NSIO Docs
NSIO Docs
首页
总体架构

NSN · 站点节点

NSN · 站点节点
NSN · 架构与功能设计
NSN · 演进路线与开发计划

NSC · 用户客户端

NSC · 用户客户端
NSC · 架构与功能设计
NSC · 演进路线与开发计划

NSD · 控制中心

NSD · 控制中心
NSD · 架构与功能设计
NSD · 演进路线与开发计划

NSGW · 数据网关

NSGW · 数据网关
NSGW · 架构与功能设计
NSGW · WireGuard Peer Relay 协议层
NSGW · 演进路线与开发计划

Last Updated: 2026/5/8 08:44:39

Next Page总体架构

#NSIO 架构文档

站点—客户端对称的覆盖网络生态:NSD · NSGW · NSN · NSC 四组件、零信任接入平台。

#文档结构

跨组件的"角色 + 互联 + 时序"总体视图见 总体架构(拓扑图、控制面下发、数据面双跳、浏览器直达、信任边界与失败域)。

NSIO 把传统 VPN "认证 + 控制 + 数据转发"混合的网关拆成四个独立组件,每个组件对外接口很窄,对内承担一组明确职责。文档以组件为核心组织,每个组件提供 3 个文件:

文件内容
index.md角色定位、一屏速览、文档导航
architecture.md架构与功能设计(角色、模块划分、设计特点、与其他组件边界)
roadmap.md设计差距、改造主题、阶段排期、生产化演进

进入对应组件门户开始阅读:

  • NSN · 站点节点 —— 站点侧"被访问端",把对端流量代理到本地或远程服务。
  • NSC · 用户客户端 —— 用户侧"访问端",环回 VIP + 本地 DNS,可在普通用户权限下运行。
  • NSD · 控制中心 —— 控制面唯一来源,负责身份、策略、配置分发,但不承载业务流量。
  • NSGW · 数据网关 —— 公网入口,WG / WSS / HTTPS 三协议矩阵,网关无状态化。

#协议角色关系矩阵

协议NSDNSGWNSNNSC
SSEserverclientclientclient
Noise IKlistener—clientclient(已支持未接 CLI)
QUIClistener—clientclient(已支持未接 CLI)
WireGuard UDP—server(终结)/ relay(不解密中继,规划)server / client(用户态)client(TUN 模式,未实装)
WSS / WsFrame—server(/client /relay)server(被中继的目的端)client(出站打流)
HTTPS 反向代理—server(L7 入站)——
HTTP / CONNECT 代理———server(本机入口)
本地 DNS———server(127.53.53.53:53)
Ed25519 事件签名signerverifierverifierverifier
JWT 签发issuer———
JWT 校验—/client ingress——

核心不变量:控制面三种外壳(SSE / Noise / QUIC)共享同一个 SSE 事件解析器,事件解析代码只存在一份;数据面 WG / WSS 在每个网关上独立选路,两跳(NSC↔NSGW、NSGW↔NSN)互不耦合;NSD 永不持有私钥,WgConfig 故意不含 private_key 字段(协议级硬约束)。

#不可放弃的差异化

  1. 多 NSD 并行 —— 同一节点可同时归属多个 NSD,合并发生在节点侧(MultiControlPlane)。
  2. 协议可插拔的控制面 —— SSE / Noise IK / QUIC 三套传输共用同一事件解析器。
  3. .ns 命名空间 + 环回 VIP —— 不需要 TUN / 不需要 root,客户端可跑在受限终端。
  4. 代理即 NAT + ACL 仅允许语义 —— 站点侧不改 IP 头,白名单模型,合规审计友好。
  5. 私钥不出节点 —— 协议级硬约束,不依赖运维流程。