一个多租户生成式AI平台的模型微调请求,其业务流程的复杂性远超想象。用户点击“开始微调”后,系统需要原子性地完成一系列跨服务的操作:验证数据集访问权限、锁定并计费计算资源、创建模型训练任务、更新模型谱系、最后再将新模型的访问权限授予指定团队。这个过程可能持续数小时,任何一步失败,都必须保证之前所有步骤正确回滚,资源被释放,费用被退还。传统的两阶段提交(2PC)在这里完全不适用,其同步阻塞特性会长时间锁定资源,导致系统吞吐量雪崩。
这是一个典型的分布式事务难题,交织着复杂的身份与访问管理(IAM)逻辑。在真实项目中,我们面临的核心挑战是:
- 长时运行事务: 如何在无锁、异步的环境下保证业务流程的最终一致性?
- 复杂权限模型: 如何高效查询“用户A”是否能通过“团队B”在“租户C”内使用“数据集D”来微调“基础模型E”?这种深度关联的权限校验,用传统关系型数据库实现,将是JOIN查询的灾难。
本文将记录我们放弃传统方案,选择基于领域驱动设计(DDD)划分服务边界,并采用Dgraph图数据库构建IAM核心,最终通过Saga编排模式实现这一复杂工作流的完整架构决策与实现过程。
定义复杂问题:DDD、事务与图模型的交汇
首先,我们运用DDD的战略设计工具对问题域进行剖析。将整个平台划分为几个核心的限界上下文(Bounded Context):
- 身份与访问上下文 (Identity & Access Context): 负责管理租户、用户、团队以及它们之间的关系。这是整个平台的安全基石,其核心是“谁能对什么资源做什么操作”。
- 模型生命周期上下文 (Model Lifecycle Context): 负责模型的创建、版本管理、微调、发布等核心业务流程。我们讨论的微调工作流就位于此上下文中。
- 数据集管理上下文 (Dataset Management Context): 管理用户上传、预处理和版本化的数据集。
- 计算编排上下文 (Compute Orchestration Context): 与底层计算集群(如Kubernetes)交互,负责动态分配和释放GPU等训练资源。
graph TD
subgraph User Interaction
A[API Gateway]
end
subgraph Bounded Contexts
B(Model Lifecycle Context)
C(Identity & Access Context)
D(Dataset Management Context)
E(Compute Orchestration Context)
end
subgraph Infrastructure
F[Dgraph]
G[Kubernetes Cluster]
H[Object Storage]
end
A -- 微调请求 --> B
B -- 1. 权限校验 --> C
B -- 2. 数据集元信息 --> D
B -- 3. 资源调度 --> E
C -- 存储/查询权限图 --> F
D -- 存储/查询数据集元数据 --> H
E -- 调度Pod --> G
这个架构清晰地隔离了关注点,但跨上下文的业务流程——即我们的微调工作流——带来了数据一致性的挑战。Model Lifecycle上下文是这个流程的发起者和协调者。
方案A:事件驱动的编舞Saga与关系型数据库
这是一种常见的、看似解耦的方案。
- 事务模型: 采用编舞式(Choreography)Saga。
ModelLifecycle服务在启动微调时,发布一个FineTuningJobRequested事件。DatasetManagement、ComputeOrchestration等服务各自订阅此事件,完成自己的任务后,再发布后续事件(如DatasetValidated、ComputeResourceAllocated),链式触发整个流程。补偿逻辑同样通过订阅失败事件来触发。 - IAM模型: 使用PostgreSQL或MySQL。通过多张关联表来描述权限:
tenants,users,teams,team_user_membership,resources,permissions,role_permission_assignment等。权限校验通过复杂的SQL JOIN和可能的递归查询(Recursive CTEs)实现。
优势分析:
- 高度解耦: 服务之间没有直接调用,仅通过事件总线通信。理论上,增加新的参与者很容易。
- 技术栈成熟: 事件队列(Kafka/RabbitMQ)和关系型数据库都是非常成熟的技术,团队经验丰富。
劣势分析:
- 隐式的业务流程: 整个微调工作流的逻辑分散在各个服务的事件处理器中。没有一个地方能清晰地看到完整的流程图。当流程变得复杂(例如增加条件分支),追踪、调试和修改将成为一场噩梦。一个常见的错误是,当流程需要修改时,工程师很难确定需要改动哪些服务的哪些事件处理器,极易引发生产事故。
- 关系模型的性能与表达力瓶颈: IAM的查询是典型的图遍历问题。在关系型数据库中,查询一个五层深度的权限关系(用户->团队->项目->资源->权限)可能需要5-6个JOIN操作。在高并发场景下,这种查询的性能会急剧下降。更重要的是,SQL在表达“可达性”和“最短路径”这类图查询时非常笨拙,代码可读性和可维护性极差。
在真实项目中,业务流程的可见性和可维护性至关重要。编舞Saga的“去中心化”特性在这里反而成了缺点。而IAM的性能瓶颈,更是我们无法接受的。
方案B:集中编排Saga与Dgraph图数据库
这是我们最终选择的方案,它直面方案A的两个核心痛点。
- 事务模型: 采用编排式(Orchestration)Saga。在
Model Lifecycle上下文中引入一个显式的“微调工作流编排器”(FineTuningWorkflowOrchestrator)。它像一个状态机,负责调用其他服务提供的命令式API(例如DatasetService.Validate(),ComputeService.Allocate()),并根据返回结果决定下一步是继续执行还是调用补偿操作(ComputeService.Deallocate())。 - IAM模型: 将
Identity & Access Context的后端存储替换为Dgraph。Dgraph是一个原生的分布式图数据库,它将实体(如用户、模型)作为节点(Node),关系(如拥有、可访问)作为边(Edge)。
优势分析:
- 显式的业务流程控制: 整个微调工作流的逻辑都集中在编排器中,代码即流程。这使得流程的理解、调试、监控和修改变得极其简单直观。
- 极致的IAM查询性能与表达力: Dgraph使用一种名为GraphQL+-的查询语言。执行深度关联查询时,它是在图上进行指针追逐,而非像SQL那样进行昂贵的JOIN操作。对于复杂的权限校验,Dgraph的性能通常比关系型数据库高出几个数量级。模型本身也更符合DDD的通用语言。
劣势分析:
- 编排器的中心化风险: 编排器自身需要保证高可用。如果它宕机,所有进行中的工作流都会暂停。这需要通过持久化状态和多副本部署来解决。
- 技术栈引入成本: Dgraph相对于传统关系型数据库,是一个较新的技术,团队需要学习成本。
决策: 考虑到我们业务流程的复杂性和对IAM查询性能的苛刻要求,方案B的优势是决定性的。业务流程的清晰可控,以及图数据库在处理复杂关系上的压倒性优势,让我们认为引入新技术的成本是值得的。
核心实现概览
我们将使用Go语言来展示核心代码片段。
1. Dgraph中的IAM与资产模型Schema
这是Identity & Access Context的核心。我们不关心用户密码,只关心实体、关系和权限。
# Dgraph Schema
# --- Types Definition ---
type Tenant {
id: ID!
name: String! @search(by: [hash])
teams: [Team] @reverse(has_team:.)
users: [User] @reverse(has_tenant:.)
models: [AIModel] @reverse(owned_by_tenant:.)
datasets: [Dataset] @reverse(owned_by_tenant:.)
}
type User {
id: ID!
email: String! @search(by: [hash])
member_of: [Team] @reverse(has_member:.)
has_tenant: Tenant!
}
type Team {
id: ID!
name: String! @search(by: [term])
has_tenant: Tenant!
has_member: [User]
permissions: [Permission] @reverse(granted_to:.)
}
type Permission {
id: ID!
operation: String! @search(by: [hash]) # e.g., "model:finetune", "dataset:read"
on_resource: Resource!
granted_to: Team!
}
# Using an interface for generic resources
interface Resource {
id: ID!
name: String!
owned_by_tenant: Tenant!
}
type AIModel implements Resource {
base_model_id: String
version: String
}
type Dataset implements Resource {
source_uri: String
}
# --- Edges for relationships ---
# (Dgraph creates these implicitly from the type definitions above)
# has_team: uid @reverse .
# has_member: [uid] @reverse .
# ... etc.
这个Schema直观地反映了我们的领域模型。User通过member_of边连接到Team,Team通过permissions边连接到Permission节点,Permission节点再通过on_resource边指向具体的AIModel或Dataset。
2. 工作流启动前的权限校验
在Saga工作流启动之前,必须进行一次原子性的权限检查。这是Dgraph大放异彩的地方。
假设我们需要验证user-123是否有权使用dataset-abc来微调model-xyz。这两个资源都属于tenant-def。
// pkg/iam/dgraph_checker.go
package iam
import (
"context"
"encoding/json"
"fmt"
"log"
"github.com/dgraph-io/dgo/v210"
"github.com/dgraph-io/dgo/v210/protos/api"
)
// DgraphChecker encapsulates logic for checking permissions against Dgraph.
type DgraphChecker struct {
dgraphClient *dgo.Dgraph
}
// CheckFineTunePermissionsInput defines the required UIDs for the permission check.
type CheckFineTunePermissionsInput struct {
UserUID string
ModelUID string
DatasetUID string
TenantUID string
}
// AuthZResponse represents the structure of our query result.
type AuthZResponse struct {
Auth []struct {
UID string `json:"uid"`
} `json:"auth"`
}
// CanFineTune checks if a user has the necessary permissions.
// This is the core permission query. It's complex but incredibly powerful.
func (c *DgraphChecker) CanFineTune(ctx context.Context, input CheckFineTunePermissionsInput) (bool, error) {
txn := c.dgraphClient.NewReadOnlyTxn()
defer txn.Discard(ctx)
// The GraphQL+- query
// This query traverses the graph to find a path of permissions.
// It says: "Find me a user with the given UID who belongs to a team,
// where that team has a 'model:finetune' permission on the specified model
// AND a 'dataset:read' permission on the specified dataset.
// All entities involved must belong to the specified tenant."
query := fmt.Sprintf(`
query CanFineTune($userUID: string, $modelUID: string, $datasetUID: string, $tenantUID: string) {
auth(func: uid($userUID)) @filter(uid_in(has_tenant, $tenantUID)) {
uid
~has_member @filter(uid_in(has_tenant, $tenantUID)) {
permissions @filter(eq(operation, "model:finetune")) {
on_resource @filter(uid($modelUID) AND uid_in(owned_by_tenant, $tenantUID)) {
uid
}
}
permissions @filter(eq(operation, "dataset:read")) {
on_resource @filter(uid($datasetUID) AND uid_in(owned_by_tenant, $tenantUID)) {
uid
}
}
}
}
}
`)
variables := map[string]string{
"$userUID": input.UserUID,
"$modelUID": input.ModelUID,
"$datasetUID": input.DatasetUID,
"$tenantUID": input.TenantUID,
}
resp, err := txn.QueryWithVars(ctx, query, variables)
if err != nil {
log.Printf("Error querying Dgraph for permissions: %v", err)
return false, err
}
var authzResult AuthZResponse
if err := json.Unmarshal(resp.Json, &authzResult); err != nil {
log.Printf("Error unmarshaling Dgraph response: %v", err)
return false, err
}
// If the 'auth' block contains any results, it means a valid permission path was found.
return len(authzResult.Auth) > 0, nil
}这个查询的优雅之处在于,它用一个紧凑的图遍历操作,替代了SQL中可能需要多个自连接和子查询的复杂逻辑。它不仅性能高,而且意图清晰,易于维护。
3. Saga编排器的实现
我们使用一个简单的内存状态机来演示编排器的核心逻辑。在生产环境中,状态需要持久化到数据库(如Postgres或Redis)中,以防编排器实例崩溃。
// pkg/workflows/finetune_orchestrator.go
package workflows
import (
"context"
"fmt"
"log"
"time"
)
// A simplified interface for external services
type ComputeService interface {
Allocate(ctx context.Context, jobID string) (string, error)
Deallocate(ctx context.Context, allocationID string) error
}
type IAMService interface {
GrantModelAccess(ctx context.Context, newModelID string, teamID string) error
}
// ... other service interfaces
// FineTuneJobState represents the state of a single workflow instance.
type FineTuneJobState struct {
ID string
Status string // PENDING, DATA_VALIDATED, COMPUTE_ALLOCATED, FAILED, COMPLETED
UserID string
BaseModelID string
DatasetID string
TargetTeamID string
AllocationID string // ID from the compute service
NewModelID string // Generated upon completion
FailureReason string
}
// FineTuningWorkflowOrchestrator manages the Saga.
type FineTuningWorkflowOrchestrator struct {
// In a real implementation, this would be a persistent store.
stateStore map[string]*FineTuneJobState
computeService ComputeService
iamService IAMService
}
// StartWorkflow initiates the Saga.
func (o *FineTuningWorkflowOrchestrator) StartWorkflow(ctx context.Context, state *FineTuneJobState) {
log.Printf("Starting workflow for job %s", state.ID)
// Step 1: Validate Dataset (simplified, assumed success)
log.Printf("Step 1: Validating dataset %s for job %s", state.DatasetID, state.ID)
state.Status = "DATA_VALIDATED"
o.stateStore[state.ID] = state // Persist state change
// Move to next step
go o.allocateCompute(ctx, state.ID)
}
func (o *FineTuningWorkflowOrchestrator) allocateCompute(ctx context.Context, jobID string) {
state := o.stateStore[jobID]
log.Printf("Step 2: Allocating compute for job %s", jobID)
allocationID, err := o.computeService.Allocate(ctx, jobID)
if err != nil {
log.Printf("ERROR: Failed to allocate compute for job %s: %v", jobID, err)
state.Status = "FAILED"
state.FailureReason = "Compute allocation failed"
o.stateStore[jobID] = state // Persist failure
// No compensation needed yet as this is the first step with a real side effect.
return
}
state.AllocationID = allocationID
state.Status = "COMPUTE_ALLOCATED"
o.stateStore[jobID] = state // Persist state change
log.Printf("Compute allocated for job %s with allocation ID %s", jobID, allocationID)
// In a real world scenario, this would trigger the actual training job.
// For simplicity, we simulate completion and move to the final IAM step.
go o.finalizeWorkflow(ctx, jobID)
}
func (o *FineTuningWorkflowOrchestrator) finalizeWorkflow(ctx context.Context, jobID string) {
state := o.stateStore[jobID]
log.Printf("Final Step: Granting permissions for job %s", jobID)
// Simulate model creation
state.NewModelID = "new-model-" + jobID
err := o.iamService.GrantModelAccess(ctx, state.NewModelID, state.TargetTeamID)
if err != nil {
log.Printf("ERROR: Failed to grant IAM permissions for job %s: %v", jobID, err)
// This is where compensation is critical.
o.triggerCompensation(ctx, jobID)
return
}
state.Status = "COMPLETED"
o.stateStore[jobID] = state
log.Printf("Workflow for job %s completed successfully. New model ID: %s", jobID, state.NewModelID)
}
// triggerCompensation handles the rollback logic.
func (o *FineTuningWorkflowOrchestrator) triggerCompensation(ctx context.Context, jobID string) {
state := o.stateStore[jobID]
state.Status = "FAILED"
state.FailureReason = "IAM permission grant failed"
o.stateStore[jobID] = state
log.Printf("Triggering compensation for failed job %s", jobID)
// We need to compensate for allocated compute resources.
if state.AllocationID != "" {
log.Printf("Compensating: Deallocating compute %s", state.AllocationID)
err := o.computeService.Deallocate(ctx, state.AllocationID)
if err != nil {
// This is a critical failure. The system needs to alert for manual intervention.
log.Printf("FATAL: Failed to compensate compute for job %s. Allocation ID: %s. MANUAL INTERVENTION REQUIRED.", jobID, state.AllocationID)
} else {
log.Printf("Compensation successful for job %s", jobID)
}
}
}这段代码展示了编排器的核心职责:
- 状态驱动: 整个流程由
FineTuneJobState的状态驱动。 - 顺序调用: 它按顺序调用依赖的服务。
- 补偿逻辑: 在关键步骤失败后(如
finalizeWorkflow),它会调用triggerCompensation来执行反向操作,例如释放计算资源。补偿操作自身也必须是幂等的,以防止重复执行造成问题。
架构的扩展性与局限性
这种基于DDD、Saga编排和图数据库的架构模式,为我们构建复杂、可靠的生成式AI平台提供了坚实的基础。其扩展性体现在:
- 业务流程演进: 当微调流程需要增加新的步骤(例如,模型合规性扫描),我们只需要在编排器中添加一个新的状态和相应的处理函数,而不需要改动多个服务。
- 权限模型演进: 如果未来需要引入更复杂的权限概念,如“资源组”或“基于属性的访问控制(ABAC)”,在Dgraph中增加新的节点类型和边,比修改关系型数据库的范式要简单得多。
然而,这个方案并非银弹。其局限性主要在于:
- 最终一致性: Saga模式本质上提供的是最终一致性。在工作流执行的中间状态,系统数据可能是不一致的(例如,资源已分配但权限未更新)。这要求业务能够容忍这种短暂的不一致。对于需要强一致性的场景(如金融交易),此模式不适用。
- 编排器健壮性: 编排器的状态持久化和故障恢复机制是整个系统稳定性的关键。必须投入资源确保其可靠性,例如使用高可用的数据库和实现至少一次(at-least-once)的消息传递。
- Dgraph运维: 作为系统的核心组件,Dgraph集群的监控、备份和性能调优需要专门的知识储备。它不是一个可以即插即忘的组件。
对于构建企业级、多租户的AI平台而言,业务流程的复杂性和对灵活、高性能权限管理的需求是核心挑战。这套架构通过明确的职责划分和针对性的技术选型,有效地解决了这些问题,尽管它也引入了对系统一致性和运维的新要求。
