近日,SREcon25在爱尔兰都柏林举行,华为云爱尔兰可靠性实验室首席软件工程师首次受邀在主会场做Plenary (Keynote) 报告,结合华为云SRE团队构建四层负载均衡服务HyperRouter的经验,基于确定性运维理念,分享如何通过跨服务协同架构设计、用户态高性能架构、服务自愈、Cell化部署和用户为中心的可观测等,实现云服务全生命周期稳定运行。此次分享展现了华为云在SRE领域的前沿实践,获得了现场专家的广泛认可。
SREcon是SRE工程师的世界级会议,由计算机科学领域的知名机构USENIX主办,2014年第一次在硅谷举办,目前,SRECon已成为全球SRE领域最具影响力的盛会之一,吸引了来自世界各地的工程师、技术管理者和行业专家参与。
图:华为云爱尔兰可靠性实验室首席软件工程师现场分享
确定性运维:端到端构建华为云服务稳定性基石
华为云确定性运维体系不仅仅专注于云服务的运维阶段,而是通过高质量的产品开发,严谨的运维流程和制度来降低故障的概率;通过技术手段对可能发生的故障,将间隔、影响范围及故障恢复时间做到可防、可控、可治,把数字化带来的“不确定性”变成“确定性”。
图:确定性运维体系
图:全局负载均衡
全局负载均衡服务是华为云服务的可靠性底座
华为云全局负载均衡,实现跨区域容灾与确定性运维的关键能力。华为云全局负载均衡服务是确定性运维的重要组成部分,通过全局负载均衡实现高效跨局点容灾、服务无损升级、爆炸半径可控等关键确定性运维能力。华为云全局负载均衡平台由多个全局全栈服务组成,包括基于DNS的全局调度、四层负载均衡、七层负载均衡、Service mesh以及全局负载均衡管控⾯。
图:华为云负载均衡平台架构
四层负载均衡服务HyperRouter目标:高性能、高扩展、高可靠,保障业务稳定运行
高性能。在典型数据包大小下,接近线速(line-rate)处理能力,每个CPU核心可支持高达1000万PPS的吞吐量,单包处理延迟低至纳秒级,系统开销极小。
高可扩展性。为应对华为云快速增长的业务流量(如数十亿级并发TCP连接),系统支持跨数据中心的横向扩展,灵活应对规模增长。
高可靠性。客户对负载均衡服务的可用性要求极高,系统需实现近乎零停机时间的运行,具备抵御硬件与网络部分故障的能力,保障持续稳定服务。
面向未来。具备良好的演进能力,可灵活支持新功能、新网卡特性、新协议及新应用场景等持续演进的需求。
图:四层负载均衡服务
“六课”驱动HyperRouter:华为云高可用负载均衡的确定性实践
本次大会报告将HyperRotuer在设计、开发与运维过程中践行确定性运维实践总结为“六课”,展现了构建高可靠、高性能大规模负载均衡服务的关键决策以及其背后的逻辑,这“六课”不仅仅使用于四层负载均衡。
第一课:跨服务协同设计,化繁为简。四层与七层(负载均衡通常协同部署。七层负载均衡在应用层具有状态信息,单节点故障可能导致大规模TCP连接中断,因此需要由无状态、可水平扩展的四层负载均衡来保障其可靠性与容错能力。HyperRouter在设计之初即明确了系统定位,通过跨层协同实现整体简化与可靠性提升。其采用Google Maglev一致性哈希算法,在节点无状态的前提下实现流量定向一致,显著降低节点故障对流量分布的影响。同时采用 Direct Server Return (DSR) 模式,仅处理入向流量,让响应由 L7 节点直接返回客户端,从而减少资源开销并提升系统吞吐。这种协同设计的原则,为其他跨层服务的架构简化与可靠性增强提供了有益借鉴。
第二课:用户态内核旁路,平衡性能与资源复用。在高性能网络场景下,传统Linux网络栈因上下文切换与内存拷贝造成延迟瓶颈。HyperRouter团队通过“绕过内核”来突破限制,探索了XDP和DPDK两种路径。XDP (eXpress Data Path) 是 Linux 原生的 kernel-bypass 方案,通过 eBPF 在网络入口处理报文,可实现低延迟与低CPU开销,但受限于编程模型与网卡实例化方式。相比之下,DPDK (Data Plane Development Kit) 在用户态直接操控NIC,实现接近线速的转发性能,但需要专用CPU 与NIC资源,并持续维持高CPU利用率。在评估灵活性、演进性与性能需求后,团队最终选择DPDK 作为数据面框架。实践证明,用户态内核旁路能够带来极致性能与功能可塑性,但也需在能效与资源利用之间取得理性平衡。
图:高性能用户空间数据平面
第三课:将自愈与隔离能力纳入系统基因,因地制宜,充分利用系统特征实现高效、可靠的自愈及隔离机制。HyperRouter将自愈与隔离设计为系统的核心能力,而非事后补丁。控制面实时采集DPDK遥测、BGP状态和健康检查结果,对异常节点自动执行重启、重配置或隔离操作。在隔离机制上,系统利用Anycast与ECMP结合BGP路径优先级动态调整,实现了细粒度的流量隔离与快速恢复。与传统的路由撤销不同,这一机制在避免误判导致服务中断的同时,保持了稳定的流量迁移与服务连续性。这种“内生自愈”理念标志着运维范式从被动修复向主动预防的转变。
图:自愈与隔离作为一级设计原则
第四课:点对点架构,实现系统依赖最小化。在控制面架构上,HyperRouter优先保障CAP理论中的可用性(A)与分区容忍性(P)。为减少外部依赖与潜在单点故障,团队从零构建了点对点(P2P)去中心化框架,各节点具备独立的状态发现与同步能力,即使发生网络分区,系统仍可维持关键功能。该框架由持久化存储层、KV语义层、通信层和应用层组成,使“孤岛”节点在分区状态下仍能本地决策,避免中心化组件带来的级联风险。
图:点对点框架
为验证系统正确性,爱尔兰云可靠性实验室形式化方法团队应用P语言与 TLA+进行形式化建模。验证过程中发现了一个常规测试难以捕获的liveness问题——节点在特定条件下可能陷入无限重试循环。该问题在正式上线前被精准定位并修复,确保了系统在理论与实现层面的双重稳定性。
图:形式化方法对P2P协议的验证
第五课:基于单元化架构(Cell-based architecture)和洗牌分片方法(Shuffle sharding)能有效减少爆炸半径。在多租户系统中,单点异常若无隔离机制,可能演化为系统性故障。HyperRouter采用Cell架构结合Shuffle Sharding实现爆炸半径控制。通过将租户分配到独立Cell及虚拟分片,并由控制面动态管理分片分配与迁移,系统可将故障局限于最小范围。Shuffle Sharding通过分片重叠降低租户间关联度。例如在10个Cell的配置中,静态划分的爆炸半径为1/5,而Shuffle Sharding机制可将其降低至 1/45级别。该方法显著增强了多租户环境的隔离性与整体可靠性。
图:HyperRouter集群Cell化部署及shuffle sharding示例
第六课:基于CUJ实现以客户中心的可观测性。可观测性是SRE体系的基石,但面对海量指标与日志,如何聚焦关键信号并建立与用户体验一致的SLO仍是挑战。HyperRouter采用“关键用户旅程”(Critical User Journeys, CUJ)方法,将可观测性重心从系统内部转向用户体验。以“新建负载均衡”为例,团队构建了涵盖API调用、控制面处理、BGP下发及数据面接入的全链路追踪模型,不仅量化操作时延,还能揭示DPDK层面的性能瓶颈。CUJ方法使可观测性更贴近客户感知,成为连接SLO设计与用户体验的关键桥梁。
图:CUJ路径示例
华为云此次亮相SREcon25,通过揭秘大规模负载均衡架构实践经验,系统地展示SRE创新成果,与业界同仁深入探讨SRE领域的前沿技术与实践,共绘运维体系向智能化、协同化演进的未来蓝图,携手全球企业推动AI时代的全球发展新图景。
