@luanpdd/kit-mcp 1.33.0 → 1.34.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.
Files changed (376) hide show
  1. package/LICENSE +21 -21
  2. package/README.md +168 -168
  3. package/gates/agent-no-recursive-dispatch.md +84 -84
  4. package/kit/COMANDOS.md +138 -138
  5. package/kit/COMPATIBILITY.md +70 -70
  6. package/kit/README.md +76 -76
  7. package/kit/agents/advisor-researcher.md +109 -109
  8. package/kit/agents/ai-mutation-tester.md +289 -289
  9. package/kit/agents/assumptions-analyzer.md +110 -110
  10. package/kit/agents/audit-log-implementer.md +314 -314
  11. package/kit/agents/auditor-consistencia-isolamento.md +414 -414
  12. package/kit/agents/b2b-saas-architect.md +157 -157
  13. package/kit/agents/burn-rate-forecaster.md +153 -153
  14. package/kit/agents/cascading-failures-auditor.md +299 -299
  15. package/kit/agents/codebase-mapper.md +769 -769
  16. package/kit/agents/crm-pipeline-implementer.md +257 -257
  17. package/kit/agents/debugger.md +814 -814
  18. package/kit/agents/designer-ui.md +216 -216
  19. package/kit/agents/detector-tenant-quente.md +338 -338
  20. package/kit/agents/evolution-go-integrator.md +201 -201
  21. package/kit/agents/example-reviewer.md +22 -22
  22. package/kit/agents/executor.md +565 -565
  23. package/kit/agents/golden-signals-instrumenter.md +232 -232
  24. package/kit/agents/incident-investigator.md +238 -238
  25. package/kit/agents/integration-checker.md +203 -203
  26. package/kit/agents/invite-flow-implementer.md +190 -190
  27. package/kit/agents/legacy-characterizer.md +369 -369
  28. package/kit/agents/lgpd-compliance-auditor.md +296 -296
  29. package/kit/agents/load-shedding-instrumenter.md +290 -290
  30. package/kit/agents/multi-tenant-isolation-auditor.md +254 -254
  31. package/kit/agents/multi-tenant-rls-writer.md +341 -341
  32. package/kit/agents/nyquist-auditor.md +181 -181
  33. package/kit/agents/observability-coverage-auditor.md +316 -316
  34. package/kit/agents/observability-instrumenter.md +191 -191
  35. package/kit/agents/omm-auditor.md +291 -291
  36. package/kit/agents/org-onboarding-implementer.md +224 -224
  37. package/kit/agents/payload-capture-instrumenter.md +274 -274
  38. package/kit/agents/phase-researcher.md +697 -697
  39. package/kit/agents/plan-checker.md +275 -275
  40. package/kit/agents/planner.md +923 -923
  41. package/kit/agents/postmortem-writer.md +273 -273
  42. package/kit/agents/project-researcher.md +653 -653
  43. package/kit/agents/prr-conductor.md +287 -287
  44. package/kit/agents/refactor-safety-auditor.md +405 -405
  45. package/kit/agents/release-pipeline-auditor.md +364 -364
  46. package/kit/agents/research-synthesizer.md +246 -246
  47. package/kit/agents/roadmapper.md +678 -678
  48. package/kit/agents/schema-checker.md +160 -160
  49. package/kit/agents/seam-finder.md +360 -360
  50. package/kit/agents/shotgun-surgery-detector.md +350 -350
  51. package/kit/agents/slo-engineer.md +217 -217
  52. package/kit/agents/storytelling-analyst.md +300 -300
  53. package/kit/agents/supabase-architect.md +249 -249
  54. package/kit/agents/supabase-auth-bootstrapper.md +400 -400
  55. package/kit/agents/supabase-auth-hook-writer.md +418 -418
  56. package/kit/agents/supabase-branching-architect.md +563 -563
  57. package/kit/agents/supabase-cicd-pipeline-implementer.md +778 -778
  58. package/kit/agents/supabase-column-privileges-writer.md +400 -400
  59. package/kit/agents/supabase-edge-fn-tester.md +288 -288
  60. package/kit/agents/supabase-edge-fn-writer.md +341 -341
  61. package/kit/agents/supabase-mfa-implementer.md +439 -439
  62. package/kit/agents/supabase-migration-writer.md +386 -386
  63. package/kit/agents/supabase-oauth-server-implementer.md +507 -507
  64. package/kit/agents/supabase-rbac-implementer.md +393 -393
  65. package/kit/agents/supabase-realtime-implementer.md +364 -364
  66. package/kit/agents/supabase-rls-hardener.md +522 -522
  67. package/kit/agents/supabase-rls-writer.md +324 -324
  68. package/kit/agents/supabase-roles-implementer.md +356 -356
  69. package/kit/agents/supabase-social-auth-implementer.md +451 -451
  70. package/kit/agents/supabase-sso-saml-architect.md +549 -549
  71. package/kit/agents/supabase-storage-implementer.md +407 -407
  72. package/kit/agents/super-admin-implementer.md +282 -282
  73. package/kit/agents/toil-auditor.md +268 -268
  74. package/kit/agents/ui-auditor.md +438 -438
  75. package/kit/agents/ui-checker.md +305 -305
  76. package/kit/agents/ui-researcher.md +356 -356
  77. package/kit/agents/user-profiler.md +176 -176
  78. package/kit/agents/validador-evolucao-schema.md +336 -336
  79. package/kit/agents/verifier.md +729 -729
  80. package/kit/commands/adicionar-backlog.md +75 -75
  81. package/kit/commands/adicionar-fase.md +42 -42
  82. package/kit/commands/adicionar-tarefa.md +45 -45
  83. package/kit/commands/adicionar-testes.md +41 -41
  84. package/kit/commands/ajuda.md +21 -21
  85. package/kit/commands/atualizar.md +37 -37
  86. package/kit/commands/auditar-cascading.md +111 -111
  87. package/kit/commands/auditar-marco.md +179 -179
  88. package/kit/commands/auditar-observabilidade-cobertura-workflow.md +121 -0
  89. package/kit/commands/auditar-observabilidade-cobertura.md +183 -183
  90. package/kit/commands/auditar-refactor.md +219 -219
  91. package/kit/commands/auditar-release.md +109 -109
  92. package/kit/commands/auditar-uat.md +23 -23
  93. package/kit/commands/autonomo.md +40 -40
  94. package/kit/commands/branch-pr.md +24 -24
  95. package/kit/commands/burn-rate-status.md +408 -408
  96. package/kit/commands/capturar-payloads.md +193 -193
  97. package/kit/commands/caracterizar.md +212 -212
  98. package/kit/commands/concluir-marco.md +247 -247
  99. package/kit/commands/configuracoes.md +36 -36
  100. package/kit/commands/dados-distribuidos.md +188 -188
  101. package/kit/commands/definir-perfil.md +10 -10
  102. package/kit/commands/depurar.md +190 -190
  103. package/kit/commands/detectar-duplicacao.md +197 -197
  104. package/kit/commands/discutir-fase.md +131 -131
  105. package/kit/commands/encontrar-seams.md +136 -136
  106. package/kit/commands/entrar-discord.md +17 -17
  107. package/kit/commands/estatisticas.md +18 -18
  108. package/kit/commands/example-greeting.md +33 -33
  109. package/kit/commands/executar-fase.md +58 -58
  110. package/kit/commands/expresso.md +56 -56
  111. package/kit/commands/fase-ui.md +34 -34
  112. package/kit/commands/fazer.md +57 -57
  113. package/kit/commands/fio.md +125 -125
  114. package/kit/commands/fluxos-trabalho.md +64 -64
  115. package/kit/commands/forense.md +176 -176
  116. package/kit/commands/gerenciador.md +38 -38
  117. package/kit/commands/inserir-fase.md +31 -31
  118. package/kit/commands/legacy.md +263 -263
  119. package/kit/commands/limpeza.md +17 -17
  120. package/kit/commands/listar-hipoteses-fase.md +45 -45
  121. package/kit/commands/listar-workspaces.md +18 -18
  122. package/kit/commands/load-shedding.md +117 -117
  123. package/kit/commands/mapear-codebase.md +70 -70
  124. package/kit/commands/multi-tenant.md +163 -163
  125. package/kit/commands/nota.md +33 -33
  126. package/kit/commands/novo-marco.md +43 -43
  127. package/kit/commands/novo-projeto.md +41 -41
  128. package/kit/commands/novo-workspace.md +43 -43
  129. package/kit/commands/pausar-trabalho.md +37 -37
  130. package/kit/commands/perfil-usuario.md +45 -45
  131. package/kit/commands/pesquisar-fase.md +195 -195
  132. package/kit/commands/planejar-fase.md +67 -67
  133. package/kit/commands/planejar-lacunas.md +33 -33
  134. package/kit/commands/plantar-ideia.md +25 -25
  135. package/kit/commands/progresso.md +24 -24
  136. package/kit/commands/proximo.md +30 -30
  137. package/kit/commands/publicar.md +490 -490
  138. package/kit/commands/rapido.md +35 -35
  139. package/kit/commands/reaplicar-patches.md +124 -124
  140. package/kit/commands/refactor-seguro.md +321 -321
  141. package/kit/commands/relatorio-sessao.md +19 -19
  142. package/kit/commands/remover-fase.md +31 -31
  143. package/kit/commands/remover-workspace.md +26 -26
  144. package/kit/commands/resumo-marco.md +50 -50
  145. package/kit/commands/retomar-trabalho.md +40 -40
  146. package/kit/commands/revisar-backlog.md +60 -60
  147. package/kit/commands/revisar-ui.md +32 -32
  148. package/kit/commands/revisar.md +37 -37
  149. package/kit/commands/saude.md +21 -21
  150. package/kit/commands/setup-notion.md +93 -93
  151. package/kit/commands/storytelling.md +179 -179
  152. package/kit/commands/supabase.md +238 -238
  153. package/kit/commands/sync-main.md +68 -68
  154. package/kit/commands/validar-fase.md +35 -35
  155. package/kit/commands/verificar-tarefas.md +44 -44
  156. package/kit/commands/verificar-trabalho.md +64 -64
  157. package/kit/file-manifest.json +13 -11
  158. package/kit/framework/bin/lib/commands.cjs +959 -959
  159. package/kit/framework/bin/lib/config.cjs +442 -442
  160. package/kit/framework/bin/lib/core.cjs +1230 -1230
  161. package/kit/framework/bin/lib/frontmatter.cjs +336 -336
  162. package/kit/framework/bin/lib/init.cjs +1442 -1442
  163. package/kit/framework/bin/lib/milestone.cjs +252 -252
  164. package/kit/framework/bin/lib/model-profiles.cjs +68 -68
  165. package/kit/framework/bin/lib/phase.cjs +888 -888
  166. package/kit/framework/bin/lib/profile-output.cjs +952 -952
  167. package/kit/framework/bin/lib/profile-pipeline.cjs +539 -539
  168. package/kit/framework/bin/lib/roadmap.cjs +329 -329
  169. package/kit/framework/bin/lib/security.cjs +382 -382
  170. package/kit/framework/bin/lib/state.cjs +1031 -1031
  171. package/kit/framework/bin/lib/template.cjs +222 -222
  172. package/kit/framework/bin/lib/uat.cjs +282 -282
  173. package/kit/framework/bin/lib/verify.cjs +888 -888
  174. package/kit/framework/bin/lib/workstream.cjs +491 -491
  175. package/kit/framework/bin/tools.cjs +918 -918
  176. package/kit/framework/commands/workstreams.md +63 -63
  177. package/kit/framework/references/checkpoints.md +778 -778
  178. package/kit/framework/references/continuation-format.md +249 -249
  179. package/kit/framework/references/decimal-phase-calculation.md +64 -64
  180. package/kit/framework/references/git-integration.md +295 -295
  181. package/kit/framework/references/git-planning-commit.md +38 -38
  182. package/kit/framework/references/model-profile-resolution.md +36 -36
  183. package/kit/framework/references/model-profiles.md +139 -139
  184. package/kit/framework/references/phase-argument-parsing.md +61 -61
  185. package/kit/framework/references/planning-config.md +202 -202
  186. package/kit/framework/references/questioning.md +162 -162
  187. package/kit/framework/references/tdd.md +263 -263
  188. package/kit/framework/references/ui-brand.md +160 -160
  189. package/kit/framework/references/user-profiling.md +657 -657
  190. package/kit/framework/references/verification-patterns.md +612 -612
  191. package/kit/framework/references/workstream-flag.md +58 -58
  192. package/kit/framework/templates/DEBUG.md +164 -164
  193. package/kit/framework/templates/UAT.md +265 -265
  194. package/kit/framework/templates/UI-SPEC.md +100 -100
  195. package/kit/framework/templates/VALIDATION.md +76 -76
  196. package/kit/framework/templates/claude-md.md +122 -122
  197. package/kit/framework/templates/codebase/architecture.md +185 -185
  198. package/kit/framework/templates/codebase/concerns.md +205 -205
  199. package/kit/framework/templates/codebase/conventions.md +204 -204
  200. package/kit/framework/templates/codebase/integrations.md +192 -192
  201. package/kit/framework/templates/codebase/stack.md +158 -158
  202. package/kit/framework/templates/codebase/structure.md +199 -199
  203. package/kit/framework/templates/codebase/testing.md +301 -301
  204. package/kit/framework/templates/config.json +44 -44
  205. package/kit/framework/templates/context.md +352 -352
  206. package/kit/framework/templates/continue-here.md +78 -78
  207. package/kit/framework/templates/copilot-instructions.md +7 -7
  208. package/kit/framework/templates/debug-subagent-prompt.md +91 -91
  209. package/kit/framework/templates/dev-preferences.md +20 -20
  210. package/kit/framework/templates/discovery.md +146 -146
  211. package/kit/framework/templates/discussion-log.md +63 -63
  212. package/kit/framework/templates/milestone-archive.md +123 -123
  213. package/kit/framework/templates/milestone.md +115 -115
  214. package/kit/framework/templates/phase-prompt.md +610 -610
  215. package/kit/framework/templates/planner-subagent-prompt.md +117 -117
  216. package/kit/framework/templates/project.md +186 -186
  217. package/kit/framework/templates/requirements.md +231 -231
  218. package/kit/framework/templates/research-project/ARCHITECTURE.md +204 -204
  219. package/kit/framework/templates/research-project/FEATURES.md +147 -147
  220. package/kit/framework/templates/research-project/PITFALLS.md +200 -200
  221. package/kit/framework/templates/research-project/STACK.md +120 -120
  222. package/kit/framework/templates/research-project/SUMMARY.md +170 -170
  223. package/kit/framework/templates/research.md +419 -419
  224. package/kit/framework/templates/retrospective.md +54 -54
  225. package/kit/framework/templates/roadmap.md +202 -202
  226. package/kit/framework/templates/state.md +176 -176
  227. package/kit/framework/templates/summary-complex.md +59 -59
  228. package/kit/framework/templates/summary-minimal.md +41 -41
  229. package/kit/framework/templates/summary-standard.md +48 -48
  230. package/kit/framework/templates/summary.md +209 -209
  231. package/kit/framework/templates/user-profile.md +146 -146
  232. package/kit/framework/templates/user-setup.md +256 -256
  233. package/kit/framework/templates/verification-report.md +258 -258
  234. package/kit/framework/workflows/add-phase.md +112 -112
  235. package/kit/framework/workflows/add-tests.md +351 -351
  236. package/kit/framework/workflows/add-todo.md +158 -158
  237. package/kit/framework/workflows/audit-milestone.md +340 -340
  238. package/kit/framework/workflows/audit-uat.md +109 -109
  239. package/kit/framework/workflows/autonomous.md +891 -891
  240. package/kit/framework/workflows/check-todos.md +177 -177
  241. package/kit/framework/workflows/cleanup.md +152 -152
  242. package/kit/framework/workflows/complete-milestone.md +696 -696
  243. package/kit/framework/workflows/diagnose-issues.md +231 -231
  244. package/kit/framework/workflows/discovery-phase.md +289 -289
  245. package/kit/framework/workflows/discuss-phase-assumptions.md +653 -653
  246. package/kit/framework/workflows/discuss-phase.md +784 -784
  247. package/kit/framework/workflows/do.md +104 -104
  248. package/kit/framework/workflows/execute-phase.md +838 -838
  249. package/kit/framework/workflows/execute-plan.md +510 -510
  250. package/kit/framework/workflows/fast.md +102 -102
  251. package/kit/framework/workflows/forensics.md +265 -265
  252. package/kit/framework/workflows/health.md +181 -181
  253. package/kit/framework/workflows/help.md +619 -619
  254. package/kit/framework/workflows/insert-phase.md +130 -130
  255. package/kit/framework/workflows/list-phase-assumptions.md +178 -178
  256. package/kit/framework/workflows/list-workspaces.md +56 -56
  257. package/kit/framework/workflows/manager.md +362 -362
  258. package/kit/framework/workflows/map-codebase.md +377 -377
  259. package/kit/framework/workflows/milestone-summary.md +223 -223
  260. package/kit/framework/workflows/new-milestone.md +486 -486
  261. package/kit/framework/workflows/new-project.md +1159 -1159
  262. package/kit/framework/workflows/new-workspace.md +237 -237
  263. package/kit/framework/workflows/next.md +97 -97
  264. package/kit/framework/workflows/node-repair.md +92 -92
  265. package/kit/framework/workflows/note.md +156 -156
  266. package/kit/framework/workflows/pause-work.md +176 -176
  267. package/kit/framework/workflows/plan-milestone-gaps.md +273 -273
  268. package/kit/framework/workflows/plan-phase.md +765 -765
  269. package/kit/framework/workflows/plant-seed.md +169 -169
  270. package/kit/framework/workflows/pr-branch.md +129 -129
  271. package/kit/framework/workflows/profile-user.md +450 -450
  272. package/kit/framework/workflows/progress.md +507 -507
  273. package/kit/framework/workflows/quick.md +757 -757
  274. package/kit/framework/workflows/remove-phase.md +155 -155
  275. package/kit/framework/workflows/remove-workspace.md +90 -90
  276. package/kit/framework/workflows/research-phase.md +82 -82
  277. package/kit/framework/workflows/resume-project.md +326 -326
  278. package/kit/framework/workflows/review.md +228 -228
  279. package/kit/framework/workflows/session-report.md +146 -146
  280. package/kit/framework/workflows/settings.md +283 -283
  281. package/kit/framework/workflows/ship.md +228 -228
  282. package/kit/framework/workflows/stats.md +60 -60
  283. package/kit/framework/workflows/transition.md +671 -671
  284. package/kit/framework/workflows/ui-phase.md +302 -302
  285. package/kit/framework/workflows/ui-review.md +165 -165
  286. package/kit/framework/workflows/update.md +323 -323
  287. package/kit/framework/workflows/validate-phase.md +174 -174
  288. package/kit/framework/workflows/verify-phase.md +252 -252
  289. package/kit/framework/workflows/verify-work.md +637 -637
  290. package/kit/hooks/check-update.js +118 -118
  291. package/kit/hooks/context-monitor.js +163 -163
  292. package/kit/hooks/kit-attribution-reminder.cjs +92 -92
  293. package/kit/hooks/kit-router.cjs +137 -137
  294. package/kit/hooks/prompt-guard.js +103 -103
  295. package/kit/hooks/statusline.js +125 -125
  296. package/kit/hooks/workflow-guard.js +101 -101
  297. package/kit/settings.json +45 -45
  298. package/kit/skills/ai-prompt-characterization/SKILL.md +335 -335
  299. package/kit/skills/armadilhas-sistemas-distribuidos/SKILL.md +447 -447
  300. package/kit/skills/audit-log-multi-tenant/SKILL.md +340 -340
  301. package/kit/skills/b2b-saas-architecture/SKILL.md +300 -300
  302. package/kit/skills/consistencia-leitura-replica/SKILL.md +385 -385
  303. package/kit/skills/crm-lead-pipeline-patterns/SKILL.md +343 -343
  304. package/kit/skills/escolha-modelo-consistencia/SKILL.md +494 -494
  305. package/kit/skills/evolucao-schema-compativel/SKILL.md +448 -448
  306. package/kit/skills/evolution-go-whatsapp-integration/SKILL.md +322 -322
  307. package/kit/skills/example-skill/SKILL.md +42 -42
  308. package/kit/skills/legacy-api-only-applications/SKILL.md +358 -358
  309. package/kit/skills/legacy-characterization-tests/SKILL.md +330 -330
  310. package/kit/skills/legacy-effect-analysis/SKILL.md +331 -331
  311. package/kit/skills/legacy-extract-class/SKILL.md +203 -203
  312. package/kit/skills/legacy-programming-by-difference/SKILL.md +252 -252
  313. package/kit/skills/legacy-seams-and-test-harness/SKILL.md +460 -460
  314. package/kit/skills/legacy-shotgun-surgery/SKILL.md +286 -286
  315. package/kit/skills/legacy-sprout-wrap-techniques/SKILL.md +434 -434
  316. package/kit/skills/legacy-storytelling-naked-crc/SKILL.md +270 -270
  317. package/kit/skills/lgpd-multi-tenant-compliance/SKILL.md +340 -340
  318. package/kit/skills/member-invite-flow/SKILL.md +305 -305
  319. package/kit/skills/member-management-react-shadcn/SKILL.md +328 -328
  320. package/kit/skills/multi-tenant-performance-scaling/SKILL.md +316 -316
  321. package/kit/skills/multi-tenant-rls-hierarchy/SKILL.md +342 -342
  322. package/kit/skills/org-onboarding-flow/SKILL.md +257 -257
  323. package/kit/skills/org-switcher-react-pattern/SKILL.md +349 -349
  324. package/kit/skills/permission-gate-react-pattern/SKILL.md +271 -271
  325. package/kit/skills/postgres-isolamento-concorrencia/SKILL.md +552 -552
  326. package/kit/skills/pre-refactor-characterization/SKILL.md +421 -421
  327. package/kit/skills/rbac-permissions-matrix-supabase/SKILL.md +338 -338
  328. package/kit/skills/streams-eventos-cdc/SKILL.md +711 -711
  329. package/kit/skills/supabase-auth-hardening/SKILL.md +674 -674
  330. package/kit/skills/supabase-auth-hooks/SKILL.md +875 -875
  331. package/kit/skills/supabase-auth-methods/SKILL.md +486 -486
  332. package/kit/skills/supabase-auth-sessions/SKILL.md +579 -579
  333. package/kit/skills/supabase-auth-ssr/SKILL.md +306 -306
  334. package/kit/skills/supabase-branching-workflow/SKILL.md +544 -544
  335. package/kit/skills/supabase-ci-cd-github-actions/SKILL.md +880 -880
  336. package/kit/skills/supabase-column-level-security/SKILL.md +426 -426
  337. package/kit/skills/supabase-config-toml-remotes/SKILL.md +807 -807
  338. package/kit/skills/supabase-custom-claims-rbac/SKILL.md +472 -472
  339. package/kit/skills/supabase-edge-functions/SKILL.md +330 -330
  340. package/kit/skills/supabase-edge-functions-auth/SKILL.md +309 -309
  341. package/kit/skills/supabase-edge-functions-limits/SKILL.md +302 -302
  342. package/kit/skills/supabase-edge-functions-mcp-server/SKILL.md +279 -279
  343. package/kit/skills/supabase-edge-functions-testing/SKILL.md +277 -277
  344. package/kit/skills/supabase-edge-runtime-builtins/SKILL.md +357 -357
  345. package/kit/skills/supabase-enterprise-sso-saml/SKILL.md +545 -545
  346. package/kit/skills/supabase-jwt-signing-keys/SKILL.md +399 -399
  347. package/kit/skills/supabase-mfa/SKILL.md +488 -488
  348. package/kit/skills/supabase-migration-repair/SKILL.md +823 -823
  349. package/kit/skills/supabase-migrations/SKILL.md +297 -297
  350. package/kit/skills/supabase-oauth-server/SKILL.md +537 -537
  351. package/kit/skills/supabase-pgtap-testing/SKILL.md +1053 -1053
  352. package/kit/skills/supabase-postgres-roles/SKILL.md +392 -392
  353. package/kit/skills/supabase-realtime/SKILL.md +460 -460
  354. package/kit/skills/supabase-rls-defense-in-depth/SKILL.md +418 -418
  355. package/kit/skills/supabase-rls-policies/SKILL.md +635 -635
  356. package/kit/skills/supabase-social-oauth/SKILL.md +480 -480
  357. package/kit/skills/supabase-third-party-auth/SKILL.md +450 -450
  358. package/kit/skills/super-admin-platform-pattern/SKILL.md +326 -326
  359. package/kit/skills/tenant-quente-mitigacao/SKILL.md +605 -605
  360. package/kit/skills/ui-anti-padroes-ia/SKILL.md +261 -261
  361. package/kit/skills/ui-contexto-produto/SKILL.md +248 -248
  362. package/kit/skills/ui-cor-estrategia/SKILL.md +213 -213
  363. package/kit/skills/ui-critica-auditoria/SKILL.md +260 -260
  364. package/kit/skills/ui-motion-funcional/SKILL.md +264 -264
  365. package/kit/skills/ui-ritmo-espacial/SKILL.md +259 -259
  366. package/kit/skills/ui-tipografia/SKILL.md +211 -211
  367. package/kit/skills/whatsapp-conversation-state-machine/SKILL.md +287 -287
  368. package/kit/workflows/auditar-observabilidade-cobertura.workflow.js +250 -0
  369. package/package.json +65 -63
  370. package/src/core/kit.js +333 -216
  371. package/src/core/reflect.js +247 -247
  372. package/src/core/registry.js +123 -112
  373. package/src/core/reverse-sync.js +448 -372
  374. package/src/core/sync.js +477 -437
  375. package/src/core/watch.js +121 -121
  376. package/src/mcp-server/index.js +794 -794
package/kit/skills/tenant-quente-mitigacao/SKILL.md CHANGED
@@ -1,605 +1,605 @@
1
- ---
2
- name: tenant-quente-mitigacao
3
- description: Use ao escalar Postgres multi-tenant em Supabase quando 1 tenant consome >>> que outros (problema "Justin Bieber tenant" do DDIA Ch 6)…
4
- ---
5
-
6
- # Tenant Quente — Mitigação (DDIA Ch 6 aplicado a Postgres + Supabase)
7
-
8
- ## Quando usar
9
-
10
- LLM carrega esta skill quando há **suspeita ou evidência de skewed workload em B2B SaaS multi-tenant** — i.e. um tenant (ou pequeno conjunto) consome desproporcionalmente recursos vs P50 dos demais. DDIA Ch 6 chama isso de **hot spot**, e o anchor narrativo canônico é o "Justin Bieber tenant" — referência ao caso Twitter onde 3% dos servidores ficaram dedicados a 1 celebrity user (DDIA p.196 nota [13]). Em B2B SaaS, o equivalente é **1 cliente enterprise** (ou anchor tenant) que escala 10× mais rápido que o restante da base.
11
-
12
- Trigger phrases:
13
-
14
- - "tenant Justin Bieber", "hot tenant", "skewed multi-tenant"
15
- - "1 cliente consumindo a base inteira", "tenant dominante", "anchor tenant"
16
- - "particionamento por tenant", "PARTITION BY HASH/RANGE org_id"
17
- - "scatter-gather Postgres super-admin"
18
- - "rebalancear tenant sem downtime", "mover tenant para schema dedicado"
19
- - "MV per-tenant pesada", "queue priority por tenant"
20
-
21
- Esta skill é consumida por `multi-tenant-isolation-auditor` (v1.21) ao detectar tabelas suspeitas de skew, por `omm-auditor` (v1.10) ao avaliar capacidade de escala, e por `b2b-saas-architect` (v1.21) ao desenhar schema de novo cliente enterprise grande.
22
-
23
- ## Regras absolutas
24
-
25
- **REGRA #1 (medir antes de mitigar):** **NUNCA** aplicar mitigação sem coletar baseline 30d das 3 métricas canônicas (REQ TENANT-01). Mitigação prematura = otimização cega. Threshold canônico: WARN >3× P50, CRITICAL >10× P50.
26
-
27
- **REGRA #2 (default document-partitioned):** Índices secundários em tabelas particionadas devem ser **document-partitioned (local)** por default. Term-partitioned (global) **só** em query path crítica onde scatter-gather é o gargalo medido.
28
-
29
- **REGRA #3 (hash quando uniforme, range quando skewed conhecido):** Particionar por `HASH (org_id)` quando workload é uniforme cross-tenant. Particionar por `RANGE (org_id)` apenas quando hot tenants são **conhecidos a priori** (anchor tenant enterprise onboarded com SLA dedicado).
30
-
31
- **REGRA #4 (rebalanceamento manual, nunca automático):** Mover tenant para schema/instância dedicada **NUNCA** automaticamente. Sempre humano-no-loop com janela de manutenção comunicada — DDIA p.204 ("Operations: automatic or manual rebalancing") documenta o risco de cascading failure quando rebalance auto reage a node lento.
32
-
33
- **REGRA #5 (cleanup conservador):** Após mover tenant, **NUNCA** dropar schema/dados antigos antes de **7d sem queries** confirmados via `pg_stat_user_tables.last_seq_scan` + `last_idx_scan`. Defesa contra rollback emergencial.
34
-
35
- ## Patterns canônicos
36
-
37
- ### REQ TENANT-01 — Detecção do "tenant Justin Bieber"
38
-
39
- Três métricas canônicas, todas com baseline 30d e threshold relativo ao P50 da base de tenants ativos:
40
-
41
- #### Métrica 1 — Ratio queries/min via `pg_stat_statements`
42
-
43
- ```sql
44
- -- Pré-requisito: pg_stat_statements habilitado (Supabase: Settings → Database → Extensions)
45
- -- Helper: extrai org_id do parameter da query (assume RLS sempre filtra por org_id literal/parameter)
46
- create or replace function private.extract_org_id_from_query(p_query text)
47
- returns uuid
48
- language plpgsql
49
- immutable
50
- set search_path = ''
51
- as $$
52
- declare
53
- m text[];
54
- begin
55
- -- Casa UUID em formato canônico no texto da query (parameter-bound)
56
- m := regexp_match(p_query, '''([0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12})''');
57
- if m is null then
58
- return null;
59
- end if;
60
- return m[1]::uuid;
61
- end;
62
- $$;
63
-
64
- -- View canônica: queries/min por org_id sobre janela 24h
65
- create or replace view private.hot_tenant_query_rate as
66
- with per_org as (
67
- select
68
- private.extract_org_id_from_query(query) as org_id,
69
- sum(calls) / nullif(extract(epoch from (now() - stats_reset)) / 60, 0) as queries_per_min
70
- from pg_stat_statements
71
- where private.extract_org_id_from_query(query) is not null
72
- group by 1
73
- ),
74
- stats as (
75
- select
76
- percentile_cont(0.5) within group (order by queries_per_min) as p50
77
- from per_org
78
- )
79
- select
80
- per_org.org_id,
81
- per_org.queries_per_min,
82
- stats.p50,
83
- round((per_org.queries_per_min / nullif(stats.p50, 0))::numeric, 2) as ratio_vs_p50,
84
- case
85
- when per_org.queries_per_min > 10 * stats.p50 then 'CRITICAL'
86
- when per_org.queries_per_min > 3 * stats.p50 then 'WARN'
87
- else 'OK'
88
- end as severity
89
- from per_org cross join stats
90
- order by ratio_vs_p50 desc nulls last;
91
- ```
92
-
93
- #### Métrica 2 — Ratio storage GB via `pg_total_relation_size`
94
-
95
- ```sql
96
- -- View: storage por tenant agregando tabelas particionadas + tabelas não-particionadas
97
- -- Assume convenção de naming partição: <tabela_base>_<org_id_underscore>
98
- create or replace view private.hot_tenant_storage as
99
- with per_partition as (
100
- select
101
- -- Extrai org_id do nome da partição (audit_logs_<uuid_underscore> -> uuid)
102
- replace(
103
- regexp_replace(c.relname, '^[a-z_]+_([0-9a-f_]{36})$', '\1'),
104
- '_', '-'
105
- )::uuid as org_id,
106
- pg_total_relation_size(c.oid) as bytes
107
- from pg_class c
108
- join pg_namespace n on n.oid = c.relnamespace
109
- where n.nspname = 'public'
110
- and c.relkind = 'r' -- tabelas regulares
111
- and c.relname ~ '_[0-9a-f]{8}_[0-9a-f]{4}_[0-9a-f]{4}_[0-9a-f]{4}_[0-9a-f]{12}$'
112
- ),
113
- per_org as (
114
- select
115
- org_id,
116
- sum(bytes) / (1024.0^3) as storage_gb
117
- from per_partition
118
- group by 1
119
- ),
120
- stats as (
121
- select percentile_cont(0.5) within group (order by storage_gb) as p50 from per_org
122
- )
123
- select
124
- per_org.org_id,
125
- round(per_org.storage_gb::numeric, 3) as storage_gb,
126
- round(stats.p50::numeric, 3) as p50_gb,
127
- round((per_org.storage_gb / nullif(stats.p50, 0))::numeric, 2) as ratio_vs_p50,
128
- case
129
- when per_org.storage_gb > 10 * stats.p50 then 'CRITICAL'
130
- when per_org.storage_gb > 3 * stats.p50 then 'WARN'
131
- else 'OK'
132
- end as severity
133
- from per_org cross join stats
134
- order by storage_gb desc;
135
- ```
136
-
137
- #### Métrica 3 — Ratio conn slots via `pg_stat_activity`
138
-
139
- ```sql
140
- -- Pré-requisito: app seta application_name com org context, ex: 'app:org=<uuid>:edge=lead-create'
141
- -- Convenção canônica documentada em b2b-saas-architecture
142
- create or replace view private.hot_tenant_conn_slots as
143
- with per_org as (
144
- select
145
- -- Extrai uuid do application_name após 'org='
146
- (regexp_match(application_name, 'org=([0-9a-f-]{36})'))[1]::uuid as org_id,
147
- count(*) as active_slots
148
- from pg_stat_activity
149
- where state = 'active'
150
- and application_name ~ 'org=[0-9a-f-]{36}'
151
- group by 1
152
- ),
153
- stats as (
154
- select percentile_cont(0.5) within group (order by active_slots) as p50 from per_org
155
- )
156
- select
157
- per_org.org_id,
158
- per_org.active_slots,
159
- stats.p50,
160
- round((per_org.active_slots::numeric / nullif(stats.p50, 0))::numeric, 2) as ratio_vs_p50,
161
- case
162
- when per_org.active_slots > 10 * stats.p50 then 'CRITICAL'
163
- when per_org.active_slots > 3 * stats.p50 then 'WARN'
164
- else 'OK'
165
- end as severity
166
- from per_org cross join stats
167
- order by ratio_vs_p50 desc nulls last;
168
- ```
169
-
170
- **Hot tenant é confirmado quando ≥ 2 das 3 métricas estão em WARN+ simultaneamente** — uma só métrica sozinha pode ser falso positivo (batch job, importação, migração). Triangulação reduz noise.
171
-
172
- ### REQ TENANT-02 — 5 estratégias de mitigação (tabela canônica)
173
-
174
- | # | Estratégia | Quando usar | Tradeoff principal | Config / SQL exemplo |
175
- |---|---|---|---|---|
176
- | 1 | **Rate limit por tenant** | Picos imprevisíveis de write/read em hot tenant que prejudicam P95 dos demais | Impacto UX no tenant target — usuário vê HTTP 429; precisa coordenar com customer success | RLS reject + `pg_cron` throttle counter (abaixo) |
177
- | 2 | **Pool conexão isolado (Supavisor multi-pool)** | Conn starvation — hot tenant esgota slots na pool compartilhada | Custo Supavisor multi-pool (Pro+) + complexidade de routing | Supavisor config `[pools.org_<uuid>]` |
178
- | 3 | **Read replica dedicada** | Tenant read-heavy (dashboards, exports) que não precisa de write strong consistency | Custo Supabase Pro+ + lag replicação aceitável (centenas ms) | Supavisor `read.*` routing + `application_name` hint |
179
- | 4 | **Desnormalização (MV per-tenant)** | Query repetitiva pesada (agregações, joins 5+ tabelas) que rodam 100× / hora p/ mesmo tenant | Refresh complexity + staleness window aceitável (5-15min) | `CREATE MATERIALIZED VIEW ... REFRESH CONCURRENTLY` + `pg_cron` |
180
- | 5 | **Request shaping (pgmq priority)** | Picos previsíveis batch (relatório fim-de-mês, importação) — work é assíncrono | Complexidade fila + worker; latency aumenta para hot tenant | `pgmq` priority queue + worker que drena LOW após HIGH |
181
-
182
- #### Estratégia 1 — Rate limit por tenant (exemplo)
183
-
184
- ```sql
185
- -- Tabela counter: bucket por org × minuto
186
- create table private.tenant_rate_limit_buckets (
187
- org_id uuid not null,
188
- bucket_minute timestamptz not null,
189
- request_count int not null default 0,
190
- primary key (org_id, bucket_minute)
191
- );
192
-
193
- -- Função: incrementa counter e retorna se excedeu limite
194
- create or replace function private.check_tenant_rate_limit(
195
- p_org_id uuid,
196
- p_limit_per_min int default 1000
197
- )
198
- returns boolean
199
- language plpgsql
200
- security definer
201
- set search_path = ''
202
- as $$
203
- declare
204
- v_count int;
205
- v_bucket timestamptz;
206
- begin
207
- v_bucket := date_trunc('minute', now());
208
- insert into private.tenant_rate_limit_buckets (org_id, bucket_minute, request_count)
209
- values (p_org_id, v_bucket, 1)
210
- on conflict (org_id, bucket_minute)
211
- do update set request_count = tenant_rate_limit_buckets.request_count + 1
212
- returning request_count into v_count;
213
- return v_count <= p_limit_per_min;
214
- end;
215
- $$;
216
-
217
- -- Cleanup buckets > 1h (pg_cron)
218
- select cron.schedule('cleanup-rate-limit-buckets', '*/15 * * * *', $$
219
- delete from private.tenant_rate_limit_buckets
220
- where bucket_minute < now() - interval '1 hour';
221
- $$);
222
- ```
223
-
224
- #### Estratégia 4 — MV per-tenant (exemplo agregação leads)
225
-
226
- ```sql
227
- -- MV agregando métricas pesadas só para hot tenant
228
- -- (Para os demais tenants, query original direto na tabela ainda é rápida)
229
- create materialized view public.lead_metrics_org_<uuid_underscore> as
230
- select
231
- l.stage,
232
- count(*) as count,
233
- count(*) filter (where l.created_at > now() - interval '7 days') as last_7d
234
- from public.leads l
235
- where l.org_id = '<uuid>'
236
- group by l.stage;
237
-
238
- create unique index lead_metrics_org_<uuid_underscore>_stage_idx
239
- on public.lead_metrics_org_<uuid_underscore> (stage);
240
-
241
- -- Refresh concurrent a cada 10min
242
- select cron.schedule(
243
- 'refresh-lead-metrics-org-<uuid_underscore>',
244
- '*/10 * * * *',
245
- $$ refresh materialized view concurrently public.lead_metrics_org_<uuid_underscore>; $$
246
- );
247
- ```
248
-
249
- #### Estratégia 5 — Request shaping (pgmq priority)
250
-
251
- ```sql
252
- -- 2 filas: high (pequenos clientes) + low (hot tenant batch)
253
- select pgmq.create('exports_high');
254
- select pgmq.create('exports_low');
255
-
256
- -- Enqueue: hot tenant vai para low, demais para high
257
- create or replace function public.enqueue_export(p_org_id uuid, p_payload jsonb)
258
- returns bigint
259
- language plpgsql
260
- security invoker
261
- set search_path = ''
262
- as $$
263
- declare
264
- v_is_hot boolean;
265
- begin
266
- -- Lookup hot tenant (refresh por job separado)
267
- select exists (select 1 from private.hot_tenant_registry where org_id = p_org_id and active)
268
- into v_is_hot;
269
- if v_is_hot then
270
- return (select msg_id from pgmq.send('exports_low', p_payload));
271
- else
272
- return (select msg_id from pgmq.send('exports_high', p_payload));
273
- end if;
274
- end;
275
- $$;
276
-
277
- -- Worker: drena high primeiro, low só quando high vazio
278
- -- (implementação Edge Function com Deno cron)
279
- ```
280
-
281
- ### REQ TENANT-03 — Particionamento range vs hash para `tenant_id`
282
-
283
- #### Decision tree
284
-
285
- ```
286
- Tabela > 50k rows/tenant OU > 5M rows total?
287
- ├── Não → SEM particionamento (overhead > benefit). Use partial indexes.
288
- └── Sim → particionar
289
- ├── Workload uniforme cross-tenant (P95 ratio < 2× P50)?
290
- │ ├── Sim → HASH (org_id) com 16-64 partições fixas
291
- │ └── Não → continuar abaixo
292
- └── Hot tenants conhecidos a priori (anchor tenant onboarded com SLA)?
293
- ├── Sim → RANGE (org_id) com partição manual para cada hot
294
- └── Não → HASH (default seguro) + monitor com REQ TENANT-01
295
- ```
296
-
297
- #### Hash partitioning — workload uniforme
298
-
299
- ```sql
300
- -- Tabela particionada por HASH em 16 partições (typical sweet spot Postgres 16+)
301
- create table public.events (
302
- id uuid not null,
303
- org_id uuid not null,
304
- event_type text not null,
305
- payload jsonb,
306
- created_at timestamptz not null default now(),
307
- primary key (org_id, id)
308
- ) partition by hash (org_id);
309
-
310
- -- Cria 16 partições — Postgres distribui via hash modulo 16
311
- do $$
312
- declare
313
- i int;
314
- begin
315
- for i in 0..15 loop
316
- execute format(
317
- 'create table public.events_p%s partition of public.events for values with (modulus 16, remainder %s)',
318
- lpad(i::text, 2, '0'), i
319
- );
320
- end loop;
321
- end $$;
322
-
323
- -- Index local em cada partição (document-partitioned — REQ TENANT-04)
324
- create index events_org_created_idx on public.events (org_id, created_at desc);
325
- ```
326
-
327
- **Por que 16 partições:** sweet spot empírico Postgres 16+ — partição management overhead negligível, paralelização de scans efetiva. Acima de 64 partições, planner começa a sofrer (citação DDIA p.202 — "each partition also has management overhead").
328
-
329
- #### Range partitioning — anchor tenant conhecido
330
-
331
- ```sql
332
- -- Tabela particionada por RANGE — partição dedicada para anchor tenant + default p/ os demais
333
- create table public.audit_logs (
334
- id uuid not null,
335
- org_id uuid not null,
336
- event_type text not null,
337
- actor_id uuid,
338
- payload jsonb,
339
- created_at timestamptz not null default now(),
340
- primary key (org_id, id)
341
- ) partition by range (org_id);
342
-
343
- -- Partição dedicada para anchor tenant (uuid conhecido)
344
- create table public.audit_logs_anchor_acme
345
- partition of public.audit_logs
346
- for values from ('11111111-1111-1111-1111-111111111111')
347
- to ('11111111-1111-1111-1111-111111111112');
348
-
349
- -- Partição default para todos os demais — rebalancear manualmente quando outro tenant virar hot
350
- create table public.audit_logs_default
351
- partition of public.audit_logs
352
- default;
353
-
354
- -- Índice local em cada partição
355
- create index audit_logs_anchor_acme_created_idx on public.audit_logs_anchor_acme (created_at desc);
356
- create index audit_logs_default_org_created_idx on public.audit_logs_default (org_id, created_at desc);
357
- ```
358
-
359
- **Vantagem range para anchor:** isola I/O do anchor tenant. Bloat/vacuum/analyze de outras orgs não bloqueia o anchor. Permite tablespace dedicado em disco SSD separado.
360
-
361
- **Risco range:** se outro tenant escalar inesperadamente, partição default fica skewed. Mitigação: REQ TENANT-01 monitor + script de migração para nova partição range.
362
-
363
- ### REQ TENANT-04 — Índices secundários document-partitioned vs term-partitioned
364
-
365
- DDIA p.197-200 distingue duas estratégias para índices secundários em tabelas particionadas. Aplicado a queries cross-tenant em views super-admin (caso canônico em B2B SaaS):
366
-
367
- | Aspecto | Document-partitioned (local) | Term-partitioned (global) |
368
- |---|---|---|
369
- | **Topologia** | 1 índice por partição (default Postgres) | 1 índice global cobrindo todas as partições (não-default Postgres — exige extensão pg_partman ou abordagem manual) |
370
- | **Write cost** | Barato — 1 partição afetada | Caro — N partições do índice afetadas + lock cross-partição |
371
- | **Read cost (single tenant)** | O(log n) na partição alvo | O(log n) no índice global |
372
- | **Read cost (cross-tenant super-admin)** | **scatter-gather** — todas as partições consultadas em paralelo | O(log n) — 1 lookup direto |
373
- | **Aplicação canônica** | RLS queries normais (filter por `org_id` → 1 partição) | Super-admin views que listam todas orgs por critério (ex: "todas as leads created_at > X") |
374
-
375
- #### Recomendação default: document-partitioned
376
-
377
- ```sql
378
- -- Index local em cada partição da tabela events (REQ TENANT-03)
379
- -- Postgres cria automaticamente em cada partição quando criado na tabela parent
380
- create index events_event_type_idx on public.events (event_type);
381
-
382
- -- Verificar que cada partição tem o index
383
- select
384
- pi.indrelid::regclass as partition_name,
385
- pi.indexrelid::regclass as index_name
386
- from pg_inherits inh
387
- join pg_index pi on pi.indrelid = inh.inhrelid
388
- where inh.inhparent = 'public.events'::regclass;
389
- ```
390
-
391
- **Query super-admin sobre `event_type` faz scatter-gather** — Postgres pruner não consegue eliminar partições (filter não inclui `org_id`). Custo: tail latency amplification (DDIA p.198) — query é tão lenta quanto a partição mais lenta. Aceitável para super-admin (queries raras, async, não user-facing).
392
-
393
- #### Term-partitioned (quando query path é crítico)
394
-
395
- Postgres não suporta nativamente índice global em tabela particionada. Opções:
396
-
397
- 1. **Tabela auxiliar de lookup** — manualmente mantida via trigger:
398
-
399
- ```sql
400
- -- Lookup table cross-tenant: term → (org_id, event_id)
401
- -- Mantida via trigger nas partições filhas
402
- create table private.events_event_type_global_idx (
403
- event_type text not null,
404
- org_id uuid not null,
405
- event_id uuid not null,
406
- created_at timestamptz not null,
407
- primary key (event_type, created_at desc, org_id, event_id)
408
- );
409
-
410
- create or replace function private.events_sync_global_idx()
411
- returns trigger
412
- language plpgsql
413
- security definer
414
- set search_path = ''
415
- as $$
416
- begin
417
- if (tg_op = 'INSERT') then
418
- insert into private.events_event_type_global_idx
419
- (event_type, org_id, event_id, created_at)
420
- values (new.event_type, new.org_id, new.id, new.created_at);
421
- elsif (tg_op = 'DELETE') then
422
- delete from private.events_event_type_global_idx
423
- where event_type = old.event_type and event_id = old.id;
424
- end if;
425
- return null;
426
- end;
427
- $$;
428
-
429
- -- Trigger replicado em cada partição (script bash gera a partir de pg_inherits)
430
- -- Custo: 2× write (tabela + lookup) + lock cross-partição quando lookup é atualizado
431
- ```
432
-
433
- 2. **Aceitar staleness via job batch** — DDIA p.200 nota que DynamoDB GSI tem propagação assíncrona "within a fraction of a second". Mesmo trade-off vale aqui:
434
-
435
- ```sql
436
- -- Refresh global index via pg_cron a cada 30s
437
- select cron.schedule('refresh-events-global-idx', '*/30 * * * * *', $$
438
- insert into private.events_event_type_global_idx
439
- (event_type, org_id, event_id, created_at)
440
- select event_type, org_id, id, created_at
441
- from public.events
442
- where created_at > coalesce((select max(created_at) from private.events_event_type_global_idx), 'epoch')
443
- on conflict do nothing;
444
- $$);
445
- ```
446
-
447
- **Recomendação canônica:** começar com document-partitioned. Migrar para term-partitioned **somente** quando query path super-admin específica for medida em > 5s P95 e não-async-tolerant.
448
-
449
- ### REQ TENANT-05 — Rebalanceamento sem downtime (4 passos)
450
-
451
- DDIA p.201-204 documenta que rebalancing tem 3 requisitos não-negociáveis: load fair pós-rebalance, sem downtime durante rebalance, mover só o necessário. Aplicado a Postgres + Supavisor:
452
-
453
- #### Passo 1 — Detectar tenant alvo via thresholds (REQ TENANT-01)
454
-
455
- Confirmado quando ≥ 2 das 3 métricas em CRITICAL por > 7 dias consecutivos. Decisão: humano (DBA + customer success) revisa antes de prosseguir. **NÃO automatizar.**
456
-
457
- #### Passo 2 — Dump do tenant para schema isolado
458
-
459
- ```bash
460
- # Pré-requisito: app está em modo read-only para o hot tenant durante 30min de janela de manutenção
461
- # (controlado por feature flag — coordenado com customer success)
462
-
463
- # Dump apenas tabelas do tenant (assumindo convenção partition naming)
464
- pg_dump \
465
- --schema=public \
466
- --table='*tenant_<uuid_underscore>*' \
467
- --table='public.events_<uuid_underscore>' \
468
- --table='public.audit_logs_<uuid_underscore>' \
469
- --no-owner \
470
- --no-acl \
471
- --file=/tmp/tenant_<uuid>_dump.sql \
472
- postgresql://postgres:<password>@db.<source_project_ref>.supabase.co:5432/postgres
473
-
474
- # Restaurar em nova instância Supabase dedicada (criada previamente)
475
- psql \
476
- postgresql://postgres:<password>@db.<dedicated_project_ref>.supabase.co:5432/postgres \
477
- < /tmp/tenant_<uuid>_dump.sql
478
-
479
- # Validar row count match
480
- psql <source> -c "select count(*) from public.events where org_id = '<uuid>';"
481
- psql <dedicated> -c "select count(*) from public.events;"
482
- ```
483
-
484
- #### Passo 3 — Supavisor redirect via routing config
485
-
486
- ```toml
487
- # supavisor.toml (ou config UI Supabase Dashboard)
488
- # Routing rule: requests com header X-Org-Id=<uuid> vão para instância dedicada
489
- [[routes]]
490
- match.header = "X-Org-Id"
491
- match.value = "<uuid>"
492
- target = "dedicated_<uuid>"
493
- priority = 100
494
-
495
- [pools.dedicated_<uuid>]
496
- host = "db.<dedicated_project_ref>.supabase.co"
497
- port = 5432
498
- database = "postgres"
499
- mode = "transaction"
500
- pool_size = 50
501
-
502
- # Default route para os demais tenants (instância original)
503
- [[routes]]
504
- match.default = true
505
- target = "shared"
506
- priority = 1
507
- ```
508
-
509
- ```typescript
510
- // App: setar header X-Org-Id em toda request
511
- // Supabase JS client custom header (versão >= 2.x)
512
- const supabase = createClient(url, anon_key, {
513
- global: {
514
- headers: { 'X-Org-Id': activeOrgId }
515
- }
516
- })
517
- ```
518
-
519
- **Após reload Supavisor (zero downtime — connections drain gracefully), tráfego do tenant alvo vai para instância dedicada. Demais tenants seguem na instância original.**
520
-
521
- #### Passo 4 — Cleanup conservador (após 7d sem queries)
522
-
523
- ```sql
524
- -- Verificar que nenhuma query tocou as partições antigas nos últimos 7d
525
- select
526
- schemaname, relname,
527
- last_seq_scan,
528
- last_idx_scan,
529
- greatest(coalesce(last_seq_scan, 'epoch'::timestamptz),
530
- coalesce(last_idx_scan, 'epoch'::timestamptz)) as last_access
531
- from pg_stat_user_tables
532
- where relname like '%<uuid_underscore>%'
533
- order by last_access;
534
- -- Esperado: last_access < now() - interval '7 days' para todas
535
-
536
- -- Apenas após confirmação manual humana, dropar
537
- begin;
538
- drop table if exists public.events_<uuid_underscore> cascade;
539
- drop table if exists public.audit_logs_<uuid_underscore> cascade;
540
- -- ... outras tabelas particionadas do tenant
541
- commit;
542
- ```
543
-
544
- **Por que 7d:** janela de defesa contra rollback emergencial. Se a instância dedicada falhar por bug não detectado em customer testing, voltar tráfego para instância original em < 5min via reverter Supavisor config — só funciona se dados antigos ainda existem.
545
-
546
- ## Anti-patterns
547
-
548
- ### Anti-pattern 1: Mitigar antes de medir (sem baseline 30d)
549
-
550
- **Errado:** "Cliente reclamou de lentidão — vamos criar MV per-tenant para ele agora."
551
-
552
- **Por quê:** sem baseline 30d das 3 métricas (REQ TENANT-01), não dá pra distinguir hot tenant real de pico transitório (importação CSV grande, batch fim-de-mês). Mitigação prematura adiciona MV refresh overhead permanente para uma situação possivelmente pontual.
553
-
554
- **Certo:** coletar 30d de baseline, identificar via REQ TENANT-01, confirmar com ≥ 2 das 3 métricas em WARN+ por > 7d. Só então aplicar mitigação.
555
-
556
- ### Anti-pattern 2: Particionar tabela com poucos rows
557
-
558
- **Errado:**
559
- ```sql
560
- -- 5 tenants, 200 rows/tenant
561
- create table public.events (...) partition by hash (org_id);
562
- ```
563
-
564
- **Por quê:** overhead de partition pruning + planner trabalho > benefit. Cada query passa por partition routing, dump/restore mais lento, manutenção complexa. Premature optimization clássica — DDIA p.202 nota que "each partition also has management overhead".
565
-
566
- **Certo:** começar com tabela regular + index `(org_id, created_at desc)`. Particionar quando atingir threshold real (> 50k rows/tenant OU > 5M total).
567
-
568
- ### Anti-pattern 3: Term-partitioned como default
569
-
570
- **Errado:** criar lookup table global (term-partitioned) já no MVP "para evitar scatter-gather no futuro".
571
-
572
- **Por quê:** writes ficam 2× mais caros desde dia 1. Cross-partition lock complica. DDIA p.200 documenta que mesmo DynamoDB GSI (term-partitioned built-in) tem trade-off de propagation delay assíncrono. Você está pagando custo agora para benefício hipotético futuro.
573
-
574
- **Certo:** document-partitioned como default. Migrar para term-partitioned **somente** quando query path super-admin medir > 5s P95 e for user-facing crítico.
575
-
576
- ### Anti-pattern 4: Rebalancing automático
577
-
578
- **Errado:** script bash que detecta hot tenant via REQ TENANT-01 e automaticamente roda passos 2-3 do REQ TENANT-05.
579
-
580
- **Por quê:** DDIA p.204 documenta cascading failure clássica — node lento detectado como dead → rebalance automático → carga extra no resto do cluster → mais nodes ficam lentos → mais rebalance → cascade. Em B2B SaaS, equivalente: importação CSV grande detectada como hot → rebalance triggered → aplicação volta-volta no meio de transação user-facing → erros 500 em produção.
581
-
582
- **Certo:** detecção automática gera **alerta** (Slack/PagerDuty). Decisão de rebalance é humana (DBA + customer success), executada em janela de manutenção pré-comunicada.
583
-
584
- ### Anti-pattern 5: Cleanup imediato após move (sem 7d)
585
-
586
- **Errado:**
587
- ```sql
588
- -- Logo após Supavisor reroute (REQ TENANT-05 passo 3)
589
- drop schema tenant_<uuid> cascade;
590
- ```
591
-
592
- **Por quê:** se instância dedicada tiver bug não detectado (RLS quebrada, schema diverge, performance pior), você não consegue rollback. Customer fica fora do ar até nova restore from backup (RTO horas).
593
-
594
- **Certo:** 7d de monitoring ativo (`pg_stat_user_tables.last_seq_scan`/`last_idx_scan` confirmados zero) antes do drop. Custo: 7d de storage duplicado (negligível vs custo de outage).
595
-
596
- ## Ver também
597
-
598
- - [`../_shared-dados-distribuidos/glossary.md`](../_shared-dados-distribuidos/glossary.md) — glossário compartilhado da Suíte DDIA Foundations v1.22 (define `hot spot`, `scatter-gather`, `consistent hashing`, `key range partitioning`, etc.)
599
- - [`../multi-tenant-performance-scaling/SKILL.md`](../multi-tenant-performance-scaling/SKILL.md) — Supavisor pooling, partial indexes, helper functions STABLE (skill irmã v1.21 — base de scaling antes de mitigação de hot tenant)
600
- - [`../supabase-postgres-style/SKILL.md`](../supabase-postgres-style/SKILL.md) — style guide SQL canônico (snake_case, schema-qualified, `private.*` para helpers)
601
- - [`../multi-tenant-rls-hierarchy/SKILL.md`](../multi-tenant-rls-hierarchy/SKILL.md) — RLS hierarchical policies que coexistem com partições (RLS aplicada na tabela parent propaga para todas as partições)
602
- - [`../super-admin-platform-pattern/SKILL.md`](../super-admin-platform-pattern/SKILL.md) — cross-tenant views super-admin (caso canônico para REQ TENANT-04 term-partitioned trade-off)
603
- - DDIA Ch 6 (Designing Data-Intensive Applications, Martin Kleppmann) — Partitioning. Justin Bieber tenant: p.196 nota [13]. Hash vs range: p.194-196. Secondary indexes: p.197-200. Rebalancing: p.201-204.
604
- - [Postgres Declarative Partitioning Docs](https://www.postgresql.org/docs/current/ddl-partitioning.html#DDL-PARTITIONING-DECLARATIVE)
605
- - [Supavisor Multi-Pool Docs](https://supabase.com/docs/guides/database/connecting-to-postgres#supavisor)
1
+ ---
2
+ name: tenant-quente-mitigacao
3
+ description: Use ao escalar Postgres multi-tenant em Supabase quando 1 tenant consome >>> que outros (problema "Justin Bieber tenant" do DDIA Ch 6)…
4
+ ---
5
+
6
+ # Tenant Quente — Mitigação (DDIA Ch 6 aplicado a Postgres + Supabase)
7
+
8
+ ## Quando usar
9
+
10
+ LLM carrega esta skill quando há **suspeita ou evidência de skewed workload em B2B SaaS multi-tenant** — i.e. um tenant (ou pequeno conjunto) consome desproporcionalmente recursos vs P50 dos demais. DDIA Ch 6 chama isso de **hot spot**, e o anchor narrativo canônico é o "Justin Bieber tenant" — referência ao caso Twitter onde 3% dos servidores ficaram dedicados a 1 celebrity user (DDIA p.196 nota [13]). Em B2B SaaS, o equivalente é **1 cliente enterprise** (ou anchor tenant) que escala 10× mais rápido que o restante da base.
11
+
12
+ Trigger phrases:
13
+
14
+ - "tenant Justin Bieber", "hot tenant", "skewed multi-tenant"
15
+ - "1 cliente consumindo a base inteira", "tenant dominante", "anchor tenant"
16
+ - "particionamento por tenant", "PARTITION BY HASH/RANGE org_id"
17
+ - "scatter-gather Postgres super-admin"
18
+ - "rebalancear tenant sem downtime", "mover tenant para schema dedicado"
19
+ - "MV per-tenant pesada", "queue priority por tenant"
20
+
21
+ Esta skill é consumida por `multi-tenant-isolation-auditor` (v1.21) ao detectar tabelas suspeitas de skew, por `omm-auditor` (v1.10) ao avaliar capacidade de escala, e por `b2b-saas-architect` (v1.21) ao desenhar schema de novo cliente enterprise grande.
22
+
23
+ ## Regras absolutas
24
+
25
+ **REGRA #1 (medir antes de mitigar):** **NUNCA** aplicar mitigação sem coletar baseline 30d das 3 métricas canônicas (REQ TENANT-01). Mitigação prematura = otimização cega. Threshold canônico: WARN >3× P50, CRITICAL >10× P50.
26
+
27
+ **REGRA #2 (default document-partitioned):** Índices secundários em tabelas particionadas devem ser **document-partitioned (local)** por default. Term-partitioned (global) **só** em query path crítica onde scatter-gather é o gargalo medido.
28
+
29
+ **REGRA #3 (hash quando uniforme, range quando skewed conhecido):** Particionar por `HASH (org_id)` quando workload é uniforme cross-tenant. Particionar por `RANGE (org_id)` apenas quando hot tenants são **conhecidos a priori** (anchor tenant enterprise onboarded com SLA dedicado).
30
+
31
+ **REGRA #4 (rebalanceamento manual, nunca automático):** Mover tenant para schema/instância dedicada **NUNCA** automaticamente. Sempre humano-no-loop com janela de manutenção comunicada — DDIA p.204 ("Operations: automatic or manual rebalancing") documenta o risco de cascading failure quando rebalance auto reage a node lento.
32
+
33
+ **REGRA #5 (cleanup conservador):** Após mover tenant, **NUNCA** dropar schema/dados antigos antes de **7d sem queries** confirmados via `pg_stat_user_tables.last_seq_scan` + `last_idx_scan`. Defesa contra rollback emergencial.
34
+
35
+ ## Patterns canônicos
36
+
37
+ ### REQ TENANT-01 — Detecção do "tenant Justin Bieber"
38
+
39
+ Três métricas canônicas, todas com baseline 30d e threshold relativo ao P50 da base de tenants ativos:
40
+
41
+ #### Métrica 1 — Ratio queries/min via `pg_stat_statements`
42
+
43
+ ```sql
44
+ -- Pré-requisito: pg_stat_statements habilitado (Supabase: Settings → Database → Extensions)
45
+ -- Helper: extrai org_id do parameter da query (assume RLS sempre filtra por org_id literal/parameter)
46
+ create or replace function private.extract_org_id_from_query(p_query text)
47
+ returns uuid
48
+ language plpgsql
49
+ immutable
50
+ set search_path = ''
51
+ as $$
52
+ declare
53
+ m text[];
54
+ begin
55
+ -- Casa UUID em formato canônico no texto da query (parameter-bound)
56
+ m := regexp_match(p_query, '''([0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12})''');
57
+ if m is null then
58
+ return null;
59
+ end if;
60
+ return m[1]::uuid;
61
+ end;
62
+ $$;
63
+
64
+ -- View canônica: queries/min por org_id sobre janela 24h
65
+ create or replace view private.hot_tenant_query_rate as
66
+ with per_org as (
67
+ select
68
+ private.extract_org_id_from_query(query) as org_id,
69
+ sum(calls) / nullif(extract(epoch from (now() - stats_reset)) / 60, 0) as queries_per_min
70
+ from pg_stat_statements
71
+ where private.extract_org_id_from_query(query) is not null
72
+ group by 1
73
+ ),
74
+ stats as (
75
+ select
76
+ percentile_cont(0.5) within group (order by queries_per_min) as p50
77
+ from per_org
78
+ )
79
+ select
80
+ per_org.org_id,
81
+ per_org.queries_per_min,
82
+ stats.p50,
83
+ round((per_org.queries_per_min / nullif(stats.p50, 0))::numeric, 2) as ratio_vs_p50,
84
+ case
85
+ when per_org.queries_per_min > 10 * stats.p50 then 'CRITICAL'
86
+ when per_org.queries_per_min > 3 * stats.p50 then 'WARN'
87
+ else 'OK'
88
+ end as severity
89
+ from per_org cross join stats
90
+ order by ratio_vs_p50 desc nulls last;
91
+ ```
92
+
93
+ #### Métrica 2 — Ratio storage GB via `pg_total_relation_size`
94
+
95
+ ```sql
96
+ -- View: storage por tenant agregando tabelas particionadas + tabelas não-particionadas
97
+ -- Assume convenção de naming partição: <tabela_base>_<org_id_underscore>
98
+ create or replace view private.hot_tenant_storage as
99
+ with per_partition as (
100
+ select
101
+ -- Extrai org_id do nome da partição (audit_logs_<uuid_underscore> -> uuid)
102
+ replace(
103
+ regexp_replace(c.relname, '^[a-z_]+_([0-9a-f_]{36})$', '\1'),
104
+ '_', '-'
105
+ )::uuid as org_id,
106
+ pg_total_relation_size(c.oid) as bytes
107
+ from pg_class c
108
+ join pg_namespace n on n.oid = c.relnamespace
109
+ where n.nspname = 'public'
110
+ and c.relkind = 'r' -- tabelas regulares
111
+ and c.relname ~ '_[0-9a-f]{8}_[0-9a-f]{4}_[0-9a-f]{4}_[0-9a-f]{4}_[0-9a-f]{12}$'
112
+ ),
113
+ per_org as (
114
+ select
115
+ org_id,
116
+ sum(bytes) / (1024.0^3) as storage_gb
117
+ from per_partition
118
+ group by 1
119
+ ),
120
+ stats as (
121
+ select percentile_cont(0.5) within group (order by storage_gb) as p50 from per_org
122
+ )
123
+ select
124
+ per_org.org_id,
125
+ round(per_org.storage_gb::numeric, 3) as storage_gb,
126
+ round(stats.p50::numeric, 3) as p50_gb,
127
+ round((per_org.storage_gb / nullif(stats.p50, 0))::numeric, 2) as ratio_vs_p50,
128
+ case
129
+ when per_org.storage_gb > 10 * stats.p50 then 'CRITICAL'
130
+ when per_org.storage_gb > 3 * stats.p50 then 'WARN'
131
+ else 'OK'
132
+ end as severity
133
+ from per_org cross join stats
134
+ order by storage_gb desc;
135
+ ```
136
+
137
+ #### Métrica 3 — Ratio conn slots via `pg_stat_activity`
138
+
139
+ ```sql
140
+ -- Pré-requisito: app seta application_name com org context, ex: 'app:org=<uuid>:edge=lead-create'
141
+ -- Convenção canônica documentada em b2b-saas-architecture
142
+ create or replace view private.hot_tenant_conn_slots as
143
+ with per_org as (
144
+ select
145
+ -- Extrai uuid do application_name após 'org='
146
+ (regexp_match(application_name, 'org=([0-9a-f-]{36})'))[1]::uuid as org_id,
147
+ count(*) as active_slots
148
+ from pg_stat_activity
149
+ where state = 'active'
150
+ and application_name ~ 'org=[0-9a-f-]{36}'
151
+ group by 1
152
+ ),
153
+ stats as (
154
+ select percentile_cont(0.5) within group (order by active_slots) as p50 from per_org
155
+ )
156
+ select
157
+ per_org.org_id,
158
+ per_org.active_slots,
159
+ stats.p50,
160
+ round((per_org.active_slots::numeric / nullif(stats.p50, 0))::numeric, 2) as ratio_vs_p50,
161
+ case
162
+ when per_org.active_slots > 10 * stats.p50 then 'CRITICAL'
163
+ when per_org.active_slots > 3 * stats.p50 then 'WARN'
164
+ else 'OK'
165
+ end as severity
166
+ from per_org cross join stats
167
+ order by ratio_vs_p50 desc nulls last;
168
+ ```
169
+
170
+ **Hot tenant é confirmado quando ≥ 2 das 3 métricas estão em WARN+ simultaneamente** — uma só métrica sozinha pode ser falso positivo (batch job, importação, migração). Triangulação reduz noise.
171
+
172
+ ### REQ TENANT-02 — 5 estratégias de mitigação (tabela canônica)
173
+
174
+ | # | Estratégia | Quando usar | Tradeoff principal | Config / SQL exemplo |
175
+ |---|---|---|---|---|
176
+ | 1 | **Rate limit por tenant** | Picos imprevisíveis de write/read em hot tenant que prejudicam P95 dos demais | Impacto UX no tenant target — usuário vê HTTP 429; precisa coordenar com customer success | RLS reject + `pg_cron` throttle counter (abaixo) |
177
+ | 2 | **Pool conexão isolado (Supavisor multi-pool)** | Conn starvation — hot tenant esgota slots na pool compartilhada | Custo Supavisor multi-pool (Pro+) + complexidade de routing | Supavisor config `[pools.org_<uuid>]` |
178
+ | 3 | **Read replica dedicada** | Tenant read-heavy (dashboards, exports) que não precisa de write strong consistency | Custo Supabase Pro+ + lag replicação aceitável (centenas ms) | Supavisor `read.*` routing + `application_name` hint |
179
+ | 4 | **Desnormalização (MV per-tenant)** | Query repetitiva pesada (agregações, joins 5+ tabelas) que rodam 100× / hora p/ mesmo tenant | Refresh complexity + staleness window aceitável (5-15min) | `CREATE MATERIALIZED VIEW ... REFRESH CONCURRENTLY` + `pg_cron` |
180
+ | 5 | **Request shaping (pgmq priority)** | Picos previsíveis batch (relatório fim-de-mês, importação) — work é assíncrono | Complexidade fila + worker; latency aumenta para hot tenant | `pgmq` priority queue + worker que drena LOW após HIGH |
181
+
182
+ #### Estratégia 1 — Rate limit por tenant (exemplo)
183
+
184
+ ```sql
185
+ -- Tabela counter: bucket por org × minuto
186
+ create table private.tenant_rate_limit_buckets (
187
+ org_id uuid not null,
188
+ bucket_minute timestamptz not null,
189
+ request_count int not null default 0,
190
+ primary key (org_id, bucket_minute)
191
+ );
192
+
193
+ -- Função: incrementa counter e retorna se excedeu limite
194
+ create or replace function private.check_tenant_rate_limit(
195
+ p_org_id uuid,
196
+ p_limit_per_min int default 1000
197
+ )
198
+ returns boolean
199
+ language plpgsql
200
+ security definer
201
+ set search_path = ''
202
+ as $$
203
+ declare
204
+ v_count int;
205
+ v_bucket timestamptz;
206
+ begin
207
+ v_bucket := date_trunc('minute', now());
208
+ insert into private.tenant_rate_limit_buckets (org_id, bucket_minute, request_count)
209
+ values (p_org_id, v_bucket, 1)
210
+ on conflict (org_id, bucket_minute)
211
+ do update set request_count = tenant_rate_limit_buckets.request_count + 1
212
+ returning request_count into v_count;
213
+ return v_count <= p_limit_per_min;
214
+ end;
215
+ $$;
216
+
217
+ -- Cleanup buckets > 1h (pg_cron)
218
+ select cron.schedule('cleanup-rate-limit-buckets', '*/15 * * * *', $$
219
+ delete from private.tenant_rate_limit_buckets
220
+ where bucket_minute < now() - interval '1 hour';
221
+ $$);
222
+ ```
223
+
224
+ #### Estratégia 4 — MV per-tenant (exemplo agregação leads)
225
+
226
+ ```sql
227
+ -- MV agregando métricas pesadas só para hot tenant
228
+ -- (Para os demais tenants, query original direto na tabela ainda é rápida)
229
+ create materialized view public.lead_metrics_org_<uuid_underscore> as
230
+ select
231
+ l.stage,
232
+ count(*) as count,
233
+ count(*) filter (where l.created_at > now() - interval '7 days') as last_7d
234
+ from public.leads l
235
+ where l.org_id = '<uuid>'
236
+ group by l.stage;
237
+
238
+ create unique index lead_metrics_org_<uuid_underscore>_stage_idx
239
+ on public.lead_metrics_org_<uuid_underscore> (stage);
240
+
241
+ -- Refresh concurrent a cada 10min
242
+ select cron.schedule(
243
+ 'refresh-lead-metrics-org-<uuid_underscore>',
244
+ '*/10 * * * *',
245
+ $$ refresh materialized view concurrently public.lead_metrics_org_<uuid_underscore>; $$
246
+ );
247
+ ```
248
+
249
+ #### Estratégia 5 — Request shaping (pgmq priority)
250
+
251
+ ```sql
252
+ -- 2 filas: high (pequenos clientes) + low (hot tenant batch)
253
+ select pgmq.create('exports_high');
254
+ select pgmq.create('exports_low');
255
+
256
+ -- Enqueue: hot tenant vai para low, demais para high
257
+ create or replace function public.enqueue_export(p_org_id uuid, p_payload jsonb)
258
+ returns bigint
259
+ language plpgsql
260
+ security invoker
261
+ set search_path = ''
262
+ as $$
263
+ declare
264
+ v_is_hot boolean;
265
+ begin
266
+ -- Lookup hot tenant (refresh por job separado)
267
+ select exists (select 1 from private.hot_tenant_registry where org_id = p_org_id and active)
268
+ into v_is_hot;
269
+ if v_is_hot then
270
+ return (select msg_id from pgmq.send('exports_low', p_payload));
271
+ else
272
+ return (select msg_id from pgmq.send('exports_high', p_payload));
273
+ end if;
274
+ end;
275
+ $$;
276
+
277
+ -- Worker: drena high primeiro, low só quando high vazio
278
+ -- (implementação Edge Function com Deno cron)
279
+ ```
280
+
281
+ ### REQ TENANT-03 — Particionamento range vs hash para `tenant_id`
282
+
283
+ #### Decision tree
284
+
285
+ ```
286
+ Tabela > 50k rows/tenant OU > 5M rows total?
287
+ ├── Não → SEM particionamento (overhead > benefit). Use partial indexes.
288
+ └── Sim → particionar
289
+ ├── Workload uniforme cross-tenant (P95 ratio < 2× P50)?
290
+ │ ├── Sim → HASH (org_id) com 16-64 partições fixas
291
+ │ └── Não → continuar abaixo
292
+ └── Hot tenants conhecidos a priori (anchor tenant onboarded com SLA)?
293
+ ├── Sim → RANGE (org_id) com partição manual para cada hot
294
+ └── Não → HASH (default seguro) + monitor com REQ TENANT-01
295
+ ```
296
+
297
+ #### Hash partitioning — workload uniforme
298
+
299
+ ```sql
300
+ -- Tabela particionada por HASH em 16 partições (typical sweet spot Postgres 16+)
301
+ create table public.events (
302
+ id uuid not null,
303
+ org_id uuid not null,
304
+ event_type text not null,
305
+ payload jsonb,
306
+ created_at timestamptz not null default now(),
307
+ primary key (org_id, id)
308
+ ) partition by hash (org_id);
309
+
310
+ -- Cria 16 partições — Postgres distribui via hash modulo 16
311
+ do $$
312
+ declare
313
+ i int;
314
+ begin
315
+ for i in 0..15 loop
316
+ execute format(
317
+ 'create table public.events_p%s partition of public.events for values with (modulus 16, remainder %s)',
318
+ lpad(i::text, 2, '0'), i
319
+ );
320
+ end loop;
321
+ end $$;
322
+
323
+ -- Index local em cada partição (document-partitioned — REQ TENANT-04)
324
+ create index events_org_created_idx on public.events (org_id, created_at desc);
325
+ ```
326
+
327
+ **Por que 16 partições:** sweet spot empírico Postgres 16+ — partição management overhead negligível, paralelização de scans efetiva. Acima de 64 partições, planner começa a sofrer (citação DDIA p.202 — "each partition also has management overhead").
328
+
329
+ #### Range partitioning — anchor tenant conhecido
330
+
331
+ ```sql
332
+ -- Tabela particionada por RANGE — partição dedicada para anchor tenant + default p/ os demais
333
+ create table public.audit_logs (
334
+ id uuid not null,
335
+ org_id uuid not null,
336
+ event_type text not null,
337
+ actor_id uuid,
338
+ payload jsonb,
339
+ created_at timestamptz not null default now(),
340
+ primary key (org_id, id)
341
+ ) partition by range (org_id);
342
+
343
+ -- Partição dedicada para anchor tenant (uuid conhecido)
344
+ create table public.audit_logs_anchor_acme
345
+ partition of public.audit_logs
346
+ for values from ('11111111-1111-1111-1111-111111111111')
347
+ to ('11111111-1111-1111-1111-111111111112');
348
+
349
+ -- Partição default para todos os demais — rebalancear manualmente quando outro tenant virar hot
350
+ create table public.audit_logs_default
351
+ partition of public.audit_logs
352
+ default;
353
+
354
+ -- Índice local em cada partição
355
+ create index audit_logs_anchor_acme_created_idx on public.audit_logs_anchor_acme (created_at desc);
356
+ create index audit_logs_default_org_created_idx on public.audit_logs_default (org_id, created_at desc);
357
+ ```
358
+
359
+ **Vantagem range para anchor:** isola I/O do anchor tenant. Bloat/vacuum/analyze de outras orgs não bloqueia o anchor. Permite tablespace dedicado em disco SSD separado.
360
+
361
+ **Risco range:** se outro tenant escalar inesperadamente, partição default fica skewed. Mitigação: REQ TENANT-01 monitor + script de migração para nova partição range.
362
+
363
+ ### REQ TENANT-04 — Índices secundários document-partitioned vs term-partitioned
364
+
365
+ DDIA p.197-200 distingue duas estratégias para índices secundários em tabelas particionadas. Aplicado a queries cross-tenant em views super-admin (caso canônico em B2B SaaS):
366
+
367
+ | Aspecto | Document-partitioned (local) | Term-partitioned (global) |
368
+ |---|---|---|
369
+ | **Topologia** | 1 índice por partição (default Postgres) | 1 índice global cobrindo todas as partições (não-default Postgres — exige extensão pg_partman ou abordagem manual) |
370
+ | **Write cost** | Barato — 1 partição afetada | Caro — N partições do índice afetadas + lock cross-partição |
371
+ | **Read cost (single tenant)** | O(log n) na partição alvo | O(log n) no índice global |
372
+ | **Read cost (cross-tenant super-admin)** | **scatter-gather** — todas as partições consultadas em paralelo | O(log n) — 1 lookup direto |
373
+ | **Aplicação canônica** | RLS queries normais (filter por `org_id` → 1 partição) | Super-admin views que listam todas orgs por critério (ex: "todas as leads created_at > X") |
374
+
375
+ #### Recomendação default: document-partitioned
376
+
377
+ ```sql
378
+ -- Index local em cada partição da tabela events (REQ TENANT-03)
379
+ -- Postgres cria automaticamente em cada partição quando criado na tabela parent
380
+ create index events_event_type_idx on public.events (event_type);
381
+
382
+ -- Verificar que cada partição tem o index
383
+ select
384
+ pi.indrelid::regclass as partition_name,
385
+ pi.indexrelid::regclass as index_name
386
+ from pg_inherits inh
387
+ join pg_index pi on pi.indrelid = inh.inhrelid
388
+ where inh.inhparent = 'public.events'::regclass;
389
+ ```
390
+
391
+ **Query super-admin sobre `event_type` faz scatter-gather** — Postgres pruner não consegue eliminar partições (filter não inclui `org_id`). Custo: tail latency amplification (DDIA p.198) — query é tão lenta quanto a partição mais lenta. Aceitável para super-admin (queries raras, async, não user-facing).
392
+
393
+ #### Term-partitioned (quando query path é crítico)
394
+
395
+ Postgres não suporta nativamente índice global em tabela particionada. Opções:
396
+
397
+ 1. **Tabela auxiliar de lookup** — manualmente mantida via trigger:
398
+
399
+ ```sql
400
+ -- Lookup table cross-tenant: term → (org_id, event_id)
401
+ -- Mantida via trigger nas partições filhas
402
+ create table private.events_event_type_global_idx (
403
+ event_type text not null,
404
+ org_id uuid not null,
405
+ event_id uuid not null,
406
+ created_at timestamptz not null,
407
+ primary key (event_type, created_at desc, org_id, event_id)
408
+ );
409
+
410
+ create or replace function private.events_sync_global_idx()
411
+ returns trigger
412
+ language plpgsql
413
+ security definer
414
+ set search_path = ''
415
+ as $$
416
+ begin
417
+ if (tg_op = 'INSERT') then
418
+ insert into private.events_event_type_global_idx
419
+ (event_type, org_id, event_id, created_at)
420
+ values (new.event_type, new.org_id, new.id, new.created_at);
421
+ elsif (tg_op = 'DELETE') then
422
+ delete from private.events_event_type_global_idx
423
+ where event_type = old.event_type and event_id = old.id;
424
+ end if;
425
+ return null;
426
+ end;
427
+ $$;
428
+
429
+ -- Trigger replicado em cada partição (script bash gera a partir de pg_inherits)
430
+ -- Custo: 2× write (tabela + lookup) + lock cross-partição quando lookup é atualizado
431
+ ```
432
+
433
+ 2. **Aceitar staleness via job batch** — DDIA p.200 nota que DynamoDB GSI tem propagação assíncrona "within a fraction of a second". Mesmo trade-off vale aqui:
434
+
435
+ ```sql
436
+ -- Refresh global index via pg_cron a cada 30s
437
+ select cron.schedule('refresh-events-global-idx', '*/30 * * * * *', $$
438
+ insert into private.events_event_type_global_idx
439
+ (event_type, org_id, event_id, created_at)
440
+ select event_type, org_id, id, created_at
441
+ from public.events
442
+ where created_at > coalesce((select max(created_at) from private.events_event_type_global_idx), 'epoch')
443
+ on conflict do nothing;
444
+ $$);
445
+ ```
446
+
447
+ **Recomendação canônica:** começar com document-partitioned. Migrar para term-partitioned **somente** quando query path super-admin específica for medida em > 5s P95 e não-async-tolerant.
448
+
449
+ ### REQ TENANT-05 — Rebalanceamento sem downtime (4 passos)
450
+
451
+ DDIA p.201-204 documenta que rebalancing tem 3 requisitos não-negociáveis: load fair pós-rebalance, sem downtime durante rebalance, mover só o necessário. Aplicado a Postgres + Supavisor:
452
+
453
+ #### Passo 1 — Detectar tenant alvo via thresholds (REQ TENANT-01)
454
+
455
+ Confirmado quando ≥ 2 das 3 métricas em CRITICAL por > 7 dias consecutivos. Decisão: humano (DBA + customer success) revisa antes de prosseguir. **NÃO automatizar.**
456
+
457
+ #### Passo 2 — Dump do tenant para schema isolado
458
+
459
+ ```bash
460
+ # Pré-requisito: app está em modo read-only para o hot tenant durante 30min de janela de manutenção
461
+ # (controlado por feature flag — coordenado com customer success)
462
+
463
+ # Dump apenas tabelas do tenant (assumindo convenção partition naming)
464
+ pg_dump \
465
+ --schema=public \
466
+ --table='*tenant_<uuid_underscore>*' \
467
+ --table='public.events_<uuid_underscore>' \
468
+ --table='public.audit_logs_<uuid_underscore>' \
469
+ --no-owner \
470
+ --no-acl \
471
+ --file=/tmp/tenant_<uuid>_dump.sql \
472
+ postgresql://postgres:<password>@db.<source_project_ref>.supabase.co:5432/postgres
473
+
474
+ # Restaurar em nova instância Supabase dedicada (criada previamente)
475
+ psql \
476
+ postgresql://postgres:<password>@db.<dedicated_project_ref>.supabase.co:5432/postgres \
477
+ < /tmp/tenant_<uuid>_dump.sql
478
+
479
+ # Validar row count match
480
+ psql <source> -c "select count(*) from public.events where org_id = '<uuid>';"
481
+ psql <dedicated> -c "select count(*) from public.events;"
482
+ ```
483
+
484
+ #### Passo 3 — Supavisor redirect via routing config
485
+
486
+ ```toml
487
+ # supavisor.toml (ou config UI Supabase Dashboard)
488
+ # Routing rule: requests com header X-Org-Id=<uuid> vão para instância dedicada
489
+ [[routes]]
490
+ match.header = "X-Org-Id"
491
+ match.value = "<uuid>"
492
+ target = "dedicated_<uuid>"
493
+ priority = 100
494
+
495
+ [pools.dedicated_<uuid>]
496
+ host = "db.<dedicated_project_ref>.supabase.co"
497
+ port = 5432
498
+ database = "postgres"
499
+ mode = "transaction"
500
+ pool_size = 50
501
+
502
+ # Default route para os demais tenants (instância original)
503
+ [[routes]]
504
+ match.default = true
505
+ target = "shared"
506
+ priority = 1
507
+ ```
508
+
509
+ ```typescript
510
+ // App: setar header X-Org-Id em toda request
511
+ // Supabase JS client custom header (versão >= 2.x)
512
+ const supabase = createClient(url, anon_key, {
513
+ global: {
514
+ headers: { 'X-Org-Id': activeOrgId }
515
+ }
516
+ })
517
+ ```
518
+
519
+ **Após reload Supavisor (zero downtime — connections drain gracefully), tráfego do tenant alvo vai para instância dedicada. Demais tenants seguem na instância original.**
520
+
521
+ #### Passo 4 — Cleanup conservador (após 7d sem queries)
522
+
523
+ ```sql
524
+ -- Verificar que nenhuma query tocou as partições antigas nos últimos 7d
525
+ select
526
+ schemaname, relname,
527
+ last_seq_scan,
528
+ last_idx_scan,
529
+ greatest(coalesce(last_seq_scan, 'epoch'::timestamptz),
530
+ coalesce(last_idx_scan, 'epoch'::timestamptz)) as last_access
531
+ from pg_stat_user_tables
532
+ where relname like '%<uuid_underscore>%'
533
+ order by last_access;
534
+ -- Esperado: last_access < now() - interval '7 days' para todas
535
+
536
+ -- Apenas após confirmação manual humana, dropar
537
+ begin;
538
+ drop table if exists public.events_<uuid_underscore> cascade;
539
+ drop table if exists public.audit_logs_<uuid_underscore> cascade;
540
+ -- ... outras tabelas particionadas do tenant
541
+ commit;
542
+ ```
543
+
544
+ **Por que 7d:** janela de defesa contra rollback emergencial. Se a instância dedicada falhar por bug não detectado em customer testing, voltar tráfego para instância original em < 5min via reverter Supavisor config — só funciona se dados antigos ainda existem.
545
+
546
+ ## Anti-patterns
547
+
548
+ ### Anti-pattern 1: Mitigar antes de medir (sem baseline 30d)
549
+
550
+ **Errado:** "Cliente reclamou de lentidão — vamos criar MV per-tenant para ele agora."
551
+
552
+ **Por quê:** sem baseline 30d das 3 métricas (REQ TENANT-01), não dá pra distinguir hot tenant real de pico transitório (importação CSV grande, batch fim-de-mês). Mitigação prematura adiciona MV refresh overhead permanente para uma situação possivelmente pontual.
553
+
554
+ **Certo:** coletar 30d de baseline, identificar via REQ TENANT-01, confirmar com ≥ 2 das 3 métricas em WARN+ por > 7d. Só então aplicar mitigação.
555
+
556
+ ### Anti-pattern 2: Particionar tabela com poucos rows
557
+
558
+ **Errado:**
559
+ ```sql
560
+ -- 5 tenants, 200 rows/tenant
561
+ create table public.events (...) partition by hash (org_id);
562
+ ```
563
+
564
+ **Por quê:** overhead de partition pruning + planner trabalho > benefit. Cada query passa por partition routing, dump/restore mais lento, manutenção complexa. Premature optimization clássica — DDIA p.202 nota que "each partition also has management overhead".
565
+
566
+ **Certo:** começar com tabela regular + index `(org_id, created_at desc)`. Particionar quando atingir threshold real (> 50k rows/tenant OU > 5M total).
567
+
568
+ ### Anti-pattern 3: Term-partitioned como default
569
+
570
+ **Errado:** criar lookup table global (term-partitioned) já no MVP "para evitar scatter-gather no futuro".
571
+
572
+ **Por quê:** writes ficam 2× mais caros desde dia 1. Cross-partition lock complica. DDIA p.200 documenta que mesmo DynamoDB GSI (term-partitioned built-in) tem trade-off de propagation delay assíncrono. Você está pagando custo agora para benefício hipotético futuro.
573
+
574
+ **Certo:** document-partitioned como default. Migrar para term-partitioned **somente** quando query path super-admin medir > 5s P95 e for user-facing crítico.
575
+
576
+ ### Anti-pattern 4: Rebalancing automático
577
+
578
+ **Errado:** script bash que detecta hot tenant via REQ TENANT-01 e automaticamente roda passos 2-3 do REQ TENANT-05.
579
+
580
+ **Por quê:** DDIA p.204 documenta cascading failure clássica — node lento detectado como dead → rebalance automático → carga extra no resto do cluster → mais nodes ficam lentos → mais rebalance → cascade. Em B2B SaaS, equivalente: importação CSV grande detectada como hot → rebalance triggered → aplicação volta-volta no meio de transação user-facing → erros 500 em produção.
581
+
582
+ **Certo:** detecção automática gera **alerta** (Slack/PagerDuty). Decisão de rebalance é humana (DBA + customer success), executada em janela de manutenção pré-comunicada.
583
+
584
+ ### Anti-pattern 5: Cleanup imediato após move (sem 7d)
585
+
586
+ **Errado:**
587
+ ```sql
588
+ -- Logo após Supavisor reroute (REQ TENANT-05 passo 3)
589
+ drop schema tenant_<uuid> cascade;
590
+ ```
591
+
592
+ **Por quê:** se instância dedicada tiver bug não detectado (RLS quebrada, schema diverge, performance pior), você não consegue rollback. Customer fica fora do ar até nova restore from backup (RTO horas).
593
+
594
+ **Certo:** 7d de monitoring ativo (`pg_stat_user_tables.last_seq_scan`/`last_idx_scan` confirmados zero) antes do drop. Custo: 7d de storage duplicado (negligível vs custo de outage).
595
+
596
+ ## Ver também
597
+
598
+ - [`../_shared-dados-distribuidos/glossary.md`](../_shared-dados-distribuidos/glossary.md) — glossário compartilhado da Suíte DDIA Foundations v1.22 (define `hot spot`, `scatter-gather`, `consistent hashing`, `key range partitioning`, etc.)
599
+ - [`../multi-tenant-performance-scaling/SKILL.md`](../multi-tenant-performance-scaling/SKILL.md) — Supavisor pooling, partial indexes, helper functions STABLE (skill irmã v1.21 — base de scaling antes de mitigação de hot tenant)
600
+ - [`../supabase-postgres-style/SKILL.md`](../supabase-postgres-style/SKILL.md) — style guide SQL canônico (snake_case, schema-qualified, `private.*` para helpers)
601
+ - [`../multi-tenant-rls-hierarchy/SKILL.md`](../multi-tenant-rls-hierarchy/SKILL.md) — RLS hierarchical policies que coexistem com partições (RLS aplicada na tabela parent propaga para todas as partições)
602
+ - [`../super-admin-platform-pattern/SKILL.md`](../super-admin-platform-pattern/SKILL.md) — cross-tenant views super-admin (caso canônico para REQ TENANT-04 term-partitioned trade-off)
603
+ - DDIA Ch 6 (Designing Data-Intensive Applications, Martin Kleppmann) — Partitioning. Justin Bieber tenant: p.196 nota [13]. Hash vs range: p.194-196. Secondary indexes: p.197-200. Rebalancing: p.201-204.
604
+ - [Postgres Declarative Partitioning Docs](https://www.postgresql.org/docs/current/ddl-partitioning.html#DDL-PARTITIONING-DECLARATIVE)
605
+ - [Supavisor Multi-Pool Docs](https://supabase.com/docs/guides/database/connecting-to-postgres#supavisor)