admin/orchestrator
1
0
Fork 0
Code Issues Pull Requests 4 Actions Packages Projects Releases Wiki Activity
Files
9f62df02ebb60da5d85b4f157bf346f73571fc71
orchestrator/docs/work-items/ORCH-100/01-brd.md

168 lines
17 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
---
work_item: ORCH-100
stage: analysis
author_agent: analyst
status: ready-for-review
created_at: 2026-06-10
model_used: claude-opus-4-8
---
# 01 — BRD (бизнес-требования): ORCH-100 — FND/F1b: sidecar-watchdog (мозг мониторинга, отдельный контейнер)
Work Item: **ORCH-100** · Repo: **orchestrator** · Стадия: analysis
## 1. Бизнес-контекст и проблема
Задача — фундаментный кирпич **F1b** домена 0 «Фундамент» эпика автономного саморазвития
(`docs/epics/self-evolution.md`, §2, §«Архитектурные рамки наблюдаемости»). **F1a (ORCH-099)** уже
реализовал лёгкий read-only `GET /metrics` в самом орке — он отдаёт **только сырьё** (стадии,
очередь, agent-liveness, cost), без порогов/алертов/хранения. F1b — **вторая половина пары:** мозг
мониторинга, который это сырьё читает, дополняет внешними сигналами (хост, контейнеры, внешние
зависимости) и превращает в **алерты**.
**Боль, которую закрывает F1b.** Сегодня платформа слепа к собственному здоровью в реальном
времени. Инциденты 0609.06 (диск хоста молча дорос до 100% и встал весь конвейер — ORCH-063;
фантом-merge, deploy-петли, флапп-статусы, зомби-jobs) обнаруживались **постфактум, человеком**.
Частичные стражи существуют, но они **живут ВНУТРИ процесса орка** (`disk_watchdog` ORCH-063,
`reaper` ORCH-065, `reconciler` ORCH-053): если орк завис/съел память/упал — стражи лягут **вместе
с ним**, и платформа слепа именно в критический момент.
**Архитектурная рамка — установленный факт заказчика (Слава, 09.06), не предмет переизобретения:**
- **C-1 / C-1б:** наблюдатель ОТДЕЛЁН от наблюдаемого. Sidecar-контейнер на том же хосте; КОД
sidecar — в репо орка (папка `watchdog/`), но рантайм — **ОТДЕЛЬНЫЙ контейнер** (свой Dockerfile +
сервис `orchestrator-watchdog` в `docker-compose.yml`). Изоляция — на уровне контейнера, не репо.
- **C-2:** без внешнего плеча (одна площадка; принятый риск — падёт весь хост → молчит и наблюдатель).
- **C-3:** тонкий стек — **НЕ Grafana/Prometheus**. Хост впритык: RAM 171Mi free / 7.7Gi, диск 92%.
- **Разделение ответственности:** орк отдаёт сырьё (`/metrics`), sidecar — мозг (пороги/алерты/свой
Telegram-канал, независимый от кода орка). Орк лёг → `/metrics` недоступен = **сам сигнал тревоги**.
**Критический инвариант наблюдаемости:** падение/зависание орка должно делать sidecar **громче**, а
не тише. Если орк не отвечает на `/metrics` — sidecar жив и обязан зарепортить это как тревогу
«орк не отвечает».
## 2. Объём (scope)
### В объёме
- Новая папка `watchdog/` в репо орка: тонкий код sidecar + собственный `Dockerfile`.
- Сервис `orchestrator-watchdog` в `docker-compose.yml` (отдельный контейнер, свой рестарт/память).
- **Сбор сигналов** (периодический тик): (a) `GET /metrics` орка по HTTP; (b) хост — диск %/inode,
память, CPU; (c) контейнеры — через `docker.sock` **read-only** (статусы Up/healthy/restarting/
exited/unhealthy); (d) пинг внешних зависимостей — Plane / Gitea / Anthropic.
- **Алертинг по порогам:** диск≥порог, память, agent-завис >N мин, job-failed, застрявшая стадия,
контейнер-down/unhealthy, внешняя зависимость недоступна, **орк-down (`/metrics` не отвечает)**.
- **Доставка:** Telegram через **СОБСТВЕННЫЙ канал sidecar** (свой токен/chat в `.env`), НЕ через
код/Telegram-функции орка.
- **Гигиена алертов:** дедупликация + throttle (один алерт на пересечение порога, не флапп) +
recovery-сообщение при возврате метрики в норму.
- **Управляемость:** kill-switch, конфигурируемые пороги, конфигурируемые интервалы.
- `.env.example`: токен/chat watchdog + пороги/интервалы (канон, без секретов).
- Документация (`07-infra-requirements.md` — разовое инфра-действие) + `CHANGELOG.md`; pytest зелёный.
### Вне объёма
- **Любая авто-ремедиация** (рестарт контейнеров, очистка диска, requeue jobs). F1b — **только
наблюдение + алерт** (L0 reactive, эпик §9). Авто-фиксы — домен D1 (отдельные задачи).
- **Grafana / Prometheus / TSDB / дашборд-UI / исторические графики** (C-3 — тонкий стек).
- **Изменение `/metrics` орка** (контракт F1a/ORCH-099 — данность; sidecar — потребитель). Если
обнаружится нехватка поля — это отдельная задача-расширение F1a, не часть F1b.
- **Изменение `STAGE_TRANSITIONS` / `QG_CHECKS` / `check_*` / схемы БД орка** — sidecar их не
касается (он вне процесса орка).
- **Журнал уроков (F2)** — отдельная задача; F1b не пишет в БД орка.
- **Второе внешнее плечо мониторинга (L2)** — сознательно отложено (C-2).
## 3. Заинтересованные стороны
- **Заказчик / приёмка:** Слава (зафиксировал архитектурные рамки 09.06).
- **Постановщик / ведение:** Стрим.
- **Затрагивает:** операторов платформы (получатели алертов), все проекты в общем прод-инстансе
(enduro-trails и пр.) — sidecar повышает наблюдаемость их общей инфраструктуры, **не вмешиваясь**.
- **Исполнители конвейера:** architect (стек, формат хранения порогов, владелец диск-алерта),
developer, reviewer, tester, deployer.
## 4. Бизнес-требования (BR)
- **BR-1 (отдельный контейнер).** Sidecar собирается в отдельный образ (`watchdog/Dockerfile`) и
работает как сервис `orchestrator-watchdog` в `docker-compose.yml` — отдельный процесс/память/
рестарт, **НЕ внутри процесса орка**.
- **BR-2 (сбор сырья орка).** На каждом тике sidecar делает `GET /metrics` орка по HTTP и
разбирает версионированный конверт (`schema_version`/`stages`/`queue`/`agents`/`cost`), **толерантно
к неизвестным/отсутствующим полям** (контракт F1a — additive, версия не растёт на добавление поля).
- **BR-3 (сбор хоста).** Sidecar измеряет хост: заполнение диска (% и, где доступно, inode), память,
CPU — по смонтированным хост-путям/интерфейсам, доступным контейнеру.
- **BR-4 (сбор контейнеров).** Sidecar читает состояние контейнеров через `docker.sock`
(**read-only mount**): различает Up / healthy / restarting / exited / unhealthy. Минимум — статус
ключевых контейнеров платформы (включая сам `orchestrator`).
- **BR-5 (пинг зависимостей).** Sidecar периодически проверяет доступность внешних зависимостей —
Plane, Gitea, Anthropic (лёгкий health/ping, короткий таймаут) — и алертит при недоступности.
- **BR-6 (пороговый алертинг).** При **пересечении порога** сигналом (диск≥порог, память,
agent-завис >N мин, job-failed, застрявшая стадия, контейнер-down/unhealthy, зависимость
недоступна) sidecar шлёт **ровно один** Telegram-алерт.
- **BR-7 (орк-down = тревога).** Если `GET /metrics` орка **не отвечает** (таймаут/connection
refused/5xx) — sidecar шлёт алерт «орк не отвечает». Это **главный** сценарий ценности:
наблюдатель жив, наблюдаемый лёг.
- **BR-8 (свой Telegram-канал).** Алерты идут через **независимый** транспорт sidecar — собственные
bot-токен и chat-id из `.env`, БЕЗ обращения к коду/функциям/токену орка (иначе падение орка
утянуло бы и алерт-канал — нарушение C-1).
- **BR-9 (дедуп / throttle / recovery).** Повторное нахождение метрики за порогом не флаппит: один
алерт на пересечение + анти-спам cooldown между повторами + **recovery-сообщение** при возврате
метрики в норму. Поведение — по образцу `disk_watchdog` (ORCH-063): чистая решающая функция
`(value, threshold, prev_state, now, cooldown) → alert | realert | recovery | none`.
- **BR-10 (нет дубля диск-алерта).** Диск уже алертит `disk_watchdog` ORCH-063 (порог 85%, через
Telegram орка). F1b **НЕ должен** порождать второй диск-алерт на то же событие. **Владельца
диск-алерта (sidecar vs внутренний `disk_watchdog`) выбирает архитектор** — BRD лишь фиксирует
требование «один диск-алерт на событие, без дублирования».
## 5. Нефункциональные требования (NFR)
- **NFR-1 (изоляция / резилентность).** Падение/зависание/рестарт орка **НЕ роняет** sidecar
(доказывается: орк down → sidecar продолжает тикать и шлёт алерт). Обратное тоже: sidecar — чисто
наблюдатель, его падение не влияет на конвейер.
- **NFR-2 (тонкость).** Контейнер лёгкий: предсказуемо малое потребление памяти (хост впритык —
171Mi free). Конкретный бюджет памяти и `mem_limit` — решение архитектора; BRD требует «в разумных
пределах, измеримо». **НЕ Grafana/Prometheus.**
- **NFR-3 (never-raise).** Любая ошибка сбора/парсинга/сети/отправки — best-effort: один битый
источник деградирует один сигнал, не роняет тик; ошибка тика не роняет демон. По образцу
`disk_watchdog` / `metrics` (три уровня never-raise: per-source, per-tick, per-send).
- **NFR-4 (безопасность self-hosting).** Sidecar **только читает и шлёт Telegram** — НИКОГДА не
трогает диск/контейнеры/прод, не рестартит, не пишет в `docker.sock` (mount **read-only**), не
пишет в БД орка, не пушит в `main`. Безопасен для общего инстанса (enduro-trails не затронут).
- **NFR-5 (управляемость / обратимость).** Kill-switch (выключить → sidecar инертен/не стартует,
нулевой эффект на орк). Пороги и интервалы конфигурируемы через `.env` (не хардкод).
- **NFR-6 (изоляция контракта).** Sidecar толерантен к версии `/metrics`: неизвестное поле
игнорируется, отсутствие опционального — не падение; рост `schema_version` логируется (предупреждение),
не крэшит.
- **NFR-7 (наблюдаемость самого sidecar).** Стартап/тик/решения логируются достаточно, чтобы по логам
контейнера понять, что sidecar жив и почему (не)сработал алерт.
## 6. Допущения и ограничения
- **Зависимость:** F1b **зависит от F1a (ORCH-099)** — читает `GET /metrics`. Контракт `/metrics`
(envelope `schema_version`/`generated_at`/`clk_tck`/`stages`/`queue`/`agents`/`cost`/`enabled`) —
установленный факт, sidecar его потребитель.
- **Сеть:** орк работает `network_mode: host` (порт 8500) → из host-network sidecar `/metrics`
достижим как `http://127.0.0.1:8500/metrics`. Точный сетевой режим sidecar — решение архитектора.
- **`docker.sock`** доступен на хосте `/var/run/docker.sock`; монтируется в sidecar **read-only**.
- **Разовое инфра-действие** (добавить сервис в compose + первый запуск + создать bot/chat watchdog)
выполняется человеком (Слава/Стрим) на хосте — фиксируется в `07-infra-requirements.md`. Дальше код
watchdog катится через конвейер (self-hosting).
- **Стек (Python/Go), формат хранения порогов, владелец диск-алерта** — **зона архитектора** в рамках
C-1…C-3; BRD их не предрешает.
- **Известный принятый риск (C-2):** падёт весь хост/Docker → молчит и sidecar (нет внешнего плеча).
- **Telegram 48ч** и прочие лимиты транспорта — как у орка (best-effort доставка).
## 7. Критерии успеха
Sidecar стартует отдельным контейнером, на каждом тике собирает сырьё орка + хост + контейнеры +
зависимости, при пересечении порога шлёт ровно один Telegram-алерт со своего канала (throttle +
recovery), при недоступности орка шлёт «орк не отвечает», и переживает падение орка не падая сам.
Тонкий, с kill-switch и конфигурируемыми порогами. Разовое инфра-действие задокументировано, pytest
зелёный, доки + CHANGELOG обновлены. Детальные PASS/FAIL — `03-acceptance-criteria.md`.
## 8. Риски
- **Дубль диск-алерта** с `disk_watchdog` ORCH-063 (BR-10) — нужно явное решение владельца (архитектор).
- **Шум алертов** (флапп на границе порога) при недостаточном throttle/recovery — закрывается BR-9.
- **Зависимость от `/metrics`:** ложный «орк-down» при сетевой икоте — нужен разумный таймаут/ретрай в
пороге, чтобы единичный transient не флаппил (детали — архитектор/developer).
- **Ресурсы хоста впритык** — sidecar обязан быть лёгким (NFR-2), иначе сам станет частью проблемы.
- **`docker.sock` доступ** — строго read-only; риск привилегий минимизируется mount-режимом (NFR-4).
- Детальный реестр и митигации — `10-tech-risks.md` (заполняет архитектор).
Reference in New Issue View Git Blame Copy Permalink