@Chaiii 首先，第一个点：我说是 L7 的方案，意思是 ZTM 是建立 HTTP/2 的隧道。在这个隧道上，一样可以传输 TCP/UDP 流，并不是说只能传输 HTTP 流。数据库和 SSH ，在 ZTM 上一样没有问题，基于 UDP 的视频流也是 ok 的。你提到的 Cloudflare Tunnel ，这个需要用到 Cloudflare 的中转。

适应性更强，是指我前面说的：ZTM 不需要网络、路由、防火墙的设置，不需要 root 。Tailscale 基于 wireguard ，需要修改本地网络配置和路由，wg 的 peer 需要分配 IP 地址。ZTM 的 peer （ agent ）可以是无状态的。

我还是强调一点：“倒不是说 Tailscale 不好，二者在实现上对其他运行的环境要求不同。所在在某些受限的场景，ZTM 比 Tailscale 适应性更强。” 当环境受限，比如无法修改路由、防火墙，无法使用 root ，ZTM 确实适应性更强一些。像 FRP 、ZTM 这种做单独的端口映射，也会减少暴露面：只将特定的端口进行开放。

我也明白你，在看到我拿出一个你完全没有听到的方案，来对比你满意的方案会觉得有些不妥。抱歉，“Tailscale 的宣告路由表”我有用过； ZTM 也有提供 CLI 和 Web 界面，一样也有 access control 。

最后再强调一次，没有通用场景的最优解，只有特定场景的，并不是说 Tailscale 不好。