@nitra/cursor 1.8.18 → 1.8.22

package/README.md

@@ -27,9 +27,25 @@
 | `js-format`  | Правила форматування JavaScript ecosystem (oxfmt) |
 | `npm-module` | Структура репозиторію для npm-модуля (bun mono)   |
 | `text`       | Текстові файли: cspell, CI                        |
+| `k8s`        | Kubernetes YAML, Kustomize, kubeconform           |
 
 Щоб використовувати конкретну версію правил, оновіть залежність `@nitra/cursor` у проєкті (`bun add -d @nitra/cursor@<версія>` тощо). Поле `version` у `.n-cursor.json`, якщо воно лишилось у старих конфігах, **ігнорується**.
 
+### Правило `k8s` і Kustomize
+
+У цільовому репозиторії з маніфестами під **`**/k8s`** дотримуйтесь **`mdc/k8s.mdc`** з пакету (після синку — `.cursor/rules/n-k8s.mdc`або копія з`node_modules/@nitra/cursor/mdc/k8s.mdc`).
+
+Коротко:
+
+- **Структура Kustomize:** спільне виноситься в **`base`**; вміст **base** відповідає тому, як має виглядати середовище **dev**; окремої директорії **`dev/`** немає — за dev відповідає **`base`**. У інших середовищах — тонкі **overlays** (часто лише **`kustomization.yaml`** і patches / оверрайди).
+- У каталозі **`k8s`** має бути **`README.md`** з описом дерев і застосування.
+- **Namespace** задається в **`kustomization.yaml`** (`namespace:`), а не через **`metadata.namespace`** у кожному ресурсі; окремі patches лише на зміну **namespace** не потрібні.
+- У **Deployment** для кожного контейнера: **`resources`**, **`imagePullPolicy: Always`** (перевіряє **`npx @nitra/cursor check k8s`**).
+- Рядки в **base**, які змінюються в overlays, позначайте коментарем на рядку (узгоджено в команді), наприклад: `# буде замінено через kustomize`.
+- Після перенесення в **`base`** / overlays **видаляйте** застарілі маніфести та каталоги, які більше не потрібні.
+
+Повний текст правил — у **`k8s.mdc`**; programmatic перевірки — у **`npm/scripts/check-k8s.mjs`** (у встановленому пакеті — `scripts/check-k8s.mjs`).
+
 ### v8r і власний каталог схем
 
 Скрипт `scripts/run-v8r.mjs` передає в v8r каталог **`schemas/v8r-catalog.json`** пакета автоматично (у репозиторії той самий файл, що й `npm/schemas/v8r-catalog.json` від кореня монорепо). Якщо викликаєш `bunx v8r` напряму, передай `-c`: локально `node_modules/@nitra/cursor/schemas/v8r-catalog.json` або [unpkg](https://unpkg.com/@nitra/cursor/schemas/v8r-catalog.json). JSON Schema конфігурації: [n-cursor.json](https://unpkg.com/@nitra/cursor/schemas/n-cursor.json).

package/mdc/bun.mdc

@@ -1,7 +1,7 @@
 ---
 description: Bun як єдиний package manager у монорепо
 alwaysApply: true
-version: '1.3'
+version: '1.4'
 ---
 
 Проект використовує тільки Bun для керування залежностями та запуску скриптів.
@@ -48,6 +48,8 @@ Lockfile у репозиторії: `bun.lock`.
 - Якщо залежність потрібна лише одному пакету, додавати її в директорії цього пакета.
 - У CI та локально запускати скрипти через `bun run`.
 
+В кореневому в package.json не повинно бути `dependencies`, а в  `devDependencies` будуть тільки `@cspell/*` та `@nitra/*` модулі.
+
 Якщо в package.json є поля `packageManager`, то прибрати їх, також прибрати всі директорії та файли для yarn
 
 Якщо в проекті використовується npx, то не замінювати його на bunx, а використовувати npx.

package/mdc/k8s.mdc

@@ -1,6 +1,6 @@
 ---
 description: K8s YAML — $schema (yaml-language-server); lint-k8s (kubeconform, kubescape); check-k8s
-version: '1.13'
+version: '1.16'
 globs: "**/k8s/**/*.{yaml,yml}"
 alwaysApply: false
 ---
@@ -125,9 +125,81 @@ resources: {}
 
 Так маніфест явно резервує місце під **`requests` / `limits`** і уникає випадкового пропуску секції. **`check k8s`** перевіряє це для кожного YAML-документа **`Deployment`** у файлах під **`k8s`**.
 
+У кожному контейнері **`Deployment`** має бути **`imagePullPolicy: Always`** (див. **`check k8s`**).
+
+## Kustomize: структура каталогів (`base` / overlays)
+
+Трансформуй дерева **`**/k8s`**, щоб **винести спільне** через [Kustomize](https://kustomize.io/): один канонічний **`base`** і тонкі **overlays** для інших середовищ.
+
+### Джерело правди — середовище dev
+
+- За основу бери **все, що відповідає середовищу dev** (як воно має виглядати в кластері для dev).
+- У **такому вигляді** цей набір стає каталогом **`base`**: спільні маніфести без окремої директорії **`dev/`**.
+- Окремої директорії **`dev`** **не повинно існувати**: за середовище **dev** відповідає **`base`** (застосування **`kubectl apply -k …/base`** або збірка з overlay, який посилається на `base`).
+
+### Overlays (не-dev)
+
+- У каталозі кожного іншого середовища (наприклад **`ru/`**, **`prod/`**) має бути **мінімум файлів**: типово лише **`kustomization.yaml`** (посилання на `base`, `patches`, `replacements`, `components` тощо) і ресурси чи додаткові YAML, **необхідні лише для цього overlay**.
+- Відмінності від dev вносяться **оверрайдами** (patches, `images`, `replicas`, `configMapGenerator` тощо), а не копіюванням повного дерева з `base`.
+
+### Namespace
+
+- У **`base/kustomization.yaml`** задай **`namespace: dev`** (або узгоджене ім’я для dev **namespace**), щоб **усі ресурси base** потрапляли в цей namespace через Kustomize.
+- У **маніфестах ресурсів** (Deployment, Service, …) **не вказуй** **`metadata.namespace`** — **namespace** задається **лише в файлах Kustomize** (`kustomization.yaml` / `kustomization.yml`), полем верхнього рівня **`namespace:`**.
+- **Не додавай** окремі **patches** Kustomize, які лише змінюють **namespace**: **namespace** визначає Kustomize; у overlays додаткові зміни — без дублювання логіки **namespace**.
+
+### Рядки, що змінюються між середовищами
+
+- У маніфестах у **`base`** для полів (або значень), які **будуть відрізнятися** в інших середовищах, на **тому самому рядку** додай коментар:
+
+  ```yaml
+  image: my-app:dev-tag # буде замінено через kustomize
+  ```
+
+  Текст коментаря узгодь у команді; важливо, щоб було видно, що значення **навіть у base** може бути замінене overlay.
+
+### Документація в дереві k8s
+
+- У каталозі **`k8s`** (корінь оголошеного дерева маніфестів) має бути **`README.md`**: коротко опиши структуру (`base`, overlays), як зібрати/застосувати середовища, посилання на внутрішні правила команди.
+
+### Міграція зі старої структури
+
+- Після перенесення маніфестів у **`base`** та overlays і перевірки (**`check k8s`**, **`lint-k8s`**) **видали** застарілі файли та директорії, які замінені новою схемою (дубльовані копії, колишні шляхи без Kustomize), щоб у репозиторії не залишалося зайвих або суперечливих маніфестів.
+
+## Ingress → Gateway API (GKE)
+
+Якщо в дереві **`k8s`** трапляється маніфест з **`kind: Ingress`**, його потрібно **замінити на Gateway API**, а не залишати Ingress.
+
+1. **HTTPRoute** — окремий файл **`hr.yaml`** (або узгоджене ім’я в команді), **`kind: HTTPRoute`**, `apiVersion` з групи **`gateway.networking.k8s.io`** (див. приклад `$schema` для HTTPRoute у розділі «Визначення схеми YAML»).
+2. **HealthCheckPolicy (GKE)** — окремий файл **`hc.yaml`**, наприклад:
+
+   ```yaml
+   apiVersion: networking.gke.io/v1
+   kind: HealthCheckPolicy
+   ```
+
+   Для `$schema` у першому рядку див. приклад **HealthCheckPolicy** у тому ж розділі (datree CRDs-catalog).
+
+3. **Overlay `ru`:** у **`ru/kustomization.yaml`** (шлях з сегментами **`…/ru/kustomization.yaml`** під **`k8s`**) додай **видалення** ресурсу HealthCheckPolicy для середовища, де політика не потрібна (підстав **реальне ім’я** замість `SERVICE_NAME`):
+
+   ```yaml
+   patches:
+     - target:
+         kind: HealthCheckPolicy
+       patch: |-
+         kind: HealthCheckPolicy
+         metadata:
+           name: SERVICE_NAME
+         $patch: delete
+   ```
+
+   За потреби розшир **`target`** (`name`, `namespace`), щоб однозначно вказати об’єкт.
+
+**`check k8s`:** заборонено **`kind: Ingress`**; якщо в проєкті є **`kind: HealthCheckPolicy`**, має існувати хоча б один **`ru/kustomization.yaml`** під **`k8s`** із блоком видалення (**`$patch: delete`** для **HealthCheckPolicy**).
+
 ## Перевірка
 
-**`npx @nitra/cursor check k8s`** — узгодженість першого рядка (`$schema`), один рядок `# yaml-language-server` на файл, правило для `.yml`, відповідність URL першому YAML-документу (до `---`) за логікою нижче; для кожного документа **`Deployment`** у файлі — наявність **`containers[].resources`** (див. розділ **Deployment: `resources`**). Якщо під `k8s` немає yaml/yml — перевірку пропущено. Інший зміст маніфесту — вручну / **`lint-k8s`**.
+**`npx @nitra/cursor check k8s`** — узгодженість першого рядка (`$schema`), один рядок `# yaml-language-server` на файл, правило для `.yml`, відповідність URL першому YAML-документу (до `---`) за логікою нижче; для кожного документа **`Deployment`** — **`containers[].resources`**, **`imagePullPolicy: Always`**; у файлах **не** `kustomization.yaml` / `kustomization.yml` — заборона **`metadata.namespace`** (**namespace** лише в Kustomize, див. **Kustomize: структура каталогів**); заборона **`kind: Ingress`**; наявність **`HealthCheckPolicy`** — вимога до **`ru/kustomization.yaml`** з **`$patch: delete`** (див. **Ingress → Gateway API**). Якщо під `k8s` немає yaml/yml — перевірку пропущено. Інший зміст маніфесту — вручну / **`lint-k8s`**.
 
 Після змін у маніфестах: **`bun run lint-k8s`** (kubeconform + kubescape; обов'язково для проєктів з правилом **`k8s`** у **`.n-cursor.json`**).
 
@@ -137,13 +209,18 @@ resources: {}
 
 - Обхід з пропуском `node_modules`, `.git`, `dist`, `coverage`, `.turbo`, `.next`.
 - **`file:`** у `$schema` — URL до apiVersion/kind не звіряється; **`https:`** — kustomization за іменем файлу → Schema Store; далі перевіряється **`EXPLICIT_K8S_SCHEMAS`** (`Map`: `apiVersion` + `kind` + `type`, для записів без `type` у маніфесті — третій компонент **`*`**); потім `v1` → yannh; група з `YANNH_GROUPS` → yannh; інакше → datree (GitHub Pages), крім рядків явної таблиці (наприклад **InfisicalSecret** — raw на `main`).
-- У кожному YAML-документі з **`kind: Deployment`** — парсинг через **`yaml`**: у кожного елемента **`spec.template.spec.containers[]`** має існувати ключ **`resources`** зі значенням-об'єктом (допускається порожній **`{}`**).
+- У кожному YAML-документі з **`kind: Deployment`** — парсинг через **`yaml`**: у кожного елемента **`spec.template.spec.containers[]`** має існувати ключ **`resources`** зі значенням-об'єктом (допускається порожній **`{}`**); у кожного контейнера — **`imagePullPolicy: Always`**.
+- У файлах, ім’я яких **не** `kustomization.yaml` / `kustomization.yml`, у кожному документі — заборона поля **`metadata.namespace`** (**namespace** задається в Kustomize).
+- Документи з **`kind: Ingress`** — заборонені (потрібен перехід на Gateway API, див. розділ **Ingress → Gateway API**).
+- Якщо в будь-якому файлі під **`k8s`** є **`kind: HealthCheckPolicy`**, серед файлів має бути **`ru/kustomization.yaml`** (сегмент шляху **`ru`** перед іменем файлу), а його вміст — patch видалення **HealthCheckPolicy** з **`$patch: delete`** (див. той самий розділ).
 
 ## Коли застосовувати (агентам)
 
 - Зміни в k8s YAML — після правок **`check k8s`**.
 - Якщо перший рядок уже коректний і URL відповідає `apiVersion` / `kind` — не дублюй; змінився ресурс — онови лише `$schema`.
-- У **`Deployment`** без поля **`resources`** у контейнері — додай **`resources: {}`** (див. розділ **Deployment: `resources`**).
+- У **`Deployment`** без поля **`resources`** у контейнері — додай **`resources: {}`** (див. розділ **Deployment: `resources`**); додай **`imagePullPolicy: Always`** для кожного контейнера.
+- Дотримуйся структури **Kustomize** (`base` = dev, overlays без дублювання `base`, **`README.md`** у `k8s`, коментарі для рядків, що змінюються в overlay).
+- Після міграції на нову структуру **видали** застарілі файли та каталоги, які вже замінені (див. **Міграція зі старої структури**).
 
 ## Визначення схеми YAML (канон)
 

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.18",
+  "version": "1.8.22",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/check-bun.mjs

@@ -1,9 +1,12 @@
 /**
- * Перевіряє відповідність репозиторію правилам Bun (n-bun.mdc).
+ * Перевіряє відповідність репозиторію правилам Bun (bun.mdc).
  *
  * Очікує наявність `bun.lock`, забороняє lockfile та артефакти yarn/pnpm, директорію `.yarn`
  * і поле `packageManager` у кореневому `package.json`.
  *
+ * У кореневому `package.json` не має бути поля **`dependencies`**; у **`devDependencies`** дозволені
+ * лише пакети з префіксами **`@cspell/`** та **`@nitra/`** (інші залежності — у workspace-пакетах).
+ *
  * Якщо в `.n-cursor.json` у `rules` є `docker` або `k8s`, вимагає у кореневому `package.json`
  * відповідно скриптів `lint-docker` / `lint-k8s` (див. docker.mdc, k8s.mdc).
  *
@@ -16,6 +19,15 @@ import { readFile } from 'node:fs/promises'
 
 import { pass } from './utils/pass.mjs'
 
+/**
+ * Чи ім'я пакета дозволене в кореневих `devDependencies` за bun.mdc (лише `@cspell/*` та `@nitra/*`).
+ * @param {string} name ключ з поля `devDependencies`
+ * @returns {boolean} true, якщо префікс дозволений
+ */
+export function isAllowedRootDevDependency(name) {
+  return name.startsWith('@cspell/') || name.startsWith('@nitra/')
+}
+
 /**
  * Зчитує ідентифікатори правил з `.n-cursor.json` (поле `rules`).
  * @returns {Promise<Set<string>>} множина рядків id правил або порожня, якщо файлу/поля немає
@@ -77,6 +89,37 @@ export async function check() {
       pass('package.json не містить packageManager')
     }
 
+    if (pkg.dependencies === undefined) {
+      pass('Кореневий package.json без поля `dependencies`')
+    } else {
+      fail(
+        'Кореневий package.json не повинен містити поле `dependencies` — додай залежності в workspace-пакети (bun.mdc)'
+      )
+    }
+
+    const dev = pkg.devDependencies
+    if (dev === undefined) {
+      pass('Кореневий package.json без devDependencies')
+    } else if (dev === null || typeof dev !== 'object' || Array.isArray(dev)) {
+      fail(
+        'Кореневий package.json: `devDependencies` має бути object з ключами пакетів і діапазонами версій (не null, не масив)'
+      )
+    } else {
+      const bad = Object.keys(dev).filter(n => !isAllowedRootDevDependency(n))
+      if (bad.length > 0) {
+        fail(
+          `Кореневі devDependencies дозволені лише @cspell/* та @nitra/* — прибери або перенеси: ${bad.join(', ')} (bun.mdc)`
+        )
+      } else {
+        const n = Object.keys(dev).length
+        pass(
+          n === 0
+            ? 'Кореневі devDependencies порожні (дозволені лише @cspell/* та @nitra/*)'
+            : `Кореневі devDependencies лише @cspell/* та @nitra/* (${n} пак.)`
+        )
+      }
+    }
+
     const scripts = pkg.scripts && typeof pkg.scripts === 'object' ? pkg.scripts : {}
 
     if (cursorRules.has('docker')) {

package/scripts/check-k8s.mjs

@@ -7,7 +7,13 @@
  *
  * Додатково: у кожному YAML-документі з **`kind: Deployment`** у кожного контейнера
  * **`spec.template.spec.containers[]`** має бути ключ **`resources`** (значення — об'єкт, допускається
- * порожній **`{}`**).
+ * порожній **`{}`**) та **`imagePullPolicy: Always`**.
+ *
+ * У файлах **не** `kustomization.yaml` / `kustomization.yml` у документах не має бути **`metadata.namespace`**
+ * (namespace лише в Kustomize).
+ *
+ * **`kind: Ingress`** заборонено (потрібен перехід на Gateway API). Якщо є **`HealthCheckPolicy`**,
+ * має існувати **`ru/kustomization.yaml`** з patch видалення цього kind (`$patch: delete`).
  *
  * Явні винятки до загальної логіки yannh/datree — таблиця **`EXPLICIT_K8S_SCHEMAS`** (`Map`): ключ
  * **`apiVersion`, `kind`, `type`** (для CRD без поля `type` у маніфесті — зірочка **`*`** як третій
@@ -205,6 +211,103 @@ function extractApiVersionAndKind(doc) {
   }
 }
 
+/**
+ * Чи відносний шлях вказує на **`ru/kustomization.yaml`** (сегмент **`ru`** перед ім’ям файлу).
+ * @param {string} rel шлях від кореня репозиторію
+ * @returns {boolean} true, якщо це `…/ru/kustomization.yaml`
+ */
+export function isRuKustomizationPath(rel) {
+  const norm = rel.replaceAll('\\', '/')
+  return /(^|\/)ru\/kustomization\.yaml$/u.test(norm)
+}
+
+/**
+ * Чи вміст overlay **`ru/kustomization.yaml`** містить Kustomize patch видалення **HealthCheckPolicy**.
+ * @param {string} raw повний текст файлу
+ * @returns {boolean} true, якщо є `$patch: delete` і блоки kind/metadata для HealthCheckPolicy
+ */
+export function ruKustomizationHasHealthCheckDeletePatch(raw) {
+  if (!/\$patch:\s*delete/u.test(raw)) return false
+  if (!/kind:\s*HealthCheckPolicy/u.test(raw)) return false
+  if (!/metadata:/u.test(raw)) return false
+  if (!/name:\s*\S+/u.test(raw)) return false
+  return true
+}
+
+/**
+ * Шукає **Ingress** / **HealthCheckPolicy** у розібраних документах; реєструє порушення для Ingress.
+ * @param {string} rel відносний шлях до файлу
+ * @param {string} body YAML після modeline
+ * @param {(msg: string) => void} fail callback для помилки (Ingress)
+ * @param {string[]} healthCheckPolicyFiles накопичувач шляхів, де зустріли HealthCheckPolicy
+ * @returns {void}
+ */
+function scanIngressAndHealthCheckPolicy(rel, body, fail, healthCheckPolicyFiles) {
+  /** @type {import('yaml').Document[]} */
+  let docs
+  try {
+    docs = parseAllDocuments(body)
+  } catch {
+    return
+  }
+
+  for (const [di, doc] of docs.entries()) {
+    if (doc.errors.length === 0) {
+      const obj = doc.toJSON()
+      if (obj !== null && typeof obj === 'object' && !Array.isArray(obj)) {
+        const rec = /** @type {Record<string, unknown>} */ (obj)
+        if (rec.kind === 'Ingress') {
+          fail(
+            `${rel}: знайдено kind: Ingress (документ ${di + 1}) — заміни на Gateway API: HTTPRoute (hr.yaml), HealthCheckPolicy (hc.yaml), patch у ru/kustomization.yaml (див. k8s.mdc)`
+          )
+        } else if (rec.kind === 'HealthCheckPolicy' && !healthCheckPolicyFiles.includes(rel)) {
+          healthCheckPolicyFiles.push(rel)
+        }
+      }
+    }
+  }
+}
+
+/**
+ * Якщо у дереві k8s є HealthCheckPolicy, вимагає **ru/kustomization.yaml** з patch видалення.
+ * @param {string} root корінь cwd
+ * @param {string[]} yamlFiles абсолютні шляхи до yaml під k8s
+ * @param {string[]} healthCheckPolicyFiles відносні шляхи з HealthCheckPolicy
+ * @param {(msg: string) => void} fail callback для помилки (немає ru або немає patch)
+ * @returns {Promise<void>} завершення після перевірки overlay ru
+ */
+async function ensureRuKustomizationHealthCheckDelete(root, yamlFiles, healthCheckPolicyFiles, fail) {
+  if (healthCheckPolicyFiles.length === 0) {
+    return
+  }
+
+  const ruAbsList = yamlFiles.filter(abs => isRuKustomizationPath(relative(root, abs) || abs))
+  if (ruAbsList.length === 0) {
+    fail(
+      `Знайдено HealthCheckPolicy у ${healthCheckPolicyFiles.join(', ')} — додай ru/kustomization.yaml з patch видалення (див. k8s.mdc)`
+    )
+    return
+  }
+
+  for (const abs of ruAbsList) {
+    let raw
+    try {
+      raw = await readFile(abs, 'utf8')
+    } catch (error) {
+      const msg = error instanceof Error ? error.message : String(error)
+      fail(`${relative(root, abs) || abs}: не вдалося прочитати (${msg})`)
+      return
+    }
+    if (ruKustomizationHasHealthCheckDeletePatch(raw)) {
+      return
+    }
+  }
+
+  fail(
+    'Є HealthCheckPolicy, але жоден ru/kustomization.yaml не містить очікуваного patch видалення (kind: HealthCheckPolicy, metadata.name, $patch: delete) — див. k8s.mdc'
+  )
+}
+
 /**
  * Чи порушує маніфест вимогу **`Deployment.spec.template.spec.containers[].resources`** (див. k8s.mdc).
  * @param {unknown} manifest корінь YAML-документа як об'єкт JavaScript
@@ -246,32 +349,104 @@ export function deploymentResourcesViolation(manifest) {
 }
 
 /**
- * Парсить усі YAML-документи з тіла файлу й реєструє порушення **`Deployment.resources`**.
- * @param {string} rel відносний шлях (для повідомлень)
+ * Чи контейнери **Deployment** мають **`imagePullPolicy: Always`** (k8s.mdc).
+ * @param {unknown} manifest корінь YAML-документа
+ * @returns {string | null} текст порушення або null, якщо не Deployment / ок
+ */
+export function deploymentImagePullPolicyViolation(manifest) {
+  if (manifest === null || manifest === undefined || typeof manifest !== 'object' || Array.isArray(manifest))
+    return null
+  const rec = /** @type {Record<string, unknown>} */ (manifest)
+  if (rec.kind !== 'Deployment') return null
+  const spec = rec.spec
+  if (spec === null || spec === undefined || typeof spec !== 'object' || Array.isArray(spec)) return null
+  const template = /** @type {Record<string, unknown>} */ (spec).template
+  if (template === null || template === undefined || typeof template !== 'object' || Array.isArray(template))
+    return null
+  const podSpec = /** @type {Record<string, unknown>} */ (template).spec
+  if (podSpec === null || podSpec === undefined || typeof podSpec !== 'object' || Array.isArray(podSpec)) return null
+  const containers = /** @type {Record<string, unknown>} */ (podSpec).containers
+  if (!Array.isArray(containers)) return null
+
+  for (const [i, c] of containers.entries()) {
+    const label =
+      typeof c === 'object' && c !== null && !Array.isArray(c) && typeof c.name === 'string' && c.name !== ''
+        ? c.name
+        : `#${i + 1}`
+    if (c !== null && c !== undefined && typeof c === 'object' && !Array.isArray(c)) {
+      const cont = /** @type {Record<string, unknown>} */ (c)
+      if (cont.imagePullPolicy !== 'Always') {
+        return `контейнер "${label}": imagePullPolicy має бути Always (див. k8s.mdc)`
+      }
+    }
+  }
+
+  return null
+}
+
+/**
+ * У маніфестах ресурсів не має бути **metadata.namespace** — лише у **kustomization** (k8s.mdc).
+ * @param {unknown} manifest корінь YAML-документа
+ * @returns {string | null} текст порушення або null, якщо поля немає
+ */
+export function metadataNamespaceForbiddenViolation(manifest) {
+  if (manifest === null || manifest === undefined || typeof manifest !== 'object' || Array.isArray(manifest))
+    return null
+  const rec = /** @type {Record<string, unknown>} */ (manifest)
+  const meta = rec.metadata
+  if (meta !== null && typeof meta === 'object' && !Array.isArray(meta) && 'namespace' in meta) {
+    return 'metadata.namespace заборонено — задай namespace у kustomization.yaml (поле namespace) (див. k8s.mdc)'
+  }
+  return null
+}
+
+/**
+ * Чи ім’я файлу — kustomization (дозволяє не застосовувати перевірку metadata.namespace до вмісту).
+ * @param {string} baseLower basename у нижньому регістрі
+ * @returns {boolean} true для `kustomization.yaml` / `kustomization.yml`
+ */
+function isKustomizationFileName(baseLower) {
+  return baseLower === 'kustomization.yaml' || baseLower === 'kustomization.yml'
+}
+
+/**
+ * Парсить усі YAML-документи: **metadata.namespace**, **Deployment.resources**, **imagePullPolicy**.
+ * @param {string} rel відносний шлях
+ * @param {string} baseLower basename файлу (нижній регістр)
  * @param {string} body вміст після modeline
  * @param {(msg: string) => void} fail реєстрація помилки
  */
-function validateDeploymentResourcesInK8sYaml(rel, body, fail) {
+function validateK8sYamlPolicyDocuments(rel, baseLower, body, fail) {
   /** @type {import('yaml').Document[]} */
   let docs
   try {
     docs = parseAllDocuments(body)
   } catch (error) {
     const msg = error instanceof Error ? error.message : String(error)
-    fail(
-      `${rel}: не вдалося розібрати YAML для перевірки Deployment.spec.template.spec.containers[].resources (${msg})`
-    )
+    fail(`${rel}: не вдалося розібрати YAML для перевірок маніфестів (${msg})`)
     return
   }
 
+  const skipMetaNs = isKustomizationFileName(baseLower)
+
   for (const [di, doc] of docs.entries()) {
     if (doc.errors.length > 0) {
       fail(`${rel}: YAML (документ ${di + 1}): ${doc.errors.map(e => e.message).join('; ')}`)
     } else {
       const obj = doc.toJSON()
-      const v = deploymentResourcesViolation(obj)
-      if (v !== null) {
-        fail(`${rel}: Deployment (документ ${di + 1}): ${v}`)
+      if (!skipMetaNs) {
+        const ns = metadataNamespaceForbiddenViolation(obj)
+        if (ns !== null) {
+          fail(`${rel}: документ ${di + 1}: ${ns}`)
+        }
+      }
+      const resV = deploymentResourcesViolation(obj)
+      if (resV !== null) {
+        fail(`${rel}: Deployment (документ ${di + 1}): ${resV}`)
+      }
+      const pullV = deploymentImagePullPolicyViolation(obj)
+      if (pullV !== null) {
+        fail(`${rel}: Deployment (документ ${di + 1}): ${pullV}`)
       }
     }
   }
@@ -358,9 +533,10 @@ function countSchemaModelines(lines) {
  * @param {string} root корінь репозиторію
  * @param {(msg: string) => void} fail реєстрація помилки
  * @param {(msg: string) => void} pass реєстрація успіху
+ * @param {string[]} healthCheckPolicyFiles накопичувач файлів із kind: HealthCheckPolicy
  * @returns {Promise<void>}
  */
-async function checkK8sYamlFile(abs, root, fail, pass) {
+async function checkK8sYamlFile(abs, root, fail, pass, healthCheckPolicyFiles) {
   const rel = relative(root, abs) || abs
   const base = basename(abs)
   const baseLower = base.toLowerCase()
@@ -398,6 +574,8 @@ async function checkK8sYamlFile(abs, root, fail, pass) {
 
   const body = yamlBodyAfterModeline(lines)
 
+  scanIngressAndHealthCheckPolicy(rel, body, fail, healthCheckPolicyFiles)
+
   if (schemaUrl.startsWith('file:')) {
     pass(`${rel}: локальна схема (file:) — перевірка URL за apiVersion/kind пропущена`)
   } else if (/^https:/iu.test(schemaUrl)) {
@@ -420,7 +598,7 @@ async function checkK8sYamlFile(abs, root, fail, pass) {
     return
   }
 
-  validateDeploymentResourcesInK8sYaml(rel, body, fail)
+  validateK8sYamlPolicyDocuments(rel, baseLower, body, fail)
 }
 
 /**
@@ -444,9 +622,14 @@ export async function check() {
 
   pass(`YAML у k8s: ${yamlFiles.length} файл(ів)`)
 
+  /** @type {string[]} */
+  const healthCheckPolicyFiles = []
+
   for (const abs of yamlFiles) {
-    await checkK8sYamlFile(abs, root, fail, pass)
+    await checkK8sYamlFile(abs, root, fail, pass, healthCheckPolicyFiles)
   }
 
+  await ensureRuKustomizationHealthCheckDelete(root, yamlFiles, healthCheckPolicyFiles, fail)
+
   return exitCode
 }