NetBird

Обзор

Что это такое

NetBird — open-source платформа сетевой безопасности, которая объединяет конфигурационно‑свободную одноранговую (P2P) сеть на базе WireGuard и централизованное управление доступом. Решение позволяет быстро создавать зашифрованные оверлейные сети между машинами в любых средах (облака, дата‑центры, офисы, домашние лаборатории) с поддержкой SSO, MFA и детальных политик доступа.

Зачем и для чего это нужно (use cases)

• Безопасный удалённый доступ к серверам, рабочим станциям и контейнерам без классических VPN‑шлюзов и проброса портов.
• Соединение распределённых инфраструктур: межоблачные и гибридные сценарии, объединение офисов и VPC/VNet без IPsec/MPLS.
• Доступ к приватным подсетям через маршруты/шлюзы, в том числе для сервисов, не установленных как агенты.
• Организация «zero trust» доступа разработчиков, администраторов и CI/CD к внутренним ресурсам с SSO и MFA.
• Временный и минимально необходимый доступ (least privilege) по политикам, удобная онбординг/оффбординг‑модель.
• Замена и модернизация традиционных VPN для SMB и предприятий с простым масштабированием.

Ключевые функции и особенности

• Сеть на базе WireGuard: шифрованные туннели с производительностью, близкой к линейной, и минимальной задержкой за счёт прямых P2P‑соединений.
• Автоматический NAT‑траверсинг: WebRTC ICE с использованием STUN; при невозможности P2P — автоматический безопасный релей (TURN).
• Централизованное управление доступом: группы, сервис‑метки и гранулярные политики (ACL) из одной административной панели.
• Единая аутентификация и MFA: вход через корпоративных провайдеров (включая популярные OIDC‑провайдеры), поддержка многофакторной проверки.
• Два варианта развёртывания: облачный сервис для быстрого старта или полностью self‑hosted установка.
• Self‑hosted за минуты: один Linux‑хост с Docker Compose, публичный домен и открытые порты (TCP 80/443, UDP 3478 и диапазон для медиасессий) — достаточны для начала.
• Маршруты и шлюзы: публикация подсетей и выход в приватные сети без установки агента на каждую цель.
• Terraform‑провайдер: управление пользователями, группами, политиками, маршрутами и другими объектами как кодом (IaC).
• Кроссплатформенность: агенты для Linux, macOS и Windows; образы контейнеров для серверов и автоматизаций.
• Архитектурная прозрачность: отдельные Management и Signal сервисы, релей только при необходимости; трафик между пирами шифруется на концах.
• Открытый исходный код и лицензирование: ядро — BSD‑3‑Clause; отдельные компоненты (management/signal/relay) — AGPLv3.

Как это работает (высокоуровнево)

• На каждой машине запускается агент NetBird, который управляет интерфейсом WireGuard и обменивается метаданными с Management‑сервисом.
• Для установления P2P‑соединений агенты обмениваются кандидатами соединений через Signal‑сервис и выполняют NAT‑траверсинг по ICE (через STUN).
• Если прямое соединение невозможно из‑за строгого NAT, трафик шифруется WireGuard и идёт через релей (TURN) до доступности прямого канала.
• Централизованные политики определяют, какие пэры и/или подсети могут общаться; изменения немедленно распространяются агентам.

Быстрый старт

Облако

• Установить клиент на нужные машины, войти через SSO и добавить пэры в админ‑интерфейсе.
• Назначить группы и применить политики доступа; при необходимости опубликовать маршруты к подсетям.

Self‑hosted

• Подготовить Linux‑VM (≥1 CPU, 2 ГБ ОЗУ) с публичным доменом и открытыми портами TCP 80/443 и UDP 3478, 49152–65535.
• Установить Docker (Compose), curl и jq; выполнить скрипт установки.
• Управлять компонентами через docker‑compose и админ‑панель; подключить своих пользователей/SSO‑провайдера.

Кому может быть полезно

• DevOps/SRE и платформенные команды: быстрые mesh‑сети между кластерами/облаками, доступ CI/CD, инфраструктура как код через Terraform.
• IT/SEC‑подразделения: централизованные политики, SSO/MFA, единая точка управления доступом без сложных VPN‑шлюзов.
• Малый и средний бизнес, предприятия: безопасный удалённый доступ, унификация доступа к филиалам и ресурсам без капитальных затрат.
• Разработчики и домашние лаборатории: простой, быстрый и безопасный доступ к проектам и сервисам из любой сети.