https://blog.20231106.xyz/tags/%E9%9F%A7%E6%80%A7%E5%B7%A5%E7%A8%8B/Recent content in 韧性工程 on POOROPSHugo -- gohugo.ioen-uspoorops@163.com (poorops)poorops@163.com (poorops)Thu, 02 Apr 2026 09:00:00 +0800https://blog.20231106.xyz/posts/2026-04-02/openai-outage-resilience-runbook/Thu, 02 Apr 2026 09:00:00 +0800poorops@163.com (poorops)https://blog.20231106.xyz/posts/2026-04-02/openai-outage-resilience-runbook/<p>凌晨 3:19，报警像针一样扎进耳朵：<strong>“全球可用率跌破 95%。”</strong> 我在黑暗里摸到手机，第一眼看到的不是日志，而是业务群的消息海啸：</p> <ul> <li>“怎么又挂了？”</li> <li>“付费用户打不开。”</li> <li>“今天是发布会前夜。”</li> </ul> <p>同一时间，AI 热点聚合页面里，“OpenAI/ChatGPT 宕机/不可用”被迅速顶上热榜。那一刻我意识到，最刺眼的不是“模型多强”，而是<strong>强到能引爆流量之后，系统能否扛得住</strong>。</p> <p>这篇文章按“效果展示 → 问题描述 → 步骤教学 → 升华总结”的结构，拆解一次“全球不可用”背后的韧性工程方法论。你不会看到宏大的理论，只会看到能落地的工程路线：<strong>让你的 AI 服务在热点爆发时依然稳定。</strong></p> <hr> <h2 id="效果展示一次宕机用户感知被放大到-10-倍">效果展示：一次宕机，用户感知被放大到 10 倍</h2> <p>宕机不是技术参数，它是用户体验的“体感放大器”。当服务不可用时，用户感知会以指数级增长：</p> <ol> <li><strong>功能没变，等待变长</strong></li> </ol> <p>大模型最怕排队：不是模型坏了，而是请求在队列里被“软性拖死”。<strong>从 2 秒到 20 秒，用户感知不是慢 10 倍，而是“已经不可用”。</strong></p> <ol start="2"> <li><strong>热点越大，容忍度越低</strong></li> </ol> <p>AI 话题冲上热榜的瞬间，用户期待值被拉满，一次“请稍后重试”会被解读成“系统不可靠”。这不是技术问题，而是信任问题。</p> <ol start="3"> <li><strong>全链路复杂，故障会层层放大</strong></li> </ol> <p>一次请求里可能包含检索、路由、工具调用、二次验证。**每个环节 99.9% 的可靠性叠加后，整体可靠性会被放大成更低的数字。**热点来临时，脆弱点会被逐一击穿。</p> <p>当宕机成为“热点”，它带来的不是一条新闻，而是三种真实后果：</p> <ul> <li><strong>付费用户流失</strong>（价值最高的用户最不耐烦）</li> <li><strong>口碑受损</strong>（社交平台放大负面情绪）</li> <li><strong>工程节奏被打断</strong>（研发被迫停工，复盘耗时）</li> </ul> <p>如果说模型能力决定产品的“上限”，那么韧性工程决定产品的“生死线”。</p> <hr> <h2 id="问题描述为什么-ai-服务天然脆弱">问题描述：为什么 AI 服务天然脆弱？</h2> <p>AI 服务不是传统 Web 服务，它的脆弱性来自“成本不确定 + 资源不可替代 + 链路高度复杂”的组合：</p> <h3 id="1-推理成本和输入长度强耦合">1) 推理成本和输入长度强耦合</h3> <p>同样一次调用，可能是 300 字，也可能是 30,000 字。**输入越长，推理越重，系统被拉扯得越剧烈。**容量规划一旦失真，热点出现时最先崩溃的就是“排队机制”。</p> <h3 id="2-gpu-是瓶颈也是单点">2) GPU 是瓶颈，也是单点</h3> <p>CPU 可以横向扩展，GPU 扩展却受制于供给与调度。<strong>当 GPU 队列开始堆积，延迟会被指数放大。</strong></p> <h3 id="3-多环节组合失败概率被放大">3) 多环节组合，失败概率被放大</h3> <p>请求链路越长，任何一个子系统抖动都会把整体体验拖垮。你以为“99.9%”是安全线，但在多模块叠加后，它会迅速掉到“用户可感知”的范围。</p><p>凌晨 3:19，报警像针一样扎进耳朵：<strong>“全球可用率跌破 95%。”</strong> 我在黑暗里摸到手机，第一眼看到的不是日志，而是业务群的消息海啸：</p> <ul> <li>“怎么又挂了？”</li> <li>“付费用户打不开。”</li> <li>“今天是发布会前夜。”</li> </ul> <p>同一时间，AI 热点聚合页面里，“OpenAI/ChatGPT 宕机/不可用”被迅速顶上热榜。那一刻我意识到，最刺眼的不是“模型多强”，而是<strong>强到能引爆流量之后，系统能否扛得住</strong>。</p> <p>这篇文章按“效果展示 → 问题描述 → 步骤教学 → 升华总结”的结构，拆解一次“全球不可用”背后的韧性工程方法论。你不会看到宏大的理论，只会看到能落地的工程路线：<strong>让你的 AI 服务在热点爆发时依然稳定。</strong></p> <hr> <h2 id="效果展示一次宕机用户感知被放大到-10-倍">效果展示：一次宕机，用户感知被放大到 10 倍</h2> <p>宕机不是技术参数，它是用户体验的“体感放大器”。当服务不可用时，用户感知会以指数级增长：</p> <ol> <li><strong>功能没变，等待变长</strong></li> </ol> <p>大模型最怕排队：不是模型坏了，而是请求在队列里被“软性拖死”。<strong>从 2 秒到 20 秒，用户感知不是慢 10 倍，而是“已经不可用”。</strong></p> <ol start="2"> <li><strong>热点越大，容忍度越低</strong></li> </ol> <p>AI 话题冲上热榜的瞬间，用户期待值被拉满，一次“请稍后重试”会被解读成“系统不可靠”。这不是技术问题，而是信任问题。</p> <ol start="3"> <li><strong>全链路复杂，故障会层层放大</strong></li> </ol> <p>一次请求里可能包含检索、路由、工具调用、二次验证。**每个环节 99.9% 的可靠性叠加后，整体可靠性会被放大成更低的数字。**热点来临时，脆弱点会被逐一击穿。</p> <p>当宕机成为“热点”，它带来的不是一条新闻，而是三种真实后果：</p> <ul> <li><strong>付费用户流失</strong>（价值最高的用户最不耐烦）</li> <li><strong>口碑受损</strong>（社交平台放大负面情绪）</li> <li><strong>工程节奏被打断</strong>（研发被迫停工，复盘耗时）</li> </ul> <p>如果说模型能力决定产品的“上限”，那么韧性工程决定产品的“生死线”。</p> <hr> <h2 id="问题描述为什么-ai-服务天然脆弱">问题描述：为什么 AI 服务天然脆弱？</h2> <p>AI 服务不是传统 Web 服务，它的脆弱性来自“成本不确定 + 资源不可替代 + 链路高度复杂”的组合：</p> <h3 id="1-推理成本和输入长度强耦合">1) 推理成本和输入长度强耦合</h3> <p>同样一次调用，可能是 300 字，也可能是 30,000 字。**输入越长，推理越重，系统被拉扯得越剧烈。**容量规划一旦失真，热点出现时最先崩溃的就是“排队机制”。</p> <h3 id="2-gpu-是瓶颈也是单点">2) GPU 是瓶颈，也是单点</h3> <p>CPU 可以横向扩展，GPU 扩展却受制于供给与调度。<strong>当 GPU 队列开始堆积，延迟会被指数放大。</strong></p> <h3 id="3-多环节组合失败概率被放大">3) 多环节组合，失败概率被放大</h3> <p>请求链路越长，任何一个子系统抖动都会把整体体验拖垮。你以为“99.9%”是安全线，但在多模块叠加后，它会迅速掉到“用户可感知”的范围。</p> <h3 id="4-热点传播速度远超扩容速度">4) 热点传播速度远超扩容速度</h3> <p>一条热搜可以让流量 10 分钟翻三倍，扩容却要几小时甚至几天。<strong>真正的挑战是：在扩容之前，系统能不能撑住。</strong></p> <p>总结一句：<strong>AI 服务的本质不是“部署模型”，而是“运营复杂系统”。</strong></p> <hr> <h2 id="步骤教学韧性工程的-6-步实战路线">步骤教学：韧性工程的 6 步实战路线</h2> <p>下面这 6 步不是“论文里的架构图”，而是能落地的工程路径。你不需要一次性做到 100 分，<strong>关键是从最关键的瓶颈切入。</strong></p> <h3 id="步骤-1建立流量画像把容量变成可计算的东西">步骤 1：建立“流量画像”，把容量变成可计算的东西</h3> <p>不要用“经验”做容量规划，要用真实数据：</p> <ul> <li>请求长度分布（P50、P90、P99）</li> <li>峰值 QPS 与持续时间</li> <li>热点突发时的增长斜率</li> </ul> <p><strong>目标是让容量边界可量化，而不是靠“拍脑袋”。</strong></p> <blockquote> <p>实操建议：做一次“全链路流量回放”，而不是单模型压测。热点来了，崩的是链路，不是模型。</p> </blockquote> <hr> <h3 id="步骤-2构建分层降级而不是开关式降级">步骤 2：构建“分层降级”，而不是“开关式降级”</h3> <p>宕机不是“全无或全有”的问题，必须设计分层降级：</p> <ul> <li> <p><strong>一级降级：功能降级</strong></p> <ul> <li>关闭高成本功能（如多模态、多轮工具调用）</li> <li>只保留核心文本推理</li> </ul> </li> <li> <p><strong>二级降级：模型降级</strong></p> <ul> <li>大模型切换到小模型</li> <li>提供“可用但不完美”的答案</li> </ul> </li> <li> <p><strong>三级降级：缓存与静态化</strong></p> <ul> <li>热点问题走缓存</li> <li>输出简版回答</li> </ul> </li> </ul> <p><strong>韧性不是“永不失败”，而是“失败时仍可用”。</strong></p> <hr> <h3 id="步骤-3把路由系统当作核心产品能力">步骤 3：把“路由系统”当作核心产品能力</h3> <p>AI 服务的核心不是模型，而是“调度模型的能力”。你需要一套智能路由：</p> <ul> <li>按请求特征路由（长输入走大模型，短输入走小模型）</li> <li>按用户价值路由（付费用户优先保证延迟）</li> <li>按系统负载路由（高峰期自动提高降级比例）</li> </ul> <p><strong>路由系统是 AI 服务的操作系统。</strong></p> <hr> <h3 id="步骤-4可观测性要贯穿链路而不是只盯-gpu">步骤 4：可观测性要“贯穿链路”，而不是只盯 GPU</h3> <p>传统监控只看 GPU/CPU 利用率，但 AI 服务需要“全链路视角”：</p> <ul> <li>模型层：token/s、P50/P99 延迟</li> <li>链路层：检索耗时、工具调用失败率</li> <li>业务层：会话完成率、用户流失率</li> </ul> <p><strong>看得见，是解决问题的前提。</strong></p> <hr> <h3 id="步骤-5准备快切机制让恢复速度可控">步骤 5：准备“快切机制”，让恢复速度可控</h3> <p>故障不可避免，但恢复速度可控：</p> <ul> <li>预置可一键回滚的配置</li> <li>建立灾备实例（不求满配，求可用）</li> <li>定期演练“高峰期宕机”场景</li> </ul> <p><strong>恢复速度决定用户是否把你当作“可靠”。</strong></p> <hr> <h3 id="步骤-6把韧性写进组织节奏">步骤 6：把韧性写进组织节奏</h3> <p>高可用不是运维 KPI，而是组织习惯：</p> <ul> <li>发布前必须评估可用性影响</li> <li>每次事故必须输出“可执行改进项”</li> <li>产品、研发、运营对 SLO 有共同认知</li> </ul> <p>当韧性成为团队默认动作，宕机就不再是“命运”，而只是“事件”。</p> <hr> <h2 id="升华总结ai-热点的真正价值是逼迫系统成熟">升华总结：AI 热点的真正价值，是逼迫系统成熟</h2> <p>一次宕机看似是失败，其实是一次系统成熟的“强制体检”。热点会让问题暴露得更快、更狠，但它也会让团队成长得更快：</p> <ul> <li>模型能力决定了产品上限</li> <li><strong>韧性工程决定了产品下限</strong></li> </ul> <p>当你能在“最热的一天”依然稳定运行，你就拥有了真正的护城河。<strong>真正的竞争不是谁的模型更大，而是谁的系统更稳。</strong></p> <p>如果说 AI 的第一阶段是“模型竞赛”，那么下一阶段就是“可靠性竞赛”。</p> <p>在下一次热点来临前，把这 6 步做完哪怕一半，你的系统就已经比多数竞争者更接近“长期可用”。</p> <hr> <h2 id="参考链接">参考链接</h2> <ul> <li>AI热点｜知否Box AI导航（热点列表）：<a href="https://www.zhifoubox.com/hotspot">https://www.zhifoubox.com/hotspot</a></li> <li>每日AI资讯、热点、动态、融资、产品发布｜AI工具集：<a href="https://ai-bot.cn/daily-ai-news/">https://ai-bot.cn/daily-ai-news/</a></li> <li>站点：Poorops：<a href="https://www.poorops.com/">https://www.poorops.com/</a></li> </ul>