跨多个站点、云区域和网络边界连接 IoT 设备,是设备管理中最具挑战性的问题之一。传统 VPN 方案需要手动密钥分发、静态配置和专用的中继基础设施。Umoo 采用了不同的方法,将 WireGuard Mesh 网络直接集成到设备管理平台中,实现全自动化。
为什么选择 Mesh 网络
在星型 VPN 拓扑中,所有流量都经过中心服务器。这导致单点故障、增加延迟并限制带宽。Mesh 拓扑让设备之间直接通信,降低延迟并消除中心瓶颈。WireGuard 凭借其极低的开销、强大的加密算法和简洁的配置模型,是实现 Mesh 网络的理想选择。
在 Umoo 中的工作原理
当您在设备分组上启用网络功能时,Umoo 会自动处理完整的生命周期:
- 密钥生成 – 每台设备在本地生成唯一的 WireGuard 密钥对。私钥永远不会离开设备。
- IP 分配 – Umoo 从分组子网中为每台设备分配一个 IP 地址,确保跨分组无冲突。
- 对等节点分发 – 平台将对等节点配置(公钥、允许的 IP 和端点)分发给分组中的每个成员。
- 接口管理 – Agent 配置 WireGuard 接口、应用对等节点设置并维护隧道。
基于 STUN 的 NAT 穿透
大多数 IoT 设备位于 NAT 之后。Umoo 使用 STUN(Session Traversal Utilities for NAT)来发现每台设备的公网 IP 和端口映射。这些外部端点会分发给对等节点,实现无需中继服务器的直接 WireGuard 连接。此方案适用于全锥型、受限锥型和端口受限型 NAT。对于对称 NAT,Umoo 可以回退到 Mesh 网络内的中继节点。
应用场景
WireGuard Mesh 网络实现了传统 VPN 难以支持的场景:分布式计算中的安全设备间通信、无需暴露端口即可远程访问设备,以及无需专用网络基础设施的多站点互联。结合 Umoo 基于分组的子网隔离,您可以为不同的应用、安全区域或合规边界创建独立的网络段。
访问 Mesh 网络解决方案页面了解更多信息,或阅读文档获取分步设置指南。