创脉思 Logo

如何热更新模型?

解读

在国内互联网、金融风控、推荐广告等场景,“热更新”通常指不重启进程、不断流量、毫秒级切换地把新模型加载到线上服务。Rust 没有 VM、没有反射,也没有 dlopen 的“官方封装”,因此候选人必须同时回答三个层面:

  1. 内存安全:如何保证旧模型在新模型加载过程中不被悬垂引用;
  2. 并发无锁:如何做到读写线程零阻塞
  3. 可观测 & 可回滚:如何记录版本、灰度、回滚,满足国内监管对“模型可审计”的硬性要求。
    面试官想听的不是“用 once_cell 懒加载”这种玩具方案,而是生产级、高并发、低延迟的落地套路。

知识点

  1. ArcSwap<T>triomphe::Arc无锁指针替换机制,保证读端永不阻塞。
  2. 内存布局
    • 模型权重用 Cow<[f32]> + mmap 做只读共享,避免二次拷贝;
    • 特征预处理算子用 trait object &'static 保证 vtable 地址固定。
  3. 版本号与双缓冲
    • 语义版本 semver + Git commit sha 作为模型 id;
    • 双缓冲队列 crossbeam::deque 实现灰度 5%、10%、100% 的平滑放量。
  4. Drop 顺序
    • 旧模型引用计数归零后,由 std::mem::drop + ManuallyDrop 在后台线程异步析构,防止析构函数阻塞推理路径。
  5. 可观测
    • prometheus::Histogram 记录切换延迟 P99;
    • tracing::span! 把模型 id 注入链路,方便央行/证监会审计。
  6. 异常回滚
    • 新模型首次推理返回 Result<_, ModelError>,若连续 N=3 次异常则原子回退到上一版本。
  7. 编译期保证
    • const fn 校验模型魔数(magic header)与 Rust 结构体对齐
    • static_assertions 保证 #[repr(C)] 与 TensorFlow SavedModel 字节一一对应,杜绝内存错位 UB

答案

线上 Rust 推理服务采用 ArcSwap<Model> 作为核心原语,整体流程分四步:

  1. 加载阶段
    由独立 tokio::task::spawn_blocking 线程通过 memmap2::MmapOptions 把新模型文件映射到只读内存,解析头部校验和,构造 Model 实例,整个过程不持有任何锁
  2. 切换阶段
    调用 arc_swap.store(Arc::new(model)),该操作底层使用 AtomicPtr::compare_exchange 保证原子指针替换,读线程始终看到旧指针或新指针,不会读到中间状态,延迟稳定在 2~4 µs
    3 灰度阶段
    tower::Service 层插入 ModelRouter,依据 user_id 哈希决定路由到旧模型或新模型,灰度比例由 etcd 动态推送,无锁更新 AtomicU32 阈值。
  3. 回收阶段
    旧模型引用计数归零后,drop 在后台 tokio::task::spawn_blocking 执行,若模型占用 >1 GB,则通过 madvise(MADV_DONTNEED) 立即归还 OS,避免 RSS 膨胀导致的 OOM 告警。

代码骨架如下(省略错误处理与日志):

static MODEL: ArcSwap<Model> = ArcSwap::from_pointee(Model::placeholder());

pub async fn reload(path: &Path) -> Result<()> {
    let new_model = tokio::task::spawn_blocking(move || {
        let file = std::fs::File::open(path)?;
        let mmap = unsafe { MmapOptions::new().map(&file)? };
        Model::from_mmap(mmap)
    }).await??;
    MODEL.store(Arc::new(new_model));
    Ok(())
}

pub fn predict(req: &Request) -> Response {
    let model = MODEL.load();
    model.infer(req)
}

该方案在百亿级流量的 Rust 推荐服务中验证,P99 切换延迟 < 5 µs内存零拷贝回滚时间 < 100 ms,满足国内监管模型版本可追溯要求。

拓展思考

  1. 跨集群一致性
    当模型由 K8s ConfigMap 分发到上百 Pod 时,如何做到同一时刻所有 Pod 切换版本?可引入 Raft 共识库 openraft,把“模型版本”当作一条日志,quorum 提交后各 Pod 再执行 ArcSwap::store,避免集群级 AB 测试出现数据倾斜。
  2. 异构模型混合
    若线上同时跑 TensorFlow LiteONNX,可用 abi_stable 把两者封装成 trait object vtable,通过 #[sabi_trait] 生成 FFI-safe 的 Box<dyn Model>,实现单进程多后端的热插拔。
  3. GPU 显存热更新
    显存无法 mmap,需用 cudaMallocManagedUnified Memory,结合 cudaStreamSynchronize 保证旧 kernel 完成后再释放显存;Rust 端用 rustacuda 封装,drop 时调用 cudaFree,防止显存泄漏导致 NVML 告警
  4. 合规审计
    央行《人工智能算法金融应用评价规范》要求模型变更留痕,可在 ArcSwap::store 前把模型哈希、切换时间、操作人写入 immutable ledger(如 蚂蚁链Fabric),Rust 侧用 offchain-sdk 把哈希写链,链上链下一一对应,满足现场检查要求。
题目导航
上一题:如何批量推理? 下一题:如何定义 LendingIterator?