- OpenZiti 2.0 ist im Mai 2026 erschienen — Major-Release nach der 1.x-Linie.
- HA-Controller sind JETZT production-ready — kein Single-Point-of-Failure mehr.
- Session-Storage von Datenbank auf JWT umgestellt — Controller-Bottleneck verschwindet.
- OIDC-Enrollment ergänzt das Onboarding, Legacy-APIs werden in 3.0 abgeschaltet.
Wer Zero-Trust-Netzwerke selbst hostet, kennt OpenZiti. Das Open-Source-Projekt war bisher das ehrlichste Alternative zu kommerziellen ZTNA-Stacks — hatte aber Skalierungs-Schmerzen. Mit OpenZiti 2.0 räumt das Team JETZT die größten Bremsen weg.
Was ist OpenZiti?
OpenZiti ist kein klassisches VPN. Stattdessen ein application-layer Zero-Trust-Overlay: Services melden sich im Fabric an, Identitäten autorisieren Verbindungen per Policy. Wer eine Verbindung haben will, muss erst durch die Identity-Schicht — egal, ob der Service im Homelab, in der Cloud oder in einem Container läuft.
Was bringt 2.0?
HA-Controller production-ready: Bisher war der Ziti-Controller ein Single-Point-of-Failure. In 2.0 läuft er als HA-Cluster mit Leader-Election und automatischem Failover. Für ernsthafte Production-Setups ist das der Game-Changer.
Session-Storage auf JWT umgestellt: Vorher landete jede Session in der Datenbank, was den Controller bei 10k+ Edges in die Knie zwang. Jetzt sind Sessions als signierte JWTs unterwegs — der Controller wird Pass-Through, die Datenbank atmet auf.
OIDC-Enrollment: Neue Edges können sich über OIDC-Provider (Keycloak, Authentik, Okta) provisionieren — kein händisches Token-Verteilen mehr.
Was kommt in 3.0?
Die Roadmap zeigt: Legacy-APIs werden mit 3.0 abgeschaltet. Wer noch auf den alten REST-Endpunkten sitzt, sollte JETZT migrieren. Die neuen gRPC-Schnittstellen sind seit 2.0 stable.
Wie startest du JETZT?
Quick-Start: docker compose up mit dem offiziellen ziti-edge-tunnel-Setup. Für richtige Production-Cluster: Ansible-Playbooks im OpenZiti-GitHub-Repo. Wer von Tailscale oder Headscale wechselt, sollte sich zwei Wochen für die Konzept-Umstellung einplanen — OpenZiti denkt anders als ein VPN.
Häufige Fragen
Was ist der Unterschied zu Tailscale oder Headscale?
Tailscale und Headscale bauen ein flaches L3-Netzwerk über WireGuard. OpenZiti läuft auf Application-Layer und macht jede Verbindung policy-gesteuert. Granularer, aber komplexer.
Brauche ich für OpenZiti spezielle Hardware?
Nein. Controller läuft auf jedem x86-Server oder Raspberry Pi 5. Edge-Tunnels gibt es für Linux, Windows, macOS, iOS, Android und als Container-Sidecar.
Ist OpenZiti 2.0 abwärtskompatibel?
Ja, 1.x-Clients funktionieren weiter. Aber die Performance-Vorteile holst du erst mit 2.x-Edges. Legacy-APIs verschwinden mit 3.0 — daher jetzt schon migrieren.
Welche Enterprise-Features fehlen noch?
Native SAML-SSO ist noch nicht drin (OIDC via 2.0 ist da), und die Kubernetes-Integration ist eher Beta. Wer komplexes RBAC braucht, kombiniert OpenZiti mit Keycloak.