feat(service_manager):将发布系统接入服务管理模块

[JaD1ng]

变更背景和解决方案

关联issue: #

文档更新（架构文档、API文档、升级文档）

Checklist

• 确认是否有文档更新
• 确认是否自测
• 确认是否考虑兼容升级，不兼容升级需要有对应的解决方案
• 确认是否考虑添加监控指标
• API 设计是否符合 API 设计规范, 如果没有 API 变更，请忽略
• 我已经添加了相关人员到 Reviewers 列表中
• 我已经设置了 Development 关联的 Issue

[gemini-code-assist]

Summary of Changes

Hello @JaD1ng, I'm Gemini Code Assist¹! I'm currently reviewing this pull request and will post my feedback shortly. In the meantime, here's a summary to help you and other reviewers quickly get up to speed!

本次拉取请求引入了一个新的Prometheus Adapter服务，旨在集中化指标查询和告警规则管理，从而连接内部系统与Prometheus。同时，它将部署系统集成到服务管理模块中，增强了其管理服务部署和回滚的能力。这些更改还通过添加HTTP延迟注入和详细的HTTP指标收集，改进了模拟服务的可观测性。

Highlights

• Prometheus Adapter集成: 新增了一个名为prometheus_adapter的模块，作为内部系统与Prometheus之间的桥梁。它提供统一的REST API，用于指标查询和告警规则管理。
• 告警规则管理API: prometheus_adapter模块引入了全面的API，用于管理Prometheus告警规则。这包括更新规则模板、批量更新特定服务/版本的规则元数据（如阈值），以及删除规则或元数据。
• Prometheus Alertmanager Webhook兼容: prometheus_adapter现在可以作为Alertmanager兼容的Webhook接收器。它会轮询Prometheus以获取活跃告警，并将其转发到配置的监控/告警模块。
• 服务管理模块部署系统集成: service_manager模块已更新，集成了部署系统。这包括修改deploy_tasks表的Schema，使用service和version作为主键，并调整部署相关的API以触发实际的部署和回滚流程。
• 可观测性增强: 模拟服务现在具备HTTP延迟注入功能，并能将HTTP请求持续时间作为Prometheus指标进行记录，并带有service_version标签，以实现更细粒度的监控和故障注入。

Using Gemini Code Assist

The full guide for Gemini Code Assist can be found on our documentation page, here are some quick tips.

Invoking Gemini

You can request assistance from Gemini at any point by creating a comment using either /gemini <command> or @gemini-code-assist <command>. Below is a summary of the supported commands on the current page.

Feature	Command	Description
Code Review	/gemini review	Performs a code review for the current pull request in its current state.
Pull Request Summary	/gemini summary	Provides a summary of the current pull request in its current state.
Comment	@gemini-code-assist	Responds in comments when explicitly tagged, both in pull request comments and review comments.
Help	/gemini help	Displays a list of available commands.

Customization

To customize Gemini Code Assist for GitHub experience, repository maintainers can create a configuration file and/or provide a custom code review style guide (such as PEP-8 for Python) by creating and adding files to a .gemini/ folder in the base of the repository. Detailed instructions can be found here.

Limitations & Feedback

Gemini Code Assist may make mistakes. Please leave feedback on any instances where its feedback is incorrect or counter productive. You can react with 👍 and 👎 on @gemini-code-assist comments. If you're interested in giving your feedback about your experience with Gemini Code Assist for Github and other Google products, sign up here.

You can also get AI-powered code generation, chat, as well as code reviews directly in the IDE at no cost with the Gemini Code Assist IDE Extension.

Footnotes

1. Review the Privacy Notices, Generative AI Prohibited Use Policy, Terms of Service, and learn how to configure Gemini Code Assist in GitHub here. Gemini can make mistakes, so double check it and use code with caution. ↩

[gemini-code-assist]

Code Review

本次 PR 引入了发布系统与服务管理模块的集成，并新增了一个完整的 prometheus_adapter 服务，功能变更范围非常大。代码整体结构清晰，特别是 prometheus_adapter 的分层设计值得肯定。然而，在实现中发现了一些严重问题，需要优先解决：

1. 严重安全漏洞：internal/deploy/config.yaml 文件中硬编码了 RSA 私钥，这是一个严重的安全风险，私钥绝不应该提交到版本控制系统中。
2. 严重设计问题：prometheus_adapter 服务通过执行 docker 命令行来修改容器内的文件和重载配置。这种做法破坏了容器化的原则，非常脆弱且不安全，强耦合了应用和外部环境。
3. 硬编码路径：多处代码和脚本中包含了开发者的本地绝对路径，导致代码不可移植。

此外，还存在一些配置加载逻辑混乱、数据库 schema 类型不匹配等问题。建议在合并前优先处理上述严重问题，以确保系统的安全性、稳定性和可维护性。

[gemini-code-assist]

严重安全漏洞：私钥被硬编码在配置文件中并提交到版本控制系统。这会造成极大的安全风险，任何能访问代码仓库的人都能获取到该私钥。

强烈建议立即从代码库中移除此私钥，并采取以下任一方式进行管理：

1. 使用环境变量加载私钥。
2. 通过安全的密钥管理服务（如 Vault）在运行时获取。
3. 将私钥存放在服务器上受保护的文件中，并通过配置指定文件路径来读取。

[gemini-code-assist]

严重设计问题：在应用内部通过 exec.Command 调用 docker CLI 来修改容器内的文件，这是非常危险且脆弱的做法。

这种方式存在以下问题：

1. 破坏容器化原则：应用不应该感知到自己运行在容器中，更不应该依赖外部的 docker 命令。
2. 安全性差：如果 containerName 等变量可被外部影响，可能导致命令注入漏洞。
3. 可移植性差：强依赖于运行环境中存在并配置好了 docker CLI。
4. 脆弱性：任何 docker 命令的语法变化或环境问题都可能导致应用失败。

推荐的替代方案：

• 使用卷挂载（Volume Mounts）：将 Prometheus 的规则目录挂载到 prometheus_adapter 容器的一个路径下，adapter 直接读写这个挂载的文件系统即可，Prometheus 会自动感知到变化。

[gemini-code-assist]

严重配置问题：代码中硬编码了一个开发者的本地绝对路径 "/Users/dingnanjia/workspace/mock/zeroops/internal/deploy/packages"。

这会导致代码在任何其他环境或其他开发者机器上都无法正常工作。这个路径必须通过配置文件或环境变量进行配置，使其在不同部署环境中可以被修改。

Suggested change

	baseURL: "/Users/dingnanjia/workspace/mock/zeroops/internal/deploy/packages", // 本地包仓库路径
	baseURL: os.Getenv("PACKAGE_REPO_BASE_URL"), // 或者从配置中读取

[gemini-code-assist]

这里的配置加载和使用方式比较混乱，可能会导致潜在的 bug。

1. 在第24行，NewPrometheusAdapterServer 使用了一个空的 config.Config{} 进行初始化，这意味着 adapter 实例内部没有获取到任何有效的配置信息。
2. 在第41行，又创建了一个新的 cfg 变量，它只包含了 bindAddr，并且仅用于第67行的 router.Run()。

这种分离的配置处理方式，使得 adapter 实例在创建时无法获取到完整的配置，如果后续 adapter 的其他方法需要依赖配置，就会出问题。建议重构此处的逻辑，确保配置只加载一次，并在初始化时就传递给所有需要它的组件。

[gemini-code-assist]

数据库列类型不匹配。
instances 表中的 host_id 列定义为 VARCHAR(255)，但它似乎是作为外键关联到 hosts 表的 id 列。而 hosts.id 列的类型是 SERIAL，即自增整数（integer）。

为了保证数据完整性和查询性能，建议将 host_id 的类型修改为 INTEGER 或 BIGINT，并添加外键约束。

-- 建议的修改
CREATE TABLE instances (
    ...
    host_id INTEGER,
    ...
    FOREIGN KEY (host_id) REFERENCES hosts(id)
);

[gemini-code-assist]

直接比较错误字符串 err.Error() == ... 的方式非常脆弱。如果底层的错误信息文本发生任何变化（例如，添加了空格或修改了标点），这里的逻辑就会失效。

推荐的做法是在 service 层定义并返回自定义的错误类型（例如 ErrRuleNotFound），然后在 api 层使用 errors.Is() 或 errors.As() 来进行类型安全的错误判断。这样可以解耦错误处理和具体的错误信息文本。

[gemini-code-assist]

默认配置中包含了大量硬编码的、特定于环境的IP地址和路径，例如 10.210.10.33:9090 和 ../rules/alert_rules.yml。这使得服务在其他环境中部署变得困难和易错。

建议将默认值修改为更通用的形式，例如：

• address: "http://localhost:9090"
• url: "http://localhost:8080/v1/..."
• local_file: "rules/alert_rules.yml" (相对于配置文件的路径)

环境特定的值应该通过部署时的配置文件或环境变量来覆盖，而不是硬编码在代码中。

[gemini-code-assist]

脚本中硬编码了开发者的本地绝对路径。这使得该脚本无法在其他开发者或CI/CD环境中使用。

建议修改为动态获取项目根目录，例如使用 cd "$(dirname "$0")"/../../.. && pwd 来定位到项目根目录。

Suggested change

	local project_root="/Users/dingnanjia/workspace/mock/zeroops"
	local project_root=$(cd "$(dirname "$0")"/../../.. && pwd)

[gemini-code-assist]

测试脚本中硬编码了开发者的本地绝对路径。这使得其他人在运行此测试脚本时会失败。

建议将此路径作为脚本的参数或从环境变量中读取，以提高脚本的可移植性。

Suggested change

	PACKAGE_PATH="/Users/dingnanjia/workspace/mock/zeroops/internal/deploy/packages"
	PACKAGE_PATH="${PACKAGE_PATH:-/Users/dingnanjia/workspace/mock/zeroops/internal/deploy/packages}"

[niupilot]

🚨 CRITICAL: Hardcoded absolute path

This hardcoded path will fail in any environment except your local machine. This breaks production deployments, CI/CD, and other developers' environments.

Fix: Use environment variable or configuration:

baseURL := os.Getenv("PACKAGE_REPO_PATH")
if baseURL == "" {
    baseURL = "./packages" // Relative default
}

[niupilot]

🔴 HIGH: Ignored JSON error causes silent data corruption

If marshaling fails, labelsJSON will be nil and the error is ignored. This can lead to invalid data being stored without any indication.

Fix:

labelsJSON, err := json.Marshal(rule.Labels)
if err != nil {
    log.Warn().Err(err).Msg("Failed to marshal labels")
    continue
}

[niupilot]

⚠️ CONCURRENCY: Missing synchronization

currentRules and currentRuleMetas are accessed from HTTP handlers (concurrent goroutines) without any mutex protection. This can cause data races, panics, or corrupted state.

Fix: Add mutex:

type AlertService struct {
    mu               sync.RWMutex
    currentRules     []model.AlertRule
    currentRuleMetas []model.AlertRuleMeta
    // ...
}

Then use s.mu.Lock()/s.mu.RLock() in all methods that access these fields.

[niupilot]

⚡ PERFORMANCE: Missing connection pooling

HTTP client without configured Transport will not reuse connections, causing:

• Increased latency (TCP handshake overhead)
• Port exhaustion under load
• High memory usage

Fix:

httpClient: &http.Client{
    Timeout: 30 * time.Second,
    Transport: &http.Transport{
        MaxIdleConns:        100,
        MaxIdleConnsPerHost: 10,
        IdleConnTimeout:     90 * time.Second,
    },
}

[niupilot]

🔒 SECURITY: Unbounded request body read

Reading entire request body without size limits can cause OOM with large/malicious payloads.

Fix:

body, err := io.ReadAll(io.LimitReader(r.Body, 10*1024*1024)) // 10MB limit

[niupilot]

🚨 SECURITY CRITICAL: No authentication or authorization

All API endpoints are completely unauthenticated. Anyone with network access can:

• Create/update/delete alert rules
• Query metrics
• Trigger deployments

This is a critical security vulnerability for production use.

Recommendations:

1. Implement API key or JWT authentication middleware
2. Add authorization checks for different operations (RBAC)
3. Add rate limiting to prevent abuse
4. Consider mTLS for service-to-service communication

This should be addressed before merging to production.

[niupilot]

综合评审总结

通过代码质量、性能、安全和文档四个维度的专业评审，发现以下关键问题：

🚨 关键问题（必须修复）

1. 硬编码绝对路径 - deploy_adapter.go:24 使用个人路径，生产环境无法运行
2. 命令注入漏洞 - alert_service.go:553 使用 sh -c 存在安全风险
3. 无认证授权 - 所有 API 端点完全开放，生产环境严重安全隐患
4. 并发数据竞争 - AlertService 的切片字段无同步保护

⚠️ 重要问题（强烈建议修复）

5. HTTP 客户端缺少连接池配置（3处），高负载下性能严重下降
6. Goroutine 泄漏风险 - 后台任务使用 context.Background() 无法取消
7. JSON 解析错误被忽略，可能导致数据损坏

📋 建议改进

• 请求体大小限制（防 OOM 攻击）
• 统一使用结构化日志
• 数据库连接池配置
• 输入验证加强

优点： 代码结构清晰，日志记录完善，错误处理基本得当，文档较为详细。

建议： 关键问题修复后再合并到生产分支。