Как вы проводите chaos engineering для RAG системы?

Q: 1. Термин: Chaos Engineering

**[[Вики/fault injection\|Chaos Engineering]]** — дисциплина экспериментирования над распределённой системой, чтобы выявить её поведение в условиях сбоев. Основные принципы: - Определить «State|steady state» (нормальное поведение системы) — набор метрик, которые считаются эталонными (например, latency p99 99%).

Q: 2. Зачем chaos engineering для RAG?

Без [[Вики/chaos engineering\|chaos engineering]] вы узнаёте о проблемах только в продакшене, когда пользователи жалуются. [[Вики/chaos engineering\|Chaos engineering]] позволяет: - Проверить **[[Вики/fallback model\|graceful degradation]]** — что система делает, когда компонент недоступен (возвращает ли осмысленную ошибку, использует ли [[Вики/caching\|кэш]], переключается ли на резервный сервис).

Q: 3. Компоненты RAG, подверженные сбоям

| Компонент | Типичный сбой | Последствия | |-----------|---------------|-------------| | [[Вики/векторная БД\|Vector DB]] (Pinecone, Qdrant, Milvus) | Полная недоступность, задержки, ошибки индексации | Retrieval не работает → LLM не получает контекст → ответы без фактов или ошибка |

Q: 4. Подготовка к chaos engineering

Q: 5.1 Отключение Vector DB

- Действие: заблокировать весь трафик к векторной БД (через firewall или остановку сервиса). - Ожидаемое поведение: система должна переключиться на [[Вики/fallback model\|fallback]] — например, [[Вики/ключевой поиск\|BM25]] ([[Вики/ключевой поиск\|keyword search]]) или кэшированные результаты. Если [[Вики/fallback model\|fallback]] нет, должен вернуться ответ с сообщением «[[Вики/retrieval\|Поиск]] временно недоступен».

Q: 5.2 Отключение Embedding API

- Действие: симулировать [[Вики/timeout\|таймаут]] или [[Вики/503 Service Unavailable\|HTTP 503]] от embedding сервиса. - Ожидаемое поведение: система должна использовать кэшированные эмбеддинги (если запрос повторный) или переключиться на другой embedding-провайдер. Если ничего нет — вернуть ошибку.

Q: 5.3 Отключение LLM API

- Действие: заблокировать вызовы к LLM API. - Ожидаемое поведение: если есть fallback LLM (например, локальная модель меньшего размера), система должна переключиться на неё. Если нет — вернуть ответ на основе только retrieval (без генерации) или сообщение об ошибке. - Что проверяем: graceful degradation — пользователь не должен видеть stack trace.

Q: 5.4 Отключение Redis (кэш)

- Действие: остановить Redis. - Ожидаемое поведение: система должна продолжать работу без кэша (с повышенной latency). Важно, чтобы не было ошибок из-за недоступности кэша (например, исключения при попытке записать в Redis). - Что проверяем: устойчивость к потере кэша, отсутствие утечек соединений.

Краткий тезис

Chaos engineering для RAG — это практика намеренного внесения сбоев в ключевые компоненты системы (векторная БД, API эмбеддингов, LLM, кэш Redis) для проверки устойчивости, graceful degradation (плавной деградации) и корректной работы fallback-механизмов. Цель — выявить слабые места до того, как они проявятся в продакшене, и гарантировать, что система остаётся работоспособной (пусть и с ограниченной функциональностью) при отказе отдельных частей.

1. Термин: Chaos Engineering

Chaos Engineering — дисциплина экспериментирования над распределённой системой, чтобы выявить её поведение в условиях сбоев. Основные принципы:

Определить «State|steady state» (нормальное поведение системы) — набор метрик, которые считаются эталонными (например, latency p99 < 2 с, success rate > 99%).
Сформулировать гипотезу — предположение, что система останется в steady state при определённом сбое.
Внести хаос — реальный или симулированный сбой (отключение сервиса, задержка сети, перегрузка CPU).
Измерить отклонение от steady state.
Улучшить систему на основе результатов.

Для RAG chaos engineering особенно важен, потому что система состоит из множества внешних зависимостей (векторная БД, LLM API, embedding API, кэш), каждая из которых может отказать в любой момент.

2. Зачем chaos engineering для RAG?

RAG-система — это распределённая система с каскадными зависимостями. Если упадёт векторная БД, retrieval не сработает, и LLM не получит контекст. Если упадёт LLM API, ответ не будет сгенерирован. Если упадёт embedding API, не получится даже обработать запрос.

Без chaos engineering вы узнаёте о проблемах только в продакшене, когда пользователи жалуются. Chaos engineering позволяет:

Проверить graceful degradation — что система делает, когда компонент недоступен (возвращает ли осмысленную ошибку, использует ли кэш, переключается ли на резервный сервис).
Проверить retry-логику — не перегружает ли повторные попытки систему, не превышают ли они таймауты.
Проверить fallback-механизмы — например, если векторная БД недоступна, может ли система использовать BM25 или просто вернуть ответ без контекста.
Обнаружить скрытые зависимости — например, что Redis используется не только для кэша, но и для блокировок, и его падение вызывает deadlock.

3. Компоненты RAG, подверженные сбоям

Компонент	Типичный сбой	Последствия
Vector DB (Pinecone, Qdrant, Milvus)	Полная недоступность, задержки, ошибки индексации	Retrieval не работает → LLM не получает контекст → ответы без фактов или ошибка
Embedding API (OpenAI, Cohere, local)	Таймауты, rate limits, отказ	Невозможно преобразовать запрос в вектор → retrieval не запускается
LLM API (OpenAI, Anthropic, local)	Отказ, перегрузка, долгий ответ	Генерация не происходит → пользователь получает ошибку или пустой ответ
Redis / кэш	Потеря данных, недоступность	Кэш не работает → увеличивается latency и нагрузка на внешние API
Network между компонентами	Задержки, потеря пакетов	Таймауты, увеличение latency, каскадные сбои
Rate Limiter (если свой)	Сбой или неверная конфигурация	Блокировка легитимных запросов или пропуск чрезмерной нагрузки

4. Подготовка к chaos engineering

Перед экспериментами необходимо:

Настроить мониторинг — собрать метрики: latency (p50, p95, p99), success rate, количество retries, ошибки по компонентам, использование кэша.
Определить steady state — например, «95% запросов завершаются за < 3 с, success rate > 99%».
Сформулировать гипотезы — например: «При отказе векторной БД система переключается на BM25 и возвращает ответ с предупреждением, success rate падает не более чем на 5%».
Подготовить окружение — лучше использовать staging или выделенный кластер, но можно и production при условии изоляции экспериментов (например, только для части трафика).
Создать дашборд для отслеживания эксперимента в реальном времени.

5. Сценарии chaos engineering для RAG

5.1 Отключение Vector DB

Действие: заблокировать весь трафик к векторной БД (через firewall или остановку сервиса).
Ожидаемое поведение: система должна переключиться на fallback — например, BM25 (keyword search) или кэшированные результаты. Если fallback нет, должен вернуться ответ с сообщением «Поиск временно недоступен».
Что проверяем: корректность fallback, время переключения, не падает ли success rate ниже порога.

5.2 Отключение Embedding API

Действие: симулировать таймаут или HTTP 503 от embedding сервиса.
Ожидаемое поведение: система должна использовать кэшированные эмбеддинги (если запрос повторный) или переключиться на другой embedding-провайдер. Если ничего нет — вернуть ошибку.
Что проверяем: retry-логику (не бесконечные ли повторы), кэширование.

5.3 Отключение LLM API

Действие: заблокировать вызовы к LLM API.
Ожидаемое поведение: если есть fallback LLM (например, локальная модель меньшего размера), система должна переключиться на неё. Если нет — вернуть ответ на основе только retrieval (без генерации) или сообщение об ошибке.
Что проверяем: graceful degradation — пользователь не должен видеть stack trace.

5.4 Отключение Redis (кэш)

Действие: остановить Redis.
Ожидаемое поведение: система должна продолжать работу без кэша (с повышенной latency). Важно, чтобы не было ошибок из-за недоступности кэша (например, исключения при попытке записать в Redis).
Что проверяем: устойчивость к потере кэша, отсутствие утечек соединений.

5.5 Сетевые задержки (latency injection)

Действие: добавить задержку 500 мс на запросы к Vector DB.
Ожидаемое поведение: таймауты должны быть настроены адекватно (например, 2 с). Если задержка превышает таймаут, система должна выполнить retry или fallback.
Что проверяем: таймауты, retry-политику (backoff, jitter).

5.6 Rate limit на LLM API

Действие: симулировать ответ 429 Too Many Requests.
Ожидаемое поведение: система должна использовать backoff (экспоненциальную задержку) и, возможно, переключиться на другой LLM или вернуть ответ из кэша.
Что проверяем: корректность обработки rate limit, не блокируются ли все запросы.

6. Graceful degradation: что должно происходить при сбоях

Graceful degradation — способность системы сохранять частичную функциональность при отказе компонентов. Для RAG это означает:

Retries — повторные попытки с экспоненциальным backoff и jitter (чтобы не создавать «thundering herd»).
Fallbacks — альтернативные пути:
- Vector DB → BM25 (Elasticsearch) или кэш.
- Embedding API → локальная модель (e.g., sentence-transformers) или кэш.
- LLM API → локальная модель (e.g., Llama 3 8B) или возврат только контекста.
Кэширование — хранить результаты retrieval и генерации, чтобы при сбое отдать закэшированный ответ (если запрос повторный).
Сообщения об ошибке — пользователь должен видеть понятное сообщение, а не stack trace. Например: «Поиск временно недоступен, попробуйте позже».
Circuit breaker — если компонент постоянно выдаёт ошибки, прекратить попытки на некоторое время (чтобы не перегружать его).

7. Инструменты для chaos engineering

Инструмент	Описание	Применимость к RAG
Chaos Monkey (Netflix)	Случайное завершение экземпляров в облаке	Можно завершать поды с Vector DB или LLM
Gremlin	Платформа для chaos engineering с готовыми атаками (CPU, network, shutdown)	Удобно для симуляции задержек и отказов
Litmus (CNCF)	Chaos engineering для Kubernetes	Если RAG развёрнут в K8s, можно атаковать поды
Toxiproxy	Прокси для симуляции сетевых проблем (задержки, разрывы)	Хорошо для тестирования таймаутов и retries
Custom scripts	На Python с использованием `subprocess`, `iptables`, `curl`	Для специфичных сценариев (например, отключение конкретного API)

Для RAG часто достаточно комбинации Toxiproxy (для сетевых сбоев) и kubectl (для остановки подов).

8. Пример сценария: отключение векторной БД

Шаги:

Подготовка: развернуть RAG-систему в staging, настроить мониторинг (latency, success rate, количество fallback-вызовов). Определить steady state: success rate > 99%, p95 latency < 2 с.
Гипотеза: при отказе Vector DB система переключится на BM25, success rate упадёт не более чем на 5%, p95 latency увеличится не более чем на 1 с.
Внесение хаоса: с помощью kubectl scale deployment vector-db --replicas=0 (или iptables -A OUTPUT -p tcp --dport 6333 -j DROP для Qdrant).
Наблюдение: в течение 5 минут собираем метрики. Смотрим, как система реагирует:
- Есть ли ошибки в логах?
- Сработал ли fallback на BM25?
- Сколько запросов ушло на BM25?
- Какое время ответа?
Завершение: восстанавливаем Vector DB, анализируем данные.
Улучшение: если fallback не сработал или success rate упал сильно, добавляем retry-логику, улучшаем таймауты, проверяем circuit breaker.

Пример кода для симуляции через Toxiproxy:

import toxiproxy

# Создаём прокси для Vector DB
proxy = toxiproxy.ToxicProxy("localhost:8474")
vector_db_proxy = proxy.create_proxy("vector_db", "localhost:6333", "0.0.0.0:16333")

# Добавляем задержку 500ms
vector_db_proxy.add_toxic("latency", "latency", attributes={"latency": 500})

# Или полностью отключаем
vector_db_proxy.disable()

9. Анализ результатов и улучшение системы

После каждого эксперимента:

Сравните метрики с steady state.
Задокументируйте отклонения.
Определите, какие компоненты нуждаются в улучшении (например, добавить fallback, настроить таймауты, внедрить circuit breaker).
Повторите эксперимент после внесения изменений, чтобы подтвердить улучшение.

Важно: chaos engineering — это итеративный процесс. Не пытайтесь сразу покрыть все сценарии. Начните с одного компонента (например, Vector DB), добейтесь стабильности, затем переходите к следующему.

10. Лучшие практики

Начинайте с малого: сначала отключайте один компонент, затем комбинируйте.
Изолируйте эксперименты: используйте отдельный кластер или маркируйте трафик (например, через feature flag).
Автоматизируйте: пишите скрипты для запуска и отката экспериментов.
Имейте план отката: всегда знайте, как быстро восстановить систему.
Не делайте chaos engineering в production без предупреждения — сначала в staging, затем с постепенным расширением.
Документируйте гипотезы и результаты — это поможет команде учиться.

Пет-проект для закрепления

Задача: Создайте мини-RAG систему на Python (используйте FAISS как Vector DB, OpenAI Embeddings и LLM, Redis для кэша) и проведите chaos engineering с помощью Toxiproxy.

Инструменты:

Python (FastAPI для API)
FAISS (векторная БД)
OpenAI API (эмбеддинги и LLM)
Redis (кэш)
Toxiproxy (симуляция сбоев)
Prometheus + Grafana (мониторинг) — опционально

Шаги:

Реализуйте RAG-пайплайн: запрос → эмбеддинг → поиск в FAISS → формирование контекста → генерация ответа.
Добавьте fallback: если FAISS недоступен, используйте BM25 (через rank_bm25). Если OpenAI недоступен, используйте локальную модель (например, transformers pipeline).
Настройте retry с экспоненциальным backoff для всех внешних вызовов.
Разверните Toxiproxy и настройте прокси для FAISS (порт 1234) и OpenAI (порт 1235).
Напишите скрипт, который:
- Отключает FAISS (через Toxiproxy).
- Отправляет 100 запросов к RAG.
- Собирает метрики: success rate, latency, количество fallback-вызовов.
Повторите для отключения OpenAI и Redis.

Ожидаемый результат:

Вы увидите, что при отказе FAISS система переключается на BM25, success rate остаётся > 90%.
При отказе OpenAI система возвращает ответ только с контекстом (без генерации) или использует локальную модель.
Вы научитесь настраивать таймауты и retry-логику.

Связь с другими вопросами

Вопрос	Тема
1	Проектирование RAG-системы для 10 000 документов
5	Оценка качества retrieval
7	Уменьшение latency RAG-системы
8	Обработка запросов без ответа в документах
10	Self-RAG и когда его использовать
383	A/B тестирование RAG