共计 7886 个字符,预计需要花费 20 分钟才能阅读完成。
最近我在看一些新的网络连接工具时,发现了 [[VeilNet]] 下面的 [[Conflux]] 项目。第一眼看上去,它很容易被归类成“又一个类似 [[Tailscale]] 或 [[WireGuard]] 的组网工具”,但仔细读完它的 README 和官方文档之后,我觉得它的定位其实更像是一个面向应用和服务的安全连接层:不一定要把所有设备拉进一个长期存在的虚拟局域网,而是在需要通信的时候,临时建立一条带访问控制、身份约束和后量子安全设计的链路。
截至 2026-05-14,[[GitHub]] 上的 veil-net/conflux 仓库最新 release 是 Beta-v1.0.11,发布时间是 2026-04-25,仓库约有 485 个 star、22 个 fork。这个项目仍然处在 Beta 阶段,所以我会把它当成一个值得关注、值得试用,但还需要谨慎用于生产环境的基础设施组件来看待。
Conflux 是什么
Conflux 是 [[VeilNet]] 提供的一个安全网络协议和连接器实现。按照官方描述,它关注的核心问题是:如何让不同设备、服务、容器、IoT 节点或应用实例在不暴露固定公网入口的情况下安全通信。它提供的是一种按需建立的连接方式,节点之间并不默认组成一个永远在线、全互通的 Mesh 网络,而是在认证、授权和策略允许的前提下,为具体通信创建临时链路。
这点和很多传统 VPN 的思路不太一样。传统 VPN 往往先把设备加入同一个虚拟网络,然后再依赖防火墙、路由规则或上层应用权限来限制访问。Conflux 的思路更接近“连接之前先判断是否应该连接”,也就是先根据 Realm、Taint、节点身份和策略确定访问边界,再建立网络通道。它看起来不是为了替代所有 VPN,而是更适合那些希望把连接粒度缩小到服务、节点、任务或短生命周期会话的场景。
从实现上看,Conflux 使用 [[Go]] 编写,仓库提供命令行程序、Docker 使用方式,也能作为 Go 模块嵌入到应用程序中。官方文档里还提到,它可用于数据库连接、Web 服务、API 端点、IoT 设备、容器网络、边缘计算和分布式微服务等场景。换句话说,它关注的不是“我能不能远程访问一台机器”,而是“两个实体之间是否可以在当前策略下建立一条安全、短暂、可控的通信路径”。
它试图解决的问题
如果你维护过一组分布式服务,应该会熟悉几个反复出现的问题。第一是公网暴露问题,很多服务本来只想给少数节点访问,却因为部署方便而暴露在公网入口后面,再用密码、Token 或 IP 白名单补救。第二是 VPN 网络过大,一旦某台设备进入虚拟网络,它可能天然看见太多内部资源,后续权限收敛反而更麻烦。第三是密钥和访问策略分散,工程师在机器、防火墙、反向代理、云安全组和应用配置之间来回切换,很容易出现遗漏。
Conflux 想把这些问题重新组织到连接协议层处理。它引入 Realm 来表示一个网络或安全域,引入 Taint 来做访问标签和策略隔离,然后通过 CLI 或代码将节点注册进特定 Realm,并声明节点能提供或需要访问的能力。这样一来,网络连接就不只是“某个 IP 连另一个 IP”,而是“某个具有身份和标签的节点,能否访问另一个具有身份和标签的目标”。
我比较喜欢这个方向,因为它把网络访问从静态拓扑里拿出来,放到更接近应用语义的位置。尤其是在 [[Kubernetes]]、边缘节点、临时任务、远程设备混合存在的环境里,IP 地址本身越来越不是一个稳定身份。用 Realm 和 Taint 去表达访问边界,至少在模型上更接近我们真正想描述的规则。
和传统 VPN 或 Mesh Overlay 的区别
如果拿 Conflux 和 [[WireGuard]]、[[Tailscale]]、[[ZeroTier]] 这类工具对比,最明显的区别是它不强调构建一个完整虚拟局域网。WireGuard 非常优秀,协议简洁、性能好、部署成熟;Tailscale 在 WireGuard 之上加入了身份、协调服务器和 ACL,让个人和团队组网变得非常顺手。但这类方案通常还是围绕“设备加入一个网络”展开,适合长期存在的设备互联。
Conflux 更像是把连接动作本身做成一个受控过程。官方反复强调 ephemeral connection,也就是临时连接。临时连接的好处在于,它减少了长期开放通道带来的攻击面,也更适合自动化任务、短生命周期容器、远程执行、临时调试、设备唤醒后短时间同步等场景。你不一定希望所有节点一直在线互通,但你希望它们在确实需要时能快速、安全地互相找到。官方架构文档里还提到,Conflux 的数据通道会围绕 stream、route、tether 这些概念动态建立,其中 tether 基于 [[WebRTC]] data channel 聚合,route 可以是直连,也可以是多跳路径。
另一个区别是后量子安全这个方向。官方 README 将 Conflux 描述为 post-quantum secure network protocol,并说明它使用 Kyber KEM 做密钥交换、Dilithium 做数字签名,数据加密侧使用 AES-GCM-256。这里我不会把它解读成“现在就解决了所有量子计算威胁”,因为真实安全性还要看协议细节、实现审计、默认配置和实际部署方式。但这个方向本身值得关注,特别是长期保存的数据、IoT 设备和基础设施连接,如果今天的加密通信未来可能被回溯破解,那么“先收集、以后解密”的风险确实需要被纳入设计。
核心概念
理解 Conflux,先抓住几个词就够了:Realm、Taint、node、connector 和 portal。Realm 可以理解为一个安全域或连接空间,节点需要通过 registration token 注册到某个 Realm。官方服务页面提到,Terra Realm 是 regionless 并且免费可用,其他特定区域 Realm 可能需要 Conflux 订阅。Taint 可以理解为标签或访问亲和性约束,例如某个节点属于 prod、dev、iot、db,或者只能被特定类型的客户端访问。node 是实际运行 Conflux 的实体,可能是一台服务器、一个容器、一个边缘设备,也可能是应用内部嵌入的连接器。
connector 是 Conflux 提供的连接能力本身。你可以把它当作一层网络适配器,让应用不用直接暴露端口,也不用自己实现节点发现、链路建立和访问控制。portal 相关概念则更偏向入口和转发场景,用于把某些服务通过 Conflux 暴露给授权节点访问。官方文档中也有 Portal 与 Rift 的对比,前者更像一个可访问入口,后者更偏向连接通道与服务间通信能力。
我自己的理解是,Conflux 的抽象层级比“端口转发工具”高一点,但又不像完整服务网格那样要求一套庞大的控制平面。它更像一个可以单独运行、也可以嵌入应用的连接协议层。如果只是两台机器互连,可能会觉得它比 WireGuard 复杂;但如果你面对的是多服务、多环境、多临时节点的访问控制,它的抽象就开始有意义了。
可以用来做什么
最直接的用途是私有服务访问。比如你有一个数据库、后台管理面板、内部 API 或自建工具,不希望开放公网端口,也不想为了偶尔访问而维护一整套 VPN。此时可以让目标服务所在机器运行 Conflux,并把服务注册到某个 Realm 中,客户端只有在认证和策略满足时才能建立连接。
第二类用途是容器和微服务通信。很多时候我们在 [[Docker]]、[[Kubernetes]] 或边缘节点里运行服务,网络位置经常变化,服务实例也可能频繁创建销毁。如果把网络身份绑定到固定 IP,会让配置变得脆弱。Conflux 这种以节点注册和策略标签为中心的模式,更适合描述“某类服务可以访问某类服务”,而不是“这个 IP 可以访问那个 IP”。
第三类用途是 IoT 和边缘设备。边缘设备经常在 NAT、移动网络或不稳定网络之后,传统入站连接很难维护。Conflux 如果能稳定处理节点发现、临时连接和身份校验,就可以让设备在需要同步、上报或接受控制时建立安全连接,而不是长期暴露一个远程管理端口。
第四类用途是开发者工具和内部自动化。比如临时给 CI 任务访问一个内部 API,给远程调试环境打开一段短时间连接,或者让一个本地工具安全调用远端私有服务。这类场景不一定需要完整 VPN,但很需要“用完即走”的访问路径。
快速开始
Conflux 提供预编译二进制文件。以当前最新的 Beta-v1.0.11 为例,release 页面提供了 macOS、Linux 和 Windows 的构建产物,包括 conflux-darwin-arm64、conflux-linux-amd64、conflux-linux-arm64 和 conflux-windows-amd64.exe。官方文档建议可以把下载到的二进制文件重命名或软链接成 veilnet-conflux,这样后续命令更清晰。在 macOS Apple Silicon 上,可以类似这样下载和安装:
curl -L -o conflux \
https://github.com/veil-net/conflux/releases/download/Beta-v1.0.11/conflux-darwin-arm64
chmod +x conflux
sudo mv conflux /usr/local/bin/veilnet-conflux
veilnet-conflux --help
如果是在 Linux amd64 服务器上,可以把下载地址换成 conflux-linux-amd64。生产环境里我会建议固定版本号,不要直接追 latest,因为 Conflux 目前仍是 Beta 版本,固定版本更容易回滚和排查问题。
安装之后,通常要先完成节点注册。你需要先登录 VeilNet Console,创建 registration token,然后通过 register 子命令将当前节点注册到 token 对应的 Realm。官方 README 特别提醒,注册时就应该设置 taints;默认情况下,Conflux 节点不会自动互通,只有 taint 兼容的节点才可以通信。基本命令如下:
sudo veilnet-conflux register \
-t <registration-token> \
--taints dev,api
注册之后,节点就不再只是一个裸 IP 或裸端口,而是带着 Realm 和 Taint 信息进入 Conflux 的访问控制模型。你可以通过 veilnet-conflux info 查看节点信息和分配到的 VeilNet IP,也可以给节点追加 taint:
veilnet-conflux info
veilnet-conflux taint add prod
如果要验证连通性,可以在另一台机器上用同一个 registration token 注册,并设置兼容的 taint,然后用对方的 VeilNet IP 测试:
ping <veilnet-ip>
需要移除节点时,官方文档给出的方式是使用 registration token 执行 unregister:
sudo veilnet-conflux unregister -t <registration-token>
用 Docker 运行
如果你只是想快速试验,[[Docker]] 是更轻量的方式。官方 Docker 文档说明,容器运行需要 /dev/net/tun 设备和 NET_ADMIN capability,配置主要通过环境变量传入。最关键的变量是 VEILNET_REGISTRATION_TOKEN,可选变量包括 VEILNET_GUARDIAN、VEILNET_CONFLUX_TAG、VEILNET_CONFLUX_IP、VEILNET_CONFLUX_RIFT、VEILNET_CONFLUX_PORTAL 和 VEILNET_CONFLUX_TAINTS。
这里我会特别提醒一点:不要在生产环境直接使用 latest。对于网络基础设施,版本漂移可能带来很难定位的问题。更稳妥的做法是固定到一个明确版本,例如与 release 对应的 tag,并把配置文件、注册流程和升级流程都纳入版本控制。
如果你计划在服务器上长期运行,可以用 [[Docker Compose]] 管理。官方文档推荐的基本形态如下:
services:
veilnet-conflux:
image: veilnet/conflux:Beta-v1.0.11
container_name: veilnet-conflux
restart: unless-stopped
env_file:
- .env
cap_add:
- NET_ADMIN
devices:
- /dev/net/tun:/dev/net/tun
配套的 .env 可以先写成这样:
VEILNET_REGISTRATION_TOKEN=<YOUR_REGISTRATION_TOKEN>
VEILNET_GUARDIAN=https://guardian.veilnet.app
VEILNET_CONFLUX_TAG=dev-server-1
VEILNET_CONFLUX_TAINTS=dev,api
VEILNET_CONFLUX_RIFT=false
VEILNET_CONFLUX_PORTAL=false
启动和验证命令也很直接:
docker-compose up -d
docker ps | grep veilnet-conflux
docker logs veilnet-conflux -f
如果应用容器要共享 Conflux 的网络命名空间,官方文档建议让应用容器使用 network_mode: "container:veilnet-conflux",并通过健康检查确保 Conflux 先就绪:
services:
my-app:
image: your-app:latest
network_mode: "container:veilnet-conflux"
depends_on:
veilnet-conflux:
condition: service_healthy
如果你希望容器像宿主机级别的 agent 一样运行,也可以使用 host network mode:
services:
veilnet-conflux:
image: veilnet/conflux:Beta-v1.0.11
container_name: veilnet-conflux
restart: unless-stopped
env_file:
- .env
cap_add:
- NET_ADMIN
devices:
- /dev/net/tun:/dev/net/tun
network_mode: host
这几种 Docker 方式的差别在于网络命名空间。默认模式下,TUN 设备存在于容器内部;namespace sharing 适合让同一 Compose 里的应用通过 Conflux 出入口通信;host network mode 更像把 Conflux 当作宿主机代理。我的建议是先用 CLI 在测试环境跑通注册、taint 和 ping,再把参数固化到 Compose 或系统服务中。
在 Go 程序中集成
Conflux 另一个有意思的点是它可以作为 Go 模块使用。对于做基础设施或内部平台的团队来说,这意味着你不一定只能把它当成外部命令行工具,也可以把连接能力嵌入到自己的应用中。比如一个内部控制面板可以在启动时注册自己,一个边缘 Agent 可以在需要上报数据时创建连接,一个自研开发者工具可以把私有 API 访问能力直接封装起来。
官方 README 中给出的方式是通过 Go module 引入项目包:
go get github.com/veil-net/conflux
集成时需要重点关注三件事。第一是密钥和认证材料如何保存,不能为了方便把敏感配置写进镜像或仓库。第二是连接生命周期如何管理,临时连接的价值就在于按需创建和及时释放。第三是错误处理和可观测性,网络工具一旦嵌入应用,日志、超时、重试和指标就会直接影响排障体验。
如果只是个人试验,我会从命令行开始;如果要做平台能力,再考虑 Go SDK。这样路径更清晰,也避免一上来就把一个还在 Beta 阶段的协议深度耦合进业务代码。
实际使用建议
我会先把 Conflux 放在“私有服务访问”和“临时连接”场景里验证,而不是一开始就用它替换现有 VPN。比如选一个低风险内部服务,放在非生产 Realm 中,用 dev、api、db 这类简单 Taint 建立访问策略,然后观察它在 NAT、断线重连、长时间运行和版本升级时的表现。网络基础设施最怕只在 demo 里顺滑,一到真实环境就暴露出可观测性不足、配置难以恢复、错误信息不清晰等问题。
其次,要把 Realm 和 Taint 当成长期治理对象,而不是随手写几个标签。标签体系一旦混乱,访问控制就会失去表达力。我的习惯是先按环境划分,例如 dev、staging、prod,再按资源类型划分,例如 api、db、admin、iot。如果团队规模更大,还可以加入业务域或项目名,但不要一开始就设计过度复杂的标签体系。
再次,注意版本和安全审计。Conflux 的定位涉及网络连接和加密协议,而它目前仍是 Beta 版本。个人学习和内部低风险场景可以积极试用,但生产环境需要关注 release 说明、依赖安全、默认配置、日志中是否泄露敏感信息,以及是否有第三方审计或更完整的协议文档。尤其是后量子安全这类表述,不能只看宣传语,最终还是要回到实现细节和威胁模型。
适合谁,不适合谁
如果你只是想让家里的 NAS、VPS 和笔记本互相访问,[[Tailscale]] 或 [[WireGuard]] 仍然是更成熟、更容易上手的选择。它们生态完整,故障资料多,手机和桌面客户端体验也更完善。Conflux 的优势不在于“最简单的个人组网”,而在于它把临时连接、访问策略和应用集成放在更中心的位置。
如果你在做内部平台、边缘计算、IoT 管理、私有 API 暴露、临时调试通道,或者你已经开始觉得传统 VPN 的网络边界太粗,那么 Conflux 值得花时间研究。它的抽象让我想到一种更轻的 zero-trust network access:先定义谁能访问什么,再为这次访问创建连接,而不是先把所有人放进同一个网络里。
不过也要保持现实感。Beta 阶段的基础设施项目,最重要的不是功能表有多长,而是稳定性、升级兼容性、故障恢复和文档质量。对个人用户来说,它适合作为实验性工具;对团队来说,它更适合作为 PoC 项目,先跑通一个小场景,再决定是否扩大使用范围。
最后
Conflux 吸引我的地方,不只是它用了“后量子安全”这样的关键词,而是它对网络连接边界的重新思考。传统 VPN 解决的是“如何连上一个网络”,而 Conflux 更关心“这次连接是否应该发生,以及发生时应该带着怎样的身份和边界”。在服务越来越分散、节点越来越临时、部署环境越来越混合的今天,这个问题本身就很有价值。
我会把 Conflux 看作一个值得跟踪的早期项目:如果你正在寻找成熟、低维护、全平台客户端体验好的个人组网方案,它还不是最省心的选择;如果你想研究下一代安全连接协议,或者正在处理私有服务、边缘节点、临时访问和应用内连接控制,那么它提供了一个很有启发性的方向。后续如果它的文档、协议说明和生产案例继续完善,我会考虑把它放进自己的私有服务访问工具箱里做更深入的测试。
参考资料:
- veil-net/conflux GitHub 仓库
- Conflux 最新 release:Beta-v1.0.11
- VeilNet 官方文档
- VeilNet Conflux DevOps Quick Start
- VeilNet Conflux Docker 部署文档
- Portal vs Rift 文档
