",
    auth: { mode: "token", token: "your-token" }
  }
}

从另一个 Tailnet 设备连接:

  • 控制 UI:http://<tailscale-ip>:18789/
  • WebSocket:ws://<tailscale-ip>:18789

注意:回环(http://127.0.0.1:18789)在此模式下 起作用。

公共互联网(Funnel + 共享密码) 

{
  gateway: {
    bind: "loopback",
    tailscale: { mode: "funnel" },
    auth: { mode: "password", password: "replace-me" }
  }
}

最好使用 MOLTBOT_GATEWAY_PASSWORD 而不是将密码提交到磁盘。

CLI 示例 

moltbot gateway --tailscale serve
moltbot gateway --tailscale funnel --auth password

注意

  • Tailscale Serve/Funnel 需要安装并登录 tailscale CLI。
  • 除非身份验证模式是 password,否则 tailscale.mode: "funnel" 拒绝启动,以避免公开暴露。
  • 如果您希望 Moltbot 在关闭时撤消 tailscale servetailscale funnel 配置,请设置 gateway.tailscale.resetOnExit
  • gateway.bind: "tailnet" 是直接 Tailnet 绑定(无 HTTPS,无 Serve/Funnel)。
  • gateway.bind: "auto" 优先回环;如果您只需要 Tailnet,请使用 tailnet
  • Serve/Funnel 仅公开 网关控制 UI + WS。节点通过相同的网关 WS 端点连接,因此 Serve 可以用于节点访问。

浏览器控制服务器(远程网关 + 本地浏览器)

如果您在一台机器上运行网关但想驱动另一台机器上的浏览器,请使用 单独的浏览器控制服务器并通过 Tailscale Serve(仅限 tailnet)发布它:

# 在运行 Chrome 的机器上
moltbot browser serve --bind 127.0.0.1 --port 18791 --token <token>
tailscale serve https / http://127.0.0.1:18791

然后将网关配置指向 HTTPS URL:

{
  browser: {
    enabled: true,
    controlUrl: "https://<magicdns>/"
  }
}

并使用相同的令牌从网关进行身份验证(最好使用环境变量):

export MOLTBOT_BROWSER_CONTROL_TOKEN="<token>"

除非您明确想要公开暴露,否则避免对浏览器控制端点使用 Funnel。

Tailscale 先决条件 + 限制

  • Serve 需要为您的 tailnet 启用 HTTPS;如果缺少,CLI 会提示。
  • Serve 注入 Tailscale 身份验证标头;Funnel 不注入。
  • Funnel 需要 Tailscale v1.38.3+、MagicDNS、启用 HTTPS 和 funnel 节点属性。
  • Funnel 仅支持 TLS 上的端口 443844310000
  • macOS 上的 Funnel 需要开源 Tailscale 应用变体。

了解更多

  • Tailscale Serve 概述:https://tailscale.com/kb/1312/serve
  • tailscale serve 命令:https://tailscale.com/kb/1242/tailscale-serve
  • Tailscale Funnel 概述:https://tailscale.com/kb/1223/tailscale-funnel
  • tailscale funnel 命令:https://tailscale.com/kb/1311/tailscale-funnel
OpenResponses API(HTTP)本地模型