HASH GAME - Online Skill Game GET 300近日，SREcon25 在爱尔兰都柏林举行，华为云爱尔兰可靠性实验室首席软件工程师首次受邀在主会场做 Plenary (Keynote) 报告，结合华为云 SRE 团队构建四层负载均衡服务 HyperRouter 的经验，基于确定性运维理念，分享如何通过跨服务协同架构设计、用户态高性能架构、服务自愈、Cell 化部署和用户为中心的可观测等，实现云服务全生命周期稳定运行。此次分享展现了华为云在 SRE 领域的前沿实践，获得了现场专家的广泛认可。

　　第一课：跨服务协同设计，化繁为简。四层与七层（负载均衡通常协同部署。七层负载均衡在应用层具有状态信息，单节点故障可能导致大规模 TCP 连接中断，因此需要由无状态、可水平扩展的四层负载均衡来保障其可靠性与容错能力。HyperRouter 在设计之初即明确了系统定位，通过跨层协同实现整体简化与可靠性提升。其采用 Google Maglev 一致性哈希算法，在节点无状态的前提下实现流量定向一致，显著降低节点故障对流量分布的影响。同时采用 Direct Server Return (DSR) 模式，仅处理入向流量，让响应由 L7 节点直接返回客户端，从而减少资源开销并提升系统吞吐。这种协同设计的原则，为其他跨层服务的架构简化与可靠性增强提供了有益借鉴。

　　第二课：用户态内核旁路，平衡性能与资源复用。在高性能网络场景下，传统 Linux 网络栈因上下文切换与内存拷贝造成延迟瓶颈。HyperRouter 团队通过“绕过内核”来突破限制，探索了 XDP 和 DPDK 两种路径。XDP (eXpress Data Path) 是 Linux 原生的 kernel-bypass 方案，通过 eBPF 在网络入口处理报文，可实现低延迟与低 CPU 开销，但受限于编程模型与网卡实例化方式。相比之下，DPDK (Data Plane Development Kit) 在用户态直接操控 NIC，实现接近线速的转发性能，但需要专用 CPU 与 NIC 资源，并持续维持高 CPU 利用率。在评估灵活性、演进性与性能需求后，团队最终选择 DPDK 作为数据面框架。实践证明，用户态内核旁路能够带来极致性能与功能可塑性，但也需在能效与资源利用之间取得理性平衡。

　　第三课：将自愈与隔离能力纳入系统基因，因地制宜，充分利用系统特征实现高效、可靠的自愈及隔离机制。HyperRouter 将自愈与隔离设计为系统的核心能力，而非事后补丁。控制面实时采集 DPDK 遥测、BGP 状态和健康检查结果，对异常节点自动执行重启、重配置或隔离操作。在隔离机制上，系统利用 Anycast 与 ECMP 结合 BGP 路径优先级动态调整，实现了细粒度的流量隔离与快速恢复。与传统的路由撤销不同，这一机制在避免误判导致服务中断的同时，保持了稳定的流量迁移与服务连续性。这种“内生自愈”理念标志着运维范式从被动修复向主动预防的转变。

　　第四课：点对点架构，实现系统依赖最小化。在控制面架构上，HyperRouter 优先保障 CAP 理论中的可用性 (A) 与分区容忍性 (P)。为减少外部依赖与潜在单点故障，团队从零构建了点对点（P2P）去中心化框架，各节点具备独立的状态发现与同步能力，即使发生网络分区，系统仍可维持关键功能。该框架由持久化存储层、KV 语义层、通信层和应用层组成，使“孤岛”节点在分区状态下仍能本地决策，避免中心化组件带来的级联风险。

　　第五课：基于单元化架构（Cell-based architecture）和洗牌分片方法（Shuffle sharding）能有效减少爆炸半径。在多租户系统中，单点异常若无隔离机制，可能演化为系统性故障。HyperRouter 采用 Cell 架构结合 Shuffle Sharding 实现爆炸半径控制。通过将租户分配到独立 Cell 及虚拟分片，并由控制面动态管理分片分配与迁移，系统可将故障局限于最小范围。Shuffle Sharding 通过分片重叠降低租户间关联度。例如在 10 个 Cell 的配置中，静态划分的爆炸半径为 1/5，而 Shuffle Sharding 机制可将其降低至 1/45 级别。该方法显著增强了多租户环境的隔离性与整体可靠性。

　　第六课：基于 CUJ 实现以客户中心的可观测性。可观测性是 SRE 体系的基石，但面对海量指标与日志，如何聚焦关键信号并建立与用户体验一致的 SLO 仍是挑战。HyperRouter 采用“关键用户旅程”（Critical User Journeys, CUJ）方法，将可观测性重心从系统内部转向用户体验。以“新建负载均衡”为例，团队构建了涵盖 API 调用、控制面处理、BGP 下发及数据面接入的全链路追踪模型，不仅量化操作时延，还能揭示 DPDK 层面的性能瓶颈。CUJ 方法使可观测性更贴近客户感知，成为连接 SLO 设计与用户体验的关键桥梁。