feat: AI Runtime 总体架构文档 (API-AI-000)

定义 API / Rust Heavy Runtime / document runtime / iOS / Admin 职责边界、 Docker 内部网络部署、Job 异步任务流、用户 Key 与平台 Key 管理、失败重试与熔断、结果落库边界、RAG 共存策略与后续扩展预留。 Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
2026-06-11 20:33:22 +08:00 · 2026-06-11 20:33:22 +08:00 · 804c414901
commit 804c414901
parent 87cfa2c20d
1 changed files with 295 additions and 0 deletions
--- a/docs/ai-runtime-architecture.md
+++ b/docs/ai-runtime-architecture.md
@ -0,0 +1,295 @@
 # AI Runtime 总体架构
 ## 1. 概述
 M-API-AI-RUNTIME 里程碑新增 Rust Heavy Runtime 作为内部重任务执行器，完成 DeepSeek 调用、学习状态分析、题目/卡片候选生成。主 API 保持业务权威层地位不变。
 ### 架构图
 ```
 iOS / Admin / Web
       ↓
  主 API（NestJS）
       ↓
  AiRuntimeJob / LearningAnalysisSnapshot
       ↓
  Rust Heavy Runtime（内部 HTTP）
       ↓
  DeepSeek API
       ↓
  Rust Heavy Runtime 输出结构化结果
       ↓
  主 API 二次校验 / 落库
       ↓
  iOS 展示 / Admin 诊断
 ```
 ## 2. 职责边界
 ### 2.1 API（本仓库）
 | 负责 | 不负责 |
 |------|--------|
 | 用户权限与会员额度 | 直接调用 DeepSeek |
 | 学习数据读取与聚合 | Prompt 渲染 |
 | 用户 DeepSeek key 加密存储 | 模型输出校验 |
 | AI Job 创建与调度 | 任务消费 |
 | Snapshot 构建 | 结构化 JSON 解析 |
 | Runtime 内部接口提供 | 题目/卡片生成 |
 | Runtime 结果校验与落库 | |
 | iOS / Admin 对外 API | |
 | 平台预算与熔断 | |
 ### 2.2 Rust Heavy Runtime
 | 负责 | 不负责 |
 |------|--------|
 | Job Worker 消费 | 用户登录与会员 |
 | DeepSeek 调用 | 直接写业务主表 |
 | Prompt 渲染 | 对公网暴露接口 |
 | 结构化 JSON 校验 | 处理 readingTargetType |
 | 题目/卡片候选生成 | 用户数据查询 |
 | 调用日志回传 | |
 ### 2.3 Rust Document Runtime
 | 负责 | 不负责 |
 |------|--------|
 | 文档解析与阅读状态 | readingTargetType |
 | 阅读事件 V2 生成 | userId |
 | EventBuffer | 上传 API |
 ### 2.4 iOS
 | 负责 | 不负责 |
 |------|--------|
 | 阅读页 UI | 直接调 DeepSeek |
 | heartbeat tick 控制 | 直接调 Rust Heavy Runtime |
 | 补充 readingTargetType | |
 | 本地上传队列 + ack | |
 ### 2.5 Admin
 | 负责 | 不负责 |
 |------|--------|
 | 管理页面 | 直接调 Rust Runtime |
 | 成本统计与诊断 | |
 ## 3. Docker 部署
 ```
 ┌─────────────────────── Docker internal network ───────────────────────┐
 │                                                                        │
 │  ┌─────────┐   ┌──────────────────┐   ┌──────────────────────┐       │
 │  │  MySQL   │   │  api (NestJS)    │   │  heavy-runtime (Rust) │       │
 │  │  :3306   │   │  :3000           │   │  :8080                │       │
 │  │          │   │  → 公网暴露       │   │  → 不暴露公网          │       │
 │  └─────────┘   └────────┬─────────┘   └──────────┬───────────┘       │
 │                         │                        │                    │
 │                         ├── 调 POST /internal/runtime/* ──→          │
 │                         │                        │                    │
 │                         │←── Runtime 调 internal API ──┤             │
 │                                                                        │
 └──────────────────────────────────────────────────────────────────────┘
 ```
 ### docker-compose 要点
 ```yaml
 services:
  api:
    environment:
      RUNTIME_INTERNAL_BASE_URL: http://heavy-runtime:8080
      RUNTIME_SERVICE_TOKEN: ${RUNTIME_SERVICE_TOKEN}
    depends_on:
      - heavy-runtime
    networks:
      - zhixi-internal
  heavy-runtime:
    environment:
      API_INTERNAL_BASE_URL: http://api:3000
      RUNTIME_SERVICE_TOKEN: ${RUNTIME_SERVICE_TOKEN}
      DEEPSEEK_API_KEY: ${DEEPSEEK_API_KEY}
    expose:
      - "8080"
    networks:
      - zhixi-internal
 networks:
  zhixi-internal:
    driver: bridge
 ```
 关键约束：
 - heavy-runtime 不映射公网端口
 - 服务间通过 Docker 内部 DNS 发现（`http://heavy-runtime:8080`）
 - service token 通过环境变量注入
 ## 4. 通信方式
 ### 4.1 主任务流：Job 异步
 ```
 API 创建 AiRuntimeJob(status=pending)
  → Runtime poll /internal/runtime/jobs/poll
  → Runtime lock job
  → Runtime 获取 Snapshot + credential
  → Runtime 执行 DeepSeek 调用
  → Runtime 提交 result 到 /internal/runtime/jobs/{jobId}/result
  → API 校验并落库
 ```
 ### 4.2 内部接口
 | 接口 | 调用方 | 说明 |
 |------|--------|------|
 | `POST /internal/runtime/jobs/poll` | Runtime | 拉取 pending job |
 | `POST /internal/runtime/jobs/{jobId}/lock` | Runtime | 锁定 job |
 | `POST /internal/runtime/jobs/{jobId}/heartbeat` | Runtime | 心跳续约 |
 | `GET /internal/runtime/jobs/{jobId}/snapshot` | Runtime | 获取快照 |
 | `POST /internal/runtime/model-credentials/resolve` | Runtime | 获取模型 key |
 | `POST /internal/runtime/jobs/{jobId}/result` | Runtime | 提交成功结果 |
 | `POST /internal/runtime/jobs/{jobId}/fail` | Runtime | 提交失败 |
 | `POST /internal/runtime/invocation-logs` | Runtime | 提交调用日志 |
 | `GET /internal/runtime/health` | API | Runtime 健康检查 |
 ### 4.3 鉴权
 - 复用已有 `InternalAuthGuard`，使用 `x-internal-api-key` header
 - 新增 `X-Runtime-Instance-Id` header 用于追踪
 - 普通用户 JWT 不可访问 internal 接口
 - service token 不可访问普通用户 API
 ## 5. AI Job 生命周期
 ### 5.1 状态机
 ```
 pending ──→ locked ──→ running ──→ succeeded
  │          │           │
  │          │           └──→ failed (retryable) ──→ pending
  │          │           └──→ failed (non-retryable)
  │          │           └──→ expired
  │          │
  │          └──→ expired (lockUntil 超时)
  │
  └──→ cancelled
 ```
 ### 5.2 Job 类型
 | 类型 | 说明 | 输出 |
 |------|------|------|
 | `learning_state_analysis` | 学习状态分析 | AiLearningAnalysis |
 | `weak_point_analysis` | 薄弱点分析 | WeakPointCandidate[] |
 | `next_action_planning` | 下一步建议 | NextActionRecommendation[] |
 | `quiz_generation` | 题目生成 | QuizQuestion[] |
 | `flashcard_generation` | 卡片生成 | Flashcard[] |
 ### 5.3 锁定与超时
 ```
 lockUntil = now + 60s (推荐初始值)
 heartbeat 延长 lockUntil
 lockUntil 超时后其他 Runtime 可接管
 maxRetryCount = 3（默认）
 ```
 ## 6. 用户 Key 与平台 Key
 ### 6.1 两种模式
 | 模式 | Key 来源 | 消费方 |
 |------|---------|--------|
 | `platform_key` | 环境变量 `DEEPSEEK_API_KEY` 或 API 配置 | 平台预算 |
 | `user_deepseek_key` | 用户在 iOS 填写，API 加密存储 | 用户自己 |
 ### 6.2 Key 流转
 ```
 用户填 key → API 加密落库(UserModelCredential)
           → Runtime resolve → API 解密返回明文 → 仅内存使用 → 不写日志
           → ModelInvocationLog 只记录 credentialId，不记录 key
 ```
 ### 6.3 安全规则
 - encryptedApiKey：AES-256-GCM 加密，密钥来自环境变量
 - 明文 key 不落库、不进日志、不返回前端、Admin 不可查看
 - maskedKey：如 `sk-****xxxx`
 ## 7. 失败与重试
 ### 7.1 retryable 错误
 ```
 MODEL_TIMEOUT, MODEL_RATE_LIMIT, NETWORK_ERROR, TEMPORARY_PROVIDER_ERROR
 → retryable=true, job 回到 pending, retryCount+1
 ```
 ### 7.2 non-retryable 错误
 ```
 INVALID_SNAPSHOT, INVALID_SCHEMA, INVALID_CREDENTIAL
 → retryable=false, job 直接 failed
 ```
 ### 7.3 熔断
 连续失败 N 次 platform_key job → 平台熔断 open → 拒绝新的 platform_key job → half_open 后试探
 ### 7.4 取消
 - pending job：用户/Admin 可直接取消
 - running job：标记 cancelRequested，Runtime 下次 heartbeat 获知
 ## 8. 结果落库边界
 ### Runtime 提交 → API 校验 → 落业务表
 ```
 Runtime submit result
  → API RuntimeOutputBusinessValidator 二次校验
  → 源数据归属校验 (sourceBlockIds, knowledgePointId)
  → 去重 (exact hash)
  → 写入对应业务表 (AiLearningAnalysis / QuizQuestion / Flashcard / ...）
  → 更新 job 状态 succeeded
 ```
 Runtime 不直接写：AiLearningAnalysis, QuizQuestion, Flashcard, WeakPointCandidate, NextActionRecommendation, QuestionGenerationPlan, FlashcardGenerationPlan。这些只由 API 写。
 ## 9. 与现有 M1 RAG/Chat 的共存
 1. 本批不迁移现有 M1 RAG。
 2. 现有 Chat / RAG 问答链路（AiGatewayService → DeepSeek）继续运行。
 3. 新 AI Runtime 只做：学习状态分析、题目/卡片候选生成。
 4. 两者不共享 Job 队列。
 5. 若 Chat 结果和 AI Analysis 结果同时存在，前端应区分展示：
   - 对话回答：来自 Chat/RAG，时效性高
   - 学习分析建议：来自 AI Runtime，基于 Snapshot 聚合
 6. 后续 RAG 迁移需要独立里程碑。
 ## 10. 后续扩展预留
 | 方向 | 本批 | 后续 |
 |------|------|------|
 | RAG 迁移 | ❌ | 独立里程碑 |
 | 批量知识库分析 | ❌ (只做 user/material 级) | parentJob + childJob |
 | 多模型供应商 | ❌ (只做 DeepSeek) | ModelProvider trait |
 | A/B 测试 | ❌ | promptVersion 字段已预留 |
 | Prompt 热更新 | ❌ (静态模板) | PromptRegistry |
 | 用户自定义 baseUrl | ❌ | 需安全审计 |
 ## 11. 验收清单
 - [ ] 文档明确 API 是业务权威层
 - [ ] 文档明确 Runtime 是内部重任务执行器
 - [ ] 文档明确 Runtime 不对公网暴露
 - [ ] 文档明确 Docker 内部网络部署方式
 - [ ] 文档明确本批不迁移 RAG
 - [ ] 文档明确 AI Job 异步流程
 - [ ] 文档明确 Runtime 结果最终由 API 校验和落库
 - [ ] 文档明确后续 iOS / Admin 只访问 API，不访问 Runtime
 - [ ] 文档明确后续 RAG 迁移只是预留
 - [ ] 文档能指导 API-AI-001~072 的实现