2c2g 用 docker 也没啥呀，这东西本身也没太大占用，我 1c512M 5G 硬盘的小鸡都在用 docker 跑服务（也是 go 单体应用）,基础镜像直接用 scratch （镜像只有程序本体大小），或者有简单 shell 需求的话用 alpine （多几 MB ），goreleaser 可以自动上传构建结果到 hub ，服务器上一条命令就拉下来安装/更新然后就启动了。
个人认为用这种标准化的办法来部署服务算是比较好的，应该也算不上重吧，而且用 docker 跑服务在安全性方面也有额外的保障

hexo/hugo 自建博客

走代理不合适吧，本来就是为了 NAT 打洞直连降低延迟的，到国外绕一圈感觉有点本末倒置了

公司防火墙是域名白名单还是黑名单，如果是黑名单的话，自建一个 Headscale 服务器和 derp 中继，不用官方域名就不怕屏蔽了

无论是 tailscale 还是 zerotier ，国内用都最好自建国内中转的吧
听楼主的说法感觉可能是，公司那边的 NAT 导致打洞失败，然后走了国外中继所以延迟爆炸。可以试试在公司电脑上跑 tailscale ping 命令测试到家里电脑的延迟和中继情况

@liuzimin 确实，这个真的只是权宜之计。自动续证书的话用 acme.sh 和 certbot 都可以，我用的是后者

@m1nm13 自建 derp 有现成的 docker 镜像直接能用 https://github.com/fredliang44/derper-docker

前面兄弟们回的都是啥呀，没一个切题的

尽量别用 InsecureForTests 吧，官方在 issue 里面也说了以后会移除这个功能，只是调试用的

国内服务器用非标端口就行了呀，随便搞个什么 51849 之类的端口开 derp ，又不用备案，只要有个域名就行

梯子这类是相对比较耗电一点，因为它在路由表里面设置的确实会让所有的数据包都走一遍代理软件内核

@zwy100e72 不会，至少在安卓上不会。安卓 VPN 是通过策略路由过滤数据包的，Tailscale 只注册了 100.64.0.0/10 这个子网段，涉及到这个范围内的数据包才会被转发到安卓应用处理，其他的直接在路由表那边就跳过了，所以耗电是非常低的

zerotier 和 tailscale 的本质区别：

1. 网络底层实现
zerotier 是二层（数据链路层）虚拟组网方案，更贴近理解上的 “虚拟局域网” 的概念，对于大部分协议都有比较好的支持
tailscale 是基于 wireguard 的三层（网络层）点对点虚拟组网方案，其主要支持三层协议的点对点通信。某些需要二层支持的协议 Tailscale 无法使用。比如，截至目前（ 2024.10 ）并不支持 UDP 广播、mDNS 、Bonjour 等，导致一些设备互联 / 游戏等场景下的的局域网设备发现无法正常工作。

2. 通信协议
zerotier 通过 TCP 协议直连通信。自建 moon 服务器进行中继时默认使用 UDP 通信，不过可以在客户端手动切换到 TCP 中继模式
tailscale 基于 wireguard ，直连时使用 UDP ，高峰期或者大流量下可能受到运营商 QoS 。自建 derp 服务器中继则是使用 TCP 进行中继通信，相对较为稳定。

3. 附属生态与功能
tailscale 有非常丰富的附属功能，如文件投送、子网路由、出口路由、自定义 DNS 等等。
zerotier 专注于实现虚拟组网，附属功能较少。

至于 wireguard ，Tailscale 可以理解为带 SDN 的 wireguard ，不用手动配节点配置，而且带一堆附属功能

额，评论区怎么不支持 markdown ，，，

命令行参数：--verify-client-url=https://<Headscale 服务器域名>:<工作端口>/verify
等 Headscale 0.23.1 就能用了

正巧，headscale 实现这个功能的 PR 刚刚合并了（这个 commit： https://github.com/juanfont/headscale/commit/edf9e250017708e218895c4524a4477ec7a6dcba ），这个功能应该要等下一个版本 0.23.1 才会正式发布，不过最新 actions 版已经可以用了

以后只要在搭 derp 的时候带上命令行参数`--verify-client-url=https://<Headscale 服务器域名>:<工作端口>/verify`就行。
Docker Compose 的话：
```
environment:
...
DERP_VERIFY_CLIENT_URL: "https://<Headscale 服务器域名>:<工作端口>/verify"
```

推荐一个 autodl
@yipkangkang

算力买小厂比较实惠，大厂贵。
话说 HAI 其实买按量更划算，除非你要连续大半个月一直不停跑训练之类的

个人其实更喜欢 C++那套 RAII 的玩意儿，由库作者负责保证资源的安全释放。go 虽然不太用这种不过 defer 也不失为一种好方法，至少比到处塞满 if 要好很多

这个其实无所谓，看习惯了就好。go 的哲学跟其他语言还是有一定区别的，上手得熟悉一段时间