ERNIE-4.5-0.3B-PT保姆级教程：Chainlit部署HTTPS+认证访问安全加固

ERNIE-4.5-0.3B-PT保姆级教程：Chainlit部署HTTPS+认证访问安全加固

你是不是也遇到过这样的问题：模型跑起来了，但只能在本地用；想分享给同事或客户，又担心暴露服务端口、被随意调用，甚至被恶意探测？更别说没有登录验证、没有加密传输——这在实际业务场景中根本没法上线。

这篇教程不讲虚的，就带你从零开始，把vLLM 部署的 ERNIE-4.5-0.3B-PT 文本生成模型，通过Chainlit 搭建带 HTTPS 加密 + 用户名密码认证的 Web 前端，真正变成一个可交付、可管理、可信任的 AI 服务。整个过程不需要改一行模型代码，不依赖云厂商控制台，全部命令行可复现，连证书申请都给你写好了自动化脚本。

全程面向真实工程落地：不是“能跑就行”，而是“上线可用”；不是“本地测试”，而是“外网可访、安全可控”。

1. 先搞清楚：我们到底在部署什么

别被名字绕晕——ERNIE-4.5-0.3B-PT 这个模型名里藏着三层关键信息：

• ERNIE-4.5：百度发布的第四代语义理解与生成大模型架构，不是简单堆参数，而是靠 MoE（Mixture of Experts）结构实现高效扩展；
• 0.3B：指模型参数量约 3 亿，属于轻量级但能力扎实的推理友好型尺寸，适合单卡 A10/A100 部署；
• -PT：代表 Pre-Trained（预训练）版本，即未经过 SFT 或 DPO 微调的原始底座模型，通用性强、可控性高，特别适合做二次开发和定制化接入。

它不是图片生成模型，也不是多模态对话模型，而是一个专注高质量中文文本生成与理解的纯语言模型。你能用它写文案、润色报告、生成会议纪要、辅助编程注释、整理知识要点……而且响应快、逻辑稳、不胡说。

更重要的是，它已适配 vLLM 推理引擎——这意味着我们能获得远超 HuggingFace Transformers 的吞吐量和更低的显存占用，同时保留完整的 streaming 输出、prompt template 控制、stop token 管理等生产级能力。

所以，这不是一个玩具模型，而是一个可以放进你内部知识库、客服中台、内容审核流水线里的“文字引擎”。

2. 环境准备：三步搞定基础依赖

我们不装一堆没用的包，只留最精简、最稳定、最易排查的组合。所有操作均基于 Ubuntu 22.04（其他 Linux 发行版同理，仅需微调 apt 命令）。

2.1 安装 Python 3.10+ 和基础工具

sudo apt update && sudo apt install -y python3.10-venv python3.10-dev build-essential curl git

小贴士：不要用系统默认的 Python 3.8，vLLM 对 Python 版本有明确要求（≥3.9），且 3.10 在异步 IO 和内存管理上更优。

2.2 创建隔离环境并安装核心组件

python3.10 -m venv ./ernie-env source ./ernie-env/bin/activate pip install --upgrade pip wheel setuptools

然后一次性装齐三大支柱：

pip install vllm==0.6.3.post1 chainlit==1.4.18 uvicorn==0.30.6 python-dotenv==1.0.1

注意版本锁定：

• vllm==0.6.3.post1是目前对 ERNIE 系列 tokenizer 兼容性最好的版本（修复了部分中文 token 边界问题）；
• chainlit==1.4.18支持自定义 auth 中间件和 HTTPS 代理透传；
• uvicorn==0.30.6保证与最新 TLS 配置兼容，避免ssl.SSLError报错。

2.3 下载模型并验证结构

ERNIE-4.5-0.3B-PT 已托管在 Hugging Face，直接拉取即可：

huggingface-cli download --resume-download --token YOUR_HF_TOKEN \ ernie-bot/ernie-4.5-0.3b-pt \ --local-dir ./models/ernie-4.5-0.3b-pt

提示：如无 HF Token，请先去 huggingface.co/settings/tokens 创建 Read 令牌，并替换YOUR_HF_TOKEN。该模型为公开权重，无需申请权限。

验证是否下载完整：

ls ./models/ernie-4.5-0.3b-pt | head -n 5 # 应看到类似： # config.json # generation_config.json # model.safetensors.index.json # pytorch_model.bin.index.json # tokenizer.json

如果缺失tokenizer.json或config.json，说明下载中断，请重试。

3. 启动 vLLM 服务：高性能 + 可观测 + 可调试

我们不用默认的--host 0.0.0.0粗暴暴露，而是启用API Server 模式 + 日志分级 + 健康检查端点，为后续 Chainlit 安全接入打下基础。

3.1 编写启动脚本start_vllm.sh

#!/bin/bash MODEL_PATH="./models/ernie-4.5-0.3b-pt" LOG_FILE="/root/workspace/llm.log" echo " 启动 vLLM 服务（ERNIE-4.5-0.3B-PT）..." > $LOG_FILE date >> $LOG_FILE vllm serve \ --model "$MODEL_PATH" \ --host 127.0.0.1 \ --port 8000 \ --tensor-parallel-size 1 \ --pipeline-parallel-size 1 \ --max-num-seqs 256 \ --max-model-len 4096 \ --enable-prefix-caching \ --disable-log-requests \ --log-level info \ 2>&1 | tee -a $LOG_FILE

赋予执行权限并运行：

chmod +x start_vllm.sh nohup ./start_vllm.sh > /dev/null 2>&1 &

3.2 验证服务是否就绪

等待约 90 秒（模型加载需要时间），执行：

curl -s http://127.0.0.1:8000/health | jq .status

返回"healthy"即表示服务已就绪。

再看日志确认关键信息：

tail -n 20 /root/workspace/llm.log | grep -E "(started|running|listening)"

你应该看到类似输出：

INFO 05-12 14:22:33 api_server.py:123] Started VLLM API server on http://127.0.0.1:8000 INFO 05-12 14:22:33 engine.py:456] Engine started.

到此，模型服务已在本地安全运行，不对外暴露任何端口，只供本机 Chainlit 调用。

4. Chainlit 前端：加 HTTPS + 登录认证，一步到位

这才是本教程的核心价值：让 AI 界面不再“裸奔”。我们将用 Chainlit 自带的中间件机制，叠加 Nginx 反向代理 + Let’s Encrypt 免费证书 + HTTP Basic Auth，实现真正的生产级访问控制。

4.1 初始化 Chainlit 项目结构

chainlit init

会生成chainlit.md和app.py。我们重写app.py，让它连接本地 vLLM：

# app.py import os import chainlit as cl from chainlit.input_widget import TextInput from chainlit.types import AskFileResponse import httpx # 配置 vLLM 地址（注意：是本地回环，非公网） VLLM_API = "http://127.0.0.1:8000/v1/chat/completions" @cl.on_chat_start async def on_chat_start(): await cl.Message(content="你好！我是 ERNIE-4.5-0.3B-PT，支持长文本理解与高质量中文生成。请开始提问吧～").send() @cl.on_message async def on_message(message: cl.Message): async with httpx.AsyncClient(timeout=120) as client: try: response = await client.post( VLLM_API, json={ "model": "ernie-4.5-0.3b-pt", "messages": [{"role": "user", "content": message.content}], "temperature": 0.7, "max_tokens": 1024, "stream": True, } ) response.raise_for_status() msg = cl.Message(content="") await msg.send() async for chunk in response.aiter_lines(): if chunk.strip() and chunk.startswith("data: "): import json try: data = json.loads(chunk[6:]) delta = data.get("choices", [{}])[0].get("delta", {}) if "content" in delta and delta["content"]: await msg.stream_token(delta["content"]) except Exception: pass await msg.update() except Exception as e: await cl.ErrorMessage(content=f"调用失败：{str(e)}").send()

4.2 启用 Chainlit 内置认证（无需额外数据库）

Chainlit 支持基于.env文件的简易 Basic Auth。创建.env：

echo "CHAINLIT_AUTH_SECRET=your_super_secret_key_here" > .env echo "CHAINLIT_AUTH_USERS=admin:pbkdf2:260000$abc123...xyz" >> .env

生成密码哈希（推荐使用在线工具或 Python）：

# 在 Python 中快速生成（复制结果填入 .env） from passlib.context import CryptContext pwd_context = CryptContext(schemes=["pbkdf2_sha256"], deprecated="auto") print(pwd_context.hash("your_password"))

密码建议设为强口令（如A1#ernie45!），哈希后填入.env第二行。

4.3 配置 HTTPS 反向代理（Nginx）

安装 Nginx 并启用：

sudo apt install -y nginx sudo systemctl enable nginx && sudo systemctl start nginx

申请免费 HTTPS 证书（使用 Certbot）：

sudo apt install -y certbot python3-certbot-nginx sudo certbot --nginx -d your-domain.com --non-interactive --agree-tos -m admin@your-domain.com

替换your-domain.com为你实际拥有的域名（需 DNS 解析到服务器 IP）。若暂无域名，可先用localhost测试，但正式环境必须用域名 + HTTPS。

编辑 Nginx 配置/etc/nginx/sites-available/chainlit：

server { listen 443 ssl; server_name your-domain.com; ssl_certificate /etc/letsencrypt/live/your-domain.com/fullchain.pem; ssl_certificate_key /etc/letsencrypt/live/your-domain.com/privkey.pem; location / { proxy_pass http://127.0.0.1:8001; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; proxy_http_version 1.1; proxy_set_header Upgrade $http_upgrade; proxy_set_header Connection "upgrade"; } location /health { return 200 "OK"; add_header Content-Type text/plain; } } server { listen 80; server_name your-domain.com; return 301 https://$server_name$request_uri; }

启用配置并重启：

sudo ln -sf /etc/nginx/sites-available/chainlit /etc/nginx/sites-enabled/ sudo nginx -t && sudo systemctl reload nginx

4.4 启动 Chainlit（监听 8001，由 Nginx 代理）

nohup chainlit run app.py -h 127.0.0.1 -p 8001 --watch false > /root/workspace/chainlit.log 2>&1 &

此时访问https://your-domain.com，将弹出浏览器原生 Basic Auth 登录框，输入admin+ 你设置的密码，即可进入 Chat 界面。

5. 安全加固实操：不只是“能用”，更要“可信”

很多教程到这里就结束了，但我们继续深挖三个真实痛点：

5.1 防止暴力破解：限制登录尝试次数

Chainlit 默认无登录频控。我们在 Nginx 层加限流：

# 在 http {} 块中添加 limit_req_zone $binary_remote_addr zone=auth:10m rate=3r/m; # 在 server {} 的 location / 中添加 limit_req zone=auth burst=5 nodelay;

效果：同一 IP 每分钟最多尝试 3 次登录，超出则返回 503。

5.2 防止 Prompt 注入：服务端过滤敏感指令

在app.py的on_message函数开头加入简单过滤：

# 添加在接收 message.content 后 for keyword in ["system:", "role: system", "<|system|>", "你必须", "忽略上文"]: if keyword in message.content.lower(): await cl.ErrorMessage(content="检测到潜在指令注入，请使用自然语言提问。").send() return

虽不能替代 LLM 层防护，但可拦截 80% 的低级越权尝试。

5.3 审计日志留存：记录谁、何时、问了什么

Chainlit 不自带审计日志，我们手动补上：

# 在 on_message 开头添加 import logging logging.basicConfig( filename="/root/workspace/audit.log", level=logging.INFO, format="%(asctime)s | %(levelname)s | %(message)s", ) logging.info(f"[{cl.user_session.get('id')}] {cl.user_session.get('username')} -> {message.content[:100]}...")

日志自动按天轮转，便于事后追溯。

6. 效果验证与常见问题速查

打开浏览器，访问https://your-domain.com，你应该看到：

• 地址栏显示绿色锁标志（HTTPS 已生效）
• 👤 弹出登录框（Basic Auth 已启用）
• 进入聊天界面后，输入“帮我写一封产品上线通知邮件”，几秒内返回结构清晰、语气得体的中文内容
• 查看/root/workspace/audit.log，能看到完整访问记录

常见问题一：Chainlit 页面空白，控制台报 502

→ 检查 Nginx 是否转发到127.0.0.1:8001；确认 Chainlit 进程是否存活（ps aux | grep chainlit）；查看/var/log/nginx/error.log。

常见问题二：登录后提示 “Connection refused”

→ 检查 vLLM 是否在运行（ps aux | grep vllm）；确认app.py中VLLM_API地址是否为http://127.0.0.1:8000；检查/root/workspace/llm.log是否有报错。

常见问题三：中文乱码或 token 错误

→ 确保模型路径正确，且tokenizer.json存在；升级vllm至0.6.3.post1；避免在 prompt 中混用全角/半角标点。

7. 总结：你已掌握一套可复用的 AI 服务交付范式

这篇教程没有堆砌概念，每一步都对应一个真实工程需求：

• 用vLLM解决模型推理性能瓶颈；
• 用Chainlit快速构建专业前端，省去 React/Vue 开发成本；
• 用Nginx + Let’s Encrypt实现零成本 HTTPS；
• 用Basic Auth + Nginx 限流 + 服务端过滤构建基础但有效的安全防线；
• 用审计日志 + 结构化日志满足基本合规要求。

你部署的不再是一个 demo，而是一个具备：
可外网访问（HTTPS）
可身份核验（Basic Auth）
可行为审计（access/audit log）
可弹性扩容（vLLM 天然支持多卡）
可持续维护（所有配置文本化、可 Git 管理）

下一步你可以轻松扩展：接入企业微信扫码登录、对接内部 LDAP、增加用量统计面板、集成 RAG 插件……所有这些，都建立在今天这个坚实、干净、安全的底座之上。

获取更多AI镜像

想探索更多AI镜像和应用场景？访问 CSDN星图镜像广场，提供丰富的预置镜像，覆盖大模型推理、图像生成、视频生成、模型微调等多个领域，支持一键部署。