npm - @nitra/cursor - Versions diffs - 1.25.3 → 1.26.1 - Mend

@nitra/cursor 1.25.3 → 1.26.1

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (4) hide show

package/CHANGELOG.md +22 -0
package/package.json +1 -1
package/rules/k8s/js/manifests.mjs +185 -14
package/rules/k8s/k8s.mdc +57 -1

package/CHANGELOG.md CHANGED Viewed

@@ -4,6 +4,28 @@
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
+## [1.26.1] - 2026-05-26
+### Fixed
+- **`k8s/js/manifests.mjs`**: `Set.prototype.toSorted` не існує — повернено `Array.from(new Set(...)).toSorted(...)` (oxlint `--fix` помилково замінив `[...new Set(...)].sort(...)` на невалідний `new Set(...).toSorted(...)`).
+- **`k8s/js/manifests.mjs`**: hardcoded CIDR-и (`35.191.0.0/16`, `130.211.0.0/22`, `10.0.0.0/8`) у `NETWORK_POLICY_GCLB_INGRESS_FROM` тепер з `// eslint-disable-next-line sonarjs/no-hardcoded-ip` (це канон GCLB, який не змінюється).
+- **`k8s/js/manifests.mjs`**: `() => {}` default callback → іменована константа `noopFail` (eslint `no-empty-function`).
+- **`k8s/js/tests/manifests/tests/check-schema.test.mjs`**: винесено `HR_YAML_RE`, `HTTPROUTE_NP_MAPPING_RE`, `K8S_MDC_RE`, `EXPECTED_GCLB_INGRESS_FROM`, `GCLB_HC_GLOBAL_CIDR` як module-scope константи (e18e `prefer-static-regex` + sonarjs `no-hardcoded-ip`); `mock(() => {})` → `mock(msg => msg)`.
+- **`.cspell.json`**: додано `GCLB`, `gclb`, `байтово` до words.
+## [1.26.0] - 2026-05-26
+### Added
+- **`k8s/js/manifests.mjs`**: нова `collectHttpRouteIngressForWorkload(dir, appLabel, fail)` — резолвить HTTPRoute → `-hl` Service → `selector.app` mapping і повертає унікальні TCP-порти з `backendRefs[].port` для workload з міткою `appLabel`. Викликається з `appendNetworkPolicyDocuments` і `regenerateLegacyNetworkPolicyDocsInFile` під час `check k8s`.
+- **`k8s/js/manifests.mjs:buildNetworkPolicyYaml`**: опційний 4-й параметр `gclbPorts: number[]` — якщо непорожній, додає ingress-правило з `ipBlock` 35.191.0.0/16, 130.211.0.0/22, 10.0.0.0/8 і TCP-портами (відсортовано). Без параметра output байтово ідентичний baseline canon.
+- **`k8s.mdc` v1.42**: новий розділ «HTTPRoute → NetworkPolicy ingress (GCLB + Envoy)» з описом mapping і прикладом NetworkPolicy для HTTPRoute-paired workload.
+### Fixed
+- **Service blocking via NetworkPolicy** для workload-ів, прив'язаних до `HTTPRoute` через GKE Gateway: попередній canon допускав тільки `podSelector: {}` ingress, що блокувало трафік від Envoy data-plane (`10.10.0.0/23` для `us-central1-proxy-only`) і Google health checks (`35.191.0.0/16`, `130.211.0.0/22`). Тепер правило автоматично додається.
 ## [1.25.3] - 2026-05-26
 ### Fixed

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.25.3",
+  "version": "1.26.1",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/rules/k8s/js/manifests.mjs CHANGED Viewed

@@ -4300,20 +4300,55 @@ export function readNetworkPolicySnippet() {
   return /** @type {any} */ (loadSnippetSpec('deployment'))
 }
+/**
+ * No-op fail-callback (повертає аргумент). Використовується як дефолт у `regenerateLegacyNetworkPolicyDocsInFile`,
+ * коли caller не передає власний `fail` — щоб `collectHttpRouteIngressForWorkload` не падав.
+ * @param {string} msg повідомлення помилки
+ * @returns {string} той самий аргумент
+ */
+const noopFail = msg => msg
+/**
+ * `from`-peers для HTTPRoute-aware ingress-правила (GCP HC global + Envoy data-plane / proxy-only subnet).
+ * Порядок зафіксовано детерміністичним (HC-global → 10.0.0.0/8). Див. розділ «HTTPRoute → NetworkPolicy ingress» у k8s.mdc.
+ * @type {ReadonlyArray<{ ipBlock: { cidr: string } }>}
+ */
+const NETWORK_POLICY_GCLB_INGRESS_FROM = Object.freeze([
+  // eslint-disable-next-line sonarjs/no-hardcoded-ip
+  { ipBlock: { cidr: '35.191.0.0/16' } },
+  // eslint-disable-next-line sonarjs/no-hardcoded-ip
+  { ipBlock: { cidr: '130.211.0.0/22' } },
+  // eslint-disable-next-line sonarjs/no-hardcoded-ip
+  { ipBlock: { cidr: '10.0.0.0/8' } }
+])
 /**
  * Канонічний YAML **NetworkPolicy** для workload з іменем `deployName`, міткою `app` і типом `kind`.
  * Snippet обирається за `kind` через `KIND_TO_SNIPPET` (без merge — кожен snippet самодостатній).
  * Анотація `nitra.dev/workload-kind` додається, щоб rego диспатчив на правильний канон.
+ *
+ * Якщо `gclbPorts` непорожній — після canon ingress-правил додається одне ingress-правило
+ * з фіксованими CIDR-ами (GCP HC global + Envoy data-plane) і відсортованими унікальними TCP-портами
+ * (для HTTPRoute-paired workload-ів; див. `collectHttpRouteIngressForWorkload` і k8s.mdc).
  * @param {string} deployName `metadata.name` workload
  * @param {string} appLabel `spec.selector.matchLabels.app`
  * @param {string} kind `kind` workload (обовʼязковий: Deployment | StatefulSet | Job | CronJob | DaemonSet)
+ * @param {readonly number[]} [gclbPorts] TCP-порти з backendRefs HTTPRoute (опційно)
  * @returns {string} вміст `networkpolicy.yaml`
  */
-export function buildNetworkPolicyYaml(deployName, appLabel, kind) {
+export function buildNetworkPolicyYaml(deployName, appLabel, kind, gclbPorts) {
   const schemaUrl = `${YANNH_BASE}networkpolicy-networking-v1.json`
   const snippetName = snippetNameForKind(kind)
   const spec = structuredClone(loadSnippetSpec(snippetName))
   spec.podSelector.matchLabels = { app: appLabel }
+  if (Array.isArray(gclbPorts) && gclbPorts.length > 0) {
+    const uniqueSorted = [...new Set(gclbPorts)].toSorted((a, b) => a - b)
+    const gclbRule = {
+      from: structuredClone(NETWORK_POLICY_GCLB_INGRESS_FROM),
+      ports: uniqueSorted.map(port => ({ protocol: 'TCP', port }))
+    }
+    spec.ingress = [...(spec.ingress ?? []), gclbRule]
+  }
   const specYaml = stringify(spec, { indent: 2 })
     .replaceAll(/^(?!$)/gm, '  ')
     .trimEnd()
@@ -4328,6 +4363,127 @@ spec:
 ${specYaml}`
 }
+/**
+ * Збирає унікальні TCP-порти з `HTTPRoute.backendRefs`, які адресують workload з міткою `appLabel`.
+ *
+ * Mapping: `backendRef.name` → `Service.metadata.name` у тому ж каталозі → `service.spec.selector.matchLabels.app === appLabel`.
+ * Використовується для побудови HTTPRoute-aware ingress-правила в NetworkPolicy (GCLB + Envoy data-plane CIDR-и; див. k8s.mdc).
+ * @param {string} dir абсолютний каталог
+ * @param {string} appLabel `spec.selector.matchLabels.app` цільового workload
+ * @param {(msg: string) => void} fail callback при read/parse-помилці YAML у каталозі
+ * @returns {Promise<{ ports: number[] } | null>} відсортовані унікальні TCP-порти або null, якщо HTTPRoute не вказує на цей workload
+ */
+export async function collectHttpRouteIngressForWorkload(dir, appLabel, fail) {
+  let entries
+  try {
+    entries = await readdir(dir, { withFileTypes: true })
+  } catch {
+    return null
+  }
+  const yamlFiles = entries
+    .filter(e => e.isFile() && (e.name.endsWith('.yaml') || e.name.endsWith('.yml')))
+    .map(e => join(dir, e.name))
+  if (yamlFiles.length === 0) return null
+  /** @type {Array<{ name: string, port: number }>} */
+  const allBackendRefs = []
+  /** @type {Map<string, string>} */
+  const servicesByName = new Map()
+  for (const abs of yamlFiles) {
+    let raw
+    try {
+      raw = await readFile(abs, 'utf8')
+    } catch (error) {
+      const msg = error instanceof Error ? error.message : String(error)
+      fail(`${abs}: не вдалося прочитати для GCLB ingress (HTTPRoute → NetworkPolicy mapping; k8s.mdc): ${msg}`)
+      continue
+    }
+    const lines = toLines(raw)
+    const body = lines.length > 0 && MODELINE_RE.test(lines[0]) ? yamlBodyAfterModeline(lines) : lines.join('\n')
+    /** @type {import('yaml').Document[]} */
+    let docs
+    try {
+      docs = parseAllDocuments(body)
+    } catch (error) {
+      const msg = error instanceof Error ? error.message : String(error)
+      fail(`${abs}: не вдалося розпарсити YAML для GCLB ingress (HTTPRoute → NetworkPolicy mapping; k8s.mdc): ${msg}`)
+      continue
+    }
+    for (const doc of docs) {
+      if (doc.errors.length > 0) {
+        fail(
+          `${abs}: YAML містить помилки для GCLB ingress (HTTPRoute → NetworkPolicy mapping; k8s.mdc): ${doc.errors[0].message}`
+        )
+        continue
+      }
+      const rec = asPlainRecord(doc.toJSON())
+      if (rec === null) continue
+      const av = rec.apiVersion
+      if (rec.kind === 'HTTPRoute' && typeof av === 'string' && av.startsWith(GATEWAY_API_GROUP_PREFIX)) {
+        collectHttpRouteBackendRefsInto(rec.spec, allBackendRefs)
+      } else if (rec.kind === 'Service') {
+        const name = manifestMetadataName(rec)
+        if (name !== null) {
+          const app = serviceSelectorAppLabel(rec.spec)
+          if (app !== null) servicesByName.set(name, app)
+        }
+      }
+    }
+  }
+  /** @type {Set<number>} */
+  const ports = new Set()
+  for (const { name, port } of allBackendRefs) {
+    const targetApp = servicesByName.get(name)
+    if (targetApp === appLabel) ports.add(port)
+  }
+  if (ports.size === 0) return null
+  return { ports: [...ports].toSorted((a, b) => a - b) }
+}
+/**
+ * Витягує мітку `app` з `Service.spec.selector.app` (плоский селектор, без `matchLabels`).
+ * Окремий helper від `appLabelFromSpecSelector` (той — для Deployment/StatefulSet, де `selector.matchLabels.app`).
+ * @param {unknown} spec значення `spec` Service
+ * @returns {string | null} мітка `app` або null
+ */
+function serviceSelectorAppLabel(spec) {
+  if (spec === null || spec === undefined || typeof spec !== 'object' || Array.isArray(spec)) return null
+  const selector = /** @type {Record<string, unknown>} */ (spec).selector
+  if (selector === null || selector === undefined || typeof selector !== 'object' || Array.isArray(selector)) return null
+  const app = /** @type {Record<string, unknown>} */ (selector).app
+  return typeof app === 'string' && app.trim() !== '' ? app : null
+}
+/**
+ * Обходить `spec` HTTPRoute (`spec.rules[*].backendRefs[*]`) і додає `(name, port)` у акумулятор.
+ * Дублює walk-логіку `collectGatewayApiRouteBackendServiceNames`, але зберігає `port` поруч з `name`.
+ * @param {unknown} spec значення `spec` маршруту
+ * @param {Array<{ name: string, port: number }>} out акумулятор
+ * @returns {void} результат
+ */
+function collectHttpRouteBackendRefsInto(spec, out) {
+  /**
+   * @param {unknown} node вузол для обходу
+   * @returns {void} результат
+   */
+  function walk(node) {
+    if (node === null || node === undefined) return
+    if (Array.isArray(node)) {
+      for (const x of node) walk(x)
+      return
+    }
+    if (typeof node !== 'object') return
+    if (isGatewayApiBackendRefToService(node)) {
+      const o = /** @type {Record<string, unknown>} */ (node)
+      out.push({ name: String(o.name), port: /** @type {number} */ (o.port) })
+    }
+    for (const v of Object.values(node)) walk(v)
+  }
+  walk(spec)
+}
 /**
  * Додає `resourceName` у `resources:` kustomization/Component YAML, якщо ще немає; сортує за алфавітом (en).
  * @param {string} raw вміст `kustomization.yaml`
@@ -6289,23 +6445,30 @@ async function existingNetworkPolicyNames(npAbs) {
 /**
  * Дописує відсутні NetworkPolicy-документи у `networkpolicy.yaml` (multi-doc через `---`).
+ * Перед побудовою YAML для кожного workload викликає `collectHttpRouteIngressForWorkload`,
+ * щоб додати GCLB-aware ingress-правило, якщо в каталозі є paired HTTPRoute (k8s.mdc).
  * @param {string} npAbs абсолютний шлях до файлу
  * @param {Array<{ name: string, appLabel: string, kind: string }>} toAdd workload-и без NP
  * @param {string} npRel відносний шлях для повідомлень
+ * @param {(msg: string) => void} fail callback при read/parse-помилках HTTPRoute/Service
  * @param {(msg: string) => void} passFn callback при успіху
  * @returns {Promise<void>} результат
  */
-async function appendNetworkPolicyDocuments(npAbs, toAdd, npRel, passFn) {
+async function appendNetworkPolicyDocuments(npAbs, toAdd, npRel, fail, passFn) {
   if (toAdd.length === 0) return
   let content = ''
   if (existsSync(npAbs)) {
     const raw = await readFile(npAbs, 'utf8')
     content = raw.trimEnd()
   }
-  const blocks = toAdd.map(({ name, appLabel, kind }, i) => {
-    const block = buildNetworkPolicyYaml(name, appLabel, kind)
-    return i === 0 && content === '' ? block.trimEnd() : stripYamlLanguageServerModeline(block).trimEnd()
-  })
+  const dir = dirname(npAbs)
+  const blocks = []
+  for (const [i, { name, appLabel, kind }] of toAdd.entries()) {
+    const gclb = await collectHttpRouteIngressForWorkload(dir, appLabel, fail)
+    const gclbPorts = gclb === null ? undefined : gclb.ports
+    const block = buildNetworkPolicyYaml(name, appLabel, kind, gclbPorts)
+    blocks.push(i === 0 && content === '' ? block.trimEnd() : stripYamlLanguageServerModeline(block).trimEnd())
+  }
   const joined = blocks.join('\n---\n')
   content = content === '' ? `${joined}\n` : `${content}\n---\n${joined}\n`
   await writeFile(npAbs, content, 'utf8')
@@ -6360,11 +6523,14 @@ function networkPolicyPodSelectorAppLabel(spec) {
 /**
  * Migrate legacy `networkpolicy.yaml`: якщо хоч один документ має catch-all in-cluster egress —
- * перезаписати **всі** документи у файлі через `buildNetworkPolicyYaml(name, appLabel)`. Деталі — k8s.mdc.
+ * перезаписати **всі** документи у файлі через `buildNetworkPolicyYaml(name, appLabel, kind, gclbPorts)`.
+ * `gclbPorts` витягуються з HTTPRoute paired у тому ж каталозі (див. `collectHttpRouteIngressForWorkload`).
+ * Деталі — k8s.mdc.
  * @param {string} npAbs абсолютний шлях до networkpolicy.yaml
+ * @param {(msg: string) => void} [fail] callback при read/parse-помилці HTTPRoute/Service (опційно — для backward compat)
  * @returns {Promise<boolean>} true якщо файл переписаний
  */
-export async function regenerateLegacyNetworkPolicyDocsInFile(npAbs) {
+export async function regenerateLegacyNetworkPolicyDocsInFile(npAbs, fail) {
   if (!existsSync(npAbs)) return false
   const docs = await readAllDocsByKindFromFile(npAbs, 'NetworkPolicy')
   if (docs.length === 0) return false
@@ -6392,10 +6558,15 @@ export async function regenerateLegacyNetworkPolicyDocsInFile(npAbs) {
     if (typeof name === 'string' && name !== '' && appLabel !== '') specs.push({ name, appLabel, kind })
   }
   if (specs.length === 0) return false
-  const blocks = specs.map(({ name, appLabel, kind }, i) => {
-    const block = buildNetworkPolicyYaml(name, appLabel, kind)
-    return i === 0 ? block.trimEnd() : stripYamlLanguageServerModeline(block).trimEnd()
-  })
+  const dir = dirname(npAbs)
+  const failCb = typeof fail === 'function' ? fail : noopFail
+  const blocks = []
+  for (const [i, { name, appLabel, kind }] of specs.entries()) {
+    const gclb = await collectHttpRouteIngressForWorkload(dir, appLabel, failCb)
+    const gclbPorts = gclb === null ? undefined : gclb.ports
+    const block = buildNetworkPolicyYaml(name, appLabel, kind, gclbPorts)
+    blocks.push(i === 0 ? block.trimEnd() : stripYamlLanguageServerModeline(block).trimEnd())
+  }
   await writeFile(npAbs, `${blocks.join('\n---\n')}\n`, 'utf8')
   return true
 }
@@ -6415,7 +6586,7 @@ async function ensureNetworkPoliciesForWorkloadsInDir(dir, workloads, rootNorm,
   const npAbs = join(dir, NETWORK_POLICY_FILENAME)
   const npRel = (relative(rootNorm, npAbs) || npAbs).replaceAll('\\', '/')
   if (existsSync(npAbs)) {
-    const migrated = await regenerateLegacyNetworkPolicyDocsInFile(npAbs)
+    const migrated = await regenerateLegacyNetworkPolicyDocsInFile(npAbs, fail)
     if (migrated) {
       passFn(`${npRel}: міграція legacy catch-all egress → канон з явними in-cluster портами (k8s.mdc)`)
     }
@@ -6434,7 +6605,7 @@ async function ensureNetworkPoliciesForWorkloadsInDir(dir, workloads, rootNorm,
   }
   if (toAdd.length === 0) return
   try {
-    await appendNetworkPolicyDocuments(npAbs, toAdd, npRel, passFn)
+    await appendNetworkPolicyDocuments(npAbs, toAdd, npRel, fail, passFn)
     const kustAbs = join(dir, 'kustomization.yaml')
     if (existsSync(kustAbs)) {
       const raw = await readFile(kustAbs, 'utf8')

package/rules/k8s/k8s.mdc CHANGED Viewed

@@ -1,6 +1,6 @@
 ---
 description: K8s YAML — $schema (yaml-language-server); lint-k8s (kubeconform, kubescape); check-k8s
-version: '1.41'
+version: '1.42'
 globs: "**/k8s/**/*.yaml"
 alwaysApply: false
 ---
@@ -414,6 +414,34 @@ images:
 **Порядок `resources`:** у маніфесті з **`apiVersion: kustomize.config.k8s.io/…`**, **`kind: Kustomization`**, елементи **`resources:`** (лише непорожні рядки) мають бути **відсортовані за алфавітом (англ. локаль, як `localeCompare('en')` у `rules/k8s/fix.mjs`)**. Поля **`bases`**, **`components`**, **`crds`** цією перевіркою **не** впорядковуються.
+### HTTPRoute → NetworkPolicy ingress (GCLB + Envoy)
+Якщо в каталозі workload є **`HTTPRoute`** (Gateway API; `apiVersion: gateway.networking.k8s.io/*`) з **`backendRef`** на **`<workload>-hl`** Service (mapping через `service.spec.selector.app`), **`check k8s`** автоматично додає в NetworkPolicy цього workload **ingress-правило** з фіксованим набором CIDR-ів і **TCP-портами з `backendRefs[].port`** (дедуп, відсортовано за зростанням).
+Без цього правила трафік від **GKE Gateway** (Envoy data-plane з proxy-only subnet регіону, наприклад `us-central1-proxy-only` = `10.10.0.0/23`) і **Google health checks** (`35.191.0.0/16`, `130.211.0.0/22`) блокується базовим NetworkPolicy (бо canon ingress допускає тільки `podSelector: {}` — intra-namespace pod ↔ pod).
+CIDR-набір зафіксовано (без конфігурації):
+- `35.191.0.0/16` — GCP HC global
+- `130.211.0.0/22` — GCP HC global (legacy)
+- `10.0.0.0/8` — широкий range, покриває proxy-only subnets усіх регіонів GKE
+Приклад згенерованого ingress-правила (поверх baseline canon):
+```yaml
+ingress:
+  - from:
+      - podSelector: {}
+  - from:
+      - ipBlock: { cidr: 35.191.0.0/16 }
+      - ipBlock: { cidr: 130.211.0.0/22 }
+      - ipBlock: { cidr: 10.0.0.0/8 }
+    ports:
+      - { protocol: TCP, port: 8080 }
+```
+Якщо workload не прив'язаний до жодного HTTPRoute — правило **не** додається; NP лишається baseline (intra-namespace + canon egress). Не-HTTP routes (`GRPCRoute`, `TCPRoute`, `TLSRoute`, `UDPRoute`) поки не покриті — додається лише за HTTPRoute. Алгоритм: функція `collectHttpRouteIngressForWorkload` у **`rules/k8s/js/manifests.mjs`** індексує `HTTPRoute.backendRefs` і `Service` у каталозі, резолвить через `selector.app`, дедуп TCP-портів. Виклики — з `appendNetworkPolicyDocuments` і `regenerateLegacyNetworkPolicyDocsInFile`.
 ### Env-залежні межі (за сегментом після `/k8s/`)
 **Dev-like середовища** — сегмент `base`, `dev`, або з суфіксом `-qa` (напр. `tr-qa`):
@@ -554,6 +582,34 @@ spec:
           port: 4318
 ```
+```yaml title="k8s/base/networkpolicy.yaml — workload з HTTPRoute (з GCLB ingress)"
+# yaml-language-server: $schema=https://raw.githubusercontent.com/yannh/kubernetes-json-schema/master/v1.33.9-standalone-strict/networkpolicy-networking-v1.json
+apiVersion: networking.k8s.io/v1
+kind: NetworkPolicy
+metadata:
+  name: backend-api
+  annotations:
+    nitra.dev/workload-kind: Deployment
+spec:
+  podSelector:
+    matchLabels:
+      app: backend-api
+  policyTypes:
+    - Ingress
+    - Egress
+  ingress:
+    - from:
+        - podSelector: {}
+    - from: # auto-added by check k8s for HTTPRoute-paired workloads
+        - ipBlock: { cidr: 35.191.0.0/16 }
+        - ipBlock: { cidr: 130.211.0.0/22 }
+        - ipBlock: { cidr: 10.0.0.0/8 }
+      ports:
+        - { protocol: TCP, port: 8080 }
+  egress:
+    # ... (ідентично до базового прикладу вище)
+```
 ```yaml title="k8s/components/hpa.yaml"
 # yaml-language-server: $schema=https://raw.githubusercontent.com/yannh/kubernetes-json-schema/master/v1.33.9-standalone-strict/horizontalpodautoscaler-autoscaling-v2.json
 apiVersion: autoscaling/v2