From 93e634c6083a21098ff6c8a892643635fd56da08 Mon Sep 17 00:00:00 2001 From: Codex Date: Mon, 25 May 2026 04:39:02 +0000 Subject: [PATCH] docs forbid running checks on master server --- AGENTS.md | 1 + docs/reference/hwlab.md | 7 +++++++ 2 files changed, 8 insertions(+) diff --git a/AGENTS.md b/AGENTS.md index b55e7052..3524df59 100644 --- a/AGENTS.md +++ b/AGENTS.md @@ -24,6 +24,7 @@ UniDesk 是一个以主 server 为统一入口的分布式工作平台;本文 ## Critical Master Server Build Ban - Master server 是生产入口和控制面,不得当作构建机使用;严厉禁止在 master server 上执行 Docker 镜像构建、`docker build`、`docker buildx build`、`docker compose build`、`docker compose up --build`、Rust 编译/测试(`cargo build`、`cargo test`、`rustc`)、Go 编译/测试(`go build`、`go test`)以及其他高 CPU/高内存编译构建任务。这类任务可能拖垮生产服务器,造成 UniDesk 整体不可用。 +- Master server 资源也不足以承载仓库级 `check`/`test`/smoke 验证;禁止在 master server 上运行 `bun scripts/cli.ts check`、`node --test`、`node web/hwlab-cloud-web/scripts/check.mjs`、Playwright/browser smoke 或其他会遍历大仓库、启动浏览器、长时间占用 CPU/内存的校验命令。正式验证必须改在 D601 原生 k3s 侧 worktree、CI runner 或其他获批外部执行面完成。 - 镜像和编译产物必须通过标准 CI/CD 在外部构建资源上生成,通常是 D601 原生 k3s/Tekton 或经过批准的外部 builder;源码以 Git remote 为 source of truth,CI 产出 commit-pinned image/artifact。 - Prod 发布必须走 CD pull-only 流程:由 `deploy.json` 声明期望服务版本,生产侧 CD 拉取已经构建好的镜像或 artifact 并按 `deploy.json` 部署;禁止把 master server 本地 Docker image、临时容器层或本地编译产物作为部署真相。 - 在 master server 上只允许轻量源码编辑、Git 操作、状态/健康/日志/诊断、JSON CLI 控制面操作和受控 CD 观察;一旦步骤需要构建镜像或编译 Rust/Go 等重型产物,必须停止在 master server 执行并改走 CI/CD 或 D601 构建路径。 diff --git a/docs/reference/hwlab.md b/docs/reference/hwlab.md index fcbfacd3..cf590221 100644 --- a/docs/reference/hwlab.md +++ b/docs/reference/hwlab.md @@ -28,6 +28,13 @@ - 旧公网 `:6666` 和 `:6667` 不是浏览器验收入口;内部 k3s service 仍可使用 `6667` 作为服务端口。 - `16666` 由 master 侧 `hwlab-frps-dev` 接收 D601 `hwlab-frpc` 的反向代理流量;不要把 master 上的其他 UniDesk frontend/backend-core 路径误判为 HWLAB 前端。 +## Master Server 校验边界 + +- master server 是 UniDesk/HWLAB 的生产入口且资源紧张;它只能承担轻量源码编辑、Git 操作、日志/健康观察、JSON CLI 指挥和受控 CD 审阅,不能承担正式校验执行面。 +- 禁止在 master server 上运行 HWLAB 或 UniDesk 的仓库级 `check`/`test`/smoke 命令,包括但不限于 `bun scripts/cli.ts check`、`node --test`、`node web/hwlab-cloud-web/scripts/check.mjs`、`node scripts/dev-cloud-workbench-smoke.mjs`、Playwright/browser layout smoke,以及其他会长时间占用 CPU/内存、启动浏览器或遍历大仓库的校验流程。 +- 需要正式验证时,固定切到 D601 原生 k3s 侧 worktree、HWLAB repo-owned CI 或其他获批外部执行面;master server 只负责发起、观察和记录,不负责实际跑 check。 +- 如果为了排障必须从 master server 生成命令或查看源码,后续验证命令也必须显式改到 D601 路径执行,例如 `/home/ubuntu/workspace/hwlab` 或临时 hotfix worktree,而不是直接在 `/root/unidesk` 或 master server 上本地运行。 + ## D601 k3s 口径 HWLAB 的真实 DEV runtime 在 D601 原生 k3s 中,必须显式使用: