Как вы проектируете canary deployment для LLM модели?

Q: Краткий тезис

**[[Вики/canary deployment\|Canary]] [[Вики/canary deployment\|deployment]]** для [[Вики/LLM\|LLM]] — это [[Вики/Policy\|стратегия]] постепенного выкатывания новой версии модели на малую долю трафика (например, 1–5%) с последующим мониторингом ключевых метрик ([[Вики/TTFT\|latency]], [[Вики/ошибки\|error rate]], качество ответов) и автоматическим откатом при нарушении порогов. Такой подход снижает риски регрессий, характерных для недетерминированных [[Вики/LLM\|LLM]], и позволяет безопасно внедр

Q: 1. Термин: Canary deployment

**[[Вики/canary deployment\|Canary]] [[Вики/canary deployment\|deployment]]** — это техника развёртывания, при которой [[Вики/candidate\|новая версия]] приложения (модели) сначала получает небольшую часть реального трафика, а затем, при подтверждении стабильности, [[Вики/stake\|доля]] постепенно увеличивается до 100%. Название происходит от «канарейки в угольной шахте» — раннего индикатора опасности.

Q: 2. Зачем нужен canary deployment для LLM

LLM-модели имеют специфические риски: - [[Вики/недетерминированность\|Недетерминированность]]: при одинаковом [[Вики/промпт агента\|prompt]] [[Вики/model\|модель]] может выдавать разные ответы (из-за [[Вики/Temperature\|temperature]], [[Вики/Top-p (nucleus) sampling\|top-p]], [[Вики/seed\|seed]]). Офлайн-тесты не гарантируют поведение в продакшене.

Q: 3.1 Выбор метрик и SLO

Метрики делятся на три группы: | Категория | Примеры метрик | Порог (SLO) | |-----------|----------------|-------------| | [[Вики/performance\|Производительность]] | p50/p99 latency, throughput (tokens/sec), error rate (HTTP 5xx, timeout) | p99 latency < 2x от baseline, error rate < 0.1% |

Q: 3.2 Планирование трафика и ramp-up

Типичный [[Вики/Scenario\|сценарий]]: 1. Начальная [[Вики/stake\|доля]]: 1–5% трафика (обычно на основе IP-хеша или случайного сэмплирования). 2. Время наблюдения: 30–60 минут (для [[Вики/GPT-4o\|LLM]] — не менее 1 часа, чтобы собрать достаточно запросов для статистической значимости).

Q: 3.3 Инфраструктура для роутинга

Для [[Вики/canary deployment\|canary]] требуется [[Вики/Load balancer\|балансировщик]] с поддержкой взвешенного распределения трафика ([[Вики/Weighted routing\|weighted routing]]). Варианты: - [[Вики/Kubernetes\|Kubernetes]] + [[Вики/service mesh\|Service Mesh]] ([[Вики/Istio\|Istio]], Linkerd): настройка [[Вики/VirtualService\|VirtualService]] с весами.

Q: 3.4 Мониторинг и алертинг

Необходимо агрегировать метрики в реальном времени. Инструменты: - [[Вики/Prometheus client\|Prometheus]] + [[Вики/Prometheus + Grafana\|Grafana]] для сбора [[Вики/Latency\|latency]], [[Вики/Error rate\|error rate]], [[Вики/throughput\|throughput]]. - [[Вики/Evidently AI\|Evidently AI]] или [[Вики/WhyLabs\|WhyLabs]] для мониторинга дрейфа данных и качества ответов.

Q: 3.5 Процесс принятия решения

После каждого шага [[Вики/canary deployment\|ramp-up]] [[Вики/crew\|команда]] (или автоматика) проверяет: - Все метрики в пределах [[Вики/SLA\|SLO]]. - Отсутствие критических ошибок (например, увеличение числа жалоб). - [[Вики/статистическая значимость\|Статистическая значимость]] различий (если проводится [[Вики/AB test\|A/B-тест]]).

Краткий тезис

Canary deployment для LLM — это стратегия постепенного выкатывания новой версии модели на малую долю трафика (например, 1–5%) с последующим мониторингом ключевых метрик (latency, error rate, качество ответов) и автоматическим откатом при нарушении порогов. Такой подход снижает риски регрессий, характерных для недетерминированных LLM, и позволяет безопасно внедрять улучшения без простоев. Проектирование включает выбор метрик, настройку балансировщика, определение SLO и реализацию механизма ramp-up/rollback.

1. Термин: Canary deployment

Canary deployment — это техника развёртывания, при которой новая версия приложения (модели) сначала получает небольшую часть реального трафика, а затем, при подтверждении стабильности, доля постепенно увеличивается до 100%. Название происходит от «канарейки в угольной шахте» — раннего индикатора опасности.

Отличие от других стратегий:

Стратегия	Описание	Плюсы	Минусы
Blue-Green	Два идентичных окружения (blue — текущее, green — новое). Трафик переключается мгновенно.	Быстрый откат, изоляция	Двойные ресурсы, нет постепенного набора статистики
Rolling	Постепенная замена подов/инстансов один за другим.	Экономия ресурсов	Сложный откат, нет точного контроля доли трафика
Canary	Выделенный процент трафика на новую версию.	Гибкий контроль, сбор метрик на реальных данных, плавный ramp-up	Требует балансировщика с поддержкой взвешенного роутинга, дольше время выкатки

Для LLM canary особенно важен из-за недетерминированности ответов: даже при одинаковых входных данных новая модель может давать иные результаты, и их качество нужно оценить на реальных запросах.

2. Зачем нужен canary deployment для LLM

LLM-модели имеют специфические риски:

Недетерминированность: при одинаковом prompt модель может выдавать разные ответы (из-за temperature, top-p, seed). Офлайн-тесты не гарантируют поведение в продакшене.
Сложность оценки качества: метрики вроде BLEU/ROUGE не всегда коррелируют с пользовательской удовлетворённостью. Нужны онлайн-метрики (faithfulness, answer relevance, toxicity).
Высокая стоимость ошибки: токсичный или неверный ответ может навредить репутации, а latency spike — привести к таймаутам.
Дрейф данных: распределение пользовательских запросов меняется, и новая модель может хуже обрабатывать новые паттерны.

Canary deployment позволяет:

Собрать статистику на реальном трафике до полного развёртывания.
Автоматически откатиться при превышении порогов ошибок или ухудшении качества.
Провести A/B-сравнение двух версий модели на одной когорте пользователей.

3. Этапы проектирования canary deployment для LLM

3.1 Выбор метрик и SLO

Метрики делятся на три группы:

Категория	Примеры метрик	Порог (SLO)
Производительность	p50/p99 latency, throughput (tokens/sec), error rate (HTTP 5xx, timeout)	p99 latency < 2x от baseline, error rate < 0.1%
Качество ответов	Faithfulness (LLM-as-judge), answer relevance, toxicity score, BLEU/ROUGE (если есть эталон)	Faithfulness > 0.9, toxicity < 0.01
Бизнес-метрики	User retention, CTR, NPS (если доступны)	Не хуже baseline с p-value < 0.05

Для каждой метрики определяется SLO (Service Level Objective) — целевой уровень, при превышении которого срабатывает автоматический откат.

3.2 Планирование трафика и ramp-up

Типичный сценарий:

Начальная доля: 1–5% трафика (обычно на основе IP-хеша или случайного сэмплирования).
Время наблюдения: 30–60 минут (для LLM — не менее 1 часа, чтобы собрать достаточно запросов для статистической значимости).
Шаги увеличения: 10% → 25% → 50% → 100% (каждый шаг — после успешного прохождения SLO).
Условия перехода: все метрики в пределах SLO, нет алертов, ручное подтверждение (опционально).

Пример конфигурации в YAML (для Argo Rollouts):

apiVersion: argoproj.io/v1alpha1
kind: Rollout
metadata:
  name: llm-canary
spec:
  replicas: 10
  strategy:
    canary:
      steps:
        - setWeight: 5
          pause: {duration: 1h}
        - setWeight: 25
          pause: {duration: 30m}
        - setWeight: 50
          pause: {duration: 30m}
        - setWeight: 100
  template:
    metadata:
      labels:
        app: llm-server
    spec:
      containers:
        - name: model
          image: myregistry/llm:v2
          ports:
            - containerPort: 8080

3.3 Инфраструктура для роутинга

Для canary требуется балансировщик с поддержкой взвешенного распределения трафика (weighted routing). Варианты:

Kubernetes + Service Mesh (Istio, Linkerd): настройка VirtualService с весами.
API Gateway (Kong, NGINX, Envoy): поддержка canary через upstream веса.
Feature Flags (LaunchDarkly, Flagsmith): можно динамически менять долю трафика на уровне приложения.

Пример VirtualService в Istio:

apiVersion: networking.istio.io/v1beta1
kind: VirtualService
metadata:
  name: llm-vs
spec:
  hosts:
    - llm-service
  http:
    - route:
        - destination:
            host: llm-service
            subset: stable
          weight: 95
        - destination:
            host: llm-service
            subset: canary
          weight: 5

3.4 Мониторинг и алертинг

Необходимо агрегировать метрики в реальном времени. Инструменты:

Prometheus + Grafana для сбора latency, error rate, throughput.
Evidently AI или WhyLabs для мониторинга дрейфа данных и качества ответов.
LLM-as-judge: отдельная модель (например, GPT-4) оценивает faithfulness и relevance ответов canary-версии.

Алерты настраиваются на основе SLO. При нарушении порога в течение заданного окна (например, 5 минут) запускается автоматический откат: вес canary сбрасывается до 0, трафик полностью направляется на stable.

3.5 Процесс принятия решения

После каждого шага ramp-up команда (или автоматика) проверяет:

Все метрики в пределах SLO.
Отсутствие критических ошибок (например, увеличение числа жалоб).
Статистическая значимость различий (если проводится A/B-тест).

Если хотя бы одна метрика выходит за порог — rollback (canary отключается, стабильная версия продолжает обслуживать 100% трафика). Если всё хорошо — вес canary увеличивается до следующего шага.

4. Особенности canary для LLM

4.1 Оценка качества ответов

Традиционные метрики (latency, error rate) недостаточны. Для LLM нужно оценивать содержательное качество. Подходы:

LLM-as-judge: отправляем пару (prompt, ответ canary) и (prompt, ответ stable) в сильную модель (GPT-4, Claude) с инструкцией оценить, какой ответ лучше. Агрегируем метрику win rate.
Human evaluation: краудсорсинг или внутренняя команда оценивает выборку ответов (дорого, но надёжно).
Автоматические метрики: BLEU, ROUGE, METEOR (если есть эталонные ответы), но они плохо коррелируют с человеческой оценкой для генеративных задач.

4.2 Безопасность и дрейф

Canary должен мониторить токсичность (используя классификаторы типа Detoxify) и jailbreak-атаки. Если новая модель начинает генерировать больше небезопасного контента — немедленный откат.

Также отслеживается дрейф входных данных (distribution shift). Если запросы к canary отличаются от стабильной версии (например, из-за сегментации пользователей), метрики могут быть несравнимы. Лучше использовать случайное сэмплирование, а не сегментное.

4.3 Холодный старт

Новая модель может требовать прогрева кэша (например, KV-cache для transformer). Первые минуты после развёртывания latency может быть выше. Рекомендуется:

Прогреть модель синтетическими запросами перед включением в canary.
Исключить первые 5–10 минут из мониторинга (grace period).

5. Пример реализации на Python (псевдокод)

import time
import requests
from prometheus_client import Counter, Histogram, Gauge

# Метрики
latency_hist = Histogram('llm_canary_latency_seconds', 'Latency', ['version'])
error_counter = Counter('llm_canary_errors_total', 'Errors', ['version'])
quality_gauge = Gauge('llm_canary_faithfulness', 'Faithfulness score', ['version'])

def canary_router(request, stable_url, canary_url, canary_weight=0.05):
    import random
    if random.random() < canary_weight:
        version = 'canary'
        url = canary_url
    else:
        version = 'stable'
        url = stable_url
    start = time.time()
    try:
        resp = requests.post(url, json=request, timeout=10)
        latency = time.time() - start
        latency_hist.labels(version=version).observe(latency)
        if resp.status_code != 200:
            error_counter.labels(version=version).inc()
        # Оценка качества (асинхронно)
        if version == 'canary':
            faithfulness = llm_judge(request, resp.json())
            quality_gauge.labels(version='canary').set(faithfulness)
        return resp.json()
    except Exception as e:
        error_counter.labels(version=version).inc()
        raise

6. Проблемы и подводные камни

Статистическая значимость: при малой доле трафика (1%) может потребоваться много времени, чтобы набрать достаточную выборку для сравнения метрик качества. Решение: увеличить начальную долю до 5–10% или использовать байесовские методы (например, Thompson sampling).
Сегментация пользователей: если canary получает только запросы из определённого региона или типа, метрики могут быть смещены. Лучше использовать случайное сэмплирование.
Влияние на пользовательский опыт: даже 5% пользователей могут получить ухудшенный ответ. Нужно минимизировать риск, выбирая консервативные пороги.
Сложность отката: если новая модель изменила формат ответа (например, добавила JSON-обёртку), может потребоваться не только откат трафика, но и исправление клиентов.

7. Инструменты для canary deployment LLM

Инструмент	Назначение	Плюсы
Kubernetes + Istio	Балансировка, weighted routing	Гибкость, облачная нейтральность
Argo Rollouts	Canary-стратегия с шагами и автоматическим откатом	Интеграция с K8s, поддержка метрик Prometheus
Seldon Core / MLflow	Платформы для ML-моделей	Встроенный canary, A/B-тесты
LangSmith / Weights & Biases	Мониторинг LLM, оценка качества	Специализированные метрики для LLM
Evidently AI	Мониторинг дрейфа данных и качества	Open source, интеграция с LLM

8. Сравнение canary с другими стратегиями для LLM

Критерий	Canary	Blue-Green	Rolling
Время выкатки	Часы (из-за шагов)	Минуты	Минуты
Риск для пользователей	Низкий (постепенный)	Средний (мгновенное переключение)	Низкий (поштучная замена)
Возможность A/B-теста	Да (на одной когорте)	Нет (все сразу)	Нет
Сложность инфраструктуры	Средняя (балансировщик с весами)	Высокая (два полных окружения)	Низкая
Автоматический откат	Да (по метрикам)	Да (переключение обратно)	Сложно (нужно перезапускать поды)

Для LLM canary — наиболее безопасный и информативный вариант, особенно если качество ответов критично.

Пет-проект для закрепления

Задача: Развернуть две версии LLM (например, gpt2 и distilgpt2) на локальном Kubernetes (minikube) с canary деплоем, настроить мониторинг и автоматический откат.

Инструменты:

Minikube (или Kind)
Istio (или NGINX Ingress с canary-аннотациями)
Argo Rollouts
Prometheus + Grafana
Python-скрипт для генерации запросов и сбора метрик

Шаги:

Установить minikube, включить ingress и metrics-server.
Написать Dockerfile для двух версий модели (например, на базе Hugging Face transformers с FastAPI).
Создать Kubernetes Deployment и Service для stable (v1) и canary (v2).
Настроить Istio VirtualService с весами 95/5.
Установить Argo Rollouts и создать Rollout-ресурс с шагами: 5% (1h), 25% (30m), 50% (30m), 100%.
Настроить Prometheus для сбора метрик (latency, error rate) и Grafana для дашборда.
Написать скрипт, который отправляет запросы к сервису и имитирует нагрузку.
Добавить метрику качества: использовать gpt2 как judge для оценки faithfulness ответов canary.
Настроить алерт в Prometheus: если error rate > 0.1% за 5 минут — откат.
Проверить: запустить canary, затем искусственно ухудшить v2 (например, добавить задержку) и убедиться, что rollback сработал.

Ожидаемый результат: Работающий canary-пайплайн, где новая модель постепенно вводится в эксплуатацию, а при проблемах автоматически откатывается. Вы научитесь проектировать безопасный деплой для LLM в продакшене.

Связь с другими вопросами

Вопрос	Тема
380	Как вы мониторите LLM в продакшене?
381	Как вы проводите A/B тестирование LLM?
383	Как вы управляете версиями моделей?
384	Как вы обеспечиваете безопасность LLM?
385	Как вы обрабатываете дрейф данных?
386	Как вы автоматизируете пайплайн обучения?