@nitra/cursor 1.8.220 → 1.8.222

package/.claude-template/npm-CLAUDE.md

@@ -21,6 +21,10 @@ npx @nitra/cursor check changelog
 npx @nitra/cursor check npm-module
 ```
 
+## Перш ніж писати `check-*.mjs`
+
+Перед створенням нового `npm/scripts/check-<rule>.mjs` оціни, чи задача лягає на rego-полісі. **Default — Rego**: пер-документні структурні перевірки (kind/apiVersion, поля, форма масивів) пишуться у `npm/policy/<rule>/<name>/<name>.rego` + `_test.rego`. JS — тільки для cross-file resolution, file-system access (`readdir`/`stat`), autofix/rewrite або парсингу до YAML-body. Гібрид (rego як швидкий gate + JS-оркестратор для cross-file) — нормальний патерн; референс — `npm/policy/k8s/*` ↔ `npm/scripts/check-k8s.mjs`. Деталі алгоритму рішення — `.cursor/rules/conftest.mdc` (alwaysApply).
+
 ## Джерело правил
 
 - `.cursor/rules/n-changelog.mdc` — правило про CHANGELOG (PR-scoped, для всіх воркспейсів)

package/CHANGELOG.md

@@ -4,6 +4,27 @@
 
 Формат — [Keep a Changelog](https://keepachangelog.com/uk/1.1.0/), нумерація — [SemVer](https://semver.org/lang/uk/).
 
+## [1.8.222] - 2026-05-10
+
+### Added
+
+- **k8s / rego-полісі:** розширено `npm/policy/k8s/manifest/manifest.rego` (Deployment cpu+memory у `requests`, Hasura image pin із білим списком тегів, канонічний `topologySpreadConstraints` з мітки `app` самого Deployment). Додано `manifest_test.rego` із вхідними фікстурами; rego тестується через `conftest verify` (опційний крок у `bun run lint-rego`). JS у `check-k8s.mjs` лишається authoritative — нові правила Rego — швидкий gate для одиничного маніфеста.
+- **k8s / нові rego-пакети:** `npm/policy/k8s/gateway/` (Gateway API: backendRef з суфіксом `-hl`, redundant `namespace` у backendRef, HCP `targetRef.name` `-hl`); `npm/policy/k8s/kustomization/` (resources/patches алфавітне сортування, JSON6902 `remove`+`add` на той самий `path`); `npm/policy/k8s/svc_yaml/` (`Service.spec.type: ClusterIP`); `npm/policy/k8s/svc_hl_yaml/` (headless Service з суфіксом `-hl` і `clusterIP: None`); `npm/policy/k8s/base_kustomization/` (обов'язковий `namespace:`); `npm/policy/k8s/base_manifest/` (`metadata.namespace` у base, base-canon `cpu='0.02'`/`memory='128Mi'`); `npm/policy/k8s/kustomize_managed/` (заборона `metadata.namespace` у kustomize-managed файлах); `npm/policy/k8s/hasura_configmap/` (`HASURA_GRAPHQL_ENABLE_REMOTE_SCHEMA_PERMISSIONS: "true"`); `npm/policy/k8s/hasura_httproute/` (канон 4 правил Hasura: `/ql` Exact + `/ql/` Exact + PathPrefix + WebSocket); `npm/policy/k8s/hpa_pdb/` (структурний gate HPA/PDB: `apiVersion`, `behavior.scaleUp/Down`, `metrics`, `selector.matchLabels`). До кожного пакета додано `*_test.rego` фікстури.
+- **lint-rego:** додано опційний крок `conftest verify` у `npm/scripts/lint-rego.mjs` після `regal lint` для виконання `*_test.rego`. Якщо `conftest` не у PATH — крок мовчки пропускається з install-hint.
+
+### Changed
+
+- **lint-conftest:** `npm/scripts/lint-conftest.mjs` — `k8s.manifest` target тепер указує на `policyDir: 'k8s/manifest'` (вужчий policy-tree), додано targets для нових пакетів `k8s.gateway`, `k8s.hpa_pdb`, `k8s.kustomization`, `k8s.svc_yaml`, `k8s.svc_hl_yaml`, `k8s.base_kustomization`, `k8s.base_manifest`. Шляхові регекспи: `K8S_KUSTOMIZATION_PATH_RE`, `K8S_BASE_KUSTOMIZATION_PATH_RE`, `K8S_BASE_MANIFEST_PATH_RE`, `K8S_SVC_YAML_PATH_RE`, `K8S_SVC_HL_YAML_PATH_RE`. Пакети `kustomize_managed`, `hasura_configmap`, `hasura_httproute` потребують cross-file gating з `check-k8s.mjs` і не входять у `lint-conftest` walk-targets.
+- **n-k8s.mdc:** додано розділ «Швидкий gate через conftest (Rego)» зі списком rego-пакетів і опису того, що cross-file логіка (резолюція kustomize-tree, парність svc.yaml/svc-hl.yaml, прив'язка ConfigMap/HTTPRoute до Hasura-Deployment, HPA/PDB by directory, env-залежні межі min/maxReplicas) лишається у `check-k8s.mjs`.
+- **conftest.mdc (alwaysApply):** замість одного абзацу про «пріоритет conftest» — повний алгоритм рішення для нової перевірки: декізія-дерево (single-document → Rego за замовчуванням; cross-file/FS/autofix/text-pre-YAML → JS), workflow «спершу намалюй вхід → rego або гібрид», список «червоних прапорів» (Rego не вміє X — звір зі списком винятків). Мета: робити Rego default-вибором для нових перевірок.
+- **npm/.claude-template/npm-CLAUDE.md:** додано path-scoped нагадування «Перш ніж писати `check-*.mjs`» з посиланням на алгоритм у `conftest.mdc`. Регенеровано `npm/CLAUDE.md`.
+
+## [1.8.221] - 2026-05-10
+
+### Changed
+
+- **ci4.mdc:** наповнено правило людинозрозумілим описом C4-моделі як джерела істини. Markdown-файли (C4 + ADR + тести + документація) — офіційне джерело істини про проєкт. Перед змінами агент аналізує відповідні C4-файли; кожна зміна, що впливає на модель, супроводжується оновленням C4-схеми у тому ж PR. ADR описує вплив рішення на C4 (які контейнери/компоненти з'являються/зникають/змінюють відповідальність). Кожен C4-компонент має посилання на відповідні тести. C4-схеми — частина користувацької документації, не закритий артефакт. Алгоритмічної `check-ci4.mjs` поки немає — правило процесне; `## Перевірка` залишено для майбутньої формалізації.
+
 ## [1.8.220] - 2026-05-09
 
 ### Fixed

package/bin/auto-rules.md

@@ -48,6 +48,8 @@ rego - якщо в проекті є хоч один rego
 
 style-lint - якщо присутній хоч один vue або css файл
 
+tauri - - якщо в хоч в package.json в секції dependencies присутній пакет @tauri-apps/api
+
 text - завжди
 
 vue - якщо присутній хоч один vue файл

package/bin/n-cursor.js

@@ -1137,7 +1137,8 @@ async function readBundledVersionAt(packageRoot) {
  * бо ES-модулі вже завантажені у V8 (RULE_MIGRATIONS, detectAutoRules тощо) і нова логіка
  * без повної заміни процесу не підхопиться. Захист від нескінченного циклу — env `NITRA_CURSOR_REEXEC=1`.
  * @param {string} effectivePackageRoot шлях, повернутий `upgradeNitraCursorToLatestAndBunInstall`
- * @returns {Promise<void>} повертається лише якщо re-exec не потрібен (інакше викликає `process.exit`)
+ * @returns {Promise<void>} повертається лише якщо re-exec не потрібен; інакше кидає `ReexecHandoff`,
+ *   який ловить top-level catch і прокидає exit-код у `process.exitCode`
  */
 async function reexecIfPackageVersionChanged(effectivePackageRoot) {
   if (env.NITRA_CURSOR_REEXEC === '1') {
@@ -1167,7 +1168,23 @@ async function reexecIfPackageVersionChanged(effectivePackageRoot) {
   if (result.error) {
     throw result.error
   }
-  process.exit(typeof result.status === 'number' ? result.status : 1)
+  throw new ReexecHandoff(typeof result.status === 'number' ? result.status : 1)
+}
+
+/**
+ * Сентинельна помилка, яку кидає `reexecIfPackageVersionChanged` після успішного re-exec.
+ * Top-level catch розпізнає її й виставляє `process.exitCode = code` без stack-trace —
+ * процес тоді коректно завершується з тим самим кодом, що й child re-exec-у.
+ */
+class ReexecHandoff extends Error {
+  /**
+   * @param {number} code exit-код, який повернув child-процес
+   */
+  constructor(code) {
+    super('reexec-handoff')
+    this.name = 'ReexecHandoff'
+    this.code = code
+  }
 }
 
 /**
@@ -1329,6 +1346,10 @@ try {
       process.exitCode = 1
     }
   }
-} catch {
-  process.exitCode = 1
+} catch (error) {
+  if (error instanceof ReexecHandoff) {
+    process.exitCode = error.code
+  } else {
+    process.exitCode = 1
+  }
 }

package/mdc/ci4.mdc

@@ -0,0 +1,51 @@
+---
+description: Дизайн проєкту за C4 model (https://c4model.com); Markdown — джерело істини про архітектуру, рішення, тести й документацію
+alwaysApply: true
+version: '1.0'
+---
+
+C4-діаграми проєкту живуть у Markdown поряд із кодом. Це не довідник «для людей із порталу
+архітектора» — це **джерело істини**, з якого LLM-агент і людина читають намір системи перед
+будь-якою зміною коду. Тому правила нижче — не оформлення, а робочий процес.
+
+## Markdown як джерело істини
+
+Уся ключова інформація про проєкт — архітектура (C4), рішення (ADR), тести й документація —
+зберігається у `.md`/`.mdc`-файлах і є **офіційним джерелом істини**. Це єдиний спосіб
+тримати знання разом із кодом — версійно, в одному PR і доступно для агентів. Якщо щось
+важливе про систему існує лише у Confluence/Notion/месенджері — для проєкту цього **немає**.
+
+## Аналіз перед зміною
+
+Перш ніж вносити зміни, агент **читає відповідні C4-файли**: контекст, контейнери, компоненти
+тієї ділянки, до якої входить редагований код. Без цього кроку легко зламати приховані
+залежності між контейнерами або «загубити» зовнішню інтеграцію.
+
+## Оновлення синхронно зі змінами
+
+Кожна зміна, що впливає на C4-модель — нова інтеграція, новий компонент, перейменування,
+зміна напрямку залежності, видалення сервісу — **супроводжується оновленням C4-схеми у тому ж
+PR**. C4 не оновлюється «потім» окремою задачею: розсинхрон між кодом і моделлю — найчастіша
+причина, чому архітектурні документи перестають читати.
+
+## Зв'язок із ADR
+
+ADR (`docs/adr/`) описує **вплив рішення на C4**: які контейнери/компоненти з'являються,
+зникають, змінюють відповідальність. Якщо рішення суттєве — у тілі ADR явно пишемо, які
+C4-схеми потрібно оновити, і робимо це у тому ж PR.
+
+## Зв'язок із тестами
+
+Кожен C4-компонент має **посилання на відповідні тести** — інтеграційні, e2e або юніт залежно
+від рівня. Так перехід «компонент → як його перевіряємо» займає один клік, а не пошук по
+репозиторію.
+
+## Зв'язок із документацією
+
+C4-схеми — частина **користувацької документації**, а не закритий артефакт для команди.
+Контекстна діаграма (рівень 1) і контейнерна (рівень 2) живуть там, де читач шукає вступ у
+проєкт, а не у відокремленій теці «for-architects».
+
+## Перевірка
+
+`npx @nitra/cursor check ci4`

package/mdc/tauri.mdc

@@ -0,0 +1,20 @@
+---
+description: Tauri
+alwaysApply: true
+version: '1.0'
+---
+
+
+в файлі .vscode/extensions.json є налаштування для Vue:
+
+```json title=".vscode/extensions.json"
+{
+  "recommendations": ["tauri-apps.tauri-vscode",
+    "rust-lang.rust-analyzer"]
+}
+```
+
+
+## Перевірка
+
+`npx @nitra/cursor check tauri`

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.220",
+  "version": "1.8.222",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/policy/k8s/base_kustomization/base_kustomization.rego

@@ -0,0 +1,40 @@
+# Порт перевірки `k8s/base/kustomization.yaml` з `npm/scripts/check-k8s.mjs`
+# (k8s.mdc): у base-kustomization обов'язково має бути непорожнє поле
+# `namespace:`.
+#
+# Запуск (локально, лише для одного `k8s/base/kustomization.yaml`):
+#   conftest test path/to/k8s/base/kustomization.yaml \
+#     -p npm/policy/k8s/base_kustomization \
+#     --namespace k8s.base_kustomization
+#
+# JS authoritative (`check-k8s.mjs`: `baseKustomizationNamespaceViolation`,
+# `isBaseKustomizationPath` для відбору файла, `ensureBaseKustomizationHasNamespace`
+# як оркестратор).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
+package k8s.base_kustomization
+
+import rego.v1
+
+base_namespace_required_msg := concat(" ", [
+	"у base/kustomization.yaml завжди додай непорожній namespace:",
+	"(наприклад namespace: dev; k8s.mdc)",
+])
+
+deny contains base_namespace_required_msg if {
+	is_kustomization
+	not is_string(object.get(input, "namespace", null))
+}
+
+deny contains base_namespace_required_msg if {
+	is_kustomization
+	ns := object.get(input, "namespace", "")
+	is_string(ns)
+	trim_space(ns) == ""
+}
+
+is_kustomization if {
+	input.kind == "Kustomization"
+	startswith(object.get(input, "apiVersion", ""), "kustomize.config.k8s.io/")
+}

package/policy/k8s/base_kustomization/base_kustomization_test.rego

@@ -0,0 +1,36 @@
+# Тести для `k8s.base_kustomization`. Запуск:
+#   conftest verify -p npm/policy/k8s/base_kustomization --namespace k8s.base_kustomization
+package k8s.base_kustomization_test
+
+import rego.v1
+
+import data.k8s.base_kustomization
+
+base_kust := {
+	"apiVersion": "kustomize.config.k8s.io/v1beta1",
+	"kind": "Kustomization",
+}
+
+test_deny_missing_namespace if {
+	count(base_kustomization.deny) > 0 with input as base_kust
+}
+
+test_deny_empty_namespace if {
+	count(base_kustomization.deny) > 0 with input as object.union(base_kust, {"namespace": ""})
+}
+
+test_deny_whitespace_namespace if {
+	count(base_kustomization.deny) > 0 with input as object.union(base_kust, {"namespace": "   "})
+}
+
+test_allow_with_namespace if {
+	count(base_kustomization.deny) == 0 with input as object.union(base_kust, {"namespace": "dev"})
+}
+
+test_allow_non_kustomization if {
+	count(base_kustomization.deny) == 0 with input as {
+		"apiVersion": "v1",
+		"kind": "ConfigMap",
+		"metadata": {"name": "cm"},
+	}
+}

package/policy/k8s/base_manifest/base_manifest.rego

@@ -0,0 +1,154 @@
+# Порт пер-документних структурних перевірок для маніфестів у шарі
+# `…/k8s/.../base/...` (k8s.mdc).
+#
+# Запуск (локально, лише для одного файлу під base/):
+#   conftest test path/to/k8s/base/deployment.yaml -p npm/policy/k8s/base_manifest \
+#     --namespace k8s.base_manifest
+#
+# JS відбирає файли під `…/k8s/.../base/…` (окрім `kustomization.yaml`) і
+# викликає conftest з цією намеспейс. JS authoritative
+# (`check-k8s.mjs`: `metadataNamespaceRequiredViolation` з `inBaseDir=true`,
+# `deploymentResourcesViolation` з `inK8sBaseLayer=true`,
+# `isK8sBaseManifestYamlPath`).
+#
+# Перевіряє:
+#  - namespaced kind має непорожній `metadata.namespace` (cluster-scoped kind
+#    і Kustomization/List виняток);
+#  - Deployment у base має фіксовані `resources.requests.cpu == "0.02"` (або
+#    число `0.02`) і `resources.requests.memory == "128Mi"` (case-insensitive
+#    суфікс Mi).
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`.
+package k8s.base_manifest
+
+import rego.v1
+
+# Cluster-scoped kind (не вимагають metadata.namespace) — узгоджено з
+# `CLUSTER_SCOPED_KINDS` у `check-k8s.mjs`.
+cluster_scoped_kinds := {
+	"APIService",
+	"CertificateSigningRequest",
+	"ClusterCIDR",
+	"ClusterRole",
+	"ClusterRoleBinding",
+	"ComponentStatus",
+	"CSIDriver",
+	"CSINode",
+	"CustomResourceDefinition",
+	"FlowSchema",
+	"IPAddress",
+	"IngressClass",
+	"MutatingWebhookConfiguration",
+	"Namespace",
+	"Node",
+	"PersistentVolume",
+	"PriorityClass",
+	"PriorityLevelConfiguration",
+	"RuntimeClass",
+	"ServiceCIDR",
+	"StorageClass",
+	"StorageVersionMigration",
+	"ValidatingAdmissionPolicy",
+	"ValidatingAdmissionPolicyBinding",
+	"ValidatingWebhookConfiguration",
+	"VolumeAttachment",
+}
+
+# Жорстко зафіксовані значення resources.requests у base-шарі (k8s.mdc).
+base_cpu_request := "0.02"
+
+base_memory_request := "128Mi"
+
+base_metadata_missing_msg := concat(" ", [
+	"додай metadata з непорожнім metadata.namespace —",
+	"у k8s/base у кожному ресурсному YAML має бути явний namespace (k8s.mdc)",
+])
+
+base_namespace_required_msg := concat(" ", [
+	"metadata.namespace обов'язковий у k8s/base —",
+	"додай явний namespace у маніфесті (k8s.mdc)",
+])
+
+base_canon_cpu_template := concat(" ", [
+	"контейнер %q: у k8s/.../base resources.requests.cpu має бути рівно %q",
+	"(допускається число 0.02) — зараз %v (k8s.mdc)",
+])
+
+base_canon_memory_template := concat(" ", [
+	"контейнер %q: у k8s/.../base resources.requests.memory має бути рівно %q",
+	"(суфікс Mi без урахування регістру) — зараз %v (k8s.mdc)",
+])
+
+# ── deny: namespaced kind у base/ — обов'язковий metadata.namespace ──────
+
+deny contains base_metadata_missing_msg if {
+	is_namespaced_kind
+	not is_object(object.get(input, "metadata", null))
+}
+
+deny contains base_namespace_required_msg if {
+	is_namespaced_kind
+	meta := object.get(input, "metadata", null)
+	is_object(meta)
+	ns := object.get(meta, "namespace", "")
+	trim_space(ns) == ""
+}
+
+# ── deny: Deployment у base — точне cpu='0.02' / memory='128Mi' ──────────
+
+deny contains msg if {
+	input.kind == "Deployment"
+	some container in deployment_all_containers
+	cpu := object.get(object.get(container, "resources", {}), "requests", {}).cpu
+	cpu != null
+	not is_base_canon_cpu(cpu)
+	msg := sprintf(base_canon_cpu_template, [container.name, base_cpu_request, cpu])
+}
+
+deny contains msg if {
+	input.kind == "Deployment"
+	some container in deployment_all_containers
+	mem := object.get(object.get(container, "resources", {}), "requests", {}).memory
+	mem != null
+	not is_base_canon_memory(mem)
+	msg := sprintf(base_canon_memory_template, [container.name, base_memory_request, mem])
+}
+
+# ── helpers ───────────────────────────────────────────────────────────────
+
+# Це namespaced ресурс, на який має застосовуватись правило metadata.namespace.
+is_namespaced_kind if {
+	is_string(input.kind)
+	input.kind != ""
+	input.kind != "List"
+	input.kind != "Kustomization"
+	is_string(input.apiVersion)
+	input.apiVersion != ""
+	not input.kind in cluster_scoped_kinds
+}
+
+deployment_all_containers contains container if {
+	some container in object.get(object.get(input.spec.template, "spec", {}), "containers", [])
+}
+
+deployment_all_containers contains container if {
+	some container in object.get(object.get(input.spec.template, "spec", {}), "initContainers", [])
+}
+
+# Канон cpu='0.02' — рядок (точно "0.02") або число 0.02.
+is_base_canon_cpu(v) if {
+	is_string(v)
+	trim_space(v) == base_cpu_request
+}
+
+is_base_canon_cpu(v) if {
+	is_number(v)
+	v == 0.02
+}
+
+# Канон memory='128Mi' (суфікс Mi без урахування регістру).
+is_base_canon_memory(v) if {
+	is_string(v)
+	lower(trim_space(v)) == "128mi"
+}

package/policy/k8s/base_manifest/base_manifest_test.rego

@@ -0,0 +1,94 @@
+# Тести для `k8s.base_manifest`. Запуск:
+#   conftest verify -p npm/policy/k8s/base_manifest --namespace k8s.base_manifest
+package k8s.base_manifest_test
+
+import rego.v1
+
+import data.k8s.base_manifest
+
+# ── metadata.namespace required ─────────────────────────────────────────
+
+test_deny_namespaced_kind_without_metadata if {
+	count(base_manifest.deny) > 0 with input as {
+		"apiVersion": "v1",
+		"kind": "ConfigMap",
+	}
+}
+
+test_deny_namespaced_kind_empty_namespace if {
+	count(base_manifest.deny) > 0 with input as {
+		"apiVersion": "v1",
+		"kind": "ConfigMap",
+		"metadata": {"name": "cm", "namespace": ""},
+	}
+}
+
+test_allow_cluster_scoped_kind_without_namespace if {
+	count(base_manifest.deny) == 0 with input as {
+		"apiVersion": "v1",
+		"kind": "Namespace",
+		"metadata": {"name": "dev"},
+	}
+}
+
+test_allow_namespaced_kind_with_namespace if {
+	count(base_manifest.deny) == 0 with input as {
+		"apiVersion": "v1",
+		"kind": "ConfigMap",
+		"metadata": {"name": "cm", "namespace": "dev"},
+	}
+}
+
+# ── base canon resources ─────────────────────────────────────────────────
+
+test_deny_deployment_cpu_not_base_canon if {
+	count(base_manifest.deny) > 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api", "namespace": "dev"},
+		"spec": {"template": {"spec": {"containers": [{
+			"name": "main",
+			"image": "x",
+			"resources": {"requests": {"cpu": "100m", "memory": "128Mi"}},
+		}]}}},
+	}
+}
+
+test_deny_deployment_memory_not_base_canon if {
+	count(base_manifest.deny) > 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api", "namespace": "dev"},
+		"spec": {"template": {"spec": {"containers": [{
+			"name": "main",
+			"image": "x",
+			"resources": {"requests": {"cpu": "0.02", "memory": "256Mi"}},
+		}]}}},
+	}
+}
+
+test_allow_deployment_with_base_canon_string if {
+	count(base_manifest.deny) == 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api", "namespace": "dev"},
+		"spec": {"template": {"spec": {"containers": [{
+			"name": "main",
+			"image": "x",
+			"resources": {"requests": {"cpu": "0.02", "memory": "128Mi"}},
+		}]}}},
+	}
+}
+
+test_allow_deployment_with_base_canon_number_cpu if {
+	count(base_manifest.deny) == 0 with input as {
+		"apiVersion": "apps/v1",
+		"kind": "Deployment",
+		"metadata": {"name": "api", "namespace": "dev"},
+		"spec": {"template": {"spec": {"containers": [{
+			"name": "main",
+			"image": "x",
+			"resources": {"requests": {"cpu": 0.02, "memory": "128mi"}},
+		}]}}},
+	}
+}

package/policy/k8s/gateway/gateway.rego

@@ -0,0 +1,151 @@
+# Порт пер-документних перевірок для Gateway API і HealthCheckPolicy з
+# `npm/scripts/check-k8s.mjs` (k8s.mdc).
+#
+# Запуск (локально, по одному файлу або по дереву):
+#   conftest test path/to/manifest.yaml -p npm/policy/k8s/gateway \
+#     --namespace k8s.gateway
+#
+# Перевіряє:
+#  - HealthCheckPolicy (`networking.gke.io/v1`): `spec.targetRef.name` має
+#    закінчуватися на `-hl` (headless Service);
+#  - HTTPRoute / GRPCRoute / TCPRoute / TLSRoute / UDPRoute (`gateway.networking.k8s.io/*`):
+#    backendRef до Service має ім'я з суфіксом `-hl` (headless);
+#  - той самий маршрут: backendRef з полем `namespace`, що збігається з
+#    `metadata.namespace` маршруту, — заборонено (надлишкове поле, ламається при
+#    overlay-перенесеннях).
+#
+# JS authoritative (`check-k8s.mjs` — функції `failIfGatewayRouteUsesNonHeadlessService`,
+# `healthCheckPolicyTargetRefHeadlessServiceViolation`,
+# `collectGatewayApiRouteBackendServiceNames`,
+# `collectGatewayApiRouteBackendRefsWithRedundantNamespace`); ця Rego — швидкий
+# gate для одиничного маніфеста.
+#
+# Структура каталогу збігається зі шляхом пакету (regal: directory-package-mismatch).
+# Конвенція проєкту — `import rego.v1` + multi-value `deny contains msg if { … }`
+# (.cursor/rules/conftest.mdc). Лінт — `bun run lint-rego` (regal).
+package k8s.gateway
+
+import rego.v1
+
+# Kind-и маршрутів Gateway API, у `spec` яких шукаємо backendRefs.
+route_kinds := {"HTTPRoute", "GRPCRoute", "TCPRoute", "TLSRoute", "UDPRoute"}
+
+# Префікс apiVersion стандартних ресурсів Gateway API.
+api_group_prefix := "gateway.networking.k8s.io/"
+
+# Суфікс metadata.name для headless-сервісу (k8s.mdc).
+svc_hl_name_suffix := "-hl"
+
+hcp_target_ref_template := concat(" ", [
+	"HealthCheckPolicy: spec.targetRef.name має закінчуватись на %q",
+	"(зараз: %q) (k8s.mdc)",
+])
+
+route_backend_hl_template := concat(" ", [
+	"Gateway API %s: backendRef до Service має вказувати headless-сервіс",
+	"з суфіксом %q (зараз: %q) (k8s.mdc)",
+])
+
+route_backend_redundant_ns_template := concat(" ", [
+	"Gateway API %s: backendRef %q має namespace %q,",
+	"що збігається з metadata.namespace маршруту —",
+	"прибери поле namespace (k8s.mdc)",
+])
+
+# ── deny: HealthCheckPolicy — targetRef.name має закінчуватись на `-hl` ───
+
+deny contains msg if {
+	is_health_check_policy
+	target_ref_kind_is_service
+	name := object.get(object.get(input.spec, "targetRef", {}), "name", "")
+	name != ""
+	not endswith(name, svc_hl_name_suffix)
+	msg := sprintf(hcp_target_ref_template, [svc_hl_name_suffix, name])
+}
+
+deny contains msg if {
+	is_health_check_policy
+	not has_target_ref
+	msg := "HealthCheckPolicy: відсутній spec.targetRef (k8s.mdc)"
+}
+
+# ── deny: Gateway API маршрут — backendRef має суфікс `-hl` ──────────────
+
+deny contains msg if {
+	is_gateway_api_route
+	some backend_name in route_service_backend_names
+	not endswith(backend_name, svc_hl_name_suffix)
+	msg := sprintf(route_backend_hl_template, [input.kind, svc_hl_name_suffix, backend_name])
+}
+
+# ── deny: Gateway API маршрут — backendRef з redundant namespace ─────────
+
+deny contains msg if {
+	is_gateway_api_route
+	route_ns := object.get(input.metadata, "namespace", "")
+	route_ns != ""
+	some redundant in redundant_namespace_backend_names(route_ns)
+	msg := sprintf(route_backend_redundant_ns_template, [input.kind, redundant, route_ns])
+}
+
+# ── helpers ───────────────────────────────────────────────────────────────
+
+is_health_check_policy if {
+	input.kind == "HealthCheckPolicy"
+	startswith(object.get(input, "apiVersion", ""), "networking.gke.io/")
+}
+
+# targetRef.kind не задано або дорівнює "Service" — звіряємо суфікс імені.
+target_ref_kind_is_service if {
+	target_ref_kind == ""
+}
+
+target_ref_kind_is_service if {
+	target_ref_kind == "Service"
+}
+
+target_ref_kind := object.get(object.get(input.spec, "targetRef", {}), "kind", "")
+
+has_target_ref if {
+	object.get(input, "spec", {}).targetRef
+}
+
+is_gateway_api_route if {
+	startswith(object.get(input, "apiVersion", ""), api_group_prefix)
+	input.kind in route_kinds
+}
+
+# Усі імена backend-ів у `spec` що виглядають як backendRef до Service: вузол
+# має `name` (string) і `port` (number); якщо поле `kind`/`group` явне — лише
+# `Service`/`core` (без явного group теж приймаємо).
+route_service_backend_names contains node.name if {
+	walk(object.get(input, "spec", {}), [_, node])
+	is_gateway_api_backend_ref_to_service(node)
+}
+
+# Тільки ті backendRef, у яких `namespace` збігається з namespace маршруту.
+redundant_namespace_backend_names(route_ns) := {node.name |
+	walk(object.get(input, "spec", {}), [_, node])
+	is_gateway_api_backend_ref_to_service(node)
+	node.namespace == route_ns
+}
+
+is_gateway_api_backend_ref_to_service(obj) if {
+	is_object(obj)
+	is_string(obj.name)
+	is_number(obj.port)
+	kind_ok(obj)
+	group_ok(obj)
+}
+
+# Якщо `kind` не вказано — приймаємо як Service (Gateway API дефолт).
+kind_ok(obj) if not obj.kind
+
+kind_ok(obj) if obj.kind == "Service"
+
+# Якщо `group` не вказано / порожній / "core" — приймаємо як Service.
+group_ok(obj) if not obj.group
+
+group_ok(obj) if obj.group == ""
+
+group_ok(obj) if obj.group == "core"