@nitra/cursor 1.8.85 → 1.8.88

package/mdc/abie.mdc

@@ -1,10 +1,10 @@
 ---
 description: Правила для проєктів AbInBev Efes
 alwaysApply: true
-version: '1.9'
+version: '1.11'
 ---
 
-Правило **abie** для споживачів **@nitra/cursor**: **k8s** (Deployment + **HealthCheckPolicy** у **`hc.yaml`**, overlay **ua** / **ru** — **nodeSelector**, **HTTPRoute** (будь-який непорожній **`target.name`**), видалення **HealthCheckPolicy** у **ru**), гілки **dev**, **ua**, **ru** у **clean-merged-branch**, а також заборона артефактів **Firebase Hosting** у корені репозиторію.
+Правило **abie** для споживачів **@nitra/cursor**: **k8s** (Deployment + **HealthCheckPolicy** у **`hc.yaml`**, overlay **ua** / **ru** — **nodeSelector**, **HTTPRoute** (будь-який непорожній **`target.name`**, для спільних сервісів **`auth-run-hl`** / **`filelint-hl`** — **`namespace: dev`** у base та patch **`…/backendRefs/…/namespace`** у **ua** / **ru**), видалення **HealthCheckPolicy** у **ru**), гілки **dev**, **ua**, **ru** у **clean-merged-branch**, а також заборона артефактів **Firebase Hosting** у корені репозиторію.
 
 **`npx @nitra/cursor check abie`** виконується лише якщо в **`.n-cursor.json`** у **`rules`** є **`abie`** — інакше вихід **0** без зауважень.
 
@@ -12,7 +12,7 @@ version: '1.9'
 
 ## k8s: `hc.yaml` поруч із Deployment
 
-Якщо під **`k8s`** є **Deployment**, у **тій самій директорії** має бути **`hc.yaml`** з **HealthCheckPolicy** (**`networking.gke.io/v1`**): коректний modeline **`$schema`**, **`/healthz`**, порт **8080**, **`targetRef.name`** = **`metadata.name`**.
+Якщо під **`k8s`** є **Deployment**, у **тій самій директорії** має бути **`hc.yaml`** з **HealthCheckPolicy** (**`networking.gke.io/v1`**): коректний modeline **`$schema`**, **`/healthz`**, порт **8080**, **`targetRef.name`** — **headless** **Service** з суфіксом **`-hl`** (узгоджено з парою **`svc.yaml`** / **`svc-hl.yaml`** у **k8s.mdc**): або **`${metadata.name}-hl`**, або те саме ім’я, якщо **`metadata.name`** уже з **`-hl`**.
 
 ```yaml title="hc.yaml"
 # yaml-language-server: $schema=https://datreeio.github.io/CRDs-catalog/networking.gke.io/healthcheckpolicy_v1.json
@@ -31,13 +31,35 @@ spec:
   targetRef:
     group: ''
     kind: Service
-    name: СЕРВІС
+    name: СЕРВІС-hl
 ```
 
 ## k8s: overlay **HTTPRoute** (**ua** / **ru**)
 
 За наявності **Deployment** під **k8s** і наявності **Vite** (**`vite.config.js`**, **`vite.config.mjs`** або **`vite.config.ts`** у каталозі пакета) у **`ua/kustomization.yaml`** та **`ru/kustomization.yaml`** цього пакета потрібні **inline JSON6902** у **`patches`**: **target** **`kind: HTTPRoute`**, **непорожній `name`** (як у маніфесті маршруту). Мають бути зміни **`/spec/hostnames`** (домени abie — у скрипті) та **`/spec/parentRefs/0/namespace`** (**`ua`** / **`ru`**). Для **ru** — анотація **`gwin.yandex.cloud/rules.http.upgradeTypes: websocket`** лише якщо в **тому ж** **`ru/kustomization.yaml`** є згадка **`HASURA_GRAPHQL_JWT_SECRET`** (типово patch на **ConfigMap** Hasura). Як обирати **`op`** (**add** / **replace** тощо) у patch — **k8s.mdc** (розділ про JSON patch у kustomization).
 
+### HTTPRoute: спільні сервіси **`auth-run-hl`**, **`filelint-hl`**
+
+Ці **Service** (headless **`-hl`**) живуть у **базовому** неймспейсі **`dev`**. У маніфесті **HTTPRoute** під **`k8s`** (шар без **`ua/`** та **`ru/`** — наприклад **`…/k8s/base/hr.yaml`**) для кожного **`backendRefs`** до такого сервісу явно вкажи **`namespace: dev`** і порт **8080**:
+
+```yaml title="…/k8s/base/hr.yaml (фрагмент)"
+spec:
+  rules:
+    - matches:
+        - path:
+            type: PathPrefix
+            value: /
+      backendRefs:
+        - name: auth-run-hl
+          namespace: dev
+          port: 8080
+        - name: filelint-hl
+          namespace: dev
+          port: 8080
+```
+
+У **`ua/kustomization.yaml`** та **`ru/kustomization.yaml`** додай до того самого **inline** patch на **`HTTPRoute`** (той самий **`target.name`**) операції **JSON6902** з **`path`**: **`/spec/rules/<i>/backendRefs/<j>/namespace`**, де **`<i>`** / **`<j>`** — індекси відповідно до порядку **`spec.rules`** та **`backendRefs`** у base-файлі; **`value`**: **`ua`** або **`ru`**. Якщо кілька таких **`backendRefs`**, потрібна окрема операція для кожного.
+
 ```yaml title="…/ua/kustomization.yaml (фрагмент)"
   - target:
       kind: HTTPRoute
@@ -50,6 +72,12 @@ spec:
       - op: replace
         path: /spec/parentRefs/0/namespace
         value: ua
+      - op: replace
+        path: /spec/rules/0/backendRefs/0/namespace
+        value: ua
+      - op: replace
+        path: /spec/rules/0/backendRefs/1/namespace
+        value: ua
 ```
 
 ```yaml title="…/ru/kustomization.yaml (фрагмент)"
@@ -64,6 +92,12 @@ spec:
       - op: replace
         path: /spec/parentRefs/0/namespace
         value: ru
+      - op: replace
+        path: /spec/rules/0/backendRefs/0/namespace
+        value: ru
+      - op: replace
+        path: /spec/rules/0/backendRefs/1/namespace
+        value: ru
 ```
 
 Якщо в цьому ж файлі є **`HASURA_GRAPHQL_JWT_SECRET`** (Hasura з JWT), додай окремий patch на **HTTPRoute** з анотацією для WebSocket:

package/mdc/k8s.mdc

@@ -1,6 +1,6 @@
 ---
 description: K8s YAML — $schema (yaml-language-server); lint-k8s (kubeconform, kubescape); check-k8s
-version: '1.24'
+version: '1.25'
 globs: "**/k8s/**/*.yaml"
 alwaysApply: false
 ---
@@ -253,44 +253,13 @@ spec:
 
    Для `$schema` у першому рядку див. приклад **HealthCheckPolicy** у тому ж розділі (datree CRDs-catalog).
 
+   **`spec.targetRef`** (типово **`kind: Service`**) має вказувати на **headless** сервіс — ім’я з суфіксом **`-hl`** (див. **«Service: `svc.yaml` і `svc-hl.yaml`»**); для проєктів **abie** точні умови — **`check-abie.mjs`** / **abie.mdc**.
+
    За потреби розшир **`target`** (`name`, `namespace`), щоб однозначно вказати об’єкт.
 
 **`check k8s`:** заборонено **`kind: Ingress`**.
 
-3. Якщо **HTTPRoute** посилається на **Service** в іншому **namespace**, потрібен **ReferenceGrant** (дозвіл). Наприклад **HTTPRoute** в **`contract`** і **Service** в **`dev`** — додай маніфест на кшталт **`base/rg.yaml`** (фрагмент нижче).
-
-```yaml title="base/rg.yaml"
-# yaml-language-server: $schema=https://datreeio.github.io/CRDs-catalog/gateway.networking.k8s.io/referencegrant_v1beta1.json
-apiVersion: gateway.networking.k8s.io/v1beta1
-kind: ReferenceGrant
-metadata:
-  name: contract-to-dev
-  namespace: dev
-spec:
-  from:
-    - group: gateway.networking.k8s.io
-      kind: HTTPRoute
-      namespace: contract
-  to:
-    - group: ''
-      kind: Service
-      # Якщо name не вказано, доступ дозволено до всіх Service в цьому namespace
-```
-
-**ReferenceGrant** має бути в **namespace** тих **Service**, до яких відкривається доступ (у прикладі — **`dev`**). Якщо **`namespace:`** у **overlay** не збігається з **namespace** гранта, **не** додавай **`base/rg.yaml`** у **`resources:`** того overlay — Kustomize може перезаписати **`metadata.namespace`** гранта. Натомість застосуй **`patches`** (JSON patch), щоб явно виставити потрібний **namespace**:
-
-```yaml title="overlay/kustomization.yaml (фрагмент)"
-patches:
-  - target:
-      kind: ReferenceGrant
-      name: contract-to-dev
-    patch: |-
-      - op: replace
-        path: /metadata/namespace
-        value: dev
-```
-
-4. **JSON patch у kustomization:** де можливо, змінюй ресурс через **`op: replace`** (одна операція на `path`), а не пару **`remove` + `add`** на той самий шлях. **`add`** / **`remove`** лишай лише коли **`replace`** не підходить (наприклад додати новий ключ або прибрати поле без заміни).
+3. **JSON patch у kustomization:** де можливо, змінюй ресурс через **`op: replace`** (одна операція на `path`), а не пару **`remove` + `add`** на той самий шлях. **`add`** / **`remove`** лишай лише коли **`replace`** не підходить (наприклад додати новий ключ або прибрати поле без заміни).
 
 ```yaml title="overlay/kustomization.yaml (фрагмент)"
 patches:
@@ -308,7 +277,7 @@ patches:
 
 **`npx @nitra/cursor check k8s`** — програмні критерії в **JSDoc на початку** **`npm/scripts/check-k8s.mjs`**. Якщо під **`k8s`** немає **`*.yaml`** — крок пропущено. Канон **`$schema`** для редактора — розділ **«Визначення схеми YAML`** нижче.
 
-**Не входить у check k8s:** наприклад **ReferenceGrant** і доступ між **namespace** (лише рекомендації тут), повна структура **`HTTPRoute`** для **Hasura** (канон — у розділі про **`hasura/graphql-engine`**), **kubeconform** / **kubescape** — це **`bun run lint-k8s`**.
+**Не входить у check k8s:** наприклад повна структура **`HTTPRoute`** для **Hasura** (канон — у розділі про **`hasura/graphql-engine`**), **kubeconform** / **kubescape** — це **`bun run lint-k8s`**.
 
 ## Коли застосовувати (агентам)
 

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "@nitra/cursor",
-  "version": "1.8.85",
+  "version": "1.8.88",
   "description": "CLI для завантаження cursor-правил (префікс n-) у локальний репозиторій",
   "keywords": [
     "cli",

package/scripts/check-abie.mjs

@@ -12,7 +12,8 @@
  *
  * **k8s:** якщо під деревом із сегментом **`k8s`** є YAML з **`kind: Deployment`**, у тій самій директорії
  * має існувати **`hc.yaml`** із **`HealthCheckPolicy`** (**`networking.gke.io/v1`**), modeline **`$schema`**
- * як у abie.mdc, **`/healthz`**, порт **8080**, **`targetRef`** на **Service** з тим самим **`metadata.name`**.
+ * як у abie.mdc, **`/healthz`**, порт **8080**, **`targetRef`** на **headless Service** (ім’я з суфіксом **`-hl`**):
+ * якщо **`metadata.name`** уже закінчується на **`-hl`**, **`targetRef.name`** має збігатися з ним; інакше **`targetRef.name`** = **`${metadata.name}-hl`**.
  * Загальні вимоги до **`# yaml-language-server: $schema`** для інших YAML під **`k8s`** — у **check-k8s.mjs** / **k8s.mdc** (наприклад **HttpBackendGroup** `alb.yc.io/v1alpha1` — **без** modeline).
  * Якщо в дереві **k8s** є **HealthCheckPolicy**, перевіряється **`ru/kustomization.yaml`** з patch **`$patch: delete`**
  * (логіка вмісту — **`ruKustomizationHasHealthCheckDeletePatch`** у **check-k8s.mjs**, узгоджено з **k8s.mdc**).
@@ -28,6 +29,8 @@
  * — тоді в **`ua`/`ru` kustomization** потрібен patch на **`kind: HTTPRoute`**, **непорожній `target.name`**: **`/spec/hostnames`**
  * (домени abie.mdc), **`/spec/parentRefs/0/namespace`** (**ua** / **ru**); для **ru** — **`gwin.yandex.cloud/rules.http.upgradeTypes: websocket`**,
  * якщо в тому ж **`kustomization.yaml`** згадується **`HASURA_GRAPHQL_JWT_SECRET`** (Hasura + JWT).
+ * **Спільні бекенди (`auth-run-hl`, `filelint-hl`):** у **HTTPRoute** під **`k8s`** поза overlay **ua** та **ru** (шлях не містить **`k8s/ua/`** чи **`k8s/ru/`**) кожен такий **`backendRefs`** має **`namespace: dev`** і порт **8080**;
+ * у patch overlay **ua** та **ru** — по одному **JSON6902** на **`/spec/rules/…/backendRefs/…/namespace`** з **`value`**: **ua** або **ru** (кількість patch-ів = кількість таких **`backendRefs`** у пакеті).
  * Вибір **`op`** — **k8s.mdc**.
  */
 import { existsSync } from 'node:fs'
@@ -46,6 +49,14 @@ const CONFIG_FILE = '.n-cursor.json'
 /** Маркер у kustomization.yaml: якщо зустрічається у файлі — для overlay ru у patch HTTPRoute потрібна анотація gwin…websocket. */
 const HASURA_JWT_SECRET_IN_KUSTOMIZATION = 'HASURA_GRAPHQL_JWT_SECRET'
 
+/**
+ * Спільні **Service** (**`-hl`**) у **dev**: у base-**HTTPRoute** обов’язково **`namespace: dev`**, у overlay — patch **`…/backendRefs/…/namespace`** (abie.mdc).
+ * Експорт для споживачів / тестів.
+ */
+export const ABIE_SHARED_CROSS_NS_BACKEND_NAMES = Object.freeze(['auth-run-hl', 'filelint-hl'])
+
+const ABIE_SHARED_CROSS_NS_BACKEND_SET = new Set(ABIE_SHARED_CROSS_NS_BACKEND_NAMES)
+
 /** Очікуваний URL **`$schema`** для **hc.yaml** (abie.mdc). */
 export const ABIE_HC_SCHEMA_URL = 'https://datreeio.github.io/CRDs-catalog/networking.gke.io/healthcheckpolicy_v1.json'
 
@@ -528,6 +539,136 @@ export function kustomizationHasAbieDeploymentNodeSelectorPatch(raw, mode) {
   return false
 }
 
+/**
+ * Чи YAML відносно кореня належить до **`${pkgRel}/k8s/**`** поза піддеревами **`ua/`** та **`ru/`** (base-шар abie).
+ * @param {string} relFromRoot відносний шлях від кореня
+ * @param {string} pkgRelFromRoot каталог пакета відносно кореня (без завершального слеша після імені пакета)
+ * @returns {boolean}
+ */
+export function isK8sYamlInAbiePackageExcludingUaRuOverlays(relFromRoot, pkgRelFromRoot) {
+  const normRel = relFromRoot.replaceAll('\\', '/')
+  const pkg = pkgRelFromRoot.replaceAll('\\', '/').replace(/\/$/u, '')
+  const prefix = `${pkg}/k8s/`
+  if (!normRel.startsWith(prefix)) {
+    return false
+  }
+  const after = normRel.slice(prefix.length)
+  return !after.startsWith('ua/') && !after.startsWith('ru/')
+}
+
+/**
+ * З HTTPRoute-документа рахує **`backendRefs`** до **`auth-run-hl`** / **`filelint-hl`** і порушення **`namespace: dev`**.
+ * @param {unknown} obj корінь YAML
+ * @param {string} rel відносний шлях (повідомлення)
+ * @returns {{ refCount: number, errors: string[] }}
+ */
+function httpRouteDocSharedCrossNsBackendStats(obj, rel) {
+  /** @type {string[]} */
+  const errors = []
+  if (obj === null || typeof obj !== 'object' || Array.isArray(obj)) {
+    return { refCount: 0, errors }
+  }
+  const rec = /** @type {Record<string, unknown>} */ (obj)
+  if (rec.kind !== 'HTTPRoute') {
+    return { refCount: 0, errors }
+  }
+  const spec = rec.spec
+  if (spec === null || typeof spec !== 'object' || Array.isArray(spec)) {
+    return { refCount: 0, errors }
+  }
+  const rules = /** @type {Record<string, unknown>} */ (spec).rules
+  if (!Array.isArray(rules)) {
+    return { refCount: 0, errors }
+  }
+  let refCount = 0
+  for (const rule of rules) {
+    if (rule === null || typeof rule !== 'object' || Array.isArray(rule)) {
+      continue
+    }
+    const brs = /** @type {Record<string, unknown>} */ (rule).backendRefs
+    if (!Array.isArray(brs)) {
+      continue
+    }
+    for (const br of brs) {
+      if (br === null || typeof br !== 'object' || Array.isArray(br)) {
+        continue
+      }
+      const brRec = /** @type {Record<string, unknown>} */ (br)
+      const name = brRec.name
+      if (typeof name !== 'string' || !ABIE_SHARED_CROSS_NS_BACKEND_SET.has(name)) {
+        continue
+      }
+      refCount++
+      const ns = brRec.namespace
+      if (typeof ns !== 'string' || ns !== 'dev') {
+        errors.push(`${rel}: HTTPRoute backendRefs до ${name} має містити namespace: dev (abie.mdc)`)
+      }
+    }
+  }
+  return { refCount, errors }
+}
+
+/**
+ * З YAML під **k8s** пакета (без overlay **ua** та **ru**) збирає кількість **`backendRefs`** до **`auth-run-hl`** і **`filelint-hl`** і порушення **`namespace: dev`**.
+ * @param {string} root корінь репозиторію
+ * @param {string} pkgAbs абсолютний шлях до каталогу пакета
+ * @param {string[]} yamlFilesAbs усі **yaml** під **k8s** (як **findK8sYamlFiles**)
+ * @returns {Promise<{ refCount: number, baseErrors: string[] }>}
+ */
+export async function analyzeAbieSharedBackendRefsInPackageK8s(root, pkgAbs, yamlFilesAbs) {
+  const pkgRel = relative(root, pkgAbs).replaceAll('\\', '/') || pkgAbs
+  let refCount = 0
+  /** @type {string[]} */
+  const baseErrors = []
+  for (const abs of yamlFilesAbs) {
+    const rel = relative(root, abs).replaceAll('\\', '/') || abs
+    if (!isK8sYamlInAbiePackageExcludingUaRuOverlays(rel, pkgRel)) {
+      continue
+    }
+    let raw
+    try {
+      raw = await readFile(abs, 'utf8')
+    } catch {
+      continue
+    }
+    const body = stripBom(raw)
+    const lines = body.split(/\r?\n/u)
+    const first = lines[0] ?? ''
+    const rest = MODELINE_RE.test(first.trim()) ? lines.slice(1).join('\n') : body
+    /** @type {import('yaml').Document[]} */
+    let docs
+    try {
+      docs = parseAllDocuments(rest)
+    } catch {
+      continue
+    }
+    for (const doc of docs) {
+      if (doc.errors.length > 0) {
+        continue
+      }
+      const obj = doc.toJSON()
+      const st = httpRouteDocSharedCrossNsBackendStats(obj, rel)
+      refCount += st.refCount
+      baseErrors.push(...st.errors)
+    }
+  }
+  return { refCount, baseErrors }
+}
+
+/**
+ * Рахує операції JSON6902 з **`path`**: **`/spec/rules/…/backendRefs/…/namespace`** та **`value`** overlay.
+ * @param {string} combined сукупний текст patch **HTTPRoute**
+ * @param {'ua' | 'ru'} mode overlay
+ * @returns {number}
+ */
+function countAbieHttpRouteBackendRefNamespacePatchesInCombined(combined, mode) {
+  const re =
+    mode === 'ua'
+      ? /path:\s*\/spec\/rules\/\d+\/backendRefs\/\d+\/namespace\b[\s\S]{0,200}?value:\s*['"]?ua['"]?(?:\s|$)/gmu
+      : /path:\s*\/spec\/rules\/\d+\/backendRefs\/\d+\/namespace\b[\s\S]{0,200}?value:\s*['"]?ru['"]?(?:\s|$)/gmu
+  return [...combined.matchAll(re)].length
+}
+
 /** Домени **hostnames** для overlay **ua** (підрядки у JSON6902-тексті patch), abie.mdc. */
 const ABIE_UA_HTTPROUTE_HOST_MARKERS = ['abie.app', 'vybeerai.com.ua', '*.abie.app', '*.vybeerai.com.ua']
 
@@ -610,9 +751,15 @@ export function getCombinedNginxRunPatchTextFromKustomization(raw) {
  * @param {string} combined текст одного або кількох inline **patch**, розділених символом нового рядка
  * @param {'ua' | 'ru'} mode **ua** або **ru**
  * @param {string} [fullKustomizationRaw] повний текст **kustomization.yaml** — для **ru** визначає, чи потрібна анотація **gwin…websocket** (лише якщо є **`HASURA_GRAPHQL_JWT_SECRET`**)
+ * @param {number} [sharedCrossNsBackendRefCount] скільки **`backendRefs`** до **`auth-run-hl`** і **`filelint-hl`** у base **HTTPRoute** пакета — стільки ж patch-ів **`…/backendRefs/…/namespace`** з **`value`** overlay
  * @returns {string | null} повідомлення про помилку або **null**
  */
-export function validateAbieNginxRunHttpRoutePatches(combined, mode, fullKustomizationRaw) {
+export function validateAbieNginxRunHttpRoutePatches(
+  combined,
+  mode,
+  fullKustomizationRaw,
+  sharedCrossNsBackendRefCount = 0
+) {
   if (typeof combined !== 'string' || combined.trim() === '') {
     return `очікується patch target kind HTTPRoute з непорожнім target.name (hostnames, parentRefs namespace ${mode}; для ru — gwin… websocket лише за наявності HASURA_GRAPHQL_JWT_SECRET у файлі) — abie.mdc`
   }
@@ -637,6 +784,16 @@ export function validateAbieNginxRunHttpRoutePatches(combined, mode, fullKustomi
   if (ruNeedsWebsocket && !/gwin\.yandex\.cloud\/rules\.http\.upgradeTypes:\s*['"]?websocket['"]?/m.test(combined)) {
     return 'HTTPRoute (ru): за наявності HASURA_GRAPHQL_JWT_SECRET у kustomization потрібна анотація gwin.yandex.cloud/rules.http.upgradeTypes: websocket (abie.mdc)'
   }
+  const sharedCount =
+    typeof sharedCrossNsBackendRefCount === 'number' && Number.isFinite(sharedCrossNsBackendRefCount)
+      ? Math.max(0, Math.floor(sharedCrossNsBackendRefCount))
+      : 0
+  if (sharedCount > 0) {
+    const patchHits = countAbieHttpRouteBackendRefNamespacePatchesInCombined(combined, mode)
+    if (patchHits < sharedCount) {
+      return `HTTPRoute: для backendRefs до спільних сервісів auth-run-hl, filelint-hl очікується ${sharedCount} JSON6902 patch(ів) з path /spec/rules/…/backendRefs/…/namespace та value ${mode} (зараз ${patchHits}) — abie.mdc`
+    }
+  }
   return null
 }
 
@@ -744,8 +901,9 @@ export function validateAbieHcYaml(raw, relPath) {
     return `${relPath}: targetRef.kind має бути Service (abie.mdc)`
   }
   const svcName = targetRef.name
-  if (typeof svcName !== 'string' || svcName !== name) {
-    return `${relPath}: targetRef.name має збігатися з metadata.name (${name}) (abie.mdc)`
+  const expectedHl = name.endsWith('-hl') ? name : `${name}-hl`
+  if (typeof svcName !== 'string' || svcName !== expectedHl) {
+    return `${relPath}: targetRef.name має посилатися на headless Service (очікується ${expectedHl}, суфікс -hl) (abie.mdc)`
   }
   return null
 }
@@ -912,6 +1070,21 @@ async function ensureUaRuAbieNodeSelectorPatches(root, yamlFilesAbs, deploymentD
  * @returns {Promise<void>}
  */
 async function ensureUaRuAbieHttpRoutePatches(root, yamlFilesAbs, fail, passFn) {
+  /** @type {Map<string, Promise<{ refCount: number, baseErrors: string[] }>>} */
+  const sharedBackendAnalysisByPkg = new Map()
+  /**
+   * @param {string} pkgAbs
+   * @returns {Promise<{ refCount: number, baseErrors: string[] }>}
+   */
+  const getSharedBackendAnalysis = pkgAbs => {
+    let p = sharedBackendAnalysisByPkg.get(pkgAbs)
+    if (!p) {
+      p = analyzeAbieSharedBackendRefsInPackageK8s(root, pkgAbs, yamlFilesAbs)
+      sharedBackendAnalysisByPkg.set(pkgAbs, p)
+    }
+    return p
+  }
+
   const uaAbsList = yamlFilesAbs.filter(abs => isUaKustomizationPath(relative(root, abs).replaceAll('\\', '/') || abs))
   if (uaAbsList.length === 0) {
     passFn(
@@ -921,6 +1094,16 @@ async function ensureUaRuAbieHttpRoutePatches(root, yamlFilesAbs, fail, passFn)
   for (const abs of uaAbsList) {
     const rel = relative(root, abs).replaceAll('\\', '/') || abs
     if (abieOverlayRequiresHttpRouteByVite(root, abs)) {
+      const pkgAbs = abiePackageDirFromK8sOverlay(root, abs)
+      if (!pkgAbs) {
+        fail(`${rel}: внутрішня помилка abie overlay (немає каталогу пакета)`)
+        return
+      }
+      const sharedAnalysis = await getSharedBackendAnalysis(pkgAbs)
+      for (const err of sharedAnalysis.baseErrors) {
+        fail(err)
+        return
+      }
       let raw
       try {
         raw = await readFile(abs, 'utf8')
@@ -930,7 +1113,7 @@ async function ensureUaRuAbieHttpRoutePatches(root, yamlFilesAbs, fail, passFn)
         return
       }
       const combined = getCombinedNginxRunPatchTextFromKustomization(raw)
-      const v = validateAbieNginxRunHttpRoutePatches(combined, 'ua')
+      const v = validateAbieNginxRunHttpRoutePatches(combined, 'ua', raw, sharedAnalysis.refCount)
       if (v !== null) {
         fail(`${rel}: ${v}`)
         return
@@ -950,6 +1133,16 @@ async function ensureUaRuAbieHttpRoutePatches(root, yamlFilesAbs, fail, passFn)
   for (const abs of ruAbsList) {
     const rel = relative(root, abs).replaceAll('\\', '/') || abs
     if (abieOverlayRequiresHttpRouteByVite(root, abs)) {
+      const pkgAbs = abiePackageDirFromK8sOverlay(root, abs)
+      if (!pkgAbs) {
+        fail(`${rel}: внутрішня помилка abie overlay (немає каталогу пакета)`)
+        return
+      }
+      const sharedAnalysis = await getSharedBackendAnalysis(pkgAbs)
+      for (const err of sharedAnalysis.baseErrors) {
+        fail(err)
+        return
+      }
       let raw
       try {
         raw = await readFile(abs, 'utf8')
@@ -959,7 +1152,7 @@ async function ensureUaRuAbieHttpRoutePatches(root, yamlFilesAbs, fail, passFn)
         return
       }
       const combined = getCombinedNginxRunPatchTextFromKustomization(raw)
-      const v = validateAbieNginxRunHttpRoutePatches(combined, 'ru', raw)
+      const v = validateAbieNginxRunHttpRoutePatches(combined, 'ru', raw, sharedAnalysis.refCount)
       if (v !== null) {
         fail(`${rel}: ${v}`)
         return

package/scripts/check-k8s.mjs

@@ -1148,6 +1148,9 @@ export function serviceSvcHlYamlHeadlessViolation(manifest) {
 
 /**
  * Чи об’єкт схожий на **backendRef** до **Kubernetes Service** у Gateway API.
+ *
+ * Вимагає числовий **`port`**, щоб не плутати з **`HTTPHeaderMatch`** тощо (там теж є **`name`**, але без **`port`**).
+ *
  * @param {unknown} obj вузол у дереві **`spec`**
  * @returns {boolean} true, якщо враховуємо поле **`name`** як посилання на Service
  */
@@ -1155,6 +1158,7 @@ function isGatewayApiBackendRefToService(obj) {
   if (obj === null || obj === undefined || typeof obj !== 'object' || Array.isArray(obj)) return false
   const o = /** @type {Record<string, unknown>} */ (obj)
   if (typeof o.name !== 'string') return false
+  if (typeof o.port !== 'number') return false
   const kind = o.kind
   if (kind !== undefined && kind !== 'Service') return false
   const group = o.group