Access Gateway
零信任网络接入
摒弃传统 VPN 的网络层隐式信任模型。每一次资源访问请求均需经过独立的身份验证与设备信任评估。访问策略按用户、设备类型与上下文精细化配置,策略变更在边缘节点毫秒级生效。基于 Anycast 骨干的软件定义边界(SDP)架构,确保接入延迟由全球就近节点处理。
产品概述
摆脱遗留假设的基础设施
现代私有基础设施不应当依赖静态 IP、自托管服务器或传统 VPN 的网络层信任假设。SRRRS 以软件定义的方式,重构了个人与小型敏捷团队对基础设施的控制方式——从设备接入到邮件收发,从文件存储到内网服务发布,构成一条封闭、安全、高可用的私有技术环路。
架构示意
控制面与数据面,清晰分离
SRRRS 采用经典的控制面与数据面分离架构,确保策略的一致性与流量的高效流转:
边缘接入层 · Edge Access Plane
依托全球 Anycast 网络,处理 BGP 路由宣告、TLS 1.3 卸载与 L3/L4 层流量清洗。
控制与策略层 · Control & Policy Plane
核心 Identity Plane 引擎。实时评估设备指纹、地理位置与上下文风险,动态下发 L7 层访问控制策略。
数据与计算层 · Data & Compute Plane
包含不可变对象存储 (ObjectLake)、无服务器计算网格 (EventMesh) 与反向隧道代理。所有数据读写操作均受控制层签发的短效 Token 严格限制。
核心服务
六大模块,统一私有栈
Identity Plane
统一身份治理
为所有内部服务提供统一的身份治理层。每个内部应用均可配置独立的访问策略,支持多因素认证 (MFA)、单点登录 (SSO) 与应用层锁定。未经授权的请求在到达源站之前,即于边缘节点被拒绝,内部服务对公网完全隐形(Dark Cloud 架构)。
Mail Gateway
边缘邮件路由网关
基于域名的分布式邮件路由架构,收发逻辑通过边缘函数定义,不依赖沉重的传统邮件服务器基础设施。完整实施 SPF、DKIM、DMARC 三重认证协议栈,建立可验证的域名级发件身份链。支持自定义路由规则与多地址别名,邮件处理逻辑可按域名独立编排。
ObjectLake
分布式对象存储
提供 S3 兼容 API 的分布式对象存储服务,适用于私有文件分发、数据备份与跨设备同步场景。支持细粒度访问控制策略,存储桶权限与身份治理层深度集成。
Tunnel
内网服务隧道
无需公网 IP,将任意内网服务安全映射至受控域名。基于出站反向隧道架构,内网主机无入站端口暴露,所有流量在传输层加密。支持 HTTP、SSH、TCP 等协议的服务发布,结合身份治理层可实现服务级的精细访问控制。
Transfer
多协议文件传输
在统一对象存储后端之上提供多协议接入适配,兼容 FTP/SMB 等存量传输协议,适配现有工作流与传统客户端软件。所有传输操作均受身份治理层统一管控,操作日志全面审计。
$ srrrs login
✓ Authenticated · device trust verified — 0 passwords stored
$ srrrs tunnel expose http://localhost:3000 --name app
✓ Live at https://app.srrrs.com (0 inbound ports opened)
$ srrrs object cp ./dist s3://objectlake/releases --region eu
↑ 142 files · encrypted in transit & at rest
核心卖点
SRRRS 的不同之处
Anycast 全球骨干
所有流量经由分布于全球的 Anycast 网络就近处理,无单一接入点瓶颈,骨干传输路径独立于公共互联网拥塞节点。
合规数据主权
持久化数据存储节点位于欧盟等合规辖区,隐私数据处理符合通用数据保护条例(GDPR)框架要求,确保数据驻留的合法性与安全性。
身份即边界
物理网络边界在 SRRRS 的架构中不具备信任意义。每一次资源访问均需经过身份与策略引擎的独立授权,内部服务的可达性完全由策略定义。
全栈私有闭环
接入、通信、存储、发布四个核心环节均在 SRRRS 统一技术栈内完成,不存在非受控的第三方数据流转节点。
以数字衡量
零暴露,源于设计
0
暴露的源站 IP
0
开放的入站端口
0
非受控中间节点经手的持久化数据
1
统一身份治理层,覆盖全部内部服务
3
重叠邮件认证协议 SPF / DKIM / DMARC
6
核心服务模块,覆盖接入到存储完整链路
安全与合规
零信任,端到端强制执行
SRRRS 遵循零信任安全架构 (Zero Trust Architecture, ZTA) 原则。所有内部服务默认不可达,访问权限由身份与策略引擎动态授权,最小权限原则 (PoLP) 贯穿全系统。
传输层全程加密,边缘节点执行请求过滤与身份验证,核心数据不经过任何非受控的中间链路。数据持久化层满足严格的数据驻留与合规审计要求。
常见问题
常见问题解答
SRRRS 与传统的商业 VPN 或云厂商 VPC 有何本质区别?
传统 VPN 依赖于网络层(IP/端口)的连通性,一旦隧道建立,内网即横向暴露;云厂商 VPC 则受限于特定公有云的物理边界。SRRRS 采用应用层(L7)软件定义边界(SDP)与反向隧道技术,不仅消除了源站 IP 暴露的风险,更实现了跨云、跨本地数据中心的统一身份与策略治理。
我的数据存储在 SRRRS 的哪里?如何保证隐私?
SRRRS 采用“数据主权优先”设计。您的持久化对象数据默认驻留于您配置的合规辖区(如欧盟节点),不跨区域流转。所有数据在传输中(In-transit)和静止时(At-rest)均采用行业标准的高强度加密算法,密钥生命周期由身份与策略层统一管理。
SRRRS 是否支持集成现有的 CI/CD 流程或自研客户端?
完全支持。SRRRS 的 Identity Plane 提供标准的 OIDC/SAML 联邦认证接口,可无缝对接 GitHub Actions、GitLab CI 等自动化流水线。同时,我们的 Tunnel 与 Access 组件提供跨平台原生客户端及 RESTful API,支持深度集成至您的 DevOps 工作流中。
为什么我在公开渠道无法找到 SRRRS 的公开定价方案?
SRRRS 定位为私有优先的定制基础设施,而非标准化的公共 SaaS 产品。为确保系统架构的纯粹性与资源调度的高可用性,SRRRS 目前仅采用“邀请制 (Invite-Only)”与“私有部署 (Private Deployment)”模式。我们不为公共互联网提供无限制的共享资源池。