Agent CD 部署（持续部署）

Agent CD 部署（持续部署）

概念解释

CD（Continuous Deployment/Delivery，持续部署/交付）是一种自动化的软件发布方式：代码通过测试后，由流水线自动推送到各个环境，最终以可控的策略上线到生产环境。它的核心不是"快速部署"，而是"安全地、可回滚地、分阶段地"将新版本交付给用户。

传统部署方式是"停服 → 替换 → 重启"，一旦新版本出问题，只能手动回滚，耗时且影响全体用户。Agent 应用比传统应用更复杂——它依赖 LLM 模型、Prompt 模板、外部工具调用，任何一个环节变化都可能影响输出质量。因此 Agent 应用比普通 Web 应用更需要 CD 流程来控制发布风险。

CD 的关键思想是：部署不是一瞬间的切换，而是一个可观测、可中断、可回滚的过程。通过多环境分层验证和灰度发布策略，让每次上线都像调旋钮一样可控。

关键结构

CD 流程由四个核心环节组成，缺一不可：

环节 1：环境分层

Agent 应用通常需要四层环境：

• 开发环境（Dev）：开发者日常编码调试，通常用 Mock LLM（模拟模型，不消耗真实 API 额度）或低成本模型
• 测试环境（Test）：运行自动化测试，验证业务逻辑正确性
• 预发布环境（Staging）：模拟真实生产配置，用真实 LLM 做全链路验证
• 生产环境（Prod）：承载真实用户流量，要求最高可靠性

关键原则：各环境配置同源但参数隔离——同一套代码，不同的模型、密钥、数据库地址。

环节 2：配置管理

Agent 应用的配置比传统 Web 应用更复杂，需要管理：

• 模型相关：LLM 选择（GPT-4 / Claude / 开源模型）、温度参数、最大 Token 数
• 密钥相关：API Key、数据库连接串——这些绝不能写进代码或容器镜像，必须通过密钥管理工具（如 Vault、K8s Secrets）动态注入
• Prompt 版本：Prompt 模板也是配置的一部分，变更 Prompt 等价于变更业务逻辑

环节 3：发布策略

两种主流策略：蓝绿部署和金丝雀部署（详见下方"核心原理"）。

环节 4：回滚机制

回滚（Rollback）是在新版本出问题时，将流量切回旧版本的操作。好的回滚机制要做到：

• 秒级切换：不需要重新构建和部署，直接切流量
• 数据兼容：新旧版本的数据格式必须兼容，否则回滚后数据出错
• 自动触发：监控指标超过阈值时自动回滚，不依赖人工判断

核心原理

原理说明

CD 的整体运转逻辑可以概括为一句话：代码从提交到上线，经过层层自动验证，最终通过可控策略到达用户。

整个流程分为两个阶段：

阶段一：逐环境推进。代码提交后，CI 系统自动构建并运行测试；通过后推送到测试环境做集成验证；再推送到预发布环境做全链路验证（包括真实 LLM 调用）。每一层都是一道关卡，不通过就不往下走。

阶段二：生产发布。预发布验证通过后，选择蓝绿或金丝雀策略上线。发布期间持续监控关键指标（响应时间、错误率、Agent 输出质量），发现异常立即回滚。

两种发布策略的核心区别：

• 蓝绿部署（Blue-Green Deployment）：维持两套完整环境，"蓝"跑旧版本，"绿"跑新版本。验证通过后一键切换全部流量。优点是切换和回滚都极快（只需改负载均衡指向），缺点是资源消耗翻倍。
• 金丝雀部署（Canary Deployment）：新版本先承接少量流量（如 1%），逐步增加（1% → 10% → 50% → 100%）。优点是风险精细可控，缺点是需要流量分割机制和更长的观察周期。

Mermaid 图解

图中关键流转说明：

• 左侧纵向链路是逐环境推进过程，每一层都是自动化的质量关卡
• 右侧分叉点是策略选择——蓝绿（全量切换）或金丝雀（逐步放量）
• 无论哪种策略，都汇聚到同一个"监控判断"节点——这是整个流程的安全阀

运行示例

以下伪代码展示金丝雀部署的核心逻辑——逐步放量 + 监控判断 + 自动回滚：

# 金丝雀部署核心逻辑（伪代码，展示概念机制）

# 灰度阶段定义：每阶段的流量百分比和观察时长
stages = [
    {"canary_percent": 1,   "observe_minutes": 10},
    {"canary_percent": 10,  "observe_minutes": 30},
    {"canary_percent": 50,  "observe_minutes": 60},
    {"canary_percent": 100, "observe_minutes": 0},
]

for stage in stages:
    # 设置流量分配比例
    set_traffic_weight(stable=100 - stage["canary_percent"],
                       canary=stage["canary_percent"])

    # 观察期内持续检查指标
    if stage["observe_minutes"] > 0:
        metrics = collect_metrics(duration=stage["observe_minutes"])

        # 核心判断：错误率或延迟超标则立即回滚
        if metrics.error_rate > 0.05 or metrics.p99_latency > 3000:
            rollback_to_stable()  # 一键回滚
            break

# 以上逻辑对应三个核心机制：
# 1. 流量分割：按百分比将请求分配给新旧版本
# 2. 观察窗口：每个阶段留出时间收集真实指标
# 3. 自动回滚：指标异常时无需人工干预，直接切回旧版本

易混概念辨析

核心区别：

• Agent CD 部署：关注的是"新版本如何安全地从测试环境到达生产环境的用户"
• CI：只管到"代码能否通过测试"这一步，不涉及上线策略
• 滚动更新：没有流量百分比的精细控制，无法做"先让 1% 用户试用"
• Feature Flag：在同一个版本内部控制功能开关，不涉及部署和环境切换

适用边界与局限

适用场景

1. Agent 模型升级：从 GPT-3.5 切换到 GPT-4，需要用金丝雀策略先让小部分用户验证效果（准确率、成本、延迟），避免全量翻车
2. Prompt 模板迭代：Prompt 变更对 Agent 输出影响巨大，通过灰度发布逐步验证新 Prompt 在真实场景中的表现
3. 多 Agent 系统变更：涉及多个 Agent 协作的系统，任何单点变更都可能影响全局流程，需要灰度观察
4. 框架版本升级：LangChain、CrewAI 等框架的大版本升级，通过蓝绿部署快速验证兼容性，不兼容可秒级回退

不适合的场景

1. 早期原型阶段：用户量极少（如内部测试 10 人），直接部署即可，建设 CD 流程的投入远大于收益
2. 紧急热修复：线上严重 Bug 需要立即修复时，走完整灰度流程太慢，应走紧急发布通道（但事后仍需补走验证流程）

局限性

1. 资源成本：蓝绿部署需要双倍基础设施，对中小团队是显著的成本压力
2. Agent 输出的随机性：即使灰度期间指标正常，放量后不同用户输入可能触发新的异常模式，监控指标无法覆盖所有边缘情况
3. 数据库变更的复杂性：如果新版本涉及数据库 Schema 变更，蓝绿部署中新旧版本需要同时兼容新旧数据结构，增加开发复杂度
4. 监控体系依赖：金丝雀部署的效果完全取决于监控指标的准确性。如果关键指标（如 Agent 输出质量）难以量化，灰度判断就失去了依据

常见误区

思考题

参考资料

1. Kubernetes 官方文档 - Deployments - Deployment 资源与滚动更新机制
2. Istio 官方文档 - 流量管理 - 服务网格中的流量分割与金丝雀部署
3. AWS 蓝绿部署白皮书 - 蓝绿部署的架构模式与实施方案
4. Continuous Delivery - Martin Fowler - CD 概念的经典定义与辨析
5. JFrog - Continuous Delivery 概述 - CD 流程的行业实践总结