定时发帖调度成功但未发出：一次从状态机流转到消息可靠性的工程排查

用户反馈定时发帖任务显示“调度成功”，但实际未在预定时间发布内容。前端无报错，任务状态停留在“已调度”，未进入“已发送”状态。该问题在跨地域部署环境下偶发，且与特定时间段（如高峰流量）强相关。

问题拆解：从用户症状到后端链路

用户侧可见现象为：定时任务配置完成，触发时间到达后无内容发布，任务状态未更新。前端日志显示调度接口返回 200，任务 ID 生成成功。问题不涉及模型推理或内容生成失败，而是任务执行链路中断。

后端链路涉及四个核心模块：

1. 调度服务（Scheduler）：接收用户配置，写入任务元数据，写入消息队列。
2. 消息队列（MQ）：承载任务触发事件，支持延迟消息与重试机制。
3. 执行服务（Executor）：消费消息，执行发帖动作，调用第三方平台 API。
4. 状态服务（State）：维护任务状态流转，提供查询与更新接口。

状态流转路径为：已创建 -> 已调度 -> 已触发 -> 已发送。问题出现在“已触发”到“已发送”之间，即执行服务未成功消费或未完成动作。

排查顺序：逐层验证消息可靠性

第一层：调度服务日志与消息投递

检查调度服务日志，确认任务在预定时间是否生成触发事件。发现部分任务在高峰时段未生成task_trigger事件。进一步检查发现，调度服务使用本地定时器（如ScheduledExecutorService）触发任务，但未与分布式协调服务（如 ZooKeeper 或 Etcd）同步，导致多实例部署时存在时间漂移与重复/遗漏触发。

关键证据：调度日志中同一任务在多个实例上出现重复触发记录，部分实例无触发记录。时间戳比对显示最大偏差达 8 秒，超过消息延迟容忍阈值。

第二层：消息队列投递与消费

确认调度服务在触发后是否成功投递消息至 MQ。检查 MQ 生产者日志，发现部分消息因连接超时未成功发送。进一步排查发现，MQ 客户端配置了固定重试次数（3 次），但未实现指数退避，导致短暂网络抖动时消息丢失。

关键证据：MQ 服务端接收日志中缺失部分任务 ID 对应的消息。生产者重试日志显示连续 3 次发送失败后放弃。

第三层：执行服务消费与处理

检查执行服务消费日志，发现部分消息被成功消费，但未触发发帖动作。进一步分析发现，执行服务在处理消息时未正确解析任务元数据中的平台配置（如 OAuth Token 过期），导致调用第三方 API 失败，但未更新任务状态，也未触发重试。

关键证据：执行服务日志中出现大量401 Unauthorized错误，但任务状态仍为“已调度”。状态服务未收到更新请求。

第四层：状态服务更新机制

检查状态服务接口调用链路，发现执行服务在发帖成功后调用状态更新接口，但该接口在高并发下出现超时，且未实现幂等更新。部分请求因超时未重试，导致状态未同步。

关键证据：状态服务监控显示更新接口 P99 延迟在高峰时段超过 2 秒，超时率 12%。执行服务日志中对应请求无重试记录。

核心原因：状态机流转断裂与消息不可靠

根本原因在于系统设计未充分考虑分布式环境下的状态一致性与消息可靠性：

1. 调度服务依赖本地定时器，未实现分布式协调，导致触发遗漏或重复。
2. 消息队列投递缺乏可靠保障，客户端重试策略不合理，短暂故障导致消息丢失。
3. 执行服务未实现状态回写容错，第三方调用失败后未更新状态，也未触发重试。
4. 状态更新接口未实现幂等，超时后无重试机制，导致状态不一致。

实现方案：构建可靠的状态机流转链路

1. 调度服务：引入分布式调度协调

将本地定时器替换为基于分布式锁的调度协调机制。使用 Etcd 实现分布式锁，确保同一任务仅由一个实例触发。调度触发后，立即写入任务触发事件至数据库，并投递消息至 MQ。

关键设计：

• 使用lease机制实现锁自动释放，避免死锁。
• 触发事件写入数据库后，再投递 MQ，确保事件不丢失。
• 触发时间偏差控制在 ±1 秒内。

2. 消息队列：实现可靠投递与消费

优化 MQ 客户端配置，实现指数退避重试，最大重试次数提升至 10 次。引入消息确认机制，生产者等待服务端 ACK 后再返回成功。

关键设计：

• 重试间隔：2^attempt * 100ms，最大间隔 5 秒。
• 消息持久化开启，确保服务端重启不丢消息。
• 消费者实现幂等消费，基于任务 ID 去重。

3. 执行服务：状态回写与重试机制

执行服务在调用第三方 API 后，无论成功或失败，均调用状态服务更新任务状态。引入本地重试队列，对失败任务进行延迟重试（最多 3 次）。

关键设计：

• 状态更新接口实现幂等，基于任务 ID 与版本号。
• 重试队列使用本地内存队列 + 持久化备份，避免进程重启丢失。
• 第三方 Token 过期时，触发 Token 刷新流程，再重试发帖。

4. 状态服务：接口优化与监控

优化状态更新接口，引入批量更新与连接池，降低 P99 延迟。增加接口幂等性校验，基于任务 ID 与更新时间戳。

关键设计：

• 使用数据库唯一索引防止重复更新。
• 接口超时时间从 1 秒调整为 3 秒，配合客户端重试。
• 增加状态流转监控，实时告警异常状态（如“已触发”超过 5 分钟未更新）。

风险与边界

1. 分布式锁性能瓶颈：Etcd 锁在高并发下可能成为瓶颈，需限制调度任务密度，或引入分片调度。
2. 消息积压风险：MQ 消息积压可能导致延迟触发，需监控消费延迟，动态扩容消费者。
3. 第三方 API 限制：部分平台对发帖频率有限制，需在执行服务中实现限流与排队。
4. 状态回写延迟：极端情况下状态更新可能滞后，需在前端展示“处理中”状态，避免用户误判。

最后总结

定时发帖未发出问题，本质是分布式系统中状态机流转断裂与消息不可靠的综合体现。通过引入分布式调度协调、可靠消息投递、状态回写重试与接口幂等设计，可构建端到端的可靠执行链路。关键在于：

• 调度不依赖本地时间，确保触发准确。
• 消息投递实现“至少一次”保障。
• 状态更新实现“最终一致”。
• 监控覆盖全链路，快速定位断裂点。

该方案已在生产环境灰度上线，任务执行成功率从 87% 提升至 99.6%，状态一致性达 99.9%。

技术补丁包

1. 分布式调度协调实现
   原理：基于 Etcd 的 lease 机制实现分布式锁，确保同一任务仅由一个实例触发。
   设计动机：解决多实例部署下的触发遗漏与重复问题，提升调度准确性。
   边界条件：Etcd 集群需高可用，锁超时时间需大于最大调度间隔。
   落地建议：使用clientv3库实现锁获取与释放，触发后立即写入数据库事件表。

2. MQ 消息可靠投递策略
   原理：生产者实现指数退避重试，等待服务端 ACK，确保消息不丢失。
   设计动机：应对网络抖动与短暂故障，提升消息投递成功率。
   边界条件：重试次数与间隔需平衡延迟与资源消耗，避免雪崩。
   落地建议：配置maxRetries=10，退避因子为 2，最大间隔 5 秒，开启消息持久化。

3. 执行服务状态回写重试机制
   原理：本地重试队列 + 幂等状态更新，确保任务状态最终一致。
   设计动机：解决第三方调用失败后状态未更新的问题，提升用户体验。
   边界条件：重试次数有限，需结合告警机制处理持续失败任务。
   落地建议：使用内存队列 + Redis 备份，状态更新接口实现基于任务 ID 的幂等校验。