TailscaleをDockerで使う手順と設定のポイント

パターン１：単体のTailscaleコンテナとして起動

「Tailscaleだけをコンテナで動かす」という構成は、次のような用途に最適です。

• 軽量なVPNゲートウェイ（Exit Node）をDockerで構築したい

• ホストにTailscaleを直接インストールせずに、ネットワーク機能を利用したい

• 他のアプリコンテナとネットワークを共有し、安全なリモート接続をしたい

以下に、実際のコマンドと必要な設定ポイントを詳しく解説します。

必要な条件

• Linuxホスト（※--network host はLinux限定）

• Dockerがインストールされていること

• /dev/net/tun が有効（TUNデバイスを使用）

ステップ1：Tailscaleコンテナを起動

以下の docker run コマンドで、Tailscale専用コンテナをバックグラウンド起動します。

ステップ2：Tailscaleネットワークに参加（認証）

コンテナ起動後、以下のコマンドで Tailscale にログインします。

実行すると、CLI にログイン用のURLが表示されるので、Webブラウザで開いてGoogleやGitHubアカウントで認証します。

ログインが完了すれば、このコンテナが Tailscale ネットワークの1台として参加します。

ステップ3：接続確認

コンテナ内で IP を確認

他の端末から ping <Tailscale IP> を実行すれば、接続が確認できます。

また、必要に応じてこのコンテナと他のアプリケーションコンテナをネットワーク共有することも可能です（--network container:tailscale）。

ステップ4（任意）：Exit Nodeとして構成する

このTailscaleコンテナを Exit Node（インターネット出口） にしたい場合は、次のコマンドを実行します。

他のTailscale端末からこのノードを選択すれば、VPNのように使えます。

パターン２：アプリコンテナにTailscaleを組み込み

アプリとTailscaleを1つのDockerコンテナにまとめる構成は、VPNを通じて限定公開したいアプリケーションに最適です。

たとえば、社内用のWebサービスや個人ツール、APIサーバーなどをTailscale経由のみでセキュアに公開したい場合に、軽量かつ構成がシンプルなこの方法が有効です。

この構成の特徴

• 1つのコンテナだけでアプリ＋VPNが完結

• 外部公開せず、Tailscaleネットワーク内からのみアクセス可能

• VPSやエッジデバイス、開発用サーバーにも最適

• 公開用ポートを開けずに安全にサービス運用が可能

実装例：Tailscale + nginxを統合したDockerfile

以下は、nginxをTailscale越しに提供するシンプルな構成例です。

entrypoint.sh（Tailscaleとnginxを同時起動）

docker run 実行例（TAILSCALE_AUTHKEYを使う）

※ 認証キー（authkey）は Tailscale 管理画面の「Keys」セクションから取得可能。権限付き・有効期限付きで発行できます。

主な用途

注意点とコツ

まとめ

Docker上でTailscaleを動かすことで、柔軟かつセキュアなネットワーク構成が可能になります。特に次のような場面で非常に便利です：

• 軽量なVPN Gateway（Exit Node）をコンテナ化したい

• ホストに影響を与えずTailscaleを試したい

• コンテナ単位でリモートアクセスを制御したい

Tailscale × Docker は開発環境から本番運用まで幅広く活用できる組み合わせです。ぜひ構築して、その便利さを体感してみてください。