站点—客户端对称的覆盖网络生态:NSD · NSGW · NSN · NSC 四组件、零信任接入平台。
跨组件的"角色 + 互联 + 时序"总体视图见 总体架构(拓扑图、控制面下发、数据面双跳、浏览器直达、信任边界与失败域)。
NSIO 把传统 VPN "认证 + 控制 + 数据转发"混合的网关拆成四个独立组件,每个组件对外接口很窄,对内承担一组明确职责。文档以组件为核心组织,每个组件提供 3 个文件:
| 文件 | 内容 |
|---|---|
index.md | 角色定位、一屏速览、文档导航 |
architecture.md | 架构与功能设计(角色、模块划分、设计特点、与其他组件边界) |
roadmap.md | 设计差距、改造主题、阶段排期、生产化演进 |
进入对应组件门户开始阅读:
| 协议 | NSD | NSGW | NSN | NSC |
|---|---|---|---|---|
| SSE | server | client | client | client |
| Noise IK | listener | — | client | client(已支持未接 CLI) |
| QUIC | listener | — | client | client(已支持未接 CLI) |
| WireGuard UDP | — | server(终结)/ relay(不解密中继,规划) | server / client(用户态) | client(TUN 模式,未实装) |
| WSS / WsFrame | — | server(/client /relay) | server(被中继的目的端) | client(出站打流) |
| HTTPS 反向代理 | — | server(L7 入站) | — | — |
| HTTP / CONNECT 代理 | — | — | — | server(本机入口) |
| 本地 DNS | — | — | — | server(127.53.53.53:53) |
| Ed25519 事件签名 | signer | verifier | verifier | verifier |
| JWT 签发 | issuer | — | — | — |
| JWT 校验 | — | /client ingress | — | — |
核心不变量:控制面三种外壳(SSE / Noise / QUIC)共享同一个 SSE 事件解析器,事件解析代码只存在一份;数据面 WG / WSS 在每个网关上独立选路,两跳(NSC↔NSGW、NSGW↔NSN)互不耦合;NSD 永不持有私钥,WgConfig 故意不含 private_key 字段(协议级硬约束)。
MultiControlPlane)。.ns 命名空间 + 环回 VIP —— 不需要 TUN / 不需要 root,客户端可跑在受限终端。