npm - @nitra/cursor - Versions diffs - 1.8.19 → 1.8.24 - Mend

@nitra/cursor 1.8.19 → 1.8.24

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (4) hide show

package/README.md CHANGED Viewed

@@ -27,9 +27,24 @@
 | `js-format`  | Правила форматування JavaScript ecosystem (oxfmt) |
 | `npm-module` | Структура репозиторію для npm-модуля (bun mono)   |
 | `text`       | Текстові файли: cspell, CI                        |
+| `k8s`        | Kubernetes YAML, Kustomize, kubeconform           |
 Щоб використовувати конкретну версію правил, оновіть залежність `@nitra/cursor` у проєкті (`bun add -d @nitra/cursor@<версія>` тощо). Поле `version` у `.n-cursor.json`, якщо воно лишилось у старих конфігах, **ігнорується**.
+### Правило `k8s` і Kustomize
+У цільовому репозиторії з маніфестами під **`**/k8s`** дотримуйтесь **`mdc/k8s.mdc`** з пакету (після синку — `.cursor/rules/n-k8s.mdc`або копія з`node_modules/@nitra/cursor/mdc/k8s.mdc`).
+Коротко:
+- **Структура Kustomize:** спільне виноситься в **`base`**; вміст **base** відповідає тому, як має виглядати середовище **dev**; окремої директорії **`dev/`** немає — за dev відповідає **`base`**. У інших середовищах — тонкі **overlays** (часто лише **`kustomization.yaml`** і patches / оверрайди).
+- **Namespace** задається в **`kustomization.yaml`** (`namespace:`), а не через **`metadata.namespace`** у кожному ресурсі; окремі patches лише на зміну **namespace** не потрібні.
+- У **Deployment** для кожного контейнера: **`resources`**, **`imagePullPolicy: Always`** (перевіряє **`npx @nitra/cursor check k8s`**).
+- Рядки в **base**, які змінюються в overlays, позначайте коментарем на рядку (узгоджено в команді), наприклад: `# буде замінено через kustomize`.
+- Після перенесення в **`base`** / overlays **видаляйте** застарілі маніфести та каталоги, які більше не потрібні.
+Повний текст правил — у **`k8s.mdc`**; programmatic перевірки — у **`npm/scripts/check-k8s.mjs`** (у встановленому пакеті — `scripts/check-k8s.mjs`).
 ### v8r і власний каталог схем
 Скрипт `scripts/run-v8r.mjs` передає в v8r каталог **`schemas/v8r-catalog.json`** пакета автоматично (у репозиторії той самий файл, що й `npm/schemas/v8r-catalog.json` від кореня монорепо). Якщо викликаєш `bunx v8r` напряму, передай `-c`: локально `node_modules/@nitra/cursor/schemas/v8r-catalog.json` або [unpkg](https://unpkg.com/@nitra/cursor/schemas/v8r-catalog.json). JSON Schema конфігурації: [n-cursor.json](https://unpkg.com/@nitra/cursor/schemas/n-cursor.json).

package/mdc/k8s.mdc CHANGED Viewed

@@ -1,6 +1,6 @@
 ---
 description: K8s YAML — $schema (yaml-language-server); lint-k8s (kubeconform, kubescape); check-k8s
-version: '1.13'
+version: '1.18'
 globs: "**/k8s/**/*.{yaml,yml}"
 alwaysApply: false
 ---
@@ -125,9 +125,77 @@ resources: {}
 Так маніфест явно резервує місце під **`requests` / `limits`** і уникає випадкового пропуску секції. **`check k8s`** перевіряє це для кожного YAML-документа **`Deployment`** у файлах під **`k8s`**.
+У кожному контейнері **`Deployment`** має бути **`imagePullPolicy: Always`** (див. **`check k8s`**).
+## Kustomize: структура каталогів (`base` / overlays)
+Трансформуй дерева **`**/k8s`**, щоб **винести спільне** через [Kustomize](https://kustomize.io/): один канонічний **`base`** і тонкі **overlays** для інших середовищ.
+### Джерело правди — середовище dev
+- За основу бери **все, що відповідає середовищу dev** (як воно має виглядати в кластері для dev).
+- У **такому вигляді** цей набір стає каталогом **`base`**: спільні маніфести без окремої директорії **`dev/`**.
+- Окремої директорії **`dev`** **не повинно існувати**: за середовище **dev** відповідає **`base`** (застосування **`kubectl apply -k …/base`** або збірка з overlay, який посилається на `base`).
+### Overlays (не-dev)
+- У каталозі кожного іншого середовища (наприклад **`ru/`**, **`prod/`**) має бути **мінімум файлів**: типово лише **`kustomization.yaml`** (посилання на `base`, `patches`, `replacements`, `components` тощо) і ресурси чи додаткові YAML, **необхідні лише для цього overlay**.
+- Відмінності від dev вносяться **оверрайдами** (patches, `images`, `replicas`, `configMapGenerator` тощо), а не копіюванням повного дерева з `base`.
+### Namespace
+- У **`base/kustomization.yaml`** задай **`namespace: dev`** (або узгоджене ім’я для dev **namespace**), щоб **усі ресурси base** потрапляли в цей namespace через Kustomize.
+- **Не додавай** окремі **patches** Kustomize, які лише змінюють **namespace**: **namespace** визначає Kustomize; у overlays додаткові зміни — без дублювання логіки **namespace**.
+### Рядки, що змінюються між середовищами
+- У маніфестах у **`base`** для полів (або значень), які **будуть відрізнятися** в інших середовищах, на **тому самому рядку** додай коментар:
+  ```yaml
+  image: my-app:dev-tag # буде замінено через kustomize
+  ```
+  Текст коментаря узгодь у команді; важливо, щоб було видно, що значення **навіть у base** може бути замінене overlay.
+### Міграція зі старої структури
+- Після перенесення маніфестів у **`base`** та overlays і перевірки (**`check k8s`**, **`lint-k8s`**) **видали** застарілі файли та директорії, які замінені новою схемою (дубльовані копії, колишні шляхи без Kustomize), щоб у репозиторії не залишалося зайвих або суперечливих маніфестів.
+## Ingress → Gateway API (GKE)
+Якщо в дереві **`k8s`** трапляється маніфест з **`kind: Ingress`**, його потрібно **замінити на Gateway API**, а не залишати Ingress.
+1. **HTTPRoute** — окремий файл **`hr.yaml`** (або узгоджене ім’я в команді), **`kind: HTTPRoute`**, `apiVersion` з групи **`gateway.networking.k8s.io`** (див. приклад `$schema` для HTTPRoute у розділі «Визначення схеми YAML»).
+2. **HealthCheckPolicy (GKE)** — окремий файл **`hc.yaml`**, наприклад:
+   ```yaml
+   apiVersion: networking.gke.io/v1
+   kind: HealthCheckPolicy
+   ```
+   Для `$schema` у першому рядку див. приклад **HealthCheckPolicy** у тому ж розділі (datree CRDs-catalog).
+3. **Overlay `ru`:** у **`ru/kustomization.yaml`** (шлях з сегментами **`…/ru/kustomization.yaml`** під **`k8s`**) додай **видалення** ресурсу HealthCheckPolicy для середовища, де політика не потрібна (підстав **реальне ім’я** замість `SERVICE_NAME`):
+   ```yaml
+   patches:
+     - target:
+         kind: HealthCheckPolicy
+       patch: |-
+         kind: HealthCheckPolicy
+         metadata:
+           name: SERVICE_NAME
+         $patch: delete
+   ```
+   За потреби розшир **`target`** (`name`, `namespace`), щоб однозначно вказати об’єкт.
+**`check k8s`:** заборонено **`kind: Ingress`**; якщо в проєкті є **`kind: HealthCheckPolicy`**, має існувати хоча б один **`ru/kustomization.yaml`** під **`k8s`** із блоком видалення (**`$patch: delete`** для **HealthCheckPolicy**).
 ## Перевірка
-**`npx @nitra/cursor check k8s`** — узгодженість першого рядка (`$schema`), один рядок `# yaml-language-server` на файл, правило для `.yml`, відповідність URL першому YAML-документу (до `---`) за логікою нижче; для кожного документа **`Deployment`** у файлі — наявність **`containers[].resources`** (див. розділ **Deployment: `resources`**). Якщо під `k8s` немає yaml/yml — перевірку пропущено. Інший зміст маніфесту — вручну / **`lint-k8s`**.
+**`npx @nitra/cursor check k8s`** — узгодженість першого рядка (`$schema`), один рядок `# yaml-language-server` на файл, правило для `.yml`, відповідність URL першому YAML-документу (до `---`) за логікою нижче; для кожного документа **`Deployment`** — **`containers[].resources`**, **`imagePullPolicy: Always`**; заборона **`kind: Ingress`**; наявність **`HealthCheckPolicy`** — вимога до **`ru/kustomization.yaml`** з **`$patch: delete`** (див. **Ingress → Gateway API**); заборона шляхів **`…/k8s/dev/…`**; якщо існує **`k8s/base/kustomization.yaml`** (або **`.yml`**) — непорожній **`namespace`** у першому документі. Якщо під `k8s` немає yaml/yml — перевірку пропущено. Інший зміст маніфесту — вручну / **`lint-k8s`**.
 Після змін у маніфестах: **`bun run lint-k8s`** (kubeconform + kubescape; обов'язково для проєктів з правилом **`k8s`** у **`.n-cursor.json`**).
@@ -137,13 +205,20 @@ resources: {}
 - Обхід з пропуском `node_modules`, `.git`, `dist`, `coverage`, `.turbo`, `.next`.
 - **`file:`** у `$schema` — URL до apiVersion/kind не звіряється; **`https:`** — kustomization за іменем файлу → Schema Store; далі перевіряється **`EXPLICIT_K8S_SCHEMAS`** (`Map`: `apiVersion` + `kind` + `type`, для записів без `type` у маніфесті — третій компонент **`*`**); потім `v1` → yannh; група з `YANNH_GROUPS` → yannh; інакше → datree (GitHub Pages), крім рядків явної таблиці (наприклад **InfisicalSecret** — raw на `main`).
-- У кожному YAML-документі з **`kind: Deployment`** — парсинг через **`yaml`**: у кожного елемента **`spec.template.spec.containers[]`** має існувати ключ **`resources`** зі значенням-об'єктом (допускається порожній **`{}`**).
+- У кожному YAML-документі з **`kind: Deployment`** — парсинг через **`yaml`**: у кожного елемента **`spec.template.spec.containers[]`** має існувати ключ **`resources`** зі значенням-об'єктом (допускається порожній **`{}`**); у кожного контейнера — **`imagePullPolicy: Always`**.
+- У файлах, ім’я яких **не** `kustomization.yaml` / `kustomization.yml`, у кожному документі — заборона поля **`metadata.namespace`** (**namespace** задається в Kustomize).
+- Документи з **`kind: Ingress`** — заборонені (потрібен перехід на Gateway API, див. розділ **Ingress → Gateway API**).
+- Якщо в будь-якому файлі під **`k8s`** є **`kind: HealthCheckPolicy`**, серед файлів має бути **`ru/kustomization.yaml`** (сегмент шляху **`ru`** перед іменем файлу), а його вміст — patch видалення **HealthCheckPolicy** з **`$patch: delete`** (див. той самий розділ).
+- Заборона шляхів **`…/k8s/dev/…`** (окремої директорії **`dev`** під **`k8s`** не має бути).
+- Якщо існує **`k8s/base/kustomization.yaml`** (або **`.yml`**), у першому документі має бути непорожнє поле **`namespace`** (типово **`dev`**; див. розділ **Namespace**).
 ## Коли застосовувати (агентам)
 - Зміни в k8s YAML — після правок **`check k8s`**.
 - Якщо перший рядок уже коректний і URL відповідає `apiVersion` / `kind` — не дублюй; змінився ресурс — онови лише `$schema`.
-- У **`Deployment`** без поля **`resources`** у контейнері — додай **`resources: {}`** (див. розділ **Deployment: `resources`**).
+- У **`Deployment`** без поля **`resources`** у контейнері — додай **`resources: {}`** (див. розділ **Deployment: `resources`**); додай **`imagePullPolicy: Always`** для кожного контейнера.
+- Дотримуйся структури **Kustomize** (`base` = dev, overlays без дублювання `base`, коментарі для рядків, що змінюються в overlay).
+- Після міграції на нову структуру **видали** застарілі файли та каталоги, які вже замінені (див. **Міграція зі старої структури**).
 ## Визначення схеми YAML (канон)

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.19",
+  "version": "1.8.24",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/check-k8s.mjs CHANGED Viewed

@@ -7,7 +7,16 @@
  *
  * Додатково: у кожному YAML-документі з **`kind: Deployment`** у кожного контейнера
  * **`spec.template.spec.containers[]`** має бути ключ **`resources`** (значення — об'єкт, допускається
- * порожній **`{}`**).
+ * порожній **`{}`**) та **`imagePullPolicy: Always`**.
+ *
+ * У файлах **не** `kustomization.yaml` / `kustomization.yml` у документах не має бути **`metadata.namespace`**
+ * (namespace лише в Kustomize).
+ *
+ * **`kind: Ingress`** заборонено (потрібен перехід на Gateway API). Якщо є **`HealthCheckPolicy`**,
+ * має існувати **`ru/kustomization.yaml`** з patch видалення цього kind (`$patch: delete`).
+ *
+ * Структура **Kustomize** (див. k8s.mdc): заборона шляхів **`…/k8s/dev/…`**; якщо є **`…/k8s/base/kustomization.yaml`**
+ * (або **`.yml`**), у першому документі має бути непорожнє поле **`namespace`**.
  *
  * Явні винятки до загальної логіки yannh/datree — таблиця **`EXPLICIT_K8S_SCHEMAS`** (`Map`): ключ
  * **`apiVersion`, `kind`, `type`** (для CRD без поля `type` у маніфесті — зірочка **`*`** як третій
@@ -144,6 +153,43 @@ export function pathHasK8sSegment(filePath) {
   return parts.includes('k8s')
 }
+/**
+ * Чи заборонений шлях з окремою директорією **`dev`** під **`k8s`** (джерело правди — **`base`**).
+ * @param {string} rel шлях від кореня репозиторію
+ * @returns {boolean} true для `…/k8s/dev/…`
+ */
+export function isForbiddenK8sDevPath(rel) {
+  const n = rel.replaceAll('\\', '/')
+  return n.includes('/k8s/dev/')
+}
+/**
+ * Чи це **`k8s/base/kustomization.yaml`** або **`kustomization.yml`** (перевірка поля **`namespace`**).
+ * @param {string} rel шлях від кореня репозиторію
+ * @returns {boolean} true, якщо це `…/k8s/base/kustomization.yaml` або `…/k8s/base/kustomization.yml`
+ */
+export function isBaseKustomizationPath(rel) {
+  const n = rel.replaceAll('\\', '/')
+  return /(^|\/)k8s\/base\/kustomization\.yaml$/u.test(n) || /(^|\/)k8s\/base\/kustomization\.yml$/u.test(n)
+}
+/**
+ * Чи коректне поле **`namespace`** у розібраному Kustomization для **`base`**.
+ * @param {unknown} obj перший документ YAML
+ * @returns {string | null} текст порушення або null, якщо ок
+ */
+export function baseKustomizationNamespaceViolation(obj) {
+  if (obj === null || typeof obj !== 'object' || Array.isArray(obj)) {
+    return 'у base/kustomization.yaml має бути непорожній namespace (див. k8s.mdc)'
+  }
+  const rec = /** @type {Record<string, unknown>} */ (obj)
+  const ns = rec.namespace
+  if (typeof ns === 'string' && ns.trim() !== '') {
+    return null
+  }
+  return 'у base/kustomization.yaml має бути непорожній namespace (наприклад namespace: dev; див. k8s.mdc)'
+}
 /**
  * Збирає всі yaml/yml під деревом від кореня cwd, якщо шлях містить сегмент `k8s`.
  * @param {string} root корінь репозиторію (cwd)
@@ -157,7 +203,8 @@ async function findK8sYamlFiles(root) {
     if (!/\.ya?ml$/iu.test(p)) return
     out.push(p)
   })
-  return out.toSorted((a, b) => a.localeCompare(b))
+  // eslint-disable-next-line unicorn/no-array-sort -- toSorted потребує lib ES2023 у перевірці типів IDE
+  return [...out].sort((a, b) => a.localeCompare(b))
 }
 /**
@@ -205,6 +252,103 @@ function extractApiVersionAndKind(doc) {
   }
 }
+/**
+ * Чи відносний шлях вказує на **`ru/kustomization.yaml`** (сегмент **`ru`** перед ім’ям файлу).
+ * @param {string} rel шлях від кореня репозиторію
+ * @returns {boolean} true, якщо це `…/ru/kustomization.yaml`
+ */
+export function isRuKustomizationPath(rel) {
+  const norm = rel.replaceAll('\\', '/')
+  return /(^|\/)ru\/kustomization\.yaml$/u.test(norm)
+}
+/**
+ * Чи вміст overlay **`ru/kustomization.yaml`** містить Kustomize patch видалення **HealthCheckPolicy**.
+ * @param {string} raw повний текст файлу
+ * @returns {boolean} true, якщо є `$patch: delete` і блоки kind/metadata для HealthCheckPolicy
+ */
+export function ruKustomizationHasHealthCheckDeletePatch(raw) {
+  if (!/\$patch:\s*delete/u.test(raw)) return false
+  if (!/kind:\s*HealthCheckPolicy/u.test(raw)) return false
+  if (!/metadata:/u.test(raw)) return false
+  if (!/name:\s*\S+/u.test(raw)) return false
+  return true
+}
+/**
+ * Шукає **Ingress** / **HealthCheckPolicy** у розібраних документах; реєструє порушення для Ingress.
+ * @param {string} rel відносний шлях до файлу
+ * @param {string} body YAML після modeline
+ * @param {(msg: string) => void} fail callback для помилки (Ingress)
+ * @param {string[]} healthCheckPolicyFiles накопичувач шляхів, де зустріли HealthCheckPolicy
+ * @returns {void}
+ */
+function scanIngressAndHealthCheckPolicy(rel, body, fail, healthCheckPolicyFiles) {
+  /** @type {import('yaml').Document[]} */
+  let docs
+  try {
+    docs = parseAllDocuments(body)
+  } catch {
+    return
+  }
+  for (const [di, doc] of docs.entries()) {
+    if (doc.errors.length === 0) {
+      const obj = doc.toJSON()
+      if (obj !== null && typeof obj === 'object' && !Array.isArray(obj)) {
+        const rec = /** @type {Record<string, unknown>} */ (obj)
+        if (rec.kind === 'Ingress') {
+          fail(
+            `${rel}: знайдено kind: Ingress (документ ${di + 1}) — заміни на Gateway API: HTTPRoute (hr.yaml), HealthCheckPolicy (hc.yaml), patch у ru/kustomization.yaml (див. k8s.mdc)`
+          )
+        } else if (rec.kind === 'HealthCheckPolicy' && !healthCheckPolicyFiles.includes(rel)) {
+          healthCheckPolicyFiles.push(rel)
+        }
+      }
+    }
+  }
+}
+/**
+ * Якщо у дереві k8s є HealthCheckPolicy, вимагає **ru/kustomization.yaml** з patch видалення.
+ * @param {string} root корінь cwd
+ * @param {string[]} yamlFiles абсолютні шляхи до yaml під k8s
+ * @param {string[]} healthCheckPolicyFiles відносні шляхи з HealthCheckPolicy
+ * @param {(msg: string) => void} fail callback для помилки (немає ru або немає patch)
+ * @returns {Promise<void>} завершення після перевірки overlay ru
+ */
+async function ensureRuKustomizationHealthCheckDelete(root, yamlFiles, healthCheckPolicyFiles, fail) {
+  if (healthCheckPolicyFiles.length === 0) {
+    return
+  }
+  const ruAbsList = yamlFiles.filter(abs => isRuKustomizationPath(relative(root, abs) || abs))
+  if (ruAbsList.length === 0) {
+    fail(
+      `Знайдено HealthCheckPolicy у ${healthCheckPolicyFiles.join(', ')} — додай ru/kustomization.yaml з patch видалення (див. k8s.mdc)`
+    )
+    return
+  }
+  for (const abs of ruAbsList) {
+    let raw
+    try {
+      raw = await readFile(abs, 'utf8')
+    } catch (error) {
+      const msg = error instanceof Error ? error.message : String(error)
+      fail(`${relative(root, abs) || abs}: не вдалося прочитати (${msg})`)
+      return
+    }
+    if (ruKustomizationHasHealthCheckDeletePatch(raw)) {
+      return
+    }
+  }
+  fail(
+    'Є HealthCheckPolicy, але жоден ru/kustomization.yaml не містить очікуваного patch видалення (kind: HealthCheckPolicy, metadata.name, $patch: delete) — див. k8s.mdc'
+  )
+}
 /**
  * Чи порушує маніфест вимогу **`Deployment.spec.template.spec.containers[].resources`** (див. k8s.mdc).
  * @param {unknown} manifest корінь YAML-документа як об'єкт JavaScript
@@ -246,32 +390,104 @@ export function deploymentResourcesViolation(manifest) {
 }
 /**
- * Парсить усі YAML-документи з тіла файлу й реєструє порушення **`Deployment.resources`**.
- * @param {string} rel відносний шлях (для повідомлень)
+ * Чи контейнери **Deployment** мають **`imagePullPolicy: Always`** (k8s.mdc).
+ * @param {unknown} manifest корінь YAML-документа
+ * @returns {string | null} текст порушення або null, якщо не Deployment / ок
+ */
+export function deploymentImagePullPolicyViolation(manifest) {
+  if (manifest === null || manifest === undefined || typeof manifest !== 'object' || Array.isArray(manifest))
+    return null
+  const rec = /** @type {Record<string, unknown>} */ (manifest)
+  if (rec.kind !== 'Deployment') return null
+  const spec = rec.spec
+  if (spec === null || spec === undefined || typeof spec !== 'object' || Array.isArray(spec)) return null
+  const template = /** @type {Record<string, unknown>} */ (spec).template
+  if (template === null || template === undefined || typeof template !== 'object' || Array.isArray(template))
+    return null
+  const podSpec = /** @type {Record<string, unknown>} */ (template).spec
+  if (podSpec === null || podSpec === undefined || typeof podSpec !== 'object' || Array.isArray(podSpec)) return null
+  const containers = /** @type {Record<string, unknown>} */ (podSpec).containers
+  if (!Array.isArray(containers)) return null
+  for (const [i, c] of containers.entries()) {
+    const label =
+      typeof c === 'object' && c !== null && !Array.isArray(c) && typeof c.name === 'string' && c.name !== ''
+        ? c.name
+        : `#${i + 1}`
+    if (c !== null && c !== undefined && typeof c === 'object' && !Array.isArray(c)) {
+      const cont = /** @type {Record<string, unknown>} */ (c)
+      if (cont.imagePullPolicy !== 'Always') {
+        return `контейнер "${label}": imagePullPolicy має бути Always (див. k8s.mdc)`
+      }
+    }
+  }
+  return null
+}
+/**
+ * У маніфестах ресурсів не має бути **metadata.namespace** — лише у **kustomization** (k8s.mdc).
+ * @param {unknown} manifest корінь YAML-документа
+ * @returns {string | null} текст порушення або null, якщо поля немає
+ */
+export function metadataNamespaceForbiddenViolation(manifest) {
+  if (manifest === null || manifest === undefined || typeof manifest !== 'object' || Array.isArray(manifest))
+    return null
+  const rec = /** @type {Record<string, unknown>} */ (manifest)
+  const meta = rec.metadata
+  if (meta !== null && typeof meta === 'object' && !Array.isArray(meta) && 'namespace' in meta) {
+    return 'metadata.namespace заборонено — задай namespace у kustomization.yaml (поле namespace) (див. k8s.mdc)'
+  }
+  return null
+}
+/**
+ * Чи ім’я файлу — kustomization (дозволяє не застосовувати перевірку metadata.namespace до вмісту).
+ * @param {string} baseLower basename у нижньому регістрі
+ * @returns {boolean} true для `kustomization.yaml` / `kustomization.yml`
+ */
+function isKustomizationFileName(baseLower) {
+  return baseLower === 'kustomization.yaml' || baseLower === 'kustomization.yml'
+}
+/**
+ * Парсить усі YAML-документи: **metadata.namespace**, **Deployment.resources**, **imagePullPolicy**.
+ * @param {string} rel відносний шлях
+ * @param {string} baseLower basename файлу (нижній регістр)
  * @param {string} body вміст після modeline
  * @param {(msg: string) => void} fail реєстрація помилки
  */
-function validateDeploymentResourcesInK8sYaml(rel, body, fail) {
+function validateK8sYamlPolicyDocuments(rel, baseLower, body, fail) {
   /** @type {import('yaml').Document[]} */
   let docs
   try {
     docs = parseAllDocuments(body)
   } catch (error) {
     const msg = error instanceof Error ? error.message : String(error)
-    fail(
-      `${rel}: не вдалося розібрати YAML для перевірки Deployment.spec.template.spec.containers[].resources (${msg})`
-    )
+    fail(`${rel}: не вдалося розібрати YAML для перевірок маніфестів (${msg})`)
     return
   }
+  const skipMetaNs = isKustomizationFileName(baseLower)
   for (const [di, doc] of docs.entries()) {
     if (doc.errors.length > 0) {
       fail(`${rel}: YAML (документ ${di + 1}): ${doc.errors.map(e => e.message).join('; ')}`)
     } else {
       const obj = doc.toJSON()
-      const v = deploymentResourcesViolation(obj)
-      if (v !== null) {
-        fail(`${rel}: Deployment (документ ${di + 1}): ${v}`)
+      if (!skipMetaNs) {
+        const ns = metadataNamespaceForbiddenViolation(obj)
+        if (ns !== null) {
+          fail(`${rel}: документ ${di + 1}: ${ns}`)
+        }
+      }
+      const resV = deploymentResourcesViolation(obj)
+      if (resV !== null) {
+        fail(`${rel}: Deployment (документ ${di + 1}): ${resV}`)
+      }
+      const pullV = deploymentImagePullPolicyViolation(obj)
+      if (pullV !== null) {
+        fail(`${rel}: Deployment (документ ${di + 1}): ${pullV}`)
       }
     }
   }
@@ -358,9 +574,10 @@ function countSchemaModelines(lines) {
  * @param {string} root корінь репозиторію
  * @param {(msg: string) => void} fail реєстрація помилки
  * @param {(msg: string) => void} pass реєстрація успіху
+ * @param {string[]} healthCheckPolicyFiles накопичувач файлів із kind: HealthCheckPolicy
  * @returns {Promise<void>}
  */
-async function checkK8sYamlFile(abs, root, fail, pass) {
+async function checkK8sYamlFile(abs, root, fail, pass, healthCheckPolicyFiles) {
   const rel = relative(root, abs) || abs
   const base = basename(abs)
   const baseLower = base.toLowerCase()
@@ -398,6 +615,8 @@ async function checkK8sYamlFile(abs, root, fail, pass) {
   const body = yamlBodyAfterModeline(lines)
+  scanIngressAndHealthCheckPolicy(rel, body, fail, healthCheckPolicyFiles)
   if (schemaUrl.startsWith('file:')) {
     pass(`${rel}: локальна схема (file:) — перевірка URL за apiVersion/kind пропущена`)
   } else if (/^https:/iu.test(schemaUrl)) {
@@ -420,7 +639,60 @@ async function checkK8sYamlFile(abs, root, fail, pass) {
     return
   }
-  validateDeploymentResourcesInK8sYaml(rel, body, fail)
+  validateK8sYamlPolicyDocuments(rel, baseLower, body, fail)
+}
+/**
+ * Реєструє порушення для шляхів виду **`…/k8s/dev/…`** (окремої директорії **dev** не має бути).
+ * @param {string[]} yamlFiles абсолютні шляхи
+ * @param {string} root корінь репозиторію
+ * @param {(msg: string) => void} fail callback для реєстрації порушення
+ * @returns {void}
+ */
+function assertNoForbiddenK8sDevPaths(yamlFiles, root, fail) {
+  for (const abs of yamlFiles) {
+    const rel = relative(root, abs).replaceAll('\\', '/')
+    if (isForbiddenK8sDevPath(rel)) {
+      fail(`${rel}: заборонена директорія k8s/dev/ — середовище dev відповідає base (див. k8s.mdc)`)
+    }
+  }
+}
+/**
+ * Якщо є **`k8s/base/kustomization.yaml`**, у ньому має бути непорожній **`namespace`**.
+ * @param {string} root корінь репозиторію
+ * @param {string[]} yamlFiles абсолютні шляхи
+ * @param {(msg: string) => void} fail callback для реєстрації порушення
+ * @returns {Promise<void>}
+ */
+async function ensureBaseKustomizationHasNamespace(root, yamlFiles, fail) {
+  for (const abs of yamlFiles) {
+    const rel = relative(root, abs).replaceAll('\\', '/')
+    if (isBaseKustomizationPath(rel)) {
+      try {
+        const raw = await readFile(abs, 'utf8')
+        const lines = toLines(raw)
+        const body = yamlBodyAfterModeline(lines)
+        /** @type {import('yaml').Document[] | undefined} */
+        let docs
+        try {
+          docs = parseAllDocuments(body)
+        } catch {
+          fail(`${rel}: не вдалося розпарсити YAML для перевірки namespace у base (див. k8s.mdc)`)
+        }
+        if (docs !== undefined) {
+          const first = docs[0]?.toJSON()
+          const v = baseKustomizationNamespaceViolation(first)
+          if (v) {
+            fail(`${rel}: ${v}`)
+          }
+        }
+      } catch (error) {
+        const msg = error instanceof Error ? error.message : String(error)
+        fail(`${rel}: не вдалося прочитати (${msg})`)
+      }
+    }
+  }
 }
 /**
@@ -444,9 +716,18 @@ export async function check() {
   pass(`YAML у k8s: ${yamlFiles.length} файл(ів)`)
+  assertNoForbiddenK8sDevPaths(yamlFiles, root, fail)
+  /** @type {string[]} */
+  const healthCheckPolicyFiles = []
   for (const abs of yamlFiles) {
-    await checkK8sYamlFile(abs, root, fail, pass)
+    await checkK8sYamlFile(abs, root, fail, pass, healthCheckPolicyFiles)
   }
+  await ensureRuKustomizationHealthCheckDelete(root, yamlFiles, healthCheckPolicyFiles, fail)
+  await ensureBaseKustomizationHasNamespace(root, yamlFiles, fail)
   return exitCode
 }