@nitra/cursor 1.8.122 → 1.8.124

package/mdc/abie.mdc

@@ -4,7 +4,7 @@ alwaysApply: true
 version: '1.15'
 ---
 
-Правило **abie** для споживачів **@nitra/cursor**: **k8s** (Deployment + **HealthCheckPolicy** у **`hc.yaml`**, overlay **ua** / **ru** — **nodeSelector**, **HTTPRoute** (будь-який непорожній **`target.name`**, для спільних сервісів **`auth-run-hl`** / **`file-link-hl`** — **`namespace: dev`** у base та patch **`…/backendRefs/…/namespace`** у **ua** / **ru**), у overlay **ru** — кожен **Service** (у т. ч. **headless** / **`-hl`**) → **`spec.type: NodePort`** через **JSON6902** у **`kustomization.yaml`**, видалення **HealthCheckPolicy** у **ru**), гілки **dev**, **ua**, **ru** у **clean-merged-branch**, а також заборона артефактів **Firebase Hosting** у корені репозиторію.
+Правило **abie** для споживачів **@nitra/cursor**: **k8s** (Deployment + **HealthCheckPolicy** у **`hc.yaml`**, overlay **ua** / **ru** — **nodeSelector**, **HTTPRoute** (будь-який непорожній **`target.name`**, для спільних сервісів **`auth-run-hl`** / **`file-link-hl`** — **`namespace: dev`** у base та patch **`…/backendRefs/…/namespace`** у **ua** / **ru**), у overlay **ru** — кожен **Service** (у т. ч. **headless** / **`-hl`**) → **`spec.type: NodePort`** через **JSON6902** у **`kustomization.yaml`**, видалення **HealthCheckPolicy** у **ru**), гілки **dev**, **ua**, **ru** у **clean-merged-branch**, а також заборона тримати артефакти **Firebase Hosting** у **підкаталогах першого рівня** (безпосередні діти кореня репозиторію; у самому корені ці імена не вимагаються до видалення).
 
 **`npx @nitra/cursor check abie`** виконується лише якщо в **`.n-cursor.json`** у **`rules`** є **`abie`** — інакше вихід **0** без зауважень.
 
@@ -40,6 +40,8 @@ spec:
 
 ### HTTPRoute: спільні сервіси **`auth-run-hl`**, **`file-link-hl`**
 
+У **HTTPRoute** у шляху з **`…/k8s/base/…`** у **`spec.hostnames`** дозволені лише **`aiml.live`**, **`*.aiml.live`** та інші піддомени **aiml.live** (перевірка в **`check-abie.mjs`**).
+
 Ці **Service** (headless **`-hl`**) живуть у **базовому** неймспейсі **`dev`**. У маніфесті **HTTPRoute** під **`k8s`** (шар без **`ua/`** та **`ru/`** — наприклад **`…/k8s/base/hr.yaml`**) для кожного **`backendRefs`** до такого сервісу явно вкажи **`namespace: dev`** і порт **8080**:
 
 ```yaml title="…/k8s/base/hr.yaml (фрагмент)"
@@ -332,7 +334,7 @@ spec:
 
 ## Firebase Hosting
 
-У корені репозиторію не тримати конфіг і кеш **Firebase Hosting**: видали **`.firebaserc`**, **`firebase.json`** та каталог **`.firebase/`**, якщо вони є.
+У **кожному** підкаталозі, що лежить **безпосередньо** в корені репозиторію, не тримати конфіг і кеш **Firebase Hosting**: у таких каталогах не повинно бути **`.firebaserc`**, **`firebase.json`** та каталогу **`.firebase/`** (у **самому** корені репозиторію ці імена перевіркою abie **не** розглядаються; `node_modules` / `.git` зі скану вилучаються).
 
 ## Git branches
 

package/mdc/k8s.mdc

@@ -142,7 +142,7 @@ spec:
       namespace: dev
       sectionName: https
   hostnames:
-    - abie.cloud
+    - aiml.live
   rules:
     - matches:
         - path:

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.122",
+  "version": "1.8.124",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/check-abie.mjs

@@ -8,7 +8,8 @@
  * **`phpdocker-io/github-actions-delete-abandoned-branches`** у **`with.ignore_branches`** мають бути
  * **dev**, **ua** та **ru** (разом з іншими гілками, якщо потрібно).
  *
- * **Firebase Hosting:** у корені репозиторію не має бути **`.firebaserc`**, **`firebase.json`** та каталогу **`.firebase/`**.
+ * **Firebase Hosting:** у **підкаталогах першого рівня** (безпосередні діти кореня репозиторію; `node_modules` / `.git` пропускаються) не має бути
+ * **`.firebaserc`**, **`firebase.json`** та каталогу **`.firebase/`**; у **самому** корені репозиторію ці імена не перевіряються.
  *
  * **k8s:** якщо під деревом із сегментом **`k8s`** є YAML з **`kind: Deployment`**, у тій самій директорії
  * має існувати **`hc.yaml`** із **`HealthCheckPolicy`** (**`networking.gke.io/v1`**), modeline **`$schema`**
@@ -29,6 +30,7 @@
  * — тоді в **`ua`/`ru` kustomization** потрібен patch на **`kind: HTTPRoute`**, **непорожній `target.name`**: **`/spec/hostnames`**
  * (домени abie.mdc), **`/spec/parentRefs/0/namespace`** (**ua** / **ru**); для **ru** — **`gwin.yandex.cloud/rules.http.upgradeTypes: websocket`**,
  * якщо в тому ж **`kustomization.yaml`** згадується **`HASURA_GRAPHQL_JWT_SECRET`** (Hasura + JWT).
+ * **HTTPRoute (base / dev):** у маніфесті **HTTPRoute** у шляху з сегментом **`base`** (наприклад **`…/k8s/base/hr.yaml`**) у **`spec.hostnames`** дозволені лише **`aiml.live`**, **`*.aiml.live`** та інші піддомени **aiml.live** (канонічно порівняння без урахування регістру).
  * **Спільні бекенди (`auth-run-hl`, `file-link-hl`):** у **HTTPRoute** під **`k8s`** поза overlay **ua** та **ru** (шлях не містить **`k8s/ua/`** чи **`k8s/ru/`**) кожен такий **`backendRefs`** має **`namespace: dev`** і порт **8080**;
  * у patch overlay **ua** та **ru** — по одному **JSON6902** на **`/spec/rules/…/backendRefs/…/namespace`** з **`value`**: **ua** або **ru** (кількість patch-ів = кількість таких **`backendRefs`** у пакеті).
  * Вибір **`op`** — **k8s.mdc**.
@@ -37,7 +39,7 @@
  * у файлі **`k8s/ru/kustomization.yaml`** того ж пакета (overlay середовища **ru**) — inline **JSON6902** на **`kind: Service`** з тим самим **`target.name`**: **`path: /spec/type`**, **`value: NodePort`**; якщо в base було **`spec.clusterIP: None`** — **`op: remove`** для **`/spec/clusterIP`**; якщо в base **явно** задано **`spec.clusterIPs`** — також **`remove`** для **`/spec/clusterIPs`** (інакше **API** може залишити **`None`** для **NodePort**; без ключа **`clusterIPs`** у base **`remove`** на **`/spec/clusterIPs`** ламає **`kubectl kustomize`**).
  */
 import { existsSync } from 'node:fs'
-import { readFile } from 'node:fs/promises'
+import { readdir, readFile } from 'node:fs/promises'
 import { dirname, join, relative } from 'node:path'
 
 import { parseAllDocuments } from 'yaml'
@@ -49,6 +51,9 @@ import { walkDir } from './utils/walkDir.mjs'
 
 const CONFIG_FILE = '.n-cursor.json'
 
+/** Каталоги-діти в корені, які пропускаються при скануванні на артефакти Firebase Hosting (abie). */
+const ABIE_FIREBASE_HOSTING_SCAN_SKIP_TOP_DIR_NAMES = new Set(['.git', 'node_modules'])
+
 /** Маркер у kustomization.yaml: якщо зустрічається у файлі — для overlay ru у patch HTTPRoute потрібна анотація gwin…websocket. */
 const HASURA_JWT_SECRET_IN_KUSTOMIZATION = 'HASURA_GRAPHQL_JWT_SECRET'
 
@@ -63,6 +68,9 @@ const ABIE_SHARED_CROSS_NS_BACKEND_SET = new Set(ABIE_SHARED_CROSS_NS_BACKEND_NA
 /** Очікуваний URL **`$schema`** для **hc.yaml** (abie.mdc). */
 export const ABIE_HC_SCHEMA_URL = 'https://datreeio.github.io/CRDs-catalog/networking.gke.io/healthcheckpolicy_v1.json'
 
+/** Кореневий домен **`spec.hostnames`** для **HTTPRoute** у **`…/k8s/base/…`** (середовище dev, abie.mdc). */
+export const ABIE_BASE_DEV_HTTPROUTE_HOST_ROOT = 'aiml.live'
+
 const MODELINE_RE = /^#\s*yaml-language-server:\s*\$schema=(\S+)\s*$/
 const LINE_SPLIT_RE = /\r?\n/u
 const RU_KUSTOMIZATION_PATH_RE = /(^|\/)ru\/kustomization\.yaml$/u
@@ -191,6 +199,84 @@ export function isAbieK8sBaseYamlPath(rel) {
   return BASE_SEGMENT_RE.test(norm)
 }
 
+/**
+ * Чи **hostname** дозволений для **HTTPRoute** у **base** (dev): **aiml.live**, **\*.aiml.live** або **\*.…\.aiml.live** (без урахування регістру).
+ * @param {string} hostname значення з **spec.hostnames**
+ * @returns {boolean} **true**, якщо hostname відповідає abie.mdc
+ */
+export function isAllowedAbieBaseDevHostname(hostname) {
+  if (typeof hostname !== 'string') {
+    return false
+  }
+  const h = hostname.trim().toLowerCase()
+  if (h === '') {
+    return false
+  }
+  const root = ABIE_BASE_DEV_HTTPROUTE_HOST_ROOT
+  if (h === root) {
+    return true
+  }
+  if (h === `*.${root}`) {
+    return true
+  }
+  if (h.endsWith(`.${root}`)) {
+    return true
+  }
+  return false
+}
+
+/**
+ * Повідомлення про недопустимі **spec.hostnames** у **HTTPRoute** у шляху **…/base/…** (abie.mdc).
+ * @param {unknown} obj корінь YAML-документа
+ * @param {string} rel відносний шлях від кореня репозиторію
+ * @returns {string[]} порожньо, якщо перевірка не застосовується або hostnames коректні
+ */
+export function abieBaseHttpRouteHostnamesErrors(obj, rel) {
+  if (!isAbieK8sBaseYamlPath(rel)) {
+    return []
+  }
+  if (obj === null || typeof obj !== 'object' || Array.isArray(obj)) {
+    return []
+  }
+  const rec = /** @type {Record<string, unknown>} */ (obj)
+  if (rec.kind !== 'HTTPRoute') {
+    return []
+  }
+  const spec = rec.spec
+  if (spec === null || typeof spec !== 'object' || Array.isArray(spec)) {
+    return []
+  }
+  const hostnames = /** @type {Record<string, unknown>} */ (spec).hostnames
+  if (hostnames === undefined) {
+    return []
+  }
+  /** @type {string[]} */
+  const hosts = []
+  if (Array.isArray(hostnames)) {
+    for (const h of hostnames) {
+      if (typeof h === 'string' && h.trim() !== '') {
+        hosts.push(h)
+      }
+    }
+  } else if (typeof hostnames === 'string' && hostnames.trim() !== '') {
+    hosts.push(hostnames)
+  }
+  if (hosts.length === 0) {
+    return []
+  }
+  const root = ABIE_BASE_DEV_HTTPROUTE_HOST_ROOT
+  /** @type {string[]} */
+  const errors = []
+  for (const h of hosts) {
+    if (!isAllowedAbieBaseDevHostname(h)) {
+      errors.push(
+        `${rel}: HTTPRoute у base (dev): hostname "${h}" недопустимий — дозволені лише ${root} та піддомени, зокрема *.${root} (abie.mdc)`
+      )
+    }
+  }
+  return errors
+}
+
 /**
  * Чи значення **`preem`** у base **Deployment** вважається «істинним» за abie.mdc (**true** або рядок **`true`** без урахування регістру).
  * @param {unknown} v значення з YAML
@@ -1050,7 +1136,8 @@ export async function analyzeAbieSharedBackendRefsInPackageK8s(root, pkgAbs, yam
       if (docs) {
         for (const doc of docs) {
           if (doc.errors.length === 0) {
-            const st = httpRouteDocSharedCrossNsBackendStats(doc.toJSON(), rel)
+            const json = doc.toJSON()
+            const st = httpRouteDocSharedCrossNsBackendStats(json, rel)
             refCount += st.refCount
             baseErrors.push(...st.errors)
           }
@@ -1504,6 +1591,60 @@ async function checkHttpRouteKustomization(abs, rel, mode, root, yamlFilesAbs, c
   return true
 }
 
+/**
+ * Для кожного **HTTPRoute** у **`…/k8s/base/…`** з непорожніми **`spec.hostnames`** — лише **aiml.live** та піддомени (abie.mdc).
+ * @param {string} root корінь репозиторію
+ * @param {string[]} yamlFilesAbs yaml під k8s
+ * @param {(msg: string) => void} fail callback при помилці
+ * @param {(msg: string) => void} passFn callback при успішній перевірці
+ * @returns {Promise<void>}
+ */
+async function ensureAbieBaseHttpRouteHostnames(root, yamlFilesAbs, fail, passFn) {
+  let baseHttpRoutesWithHostnames = 0
+  for (const abs of yamlFilesAbs) {
+    const rel = relative(root, abs).replaceAll('\\', '/') || abs
+    if (isAbieK8sBaseYamlPath(rel)) {
+      const docs = await readAndParseYamlDocs(abs, rel, fail)
+      if (!docs) {
+        return
+      }
+      for (const doc of docs) {
+        if (doc.errors.length === 0) {
+          const json = doc.toJSON()
+          const errs = abieBaseHttpRouteHostnamesErrors(json, rel)
+          if (errs.length > 0) {
+            for (const e of errs) {
+              fail(e)
+            }
+            return
+          }
+          if (json !== null && typeof json === 'object' && !Array.isArray(json)) {
+            const rec = /** @type {Record<string, unknown>} */ (json)
+            if (rec.kind === 'HTTPRoute') {
+              const spec = rec.spec
+              if (spec !== null && typeof spec === 'object' && !Array.isArray(spec)) {
+                const hostnames = /** @type {Record<string, unknown>} */ (spec).hostnames
+                if (Array.isArray(hostnames) && hostnames.some(h => typeof h === 'string' && h.trim() !== '')) {
+                  baseHttpRoutesWithHostnames++
+                } else if (typeof hostnames === 'string' && hostnames.trim() !== '') {
+                  baseHttpRoutesWithHostnames++
+                }
+              }
+            }
+          }
+        }
+      }
+    }
+  }
+  if (baseHttpRoutesWithHostnames > 0) {
+    passFn(
+      `HTTPRoute у …/k8s/base/…: spec.hostnames відповідають ${ABIE_BASE_DEV_HTTPROUTE_HOST_ROOT} та піддоменам (abie.mdc)`
+    )
+  } else {
+    passFn('Немає HTTPRoute у …/k8s/base/… з непорожніми spec.hostnames — перевірку aiml.live пропущено')
+  }
+}
+
 /**
  * Якщо є **Deployment** під **k8s**, вимагає в overlay **ua** та **ru** patch **HTTPRoute** (непорожній **target.name**) за abie.mdc
  * лише для пакетів з **vite.config.{js,mjs,ts}** у каталозі пакета (батько **k8s**).
@@ -1542,27 +1683,46 @@ async function ensureUaRuAbieHttpRoutePatches(root, yamlFilesAbs, fail, passFn)
 }
 
 /**
- * Перевіряє відсутність артефактів Firebase Hosting у корені репозиторію (abie.mdc).
+ * Перевіряє відсутність артефактів Firebase Hosting у **кожному** **підкаталозі першого рівня** від кореня
+ * (не в самому корені репозиторію) — abie.mdc. Каталоги **`.git`** і **`node_modules`** у скануванні пропускаються.
+ *
  * @param {string} root корінь репозиторію
  * @param {(msg: string) => void} passFn успішне повідомлення
  * @param {(msg: string) => void} failFn повідомлення про порушення
- * @returns {void}
- */
-function ensureNoFirebaseHostingArtifacts(root, passFn, failFn) {
-  for (const name of ['.firebaserc', 'firebase.json']) {
-    const abs = join(root, name)
-    if (existsSync(abs)) {
-      failFn(`Знайдено заборонений файл Firebase Hosting: ${name} — видали його (abie.mdc)`)
-    } else {
-      passFn(`Немає ${name}`)
+ * @returns {Promise<void>}
+ */
+async function ensureNoFirebaseHostingArtifacts(root, passFn, failFn) {
+  let entries
+  try {
+    entries = await readdir(root, { withFileTypes: true })
+  } catch (error) {
+    const msg = error instanceof Error ? error.message : String(error)
+    failFn(`Не вдалося прочитати ${root} для перевірки Firebase Hosting: ${msg} (abie.mdc)`)
+    return
+  }
+  const topDirs = entries.filter(
+    e => e.isDirectory() && !ABIE_FIREBASE_HOSTING_SCAN_SKIP_TOP_DIR_NAMES.has(e.name)
+  )
+  let hasViolation = false
+  for (const e of topDirs) {
+    for (const name of ['.firebaserc', 'firebase.json']) {
+      const rel = join(e.name, name).replaceAll('\\', '/')
+      if (existsSync(join(root, e.name, name))) {
+        failFn(`Знайдено заборонений файл Firebase Hosting: ${rel} — видали його (abie.mdc)`)
+        hasViolation = true
+      }
+    }
+    if (existsSync(join(root, e.name, '.firebase'))) {
+      failFn(`Знайдено заборонену директорію: ${e.name}/.firebase/ — видали її (abie.mdc)`)
+      hasViolation = true
     }
   }
-  const firebaseDir = join(root, '.firebase')
-  if (existsSync(firebaseDir)) {
-    failFn('Знайдено директорію .firebase — видали її (abie.mdc)')
-  } else {
-    passFn('Немає .firebase/')
+  if (hasViolation) {
+    return
   }
+  passFn(
+    'Підкаталоги кореня (1-й рівень, без .git/node_modules): артефактів Firebase Hosting не знайдено (abie.mdc)'
+  )
 }
 
 /**
@@ -1938,7 +2098,7 @@ export async function check() {
   }
 
   pass('Правило abie увімкнено — виконуємо перевірки')
-  ensureNoFirebaseHostingArtifacts(root, pass, fail)
+  await ensureNoFirebaseHostingArtifacts(root, pass, fail)
   await checkCleanMergedBranch(root, pass, fail)
 
   const yamlFiles = await findK8sYamlFiles(root)
@@ -1959,6 +2119,9 @@ export async function check() {
   pass('Перевіряємо Service → NodePort у ru/kustomization (abie.mdc)')
   await ensureRuAbieServiceNodePortPatches(root, yamlFiles, fail, pass)
 
+  pass('Перевіряємо HTTPRoute spec.hostnames у …/k8s/base/… (aiml.live, abie.mdc)')
+  await ensureAbieBaseHttpRouteHostnames(root, yamlFiles, fail, pass)
+
   if (deploymentDirs.size > 0) {
     pass('Є Deployment — перевіряємо nodeSelector у ua/ru kustomization (abie.mdc)')
     await ensureUaRuAbieNodeSelectorPatches(root, yamlFiles, deploymentDirs, fail, pass)