Lua 在 Redis 单线程模型里保证扣减+判断+回滚整段原子化。DECR 单独跑会出现“扣完发现超卖、再 INCR 回滚”的窗口，期间用户可能已经看到下单成功。我们 Lua 脚本里先 DECR、若结果 < 0 立刻 INCR 回滚并返回失败码——整个动作 1 个 RTT、原子。事务方案（MULTI/EXEC）是 watch+乐观锁，在 30 万 QPS 下 watch key 大量 abort，反而打满 CPU。

三层兜底：① Kafka producer 配 acks=all + 幂等 producer + 本地消息表（先落 outbox 再发，定时扫描重发未确认的）；② 消费者侧手动提交 offset，业务落库成功才 ack；③ 对账 job 每 5 分钟扫一次“已扣减库存但 30 分钟无对应订单”的异常，自动补单或退款。实际活动里跑出 12 条异常，全部由对账 job 兜住。

第 3 轮压测跑 15 分钟后，DB 连接数缓慢爬升到上限 200 没释放，新请求开始 timeout。火焰图定位到一个第三方支付前置校验 SDK——它内部维护一个 connection pool 但漏了 close。我们 fork 后加了 try-with-resources，并在 wrapper 层加 connection leak detector（HikariCP 的 leakDetectionThreshold=30s），后续压测稳定。

Nginx 限流是请求级硬切断，用户体验差（直接 503），且无法做用户级公平。我们排队页是业务级整形：① 用户进入立刻拿到排队号，前端 WS 推进度，体验上感觉“在排队”而不是“被拒”；② 准入按 token bucket 平滑下发，每秒固定 N 个进核心链路；③ 黑产识别后直接踢出队列不占名额。Nginx 适合机房防雪崩，排队页适合用户体验+公平性，两层是叠加关系不是替换。

三个点：① Redis 主从切换演练我们没做，活动当天如果主挂了切换有 5-10s 不可用窗口，下一年要做 sentinel + 客户端旁路；② 排队页准入算法是固定速率，应该改成基于实时 P99 自适应——业务低峰时让更多人进，避免排队冗长；③ 对账 job 是 T+5min，应该缩到 T+30s，减少异常订单的客诉爆发期。

分子 = 首秒成功创建订单的用户数；分母 = 首秒发起下单请求的去重 UV（按 deviceId）。22% 是去年活动后产研 + 数据团队联合复盘出的口径，今年沿用同一套埋点和算法，所以两个数字可比。如果分母换成“点击秒杀按钮的总人数”就会拉低，但失去了归因能力。

我们设了 0.5% 的小流量影子模式：风控判定为黑产的请求里，1/200 仍然放行并打标。事后人工抽样 + 行为回溯，发现真黑产识别准确率 94.3%、误杀率 0.7%。误杀的主要是同 WiFi 多设备的家庭用户，后续把“同 IP 多设备”权重从 0.4 调到 0.2 后误杀降到 0.3%。

活动小组共 6 人：我（后端 owner，架构 + 库存/下单链路）、1 个前端（排队页 + WS）、1 个风控（规则引擎 + 黑产识别模型）、1 个 DBA（DB 拆分 + 慢查询）、1 个测试（压测脚本 + 演练）、1 个 SRE（监控 + 应急预案）。架构方案我主导拍板，每个子模块的负责人自己实现，我做联调和压测协调。