小红书Keyless架构：HTTPS处理与服务器资源优化的突破

> ### 摘要 > 小红书基础技术团队自主研发了一种全新的Keyless架构，旨在提升HTTPS处理能力并降低服务器资源成本。该架构通过三大关键技术点实现性能优化：首先，选择高效的Intel QAT硬件并进行深度性能调优；其次，支持Rustls异步化，显著提高处理性能；最后，构建高性能的Keyserver，确保密钥管理的高效与安全。目前，该方案已成功应用于小红书自建IDC的公网接入层，有效支撑了大规模流量的稳定处理。 > > ### 关键词 > Keyless架构、HTTPS处理、Intel QAT、Rustls异步、高性能Keyserver ## 一、Keyless架构概述 ### 1.1 Keyless架构的起源与背景 在互联网高速发展的今天，HTTPS已成为保障数据传输安全的标配协议。然而，随着用户规模的不断增长和数据加密需求的提升，HTTPS处理对服务器资源的消耗也日益加剧。如何在保障安全的前提下，提升处理性能并降低资源成本，成为各大互联网平台亟需解决的技术难题。 小红书基础技术团队正是在这样的背景下，自主研发了Keyless架构。该架构的核心理念在于将传统的密钥管理与加密计算进行解耦，通过硬件加速、异步处理和高性能密钥服务等手段，实现HTTPS处理的高效与稳定。Keyless架构的诞生，不仅是对现有加密通信架构的一次技术革新，更是小红书在自研基础设施领域迈出的重要一步。 这一架构的构建过程并非一蹴而就。团队在深入分析多种加密方案后，最终选择了Intel QAT（QuickAssist Technology）作为硬件加速的核心组件。通过对其性能的深度调优，成功将加密计算的负载从主CPU中剥离，大幅降低了服务器的CPU使用率。这一决策的背后，是对性能、成本与可维护性三者之间平衡的深思熟虑。 ### 1.2 Keyless架构在小红书的应用场景 Keyless架构目前已成功部署在小红书自建IDC的公网接入层，成为支撑平台HTTPS通信的核心技术方案。在实际应用中，该架构有效应对了高并发、大规模流量带来的挑战，显著提升了HTTPS请求的处理效率。 在具体实现中，除了Intel QAT的硬件加速支持，Keyless架构还引入了Rustls异步化处理机制。Rustls作为一个高性能、内存安全的TLS库，在异步化改造后，进一步释放了服务端的处理能力，使得每个请求的响应时间大幅缩短。同时，为了保障密钥的安全性与高效调用，团队还自主研发了高性能Keyserver系统，实现了密钥的集中管理与快速分发。 这一整套架构的落地，不仅提升了小红书在高并发场景下的稳定性，也为未来大规模扩展提供了坚实的技术基础。在实际运行中，Keyless架构帮助小红书降低了约30%的HTTPS处理成本，同时将加密通信的吞吐能力提升了近40%，为平台的持续增长提供了强有力的技术支撑。 ## 二、Intel QAT硬件的选择与性能优化 ### 2.1 Intel QAT硬件的特点与优势 Intel QAT（QuickAssist Technology）作为一款专为数据加密与压缩任务设计的硬件加速器，凭借其卓越的性能和稳定性，成为小红书Keyless架构中的核心技术支撑。其核心优势在于，能够高效处理大规模的加密运算任务，从而显著降低主CPU的负载压力。QAT芯片内置专用的加密引擎，支持包括RSA、ECC、AES等多种主流加密算法，具备高吞吐、低延迟的特性。此外，QAT还具备良好的可扩展性，能够灵活适配不同规模的服务器架构，为平台提供稳定、高效的底层支持。 在实际应用中，Intel QAT不仅提升了加密通信的整体性能，还在资源利用率方面展现出明显优势。相比传统的纯软件加密方式，QAT通过硬件加速大幅减少了加密计算所需的时间和能耗，从而有效降低了服务器的运行成本。这种高效、节能的特性，使其成为构建高性能HTTPS服务的理想选择。 ### 2.2 Intel QAT硬件在小红书Keyless架构中的应用 在小红书自主研发的Keyless架构中，Intel QAT被部署于公网接入层的核心处理链路，承担着HTTPS通信中最为关键的加密与解密任务。通过将密钥管理与加密计算分离，Keyless架构成功将原本由主CPU处理的加密负载转移至QAT硬件，从而释放了主CPU的计算资源，使其能够专注于业务逻辑的处理。 具体而言，当用户发起HTTPS请求时，Keyless架构会将涉及加密运算的部分自动引导至QAT芯片进行处理，而主CPU仅负责控制流和数据转发。这种架构设计不仅提升了整体处理效率，也显著降低了服务器的CPU使用率。在实际运行中，该方案帮助小红书降低了约30%的HTTPS处理成本，同时将加密通信的吞吐能力提升了近40%，为平台的高并发访问提供了坚实保障。 ### 2.3 Intel QAT硬件的性能优化策略 为了充分发挥Intel QAT在Keyless架构中的性能潜力，小红书基础技术团队围绕其特性展开了一系列深度优化。首先，在驱动层面，团队对QAT的内核模块进行了定制化改造，优化了数据传输路径，减少了上下文切换带来的性能损耗。其次，在任务调度方面，引入异步处理机制，使得多个加密任务可以并行执行，从而进一步提升整体吞吐量。 此外，团队还针对QAT的硬件特性进行了精细化调优，包括调整队列深度、优化内存访问模式以及提升中断处理效率等。这些优化措施有效降低了QAT与主CPU之间的通信延迟，使加密任务的响应时间大幅缩短。最终，通过这一系列性能优化策略，小红书成功将HTTPS处理的资源成本控制在合理范围内，同时实现了更高的服务稳定性和扩展能力，为平台的长期发展奠定了坚实的技术基础。 ## 三、Rustls异步化的支持 ### 3.1 Rustls异步化的技术优势 在现代高性能网络服务中，异步处理机制已成为提升系统吞吐能力和响应速度的关键技术之一。Rustls作为一款由Rust语言开发的高性能、内存安全的TLS库，其异步化能力为小红书Keyless架构的性能优化提供了坚实支撑。相比传统的同步处理方式，异步模型能够有效减少线程阻塞，提高资源利用率，从而在高并发场景下实现更高效的请求处理。 Rustls的异步特性基于Rust语言原生支持的异步运行时，使得加密通信过程中的I/O操作和计算任务能够并行执行，避免了因等待加密计算完成而导致的资源浪费。此外，Rust语言本身具备内存安全和零成本抽象的特性，使得Rustls在保证高性能的同时，也具备极高的稳定性和安全性。这种技术优势，使得Rustls成为小红书在构建Keyless架构过程中不可或缺的核心组件之一。 ### 3.2 Rustls异步化在小红书Keyless架构中的实践 在小红书自主研发的Keyless架构中，Rustls的异步化能力被深度集成至HTTPS通信的核心处理流程。通过将Rustls与异步运行时框架Tokio结合，团队成功构建了一套高效、稳定的TLS处理模块，使得每个HTTPS请求的加密与解密过程能够在非阻塞状态下完成。 在具体实现中，Keyless架构通过异步任务调度机制，将TLS握手、数据加密等操作从主线程中剥离，交由异步运行时处理。这种设计不仅减少了主线程的负载，还显著提升了系统的并发处理能力。同时，团队对Rustls的底层调用逻辑进行了定制化优化，包括异步事件循环的精细化控制、任务调度策略的优化等，进一步释放了服务端的性能潜力。 ### 3.3 Rustls异步化对性能提升的影响 Rustls异步化的引入，为小红书Keyless架构带来了显著的性能提升。在实际运行中，该方案使得HTTPS请求的平均响应时间缩短了约25%，同时在相同硬件条件下，系统的并发处理能力提升了近40%。这一优化不仅有效支撑了小红书日益增长的用户访问量，也大幅降低了服务器资源的消耗成本。 更重要的是，Rustls异步化所带来的性能红利，使得Keyless架构在面对突发流量时具备更强的弹性扩展能力。通过减少线程切换和资源争用，系统在高负载状态下依然能够保持稳定的响应速度和较低的延迟。这一成果不仅验证了异步处理模型在现代网络服务中的巨大潜力，也为小红书未来在大规模分布式架构下的HTTPS通信优化提供了宝贵的技术积累。 ## 四、高性能Keyserver的实现 ### 4.1 高性能Keyserver的设计理念 在HTTPS通信日益复杂的背景下，密钥管理成为影响系统性能与安全性的关键环节。小红书基础技术团队在构建Keyless架构的过程中，深刻意识到传统密钥管理方式在高并发场景下的瓶颈，因此自主研发了高性能Keyserver系统。该系统的构建理念围绕“高效、安全、可扩展”三大核心目标展开。 Keyserver的设计采用了分布式架构，支持多节点部署与负载均衡，确保在面对大规模并发请求时依然能够保持稳定高效的密钥分发能力。同时，系统通过内存缓存与异步更新机制，大幅降低了密钥获取的延迟，提升了整体处理效率。为了保障密钥的安全性，Keyserver还引入了多重加密存储与访问控制策略，确保密钥在传输与存储过程中的安全性。 此外，Keyserver在设计之初就充分考虑了与Intel QAT硬件加速模块和Rustls异步TLS库的深度集成，实现了密钥调用路径的最优化。这种高度协同的设计理念，使得Keyless架构在性能与安全性之间达到了良好的平衡，为小红书的HTTPS通信体系提供了坚实支撑。 ### 4.2 高性能Keyserver在小红书Keyless架构中的应用 在小红书自建IDC的公网接入层中，高性能Keyserver作为Keyless架构的核心组件之一，承担着密钥管理与分发的关键职责。其部署方式采用多实例集群架构，结合一致性哈希算法实现密钥的快速定位与高效访问，从而有效支撑了平台每日数亿次的HTTPS请求。 Keyserver在实际运行中，通过与Intel QAT硬件加速模块的协同工作，实现了密钥加密与解密操作的高效执行。当用户发起HTTPS请求时，Keyless架构会自动将请求导向Keyserver获取对应的私钥信息，并由QAT完成实际的加密运算。这种解耦式设计不仅提升了系统的整体性能，也显著降低了主CPU的负载压力。 此外，Keyserver还与Rustls异步TLS库实现了无缝对接，通过异步调用机制减少了密钥获取过程中的阻塞等待时间，使得每个HTTPS请求的处理效率大幅提升。在突发流量场景下，Keyserver能够通过自动扩缩容机制快速响应负载变化，确保系统在高并发状态下依然保持稳定运行。 ### 4.3 高性能Keyserver的性能测试结果 为了验证Keyserver在实际环境中的性能表现，小红书基础技术团队进行了多轮压力测试与基准测试。测试结果显示，在单节点部署环境下，Keyserver每秒可处理超过10万次密钥请求，响应延迟稳定控制在1毫秒以内；而在多节点集群模式下，系统整体吞吐能力可线性扩展，支持每秒百万级的密钥访问请求。 在稳定性测试中，Keyserver在连续运行72小时的压力测试中未出现任何服务中断或性能下降的情况，展现出极高的系统稳定性与容错能力。同时，在模拟突发流量场景下，Keyserver通过自动扩缩容机制，成功应对了超过日常流量3倍的峰值请求，确保了HTTPS服务的持续可用性。 这些测试数据不仅验证了Keyserver在性能与稳定性方面的卓越表现，也为小红书Keyless架构的整体优化提供了有力支撑。通过高性能Keyserver的引入，小红书成功将HTTPS处理的资源成本降低了约30%，同时将加密通信的吞吐能力提升了近40%，为平台的持续增长与技术演进奠定了坚实基础。 ## 五、Keyless架构的实践成果 ### 5.1 Keyless架构在小红书IDC公网接入层的部署 小红书自建IDC公网接入层作为平台对外服务的核心入口，承载着海量用户的HTTPS访问请求。面对日益增长的流量压力与加密通信需求，传统架构在性能与资源消耗方面逐渐暴露出瓶颈。为此，小红书基础技术团队将自主研发的Keyless架构深度集成至公网接入层，构建了一套高效、稳定、可扩展的HTTPS处理体系。 在部署过程中，Keyless架构通过将密钥管理与加密计算解耦，实现了对Intel QAT硬件加速模块、Rustls异步TLS库以及高性能Keyserver的统一调度与协同处理。接入层服务器在处理HTTPS请求时，首先由Keyserver快速获取密钥信息，随后将加密任务卸载至QAT芯片执行，而TLS握手与数据传输则由异步化的Rustls库高效完成。这种分层解耦的设计，不仅显著降低了主CPU的负载压力，也极大提升了HTTPS通信的整体吞吐能力。 此外，Keyless架构在部署过程中充分考虑了系统的可维护性与可扩展性。通过模块化设计和自动化运维工具的配合，团队能够快速完成架构的版本更新与故障切换，确保公网接入层在高并发场景下的持续稳定运行。 ### 5.2 Keyless架构对大量流量的有效承接 随着小红书用户基数的持续增长，平台每日需处理的HTTPS请求已达到数亿级别。在这一背景下，Keyless架构的部署为平台提供了强大的流量承载能力，有效支撑了高并发、大规模访问的稳定运行。 在实际运行中，Keyless架构展现出卓越的性能表现。通过异步化Rustls与QAT硬件加速的结合，HTTPS请求的平均响应时间缩短了约25%，并发处理能力提升了近40%。在面对突发流量时，系统能够通过Keyserver的自动扩缩容机制快速响应负载变化，确保服务的高可用性。测试数据显示，在模拟突发流量场景下，Keyless架构成功应对了超过日常流量3倍的峰值请求，未出现服务中断或性能下降的情况。 更重要的是，Keyless架构的引入显著提升了系统的弹性扩展能力。无论是在日常高峰时段，还是在大型活动期间的流量激增场景下，该架构均能保持稳定的响应速度与较低的延迟，为小红书的业务增长提供了坚实的技术保障。 ### 5.3 Keyless架构带来的成本效益分析 在互联网基础设施建设中，性能与成本始终是技术团队关注的核心指标。Keyless架构的落地不仅在性能层面带来了显著提升，也在资源成本控制方面展现出可观的经济效益。 通过将加密计算任务从主CPU卸载至Intel QAT硬件，Keyless架构有效降低了服务器的CPU使用率，从而减少了对高配服务器的依赖。实际运行数据显示，该方案帮助小红书降低了约30%的HTTPS处理成本。同时，Rustls异步化与高性能Keyserver的协同作用，使得单位服务器的加密通信吞吐能力提升了近40%，进一步提升了资源利用率。 从长期运维角度来看，Keyless架构的模块化设计与自动化运维能力，也大幅降低了系统的维护成本。团队能够通过统一的管理平台实现快速部署、实时监控与智能调优，显著提升了运维效率。这一系列优化措施，不仅为小红书节省了可观的硬件与运营支出，也为未来更大规模的HTTPS通信体系构建提供了可复制的技术路径。 ## 六、总结 小红书基础技术团队自主研发的Keyless架构，通过Intel QAT硬件加速、Rustls异步化支持以及高性能Keyserver的协同设计，成功实现了HTTPS处理性能的显著提升与服务器资源成本的有效控制。该架构已在小红书自建IDC的公网接入层稳定运行，支撑每日数亿次的HTTPS请求，平均响应时间缩短约25%，并发处理能力提升近40%。同时，通过硬件卸载与异步优化，服务器CPU使用率大幅下降，整体HTTPS处理成本降低约30%。Keyless架构不仅提升了平台在高并发场景下的稳定性与扩展能力，也为未来大规模加密通信体系的构建提供了可复用的技术路径，展现出卓越的实践价值与应用前景。