Балансировка трафика между цепями

1) Зачем балансировать

• стабильные SLO при всплесках нагрузки;
• минимизацию комиссий/DA-расходов при сохранении финальности;
• отказоустойчивость (автопереключение на здоровые домены);
• соблюдение политик доступа и региональных ограничений.

2) Профили трафика (что именно балансируем)

Команды с дедлайном (Q4): кросс-чейн вызовы, финальные подтверждения, операции риска.
Упорядоченные потоки (Q3): события с причинностью по ключу (пользователь/сессия/asset).
Exactly-once эффективно (Q2): переносы прав/квот, биллинг, снапшоты.
Массовые события (Q1/Q0): телеметрия, индексы, фоновая аналитика.

Для каждого класса определяем требования к порядку, идемпотентности, финальности и комплаенсу.

3) Модель принятия решения о маршруте

Utility(route) = wL·Latency_EWMA + wQ·QueueDepth + wC·Cost_per_unit
+ wR·RiskScore + wF·FinalityTime + wA·AvailabilityScore
+ wG·Geo/CompliancePenalty

Latency_EWMA: экспоненциально сглаженная задержка end-to-end.
QueueDepth: очередь секвенсера/бриджа/DA.
Cost_per_unit: gas/DA-байт/egress.
RiskScore: интегрированный риск (инциденты, слэшинг, MEV-политика).
FinalityTime: ожидаемая финальность (с учетом challenge-окон).
Geo/CompliancePenalty: штраф за нарушения гео-правил/лимитов.

Маршрут выбирается по минимальной Utility при соблюдении жестких инвариантов (комплаенс, порядок, квоты).

4) Политики балансировки

Latency-aware: распределение по наименьшей ожидаемой латентности при соблюдении порядка по ключу (consistent hashing + переспред по «горячим» ключам).
Cost-aware: при равных SLO — на маршрут с минимальной совокупной стоимостью (gas+DA+бридж).
Risk-aware: избегаем доменов с повышенным риском (последние инциденты/аномалии).
Capacity-aware: учет квот и «красных линий» по каждому домену/бриджу/DA.
Geo/Policy-aware: маршрутизация только в разрешенные домены (Compliance Gate).
Sticky per key: закрепление потока по ключу для Q3; переключение только при деградации и с безопасным «дренажом».

5) Алгоритмы и механика

Consistent Hashing + Hot-Shard Relief: основа порядка; «горячие» ключи временно размазываются через под-ключи/шардинг с детерминированным re-key.
EWMA/Percentile-routing: решение по p95; защита от ложных «пионов» по p50.
Leaky/Bucket квоты на маршрут: токены по классу QoS, аварийные стоп-краны.
Circuit Breakers: per-route trip, быстрый failover, постепенный half-open.
Outbox/Inbox Exactly-Once: идемпотентность на концах, дедуп по `x_msg_id`.
Ordered MPSC: упорядочивание по ключу в рамках выбранного маршрута; при failover — «заморозка» и перенос с replay-барьером.
PID-контроллер: удержание целевой p95 и глубины очередей, авто-тюнинг распределения долей.

6) Гарантии и инварианты

Порядок: сохраняется по ключу причины (user/session/asset). Для Q3 — strict; для Q4 — strict + дедлайны.
Идемпотентность: обязательная для Q1–Q4; ключ обработки + seen-таблицы с TTL.
Финальность: решения учитывают время финальности домена и challenge-окна бриджа.
Безопасность: подписи, доказательства состояния (state proofs), анти-реплей (nonce/TTL).
Согласованность тарифов: недопустим арбитраж из-за рассинхрона цен/лимитов.

7) Интеграция с бриджами, DA и мессенджингом

Bridge Fabric: выбор релеера/моста по риску/стоимости/финальности; залоги S и история R-репутации.
DA-слой: маршрутизация публикаций по цене/скорости; раздельные очереди и квоты.
Messaging Hub: дедуп/подтверждения, TTL, маршрутизация с учетом политики RNFT-прав.
Sequencer Pools: распределение на честные секвенсеры; защита от MEV через приватные очереди.

8) Экономика и стимулы

Перекрестные тарифы: цены подстраиваются под загрузку (surge) в коридоре治理.
Бонус качества: домены с устойчивым SLO получают меньше take-rate/больше объема.
Штрафы: за SLA-брейки — снижение доли/слэшинг S-залога; за ложные подтверждения — жесткий слэш.
Квоты RNFT: персональные права/лимиты маршрута для аффилиатов, провайдеров, валидаторов.

9) Комплаенс и гео-правила

Geo-фильтры: белые списки доменов по региону, возрастные/санкционные политики.
ZK-пропуски: доказательство соответствия без раскрытия ПДн.
Налоговые удержания: автоматом на маршруте (Compliance Gate).
Fail-closed: при неясности статуса — блокировка, а не разрешение.

10) Наблюдаемость и алерты

Сквозная трассировка: `x_msg_id`, стадия бриджа, DA-публикация, финальность.
Метрики по маршруту: p50/p95/p99, drop/timeout/retry, duplicate ratio, queue depth, finality lag, cost/req.
Здоровье доменов: heartbeat, error budgets, инциденты безопасности.
Дашборды: Cross-Chain Latency, Bridge Risk, DA Throughput, Route Surge, Finality Heatmap.

11) Инциденты и деградации

1. Детект: всплеск p95/тайм-ауты/ошибки моста/рост finality lag.
2. Изоляция: trip circuit → reroute; снижение квот, включение «жестких» лимитов.
3. Компенсация: выплаты из страхового пула по RNFT-условиям.
4. Пост-мортем: причины, корректировка весов/коридоров/штрафов, обновление сигнатур риска.

12) Плейбук внедрения

1. Картирование потоков: ключи причинности, классы QoS, требования комплаенса.
2. Сбор телеметрии: latency, финальность, стоимость, риски по доменам/мостам/DA.
3. Дизайн политик: Utility-функция, веса/коридоры, квоты и стоп-краны.
4. Контуры гарантии: outbox/inbox, дедуп, порядковые барьеры, feature-flags для failover.
5. Интеграция: Messaging Hub, Bridge Fabric, DA-Publisher, Compliance Gate.
6. Наблюдаемость: трассировка, метрики, алерты, DLQ/Replay.
7. Game-days: имитация падения домена/роста стоимости/задержки финальности.
8. 治理: процесс изменения весов/цен/лимитов (пропозалы, sunset-правки).

13) KPI балансировки

Доставка: успешность ≥ 99.9% (Q3), ≥ 99.99% (Q4); нарушение порядка ≤ 10⁻⁶/сообщение.
Задержка: p95 end-to-end ≤ целевого порога по классу; TailAmplification (p99/p50) в коридоре.
Финальность: median finality ≤ целевых значений для маршрута; orphan/reorg rate в норме.
Экономика: Cost/Req ↓ при сохранении SLO; «surge» не выше коридора治理.
Устойчивость: MTTR инцидента ≤ целевого; частота переключений (flap) под контролем.
Комплаенс: 100% прохождение geo/age/санкционных проверок; нулевые нарушения политики.

14) Чек-лист прод-готовности

• Определены ключи причинности и классы QoS
• Реализованы consistent hashing, ordered MPSC и безопасный failover
• Включены outbox/inbox, идемпотентность и дедуп по `x_msg_id`
• Настроены квоты/лимиты per-route и circuit breakers
• Интегрированы Bridge Fabric, DA-Publisher, Compliance Gate
• Доступны дашборды latency/finality/cost/risk и алерты
• Отработаны game-days (падение домена/моста/DA)
• Оформлены治理-процедуры смены весов/цен/лимитов (с sunset)

15) Глоссарий

Finality: гарантированная необратимость транзакции/события.
Bridge Fabric: слой релееров/мостов с доказуемыми подтверждениями.
DA (Data Availability): публикация/хранение данных для rollup/доменов.
Consistent Hashing: детерминированное распределение ключей по маршрутам.
Circuit Breaker: автоматическое выключение деградировавшего маршрута.
Utility-routing: выбор маршрута по агрегированной полезности (задержка/стоимость/риск/финальность/комплаенс).

Итог: балансировка трафика между цепями — это управление компромиссами между задержкой, стоимостью, риском и финальностью под жесткими инвариантами порядка и комплаенса. Стандартизованные политики, телеметрия и治理 превращают мультичейн-сеть в адаптивную систему, выдерживающую всплески, инциденты и ценовые шоки без потери доверия и SLO.