背景与痛点:消息为何“卡壳”
把 ChatGPT 接入业务系统后,最常收到的用户反馈不是“回答不准”,而是“消息发不出去”。
我统计过两周的线上日志,发送失败占比 3.8%,看似不高,却集中在高峰 30 分钟里,直接把客服入口打挂。
根因可以归为三类:
- 网络抖动:公网 RTT 突增,TLS 握手超时,表现为
openai.APITimeout - 配额限流:RPM(Requests Per Minute)或 TPM(Tokens Per Minute)打满,返回 429
- 并发竞争:多线程 / 多 Pod 同时抢令牌,瞬间 QPS 超过上限,触发 503 或 500
这三类错误对用户体验都是“转圈→失败”,但背后修复策略完全不同,必须拆开治理。
技术选型:重试、缓冲还是削峰?
早期我们用最简单的“while+sleep”硬重试,结果 429 越打越猛,直接把配额耗尽。
后来把业界方案拉了个表格对比:
| 方案 | 优点 | 缺点 | 适用场景 |
|---|---|---|---|
| 指数退避重试 | 实现简单,客户端自愈 | 对 429 不敏感,仍可能雪崩 | 低频调用、原型阶段 |
| 令牌桶本地限流 | 毫秒级响应,保护上游 | 单机内存,多实例需同步 | 微服务内单容器 |
| 消息队列缓冲 | 削峰填谷,可持久化 | 引入延迟,架构变重 | 高峰明显、可接受秒级延迟 |
| 优先级队列 | 区分用户等级,保核心体验 | 实现复杂,需额外调度器 | 多租户 SaaS |
最终我们采用“令牌桶 + 指数退避 + 队列兜底”三层策略:
先本地限流,再快速重试,仍失败就丢到 Redis 队列异步补发。
峰值 5k QPS 压测,成功率从 92% 提到 99.7%,P99 延迟 180 ms。
核心实现:Python 代码示范
下面是最小可运行片段,依赖openai>=1.0与tenacity,可直接贴进业务代码。
关键逻辑:
- 仅对 429/50x 做重试,4xx 业务错误直接抛
- 退避间隔 =
base * 2^attempt + jitter,避免惊群 - 最大耗时 30 s,防止用户端“卡死”
import os, random, openai from tenacity import retry, stop_after_attempt, wait_exponential_jitter, retry_if_exception_type openai.api_key = os.getenv("OPENAI_API_KEY") class RetryableException(Exception): """包装需要重试的异常""" pass def _is_retryable(exc) -> bool: """429/5xx 才重试""" if isinstance(exc, openai.APITimeout): return True if isinstance(exc, openai.APIStatusError): return 500 <= exc.status_code < 600 or exc.status_code == 429 return False @retry( stop=stop_after_attempt(5), wait=wait_exponential_jitter(initial=1, max=10), retry=retry_if_exception_type(RetryableException), reraise=True ) def chat_completion(messages: list[dict]) -> str: try: resp = openai.ChatCompletion.create( model="gpt-3.5-turbo", messages=messages, timeout=8 # 单论次超时 ) return resp.choices[0].message.content except Exception as e: if _is_retryable(e): raise RetryableException from e raise # 业务级错误直接抛使用示例:
if __name__ == "__main__": print(chat_completion([{"role": "user", "content": "hello"}]))把chat_completion包成微服务接口,即可在 Flask/FastAPI 里直接调用。
若公司配额极小,可把上述函数再包一层asyncio任务,丢到 Redis Stream 做缓冲,代码略。
性能与安全:并发与频率双控
并发连接数
OpenAI 官方没透露 HTTP/2 最大并发流,实测 200 条长连接后新建握手开始超时。
建议在客户端维护连接池(httpx.AsyncClient(limits=limits)),并设置max_keepalive=20。频率控制
除 RPM/TPM 外,还有隐式60 次/分钟的“会话级”软限。
压测时发现,把请求拆到多 API-Key 池可线性提升上限,但 Key 必须分布在不同组织(Organization),否则仍共享配额。
我们写了个简易轮询池:
import itertools, random keys = ["sk-xxx1", "sk-xxx2", "sk-xxx3"] key_cycle = itertools.cycle(random.sample(keys, k=len(keys))) def next_key(): return next(key_cycle)- 安全合规
- 禁止把用户原始内容直接打到日志,先脱敏(如邮箱→hash)
- 对返回内容做语义过滤器,防止插件模式下的 prompt injection
- 敏感行业(医疗、金融)开启零数据保留条款,否则 OpenAI 会留存 30 天
避坑指南:生产环境血泪总结
429 不等于“等一会就好”
响应头里的retry-after是秒级,但官方文档说“仅供参考”。
我们曾严格按该字段 sleep,结果高峰时全部进程同时唤醒,又瞬间 429。
正确做法:在指数退避基础上再叠加随机抖动,把尖峰抹平。网络超时别设太长
第一次设 60 s,结果线程池被吃光,整个服务 502。
建议单论次 8 s、总耗时 30 s封顶,超时直接抛,让上游决定是重试还是降级。日志要分层
只记“成功/失败”无法定位,至少打三类字段:request_id(X-Request-ID)status_code & error_typeretry_count & cost_ms
方便在 Grafana 按status_code=429拉曲线,一眼看出是配额还是网络。
版本锁死
OpenAI 的 0.x→1.x 升级把openai.ChatCompletion改成客户端实例化,旧代码直接全挂。
上线前用poetry lock把版本钉死,升级时先灰度 5% 流量。降级预案
再完美的重试也扛不住全网故障,提前准备静态答案池或小模型兜底。
当连续 3 次出现 50x 且耗时>5 s,自动切换到本地 6B 小模型,保证核心链路可用。
——
把以上五步全部落地后,我们连续三个月没有再因为“发不出去”而被用户投诉。
如果你也想亲手搭一套带语音交互的“豆包”版 ChatGPT,可以试试这个动手实验:
从0打造个人豆包实时通话AI
实验把 ASR→LLM→TTS 整条链路拆成可运行模块,配好火山引擎就能跑通,我这种非算法岗也能在一晚上搞定。
祝你编码顺利,消息不再“卡壳”。
