npm - @nitra/cursor - Versions diffs - 1.8.213 → 1.8.216 - Mend

@nitra/cursor 1.8.213 → 1.8.216

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (4) hide show

package/CHANGELOG.md CHANGED Viewed

@@ -4,6 +4,31 @@
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
+## [1.8.216] - 2026-05-09
+### Changed
+- **k8s / check-k8s:** орієнтир **`DEFAULT_CONTAINER_MEMORY_REQUEST`** поза base — **`512Mi`** (замість **`512`**).
+## [1.8.215] - 2026-05-09
+### Changed
+- **k8s / check-k8s:** канон **`resources.requests.memory`** у шарі **`…/k8s/…/base/…`** — **`128Mi`** (замість **`128`**, щоб відповідати Quantity у Kubernetes); приймається **`Mi`** без урахування регістру.
+## [1.8.214] - 2026-05-09
+### Fixed
+- **k8s / check-k8s:** конвертація image-replace patches → `images:` падала з `byPatch.keys(...).toSorted is not a function`, бо `Map.keys()` повертає ітератор без `toSorted`. Тепер ключі спершу матеріалізуються у масив (`[...byPatch.keys()].toSorted(...)`).
+### Changed
+- **k8s / check-k8s:** у шарі **`…/k8s/…/base/…`** для **Deployment** жорстко **`resources.requests.cpu: '0.02'`** та **`memory: '128'`**; поза base обов’язкові **cpu** і **memory** (орієнтир **`0.5`** / **`512`** у підказках).
+- **k8s / check-k8s:** заборона **`hpa.yaml`** у каталозі **`…/base/`**; якщо HPA є в дереві base — вимагається strategic-merge **`$patch: delete`** для **HorizontalPodAutoscaler** у **`base/kustomization.yaml`**.
+- **k8s / check-k8s:** прод-оверлей вимагає patches на **HPA** (`minReplicas`/`maxReplicas`) лише якщо успадковане base **не** видаляє HPA через delete-patch; **PDB** **`minAvailable`** — якщо в base є PDB.
+- **k8s.mdc:** оновлено правила та приклади під цю модель.
 ## [1.8.213] - 2026-05-09
 ### Added

package/mdc/k8s.mdc CHANGED Viewed

@@ -96,19 +96,51 @@ jobs:
         run: bun run lint-k8s
 ```
-## Deployment: `resources.requests.cpu`
+## Deployment: `resources.requests` (CPU і memory)
-У **`Deployment`** у кожному **`containers`** має бути **`resources.requests.cpu`** — непорожнє значення (наприклад **`"500m"`**, **`"100m"`** або число на кшталт **`0.5`**). Це гарантує, що Kubernetes планує pod з мінімальним бюджетом CPU і коректно працює з HPA (CPU target %).
+У кожному контейнері **`Deployment`** обов’язкові **`resources.requests.cpu`** і **`resources.requests.memory`** (непорожні скаляри Kubernetes Quantity).
-Якщо для сервісу ще не обрано конкретне значення — став **`"0.5"`** як безпечний мінімум:
+### Шар **`…/k8s/…/base/…`** (dev / щільний packing)
+У **всіх** `Deployment` у файлах під **`…/k8s/…/base/…`** значення **жорстко фіксовані** (для **cpu** допускається число **`0.02`** у YAML):
+```yaml
+resources:
+  requests:
+    cpu: '0.02'
+    memory: '128Mi'
+```
+**HPA у base не тримаємо** у локальному **`hpa.yaml`** поруч із `Deployment`. Якщо **HorizontalPodAutoscaler** потрапляє в дерево Kustomize з **`resources`** / **`components`** / **`bases`**, у **`…/base/kustomization.yaml`** додай strategic-merge patch з **`$patch: delete`** і **`kind: HorizontalPodAutoscaler`** (і **`metadata.name`**, що збігається з ресурсом, який треба прибрати). **`check k8s`** перевіряє наявність такого patch, коли в дереві base одночасно є **Deployment** і **HPA**.
+### Поза base (оверлеї, окремі каталоги)
+Якщо ще не підібрано власні ліміти під сервіс, орієнтир для **`requests`**:
 ```yaml
 resources:
   requests:
-    cpu: '0.5' # довільне значення; 0.5 — дефолт, якщо нічого специфічного ще не обрано
+    cpu: '0.5'
+    memory: '512Mi'
+```
+У прод-оверлеях підіймай **`cpu` / `memory`** до реального споживання через **`patches`** або окремі фрагменти маніфестів. **`check k8s`** не вимагає саме **`0.5` / `512Mi`** поза base — лише непорожні **`requests.cpu`** і **`requests.memory`**.
+```yaml title="k8s/prod/kustomization.yaml (фрагмент)"
+patches:
+  - target:
+      kind: Deployment
+      name: backend-api
+    patch: |-
+      - op: replace
+        path: /spec/template/spec/containers/0/resources/requests/cpu
+        value: '500m'
+      - op: replace
+        path: /spec/template/spec/containers/0/resources/requests/memory
+        value: 1Gi
 ```
-**`check k8s`** перевіряє присутність і непорожність **`resources.requests.cpu`** у кожному документі **Deployment** під **`k8s`**. Поле **`imagePullPolicy`** скрипт **не** перевіряє (залишається політиці Kubernetes за тегом образу).
+Поле **`imagePullPolicy`** скрипт **не** перевіряє (залишається політиці Kubernetes за тегом образу).
 Образ **`hasura/graphql-engine`**: дозволений лише канонічний тег із константи **`HASURA_GRAPHQL_ENGINE_IMAGE`** у **`check-k8s.mjs`** (допускається префікс **`docker.io/`**); решта — помилка **check k8s**.
@@ -341,15 +373,17 @@ images:
 **`check k8s`:** заборонено **`kind: Ingress`**.
-## Deployment: обов'язкові `hpa.yaml`, `pdb.yaml`, `topologySpreadConstraints`
+## Deployment: `pdb.yaml`, `topologySpreadConstraints`, HPA поза dev-base
-Для **кожного** `kind: Deployment` у каталозі **`…/k8s/…/base/`** (у будь-якому файлі `.yaml`, наприклад **`deploy.yaml`**, **`deployment.yaml`**) у **тому ж каталозі** мають бути **`hpa.yaml`** (HPA) і **`pdb.yaml`** (PDB), а сам Deployment — канонічні **`spec.template.spec.topologySpreadConstraints`**. Інші workload-и (**CronJob**, **Job** тощо) або каталоги без шару **`base`** цими вимогами не охоплюються — **`check k8s`** їх не змушує додавати HPA/PDB поруч. Скрипт звіряє прив’язку за іменами:
+Для **кожного** `kind: Deployment` у каталозі **`…/k8s/…/base/`** (у будь-якому файлі `.yaml`, наприклад **`deploy.yaml`**, **`deployment.yaml`**) у **тому ж каталозі** має бути **`pdb.yaml`** (PDB), а сам Deployment — канонічні **`spec.template.spec.topologySpreadConstraints`**. Локальний **`hpa.yaml`** у каталозі **`…/base/`** **заборонено** — для dev HPA з дерева Kustomize прибирається через **`$patch: delete`** у **`base/kustomization.yaml`** (див. розділ про **`resources.requests`** вище).
-- **`hpa.yaml`** — `autoscaling/v2`, `HorizontalPodAutoscaler`, `spec.scaleTargetRef.name` **= `metadata.name`** Deployment.
+У **не-base** оверлеях поруч із `Deployment` лишається звична схема: окремий **`hpa.yaml`**, якщо потрібен HPA для цього середовища. **`check k8s`** звіряє прив’язку за іменами:
+- **`hpa.yaml`** (поза **`…/base/`**) — `autoscaling/v2`, `HorizontalPodAutoscaler`, `spec.scaleTargetRef.name` **= `metadata.name`** Deployment.
 - **`pdb.yaml`** — `policy/v1`, `PodDisruptionBudget`, `spec.selector.matchLabels.app` **= `spec.selector.matchLabels.app`** Deployment.
 - **`topologySpreadConstraints`** — запис з `maxSkew: 1`, `topologyKey: kubernetes.io/hostname`, `whenUnsatisfiable: ScheduleAnyway`, `labelSelector.matchLabels.app` рівне тій самій мітці `app`.
-**Kustomize `base` і overlay:** у дереві, зібраному з `k8s/…/base/kustomization.yaml` (`resources` / `bases` / `components` / `crds`, рекурсивно), **HorizontalPodAutoscaler** і **PodDisruptionBudget** допустимі **лише якщо** в тому ж дереві kustomize є хоча б один **`Deployment`** у YAML під **`…/k8s/…/base/`**. У `kustomization.yaml` overlay, який підключає цей `base` (наприклад, `../base` у `resources`), не додавай окремі YAML-файли з HPA / PDB, доки в наслідуваному `base` у дереві не з’явиться такий Deployment. Перевіряє **`check-k8s.mjs`**.
+**Kustomize `base` і overlay:** у дереві, зібраному з `k8s/…/base/kustomization.yaml` (`resources` / `bases` / `components` / `crds`, рекурсивно), **HorizontalPodAutoscaler** і **PodDisruptionBudget** допустимі **лише якщо** в тому ж дереві kustomize є хоча б один **`Deployment`** у YAML під **`…/k8s/…/base/`**. Якщо після збору в дереві є і **Deployment**, і **HPA**, **base** `kustomization.yaml` має містити strategic-merge видалення **HorizontalPodAutoscaler** (`$patch: delete`). У `kustomization.yaml` overlay, який підключає цей `base`, не додавай окремі YAML-файли з HPA / PDB, доки в наслідуваному `base` у дереві не з’явиться такий Deployment. Перевіряє **`check-k8s.mjs`**.
 **Локальні шляхи в `kustomization.yaml`:** кожен запис без `://` (remote) з `resources` / `bases` / `components` / `crds`, `patchesStrategicMerge`, `patches[].path`, `patchesJson6902[].path`, `configurations[]`, `replacements[].path` має вказувати на **існуючий** у репозиторії файл (`.yaml` / `.yml`) або **каталог**; биті посилання — помилка **`check k8s`**.
@@ -359,7 +393,7 @@ images:
 **Dev-like середовища** — сегмент `base`, `dev`, або з суфіксом `-qa` (напр. `tr-qa`):
-- HPA: `minReplicas` — рівно **1**, `maxReplicas` — рівно **1** (у деві не масштабуємо).
+- У **зібраному** маніфесті (після Kustomize), якщо лишився **HPA**: `minReplicas` — рівно **1**, `maxReplicas` — рівно **1**.
 - PDB: `minAvailable` — рівно **0**.
 **Прод-середовища** — усе інше (будь-який overlay без суфікса `-qa`):
@@ -369,12 +403,12 @@ images:
 ### Прод-оверрайди у `kustomization.yaml`
-Оскільки `base/` (і dev-like середовища) тримають dev-значення (`1`/`1`/`0`), у **кожному** прод-накладенні `kustomization.yaml` у `patches[]` **обов'язково** має бути перевизначення **лише якщо** цей оверлей наслідує base-дерево, де є **Deployment** і **HPA/PDB** (тобто base реально дає dev-like HPA/PDB, які треба підняти в проді):
+У прод-накладенні `kustomization.yaml` у `patches[]` **обов’язкові** перевизначення залежно від того, що дає успадковане **base**-дерево:
-- для `HorizontalPodAutoscaler`: `spec.minReplicas` **і** `spec.maxReplicas` (щоб у проді вийшло ≥2).
-- для `PodDisruptionBudget`: `spec.minAvailable` (щоб у проді вийшло ≥1).
+- **`PodDisruptionBudget`**: `spec.minAvailable` — якщо в base-дереві є **Deployment** і **PDB** (типово dev-like `0` → прод ≥1).
+- **`HorizontalPodAutoscaler`**: `spec.minReplicas` **і** `spec.maxReplicas` — **лише якщо** в base-дереві є **HPA**, який **не** прибирається в **base** через **`$patch: delete`**. Якщо base видаляє HPA для dev, у прод-оверлеї додай **HPA** окремим YAML у **`resources`** (або patches на ресурс, що з’являється з іншого шару) з прод-мінімумами.
-Формат patch — JSON6902 або Strategic Merge; `check k8s` перевіряє **наявність** перевизначення відповідного поля. Конкретне значення має задовольняти прод-мінімуми — це видно у вмісті patch і остаточно матеріалізується під час збірки Kustomize.
+Формат patch — JSON6902 або Strategic Merge; `check k8s` перевіряє **наявність** відповідних JSON Pointer-ів у **`patches[]`**.
 ```yaml title="k8s/prod/kustomization.yaml (фрагмент)"
 patches:
@@ -397,9 +431,30 @@ patches:
         value: 1
 ```
+### Приклад: прибрати HPA у `base/kustomization.yaml`
+Якщо **HPA** підключений з **`../component`** (або іншого шляху в **`resources`**), а у dev він не потрібен:
+```yaml title="k8s/base/kustomization.yaml (фрагмент)"
+resources:
+  - ../component
+  - deploy.yaml
+  - pdb.yaml
+patches:
+  - target:
+      kind: HorizontalPodAutoscaler
+      name: backend-api
+    patch: |-
+      $patch: delete
+      apiVersion: autoscaling/v2
+      kind: HorizontalPodAutoscaler
+      metadata:
+        name: backend-api
+```
 ### Приклади
-```yaml title="k8s/base/hpa.yaml"
+```yaml title="k8s/prod/hpa.yaml (або компонент з HPA — не в …/base/ локальному hpa.yaml)"
 # yaml-language-server: $schema=https://raw.githubusercontent.com/yannh/kubernetes-json-schema/master/v1.33.9-standalone-strict/horizontalpodautoscaler-autoscaling-v2.json
 apiVersion: autoscaling/v2
 kind: HorizontalPodAutoscaler
@@ -410,8 +465,8 @@ spec:
     apiVersion: apps/v1
     kind: Deployment
     name: backend-api
-  minReplicas: 1 # dev-like; прод-накладення перевизначають на ≥ 2
-  maxReplicas: 1 # dev-like; прод-накладення перевизначають на ≥ 2
+  minReplicas: 2
+  maxReplicas: 10
   metrics:
     - type: Resource
       resource:
@@ -456,6 +511,13 @@ spec:
 spec:
   template:
     spec:
+      containers:
+        - name: backend-api
+          image: example.registry/backend-api:tag
+          resources:
+            requests:
+              cpu: '0.02'
+              memory: '128Mi'
       topologySpreadConstraints:
         - maxSkew: 1
           topologyKey: kubernetes.io/hostname

package/package.json CHANGED Viewed

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.213",
+  "version": "1.8.216",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/check-k8s.mjs CHANGED Viewed

@@ -7,9 +7,11 @@
  * (datree за замовчуванням: GitHub Pages `https://datreeio.github.io/CRDs-catalog/…`).
  *
  * Додатково: у кожному YAML-документі з **`kind: Deployment`** у кожного контейнера
- * **`spec.template.spec.containers[]`** має бути ключ **`resources`** з непорожнім
- * **`resources.requests.cpu`** (рядок на кшталт **`"500m"`** або число; якщо значення ще не обрано —
- * рекомендоване за замовчуванням — **`DEFAULT_CONTAINER_CPU_REQUEST`** = **`"0.5"`**). Поле **`imagePullPolicy`**
+ * **`spec.template.spec.containers[]`** має бути **`resources.requests.cpu`** і **`resources.requests.memory`**
+ * (непорожні скаляри). У шарі **`…/k8s/…/base/…`** значення жорстко **`cpu: '0.02'`**, **`memory: '128Mi'`**
+ * (для **cpu** допускається число **`0.02`**). Поза base, якщо ще не підібрано власні
+ * ліміти — орієнтир **`DEFAULT_CONTAINER_CPU_REQUEST`** = **`"0.5"`**, **`DEFAULT_CONTAINER_MEMORY_REQUEST`**
+ * = **`"512Mi"`**. Поле **`imagePullPolicy`**
  * не перевіряється — діють типові правила Kubernetes (`:latest` або коли тег не вказано → **Always**,
  * інші теги → **IfNotPresent**). Якщо серед **`containers`** / **`initContainers`** є образ
  * **`hasura/graphql-engine`**, дозволено лише пін **`HASURA_GRAPHQL_ENGINE_IMAGE`** (див. k8s.mdc).
@@ -82,21 +84,20 @@
  * або рядок `"true"`, без регістрової залежності).
  *
  * **HPA / PDB / topologySpreadConstraints:** для кожного **`Deployment`** у шарі **`…/k8s/…/base/`** (будь-який
- * `.yaml` у цьому каталозі, наприклад **`deploy.yaml`**, **`deployment.yaml`**) у тому ж каталозі поруч обов'язкові
- * **`hpa.yaml`**, **`pdb.yaml`** та канонічні **topologySpreadConstraints**. Workload-и без Deployment (**CronJob**
- * тощо) та каталоги поза **`…/base/`** цим блоком не охоплюються.
- * Env-залежні межі за сегментом після `/k8s/`: **dev-like** (`base`, `dev`, `*-qa`) — `minReplicas === 1`,
- * `maxReplicas === 1`, `minAvailable === 0`; **прод** (решта) — `minReplicas >= 2`, `maxReplicas >= 2`,
- * `minAvailable >= 1`. Сам Deployment має мати у `spec.template.spec.topologySpreadConstraints` запис
- * `maxSkew: 1`, `topologyKey: kubernetes.io/hostname`, `whenUnsatisfiable: ScheduleAnyway`,
- * `labelSelector.matchLabels.app` рівне `spec.selector.matchLabels.app` Deployment.
+ * `.yaml` у цьому каталозі) поруч обов’язкові **`pdb.yaml`** і канонічні **topologySpreadConstraints**. У каталозі
+ * **`…/base/`** не тримай **`hpa.yaml`** — для dev HPA прибирається з дерева Kustomize через strategic-merge patch
+ * з **`$patch: delete`** і **`kind: HorizontalPodAutoscaler`** у **`base/kustomization.yaml`** (якщо HPA тягнеться з
+ * `resources` / `components` / `bases`). Якщо в дереві base є і **Deployment**, і **HorizontalPodAutoscaler**, такий
+ * patch обов’язковий. **HPA** поруч із Deployment у **не-base** оверлеях — як раніше (див. k8s.mdc).
+ * Env-залежні межі за сегментом після `/k8s/`: **dev-like** (`base`, `dev`, `*-qa`) — для HPA, що лишився після
+ * збірки, `minReplicas === 1`, `maxReplicas === 1`, PDB `minAvailable === 0`; **прод** — `minReplicas >= 2`,
+ * `maxReplicas >= 2`, `minAvailable >= 1`.
  *
- * **Прод-оверрайди в kustomization.yaml:** для прод overlays (не dev-like) `kustomization.yaml` у своїх
- * inline `patches[]` повинен змінювати `/spec/minReplicas` і `/spec/maxReplicas` для
- * **HorizontalPodAutoscaler**, і `/spec/minAvailable` для **PodDisruptionBudget** — щоб прод-мінімуми
- * з (`>=2`, `>=2`, `>=1`) не залишалися на dev-значеннях із base. Формат patch — JSON6902 або Strategic Merge;
- * наявність перевіряється через `kustomizationPatchPathsByTargetKind` (конкретне значення — у вмісті patch,
- * яке буде оцінено під час збірки Kustomize).
+ * **Прод-оверрайди в kustomization.yaml:** для прод overlays (не dev-like) у `patches[]` потрібні перевизначення
+ * **`/spec/minReplicas`** і **`/spec/maxReplicas`** для **HorizontalPodAutoscaler** лише якщо успадковане base-дерево
+ * містить HPA **і** base **не** видаляє його через **`$patch: delete`**. **`/spec/minAvailable`** для **PDB** —
+ * якщо в base-дереві є Deployment і PDB. Формат patch — JSON6902 або Strategic Merge; наявність шляхів —
+ * `kustomizationPatchPathsByTargetKind`.
  *
  * **Існування шляхів у `kustomization.yaml`:** кожне локальне посилання (без `://`) з `resources` / `bases` /
  * `components` / `crds`, `patchesStrategicMerge`, `patches[].path`, `patchesJson6902[].path`, `configurations[]`,
@@ -310,6 +311,10 @@ const KIND_FIELD_RE = /^\s*kind:\s*(\S+)\s*$/
 const TYPE_FIELD_RE = /^\s*type:\s*(\S+)\s*$/
 const YAML_DOC_SEPARATOR_LINE_RE = /^---\s*$/
 const HEALTHCHECK_DELETE_RE = /\$patch:\s*delete/u
+/** Strategic-merge patch видалення **HorizontalPodAutoscaler** у kustomization (k8s.mdc). */
+const HPA_STRATEGIC_DELETE_RE = /\$patch:\s*delete/u
+/** Рядок **kind:** для HPA у strategic-merge patch. */
+const HPA_KIND_LINE_RE = /^kind:\s*HorizontalPodAutoscaler\b/m
 const HEALTHCHECK_KIND_RE = /kind:\s*HealthCheckPolicy/u
 const METADATA_LINE_RE = /metadata:/u
 const NAME_NON_EMPTY_RE = /name:\s*\S+/u
@@ -2144,6 +2149,60 @@ export function ruKustomizationHasHealthCheckDeletePatch(raw) {
   return true
 }
+/**
+ * Чи вміст strategic-merge patch оголошує видалення **HorizontalPodAutoscaler** (`$patch: delete`, `kind:`).
+ * @param {string} text вміст поля **patch** або файлу merge
+ * @returns {boolean} true, якщо присутні **`$patch: delete`** і **`kind: HorizontalPodAutoscaler`**
+ */
+export function patchTextDeclaresHpaStrategicDelete(text) {
+  const t = typeof text === 'string' ? text : ''
+  if (!HPA_STRATEGIC_DELETE_RE.test(t)) return false
+  return HPA_KIND_LINE_RE.test(t)
+}
+/**
+ * Чи **kustomization.yaml** (inline **patches** / **patchesStrategicMerge**) містить strategic-merge видалення HPA.
+ * @param {string} kustAbs абсолютний шлях до **kustomization.yaml**
+ * @param {string} rootNorm нормалізований корінь репо
+ * @returns {Promise<boolean>} true, якщо знайдено patch видалення HPA
+ */
+async function kustomizationDeclaresHpaStrategicDelete(kustAbs, rootNorm) {
+  const kust = await readFirstYamlObject(kustAbs)
+  if (kust === null) return false
+  const kustDir = dirname(kustAbs)
+  const patches = kust.patches
+  if (Array.isArray(patches)) {
+    for (const p of patches) {
+      if (p !== null && typeof p === 'object' && !Array.isArray(p)) {
+        const rec = /** @type {Record<string, unknown>} */ (p)
+        const inline = rec.patch
+        if (typeof inline === 'string' && patchTextDeclaresHpaStrategicDelete(inline)) return true
+        const pathRef = rec.path
+        if (typeof pathRef === 'string' && pathRef.trim() !== '') {
+          const abs = resolve(kustDir, pathRef.trim())
+          if (resolvedFilePathIsUnderRoot(rootNorm, abs)) {
+            const body = await tryReadFileUtf8(abs)
+            if (body !== undefined && patchTextDeclaresHpaStrategicDelete(body)) return true
+          }
+        }
+      }
+    }
+  }
+  const sm = kust.patchesStrategicMerge
+  if (Array.isArray(sm)) {
+    for (const ref of sm) {
+      if (typeof ref === 'string' && ref.trim() !== '') {
+        const abs = resolve(kustDir, ref.trim())
+        if (resolvedFilePathIsUnderRoot(rootNorm, abs)) {
+          const body = await tryReadFileUtf8(abs)
+          if (body !== undefined && patchTextDeclaresHpaStrategicDelete(body)) return true
+        }
+      }
+    }
+  }
+  return false
+}
 /**
  * Чи абсолютний шлях лежить усередині кореня репозиторію (без виходу через `..`).
  * @param {string} rootAbs абсолютний корінь
@@ -2508,10 +2567,25 @@ function scanForbiddenManifestsInYamlDocuments(rel, body, fail) {
 }
 /**
- * Рекомендоване значення **`resources.requests.cpu`** за замовчуванням для підказки в повідомленнях (k8s.mdc).
+ * Рекомендоване **`resources.requests.cpu`** поза шарем base для підказок у повідомленнях (k8s.mdc).
  */
 export const DEFAULT_CONTAINER_CPU_REQUEST = '0.5'
+/**
+ * Рекомендоване **`resources.requests.memory`** поза шарем base для підказок у повідомленнях (k8s.mdc).
+ */
+export const DEFAULT_CONTAINER_MEMORY_REQUEST = '512Mi'
+/**
+ * Обов’язковий **`resources.requests.cpu`** у **`…/k8s/…/base/…`** (k8s.mdc).
+ */
+export const K8S_BASE_CONTAINER_CPU_REQUEST = '0.02'
+/**
+ * Обов’язковий **`resources.requests.memory`** у **`…/k8s/…/base/…`** (k8s.mdc).
+ */
+export const K8S_BASE_CONTAINER_MEMORY_REQUEST = '128Mi'
 /**
  * Чи значення `resources.requests.cpu` записане у валідному вигляді:
  * непорожній рядок (`"500m"`, `"0.5"`) або додатне число.
@@ -2525,20 +2599,59 @@ function isValidCpuRequestValue(cpu) {
 }
 /**
- * Перевірка поля **`resources`** для одного контейнера **Deployment**: вимагає не лише присутність
- * **`resources`**, а й непорожнє **`resources.requests.cpu`** (див. k8s.mdc). Якщо конкретне
- * значення ще не обрано — як безпечне за замовчуванням рекомендовано **`DEFAULT_CONTAINER_CPU_REQUEST`**.
+ * Чи значення `resources.requests.memory` записане у валідному вигляді (непорожній рядок або додатне число).
+ * @param {unknown} mem значення поля `resources.requests.memory`
+ * @returns {boolean} true, якщо значення прийнятне
+ */
+function isValidMemoryRequestValue(mem) {
+  if (typeof mem === 'string') return mem.trim() !== ''
+  if (typeof mem === 'number') return Number.isFinite(mem) && mem > 0
+  return false
+}
+/**
+ * Чи CPU у base-шарі збігається з каноном **`0.02`** (рядок або число).
+ * @param {unknown} cpu значення **requests.cpu**
+ * @returns {boolean} true, якщо дорівнює канону base
+ */
+function isBaseCanonCpuValue(cpu) {
+  if (typeof cpu === 'number' && Number.isFinite(cpu)) {
+    return cpu === 0.02
+  }
+  if (typeof cpu === 'string' && cpu.trim() !== '') {
+    const t = cpu.trim()
+    if (t === K8S_BASE_CONTAINER_CPU_REQUEST) return true
+    const n = Number(t)
+    return Number.isFinite(n) && n === 0.02
+  }
+  return false
+}
+/**
+ * Чи memory у base-шарі збігається з каноном **`128Mi`** (рядок Quantity; **`Mi`** без урахування регістру).
+ * @param {unknown} mem значення **requests.memory**
+ * @returns {boolean} true, якщо дорівнює канону base
+ */
+function isBaseCanonMemoryValue(mem) {
+  if (typeof mem !== 'string' || mem.trim() === '') return false
+  return /^128Mi$/iu.test(mem.trim())
+}
+/**
+ * Перевірка поля **`resources`** для одного контейнера **Deployment** (k8s.mdc): **requests.cpu** і **requests.memory**;
+ * у шарі **`…/k8s/…/base/…`** — жорстко **`0.02`** / **`128Mi`**.
  * @param {unknown} c елемент **containers[]**
  * @param {string} label підпис у повідомленні
+ * @param {boolean} inK8sBaseLayer файл маніфесту під **`…/k8s/…/base/…`**
  * @returns {string | null} текст порушення або null
  */
-function deploymentContainerResourcesViolation(c, label) {
+function deploymentContainerResourcesViolation(c, label, inK8sBaseLayer) {
   if (c === null || c === undefined || typeof c !== 'object' || Array.isArray(c)) {
     return null
   }
   const cont = /** @type {Record<string, unknown>} */ (c)
   if (!('resources' in cont)) {
-    return `контейнер "${label}": відсутнє поле resources — додай resources.requests.cpu (за замовчуванням ${DEFAULT_CONTAINER_CPU_REQUEST}) (див. k8s.mdc)`
+    return `контейнер "${label}": відсутнє поле resources — додай resources.requests.cpu та resources.requests.memory (поза base за замовчуванням cpu=${DEFAULT_CONTAINER_CPU_REQUEST}, memory=${DEFAULT_CONTAINER_MEMORY_REQUEST}; у base — cpu='${K8S_BASE_CONTAINER_CPU_REQUEST}', memory='${K8S_BASE_CONTAINER_MEMORY_REQUEST}') (див. k8s.mdc)`
   }
   const r = cont.resources
   if (r === null || typeof r !== 'object' || Array.isArray(r)) {
@@ -2547,24 +2660,39 @@ function deploymentContainerResourcesViolation(c, label) {
   const resources = /** @type {Record<string, unknown>} */ (r)
   const requests = resources.requests
   if (requests === null || requests === undefined || typeof requests !== 'object' || Array.isArray(requests)) {
-    return `контейнер "${label}": додай resources.requests.cpu (за замовчуванням ${DEFAULT_CONTAINER_CPU_REQUEST}) (див. k8s.mdc)`
+    return `контейнер "${label}": додай resources.requests.cpu та resources.requests.memory (поза base за замовчуванням cpu=${DEFAULT_CONTAINER_CPU_REQUEST}, memory=${DEFAULT_CONTAINER_MEMORY_REQUEST}) (див. k8s.mdc)`
   }
   const req = /** @type {Record<string, unknown>} */ (requests)
   if (!('cpu' in req)) {
-    return `контейнер "${label}": додай resources.requests.cpu (за замовчуванням ${DEFAULT_CONTAINER_CPU_REQUEST}) (див. k8s.mdc)`
+    return `контейнер "${label}": додай resources.requests.cpu (поза base за замовчуванням ${DEFAULT_CONTAINER_CPU_REQUEST}) (див. k8s.mdc)`
   }
   if (!isValidCpuRequestValue(req.cpu)) {
     return `контейнер "${label}": resources.requests.cpu має бути непорожнім значенням (наприклад "500m" або ${DEFAULT_CONTAINER_CPU_REQUEST}) (зараз: ${JSON.stringify(req.cpu)}) (див. k8s.mdc)`
   }
+  if (!('memory' in req)) {
+    return `контейнер "${label}": додай resources.requests.memory (поза base за замовчуванням ${DEFAULT_CONTAINER_MEMORY_REQUEST}) (див. k8s.mdc)`
+  }
+  if (!isValidMemoryRequestValue(req.memory)) {
+    return `контейнер "${label}": resources.requests.memory має бути непорожнім значенням (наприклад "${DEFAULT_CONTAINER_MEMORY_REQUEST}") (зараз: ${JSON.stringify(req.memory)}) (див. k8s.mdc)`
+  }
+  if (inK8sBaseLayer) {
+    if (!isBaseCanonCpuValue(req.cpu)) {
+      return `контейнер "${label}": у шарі k8s/.../base resources.requests.cpu має бути рівно '${K8S_BASE_CONTAINER_CPU_REQUEST}' (допускається число 0.02) — зараз ${JSON.stringify(req.cpu)} (див. k8s.mdc)`
+    }
+    if (!isBaseCanonMemoryValue(req.memory)) {
+      return `контейнер "${label}": у шарі k8s/.../base resources.requests.memory має бути рівно '${K8S_BASE_CONTAINER_MEMORY_REQUEST}' (суфікс Mi без урахування регістру) — зараз ${JSON.stringify(req.memory)} (див. k8s.mdc)`
+    }
+  }
   return null
 }
 /**
  * Чи порушує маніфест вимогу **`Deployment.spec.template.spec.containers[].resources`** (див. k8s.mdc).
  * @param {unknown} manifest корінь YAML-документа як запис JavaScript
+ * @param {boolean} [inK8sBaseLayer] true, якщо файл лежить під **`…/k8s/…/base/…`**
  * @returns {string | null} текст порушення для `fail` або null, якщо перевірка не застосовується / ок
  */
-export function deploymentResourcesViolation(manifest) {
+export function deploymentResourcesViolation(manifest, inK8sBaseLayer = false) {
   if (manifest === null || manifest === undefined || typeof manifest !== 'object' || Array.isArray(manifest))
     return null
   const rec = /** @type {Record<string, unknown>} */ (manifest)
@@ -2584,7 +2712,7 @@ export function deploymentResourcesViolation(manifest) {
       typeof c === 'object' && c !== null && !Array.isArray(c) && typeof c.name === 'string' && c.name !== ''
         ? c.name
         : `#${i + 1}`
-    const v = deploymentContainerResourcesViolation(c, label)
+    const v = deploymentContainerResourcesViolation(c, label, inK8sBaseLayer)
     if (v !== null) {
       return v
     }
@@ -3845,7 +3973,9 @@ function failIfK8sPolicyNamespaceRulesViolated(rel, docIndex, obj, skipMetaNs, i
  * @returns {void}
  */
 function failIfK8sPolicyResourceRulesViolated(rel, baseLower, docIndex, obj, fail) {
-  const resV = deploymentResourcesViolation(obj)
+  const relPosix = rel.replaceAll('\\', '/')
+  const inK8sBaseLayer = isK8sYamlUnderBaseDirectory(relPosix)
+  const resV = deploymentResourcesViolation(obj, inK8sBaseLayer)
   if (resV !== null) {
     fail(`${rel}: Deployment (документ ${docIndex}): ${resV}`)
   }
@@ -4977,6 +5107,38 @@ async function verifyK8sBaseKustomizeHpaPdbNeedDeployment(kustAbs, rel, fail, pa
   }
 }
+/**
+ * У **`…/k8s/…/base/kustomization.yaml`**: якщо з **resources** тягнеться HPA разом із Deployment,
+ * обов’язковий strategic-merge patch з **`$patch: delete`** для **HorizontalPodAutoscaler** (k8s.mdc).
+ * @param {string} kustAbs абсолютний шлях до **kustomization.yaml**
+ * @param {string} rel відносний шлях для повідомлень
+ * @param {string} rootNorm корінь репо
+ * @param {(msg: string) => void} fail callback
+ * @param {(msg: string) => void} passFn success
+ * @param {(kust: string) => Promise<{ hasDeployment: boolean, hasHpa: boolean, hasPdb: boolean }>} getTreeFlags
+ * @returns {Promise<void>}
+ */
+async function verifyK8sBaseKustomizeHpaDeletedWhenInherited(
+  kustAbs,
+  rel,
+  rootNorm,
+  fail,
+  passFn,
+  getTreeFlags
+) {
+  const { hasDeployment, hasHpa } = await getTreeFlags(kustAbs)
+  if (!hasDeployment || !hasHpa) {
+    return
+  }
+  if (await kustomizationDeclaresHpaStrategicDelete(kustAbs, rootNorm)) {
+    passFn(`${rel}: base kustomization містить $patch: delete для HorizontalPodAutoscaler (k8s.mdc)`)
+  } else {
+    fail(
+      `${rel}: у дереві base є HorizontalPodAutoscaler — додай у цей kustomization.yaml strategic-merge patch з $patch: delete та kind: HorizontalPodAutoscaler (k8s.mdc)`
+    )
+  }
+}
 /**
  * `kustomization` overlay, що посилається на `…/k8s/…/base`, не може додавати HPA / PDB як окремі YAML,
  * поки в наслідуваному base немає Deployment.
@@ -5084,6 +5246,7 @@ async function validateKustomizeHpaPdbOnlyWithBaseDeployment(root, yamlFilesAbs,
     if (kust !== null) {
       if (isK8sBaseKustomizationRelPath(rel)) {
         await verifyK8sBaseKustomizeHpaPdbNeedDeployment(kustAbs, rel, fail, passFn, getTreeFlags)
+        await verifyK8sBaseKustomizeHpaDeletedWhenInherited(kustAbs, rel, rootNorm, fail, passFn, getTreeFlags)
       } else {
         await verifyOverlayHpaPdbFileRefsRespectBaseDeployment(rootNorm, kustAbs, rel, kust, fail, passFn, getTreeFlags)
       }
@@ -5092,80 +5255,108 @@ async function validateKustomizeHpaPdbOnlyWithBaseDeployment(root, yamlFilesAbs,
 }
 /**
- * Перевіряє прод-оверрайди HPA/PDB в одному kustomization.yaml.
+ * @typedef {{ needsHpaReplicaPatches: boolean, needsPdbMinAvailablePatch: boolean }} ProdOverlayHpaPdbOverrideNeeds
+ */
+/**
+ * Перевіряє наявність прод-оверрайдів у **kustomization.yaml** залежно від того, що успадковується з base.
  * @param {Record<string, unknown>} kust об'єкт kustomization
  * @param {string} rel відносний шлях для повідомлень
  * @param {(msg: string) => void} fail callback при помилці
  * @param {(msg: string) => void} passFn callback при успіху
+ * @param {ProdOverlayHpaPdbOverrideNeeds} needs що саме має бути в **patches[]**
  */
-function checkProdOverridesInKustomization(kust, rel, fail, passFn) {
+function checkProdOverridesInKustomization(kust, rel, fail, passFn, needs) {
   const byKind = kustomizationPatchPathsByTargetKind(kust)
   const hpaPaths = byKind.get('HorizontalPodAutoscaler') ?? new Set()
   const pdbPaths = byKind.get('PodDisruptionBudget') ?? new Set()
   let ok = true
-  if (!hpaPaths.has('/spec/minReplicas')) {
-    fail(
-      `${rel}: прод-оверлей має перевизначати spec.minReplicas для HorizontalPodAutoscaler (мінімум 2 у проді) (k8s.mdc)`
-    )
-    ok = false
-  }
-  if (!hpaPaths.has('/spec/maxReplicas')) {
-    fail(
-      `${rel}: прод-оверлей має перевизначати spec.maxReplicas для HorizontalPodAutoscaler (мінімум 2 у проді) (k8s.mdc)`
-    )
-    ok = false
+  if (needs.needsHpaReplicaPatches) {
+    if (!hpaPaths.has('/spec/minReplicas')) {
+      fail(
+        `${rel}: прод-оверлей має перевизначати spec.minReplicas для HorizontalPodAutoscaler (мінімум 2 у проді) (k8s.mdc)`
+      )
+      ok = false
+    }
+    if (!hpaPaths.has('/spec/maxReplicas')) {
+      fail(
+        `${rel}: прод-оверлей має перевизначати spec.maxReplicas для HorizontalPodAutoscaler (мінімум 2 у проді) (k8s.mdc)`
+      )
+      ok = false
+    }
   }
-  if (!pdbPaths.has('/spec/minAvailable')) {
-    fail(
-      `${rel}: прод-оверлей має перевизначати spec.minAvailable для PodDisruptionBudget (мінімум 1 у проді) (k8s.mdc)`
-    )
-    ok = false
+  if (needs.needsPdbMinAvailablePatch) {
+    if (!pdbPaths.has('/spec/minAvailable')) {
+      fail(
+        `${rel}: прод-оверлей має перевизначати spec.minAvailable для PodDisruptionBudget (мінімум 1 у проді) (k8s.mdc)`
+      )
+      ok = false
+    }
   }
   if (ok) {
-    passFn(`${rel}: прод-оверрайди HPA minReplicas/maxReplicas і PDB minAvailable присутні (k8s.mdc)`)
+    passFn(`${rel}: прод-оверрайди HPA/PDB за потреби присутні (k8s.mdc)`)
   }
 }
 /**
- * Чи прод-оверлей **реально потребує** overrides для HPA/PDB.
+ * Які прод-оверрайди потрібні для **kustomization.yaml** (не dev-like), що посилається на **…/k8s/…/base**.
  *
- * Overrides потрібні лише якщо оверлей (non-dev-like) посилається на `…/k8s/…/base` і у **base**-дереві
- * одночасно є:
- * - `Deployment` (у шарі `…/k8s/…/base/`), і
- * - `HorizontalPodAutoscaler` і/або `PodDisruptionBudget`.
+ * **HPA:** patches на **`minReplicas`/`maxReplicas`** лише якщо в base-дереві є HPA **і** base **не** містить
+ * strategic-merge **`$patch: delete`** для **HorizontalPodAutoscaler** (k8s.mdc).
  *
- * Тоді base зазвичай тримає dev-like значення (`1`/`1`/`0`), і прод-оверлей має їх підняти (див. k8s.mdc).
+ * **PDB:** **`minAvailable`** — якщо в base-дереві є Deployment і PDB.
  * @param {string} rootNorm нормалізований корінь репозиторію
  * @param {string} kustAbs абсолютний шлях до kustomization.yaml
- * @returns {Promise<boolean>} true якщо потрібні overrides, інакше false
+ * @returns {Promise<ProdOverlayHpaPdbOverrideNeeds>} прапорці потрібних перевизначень
  */
-export async function prodOverlayNeedsHpaPdbOverrides(rootNorm, kustAbs) {
+export async function prodOverlayHpaPdbOverrideNeeds(rootNorm, kustAbs) {
   const rel = (relative(rootNorm, kustAbs) || kustAbs).replaceAll('\\', '/')
   const segment = k8sEnvSegmentFromRelPath(rel)
-  if (segment === null || isDevLikeK8sEnvSegment(segment)) return false
+  if (segment === null || isDevLikeK8sEnvSegment(segment)) {
+    return { needsHpaReplicaPatches: false, needsPdbMinAvailablePatch: false }
+  }
   const kust = await readFirstYamlObject(kustAbs)
-  if (kust === null) return false
+  if (kust === null) return { needsHpaReplicaPatches: false, needsPdbMinAvailablePatch: false }
   const kustDir = dirname(kustAbs)
   const pathRefs = resourcePathRefsFromKustomizationObject(kust)
   const baseDirs = await k8sBaseDirsFromKustomizeResourcePathRefs(kustDir, pathRefs, rootNorm)
-  if (baseDirs.length === 0) return false
-  const flags = await Promise.all(
-    baseDirs.map(bd => kustomizeResourceTreeHpaPdbDeploymentFlags(join(bd, 'kustomization.yaml'), rootNorm))
-  )
+  if (baseDirs.length === 0) return { needsHpaReplicaPatches: false, needsPdbMinAvailablePatch: false }
+  let needsHpaReplicaPatches = false
+  let needsPdbMinAvailablePatch = false
+  for (const bd of baseDirs) {
+    const bk = join(bd, 'kustomization.yaml')
+    const f = await kustomizeResourceTreeHpaPdbDeploymentFlags(bk, rootNorm)
+    const baseDeletesHpa = await kustomizationDeclaresHpaStrategicDelete(bk, rootNorm)
+    if (f.hasDeployment && f.hasPdb) {
+      needsPdbMinAvailablePatch = true
+    }
+    if (f.hasDeployment && f.hasHpa && !baseDeletesHpa) {
+      needsHpaReplicaPatches = true
+    }
+  }
+  return { needsHpaReplicaPatches, needsPdbMinAvailablePatch }
+}
-  return flags.some(f => f.hasDeployment && (f.hasHpa || f.hasPdb))
+/**
+ * Чи прод-оверлей потребує **будь-яких** overrides HPA/PDB у **patches[]** (зведений прапорець).
+ * @param {string} rootNorm нормалізований корінь репозиторію
+ * @param {string} kustAbs абсолютний шлях до kustomization.yaml
+ * @returns {Promise<boolean>} true, якщо потрібен хоча б один тип оверрайду
+ */
+export async function prodOverlayNeedsHpaPdbOverrides(rootNorm, kustAbs) {
+  const n = await prodOverlayHpaPdbOverrideNeeds(rootNorm, kustAbs)
+  return n.needsHpaReplicaPatches || n.needsPdbMinAvailablePatch
 }
 /**
- * Для прод kustomization.yaml вимагає patches, що перевизначають **`/spec/minReplicas`** і **`/spec/maxReplicas`**
- * на **HorizontalPodAutoscaler**, а також **`/spec/minAvailable`** на **PodDisruptionBudget**.
+ * Для прод kustomization.yaml вимагає **patches[]** за потреби: **`/spec/minReplicas`** і **`/spec/maxReplicas`**
+ * для **HorizontalPodAutoscaler** (якщо в успадкованому base лишився HPA без delete-patch), **`/spec/minAvailable`**
+ * для **PDB** (якщо в base є PDB).
  *
  * Не застосовується до dev-like (base / dev / *-qa).
- *
- * Також **не застосовується**, якщо оверлей не наслідує base з Deployment + HPA/PDB (див. `prodOverlayNeedsHpaPdbOverrides`).
  * @param {string} root корінь репозиторію
  * @param {string[]} yamlFilesAbs yaml під k8s
  * @param {(msg: string) => void} fail callback при помилці
@@ -5176,9 +5367,10 @@ async function validateProdKustomizationOverrides(root, yamlFilesAbs, fail, pass
   const kustFiles = yamlFilesAbs.filter(abs => basename(abs) === 'kustomization.yaml')
   for (const kustAbs of kustFiles) {
     const rel = (relative(rootNorm, kustAbs) || kustAbs).replaceAll('\\', '/')
-    if (!(await prodOverlayNeedsHpaPdbOverrides(rootNorm, kustAbs))) continue
+    const needs = await prodOverlayHpaPdbOverrideNeeds(rootNorm, kustAbs)
+    if (!needs.needsHpaReplicaPatches && !needs.needsPdbMinAvailablePatch) continue
     const kust = await readFirstYamlObject(kustAbs)
-    if (kust !== null) checkProdOverridesInKustomization(kust, rel, fail, passFn)
+    if (kust !== null) checkProdOverridesInKustomization(kust, rel, fail, passFn, needs)
   }
 }
@@ -5272,12 +5464,22 @@ function validatePdbForDeployment(pdbDocs, deployName, appLabel, isDevLike, pdbR
  * @param {Record<string, unknown>} deployment об'єкт Deployment
  * @param {string} deployRel відносний шлях каталогу для повідомлень
  * @param {boolean} isDevLike чи середовище dev-like
+ * @param {boolean} isK8sBaseLayer чи каталог під **`…/k8s/…/base/`** (HPA поруч не вимагаємо — прибирається в kustomization)
  * @param {Record<string, unknown>[]} hpaDocs HPA-документи каталогу
  * @param {Record<string, unknown>[]} pdbDocs PDB-документи каталогу
  * @param {(msg: string) => void} fail callback при помилці
  * @param {(msg: string) => void} passFn callback при успіху
  */
-function validateSingleDeploymentHpaPdbTopology(deployment, deployRel, isDevLike, hpaDocs, pdbDocs, fail, passFn) {
+function validateSingleDeploymentHpaPdbTopology(
+  deployment,
+  deployRel,
+  isDevLike,
+  isK8sBaseLayer,
+  hpaDocs,
+  pdbDocs,
+  fail,
+  passFn
+) {
   const deployName = manifestMetadataName(deployment)
   const appLabel = deploymentAppLabel(deployment)
   if (deployName === null) {
@@ -5294,7 +5496,9 @@ function validateSingleDeploymentHpaPdbTopology(deployment, deployRel, isDevLike
   } else {
     fail(`${deployRel}: Deployment '${deployName}': ${tscViolation}`)
   }
-  validateHpaForDeployment(hpaDocs, deployName, isDevLike, `${deployRel}/${HPA_FILENAME}`, fail, passFn)
+  if (!isK8sBaseLayer) {
+    validateHpaForDeployment(hpaDocs, deployName, isDevLike, `${deployRel}/${HPA_FILENAME}`, fail, passFn)
+  }
   validatePdbForDeployment(pdbDocs, deployName, appLabel, isDevLike, `${deployRel}/${PDB_FILENAME}`, fail, passFn)
 }
@@ -5310,11 +5514,30 @@ async function validateDeploymentsInDir(deployments, dir, root, fail, passFn) {
   const relDir = relative(root, dir).replaceAll('\\', '/')
   const segment = k8sEnvSegmentFromRelPath(relDir + '/')
   const isDevLike = isDevLikeK8sEnvSegment(segment)
+  const isK8sBaseLayer = isK8sYamlUnderBaseDirectory(`${relDir}/probe.yaml`)
+  if (isK8sBaseLayer && deployments.length > 0) {
+    const hpaAbs = join(dir, HPA_FILENAME)
+    if (existsSync(hpaAbs)) {
+      const prefix = relDir === '' ? '.' : relDir
+      fail(
+        `${prefix}/${HPA_FILENAME}: у шарі k8s/.../base не тримай локальний hpa.yaml — прибери HorizontalPodAutoscaler через $patch: delete у base/kustomization.yaml (k8s.mdc)`
+      )
+    }
+  }
   const hpaDocs = await readDocsByKindInDir(dir, 'HorizontalPodAutoscaler', HPA_FILENAME)
   const pdbDocs = await readDocsByKindInDir(dir, 'PodDisruptionBudget', PDB_FILENAME)
   const deployRel = relDir === '' ? '.' : relDir
   for (const deployment of deployments) {
-    validateSingleDeploymentHpaPdbTopology(deployment, deployRel, isDevLike, hpaDocs, pdbDocs, fail, passFn)
+    validateSingleDeploymentHpaPdbTopology(
+      deployment,
+      deployRel,
+      isDevLike,
+      isK8sBaseLayer,
+      hpaDocs,
+      pdbDocs,
+      fail,
+      passFn
+    )
   }
 }
@@ -5333,9 +5556,9 @@ async function extractDeploymentsFromFile(filePath) {
 /**
  * Для кожного **Deployment** у шарі **`…/k8s/…/base/`** (будь-який YAML у відповідному каталозі) перевіряє:
- * у тому ж каталозі повинні бути `hpa.yaml` (валідний `autoscaling/v2`) і `pdb.yaml` (валідний `policy/v1`),
- * а сам Deployment — канонічні **topologySpreadConstraints**. Env-залежні межі (`minReplicas`,
- * `minAvailable`) — за сегментом після `/k8s/`: `base` / `dev` / `*-qa` = dev-like, решта — прод.
+ * заборона локального **`hpa.yaml`**; **`pdb.yaml`** (валідний `policy/v1`); канонічні **topologySpreadConstraints**.
+ * HPA для dev прибирається в **`base/kustomization.yaml`** через **`$patch: delete`** (див. `verifyK8sBaseKustomizeHpaDeletedWhenInherited`).
+ * Env-залежні межі — за сегментом після `/k8s/`: dev-like vs прод.
  * @param {string} root корінь репозиторію
  * @param {string[]} yamlFilesAbs yaml під k8s
  * @param {(msg: string) => void} fail callback при помилці
@@ -6018,7 +6241,7 @@ function applyConversionsToDoc(doc, conversions) {
     byPatch.set(c.index, slot)
   }
-  const sortedIdx = byPatch.keys().toSorted((a, b) => b - a)
+  const sortedIdx = [...byPatch.keys()].toSorted((a, b) => b - a)
   for (const i of sortedIdx) {
     const slot = byPatch.get(i)
     if (slot === undefined) continue