投降投票状态机架构：竞技对局里的少数服从多数并不简单

背景：一个小功能背后往往有多条状态链

投降投票看起来只是发起、投票、通过或失败，但在实时竞技里边界很多：开局多久才能发起，几分钟内能发起几次，掉线玩家算不算弃权，四人队和五人队阈值是否相同，投票通过后如何进入结算。规则不清楚会直接引发公平争议。

如果投票只是房间里一个临时变量，断线重连、房间迁移、结算回放都会丢证据。玩家投诉“我没点同意为什么投降了”时，研发需要拿出投票窗口、每个成员选择、超时策略和最终阈值。

投降投票应作为房间内独立状态机。发起时创建 voteId，记录发起人、队伍、阈值、开始结束帧和成员快照。每个投票动作带玩家和连接版本，最终按快照成员计算结果。通过后进入受控结算路径。

架构视图

stateDiagram-v2
  [*] --> Idle
  Idle --> Voting: 发起投票
  Voting --> Passed: 达到阈值
  Voting --> Failed: 时间结束/反对过多
  Passed --> Settling: 进入结算
  Failed --> Cooldown: 冷却
  Cooldown --> Idle: 冷却结束

这张图只画核心链路。真正落地时，还要把配置中心、权限校验、审计日志、灰度开关、监控告警和客服查询补上。复杂逻辑先画出来，是为了让团队提前确认状态边界、失败路径和补偿入口，而不是等线上出问题后再从日志里拼图。

设计要点 1：把事实和展示分开

很多游戏后端问题都来自事实和展示混在一起。事实是已经发生的业务结果，例如一次抽取、一次贡献、一次投票、一次状态变化；展示是为了让玩家、客服或运营看到更方便的视图。事实必须稳定、可审计、可重放，展示可以缓存、聚合、延迟和重建。

成员快照很重要。投票期间有人断线、重连或被踢出，不能改变本轮阈值，否则结果不可解释。断线玩家算未投、弃权还是默认反对，要按模式配置，并写入投票记录。

当事实和展示分开后，系统会更容易恢复。读模型错了，可以从事实事件重建；缓存旧了，可以按版本失效；客户端展示不一致，可以查询权威记录。反过来，如果只保存展示字段，后面所有修复都只能靠猜。

设计要点 2：让状态机承担复杂度

状态机不是形式主义，而是把中间态变成系统能理解的事实。一个流程从创建到结束，中间可能经历等待、确认、取消、过期、冻结、人工处理和回滚。只用成功和失败两个状态，很容易把大量边界藏进临时代码。

状态转移要有前置条件。比如只有 waiting 状态可以确认，只有 reserved 状态可以释放，只有 running 状态可以暂停。前置条件写清楚后，重复请求和旧请求都会被自然挡住。很多并发问题不是靠锁解决的，而是靠状态机拒绝不合法转移。

状态机还要能被观察。后台面板不应只显示“异常”，而要显示当前状态、停留时间、最后错误、可执行动作和相关 operationId。这样值班人员才能判断是等待正常结果，还是需要人工介入。

设计要点 3：幂等键要来自业务语义

幂等键不能只是请求层随机 UUID。随机 UUID 能追踪一次请求，却不能识别重试是否属于同一业务动作。更可靠的做法是把业务来源写进幂等键，例如 playerId、activityId、matchId、rewardId、sessionVersion、drawRequestId。

服务端看到重复幂等键时，应返回第一次执行结果，而不是简单告诉调用方“重复”。调用方真正需要知道的是这次业务动作最终成功、失败还是处理中。返回第一次结果能让客户端和后台任务在超时后安全恢复。

幂等记录要有生命周期。资产、抽取、处罚、公会贡献这类高价值动作保留更久；普通展示和通知类动作可以短一些。生命周期太短，会让迟到重试绕过防重；太长，则需要考虑存储成本和清理策略。

设计要点 4：版本号比时间戳更适合裁决

时间戳能描述大致发生时间，但不适合作为并发裁决依据。机器时钟可能漂移，消息可能乱序，客户端时间更不能完全信任。服务端状态版本、配置版本、规则版本和会话版本更适合判断新旧。

每次关键状态变化都应递增版本，并把版本写入事件。下游读模型处理事件时，如果发现事件版本低于当前版本，就应该忽略。这样旧消息迟到不会覆盖新状态。

版本号也能帮助客服解释问题。玩家看到的结果如果来自旧版本配置，后台能查到；某个入口拒绝玩家进入，如果是客户端能力版本不足，也能给出明确原因。没有版本字段，所有问题都会变成“当时可能是旧数据”。

设计要点 5：把人工操作纳入系统

游戏长线运营一定会有人工作业：补偿、修复、解锁、冻结、回滚、审批。危险的不是人工介入本身，而是人工介入绕过系统状态机。只要人工操作直接改库，后续自动流程就可能看不懂当前状态。

正确做法是让人工操作也走命令接口。人工只是另一种来源 sourceType，仍然需要权限、原因、幂等键、审计日志和状态转移。这样人工修复后，事件仍然能驱动读模型和通知，系统不会进入半自动半手工的混乱状态。

高风险人工操作要支持预览。执行前展示影响玩家数、资产变化、可回滚性和预计事件数量。预览不是装饰，它能在事故压力下阻止很多二次事故。

数据模型建议

建议至少设计四类表或存储对象。第一是权威状态表，保存当前状态、版本、owner、过期时间和最后变更来源。第二是操作流水表，保存 operationId、幂等键、请求参数、执行状态和错误原因。第三是事件表或 outbox，用于可靠发布状态变化。第四是读模型表，面向高频查询和客户端展示。

权威状态表要小而稳定，不要把所有展示字段都塞进去。读模型可以冗余，但必须能重建。操作流水表要保留足够上下文，尤其是配置版本、规则版本和发起来源。事件表要能支撑补发，避免状态已写入但消息丢失。

如果系统跨多个服务，operationId 要贯穿所有日志。网关、业务服务、队列、数据库、后台工具都能用同一个 ID 查询。一次线上争议能否快速解决，往往取决于这条链路是否完整。

失败路径与补偿

失败要分类。条件不满足是业务拒绝，不能重试；依赖短暂超时是可重试失败；配置缺失是发布问题，应冻结入口；状态长时间卡住是流程异常，需要死信或人工处理。把所有错误都返回系统繁忙，只会让调用方做错动作。

补偿要推动状态前进，而不是粗暴重跑成功路径。比如读模型错误就重建读模型，奖励发放超时就查询幂等结果，状态卡住就按当前状态执行取消或确认。补偿脚本也必须写审计日志，否则修复本身会变成新的不确定因素。

超时语义要提前定义。调用方超时后是查询结果、重试原请求、取消操作，还是等待后台推进？不同答案会导致完全不同的实现。没有超时契约，客户端、后台任务和客服工具会各自猜测。

性能与容量

容量估算要看业务放大系数。一次玩家操作可能产生多条事件、多个读模型刷新、若干通知和一批日志。平时 QPS 不高的系统，在活动开启、赛季结算、热门玩法开放时可能瞬间放大。压测脚本应模拟真实操作序列，而不是只压单接口。

读写路径要分开优化。权威写入追求正确和可审计，读模型追求低延迟和高吞吐。不要为了一个排行榜展示或好友列表展示，把核心写入链路拖进复杂查询。反过来，也不要让读模型直接承担当事实。

背压策略要提前准备。队列积压、缓存回源、热点玩家、热门公会、热门 Boss、热门卡池都会形成局部峰值。可以采用合并、批处理、限流、只读、排队、转邮件、冻结入口等策略，但必须提前定义玩家看到什么。

观测与审计

观测指标至少包括成功率、业务拒绝率、可重试失败率、状态停留时间、队列积压、事件延迟、读模型刷新延迟和人工介入次数。只看接口错误率不够，因为很多问题在业务上已经失败，但技术上返回了 200。

审计日志要记录变更前后状态。只知道“执行了操作”没有意义，必须知道从哪个状态变成哪个状态、由谁发起、用了哪个配置版本、影响了哪些对象。高风险操作还要记录审批链、预览结果和回滚入口。

客服查询是观测的一部分。玩家问为什么没拿到奖励、为什么不能进入、为什么状态不同步，客服后台应能看到简化后的证据链。否则所有问题都会转给研发，响应速度会越来越慢。

上线验证

上线前建议先跑影子模式。新逻辑计算结果但不生效，对比旧逻辑输出差异。差异不是越少越好，而是要符合预期。如果差异集中在某个区服、客户端版本或活动桶，就先暂停扩大范围。

灰度阶段要选低风险入口。不要第一次就覆盖支付、处罚、赛季结算或大规模活动。可以先在测试区服、内部白名单、小比例玩家或低价值玩法上验证状态机、事件、读模型和后台工具是否协同正常。

回滚方案要包含数据层。代码回滚不一定能撤销已经写入的新状态，配置回滚也不一定能修复读模型。上线前要准备冻结入口、停止消费、重建读模型、追加修复事件和人工补偿的 runbook。

线上案例化复盘

真实事故常常来自边界叠加：玩家弱网重试，后台任务补偿，运营临时改配置，旧事件延迟到达。单看每个动作都合理，叠在一起就形成意料之外的状态。系统如果有状态机、版本和审计，复盘会很快；如果没有，就只能翻日志猜测。

一次有效复盘不应只修当前 bug，还要沉淀三样东西：一条状态机约束、一条配置校验规则、一条回归测试用例。这样同类问题不会在下一个活动或下一个玩法里重复出现。

很多团队以为架构成熟来自大平台，实际上成熟往往来自这些小闭环。每次事故后都让状态更清晰一点，让证据更完整一点，让回滚更可靠一点，系统就会越来越抗压。

交付检查清单

• 是否明确了权威事实和展示读模型。
• 是否有完整状态机和合法转移。
• 是否所有高风险请求都有业务语义幂等键。
• 是否记录状态版本、配置版本和规则版本。
• 是否定义了超时后的查询、重试或取消语义。
• 是否有事件 outbox 或可靠补发机制。
• 是否有后台查询、人工修复和审计入口。
• 是否做过重复请求、乱序事件、配置回滚和服务重启测试。

这份清单看起来朴素，但能挡住大量真实问题。游戏服务器端架构最需要的不是漂亮概念，而是在高峰、弱网、重试、人工介入和玩家争议里仍然能保持状态可信。

小结

投降投票状态机架构的价值，在于把分散的状态变化收束成可管理的流程。玩家看到的只是一次点击、一次展示、一次投票或一次进入，但服务端必须处理版本、幂等、状态、事件、补偿和审计。

如果团队资源有限，先把权威状态、幂等、版本和证据链做好。只要这些基础稳定，后续再做缓存、异步、灰度、自动化修复和复杂运营编排，都会更稳。反过来，如果基础状态不可信，系统越复杂，事故越难收拾。