@nitra/cursor 1.8.64 → 1.8.71

package/mdc/abie.mdc

@@ -1,20 +1,22 @@
 ---
-description: Правила для проєктів abinbevefes
+description: Правила для проєктів AbInBev Efes
 alwaysApply: true
-version: '1.0'
+version: '1.4'
 ---
 
-## k8s
+Правило **abie** для споживачів **@nitra/cursor**: **k8s** (**Deployment** + **HealthCheckPolicy**), overlay **ua** / **ru** (**nodeSelector**, видалення **HealthCheckPolicy** у **ru**) і гілки в **clean-merged-branch**. **`npx @nitra/cursor check abie`** виконується лише якщо в **`.n-cursor.json`** у **`rules`** є **`abie`** — інакше вихід **0** без зауважень.
 
-Якщо в проекті є k8s deployment, рядом з ним повинен бути:
+## k8s: `hc.yaml` поруч із Deployment
+
+Якщо під **`k8s`** є **`kind: Deployment`**, у **тій самій директорії** має бути **`hc.yaml`** з **HealthCheckPolicy** (**`networking.gke.io/v1`**): коректний modeline **`$schema`**, **`/healthz`**, порт **8080**, **`targetRef.name`** = **`metadata.name`**. Деталі — **`validateAbieHcYaml`** у **`npm/scripts/check-abie.mjs`**.
 
 ```yaml title="hc.yaml"
 # yaml-language-server: $schema=https://datreeio.github.io/CRDs-catalog/networking.gke.io/healthcheckpolicy_v1.json
 apiVersion: networking.gke.io/v1
 kind: HealthCheckPolicy
 metadata:
-  name: НАЗВА_СЕРВІСУ_ДЛЯ_РОЗГОРТАННЯ
-  namespace: dev # буде замінено через kustomize
+  name: СЕРВІС
+  namespace: dev # kustomize overlay
 spec:
   default:
     config:
@@ -25,34 +27,117 @@ spec:
   targetRef:
     group: ''
     kind: Service
-    name: НАЗВА_СЕРВІСУ_ДЛЯ_РОЗГОРТАННЯ
+    name: СЕРВІС
 ```
 
-**Overlay `ru`:** у **`…/ru/kustomization.yaml`** під **`k8s`** додай **видалення** ресурсу HealthCheckPolicy для середовища, де політика не потрібна (підстав **реальне ім’я** замість `НАЗВА_СЕРВІСУ_ДЛЯ_РОЗГОРТАННЯ`):
+## k8s: overlay **HTTPRoute** `nginx-run` (**ua** / **ru**)
+
+Якщо під **`k8s`** є **Deployment**, у **кожному** **`ua/kustomization.yaml`** та **`ru/kustomization.yaml`** має бути inline **JSON6902** у **`patches[].patch`** на **`target.kind: HTTPRoute`**, **`name: nginx-run`**: **replace** **`/spec/hostnames`** (допустимі домени — як у прикладах нижче) і **replace** **`/spec/parentRefs/0/namespace`** (**`ua`** або **`ru`**). Для **ru** додатково потрібна анотація **`gwin.yandex.cloud/rules.http.upgradeTypes: websocket`** (зазвичай **op: add**, **`/metadata/annotations`**). Критерії — **`validateAbieNginxRunHttpRoutePatches`** / **`getCombinedNginxRunPatchTextFromKustomization`** у **`npm/scripts/check-abie.mjs`**.
 
-```yaml title="kustomization.yaml"
+```yaml title="…/ua/kustomization.yaml (фрагмент)"
+  - target:
+      kind: HTTPRoute
+      name: nginx-run
+    patch: |-
+      - op: replace
+        path: /spec/hostnames
+        value:
+          - "abie.app" # також допускається vybeerai.com.ua, *.vybeerai.com.ua, *.abie.app
+      - op: replace
+        path: /spec/parentRefs/0/namespace
+        value: ua
+```
+
+```yaml title="…/ru/kustomization.yaml (фрагмент)"
+  - target:
+      kind: HTTPRoute
+      name: nginx-run
+    patch: |-
+      - op: replace
+        path: /spec/hostnames
+        value:
+          - "napitkivmeste.tech" # також допускається выбирайонлайн.рф, *.napitkivmeste.tech, *.выбирайонлайн.рф
+      - op: replace
+        path: /spec/parentRefs/0/namespace
+        value: ru
+```
+
+```yaml title="…/ru/kustomization.yaml (фрагмент)"
+  - target:
+      kind: HTTPRoute
+      name: nginx-run
+    patch: |-
+      - op: add
+        path: /metadata/annotations
+        value:
+          gwin.yandex.cloud/rules.http.upgradeTypes: "websocket"
+```
+
+## k8s: overlay **`ru`** і HealthCheckPolicy
+
+Якщо в дереві **k8s** є **HealthCheckPolicy**, **check abie** вимагає **`ru/kustomization.yaml`** з patch **`$patch: delete`** для політики (узгоджено з **k8s.mdc** / **check-k8s**, **`ruKustomizationHasHealthCheckDeletePatch`** у **`npm/scripts/check-k8s.mjs`**). Підстав реальне ім’я замість **`СЕРВІС`**:
+
+```yaml title="…/ru/kustomization.yaml (фрагмент)"
 patches:
   - target:
       kind: HealthCheckPolicy
+      name: СЕРВІС
     patch: |-
       kind: HealthCheckPolicy
       metadata:
-        name: НАЗВА_СЕРВІСУ_ДЛЯ_РОЗГОРТАННЯ
+        name: СЕРВІС
       $patch: delete
 ```
 
-## branch
+## k8s: overlay **`ua`** / **`ru`** і nodeSelector
 
-В lean-merged-branch.yml список гілок, які повинні бути:
+Якщо під **`k8s`** є **Deployment**, у **кожному** **`…/ua/kustomization.yaml`** та **`…/ru/kustomization.yaml`** має бути inline **JSON6902** у **`patches[].patch`** на **`target.kind: Deployment`** з **nodeSelector** за політикою abie (**ua** — **add** + **preem** false; **ru** — **replace** + **yandex.cloud/preemptible** false). Критерії збігу — **`kustomizationHasAbieDeploymentNodeSelectorPatch`** у **`npm/scripts/check-abie.mjs`**.
 
-```yaml title=".github/workflows/clean-merged-branch.yml"
-ignore_branches: dev,ua,ru
+```yaml title="…/ua/kustomization.yaml (фрагмент)"
+patches:
+  - target:
+      kind: Deployment
+      name: my-app
+    patch: |-
+      - op: add
+        path: /spec/template/spec/nodeSelector
+        value:
+          preem: 'false'
 ```
 
-## Перевірка
+```yaml title="…/ru/kustomization.yaml (фрагмент)"
+patches:
+  - target:
+      kind: Deployment
+      name: my-app
+    patch: |-
+      - op: replace
+        path: /spec/template/spec/nodeSelector
+        value:
+          yandex.cloud/preemptible: "false"
+```
+
+### Базовий Deployment (`…/base/`)
 
-`npx @nitra/cursor check abie`
+Якщо **Deployment** у YAML під **`k8s`** лежить у шляху з сегментом **`base`** (наприклад **`…/k8s/base/deploy.yaml`**), у **`spec.template.spec.nodeSelector`** має бути **`preem`** зі значенням **істинно** (**`true`** або рядок **`'true'`**) — overlay **ua** / **ru** підміняє селектор через kustomize. Деталі — **`deploymentDocumentHasAbieBasePreemNodeSelector`** / **`isAbieK8sBaseYamlPath`** у **`npm/scripts/check-abie.mjs`**.
 
-Повна матриця полів **`hc.yaml`**, **`ignore_branches`** і умов для **`ru/kustomization.yaml`** — у **`npm/scripts/check-abie.mjs`**.
+```yaml title="…/base/deploy.yaml (фрагмент)"
+spec:
+  template:
+    spec:
+      nodeSelector:
+        preem: 'true' # буде замінено через kustomize
+```
+
+## Git branches
+
+У **`.github/workflows/clean-merged-branch.yml`** у кроці **`phpdocker-io/github-actions-delete-abandoned-branches`** значення **`with.ignore_branches`** має містити **dev**, **ua** та **ru** (разом з іншими гілками, якщо потрібно), наприклад:
+
+```yaml title=".github/workflows/clean-merged-branch.yml (фрагмент)"
+with:
+  ignore_branches: main,dev,ua,ru
+```
+
+## Перевірка
 
-Програмна перевірка (**`check-abie.mjs`**) виконується лише якщо у **`.n-cursor.json`** у **`rules`** є **`abie`** — інакше вихід **0** без зауважень (щоб не вимагати **ua**/**ru** у репозиторіях без цього правила).
+**`npx @nitra/cursor check abie`**

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.64",
+  "version": "1.8.71",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/check-abie.mjs

@@ -1,5 +1,5 @@
 /**
- * Перевіряє відповідність проєкту правилу abie.mdc (проєкти abinbevefes).
+ * Перевіряє відповідність проєкту правилу abie.mdc (проєкти AbInBev Efes).
  *
  * Застосовується лише якщо у **`.n-cursor.json`** у масиві **`rules`** є **`abie`** — інакше вихід **0**
  * без перевірок (щоб не суперечити типовому **ga.mdc** з **`ignore_branches: main,dev`**).
@@ -12,7 +12,18 @@
  * має існувати **`hc.yaml`** із **`HealthCheckPolicy`** (**`networking.gke.io/v1`**), modeline **`$schema`**
  * як у abie.mdc, **`/healthz`**, порт **8080**, **`targetRef`** на **Service** з тим самим **`metadata.name`**.
  * Якщо в дереві **k8s** є **HealthCheckPolicy**, перевіряється **`ru/kustomization.yaml`** з patch **`$patch: delete`**
- * (узгоджено з **k8s.mdc** / **check-k8s.mjs**).
+ * (логіка вмісту — **`ruKustomizationHasHealthCheckDeletePatch`** у **check-k8s.mjs**, узгоджено з **k8s.mdc**).
+ *
+ * **nodeSelector (base):** якщо **Deployment** лежить у шляху з сегментом **`base`** (наприклад **`…/k8s/base/deploy.yaml`**),
+ * у **`spec.template.spec.nodeSelector`** має бути **`preem`** з булевим значенням **true** або рядком **`'true'`** — overlay **ua** та **ru** далі підміняють селектор.
+ *
+ * **nodeSelector (overlay):** якщо є **Deployment** під **k8s**, у кожному **`ua/kustomization.yaml`** та **`ru/kustomization.yaml`**
+ * має бути inline **JSON6902** patch на **`kind: Deployment`**: для **ua** — **`op: add`**, **`path: /spec/template/spec/nodeSelector`**,
+ * **`preem: false`**; для **ru** — **`op: replace`**, той самий **path**, **`yandex.cloud/preemptible: false`** (див. abie.mdc).
+ *
+ * **HTTPRoute nginx-run:** за тієї ж умови (**Deployment** під **k8s**) у **кожному** **`ua`/`ru` kustomization** має бути
+ * inline **JSON6902** на **`kind: HTTPRoute`**, **`name: nginx-run`**: **replace** **`/spec/hostnames`** (домени з abie.mdc),
+ * **replace** **`/spec/parentRefs/0/namespace`** (**ua** / **ru**); для **ru** також **`gwin.yandex.cloud/rules.http.upgradeTypes: websocket`**.
  */
 import { existsSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
@@ -20,7 +31,7 @@ import { dirname, join, relative } from 'node:path'
 
 import { parseAllDocuments } from 'yaml'
 
-import { isRuKustomizationPath, pathHasK8sSegment, ruKustomizationHasHealthCheckDeletePatch } from './check-k8s.mjs'
+import { pathHasK8sSegment, ruKustomizationHasHealthCheckDeletePatch } from './check-k8s.mjs'
 import { pass } from './utils/pass.mjs'
 import { flattenWorkflowSteps, getStepUses, parseWorkflowYaml } from './utils/gha-workflow.mjs'
 import { walkDir } from './utils/walkDir.mjs'
@@ -35,6 +46,80 @@ const MODELINE_RE = /^#\s*yaml-language-server:\s*\$schema=(\S+)\s*$/
 /** Гілки, які мають бути в **`ignore_branches`** за abie.mdc. */
 export const ABIE_REQUIRED_IGNORE_BRANCHES = ['dev', 'ua', 'ru']
 
+/**
+ * Чи відносний шлях вказує на **`ru/kustomization.yaml`** (сегмент **`ru`** перед ім’ям файлу) — специфіка abie overlay.
+ * @param {string} rel шлях від кореня репозиторію
+ * @returns {boolean} true, якщо це `…/ru/kustomization.yaml`
+ */
+export function isRuKustomizationPath(rel) {
+  const norm = rel.replaceAll('\\', '/')
+  return /(^|\/)ru\/kustomization\.yaml$/u.test(norm)
+}
+
+/**
+ * Чи відносний шлях вказує на **`ua/kustomization.yaml`** (сегмент **`ua`** перед ім’ям файлу) — специфіка abie overlay.
+ * @param {string} rel шлях від кореня репозиторію
+ * @returns {boolean} true, якщо це `…/ua/kustomization.yaml`
+ */
+export function isUaKustomizationPath(rel) {
+  const norm = rel.replaceAll('\\', '/')
+  return /(^|\/)ua\/kustomization\.yaml$/u.test(norm)
+}
+
+/**
+ * Чи відносний шлях до YAML під **k8s** вказує на файл у каталозі **`base`** (сегмент **`base`** у шляху), abie.mdc.
+ * @param {string} rel шлях від кореня репозиторію
+ * @returns {boolean} true, якщо в шляху є **`/base/`**
+ */
+export function isAbieK8sBaseYamlPath(rel) {
+  const norm = rel.replaceAll('\\', '/')
+  return /(^|\/)base\//u.test(norm)
+}
+
+/**
+ * Чи значення **`preem`** у base **Deployment** вважається «істинним» за abie.mdc (**true** або рядок **`true`** без урахування регістру).
+ * @param {unknown} v значення з YAML
+ * @returns {boolean}
+ */
+function isAbiePreemTrueish(v) {
+  if (v === true) {
+    return true
+  }
+  if (typeof v === 'string' && v.trim().toLowerCase() === 'true') {
+    return true
+  }
+  return false
+}
+
+/**
+ * Чи документ **Deployment** у **`…/base/…`** містить **`spec.template.spec.nodeSelector.preem`** зі значенням **true** (abie.mdc).
+ * @param {unknown} obj корінь YAML-документа (**Deployment**)
+ * @returns {boolean} true, якщо критерії виконано
+ */
+export function deploymentDocumentHasAbieBasePreemNodeSelector(obj) {
+  if (!isDeploymentDoc(obj)) {
+    return false
+  }
+  const rec = /** @type {Record<string, unknown>} */ (obj)
+  const spec = rec.spec
+  if (spec === null || typeof spec !== 'object' || Array.isArray(spec)) {
+    return false
+  }
+  const template = /** @type {Record<string, unknown>} */ (spec).template
+  if (template === null || typeof template !== 'object' || Array.isArray(template)) {
+    return false
+  }
+  const podSpec = /** @type {Record<string, unknown>} */ (template).spec
+  if (podSpec === null || typeof podSpec !== 'object' || Array.isArray(podSpec)) {
+    return false
+  }
+  const nodeSelector = /** @type {Record<string, unknown>} */ (podSpec).nodeSelector
+  if (nodeSelector === null || typeof nodeSelector !== 'object' || Array.isArray(nodeSelector)) {
+    return false
+  }
+  return isAbiePreemTrueish(nodeSelector.preem)
+}
+
 /**
  * Чи увімкнено правило **abie** у конфігу репозиторію.
  * @param {string} root корінь репозиторію (cwd)
@@ -189,6 +274,64 @@ async function collectDeploymentDirs(root, yamlAbs, fail) {
   return dirs
 }
 
+/**
+ * Для кожного **Deployment** у YAML під **`k8s`** з шляхом **`…/base/…`** вимагає **`spec.template.spec.nodeSelector.preem: true`** (abie.mdc).
+ * @param {string} root корінь репозиторію
+ * @param {string[]} yamlFilesAbs yaml під k8s
+ * @param {(msg: string) => void} fail callback
+ * @returns {Promise<void>}
+ */
+async function ensureAbieBaseDeploymentPreemNodeSelector(root, yamlFilesAbs, fail) {
+  const baseFiles = yamlFilesAbs.filter(abs => {
+    const rel = relative(root, abs).replaceAll('\\', '/') || abs
+    return isAbieK8sBaseYamlPath(rel)
+  })
+  let anyBaseDeployment = false
+  for (const abs of baseFiles) {
+    const rel = relative(root, abs).replaceAll('\\', '/') || abs
+    let raw
+    try {
+      raw = await readFile(abs, 'utf8')
+    } catch (error) {
+      const msg = error instanceof Error ? error.message : String(error)
+      fail(`${rel}: не вдалося прочитати (${msg})`)
+      return
+    }
+    const body = stripBom(raw)
+    const lines = body.split(/\r?\n/u)
+    const first = lines[0] ?? ''
+    const rest = MODELINE_RE.test(first.trim()) ? lines.slice(1).join('\n') : body
+    /** @type {import('yaml').Document[]} */
+    let docs
+    try {
+      docs = parseAllDocuments(rest)
+    } catch (error) {
+      const msg = error instanceof Error ? error.message : String(error)
+      fail(`${rel}: YAML (${msg})`)
+      return
+    }
+    for (const doc of docs) {
+      if (doc.errors.length > 0) {
+        continue
+      }
+      const obj = doc.toJSON()
+      if (!isDeploymentDoc(obj)) {
+        continue
+      }
+      anyBaseDeployment = true
+      if (!deploymentDocumentHasAbieBasePreemNodeSelector(obj)) {
+        fail(`${rel}: Deployment у base: потрібен spec.template.spec.nodeSelector.preem: true (або 'true') — abie.mdc`)
+        return
+      }
+    }
+  }
+  if (anyBaseDeployment) {
+    pass('Deployment у …/base/…: nodeSelector.preem відповідає abie.mdc')
+  } else {
+    pass('Немає Deployment у шляхах …/base/… — перевірку preem у base пропущено')
+  }
+}
+
 /**
  * Прибирає BOM на початку файлу.
  * @param {string} s вміст
@@ -198,6 +341,261 @@ function stripBom(s) {
   return s.startsWith('\uFEFF') ? s.slice(1) : s
 }
 
+/**
+ * Чи рядок inline JSON6902 patch містить очікуваний **ua** nodeSelector (**op: add**, **preem: false**).
+ * @param {string} patchText поле **patch** у kustomization
+ * @returns {boolean} true, якщо критерії abie.mdc виконано
+ */
+function jsonPatchTextHasUaDeploymentNodeSelector(patchText) {
+  if (typeof patchText !== 'string' || patchText.trim() === '') {
+    return false
+  }
+  if (!/op:\s*add\b/u.test(patchText)) {
+    return false
+  }
+  if (!/path:\s*\/spec\/template\/spec\/nodeSelector\b/u.test(patchText)) {
+    return false
+  }
+  if (!/\bpreem:\s*['"]?false['"]?\b/u.test(patchText)) {
+    return false
+  }
+  return true
+}
+
+/**
+ * Чи рядок inline JSON6902 patch містить очікуваний **ru** nodeSelector (**op: replace**, **yandex.cloud/preemptible: false**).
+ * @param {string} patchText поле **patch** у kustomization
+ * @returns {boolean} true, якщо критерії abie.mdc виконано
+ */
+function jsonPatchTextHasRuDeploymentNodeSelector(patchText) {
+  if (typeof patchText !== 'string' || patchText.trim() === '') {
+    return false
+  }
+  if (!/op:\s*replace\b/u.test(patchText)) {
+    return false
+  }
+  if (!/path:\s*\/spec\/template\/spec\/nodeSelector\b/u.test(patchText)) {
+    return false
+  }
+  if (!/yandex\.cloud\/preemptible:\s*['"]?false['"]?/u.test(patchText)) {
+    return false
+  }
+  return true
+}
+
+/**
+ * Чи один елемент **patches** у kustomization відповідає abie nodeSelector для заданого **mode**.
+ * @param {unknown} p елемент масиву **patches**
+ * @param {'ua' | 'ru'} mode який overlay перевіряти
+ * @returns {boolean} true, якщо patch відповідає abie для **mode**
+ */
+function inlineKustomizationPatchMatchesAbieMode(p, mode) {
+  if (p === null || typeof p !== 'object' || Array.isArray(p)) {
+    return false
+  }
+  const pr = /** @type {Record<string, unknown>} */ (p)
+  const target = pr.target
+  if (target === null || typeof target !== 'object' || Array.isArray(target)) {
+    return false
+  }
+  const tg = /** @type {Record<string, unknown>} */ (target)
+  if (tg.kind !== 'Deployment') {
+    return false
+  }
+  const patchStr = pr.patch
+  if (typeof patchStr !== 'string') {
+    return false
+  }
+  if (mode === 'ua' && jsonPatchTextHasUaDeploymentNodeSelector(patchStr)) {
+    return true
+  }
+  if (mode === 'ru' && jsonPatchTextHasRuDeploymentNodeSelector(patchStr)) {
+    return true
+  }
+  return false
+}
+
+/**
+ * Чи один YAML-документ kustomization містить відповідний inline patch на Deployment.
+ * @param {import('yaml').Document} doc документ після **parseAllDocuments**
+ * @param {'ua' | 'ru'} mode який overlay перевіряти
+ * @returns {boolean} true, якщо знайдено відповідний patch
+ */
+function kustomizationDocumentHasAbieDeploymentNodeSelectorPatch(doc, mode) {
+  if (doc.errors.length > 0) {
+    return false
+  }
+  const root = doc.toJSON()
+  if (root === null || typeof root !== 'object' || Array.isArray(root)) {
+    return false
+  }
+  const rec = /** @type {Record<string, unknown>} */ (root)
+  if (rec.kind !== 'Kustomization') {
+    return false
+  }
+  const patches = rec.patches
+  if (!Array.isArray(patches)) {
+    return false
+  }
+  for (const p of patches) {
+    if (inlineKustomizationPatchMatchesAbieMode(p, mode)) {
+      return true
+    }
+  }
+  return false
+}
+
+/**
+ * Чи **kustomization.yaml** містить inline **patches** на **Deployment** з nodeSelector за abie.mdc (**ua** або **ru**).
+ * @param {string} raw повний текст файлу
+ * @param {'ua' | 'ru'} mode який overlay перевіряти
+ * @returns {boolean} true, якщо знайдено відповідний patch
+ */
+export function kustomizationHasAbieDeploymentNodeSelectorPatch(raw, mode) {
+  const body = stripBom(raw)
+  const lines = body.split(/\r?\n/u)
+  const first = lines[0] ?? ''
+  const rest = MODELINE_RE.test(first.trim()) ? lines.slice(1).join('\n') : body
+  /** @type {import('yaml').Document[]} */
+  let docs
+  try {
+    docs = parseAllDocuments(rest)
+  } catch {
+    return false
+  }
+  for (const doc of docs) {
+    if (kustomizationDocumentHasAbieDeploymentNodeSelectorPatch(doc, mode)) {
+      return true
+    }
+  }
+  return false
+}
+
+/** Домени **hostnames** для overlay **ua** (підрядки у JSON6902-тексті patch), abie.mdc. */
+const ABIE_UA_HTTPROUTE_HOST_MARKERS = ['abie.app', 'vybeerai.com.ua', '*.abie.app', '*.vybeerai.com.ua']
+
+/** Домени **hostnames** для overlay **ru** (підрядки), abie.mdc. */
+const ABIE_RU_HTTPROUTE_HOST_MARKERS = [
+  'napitkivmeste.tech',
+  'выбирайонлайн.рф',
+  '*.napitkivmeste.tech',
+  '*.выбирайонлайн.рф'
+]
+
+/**
+ * Збирає тексти inline **patch** для **HTTPRoute/nginx-run** з одного розібраного документа **Kustomization**.
+ * @param {import('yaml').Document} doc документ після **parseAllDocuments**
+ * @returns {string[]} непорожні рядки **patch**
+ */
+function collectNginxRunPatchStringsFromKustomizationDoc(doc) {
+  if (doc.errors.length > 0) {
+    return []
+  }
+  const root = doc.toJSON()
+  if (root === null || typeof root !== 'object' || Array.isArray(root)) {
+    return []
+  }
+  const rec = /** @type {Record<string, unknown>} */ (root)
+  if (rec.kind !== 'Kustomization') {
+    return []
+  }
+  const patches = rec.patches
+  if (!Array.isArray(patches)) {
+    return []
+  }
+  /** @type {string[]} */
+  const out = []
+  for (const p of patches) {
+    if (p === null || typeof p !== 'object' || Array.isArray(p)) {
+      continue
+    }
+    const pr = /** @type {Record<string, unknown>} */ (p)
+    const target = pr.target
+    if (target === null || typeof target !== 'object' || Array.isArray(target)) {
+      continue
+    }
+    const tg = /** @type {Record<string, unknown>} */ (target)
+    if (tg.kind !== 'HTTPRoute' || tg.name !== 'nginx-run') {
+      continue
+    }
+    const patchStr = pr.patch
+    if (typeof patchStr === 'string' && patchStr.trim() !== '') {
+      out.push(patchStr)
+    }
+  }
+  return out
+}
+
+/**
+ * Об’єднує всі inline **JSON6902**-фрагменти для **HTTPRoute/nginx-run** у **kustomization.yaml** (усі документи у файлі).
+ * @param {string} raw повний текст файлу
+ * @returns {string} текст для **`validateAbieNginxRunHttpRoutePatches`** (може бути порожнім)
+ */
+export function getCombinedNginxRunPatchTextFromKustomization(raw) {
+  const body = stripBom(raw)
+  const lines = body.split(/\r?\n/u)
+  const first = lines[0] ?? ''
+  const rest = MODELINE_RE.test(first.trim()) ? lines.slice(1).join('\n') : body
+  /** @type {import('yaml').Document[]} */
+  let docs
+  try {
+    docs = parseAllDocuments(rest)
+  } catch {
+    return ''
+  }
+  /** @type {string[]} */
+  const chunks = []
+  for (const doc of docs) {
+    chunks.push(...collectNginxRunPatchStringsFromKustomizationDoc(doc))
+  }
+  return chunks.join('\n')
+}
+
+/**
+ * Перевіряє об’єднаний текст patch(ів) **HTTPRoute/nginx-run** на відповідність abie.mdc.
+ * @param {string} combined текст одного або кількох inline **patch** (з’єднаних перевідом рядка)
+ * @param {'ua' | 'ru'} mode **ua** або **ru**
+ * @returns {string | null} повідомлення про помилку або **null**
+ */
+export function validateAbieNginxRunHttpRoutePatches(combined, mode) {
+  if (typeof combined !== 'string' || combined.trim() === '') {
+    return `очікується patch target kind HTTPRoute name nginx-run (replace hostnames, parentRefs namespace ${mode}; для ru — також gwin… upgradeTypes websocket) — abie.mdc`
+  }
+  const hasHostnamesReplace = /-\s*op:\s*replace\b[\s\S]{0,200}?path:\s*\/spec\/hostnames\b/m.test(combined)
+  if (!hasHostnamesReplace) {
+    return 'HTTPRoute nginx-run: потрібен блок op replace з path /spec/hostnames (abie.mdc)'
+  }
+  const markers = mode === 'ua' ? ABIE_UA_HTTPROUTE_HOST_MARKERS : ABIE_RU_HTTPROUTE_HOST_MARKERS
+  if (!markers.some(m => combined.includes(m))) {
+    return `HTTPRoute nginx-run: у value для /spec/hostnames має бути один із доменів abie (${markers.join(', ')}) — abie.mdc`
+  }
+  const ns = mode === 'ua' ? 'ua' : 'ru'
+  const nsRe = new RegExp(
+    String.raw`path:\s*\/spec\/parentRefs\/0\/namespace\b[\s\S]{0,200}?value:\s*['"]?${ns}['"]?(?:\s|$)`,
+    'mu'
+  )
+  if (!nsRe.test(combined)) {
+    return `HTTPRoute nginx-run: потрібен replace path /spec/parentRefs/0/namespace з value ${ns} (abie.mdc)`
+  }
+  if (mode === 'ru') {
+    if (!/gwin\.yandex\.cloud\/rules\.http\.upgradeTypes:\s*['"]?websocket['"]?/m.test(combined)) {
+      return 'HTTPRoute nginx-run (ru): потрібна анотація gwin.yandex.cloud/rules.http.upgradeTypes: websocket (abie.mdc)'
+    }
+  }
+  return null
+}
+
+/**
+ * Чи **kustomization** містить валідні для abie патчі **HTTPRoute/nginx-run** (**ua** або **ru**).
+ * @param {string} raw повний текст **kustomization.yaml**
+ * @param {'ua' | 'ru'} mode overlay
+ * @returns {boolean} true, якщо **`validateAbieNginxRunHttpRoutePatches`** повертає **null**
+ */
+export function kustomizationHasAbieNginxRunHttpRoutePatch(raw, mode) {
+  const combined = getCombinedNginxRunPatchTextFromKustomization(raw)
+  return validateAbieNginxRunHttpRoutePatches(combined, mode) === null
+}
+
 /**
  * Перевіряє **hc.yaml** на відповідність abie.mdc.
  * @param {string} raw повний текст файлу
@@ -341,7 +739,7 @@ async function collectHealthCheckPolicyRelPaths(root, yamlAbs) {
 }
 
 /**
- * Якщо є **HealthCheckPolicy**, вимагає **ru/kustomization.yaml** з patch видалення (як **check-k8s**).
+ * Якщо є **HealthCheckPolicy**, вимагає **ru/kustomization.yaml** з patch видалення (**ruKustomizationHasHealthCheckDeletePatch** у **check-k8s**).
  * @param {string} root корінь
  * @param {string[]} yamlFilesAbs абсолютні шляхи yaml k8s
  * @param {string[]} healthCheckPolicyRelativePaths відносні шляхи
@@ -377,6 +775,128 @@ async function ensureRuKustomizationHealthCheckDelete(root, yamlFilesAbs, health
   )
 }
 
+/**
+ * Якщо є **Deployment** під **k8s**, вимагає в кожному overlay **ua** та **ru** (**kustomization.yaml**) JSON6902 patch nodeSelector (abie.mdc).
+ * @param {string} root корінь репозиторію
+ * @param {string[]} yamlFilesAbs yaml під k8s
+ * @param {(msg: string) => void} fail callback
+ * @returns {Promise<void>}
+ */
+async function ensureUaRuAbieNodeSelectorPatches(root, yamlFilesAbs, fail) {
+  const uaAbsList = yamlFilesAbs.filter(abs => isUaKustomizationPath(relative(root, abs).replaceAll('\\', '/') || abs))
+  if (uaAbsList.length === 0) {
+    fail(
+      'Є Deployment у k8s — додай ua/kustomization.yaml з inline patch на Deployment: op add, path /spec/template/spec/nodeSelector, preem false (abie.mdc)'
+    )
+    return
+  }
+  for (const abs of uaAbsList) {
+    const rel = relative(root, abs).replaceAll('\\', '/') || abs
+    let raw
+    try {
+      raw = await readFile(abs, 'utf8')
+    } catch (error) {
+      const msg = error instanceof Error ? error.message : String(error)
+      fail(`${rel}: не вдалося прочитати (${msg})`)
+      return
+    }
+    if (!kustomizationHasAbieDeploymentNodeSelectorPatch(raw, 'ua')) {
+      fail(
+        `${rel}: потрібен patch target kind Deployment з op: add, path /spec/template/spec/nodeSelector та preem: false (abie.mdc)`
+      )
+      return
+    }
+    pass(`${rel}: nodeSelector patch (ua) відповідає abie.mdc`)
+  }
+
+  const ruAbsList = yamlFilesAbs.filter(abs => isRuKustomizationPath(relative(root, abs).replaceAll('\\', '/') || abs))
+  if (ruAbsList.length === 0) {
+    fail(
+      'Є Deployment у k8s — додай ru/kustomization.yaml з inline patch на Deployment: op replace, path /spec/template/spec/nodeSelector, yandex.cloud/preemptible false (abie.mdc)'
+    )
+    return
+  }
+  for (const abs of ruAbsList) {
+    const rel = relative(root, abs).replaceAll('\\', '/') || abs
+    let raw
+    try {
+      raw = await readFile(abs, 'utf8')
+    } catch (error) {
+      const msg = error instanceof Error ? error.message : String(error)
+      fail(`${rel}: не вдалося прочитати (${msg})`)
+      return
+    }
+    if (!kustomizationHasAbieDeploymentNodeSelectorPatch(raw, 'ru')) {
+      fail(
+        `${rel}: потрібен patch target kind Deployment з op: replace, path /spec/template/spec/nodeSelector та yandex.cloud/preemptible: false (abie.mdc)`
+      )
+      return
+    }
+    pass(`${rel}: nodeSelector patch (ru) відповідає abie.mdc`)
+  }
+}
+
+/**
+ * Якщо є **Deployment** під **k8s**, вимагає в кожному overlay **ua** та **ru** patch **HTTPRoute/nginx-run** (abie.mdc).
+ * @param {string} root корінь репозиторію
+ * @param {string[]} yamlFilesAbs yaml під k8s
+ * @param {(msg: string) => void} fail callback
+ * @returns {Promise<void>}
+ */
+async function ensureUaRuAbieHttpRoutePatches(root, yamlFilesAbs, fail) {
+  const uaAbsList = yamlFilesAbs.filter(abs => isUaKustomizationPath(relative(root, abs).replaceAll('\\', '/') || abs))
+  if (uaAbsList.length === 0) {
+    fail(
+      'Є Deployment у k8s — додай ua/kustomization.yaml з patch HTTPRoute nginx-run (hostnames, parentRefs namespace ua) — abie.mdc'
+    )
+    return
+  }
+  for (const abs of uaAbsList) {
+    const rel = relative(root, abs).replaceAll('\\', '/') || abs
+    let raw
+    try {
+      raw = await readFile(abs, 'utf8')
+    } catch (error) {
+      const msg = error instanceof Error ? error.message : String(error)
+      fail(`${rel}: не вдалося прочитати (${msg})`)
+      return
+    }
+    const combined = getCombinedNginxRunPatchTextFromKustomization(raw)
+    const v = validateAbieNginxRunHttpRoutePatches(combined, 'ua')
+    if (v !== null) {
+      fail(`${rel}: ${v}`)
+      return
+    }
+    pass(`${rel}: HTTPRoute nginx-run (ua) відповідає abie.mdc`)
+  }
+
+  const ruAbsList = yamlFilesAbs.filter(abs => isRuKustomizationPath(relative(root, abs).replaceAll('\\', '/') || abs))
+  if (ruAbsList.length === 0) {
+    fail(
+      'Є Deployment у k8s — додай ru/kustomization.yaml з patch HTTPRoute nginx-run (hostnames, namespace ru, gwin websocket) — abie.mdc'
+    )
+    return
+  }
+  for (const abs of ruAbsList) {
+    const rel = relative(root, abs).replaceAll('\\', '/') || abs
+    let raw
+    try {
+      raw = await readFile(abs, 'utf8')
+    } catch (error) {
+      const msg = error instanceof Error ? error.message : String(error)
+      fail(`${rel}: не вдалося прочитати (${msg})`)
+      return
+    }
+    const combined = getCombinedNginxRunPatchTextFromKustomization(raw)
+    const v = validateAbieNginxRunHttpRoutePatches(combined, 'ru')
+    if (v !== null) {
+      fail(`${rel}: ${v}`)
+      return
+    }
+    pass(`${rel}: HTTPRoute nginx-run (ru) відповідає abie.mdc`)
+  }
+}
+
 /**
  * Перевіряє відповідність проєкту правилам abie.mdc.
  * @returns {Promise<number>} 0 — OK, 1 — є порушення
@@ -457,6 +977,8 @@ export async function check() {
         )
       }
     }
+    pass('Є Deployment — перевіряємо base: spec.template.spec.nodeSelector.preem (abie.mdc)')
+    await ensureAbieBaseDeploymentPreemNodeSelector(root, yamlFiles, fail)
   } else {
     pass('Немає Deployment у дереві k8s — перевірку hc.yaml пропущено')
   }
@@ -464,5 +986,12 @@ export async function check() {
   const healthCheckPolicyRelativePaths = await collectHealthCheckPolicyRelPaths(root, yamlFiles)
   await ensureRuKustomizationHealthCheckDelete(root, yamlFiles, healthCheckPolicyRelativePaths, fail)
 
+  if (deploymentDirs.size > 0) {
+    pass('Є Deployment — перевіряємо nodeSelector у ua/ru kustomization (abie.mdc)')
+    await ensureUaRuAbieNodeSelectorPatches(root, yamlFiles, fail)
+    pass('Є Deployment — перевіряємо HTTPRoute nginx-run у ua/ru kustomization (abie.mdc)')
+    await ensureUaRuAbieHttpRoutePatches(root, yamlFiles, fail)
+  }
+
   return exitCode
 }

package/scripts/check-k8s.mjs

@@ -666,16 +666,6 @@ function extractApiVersionAndKind(doc) {
   }
 }
 
-/**
- * Чи відносний шлях вказує на **`ru/kustomization.yaml`** (сегмент **`ru`** перед ім’ям файлу).
- * @param {string} rel шлях від кореня репозиторію
- * @returns {boolean} true, якщо це `…/ru/kustomization.yaml`
- */
-export function isRuKustomizationPath(rel) {
-  const norm = rel.replaceAll('\\', '/')
-  return /(^|\/)ru\/kustomization\.yaml$/u.test(norm)
-}
-
 /**
  * Чи вміст overlay **`ru/kustomization.yaml`** містить Kustomize patch видалення **HealthCheckPolicy**.
  * @param {string} raw повний текст файлу