@luanpdd/kit-mcp 1.21.0 → 1.26.0
This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.
- package/LICENSE +21 -21
- package/README.md +914 -648
- package/kit/COMANDOS.md +138 -138
- package/kit/README.md +76 -52
- package/kit/agents/advisor-researcher.md +106 -106
- package/kit/agents/assumptions-analyzer.md +107 -107
- package/kit/agents/audit-log-implementer.md +138 -0
- package/kit/agents/auditor-consistencia-isolamento.md +413 -0
- package/kit/agents/codebase-mapper.md +768 -768
- package/kit/agents/crm-pipeline-implementer.md +106 -0
- package/kit/agents/debugger.md +813 -772
- package/kit/agents/detector-tenant-quente.md +337 -0
- package/kit/agents/evolution-go-integrator.md +21 -0
- package/kit/agents/example-reviewer.md +21 -21
- package/kit/agents/executor.md +564 -523
- package/kit/agents/integration-checker.md +200 -200
- package/kit/agents/invite-flow-implementer.md +52 -0
- package/kit/agents/lgpd-compliance-auditor.md +89 -0
- package/kit/agents/multi-tenant-isolation-auditor.md +10 -0
- package/kit/agents/multi-tenant-rls-writer.md +78 -0
- package/kit/agents/nyquist-auditor.md +178 -178
- package/kit/agents/org-onboarding-implementer.md +21 -0
- package/kit/agents/phase-researcher.md +696 -696
- package/kit/agents/plan-checker.md +272 -272
- package/kit/agents/planner.md +922 -891
- package/kit/agents/project-researcher.md +652 -652
- package/kit/agents/research-synthesizer.md +245 -245
- package/kit/agents/roadmapper.md +677 -677
- package/kit/agents/supabase-architect.md +27 -0
- package/kit/agents/supabase-auth-bootstrapper.md +80 -0
- package/kit/agents/supabase-column-privileges-writer.md +399 -0
- package/kit/agents/supabase-migration-writer.md +141 -14
- package/kit/agents/supabase-rbac-implementer.md +392 -0
- package/kit/agents/supabase-rls-hardener.md +521 -0
- package/kit/agents/supabase-rls-writer.md +105 -9
- package/kit/agents/supabase-roles-implementer.md +355 -0
- package/kit/agents/super-admin-implementer.md +99 -0
- package/kit/agents/ui-auditor.md +437 -437
- package/kit/agents/ui-checker.md +302 -302
- package/kit/agents/ui-researcher.md +355 -355
- package/kit/agents/user-profiler.md +175 -175
- package/kit/agents/validador-evolucao-schema.md +335 -0
- package/kit/agents/verifier.md +728 -728
- package/kit/commands/adicionar-backlog.md +75 -75
- package/kit/commands/adicionar-fase.md +42 -42
- package/kit/commands/adicionar-tarefa.md +45 -45
- package/kit/commands/adicionar-testes.md +41 -41
- package/kit/commands/ajuda.md +21 -21
- package/kit/commands/atualizar.md +37 -37
- package/kit/commands/auditar-marco.md +179 -179
- package/kit/commands/auditar-uat.md +23 -23
- package/kit/commands/autonomo.md +40 -40
- package/kit/commands/branch-pr.md +24 -24
- package/kit/commands/concluir-marco.md +247 -247
- package/kit/commands/configuracoes.md +36 -36
- package/kit/commands/dados-distribuidos.md +188 -0
- package/kit/commands/definir-perfil.md +10 -10
- package/kit/commands/depurar.md +190 -190
- package/kit/commands/discutir-fase.md +131 -131
- package/kit/commands/entrar-discord.md +17 -17
- package/kit/commands/estatisticas.md +18 -18
- package/kit/commands/example-greeting.md +33 -33
- package/kit/commands/executar-fase.md +58 -58
- package/kit/commands/expresso.md +56 -56
- package/kit/commands/fase-ui.md +34 -34
- package/kit/commands/fazer.md +57 -57
- package/kit/commands/fio.md +125 -125
- package/kit/commands/fluxos-trabalho.md +64 -64
- package/kit/commands/forense.md +176 -176
- package/kit/commands/gerenciador.md +38 -38
- package/kit/commands/inserir-fase.md +31 -31
- package/kit/commands/limpeza.md +17 -17
- package/kit/commands/listar-hipoteses-fase.md +45 -45
- package/kit/commands/listar-workspaces.md +18 -18
- package/kit/commands/mapear-codebase.md +70 -70
- package/kit/commands/nota.md +33 -33
- package/kit/commands/novo-marco.md +43 -43
- package/kit/commands/novo-projeto.md +41 -41
- package/kit/commands/novo-workspace.md +43 -43
- package/kit/commands/pausar-trabalho.md +37 -37
- package/kit/commands/perfil-usuario.md +45 -45
- package/kit/commands/pesquisar-fase.md +195 -195
- package/kit/commands/planejar-fase.md +67 -67
- package/kit/commands/planejar-lacunas.md +33 -33
- package/kit/commands/plantar-ideia.md +25 -25
- package/kit/commands/progresso.md +24 -24
- package/kit/commands/proximo.md +30 -30
- package/kit/commands/publicar.md +490 -490
- package/kit/commands/rapido.md +35 -35
- package/kit/commands/reaplicar-patches.md +124 -124
- package/kit/commands/relatorio-sessao.md +19 -19
- package/kit/commands/remover-fase.md +31 -31
- package/kit/commands/remover-workspace.md +26 -26
- package/kit/commands/resumo-marco.md +50 -50
- package/kit/commands/retomar-trabalho.md +40 -40
- package/kit/commands/revisar-backlog.md +60 -60
- package/kit/commands/revisar-ui.md +32 -32
- package/kit/commands/revisar.md +37 -37
- package/kit/commands/saude.md +21 -21
- package/kit/commands/setup-notion.md +93 -93
- package/kit/commands/supabase.md +55 -8
- package/kit/commands/sync-main.md +68 -68
- package/kit/commands/validar-fase.md +35 -35
- package/kit/commands/verificar-tarefas.md +44 -44
- package/kit/commands/verificar-trabalho.md +64 -64
- package/kit/file-manifest.json +52 -32
- package/kit/framework/bin/lib/commands.cjs +959 -959
- package/kit/framework/bin/lib/config.cjs +442 -442
- package/kit/framework/bin/lib/core.cjs +1230 -1230
- package/kit/framework/bin/lib/frontmatter.cjs +336 -336
- package/kit/framework/bin/lib/init.cjs +1442 -1442
- package/kit/framework/bin/lib/milestone.cjs +252 -252
- package/kit/framework/bin/lib/model-profiles.cjs +68 -68
- package/kit/framework/bin/lib/phase.cjs +888 -888
- package/kit/framework/bin/lib/profile-output.cjs +952 -952
- package/kit/framework/bin/lib/profile-pipeline.cjs +539 -539
- package/kit/framework/bin/lib/roadmap.cjs +329 -329
- package/kit/framework/bin/lib/security.cjs +382 -382
- package/kit/framework/bin/lib/state.cjs +1031 -1031
- package/kit/framework/bin/lib/template.cjs +222 -222
- package/kit/framework/bin/lib/uat.cjs +282 -282
- package/kit/framework/bin/lib/verify.cjs +888 -888
- package/kit/framework/bin/lib/workstream.cjs +491 -491
- package/kit/framework/bin/tools.cjs +918 -918
- package/kit/framework/commands/workstreams.md +63 -63
- package/kit/framework/references/checkpoints.md +778 -778
- package/kit/framework/references/continuation-format.md +249 -249
- package/kit/framework/references/decimal-phase-calculation.md +64 -64
- package/kit/framework/references/git-integration.md +295 -295
- package/kit/framework/references/git-planning-commit.md +38 -38
- package/kit/framework/references/model-profile-resolution.md +36 -36
- package/kit/framework/references/model-profiles.md +139 -139
- package/kit/framework/references/phase-argument-parsing.md +61 -61
- package/kit/framework/references/planning-config.md +202 -202
- package/kit/framework/references/questioning.md +162 -162
- package/kit/framework/references/tdd.md +263 -263
- package/kit/framework/references/ui-brand.md +160 -160
- package/kit/framework/references/user-profiling.md +657 -657
- package/kit/framework/references/verification-patterns.md +612 -612
- package/kit/framework/references/workstream-flag.md +58 -58
- package/kit/framework/templates/DEBUG.md +164 -164
- package/kit/framework/templates/UAT.md +265 -265
- package/kit/framework/templates/UI-SPEC.md +100 -100
- package/kit/framework/templates/VALIDATION.md +76 -76
- package/kit/framework/templates/claude-md.md +122 -122
- package/kit/framework/templates/codebase/architecture.md +185 -185
- package/kit/framework/templates/codebase/concerns.md +205 -205
- package/kit/framework/templates/codebase/conventions.md +204 -204
- package/kit/framework/templates/codebase/integrations.md +192 -192
- package/kit/framework/templates/codebase/stack.md +158 -158
- package/kit/framework/templates/codebase/structure.md +199 -199
- package/kit/framework/templates/codebase/testing.md +301 -301
- package/kit/framework/templates/config.json +44 -44
- package/kit/framework/templates/context.md +352 -352
- package/kit/framework/templates/continue-here.md +78 -78
- package/kit/framework/templates/copilot-instructions.md +7 -7
- package/kit/framework/templates/debug-subagent-prompt.md +91 -91
- package/kit/framework/templates/dev-preferences.md +20 -20
- package/kit/framework/templates/discovery.md +146 -146
- package/kit/framework/templates/discussion-log.md +63 -63
- package/kit/framework/templates/milestone-archive.md +123 -123
- package/kit/framework/templates/milestone.md +115 -115
- package/kit/framework/templates/phase-prompt.md +610 -610
- package/kit/framework/templates/planner-subagent-prompt.md +117 -117
- package/kit/framework/templates/project.md +186 -186
- package/kit/framework/templates/requirements.md +231 -231
- package/kit/framework/templates/research-project/ARCHITECTURE.md +204 -204
- package/kit/framework/templates/research-project/FEATURES.md +147 -147
- package/kit/framework/templates/research-project/PITFALLS.md +200 -200
- package/kit/framework/templates/research-project/STACK.md +120 -120
- package/kit/framework/templates/research-project/SUMMARY.md +170 -170
- package/kit/framework/templates/research.md +419 -419
- package/kit/framework/templates/retrospective.md +54 -54
- package/kit/framework/templates/roadmap.md +202 -202
- package/kit/framework/templates/state.md +176 -176
- package/kit/framework/templates/summary-complex.md +59 -59
- package/kit/framework/templates/summary-minimal.md +41 -41
- package/kit/framework/templates/summary-standard.md +48 -48
- package/kit/framework/templates/summary.md +209 -209
- package/kit/framework/templates/user-profile.md +146 -146
- package/kit/framework/templates/user-setup.md +256 -256
- package/kit/framework/templates/verification-report.md +258 -258
- package/kit/framework/workflows/add-phase.md +112 -112
- package/kit/framework/workflows/add-tests.md +351 -351
- package/kit/framework/workflows/add-todo.md +158 -158
- package/kit/framework/workflows/audit-milestone.md +340 -340
- package/kit/framework/workflows/audit-uat.md +109 -109
- package/kit/framework/workflows/autonomous.md +891 -891
- package/kit/framework/workflows/check-todos.md +177 -177
- package/kit/framework/workflows/cleanup.md +152 -152
- package/kit/framework/workflows/complete-milestone.md +696 -696
- package/kit/framework/workflows/diagnose-issues.md +231 -231
- package/kit/framework/workflows/discovery-phase.md +289 -289
- package/kit/framework/workflows/discuss-phase-assumptions.md +653 -653
- package/kit/framework/workflows/discuss-phase.md +784 -784
- package/kit/framework/workflows/do.md +104 -104
- package/kit/framework/workflows/execute-phase.md +838 -838
- package/kit/framework/workflows/execute-plan.md +510 -510
- package/kit/framework/workflows/fast.md +102 -102
- package/kit/framework/workflows/forensics.md +265 -265
- package/kit/framework/workflows/health.md +181 -181
- package/kit/framework/workflows/help.md +619 -619
- package/kit/framework/workflows/insert-phase.md +130 -130
- package/kit/framework/workflows/list-phase-assumptions.md +178 -178
- package/kit/framework/workflows/list-workspaces.md +56 -56
- package/kit/framework/workflows/manager.md +362 -362
- package/kit/framework/workflows/map-codebase.md +377 -377
- package/kit/framework/workflows/milestone-summary.md +223 -223
- package/kit/framework/workflows/new-milestone.md +486 -486
- package/kit/framework/workflows/new-project.md +1159 -1159
- package/kit/framework/workflows/new-workspace.md +237 -237
- package/kit/framework/workflows/next.md +97 -97
- package/kit/framework/workflows/node-repair.md +92 -92
- package/kit/framework/workflows/note.md +156 -156
- package/kit/framework/workflows/pause-work.md +176 -176
- package/kit/framework/workflows/plan-milestone-gaps.md +273 -273
- package/kit/framework/workflows/plan-phase.md +765 -765
- package/kit/framework/workflows/plant-seed.md +169 -169
- package/kit/framework/workflows/pr-branch.md +129 -129
- package/kit/framework/workflows/profile-user.md +450 -450
- package/kit/framework/workflows/progress.md +507 -507
- package/kit/framework/workflows/quick.md +757 -757
- package/kit/framework/workflows/remove-phase.md +155 -155
- package/kit/framework/workflows/remove-workspace.md +90 -90
- package/kit/framework/workflows/research-phase.md +82 -82
- package/kit/framework/workflows/resume-project.md +326 -326
- package/kit/framework/workflows/review.md +228 -228
- package/kit/framework/workflows/session-report.md +146 -146
- package/kit/framework/workflows/settings.md +283 -283
- package/kit/framework/workflows/ship.md +228 -228
- package/kit/framework/workflows/stats.md +60 -60
- package/kit/framework/workflows/transition.md +671 -671
- package/kit/framework/workflows/ui-phase.md +302 -302
- package/kit/framework/workflows/ui-review.md +165 -165
- package/kit/framework/workflows/update.md +323 -323
- package/kit/framework/workflows/validate-phase.md +174 -174
- package/kit/framework/workflows/verify-phase.md +252 -252
- package/kit/framework/workflows/verify-work.md +637 -637
- package/kit/hooks/check-update.js +118 -118
- package/kit/hooks/context-monitor.js +163 -163
- package/kit/hooks/prompt-guard.js +103 -103
- package/kit/hooks/statusline.js +125 -125
- package/kit/hooks/workflow-guard.js +101 -101
- package/kit/settings.json +45 -45
- package/kit/skills/_shared-dados-distribuidos/glossary.md +224 -0
- package/kit/skills/_shared-supabase/glossary.md +27 -0
- package/kit/skills/armadilhas-sistemas-distribuidos/SKILL.md +447 -0
- package/kit/skills/audit-log-multi-tenant/SKILL.md +6 -0
- package/kit/skills/cascading-failures/SKILL.md +4 -0
- package/kit/skills/consistencia-leitura-replica/SKILL.md +385 -0
- package/kit/skills/crm-lead-pipeline-patterns/SKILL.md +17 -0
- package/kit/skills/escolha-modelo-consistencia/SKILL.md +495 -0
- package/kit/skills/evolucao-schema-compativel/SKILL.md +448 -0
- package/kit/skills/example-skill/SKILL.md +42 -42
- package/kit/skills/multi-tenant-performance-scaling/SKILL.md +4 -0
- package/kit/skills/multi-tenant-rls-hierarchy/SKILL.md +4 -0
- package/kit/skills/postgres-isolamento-concorrencia/SKILL.md +552 -0
- package/kit/skills/rbac-permissions-matrix-supabase/SKILL.md +37 -0
- package/kit/skills/streams-eventos-cdc/SKILL.md +712 -0
- package/kit/skills/supabase-column-level-security/SKILL.md +426 -0
- package/kit/skills/supabase-cron-queues/SKILL.md +9 -0
- package/kit/skills/supabase-custom-claims-rbac/SKILL.md +472 -0
- package/kit/skills/supabase-database-functions/SKILL.md +85 -0
- package/kit/skills/supabase-migrations/SKILL.md +133 -11
- package/kit/skills/supabase-postgres-roles/SKILL.md +392 -0
- package/kit/skills/supabase-rls-defense-in-depth/SKILL.md +418 -0
- package/kit/skills/supabase-rls-policies/SKILL.md +462 -12
- package/kit/skills/super-admin-platform-pattern/SKILL.md +4 -0
- package/kit/skills/tenant-quente-mitigacao/SKILL.md +605 -0
- package/package.json +63 -63
- package/src/core/kit.js +216 -216
- package/src/core/reflect.js +247 -247
- package/src/core/reverse-sync.js +372 -372
- package/src/core/sync.js +418 -418
- package/src/core/watch.js +121 -121
|
@@ -0,0 +1,447 @@
|
|
|
1
|
+
---
|
|
2
|
+
name: armadilhas-sistemas-distribuidos
|
|
3
|
+
description: Use ao desenhar lógica que depende de relógio (expiração, TTL, ordenação por timestamp) ou distributed lock em Supabase — perigos clock skew (now() vs clock_timestamp() vs transaction_timestamp() semantics), fencing tokens canônicos para distributed locks (pg_advisory_xact_lock + sequence monotônico), GC pause / process pause + impacto split-brain, falhas parciais (timeout-based detection é falaciosa, phi accrual failure detector), modelos sistema (byzantine vs crash-stop vs crash-recovery — Supabase = crash-recovery).
|
|
4
|
+
---
|
|
5
|
+
|
|
6
|
+
# Armadilhas de Sistemas Distribuídos — Clock Skew, Fencing Tokens, GC Pause, Falhas Parciais, Modelos de Sistema
|
|
7
|
+
|
|
8
|
+
## Quando usar
|
|
9
|
+
|
|
10
|
+
LLM carrega esta skill ao desenhar ou revisar código que depende de relógio (expiração, TTL, ordenação por timestamp) ou distributed lock em ambiente Supabase / Edge Function. Trigger phrases:
|
|
11
|
+
|
|
12
|
+
- "TTL expirado", "lease", "deadline", "timeout"
|
|
13
|
+
- "clock skew", "wall clock", "now() vs clock_timestamp()", "timestamp errado"
|
|
14
|
+
- "ordenação por timestamp", "ordering cross-node"
|
|
15
|
+
- "distributed lock", "leader election", "advisory lock", "fencing token"
|
|
16
|
+
- "split brain", "GC pause", "process pause", "stop-the-world"
|
|
17
|
+
- "nó morto vs lento", "detecção de falha", "phi accrual", "heartbeat"
|
|
18
|
+
- "byzantine fault", "crash-recovery model", "crash-stop"
|
|
19
|
+
- "Edge Function não responde", "lock que não libera"
|
|
20
|
+
|
|
21
|
+
Esta skill **estende** [`cascading-failures`](../cascading-failures/SKILL.md) (v1.11) — herda noção de timeout vs falha real e adiciona armadilhas de relógio + fencing tokens + modelos de sistema (cap 8 DDIA).
|
|
22
|
+
|
|
23
|
+
Termos canônicos preservados em EN porque são padrão internacional do livro DDIA Ch 8 + literatura de sistemas distribuídos. Definições PT-BR ↔ EN no glossário [`_shared-dados-distribuidos/glossary.md`](../_shared-dados-distribuidos/glossary.md) seção (e).
|
|
24
|
+
|
|
25
|
+
## Regras absolutas
|
|
26
|
+
|
|
27
|
+
**REGRA #1 (NUNCA wall clock para lógica de expiração):** `clock_timestamp()` retorna real-time wall clock que pode pular (forward ou backward) quando NTP corrige drift. NUNCA usar para expirar TTL, lease, invite token, ordenação cross-transaction. Use `now()` ou `transaction_timestamp()` (alias) — monotônico DENTRO da transação. Para timestamp absoluto persistido, escreva `now()` na transação que cria o token.
|
|
28
|
+
|
|
29
|
+
**REGRA #2 (lock distribuído sem fencing token = split-brain garantido):** Qualquer pattern de "adquire lease 30s + faz trabalho" é vulnerável a GC pause / network partition / VM suspend. Mitigação **obrigatória**: token de fencing monotônico crescente; o storage rejeita writes com `last_token < $token`. Sem fencing, dois processos podem se achar líder simultaneamente e gerar writes conflitantes. Pattern Postgres canônico: `pg_advisory_xact_lock(hashtext('lock_name'))` + `nextval('fencing_tokens_seq')`.
|
|
30
|
+
|
|
31
|
+
**REGRA #3 (timeout fixo para detectar nó morto = false positives):** Timeout binário (responde em N ms = vivo, não responde = morto) confunde lentidão com morte. Em rede sob carga, RTT pode subir 10× sem o nó estar morto. Mitigação: timeout dinâmico baseado em P99 RTT histórico (`>= 3× P99`) + consenso de N-1 nós antes de declarar morto.
|
|
32
|
+
|
|
33
|
+
**REGRA #4 (default Supabase = crash-recovery model):** Em Supabase você assume `crash-recovery` — Edge Functions reiniciam, Postgres faz failover preservando WAL, jobs pgmq são re-entregues após crash. NÃO assuma `crash-stop` (nó nunca volta). NÃO assuma `byzantine` (nó mente) — fora do scope, apenas blockchain/safety-critical.
|
|
34
|
+
|
|
35
|
+
**REGRA #5 (lentidão é a pior falha — pior que down):** Nó completamente down é facilmente detectável (TCP RST imediato, conexão recusada). Nó "limping" (Gigabit interface caiu para 1 kbit/s por driver bug — exemplo DDIA Ch 8 nota [90]) ainda responde mas degrada o sistema inteiro. Mitigação: SLO-based health check (latência P99 > N ms = unhealthy, não apenas "respondeu sim/não").
|
|
36
|
+
|
|
37
|
+
## Patterns canônicos
|
|
38
|
+
|
|
39
|
+
### REQ ARMADILHAS-01 — Clock skew: tabela canônica de timestamps Postgres
|
|
40
|
+
|
|
41
|
+
| Função | Semântica | Quando usar | Quando NÃO |
|
|
42
|
+
|---|---|---|---|
|
|
43
|
+
| `now()` / `transaction_timestamp()` | **Início da transação** — monotônico DENTRO da transação (todas as chamadas dentro da mesma trx retornam o mesmo valor) | Audit log timestamps, default values em colunas `created_at`/`updated_at`, lógica de expiração persistida ("token expira em `now() + interval '7 days'`") | Profiling de performance dentro da trx (não muda) |
|
|
44
|
+
| `statement_timestamp()` | **Início do statement atual** — diferente entre statements da mesma trx | Profiling: `select clock_timestamp() - statement_timestamp() as elapsed` para latência por statement | Lógica de expiração (mesma trx pode ter valores diferentes) |
|
|
45
|
+
| `clock_timestamp()` | **Real-time wall clock** — muda a cada chamada; pode pular forward ou backward se NTP corrige drift | Logs de duração interna (mensurar quanto tempo X levou no MEIO de uma trx) | **NUNCA** lógica de expiração; **NUNCA** ordenação cross-transaction; **NUNCA** TTL de lease |
|
|
46
|
+
| `current_timestamp` (palavra-chave SQL) | Sinônimo de `transaction_timestamp()` — início da transação | Idem `now()` | Idem `now()` |
|
|
47
|
+
|
|
48
|
+
#### Exemplo errado vs certo
|
|
49
|
+
|
|
50
|
+
**Errado:**
|
|
51
|
+
```sql
|
|
52
|
+
-- Token expira 24h após criação — usando wall clock
|
|
53
|
+
insert into public.api_tokens (token, expires_at)
|
|
54
|
+
values ($1, clock_timestamp() + interval '24 hours');
|
|
55
|
+
```
|
|
56
|
+
|
|
57
|
+
Por quê: `clock_timestamp()` é real-time. Se NTP corrige drift backward (raro mas possível), o `expires_at` pode ser MENOR que `now()` da próxima validação — token já nasce expirado.
|
|
58
|
+
|
|
59
|
+
**Certo:**
|
|
60
|
+
```sql
|
|
61
|
+
-- Token expira 24h após criação — usando início da transação
|
|
62
|
+
insert into public.api_tokens (token, expires_at)
|
|
63
|
+
values ($1, now() + interval '24 hours');
|
|
64
|
+
|
|
65
|
+
-- Validação na próxima transação
|
|
66
|
+
select * from public.api_tokens
|
|
67
|
+
where token = $1
|
|
68
|
+
and expires_at > now();
|
|
69
|
+
```
|
|
70
|
+
|
|
71
|
+
#### Profile latência interna sem violar a regra
|
|
72
|
+
|
|
73
|
+
```sql
|
|
74
|
+
-- Profiling DENTRO de uma trx — clock_timestamp OK aqui (não persistido)
|
|
75
|
+
do $$
|
|
76
|
+
declare
|
|
77
|
+
t0 timestamptz := clock_timestamp();
|
|
78
|
+
begin
|
|
79
|
+
perform expensive_function();
|
|
80
|
+
raise notice 'Levou %', clock_timestamp() - t0;
|
|
81
|
+
end $$;
|
|
82
|
+
```
|
|
83
|
+
|
|
84
|
+
---
|
|
85
|
+
|
|
86
|
+
### REQ ARMADILHAS-02 — Fencing tokens canônicos para distributed locks
|
|
87
|
+
|
|
88
|
+
#### Pattern Postgres completo
|
|
89
|
+
|
|
90
|
+
```sql
|
|
91
|
+
-- (a) Sequence monotônica para fencing tokens
|
|
92
|
+
create sequence if not exists fencing_tokens_seq;
|
|
93
|
+
|
|
94
|
+
-- (b) Tabela protegida por fencing
|
|
95
|
+
create table public.locked_resource (
|
|
96
|
+
id uuid primary key,
|
|
97
|
+
last_token bigint not null default 0,
|
|
98
|
+
value text,
|
|
99
|
+
updated_at timestamptz not null default now()
|
|
100
|
+
);
|
|
101
|
+
|
|
102
|
+
-- (c) Acquire lock + obter token (em uma transação)
|
|
103
|
+
begin;
|
|
104
|
+
|
|
105
|
+
-- pg_advisory_xact_lock: lock por nome lógico, libera no commit/rollback
|
|
106
|
+
select pg_advisory_xact_lock(hashtext('resource:42'));
|
|
107
|
+
|
|
108
|
+
-- nextval é safe sob concorrência — sequences são MVCC-exempt
|
|
109
|
+
select nextval('fencing_tokens_seq') as token;
|
|
110
|
+
-- (assume retornou: token = 17)
|
|
111
|
+
|
|
112
|
+
-- Faz o trabalho longo aqui (ex: chamar API externa, computar coisa cara)
|
|
113
|
+
|
|
114
|
+
-- Storage rejeita writes com token < último visto
|
|
115
|
+
update public.locked_resource
|
|
116
|
+
set value = $1,
|
|
117
|
+
last_token = 17,
|
|
118
|
+
updated_at = now()
|
|
119
|
+
where id = $resource_id
|
|
120
|
+
and last_token < 17;
|
|
121
|
+
-- if rowcount = 0: outro processo com token MAIOR já escreveu — abort
|
|
122
|
+
|
|
123
|
+
commit;
|
|
124
|
+
```
|
|
125
|
+
|
|
126
|
+
#### Aplicações canônicas em Supabase
|
|
127
|
+
|
|
128
|
+
| Use case | Lock name | Fencing rationale |
|
|
129
|
+
|---|---|---|
|
|
130
|
+
| Super-admin impersonation com TTL 30min | `super_admin:impersonate:<actor_id>` | Edge Function pode sofrer timeout de 60s; sem fencing, segunda invocação assume sessão vencida e duas escritas concorrentes corrompem audit log. Ver [super-admin-platform-pattern](../super-admin-platform-pattern/SKILL.md) |
|
|
131
|
+
| Job agendado pgmq que processa fila | `pgmq:worker:<queue_name>:<batch_id>` | Worker pode crashar mid-batch; fencing garante que retry não duplica processamento mesmo se o worker original "voltar" zumbi |
|
|
132
|
+
| Eleição de líder simples (substituto leve de ZooKeeper) | `leader:<region>` | Nó "líder" sofre GC pause de 60s; outro nó assume; fencing rejeita writes do nó antigo quando volta. Ver REQ ARMADILHAS-03 abaixo |
|
|
133
|
+
|
|
134
|
+
---
|
|
135
|
+
|
|
136
|
+
### REQ ARMADILHAS-03 — GC pause / process pause: cenário split-brain canônico + mitigação
|
|
137
|
+
|
|
138
|
+
#### Cenário canônico (DDIA Ch 8 p. 287-291)
|
|
139
|
+
|
|
140
|
+
```
|
|
141
|
+
T = 0s Nó A adquire lease 30s no resource R; recebe token = 17
|
|
142
|
+
T = 0s Nó A começa trabalho lento (ex: write em S3 + DB)
|
|
143
|
+
|
|
144
|
+
T = 5s Nó A entra em GC pause (stop-the-world full GC)
|
|
145
|
+
[Nó A está congelado — não envia heartbeat, não responde]
|
|
146
|
+
|
|
147
|
+
T = 30s Lease de A expira no broker
|
|
148
|
+
T = 31s Nó B ganha lease no resource R; recebe token = 18
|
|
149
|
+
T = 35s Nó B faz update em R com value="B", token=18, last_token=18
|
|
150
|
+
|
|
151
|
+
T = 50s Nó A volta do GC pause
|
|
152
|
+
[Nó A AINDA acha que tem o lease — sua memória local diz que sim]
|
|
153
|
+
T = 51s Nó A faz update em R com value="A", token=17
|
|
154
|
+
|
|
155
|
+
Sem fencing: write de A SOBRESCREVE write de B → split brain (corrupção)
|
|
156
|
+
Com fencing: storage rejeita porque last_token=18 > token=17 → consistência preservada
|
|
157
|
+
```
|
|
158
|
+
|
|
159
|
+
#### Implementação Edge Function Deno
|
|
160
|
+
|
|
161
|
+
```typescript
|
|
162
|
+
// Edge Function — write em recurso compartilhado com fencing
|
|
163
|
+
import { Pool } from "npm:pg@8";
|
|
164
|
+
|
|
165
|
+
const pool = new Pool({ connectionString: Deno.env.get("DATABASE_URL")! });
|
|
166
|
+
|
|
167
|
+
async function safeWriteWithFencing(
|
|
168
|
+
resourceId: string,
|
|
169
|
+
newValue: string,
|
|
170
|
+
): Promise<{ ok: boolean; reason?: string }> {
|
|
171
|
+
const client = await pool.connect();
|
|
172
|
+
try {
|
|
173
|
+
await client.query("begin");
|
|
174
|
+
|
|
175
|
+
// Adquire lock por nome lógico (libera no commit/rollback)
|
|
176
|
+
await client.query(
|
|
177
|
+
"select pg_advisory_xact_lock(hashtext($1))",
|
|
178
|
+
[`resource:${resourceId}`],
|
|
179
|
+
);
|
|
180
|
+
|
|
181
|
+
// Obtém fencing token monotônico
|
|
182
|
+
const { rows: [{ token }] } = await client.query<{ token: string }>(
|
|
183
|
+
"select nextval('fencing_tokens_seq') as token",
|
|
184
|
+
);
|
|
185
|
+
|
|
186
|
+
// CHAMA EXTERNAL API LENTA — pode levar 10-60s
|
|
187
|
+
// (Edge Function pode atingir timeout aqui; ou GC pause, ou suspend de VM)
|
|
188
|
+
await callExternalApiSlowly();
|
|
189
|
+
|
|
190
|
+
// Storage rejeita se outro processo já escreveu com token maior
|
|
191
|
+
const { rowCount } = await client.query(
|
|
192
|
+
`update public.locked_resource
|
|
193
|
+
set value = $1, last_token = $2, updated_at = now()
|
|
194
|
+
where id = $3 and last_token < $2`,
|
|
195
|
+
[newValue, token, resourceId],
|
|
196
|
+
);
|
|
197
|
+
|
|
198
|
+
await client.query("commit");
|
|
199
|
+
|
|
200
|
+
if (rowCount === 0) {
|
|
201
|
+
// Outro processo (com token maior) já escreveu durante nossa pause
|
|
202
|
+
return { ok: false, reason: "fenced_out" };
|
|
203
|
+
}
|
|
204
|
+
return { ok: true };
|
|
205
|
+
} catch (err) {
|
|
206
|
+
await client.query("rollback");
|
|
207
|
+
throw err;
|
|
208
|
+
} finally {
|
|
209
|
+
client.release();
|
|
210
|
+
}
|
|
211
|
+
}
|
|
212
|
+
```
|
|
213
|
+
|
|
214
|
+
#### Outros gatilhos de pause além de GC
|
|
215
|
+
|
|
216
|
+
DDIA Ch 8 enumera (p. 290-291):
|
|
217
|
+
|
|
218
|
+
- **Stop-the-world garbage collection** — JVM/V8/etc; pode pausar minutos em heaps grandes
|
|
219
|
+
- **VM suspend** — hipervisor pode suspender VM por migração live (segundos a minutos sem aviso)
|
|
220
|
+
- **Swap pesado para disco** — se host fica sem RAM, processo trava em page faults
|
|
221
|
+
- **`SIGSTOP` / Ctrl-Z em terminal** — operador pausa processo investigando bug
|
|
222
|
+
- **NTP step adjustment** — relógio pode pular forward/backward por minutos (raro mas existe)
|
|
223
|
+
|
|
224
|
+
Em Edge Functions Supabase: timeout do runtime Deno (60s default), VM cold start, suspensão durante deploy = todos gatilhos equivalentes.
|
|
225
|
+
|
|
226
|
+
---
|
|
227
|
+
|
|
228
|
+
### REQ ARMADILHAS-04 — Falhas parciais: detecção por timeout é falaciosa
|
|
229
|
+
|
|
230
|
+
#### Por que timeout binário falha
|
|
231
|
+
|
|
232
|
+
DDIA Ch 8 p. 280-282: "lentidão não é morte". Cenários onde nó está vivo mas parece morto:
|
|
233
|
+
|
|
234
|
+
- Network congestionado: pacotes filados; RTT 100ms → 5s
|
|
235
|
+
- GC pause: nó vivo mas não responde por 30s
|
|
236
|
+
- CPU starvation: nó com 100% load mas processando aos poucos
|
|
237
|
+
- Driver bug "limping" (REGRA #5): responde, só que LENTO
|
|
238
|
+
|
|
239
|
+
E vice-versa — nó morto que parece vivo:
|
|
240
|
+
|
|
241
|
+
- TCP keep-alive ainda válido na conexão até next request
|
|
242
|
+
- Heartbeat enviado segundos antes do crash, ainda dentro da janela
|
|
243
|
+
|
|
244
|
+
#### Phi accrual failure detector (literatura clássica)
|
|
245
|
+
|
|
246
|
+
Algoritmo probabilístico (Cassandra usa em produção): em vez de "vivo/morto" binário, calcula `φ` = probabilidade do nó estar morto baseado em variance histórica de heartbeats.
|
|
247
|
+
|
|
248
|
+
```
|
|
249
|
+
φ alto (e.g. > 8) → quase certeza de morte (assume morto)
|
|
250
|
+
φ médio (3-8) → suspeito, mas espera mais antes de declarar morto
|
|
251
|
+
φ baixo (< 3) → vivo, confiar na resposta
|
|
252
|
+
```
|
|
253
|
+
|
|
254
|
+
Implementação completa de phi accrual em Postgres está fora de escopo (precisa janela móvel de heartbeats por nó, agregação stream); referência se necessário no link DDIA bibliografia.
|
|
255
|
+
|
|
256
|
+
#### Pattern prático para Supabase: timeout dinâmico
|
|
257
|
+
|
|
258
|
+
Substituir timeout fixo "30s = morto" por:
|
|
259
|
+
|
|
260
|
+
```sql
|
|
261
|
+
-- Tabela de heartbeats por instância
|
|
262
|
+
create table public.instance_heartbeats (
|
|
263
|
+
instance_id text primary key,
|
|
264
|
+
last_seen timestamptz not null,
|
|
265
|
+
-- janela móvel de RTT últimos 100 heartbeats
|
|
266
|
+
rtt_p99_ms numeric not null default 1000
|
|
267
|
+
);
|
|
268
|
+
|
|
269
|
+
-- Detecção: nó morto se sem heartbeat por >= 3× P99 RTT histórico
|
|
270
|
+
create or replace view private.suspected_dead_instances as
|
|
271
|
+
select instance_id,
|
|
272
|
+
extract(epoch from (now() - last_seen)) * 1000 as silent_ms,
|
|
273
|
+
rtt_p99_ms,
|
|
274
|
+
case
|
|
275
|
+
when extract(epoch from (now() - last_seen)) * 1000 >= 3 * rtt_p99_ms
|
|
276
|
+
then 'suspected_dead'
|
|
277
|
+
else 'alive'
|
|
278
|
+
end as status
|
|
279
|
+
from public.instance_heartbeats;
|
|
280
|
+
```
|
|
281
|
+
|
|
282
|
+
#### Regra de quem assume nó morto
|
|
283
|
+
|
|
284
|
+
**NÃO** decisão unilateral — regra DDIA p. 296-297: precisa **consenso de N-1 nós** antes de declarar morto e iniciar failover. Em sistema com 3 nós, ≥ 2 precisam concordar. Para apps Supabase com ≤ 3 instâncias, normalmente o broker (pgmq, pg_cron) já faz isso transparentemente — **não tente reimplementar**.
|
|
285
|
+
|
|
286
|
+
---
|
|
287
|
+
|
|
288
|
+
### REQ ARMADILHAS-05 — Modelos de sistema: quando cada um aplica em Supabase
|
|
289
|
+
|
|
290
|
+
| Modelo | Premissa | Realista em Supabase? | Exemplo |
|
|
291
|
+
|---|---|---|---|
|
|
292
|
+
| **Crash-stop** | Nó crashou, **nunca volta** | NÃO — irreal | Apenas para análise teórica de algoritmos |
|
|
293
|
+
| **Crash-recovery** | Nó pode crashar, depois reiniciar com **estado parcial** (estado em memória perdido; estado em disco preservado) | **SIM — modelo Supabase típico** | Edge Function timeout + restart; Postgres failover preservando WAL; pgmq worker crash + retry |
|
|
294
|
+
| **Byzantine** | Nó pode mentir, enviar mensagens corrompidas, agir maliciosamente | NÃO — fora do scope | Apenas blockchain (Bitcoin, Ethereum), aviônica, militar |
|
|
295
|
+
|
|
296
|
+
#### Implicações práticas
|
|
297
|
+
|
|
298
|
+
**Como Supabase = crash-recovery, você DEVE:**
|
|
299
|
+
|
|
300
|
+
1. **Persistir estado crítico em disco antes de "ack"** — Edge Function não pode confirmar processamento até `commit` no DB.
|
|
301
|
+
2. **Tornar operações idempotentes** — qualquer write deve ser safe se executado N vezes (exemplo canônico: `INSERT ... ON CONFLICT DO NOTHING` para webhook de pagamento).
|
|
302
|
+
3. **Usar fencing tokens (REQ ARMADILHAS-02)** quando tem distributed locks — porque "nó voltou achando que ainda é líder" é cenário comum em crash-recovery.
|
|
303
|
+
4. **Nunca confiar em estado em memória sobreviver crash** — caches em memória de Edge Function são perdidos em restart; persista no Postgres ou Redis.
|
|
304
|
+
|
|
305
|
+
**O que NÃO se preocupar (fora do scope):**
|
|
306
|
+
|
|
307
|
+
- Nó Postgres mentindo (corrupção de dados maliciosa) — não é seu modelo. Se preocupação real, use TLS + checksums (Postgres já tem); se preocupação extrema, blockchain.
|
|
308
|
+
- Eleição de líder bizantina (Paxos, Raft com defesa contra mentira) — Supabase usa pg + replicas single-leader, modelo trust-based dentro do tenant.
|
|
309
|
+
|
|
310
|
+
#### Anti-modelo: tratar Supabase como crash-stop
|
|
311
|
+
|
|
312
|
+
```typescript
|
|
313
|
+
// ERRADO — assume que se Edge Function crashar, simplesmente "desaparece"
|
|
314
|
+
async function processPayment(payment: Payment) {
|
|
315
|
+
await chargeStripe(payment); // sem idempotency key
|
|
316
|
+
await db.insert("payments", payment); // sem ON CONFLICT
|
|
317
|
+
// Se crashar entre chargeStripe e insert: cobrança feita mas não registrada
|
|
318
|
+
// Retry vai cobrar de novo (Stripe sem idempotency key cobra 2×)
|
|
319
|
+
}
|
|
320
|
+
```
|
|
321
|
+
|
|
322
|
+
```typescript
|
|
323
|
+
// CERTO — assume crash-recovery; idempotente em todas as etapas
|
|
324
|
+
async function processPayment(payment: Payment) {
|
|
325
|
+
// Stripe idempotency key — Stripe rejeita se key já vista
|
|
326
|
+
await chargeStripe(payment, { idempotencyKey: payment.id });
|
|
327
|
+
|
|
328
|
+
// INSERT ... ON CONFLICT — DB rejeita duplicata silenciosamente
|
|
329
|
+
await db.query(
|
|
330
|
+
`insert into public.payments (id, amount, status)
|
|
331
|
+
values ($1, $2, 'charged')
|
|
332
|
+
on conflict (id) do nothing`,
|
|
333
|
+
[payment.id, payment.amount],
|
|
334
|
+
);
|
|
335
|
+
}
|
|
336
|
+
```
|
|
337
|
+
|
|
338
|
+
---
|
|
339
|
+
|
|
340
|
+
## Anti-patterns
|
|
341
|
+
|
|
342
|
+
### Anti-pattern 1: `clock_timestamp()` em lógica de expiração
|
|
343
|
+
|
|
344
|
+
**Errado:**
|
|
345
|
+
```sql
|
|
346
|
+
update public.sessions set expires_at = clock_timestamp() + interval '1 hour' where id = $1;
|
|
347
|
+
```
|
|
348
|
+
|
|
349
|
+
**Por quê:** `clock_timestamp()` real-time pode pular para trás se NTP corrige drift. Sessão pode expirar antes do esperado (ou nunca expirar, se relógio voltou). Viola REGRA #1.
|
|
350
|
+
|
|
351
|
+
**Certo:** `now()` (alias `transaction_timestamp()`) — monotônico dentro da trx:
|
|
352
|
+
```sql
|
|
353
|
+
update public.sessions set expires_at = now() + interval '1 hour' where id = $1;
|
|
354
|
+
```
|
|
355
|
+
|
|
356
|
+
### Anti-pattern 2: Distributed lock sem fencing token
|
|
357
|
+
|
|
358
|
+
**Errado:**
|
|
359
|
+
```typescript
|
|
360
|
+
// "Adquire lock 30s, faz trabalho, libera"
|
|
361
|
+
const lockId = await redis.set("resource:42", "locked", { EX: 30, NX: true });
|
|
362
|
+
if (lockId) {
|
|
363
|
+
await doExpensiveWork(); // pode levar 60s; ou GC pause de 45s
|
|
364
|
+
await writeToStorage(value); // sem proteção
|
|
365
|
+
await redis.del("resource:42");
|
|
366
|
+
}
|
|
367
|
+
```
|
|
368
|
+
|
|
369
|
+
**Por quê:** se `doExpensiveWork()` excede 30s (lease expirou) ou processo sofre pause, outro nó assume lock e começa a trabalhar. Quando este volta, `writeToStorage` sobrescreve o write do segundo nó. Split brain — viola REGRA #2.
|
|
370
|
+
|
|
371
|
+
**Certo:** fencing token (REQ ARMADILHAS-02). Cada acquire pega `nextval('fencing_tokens_seq')`; storage compara com `last_token` e rejeita writes antigos.
|
|
372
|
+
|
|
373
|
+
### Anti-pattern 3: Detectar nó morto com timeout fixo
|
|
374
|
+
|
|
375
|
+
**Errado:**
|
|
376
|
+
```python
|
|
377
|
+
# Heartbeat check
|
|
378
|
+
if time_since_last_heartbeat > 30_seconds:
|
|
379
|
+
declare_dead(node)
|
|
380
|
+
failover()
|
|
381
|
+
```
|
|
382
|
+
|
|
383
|
+
**Por quê:** sob carga ou GC pause, nó vivo pode silenciar 30s. Failover desnecessário gera split brain (dois nós ativos). Viola REGRA #3.
|
|
384
|
+
|
|
385
|
+
**Certo:** timeout dinâmico baseado em P99 histórico + consenso (REQ ARMADILHAS-04):
|
|
386
|
+
```python
|
|
387
|
+
threshold = max(3 * historical_p99_rtt_ms, 30_000) # piso de 30s
|
|
388
|
+
if time_since_last_heartbeat > threshold:
|
|
389
|
+
if quorum_agrees(node):
|
|
390
|
+
declare_dead(node)
|
|
391
|
+
```
|
|
392
|
+
|
|
393
|
+
### Anti-pattern 4: Assumir crash-stop em Edge Function
|
|
394
|
+
|
|
395
|
+
**Errado:**
|
|
396
|
+
```typescript
|
|
397
|
+
// Edge Function que envia email e marca como enviado
|
|
398
|
+
async function sendWelcomeEmail(userId: string) {
|
|
399
|
+
await emailService.send(userId);
|
|
400
|
+
await db.query("update users set welcome_sent = true where id = $1", [userId]);
|
|
401
|
+
}
|
|
402
|
+
```
|
|
403
|
+
|
|
404
|
+
**Por quê:** se Edge Function crashar entre `emailService.send` e o `update`, retry vai mandar 2 emails. Crash-recovery é a realidade — viola REGRA #4.
|
|
405
|
+
|
|
406
|
+
**Certo:** mover para "outbox pattern" (write na tabela primeiro, send depois — separado por job idempotente):
|
|
407
|
+
```typescript
|
|
408
|
+
// 1. Idempotent enqueue
|
|
409
|
+
await db.query(
|
|
410
|
+
`insert into public.email_outbox (user_id, kind)
|
|
411
|
+
values ($1, 'welcome') on conflict (user_id, kind) do nothing`,
|
|
412
|
+
[userId],
|
|
413
|
+
);
|
|
414
|
+
// 2. Worker pgmq consome outbox e envia (com idempotency key no provider)
|
|
415
|
+
```
|
|
416
|
+
|
|
417
|
+
### Anti-pattern 5: `clock_timestamp()` para ordenar eventos cross-node
|
|
418
|
+
|
|
419
|
+
**Errado:**
|
|
420
|
+
```sql
|
|
421
|
+
-- Tabela de eventos com ordering por clock_timestamp
|
|
422
|
+
insert into public.events (kind, payload, occurred_at)
|
|
423
|
+
values ('user_action', $1, clock_timestamp());
|
|
424
|
+
|
|
425
|
+
-- Query "ordem global"
|
|
426
|
+
select * from public.events order by occurred_at desc limit 100;
|
|
427
|
+
```
|
|
428
|
+
|
|
429
|
+
**Por quê:** se `events` é populada por múltiplos nós (Edge Functions diferentes), cada um tem `clock_timestamp()` próprio. Skew de 100ms entre nós distorce ordenação. Eventos podem aparecer "fora de ordem causal" — viola REGRA #1.
|
|
430
|
+
|
|
431
|
+
**Certo:** ordenação por `id` monotônico (sequence) ou logical timestamp (Lamport, vector clock — fora de scope desta skill, ver futuras skills consenso v1.23).
|
|
432
|
+
```sql
|
|
433
|
+
-- Sequence monotônica garante ordem global
|
|
434
|
+
alter table public.events add column event_seq bigint default nextval('events_seq');
|
|
435
|
+
select * from public.events order by event_seq desc limit 100;
|
|
436
|
+
```
|
|
437
|
+
|
|
438
|
+
## Ver também
|
|
439
|
+
|
|
440
|
+
- [cascading-failures](../cascading-failures/SKILL.md) — timeout vs falha real (esta skill estende para clock skew + fencing)
|
|
441
|
+
- [super-admin-platform-pattern](../super-admin-platform-pattern/SKILL.md) — TTL impersonation 30min usa fencing token (REQ ARMADILHAS-02 aplicação canônica)
|
|
442
|
+
- [supabase-cron-queues](../supabase-cron-queues/SKILL.md) — pgmq worker é crash-recovery (REGRA #4); idempotency obrigatória
|
|
443
|
+
- [retry-strategies](../retry-strategies/SKILL.md) — retry exige idempotency (cross-ref para Anti-pattern 4)
|
|
444
|
+
- [postgres-isolamento-concorrencia](../postgres-isolamento-concorrencia/SKILL.md) — `pg_advisory_xact_lock` definido lá; aqui usamos para fencing
|
|
445
|
+
- [_shared-dados-distribuidos/glossary.md](../_shared-dados-distribuidos/glossary.md) seção (e) — definições canônicas PT-BR ↔ EN de partial failure, clock skew, fencing token, GC pause, byzantine fault, phi accrual
|
|
446
|
+
- [PostgreSQL Documentation — Date/Time Functions](https://www.postgresql.org/docs/current/functions-datetime.html#FUNCTIONS-DATETIME-CURRENT) — fonte canônica oficial das 4 funções de timestamp
|
|
447
|
+
- DDIA Cap 8 (Kleppmann, O'Reilly 2017) — The Trouble with Distributed Systems — clock skew p. 287-294, fencing tokens p. 304-305, summary p. 302-303
|
|
@@ -324,6 +324,12 @@ tenant_id uuid -- nullable
|
|
|
324
324
|
|
|
325
325
|
**Certo:** LIST partitioning por `tenant_id` (ver [`multi-tenant-performance-scaling`](../multi-tenant-performance-scaling/SKILL.md)). Cada org = partição própria. Retention vira `DROP TABLE <partition>` (instantâneo).
|
|
326
326
|
|
|
327
|
+
## Semântica Event Sourcing + Log Compaction (v1.22+)
|
|
328
|
+
|
|
329
|
+
> A tabela `audit_log` append-only mapeia diretamente para padrão **event sourcing** (DDIA Ch 11) — eventos são source-of-truth, projeções (denormalizações via trigger ou MVs) derivam estado atual. Padrão completo em [`streams-eventos-cdc`](../streams-eventos-cdc/SKILL.md) (v1.22).
|
|
330
|
+
|
|
331
|
+
**Log compaction:** após retention TTL (30d/90d/365d), considerar snapshot periódico do estado dos aggregates antes de purgar — permite replay parcial sem perder histórico de longo prazo importante (legal hold).
|
|
332
|
+
|
|
327
333
|
## Ver também
|
|
328
334
|
|
|
329
335
|
- [supabase-cron-queues](../supabase-cron-queues/SKILL.md) — pg_cron pattern usado para retention scheduler (cross-suite)
|
|
@@ -294,6 +294,10 @@ Antes de aceitar serviço em prod:
|
|
|
294
294
|
|
|
295
295
|
---
|
|
296
296
|
|
|
297
|
+
## Clock Skew como Failure Mode (v1.22+)
|
|
298
|
+
|
|
299
|
+
> Além dos triggers canônicos do cap 22 (sem timeout, retry sem jitter, sem circuit breaker), clock skew é failure mode adicional em sistemas distribuídos: nó com relógio adiantado pode marcar lease expirada antes do tempo real, disparando reeleição desnecessária e cascading failure. Padrão de mitigação (fencing token + nunca usar `clock_timestamp()` em lógica de expiração) em [`armadilhas-sistemas-distribuidos`](../armadilhas-sistemas-distribuidos/SKILL.md) (v1.22 — DDIA Ch 8).
|
|
300
|
+
|
|
297
301
|
## Ver também
|
|
298
302
|
|
|
299
303
|
- [`_shared-sre/glossary.md`](../_shared-sre/glossary.md) — vocabulário cap 22 (cascading failure, retry storm, etc.)
|