关键要点与工程坑点

• 先把问题讲清：撮合引擎的状态是订单簿快照；HA 指标里，交易系统通常要求 RPO=0（不丢单/不丢成交）与极低 RTO（故障切换毫秒～亚秒）。传统“数据库主从复制”很难兼顾两者。
• 复制状态机（RSM）才是正解：不要试图持续复制整份订单簿内存，而是复制“产生状态的指令序列”（下单/撤单等）。只要指令顺序完全一致，状态就必然一致——日志因此成为 Single Source of Truth。
• 确定性是硬前提：撮合主循环必须可重放、可验证。常见踩坑包括：用系统时间/随机数参与逻辑、遍历无序 HashMap 导致迭代顺序漂移、多线程并发引入不可控调度差异。工程上通常选择单线程串行应用日志来换确定性与可测试性。
• 共识保证“同一条日志”：以 Raft 为例：Leader 排序写入复制日志，只有复制到多数派（quorum）才算 committed；这对应强同步复制，换来零数据丢失，但写延迟会被 RTT 拉高（尤其跨机房）。
• 脑裂比宕机更可怕：误判故障触发双主会造成不可逆的不一致。常见做法是租约（lease）+ 自我降级（self-fencing），并辅以任期/epoch：任何携带旧 term 的请求/消息都必须被拒绝。
• 演进路径要现实：从冷备（快照+手切）→ 温备（日志重放）→ 热备自动切换（协调器/共识+fencing）→ 分片/多活，是一条更可落地的路线；越往后复杂度越指数上升。