@nitra/cursor 1.8.73 → 1.8.75

package/mdc/abie.mdc

@@ -1,14 +1,18 @@
 ---
 description: Правила для проєктів AbInBev Efes
 alwaysApply: true
-version: '1.4'
+version: '1.7'
 ---
 
-Правило **abie** для споживачів **@nitra/cursor**: **k8s** (**Deployment** + **HealthCheckPolicy**), overlay **ua** / **ru** (**nodeSelector**, видалення **HealthCheckPolicy** у **ru**) і гілки в **clean-merged-branch**. **`npx @nitra/cursor check abie`** виконується лише якщо в **`.n-cursor.json`** у **`rules`** є **`abie`** — інакше вихід **0** без зауважень.
+Правило **abie** для споживачів **@nitra/cursor**: **k8s** (Deployment + **HealthCheckPolicy** у **`hc.yaml`**, overlay **ua** / **ru** — **nodeSelector**, **HTTPRoute** (будь-який непорожній **`target.name`**), видалення **HealthCheckPolicy** у **ru**), а також гілки **dev**, **ua**, **ru** у **clean-merged-branch**.
+
+**`npx @nitra/cursor check abie`** виконується лише якщо в **`.n-cursor.json`** у **`rules`** є **`abie`** — інакше вихід **0** без зауважень.
+
+**Канон перевірки** — **`npm/scripts/check-abie.mjs`**: верхній JSDoc і реалізація задають точні умови, допустимі домени для hostnames, тексти помилок. Нижче — зміст правила й орієнтовні фрагменти YAML; не дублюй тут покроковий алгоритм зі скрипта.
 
 ## k8s: `hc.yaml` поруч із Deployment
 
-Якщо під **`k8s`** є **`kind: Deployment`**, у **тій самій директорії** має бути **`hc.yaml`** з **HealthCheckPolicy** (**`networking.gke.io/v1`**): коректний modeline **`$schema`**, **`/healthz`**, порт **8080**, **`targetRef.name`** = **`metadata.name`**. Деталі — **`validateAbieHcYaml`** у **`npm/scripts/check-abie.mjs`**.
+Якщо під **`k8s`** є **Deployment**, у **тій самій директорії** має бути **`hc.yaml`** з **HealthCheckPolicy** (**`networking.gke.io/v1`**): коректний modeline **`$schema`**, **`/healthz`**, порт **8080**, **`targetRef.name`** = **`metadata.name`**.
 
 ```yaml title="hc.yaml"
 # yaml-language-server: $schema=https://datreeio.github.io/CRDs-catalog/networking.gke.io/healthcheckpolicy_v1.json
@@ -30,19 +34,19 @@ spec:
     name: СЕРВІС
 ```
 
-## k8s: overlay **HTTPRoute** `nginx-run` (**ua** / **ru**)
+## k8s: overlay **HTTPRoute** (**ua** / **ru**)
 
-Якщо під **`k8s`** є **Deployment**, у **кожному** **`ua/kustomization.yaml`** та **`ru/kustomization.yaml`** має бути inline **JSON6902** у **`patches[].patch`** на **`target.kind: HTTPRoute`**, **`name: nginx-run`**: **replace** **`/spec/hostnames`** (допустимі домени — як у прикладах нижче) і **replace** **`/spec/parentRefs/0/namespace`** (**`ua`** або **`ru`**). Для **ru** додатково потрібна анотація **`gwin.yandex.cloud/rules.http.upgradeTypes: websocket`** (зазвичай **op: add**, **`/metadata/annotations`**). Критерії — **`validateAbieNginxRunHttpRoutePatches`** / **`getCombinedNginxRunPatchTextFromKustomization`** у **`npm/scripts/check-abie.mjs`**.
+За наявності **Deployment** під **k8s** у **кожному** **`ua/kustomization.yaml`** та **`ru/kustomization.yaml`** потрібні **inline JSON6902** у **`patches`**: **target** **`kind: HTTPRoute`**, **непорожній `name`** (як у маніфесті маршруту). Мають бути зміни **`/spec/hostnames`** (домени abie — у скрипті) та **`/spec/parentRefs/0/namespace`** (**`ua`** / **`ru`**). Для **ru** — анотація **`gwin.yandex.cloud/rules.http.upgradeTypes: websocket`**. Як обирати **`op`** (**add** / **replace** тощо) у patch — **k8s.mdc** (розділ про JSON patch у kustomization).
 
 ```yaml title="…/ua/kustomization.yaml (фрагмент)"
   - target:
       kind: HTTPRoute
-      name: nginx-run
+      name: my-httproute
     patch: |-
       - op: replace
         path: /spec/hostnames
         value:
-          - "abie.app" # також допускається vybeerai.com.ua, *.vybeerai.com.ua, *.abie.app
+          - "abie.app" # зокрема vybeerai.com.ua, *.vybeerai.com.ua, *.abie.app
       - op: replace
         path: /spec/parentRefs/0/namespace
         value: ua
@@ -51,12 +55,12 @@ spec:
 ```yaml title="…/ru/kustomization.yaml (фрагмент)"
   - target:
       kind: HTTPRoute
-      name: nginx-run
+      name: my-httproute
     patch: |-
       - op: replace
         path: /spec/hostnames
         value:
-          - "napitkivmeste.tech" # також допускається выбирайонлайн.рф, *.napitkivmeste.tech, *.выбирайонлайн.рф
+          - "napitkivmeste.tech" # зокрема выбирайонлайн.рф, *.napitkivmeste.tech, *.выбирайонлайн.рф
       - op: replace
         path: /spec/parentRefs/0/namespace
         value: ru
@@ -65,7 +69,7 @@ spec:
 ```yaml title="…/ru/kustomization.yaml (фрагмент)"
   - target:
       kind: HTTPRoute
-      name: nginx-run
+      name: my-httproute
     patch: |-
       - op: add
         path: /metadata/annotations
@@ -73,9 +77,9 @@ spec:
           gwin.yandex.cloud/rules.http.upgradeTypes: "websocket"
 ```
 
-## k8s: overlay **`ru`** і HealthCheckPolicy
+## k8s: overlay **ru** і HealthCheckPolicy
 
-Якщо в дереві **k8s** є **HealthCheckPolicy**, **check abie** вимагає **`ru/kustomization.yaml`** з patch **`$patch: delete`** для політики (узгоджено з **k8s.mdc** / **check-k8s**, **`ruKustomizationHasHealthCheckDeletePatch`** у **`npm/scripts/check-k8s.mjs`**). Підстав реальне ім’я замість **`СЕРВІС`**:
+Якщо в дереві **k8s** є **HealthCheckPolicy**, у **`ru/kustomization.yaml`** має бути patch **`$patch: delete`** для політики (узгоджено з **k8s.mdc**; перевірка в **`check-k8s.mjs`**, **`ruKustomizationHasHealthCheckDeletePatch`**). Підстав реальне ім’я замість **`СЕРВІС`**:
 
 ```yaml title="…/ru/kustomization.yaml (фрагмент)"
 patches:
@@ -89,9 +93,9 @@ patches:
       $patch: delete
 ```
 
-## k8s: overlay **`ua`** / **`ru`** і nodeSelector
+## k8s: overlay **ua** / **ru** і nodeSelector
 
-Якщо під **`k8s`** є **Deployment**, у **кожному** **`…/ua/kustomization.yaml`** та **`…/ru/kustomization.yaml`** має бути inline **JSON6902** у **`patches[].patch`** на **`target.kind: Deployment`** з **nodeSelector** за політикою abie (**ua** — **add** + **preem** false; **ru** — **replace** + **yandex.cloud/preemptible** false). Критерії збігу — **`kustomizationHasAbieDeploymentNodeSelectorPatch`** у **`npm/scripts/check-abie.mjs`**.
+За наявності **Deployment** під **k8s** у **кожному** **`…/ua/kustomization.yaml`** та **`…/ru/kustomization.yaml`** — patch на **`kind: Deployment`**: **ua** — **`spec.template.spec.nodeSelector`** з **`preem: false`**; **ru** — **`spec.template.spec.nodeSelector`** з **`yandex.cloud/preemptible: false`**. Форму **JSON6902** (шлях **`/spec/template/spec/nodeSelector`**, **`op`**) див. **k8s.mdc**.
 
 ```yaml title="…/ua/kustomization.yaml (фрагмент)"
 patches:
@@ -119,7 +123,7 @@ patches:
 
 ### Базовий Deployment (`…/base/`)
 
-Якщо **Deployment** у YAML під **`k8s`** лежить у шляху з сегментом **`base`** (наприклад **`…/k8s/base/deploy.yaml`**), у **`spec.template.spec.nodeSelector`** має бути **`preem`** зі значенням **істинно** (**`true`** або рядок **`'true'`**) — overlay **ua** / **ru** підміняє селектор через kustomize. Деталі — **`deploymentDocumentHasAbieBasePreemNodeSelector`** / **`isAbieK8sBaseYamlPath`** у **`npm/scripts/check-abie.mjs`**.
+Якщо **Deployment** у YAML під **`k8s`** лежить у шляху з сегментом **`base`**, у **`spec.template.spec.nodeSelector`** має бути **`preem`** зі значенням **істинно** (**`true`** або рядок **`'true'`**); overlay **ua** / **ru** підміняє селектор.
 
 ```yaml title="…/base/deploy.yaml (фрагмент)"
 spec:
@@ -131,7 +135,7 @@ spec:
 
 ## Git branches
 
-У **`.github/workflows/clean-merged-branch.yml`** у кроці **`phpdocker-io/github-actions-delete-abandoned-branches`** значення **`with.ignore_branches`** має містити **dev**, **ua** та **ru** (разом з іншими гілками, якщо потрібно), наприклад:
+У **`.github/workflows/clean-merged-branch.yml`** у кроці **`phpdocker-io/github-actions-delete-abandoned-branches`** значення **`with.ignore_branches`** має містити **dev**, **ua** та **ru** (разом з іншими гілками, якщо потрібно):
 
 ```yaml title=".github/workflows/clean-merged-branch.yml (фрагмент)"
 with:

package/mdc/k8s.mdc

@@ -206,20 +206,10 @@ patches:
         value: dev
 ```
 
-4.  Якщо в kustomization.yaml є remove разом з add  на однаковий path:
-
-```yaml title="overlay/kustomization.yaml (фрагмент)"
-      - op: remove
-        path: /spec/template/spec/nodeSelector
-      - op: add
-        path: /spec/template/spec/nodeSelector
-        value:
-          preem: "false"
-```
-
-заміняй на replace:
+4. **JSON patch у kustomization:** де можливо, змінюй ресурс через **`op: replace`** (одна операція на `path`), а не пару **`remove` + `add`** на той самий шлях. **`add`** / **`remove`** лишай лише коли **`replace`** не підходить (наприклад додати новий ключ або прибрати поле без заміни).
 
 ```yaml title="overlay/kustomization.yaml (фрагмент)"
+patches:
   - target:
       kind: Deployment
       name: x
@@ -236,11 +226,7 @@ patches:
 
 **Не входить у check k8s:** наприклад **ReferenceGrant** і доступ між **namespace** (лише рекомендації тут), **kubeconform** / **kubescape** — це **`bun run lint-k8s`**.
 
-## Що саме в скрипті `check-k8s.mjs`
-
-Повний перелік умов, константи (**`YANNH_PIN`**, **`CLUSTER_SCOPED_KINDS`**, **`HASURA_GRAPHQL_ENGINE_IMAGE`** тощо) і допоміжні функції — у файлі скрипта; змінив вимогу для **check** — онови **JSDoc** і за потреби тести в **`npm/tests/check-k8s-schema.test.mjs`**.
 
-При зміні **PIN** версії Kubernetes узгодь **`check-k8s.mjs`**, **`run-k8s.mjs`** (**`KUBERNETES_VERSION`**, **`DATREE_CRD_SCHEMA_LOCATION`**) і цей файл (**lint-k8s**, **Визначення схеми YAML**).
 
 ## Коли застосовувати (агентам)
 

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.73",
+  "version": "1.8.75",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/check-abie.mjs

@@ -17,13 +17,13 @@
  * **nodeSelector (base):** якщо **Deployment** лежить у шляху з сегментом **`base`** (наприклад **`…/k8s/base/deploy.yaml`**),
  * у **`spec.template.spec.nodeSelector`** має бути **`preem`** з булевим значенням **true** або рядком **`'true'`** — overlay **ua** та **ru** далі підміняють селектор.
  *
- * **nodeSelector (overlay):** якщо є **Deployment** під **k8s**, у кожному **`ua/kustomization.yaml`** та **`ru/kustomization.yaml`**
- * має бути inline **JSON6902** patch на **`kind: Deployment`**: для **ua** — **`op: add`**, **`path: /spec/template/spec/nodeSelector`**,
- * **`preem: false`**; для **ru** — **`op: replace`**, той самий **path**, **`yandex.cloud/preemptible: false`** (див. abie.mdc).
+ * **nodeSelector (overlay):** якщо є **Deployment** під **k8s**, у **`ua`/`ru` kustomization** — inline patch на **`kind: Deployment`**
+ * з **`path: /spec/template/spec/nodeSelector`**: **ua** — **`preem: false`**; **ru** — **`yandex.cloud/preemptible: false`**.
+ * Узагальнені вимоги **k8s.mdc** до JSON6902 (зокрема заборона **remove** + **add** на той самий **path**) перевіряє **check-k8s.mjs**; **check-abie** — лише abie-специфічний вміст (без дублювання цього правила).
  *
- * **HTTPRoute nginx-run:** за тієї ж умови (**Deployment** під **k8s**) у **кожному** **`ua`/`ru` kustomization** має бути
- * inline **JSON6902** на **`kind: HTTPRoute`**, **`name: nginx-run`**: **replace** **`/spec/hostnames`** (домени з abie.mdc),
- * **replace** **`/spec/parentRefs/0/namespace`** (**ua** / **ru**); для **ru** також **`gwin.yandex.cloud/rules.http.upgradeTypes: websocket`**.
+ * **HTTPRoute (overlay):** тієї ж умови — patch на **`kind: HTTPRoute`**, **непорожній `target.name`**: **`/spec/hostnames`**
+ * (домени abie.mdc), **`/spec/parentRefs/0/namespace`** (**ua** / **ru**); для **ru** — **`gwin.yandex.cloud/rules.http.upgradeTypes: websocket`**.
+ * Вибір **`op`** — **k8s.mdc**.
  */
 import { existsSync } from 'node:fs'
 import { readFile } from 'node:fs/promises'
@@ -343,7 +343,8 @@ function stripBom(s) {
 }
 
 /**
- * Чи рядок inline JSON6902 patch містить очікуваний **ua** nodeSelector (**op: add**, **preem: false**).
+ * Чи рядок inline JSON6902 patch містить очікуваний **ua** nodeSelector (**preem: false** на **`/spec/template/spec/nodeSelector`**).
+ * Конкретний **`op`** не перевіряється — див. **k8s.mdc**.
  * @param {string} patchText поле **patch** у kustomization
  * @returns {boolean} true, якщо критерії abie.mdc виконано
  */
@@ -351,9 +352,6 @@ function jsonPatchTextHasUaDeploymentNodeSelector(patchText) {
   if (typeof patchText !== 'string' || patchText.trim() === '') {
     return false
   }
-  if (!/op:\s*add\b/u.test(patchText)) {
-    return false
-  }
   if (!/path:\s*\/spec\/template\/spec\/nodeSelector\b/u.test(patchText)) {
     return false
   }
@@ -364,7 +362,8 @@ function jsonPatchTextHasUaDeploymentNodeSelector(patchText) {
 }
 
 /**
- * Чи рядок inline JSON6902 patch містить очікуваний **ru** nodeSelector (**op: replace**, **yandex.cloud/preemptible: false**).
+ * Чи рядок inline JSON6902 patch містить очікуваний **ru** nodeSelector (**yandex.cloud/preemptible: false** на **`/spec/template/spec/nodeSelector`**).
+ * Конкретний **`op`** не перевіряється — див. **k8s.mdc**.
  * @param {string} patchText поле **patch** у kustomization
  * @returns {boolean} true, якщо критерії abie.mdc виконано
  */
@@ -372,9 +371,6 @@ function jsonPatchTextHasRuDeploymentNodeSelector(patchText) {
   if (typeof patchText !== 'string' || patchText.trim() === '') {
     return false
   }
-  if (!/op:\s*replace\b/u.test(patchText)) {
-    return false
-  }
   if (!/path:\s*\/spec\/template\/spec\/nodeSelector\b/u.test(patchText)) {
     return false
   }
@@ -484,11 +480,11 @@ const ABIE_RU_HTTPROUTE_HOST_MARKERS = [
 ]
 
 /**
- * Збирає тексти inline **patch** для **HTTPRoute/nginx-run** з одного розібраного документа **Kustomization**.
+ * Збирає тексти inline **patch** для **HTTPRoute** (будь-який непорожній **target.name**) з одного документа **Kustomization**.
  * @param {import('yaml').Document} doc документ після **parseAllDocuments**
  * @returns {string[]} непорожні рядки **patch**
  */
-function collectNginxRunPatchStringsFromKustomizationDoc(doc) {
+function collectAbieHttpRoutePatchStringsFromKustomizationDoc(doc) {
   if (doc.errors.length > 0) {
     return []
   }
@@ -512,7 +508,7 @@ function collectNginxRunPatchStringsFromKustomizationDoc(doc) {
       const target = pr.target
       if (target !== null && typeof target === 'object' && !Array.isArray(target)) {
         const tg = /** @type {Record<string, unknown>} */ (target)
-        if (tg.kind === 'HTTPRoute' && tg.name === 'nginx-run') {
+        if (tg.kind === 'HTTPRoute' && typeof tg.name === 'string' && tg.name.trim() !== '') {
           const patchStr = pr.patch
           if (typeof patchStr === 'string' && patchStr.trim() !== '') {
             out.push(patchStr)
@@ -525,7 +521,7 @@ function collectNginxRunPatchStringsFromKustomizationDoc(doc) {
 }
 
 /**
- * Збирає всі inline **JSON6902**-фрагменти для **HTTPRoute/nginx-run** у **kustomization.yaml** (усі документи у файлі).
+ * Збирає всі inline **JSON6902**-фрагменти для **HTTPRoute** (непорожній **target.name**) у **kustomization.yaml** (усі документи у файлі).
  * @param {string} raw повний текст файлу
  * @returns {string} текст для **`validateAbieNginxRunHttpRoutePatches`** (може бути порожнім)
  */
@@ -544,44 +540,43 @@ export function getCombinedNginxRunPatchTextFromKustomization(raw) {
   /** @type {string[]} */
   const chunks = []
   for (const doc of docs) {
-    chunks.push(...collectNginxRunPatchStringsFromKustomizationDoc(doc))
+    chunks.push(...collectAbieHttpRoutePatchStringsFromKustomizationDoc(doc))
   }
   return chunks.join('\n')
 }
 
 /**
- * Перевіряє сукупний текст patch(ів) **HTTPRoute/nginx-run** на відповідність abie.mdc.
+ * Перевіряє сукупний текст patch(ів) **HTTPRoute** (будь-яке **target.name**) на відповідність abie.mdc.
  * @param {string} combined текст одного або кількох inline **patch**, розділених символом нового рядка
  * @param {'ua' | 'ru'} mode **ua** або **ru**
  * @returns {string | null} повідомлення про помилку або **null**
  */
 export function validateAbieNginxRunHttpRoutePatches(combined, mode) {
   if (typeof combined !== 'string' || combined.trim() === '') {
-    return `очікується patch target kind HTTPRoute name nginx-run (replace hostnames, parentRefs namespace ${mode}; для ru — також gwin… upgradeTypes websocket) — abie.mdc`
+    return `очікується patch target kind HTTPRoute з непорожнім target.name (hostnames, parentRefs namespace ${mode}; для ru — також gwin… websocket) — abie.mdc`
   }
-  const hasHostnamesReplace = /-\s*op:\s*replace\b[\s\S]{0,200}?path:\s*\/spec\/hostnames\b/m.test(combined)
-  if (!hasHostnamesReplace) {
-    return 'HTTPRoute nginx-run: потрібен блок op replace з path /spec/hostnames (abie.mdc)'
+  if (!/path:\s*\/spec\/hostnames\b/m.test(combined)) {
+    return 'HTTPRoute: потрібен path /spec/hostnames у patch (abie.mdc)'
   }
   const markers = mode === 'ua' ? ABIE_UA_HTTPROUTE_HOST_MARKERS : ABIE_RU_HTTPROUTE_HOST_MARKERS
   if (!markers.some(m => combined.includes(m))) {
-    return `HTTPRoute nginx-run: у value для /spec/hostnames має бути один із доменів abie (${markers.join(', ')}) — abie.mdc`
+    return `HTTPRoute: у value для /spec/hostnames має бути один із доменів abie (${markers.join(', ')}) — abie.mdc`
   }
   const namespaceOk =
     mode === 'ua'
       ? /path:\s*\/spec\/parentRefs\/0\/namespace\b[\s\S]{0,200}?value:\s*['"]?ua['"]?(?:\s|$)/mu.test(combined)
       : /path:\s*\/spec\/parentRefs\/0\/namespace\b[\s\S]{0,200}?value:\s*['"]?ru['"]?(?:\s|$)/mu.test(combined)
   if (!namespaceOk) {
-    return `HTTPRoute nginx-run: потрібен replace path /spec/parentRefs/0/namespace з value ${mode} (abie.mdc)`
+    return `HTTPRoute: потрібен path /spec/parentRefs/0/namespace з value ${mode} (abie.mdc)`
   }
   if (mode === 'ru' && !/gwin\.yandex\.cloud\/rules\.http\.upgradeTypes:\s*['"]?websocket['"]?/m.test(combined)) {
-    return 'HTTPRoute nginx-run (ru): потрібна анотація gwin.yandex.cloud/rules.http.upgradeTypes: websocket (abie.mdc)'
+    return 'HTTPRoute (ru): потрібна анотація gwin.yandex.cloud/rules.http.upgradeTypes: websocket (abie.mdc)'
   }
   return null
 }
 
 /**
- * Чи **kustomization** містить валідні для abie записи **patch** для **HTTPRoute/nginx-run** (**ua** або **ru**).
+ * Чи **kustomization** містить валідні для abie **patch** для **HTTPRoute** з непорожнім **target.name** (**ua** або **ru**).
  * @param {string} raw повний текст **kustomization.yaml**
  * @param {'ua' | 'ru'} mode overlay
  * @returns {boolean} true, якщо **`validateAbieNginxRunHttpRoutePatches`** повертає **null**
@@ -782,7 +777,7 @@ async function ensureUaRuAbieNodeSelectorPatches(root, yamlFilesAbs, fail, passF
   const uaAbsList = yamlFilesAbs.filter(abs => isUaKustomizationPath(relative(root, abs).replaceAll('\\', '/') || abs))
   if (uaAbsList.length === 0) {
     fail(
-      'Є Deployment у k8s — додай ua/kustomization.yaml з inline patch на Deployment: op add, path /spec/template/spec/nodeSelector, preem false (abie.mdc)'
+      'Є Deployment у k8s — додай ua/kustomization.yaml з patch на Deployment: path /spec/template/spec/nodeSelector, preem false (abie.mdc)'
     )
     return
   }
@@ -798,7 +793,7 @@ async function ensureUaRuAbieNodeSelectorPatches(root, yamlFilesAbs, fail, passF
     }
     if (!kustomizationHasAbieDeploymentNodeSelectorPatch(raw, 'ua')) {
       fail(
-        `${rel}: потрібен patch target kind Deployment з op: add, path /spec/template/spec/nodeSelector та preem: false (abie.mdc)`
+        `${rel}: потрібен patch target kind Deployment: path /spec/template/spec/nodeSelector та preem: false (abie.mdc)`
       )
       return
     }
@@ -808,7 +803,7 @@ async function ensureUaRuAbieNodeSelectorPatches(root, yamlFilesAbs, fail, passF
   const ruAbsList = yamlFilesAbs.filter(abs => isRuKustomizationPath(relative(root, abs).replaceAll('\\', '/') || abs))
   if (ruAbsList.length === 0) {
     fail(
-      'Є Deployment у k8s — додай ru/kustomization.yaml з inline patch на Deployment: op replace, path /spec/template/spec/nodeSelector, yandex.cloud/preemptible false (abie.mdc)'
+      'Є Deployment у k8s — додай ru/kustomization.yaml з patch на Deployment: path /spec/template/spec/nodeSelector, yandex.cloud/preemptible false (abie.mdc)'
     )
     return
   }
@@ -824,7 +819,7 @@ async function ensureUaRuAbieNodeSelectorPatches(root, yamlFilesAbs, fail, passF
     }
     if (!kustomizationHasAbieDeploymentNodeSelectorPatch(raw, 'ru')) {
       fail(
-        `${rel}: потрібен patch target kind Deployment з op: replace, path /spec/template/spec/nodeSelector та yandex.cloud/preemptible: false (abie.mdc)`
+        `${rel}: потрібен patch target kind Deployment: path /spec/template/spec/nodeSelector та yandex.cloud/preemptible: false (abie.mdc)`
       )
       return
     }
@@ -833,7 +828,7 @@ async function ensureUaRuAbieNodeSelectorPatches(root, yamlFilesAbs, fail, passF
 }
 
 /**
- * Якщо є **Deployment** під **k8s**, вимагає в кожному overlay **ua** та **ru** patch **HTTPRoute/nginx-run** (abie.mdc).
+ * Якщо є **Deployment** під **k8s**, вимагає в кожному overlay **ua** та **ru** patch **HTTPRoute** (непорожній **target.name**) за abie.mdc.
  * @param {string} root корінь репозиторію
  * @param {string[]} yamlFilesAbs yaml під k8s
  * @param {(msg: string) => void} fail callback
@@ -844,7 +839,7 @@ async function ensureUaRuAbieHttpRoutePatches(root, yamlFilesAbs, fail, passFn)
   const uaAbsList = yamlFilesAbs.filter(abs => isUaKustomizationPath(relative(root, abs).replaceAll('\\', '/') || abs))
   if (uaAbsList.length === 0) {
     fail(
-      'Є Deployment у k8s — додай ua/kustomization.yaml з patch HTTPRoute nginx-run (hostnames, parentRefs namespace ua) — abie.mdc'
+      'Є Deployment у k8s — додай ua/kustomization.yaml з patch HTTPRoute (будь-який target.name: hostnames, parentRefs namespace ua) — abie.mdc'
     )
     return
   }
@@ -864,13 +859,13 @@ async function ensureUaRuAbieHttpRoutePatches(root, yamlFilesAbs, fail, passFn)
       fail(`${rel}: ${v}`)
       return
     }
-    passFn(`${rel}: HTTPRoute nginx-run (ua) відповідає abie.mdc`)
+    passFn(`${rel}: HTTPRoute patch (ua) відповідає abie.mdc`)
   }
 
   const ruAbsList = yamlFilesAbs.filter(abs => isRuKustomizationPath(relative(root, abs).replaceAll('\\', '/') || abs))
   if (ruAbsList.length === 0) {
     fail(
-      'Є Deployment у k8s — додай ru/kustomization.yaml з patch HTTPRoute nginx-run (hostnames, namespace ru, gwin websocket) — abie.mdc'
+      'Є Deployment у k8s — додай ru/kustomization.yaml з patch HTTPRoute (будь-який target.name: hostnames, namespace ru, gwin websocket) — abie.mdc'
     )
     return
   }
@@ -890,7 +885,7 @@ async function ensureUaRuAbieHttpRoutePatches(root, yamlFilesAbs, fail, passFn)
       fail(`${rel}: ${v}`)
       return
     }
-    passFn(`${rel}: HTTPRoute nginx-run (ru) відповідає abie.mdc`)
+    passFn(`${rel}: HTTPRoute patch (ru) відповідає abie.mdc`)
   }
 }
 
@@ -983,7 +978,7 @@ export async function check() {
   if (deploymentDirs.size > 0) {
     pass('Є Deployment — перевіряємо nodeSelector у ua/ru kustomization (abie.mdc)')
     await ensureUaRuAbieNodeSelectorPatches(root, yamlFiles, fail, pass)
-    pass('Є Deployment — перевіряємо HTTPRoute nginx-run у ua/ru kustomization (abie.mdc)')
+    pass('Є Deployment — перевіряємо HTTPRoute у ua/ru kustomization (abie.mdc)')
     await ensureUaRuAbieHttpRoutePatches(root, yamlFiles, fail, pass)
   }
 

package/scripts/check-k8s.mjs

@@ -40,6 +40,9 @@
  * Структура **Kustomize** (див. k8s.mdc): заборона шляхів **`…/k8s/dev/…`**; у **`k8s/base/kustomization.yaml`**
  * завжди має бути непорожнє поле **`namespace:`** (перевірка, якщо файл існує).
  *
+ * **Inline JSON6902** у **`patches`** (і зовнішні файли з **`patches[].path`** під **`k8s`**, якщо вміст — масив JSON Patch): не допускається пара **`remove`** і **`add`**
+ * на один і той самий **`path`** у межах одного фрагмента — потрібен **`op: replace`** (k8s.mdc). **check-k8s** це перевіряє.
+ *
  * Явні винятки до загальної логіки yannh/datree — таблиця **`EXPLICIT_K8S_SCHEMAS`** (`Map`): ключ
  * **`apiVersion`, `kind`, `type`** (для CRD без поля `type` у маніфесті — зірочка **`*`** як третій
  * компонент). Спочатку шукається збіг за фактичним `type`, потім за **`*`**.
@@ -679,6 +682,224 @@ export function ruKustomizationHasHealthCheckDeletePatch(raw) {
   return true
 }
 
+/**
+ * Чи абсолютний шлях лежить усередині кореня репозиторію (без виходу через `..`).
+ * @param {string} rootAbs абсолютний корінь
+ * @param {string} fileAbs абсолютний шлях до файлу
+ * @returns {boolean} true, якщо `fileAbs` усередині `rootAbs`
+ */
+function resolvedFilePathIsUnderRoot(rootAbs, fileAbs) {
+  const r = resolve(rootAbs)
+  const f = resolve(fileAbs)
+  const rel = relative(r, f).replaceAll('\\', '/')
+  if (rel === '') {
+    return true
+  }
+  return !rel.startsWith('../') && rel !== '..'
+}
+
+/**
+ * Нормалізує **`path`** з операції JSON Patch (RFC 6902).
+ * @param {string} p значення поля **path**
+ * @returns {string} обрізаний рядок
+ */
+function normalizeJsonPatchPath(p) {
+  return typeof p === 'string' ? p.trim() : ''
+}
+
+/**
+ * Витягує пари **op** / **path** з масиву операцій JSON6902.
+ * @param {unknown[]} arr корінь-масив з YAML/JSON
+ * @returns {Array<{ op: string, path: string }>} **op** у нижньому регістрі
+ */
+function extractJson6902OpsFromArray(arr) {
+  /** @type {Array<{ op: string, path: string }>} */
+  const out = []
+  for (const item of arr) {
+    if (item !== null && typeof item === 'object' && !Array.isArray(item)) {
+      const rec = /** @type {Record<string, unknown>} */ (item)
+      const op = rec.op
+      const path = rec.path
+      if (typeof op === 'string' && typeof path === 'string') {
+        const p = normalizeJsonPatchPath(path)
+        if (p !== '') {
+          out.push({ op: op.trim().toLowerCase(), path: p })
+        }
+      }
+    }
+  }
+  return out
+}
+
+/**
+ * Витягує операції JSON6902 з тексту inline **patch** або окремого файлу patch (YAML-масив або JSON-масив).
+ * Інший вміст (strategic merge, `$patch: delete` тощо) дає порожній масив.
+ * @param {string} patchText вміст поля **patch** або файлу
+ * @returns {Array<{ op: string, path: string }>}
+ */
+export function collectJson6902OperationsFromPatchText(patchText) {
+  const t = typeof patchText === 'string' ? patchText.trim() : ''
+  if (t === '') {
+    return []
+  }
+  try {
+    const docs = parseAllDocuments(t)
+    for (const d of docs) {
+      if (d.errors.length > 0) {
+        continue
+      }
+      const j = d.toJSON()
+      if (Array.isArray(j)) {
+        return extractJson6902OpsFromArray(j)
+      }
+    }
+  } catch {
+    /* пробуємо JSON */
+  }
+  if (t.startsWith('[')) {
+    try {
+      const j = JSON.parse(t)
+      if (Array.isArray(j)) {
+        return extractJson6902OpsFromArray(j)
+      }
+    } catch {
+      /* ignore */
+    }
+  }
+  return []
+}
+
+/**
+ * Шляхи JSON Patch, де в одному наборі операцій є і **remove**, і **add** (k8s.mdc: краще **replace**).
+ * @param {Array<{ op: string, path: string }>} ops нормалізовані **op**
+ * @returns {string[]} унікальні **path** з порушенням (відсортовано)
+ */
+export function json6902PathsWithRemoveAndAddOnSamePath(ops) {
+  /** @type {Map<string, Set<string>>} */
+  const byPath = new Map()
+  for (const { op, path } of ops) {
+    if (!path) {
+      continue
+    }
+    if (!byPath.has(path)) {
+      byPath.set(path, new Set())
+    }
+    byPath.get(path).add(op)
+  }
+  /** @type {string[]} */
+  const out = []
+  for (const [path, set] of byPath) {
+    if (set.has('remove') && set.has('add')) {
+      out.push(path)
+    }
+  }
+  return out.toSorted((a, b) => a.localeCompare(b))
+}
+
+/**
+ * Перевіряє всі **`kustomization.yaml`** під **`k8s`**: у inline **`patch`** і у зовнішніх patch-файлах не має бути **remove** і **add** на той самий **path**.
+ * @param {string} root корінь репозиторію
+ * @param {string[]} yamlFilesAbs абсолютні шляхи до yaml під k8s
+ * @param {(msg: string) => void} fail реєстрація порушення
+ * @returns {Promise<void>}
+ */
+async function validateKustomizationJson6902NoRemoveAddSamePath(root, yamlFilesAbs, fail) {
+  const rootNorm = resolve(root)
+  for (const kustAbs of yamlFilesAbs) {
+    if (basename(kustAbs).toLowerCase() !== 'kustomization.yaml') {
+      continue
+    }
+    const rel = (relative(root, kustAbs) || kustAbs).replaceAll('\\', '/')
+    let raw
+    try {
+      raw = await readFile(kustAbs, 'utf8')
+    } catch (error) {
+      const msg = error instanceof Error ? error.message : String(error)
+      fail(`${rel}: не вдалося прочитати для перевірки JSON6902 (${msg})`)
+      continue
+    }
+    const lines = toLines(raw)
+    const body = lines.length > 0 && MODELINE_RE.test(lines[0]) ? yamlBodyAfterModeline(lines) : lines.join('\n')
+    /** @type {import('yaml').Document[]} */
+    let docs
+    try {
+      docs = parseAllDocuments(body)
+    } catch {
+      continue
+    }
+    for (const doc of docs) {
+      if (doc.errors.length > 0) {
+        continue
+      }
+      const rootObj = doc.toJSON()
+      if (rootObj === null || typeof rootObj !== 'object' || Array.isArray(rootObj)) {
+        continue
+      }
+      const rec = /** @type {Record<string, unknown>} */ (rootObj)
+      if (rec.kind !== 'Kustomization') {
+        continue
+      }
+      const patches = rec.patches
+      if (!Array.isArray(patches)) {
+        continue
+      }
+      let patchIdx = 0
+      for (const p of patches) {
+        patchIdx++
+        if (p === null || typeof p !== 'object' || Array.isArray(p)) {
+          continue
+        }
+        const pr = /** @type {Record<string, unknown>} */ (p)
+        if (typeof pr.patch === 'string' && pr.patch.trim() !== '') {
+          const ops = collectJson6902OperationsFromPatchText(pr.patch)
+          const bad = json6902PathsWithRemoveAndAddOnSamePath(ops)
+          if (bad.length > 0) {
+            fail(
+              `${rel}: patches[${patchIdx}] inline JSON6902: один path має і remove, і add — оформи як op: replace (k8s.mdc): ${bad.join(', ')}`
+            )
+          }
+        }
+        if (typeof pr.path === 'string' && pr.path.trim() !== '') {
+          const patchRef = pr.path.trim()
+          const resolved = resolve(dirname(kustAbs), patchRef)
+          if (!resolvedFilePathIsUnderRoot(rootNorm, resolved)) {
+            continue
+          }
+          if (!existsSync(resolved)) {
+            continue
+          }
+          let st
+          try {
+            st = await stat(resolved)
+          } catch {
+            continue
+          }
+          if (!st.isFile()) {
+            continue
+          }
+          let pRaw
+          try {
+            pRaw = await readFile(resolved, 'utf8')
+          } catch {
+            continue
+          }
+          const ops = collectJson6902OperationsFromPatchText(pRaw)
+          if (ops.length === 0) {
+            continue
+          }
+          const bad = json6902PathsWithRemoveAndAddOnSamePath(ops)
+          if (bad.length > 0) {
+            const relPatch = (relative(root, resolved) || patchRef).replaceAll('\\', '/')
+            fail(
+              `${rel}: patch-файл «${relPatch}»: один path має і remove, і add — оформи як op: replace (k8s.mdc): ${bad.join(', ')}`
+            )
+          }
+        }
+      }
+    }
+  }
+}
+
 /**
  * Шукає **Ingress** у розібраних документах; реєструє порушення.
  * @param {string} rel відносний шлях до файлу
@@ -1510,6 +1731,8 @@ export async function check() {
 
   await validateKustomizationIncludesSvcHlWithSvc(root, yamlFiles, fail)
 
+  await validateKustomizationJson6902NoRemoveAddSamePath(root, yamlFiles, fail)
+
   await ensureBaseKustomizationHasNamespace(root, yamlFiles, fail)
 
   return reporter.getExitCode()

package/scripts/utils/check-reporter.mjs

@@ -10,7 +10,7 @@ import { pass } from './pass.mjs'
 
 /**
  * Створює пару `pass` / `fail` з накопиченням ненульового коду виходу.
- * @returns {{ pass: typeof pass, fail: (msg: string) => void, getExitCode: () => number }}
+ * @returns {{ pass: typeof pass, fail: (msg: string) => void, getExitCode: () => number }} об’єкт з `pass`, `fail` і `getExitCode()` (0 або 1 після будь-якого `fail`)
  */
 export function createCheckReporter() {
   let exitCode = 0