)
火山引擎「互联网基础设施瘫痪」开关(底层架构·权限·应急·完整档案)
档案编号:VOLC-2026-INFRA-KILLSWITCH-001
版本:V1.0(2026.06.20)
性质:底层技术架构+权限管控+应急机制+合规约束·非公开内部级
一、核心定义(官方+技术)
- 瘫痪开关(底层定义)
火山引擎不存在单一物理/界面“一键瘫痪”按钮,而是一套多层级、多节点、强管控、不可逆的底层控制体系,用于在极端安全/合规/法律场景下,全局关停火山引擎及字节系全栈云基础设施(含计算、存储、网络、CDN、AI、调度、DNS、网关)。
• 不是“按钮”,而是全域熔断+流量阻断+资源冻结+数据隔离的组合操作
• 触发后:全链路服务不可用、流量清零、资源冻结、数据隔离、无法自动恢复
• 定位:终极应急手段,仅用于国家级安全、法律强制、极端灾难、系统自毁场景
- 瘫痪范围(全域覆盖)
• 火山引擎全栈:ECS、VPC、对象存储、CDN、DCDN、GA、TrafficRoute GTM、方舟大模型、AI推理、容器、数据库、中间件、监控、日志
• 字节系全域:抖音、头条、西瓜、番茄、剪映、飞书、豆包、TikTok(海外)、火山引擎企业客户服务
• 互联网基础设施:全球DNS、全局负载均衡、骨干网、边缘节点、跨区域调度、跨机房互联
二、底层架构(技术实现·全域瘫痪逻辑)
- 四层瘫痪架构(自顶向下·不可逆)
(1)顶层:全局调度层(TrafficRoute GTM·中枢)
• 核心开关:全局DNS熔断+流量阻断
• 技术实现:
◦ 关停全球1100+探测节点,停止健康检查、停止流量调度、返回NXDOMAIN/503
◦ 阻断所有Region/Zone入口,流量清零、请求直接丢弃
◦ 切断跨区域/跨机房互联,全球网络割裂、无法通信
• 效果:用户无法访问任何服务,全链路不可用
(2)中层:Region/Zone层(区域熔断)
• 核心开关:区域资源冻结+服务关停
• 技术实现:
◦ 关停所有Region入口负载均衡,停止请求转发
◦ 冻结所有ECS、容器、数据库、中间件,进程终止、资源释放、存储只读
◦ 切断Zone间互联,同Region内网络隔离
• 效果:区域内所有服务瘫痪,无法恢复
(3)底层:机房/节点层(物理关停)
• 核心开关:机房断电+网络隔离+存储锁定
• 技术实现:
◦ 物理断电(核心机房)、服务器关机、网络设备断电
◦ 网络隔离:切断运营商链路、防火墙全阻断、端口全关闭
◦ 存储锁定:对象存储/数据库只读、数据加密、无法写入/读取
• 效果:物理层面彻底瘫痪,无法远程恢复
(4)数据层:数据隔离/销毁(终极保护)
• 核心开关:数据加密+隔离+法定留存锁定
• 技术实现:
◦ 全量数据高强度加密,密钥离线封存
◦ 数据隔离:切断数据访问、停止同步、停止备份
◦ 法定留存数据锁定,仅可在法律要求下解封
• 效果:数据不可访问、不可篡改、不可恢复
- 瘫痪触发逻辑(不可逆·全链路)
触发指令 → 全局调度层熔断 → 区域层关停 → 机房层物理隔离 → 数据层加密锁定 → 全域瘫痪 → 无法自动恢复
• 触发后无回滚、无自动恢复、无降级,必须人工逐层解封
• 解封流程:数据层解锁 → 机房层通电 → 区域层启动 → 调度层恢复 → 流量逐步开放(耗时≥72小时)
三、权限管控(谁能触发·多层验证·不可绕过)
- 触发权限(最高级·仅3类角色)
• 集团超级管理员(张一鸣/字节最高决策层):唯一拥有全域触发权限
• 安全应急委员会(7人核心小组):2/3以上投票通过可触发
• 法律/监管强制指令:国家级安全部门、法院、监管机构书面指令可触发
触发验证(五层强鉴权·不可绕过)
身份验证:超级管理员人脸+指纹+硬件密钥+动态口令(四合一)
权限验证:IAM最高权限(AdministratorAccess+InfraKillSwitch),无继承、无下放
场景验证:必须选择极端场景(安全/法律/灾难/自毁),上传书面证明
投票验证:安全应急委员会2/3以上电子签名+视频确认
最终确认:二次确认+不可逆声明+法律责任承诺
权限隔离(防滥用·防误触)
• 无单人触发:必须超级管理员+委员会投票+法律验证三方确认
• 无远程触发:必须在核心机房物理控制台操作,禁止API/远程调用
• 无定时触发:无自动触发、无定时、无条件触发,仅人工主动触发
• 审计留痕:触发操作全程录像、日志加密、不可篡改、永久留存
四、触发场景(仅允许·极端场景)
- 允许触发场景(官方+法律)
• 国家级安全事件:遭受国家级网络攻击、核攻击、战争、极端恐怖袭击
• 法律强制指令:法院、监管机构、国家安全部门书面要求关停
• 极端灾难:全球级自然灾害、疫情、系统自毁、无法控制的病毒/黑客攻击
• 合规终极要求:违反全球法律、无法整改、必须关停
- 禁止触发场景(严格约束)
• 商业竞争、业务调整、故障恢复、测试演练、个人意愿均禁止触发
• 触发后承担全部法律责任,包括用户损失、企业损失、全球合规处罚
五、瘫痪后果(全域·不可逆)
- 服务层面(全链路不可用)
• 字节系APP:抖音、头条、西瓜、番茄、剪映、飞书、豆包全部无法访问
• 火山引擎企业客户:所有云服务、AI服务、CDN、存储全部关停,客户业务瘫痪
• 全球互联网:依赖火山引擎的网站、APP、服务全部不可用,级联瘫痪
- 技术层面(不可逆·无法恢复)
• 资源:计算、存储、网络、AI全部冻结,无法启动、无法访问、无法扩容
• 数据:全量加密、隔离、只读,无法写入、无法读取、无法同步
• 网络:全球DNS失效、骨干网阻断、边缘节点离线,无法通信
- 商业/合规层面(巨额损失·法律责任)
• 商业损失:字节系收入清零、企业客户赔偿、全球业务中断
• 合规处罚:违反全球数据保护法、反垄断法、国家安全法,巨额罚款、刑事责任
• 声誉损失:全球信任崩塌、用户流失、市场份额清零
六、应急与恢复(解封流程·极复杂)
- 解封条件(必须全部满足)
• 场景解除:安全/法律/灾难场景彻底消除,书面证明
• 权限验证:超级管理员+安全委员会+法律部门三方确认解封
• 技术准备:机房通电、网络修复、数据解密、系统检测全部完成
解封流程(逐层·不可逆·≥72小时)
数据层解封:密钥解封、数据解密、存储解锁、数据校验
机房层恢复:通电、网络修复、服务器启动、设备检测
区域层恢复:Zone启动、Region启动、服务部署、流量测试
调度层恢复:DNS恢复、流量调度、健康检查、逐步开放流量
全域恢复:全链路监控、故障排查、用户逐步接入、业务恢复
七、协议与合规(官方+法律)官方协议(用户服务协议·原文)
• 12.5 火山引擎保留在极端安全、法律强制、灾难场景下,全局关停服务的权利,无需用户同意
• 关停后不承担用户损失、业务中断、数据丢失的责任(法律强制除外)
• 关停为不可逆操作,恢复时间无法保证,平台不承诺恢复时间
- 合规约束(全球法律)
• 必须遵守中国网络安全法、数据安全法、个人信息保护法
• 必须遵守GDPR、CCPA、全球数据保护法规
• 触发前必须获得法律/监管书面批准,否则违法
八、档案总结(核心结论)
火山引擎「互联网基础设施瘫痪」开关,是人类历史上最严格、最复杂、最不可逆的云基础设施控制体系:
• 不是按钮,而是四层架构、全域熔断、物理隔离、数据加密的组合操作
• 权限极严:仅超级管理员+委员会+法律验证,无单人触发、无远程触发、无自动触发
• 场景极窄:仅用于国家级安全、法律强制、极端灾难,商业/个人场景绝对禁止
• 后果极重:触发后全域瘫痪、不可逆、无法自动恢复、巨额损失、法律责任
本质:这是字节跳动的终极安全底线,是保护全球用户、数据、系统的最后手段,也是张一鸣对全球互联网的终极掌控权。