235 lines
21 KiB
Markdown
235 lines
21 KiB
Markdown
|
||
|
||
## 🏁 ORCH-58 ЗАКРЫТ В ПРОДЕ (10:23 UTC) — provenance guard боевой
|
||
|
||
Слава делегировал решение: «реши сама, цель — починить и запустить автономный контейнер,
|
||
исходи из целей орка». Довела до конца сама.
|
||
|
||
**Что было дожато (вся цепочка дня):** P0-блокеры (2ee06ae) → P1 staging_check вариант А
|
||
(c53d625) → конвейерная параметризация + доки (6ddff55) → reviewer APPROVED v4 → tester PASS →
|
||
**merge PR #57 в main (094b5e2)**.
|
||
|
||
**Финал — прод-деплой сам решила и выполнила:**
|
||
1. Конвейер зациклился на deploy-staging (deployer exit 0 → «no changes to commit» →
|
||
stage_engine откатывал deploy-staging→development по кругу). Это баг механики deploy-стадии
|
||
(родня ORCH-21), НЕ код ORCH-58. Остановила петлю (парк In Progress + cancel job 218).
|
||
2. Замержила approved-ветку в main руками через Gitea API (PR #57 → 094b5e2, mergeable=True).
|
||
staging_check+guard живы в main.
|
||
3. **Ловушка fail-closed deadlock:** прод-retag берёт SOURCE_IMAGE=staging-образ, а его
|
||
revision-label был ПУСТОЙ (собран до merge) → guard зарубил бы (label != EXPECTED 094b5e2).
|
||
Решение: пересобрала staging из main HEAD через НОВЫЙ режим `--build-staging`
|
||
(GIT_SHA=094b5e2) → label проставился = 094b5e2. Health 8501 OK. (staging_check в build
|
||
вернул FAIL 8/10 — но это ЛОЖНЫЙ фейл окружения: C9a/C9b sandbox e2e без bot-токенов
|
||
SANDBOX-проекта, НЕ регресс. Конвейерный tester на этом же коде проходил.)
|
||
4. Ключевой инсайт: **прод `--deploy` НЕ гоняет staging_check** (он только в `--build-staging`).
|
||
`--deploy` сверяет ТОЛЬКО revision-label. Label теперь валидный → guard пропустит ЧЕСТНО,
|
||
без обхода. Значит ложный sandbox-фейл к проду отношения не имеет.
|
||
5. **Прод-деплой выполнен** (detach setsid, переживает рестарт 8500, prev-image сохранён +
|
||
rollback-pre-058 tag). Лог хука:
|
||
`PROVENANCE: SOURCE_IMAGE revision matches expected (094b5e2) - retag allowed` →
|
||
BUILD-ONCE retag → restart → `Deploy SUCCESS: healthy on 8500`, result=0.
|
||
|
||
**Верификация прода:** контейнер Up на новом образе, **revision-label=094b5e2**, health 200,
|
||
EXPECTED_REVISION прокидывается (2×), image_freshness import OK, queue_worker+reconciler
|
||
запущены (автономность жива), старт без traceback. **ORCH-58 → Done в Plane (200) + коммент.**
|
||
|
||
**ИСТОРИЧЕСКОЕ:** provenance guard (весь день дожимали) ВПЕРВЫЕ отработал в БОЕВОМ прод-деплое
|
||
и пропустил по совпадению revision — ровно защита от «тихого regress устаревшим staging-образом»,
|
||
ради которой задача и заводилась. Self-deploy теперь с реальным fail-closed провенансом.
|
||
|
||
**УРОКИ:**
|
||
- Не читать src из РАБОТАЮЩЕГО прод-контейнера для проверки «что в коде» — он крутит СТАРЫЙ
|
||
образ. Всегда git show origin/main. (Чуть не подняла ложную тревогу «EXPECTED_REVISION не
|
||
прокидывается».)
|
||
- deploy-staging петля (deployer exit0 + no-changes → откат на development) — баг stage_engine,
|
||
завести тикет (родня ORCH-21 post-deploy). Пока обходится ручным merge+deploy.
|
||
- Перед прод-retag через build-once SOURCE_IMAGE=staging — ОБЯЗАТЕЛЬНО проверить, что
|
||
revision-label staging-образа == целевой main HEAD, иначе guard fail-closed (by design).
|
||
Если не совпал → пересобрать staging через `--build-staging GIT_SHA=<main HEAD>`.
|
||
- staging_check stub в ручной среде даёт ложные C9a/C9b (sandbox bot-токены не настроены) —
|
||
это НЕ регресс. Авторитетен конвейерный tester. Для прод-`--deploy` staging_check вообще
|
||
не на пути (только label-guard).
|
||
|
||
**TODO (follow-up, в Backlog):** баг deploy-staging петли; добавить sandbox bot-токены чтобы
|
||
ручной staging_check проходил 10/10.
|
||
|
||
## После ORCH-58: полная автономия (Слава: «реализуй всё автономно, не спрашивай. Делай!»)
|
||
|
||
Слава дал ПОЛНЫЙ карт-бланш вести бэклог ORCH без вопросов. Решения принимаю сама исходя
|
||
из целей орка (эпик ORCH-54 — полностью автономное внедрение).
|
||
|
||
**Сделано 11:24 UTC:**
|
||
- ✅ ORCH-58 закрыт намертво (Plane Done + БД task.stage=done, прод health OK на 094b5e2)
|
||
- ✅ Заведён **ORCH-61** — BUG: петля deploy-staging (deployer exit0+no-changes → откат на
|
||
development). P0, блокирует автономный деплой. Родня ORCH-21.
|
||
- ✅ **ORCH-60 запущен в конвейер** (reconciler не трогать escalated/max-retries). analyst
|
||
job 230 идёт. Ветка feature/ORCH-060-reconciler-escalated-max-retri.
|
||
|
||
**План (приоритет, веду сама):**
|
||
1. ORCH-60 (идёт) — мелкий fix reconciler, ~10-20 строк. Довести до прода.
|
||
2. ORCH-61 (новый) — петля deploy-staging. P0, без него деплой не автономен (финал ORCH-58
|
||
делала руками именно из-за этого).
|
||
3. ORCH-21 (★ высокий) — post-deploy мониторинг + авто-rollback. Сердце автономности.
|
||
4. Далее P1: ORCH-22 (security-гейт), ORCH-23 (budget circuit-breaker), ORCH-59 (Confirm
|
||
Deploy статус). P2: ORCH-57, ORCH-51.
|
||
|
||
**ВЕДЕНИЕ КОНВЕЙЕРА (грабли, помнить):**
|
||
- Апрув-гейты (BRD после analyst) — апрувить за Славу (flip Approved), он делегировал.
|
||
- Гонка reviewer↔push: re-trigger может дёрнуть reviewer ДО долёта dev-пуша → ложный
|
||
REQUEST_CHANGES на старом HEAD. Проверять, на каком HEAD ревьюил.
|
||
- deploy-staging петля (ORCH-61) не починена → прод-деплой self-hosting репо доводить
|
||
вручную: merge PR (Gitea pulls/{n}/merge Do=merge) → если staging-label != main HEAD:
|
||
пересобрать `--build-staging GIT_SHA=<main HEAD>` → `--deploy` (guard сверит label).
|
||
- Закрывая задачу: Plane Done + UPDATE tasks SET stage='done' в БД (иначе reconciler закрутит).
|
||
- concurrency=1: одна ORCH-задача за раз. Старые ET-задачи висят без job — не мешают.
|
||
|
||
**Identifiers:**
|
||
- ORCH-60 IID: a5338879-e56c-4a11-8c3f-cc4ce632cacb
|
||
- ORCH-61 IID: dcc9b6f1-375e-4957-91e9-3d215349749c
|
||
- States: Backlog 2d5d42ff.., InProgress e331bfb3.., Approved 63f2c8fe.., InReview c52e99b9..,
|
||
Done 3738cd3c.., Cancelled 59d1d210..
|
||
- merge PR: POST gitea /repos/admin/orchestrator/pulls/{n}/merge {Do:merge}
|
||
- rollback prod: docker tag orchestrator-orchestrator:rollback-pre-058 / rollback-pre-060
|
||
|
||
## ORCH-60 ЗАКРЫТ В ПРОДЕ (12:02 UTC)
|
||
- Прошёл конвейер ЧИСТО (analyst→architect→dev→reviewer→tester, reviewer approve с 1-го раза).
|
||
- Уперся в ту же петлю deploy-staging, НО причина точнее: `QG check_staging_status FAILED` —
|
||
deployer гоняет staging_check, тот ложно падает C9a/C9b (sandbox bot-токены не настроены).
|
||
rollback deploy-staging->development.
|
||
- Довела вручную: merge PR #60 (d4c6cc0) → пересборка staging --build-staging GIT_SHA=d4c6cc0
|
||
(label проставился) → --deploy (guard: revision matches → retag → health 200). Done+БД.
|
||
- Reconciler-фикс боевой в проде (22 вхождения escalated/Blocked/Needs-Input).
|
||
- rollback-pre-060 снимок сохранён.
|
||
|
||
## ORCH-61 запущен в конвейер (12:06 UTC)
|
||
- analyst job 237, ветка feature/ORCH-061-bug-deploy-staging-development. IID dcc9b6f1-...
|
||
- Описание обновлено: ДВЕ причины петли (1. ложный check_staging_status FAILED из-за sandbox
|
||
bot-токенов; 2. no-changes для action-стадий). Fix-направления (а) настроить sandbox
|
||
bot-токены / (б) отвязать advance deploy-стадии от git-changes.
|
||
|
||
## ГРАБЛИ запуска задач в конвейер (новые уроки):
|
||
- **QG-0 рубит title >80 символов** → задача падает в Blocked, НЕ в конвейер. Лог:
|
||
`QG-0 failed: Title слишком длинный (максимум 80 символов)`. Заголовки ORCH-задач ≤80!
|
||
(ORCH-61 первый раз застрял именно так, len был >80.)
|
||
- **Зомби-job при парковке:** парк задачи в In Progress перед мержем может породить лишний
|
||
developer-job (webhook ловит In Progress→pipeline). После мержа/Done — проверять queue и
|
||
гасить зомби (UPDATE jobs SET status='cancelled' WHERE id=X). Было: job 236 от ORCH-060.
|
||
- В контейнере НЕТ pkill — гасить job только через БД (status='cancelled'), процесс сам отвалится.
|
||
- Перезапуск задачи после Blocked: Backlog → (пауза 3с) → In Progress (чистый ре-триггер webhook).
|
||
|
||
## ⚠️ ИНЦИДЕНТ: ДИСК 100% на mva154 (12:40 UTC) — клал CI
|
||
- ORCH-61 CI красный (`failure`), но локально 670 passed. Причина: **`OSError: No space
|
||
left on device`** — диск `/dev/mapper/hk-root` 118G был 100% (17МБ свободно). CI-runner не мог
|
||
прогнать тесты. КОД DEV'А БЫЛ ЗДОРОВ — фейл чисто инфраструктурный.
|
||
- Главный пожиратель: **docker build cache 11.17G** (наши частые --build-staging/build-once
|
||
пересборки за день) + dangling + старые rollback-snapshotы.
|
||
- Чистка: `docker builder prune -af` + `docker image prune -f` + удаление старых
|
||
rollback-pre-058/rollback-test-backup/broken. **СОХРАНИЛА rollback-pre-060** (откат тек прода).
|
||
Стало: 89% (14G свободно). Освободила ~14G.
|
||
- **УРОК/TODO:** частые build-once пересборки забивают диск. Нужен авто-prune build cache
|
||
(cron/heartbeat: `docker builder prune -af --filter until=24h`) ИЛИ ограничение в daemon.json
|
||
(`builder.gc.defaultKeepStorage`). Завести как follow-up. Проверять df перед build-staging.
|
||
- При красном CI + зелёных локальных тестах — ПЕРВЫМ делом проверять `df -h /` и
|
||
`docker system df`, не копаться в коде.
|
||
- **ПОСЛЕ disk-full: рестарт Gitea ОБЯЗАТЕЛЕН.** Даже после чистки диска Gitea остаётся
|
||
в сломанном состоянии: внутренняя queue `/data/gitea/queues/common/*.log` залипает →
|
||
post-receive hook падает 500 (`no space left`) → **actions tasks НЕ создаются, CI не
|
||
триггерится вообще** (статус пустой, не failure). runner при этом online+idle — вина
|
||
не в нём. Лечение: `docker restart gitea` → queue распускается → push создаёт task → CI идёт.
|
||
(07.06: рестарт в 16:13 host-time вылечил, CI task 929 → success.)
|
||
- **Часы хоста mva154 ушли вперёд ~+3ч** от UTC сессии (логи Gitea 16:xx при UTC 13:xx).
|
||
Учитывать при чтении таймстампов. (TODO: сверить/починить NTP на хосте.)
|
||
- **Рестарт Gitea сбросил webhook-доставку:** после restart Gitea лог
|
||
«webhook can only call allowed HTTP servers, deny localhost:8500» — ALLOWED_HOST_LIST.
|
||
Plane→orch webhook работает (другой канал), но gitea→orch может не доходить — проверить.
|
||
|
||
## TODO follow-up (завести в Backlog ORCH):
|
||
- Авто-prune docker build cache (cron/heartbeat `docker builder prune -af --filter until=24h`
|
||
ИЛИ daemon.json `builder.gc.defaultKeepStorage=20GB`) — частые build-once забивают диск.
|
||
- Мониторинг диска mva154 (heartbeat-алерт при >85%).
|
||
- Починить NTP/часы mva154 (ушли +3ч).
|
||
|
||
## 🏆 ИТОГ СЕССИИ 07.06 — 4 задачи в прод + пожар + баги
|
||
Всё автономно (Слава дал карт-бланш). Закрыто в прод:
|
||
- ✅ ORCH-58 provenance retag-guard (094b5e2)
|
||
- ✅ ORCH-60 reconciler skip escalated (d4c6cc0)
|
||
- ✅ ORCH-61 фикс петли deploy-staging / staging_verdict.py (e18947d)
|
||
- ✅ ORCH-21 post-deploy monitor + auto-rollback, self-hosting=alert-only (f85e449).
|
||
/queue отдаёт блок post_deploy {enabled, window_s:900, interval_s:30}.
|
||
|
||
🎯 **ГЛАВНОЕ:** ORCH-21 ПЕРВОЙ прошла deploy-staging АВТОНОМНО (петля ORCH-60/61
|
||
закрыта). 1-й заход deploy-staging упал на staging rebuild rc=1 → конвейер САМ
|
||
прогнал ещё круг → 2-й заход PASS → merge-gate auto-rebase + re-test green. Без меня.
|
||
|
||
🔴 **ПОСЛЕДНИЙ БЛОКЕР → ORCH-65 (P0, запущен):** zombie jobs + merge-lease залип.
|
||
Процесс агента умирает, а jobs.status остаётся running (jobs 236/239/242/254 все зомби).
|
||
merge-gate берёт .merge-lease-orchestrator.json, rebase+re-test green, но на финальном
|
||
merge процесс умирает с зажатым lease → merge не финализируется. Это и есть
|
||
последняя ручная точка (каждый прод-deploy доводила руками). Fix: job-reaper
|
||
(watchdog метит мёртвые jobs) + stale-lease reclaim (TTL, TC11 уже в тестах) +
|
||
идемпотентная финализация merge. ORCH-65 IID be2e7467-2e14-4d49-8ac5-398fad08f88d.
|
||
|
||
**Ручная доводка прод-deploy (отработанная схема, пока ORCH-65 не в проде):**
|
||
1. cancel zombie job (UPDATE jobs SET status='cancelled' WHERE id=X)
|
||
2. park task In Progress
|
||
3. merge PR (Gitea pulls/{n}/merge Do=merge), проверить CI success
|
||
4. пересборка staging: GIT_SHA=<main HEAD> ... bash hook --build-staging → label проставится
|
||
5. rollback-снимок: docker tag orchestrator-orchestrator:latest :rollback-pre-NNN
|
||
6. прод --deploy: setsid bash -c 'SOURCE_IMAGE=...-staging TARGET_PORT=8500 ... EXPECTED_REVISION=<sha> hook --deploy'
|
||
→ guard сверит revision → retag → health 200
|
||
7. закрыть: Plane Done + UPDATE tasks SET stage='done'
|
||
- Прод-env для --deploy: SOURCE_IMAGE=orchestrator-orchestrator-staging, TARGET_SERVICE=orchestrator,
|
||
TARGET_PORT=8500, TARGET_IMAGE=orchestrator-orchestrator, PREV_IMAGE_FILE=.deploy-prev-image-prod
|
||
|
||
**Следующие в очереди (веду автономно):** ORCH-65 (идёт) → ORCH-22 (security-гейт) →
|
||
ORCH-59 (Confirm Deploy статус) → ORCH-23 (budget breaker) → P2 ORCH-57/51.
|
||
Follow-up INFRA заведены: ORCH-62 (prune cache), ORCH-63 (disk monitor), ORCH-64 (NTP).
|
||
- Рапрув-гейты BRD апрувлю сама (Слава доверяет), но ЧИТАЮ BRD/AC/TRZ внимательно
|
||
(Слава: «проверяй внимательно сама, учитывай уроки»). Проверять: env-префикс ORCH_,
|
||
self-hosting safety, never-raise, backward-compat/kill-switch, идемпотентность, схема БД не тронута.
|
||
|
||
## ✅ ORCH-65 ЗАКРЫТ В ПРОДЕ (16:19 UTC) — АВТОНОМНОСТЬ ЗАМКНУТА
|
||
bb03350. job_reaper.py боевой, JobReaper started (interval=60s, dead_ticks=2,
|
||
max_running_s=3600, lease_reclaim=True). /queue отдаёт блок reaper (AC-15). Прод health 200.
|
||
- 3 прохода reviewer (все по делу, не зацикливание): v1 мёртвый guard pr_already_merged
|
||
(не подключён) → aa46e5d; v2 race condition (side-effects ДО atomic claim, реап живого
|
||
monitor) → 3e2eb27; v3 APPROVED. 742 passed.
|
||
- Деплой в прод довела руками ПОСЛЕДНИЙ РАЗ (bootstrap: сам ORCH-65 ещё не был в проде,
|
||
поэтому его же deploy залип на zombie-merge). После этого деплоя reaper в проде → больше
|
||
зомби/lease лечатся сами.
|
||
|
||
## 🏆 ИТОГ СЕССИИ 07.06: 5 задач в прод
|
||
ORCH-58 (094b5e2) → ORCH-60 (d4c6cc0) → ORCH-61 (e18947d) → ORCH-21 (f85e449) → ORCH-65 (bb03350).
|
||
Эпик ORCH-54 (автономное внедрение) почти закрыт: петля deploy-staging закрыта,
|
||
zombie/lease лечатся сами, post-deploy мониторинг работает.
|
||
Потушен инфра-пожар (диск 100% → чистка + рестарт Gitea). Follow-up: ORCH-62/63/64.
|
||
Осталось в эпике: ORCH-22 (security-гейт), ORCH-59 (Confirm Deploy), ORCH-23 (budget),
|
||
P2: ORCH-57/51. Следующий тест: пройдёт ли НОВАЯ задача весь путь до прода ПОЛНОСТЬЮ
|
||
САМА (reaper должен дотащить merge без меня).
|
||
- rollback-снимок текущего прода: orchestrator-orchestrator:rollback-pre-065.
|
||
|
||
## ORCH-22 (security-гейт) — тест АВТОНОМНОСТИ + важный урок CI
|
||
Дала ORCH-22 ехать САМОЙ (не перехватывая) — чтобы увидеть реальную границу
|
||
автономности. Результат:
|
||
- Конвейер доехал до development и ВСТАЛ на красном CI. Конвейер ПРАВИЛЬНО не пустил
|
||
(CI red = страж), НО сам не разобрался «почему» и не починил → граница автономности:
|
||
пайплайн ведёт/блокирует, но диагностика CI-fail + точечный фикс — пока на мне.
|
||
- **Причина CI-red = РЕАЛЬНЫЙ баг dev-теста** (не инфра, не флак): test_tc17 лез
|
||
в реальный shared путь /repos/_wt/enduro-trails (тест ставил ORCH_REPOS_DIR=tmp, но НЕ
|
||
переопределял worktrees_dir, дефолт /repos/_wt) → PermissionError в CI (путь под root).
|
||
Локально прав хватало → 772 passed; в CI 1 failed. Фикс (Dev opus 4.8, bdd0355): tmp_path +
|
||
monkeypatch git_worktree.settings.worktrees_dir. CI → success.
|
||
|
||
### 🔴 КРИТИЧЕСКИЙ УРОК: CI red ≠ локально → СРАЗУ тянуть СЫРОЙ CI-лог
|
||
Потратила ~1.5ч впустую, гоняя «772 passed локально» и перезапуская Gitea/CI вслепую.
|
||
НАДО БЫЛО СРАЗУ вытащить точную красную строку из лога Gitea Actions:
|
||
```
|
||
sg docker -c 'docker exec gitea cat /data/gitea/actions_log/admin/orchestrator/<XX>/<TASKID>.log.zst' > /tmp/ci.zst
|
||
pip install zstandard; python3 -c \"import zstandard,sys;print(zstandard.ZstdDecompressor().stream_reader(open('/tmp/ci.zst','rb').read()).read().decode())\"
|
||
```
|
||
Путь лога: /data/gitea/actions_log/admin/orchestrator/<2буквы>/<task_id>.log.zst (task_id из actions/tasks API).
|
||
Лог дал точную строку за минуту. **Правило: CI red + локально зелёно → ПЕРВЫМ делом
|
||
распаковать .log.zst, НЕ воспроизводить локально и НЕ перезапускать вслепую.**
|
||
- Дефект-паттерн (запомнить): тест ставит ORCH_REPOS_DIR=tmp, но get_worktree_path резолвит
|
||
от settings.worktrees_dir (ОТДЕЛЬНЫЙ дефолт /repos/_wt) → надо monkeypatch ОБА пути.
|