Cerebro Studio · Backlog · Changelog
Cerebro • /root/cerebro/docs/changelog/2026/CL-2026-03-11-INFRA-DNS-GITHUB-FINAL.md • 2026-03-11T14:32:24.376Z
CerebroRioNoTeatroLegalizaRJSeuImovelEdmundo10SigaAutoBotVoneinhaUnivision OlhosTrueStay

CL-2026-03-11-INFRA-DNS-GITHUB-FINAL · Fechamento estrutural do incidente de DNS/GitHub na VPS

  • Status: (V) conferido e aprovado
  • Escopo: plataforma
  • Projetos afetados: cerebro, legalizarj, rionoteatro, seuimovel, sigaautobot
  • BK relacionado: sem BK formal
  • Aprovacao humana obrigatoria: nao
  • Data: 2026-03-11
  • Autor: Codex (GeJoRei-VPS)
  • revisor_ia: auto-revisao

Resumo

Concluido o fechamento estrutural do incidente recorrente de DNS/GitHub na VPS. O problema deixou de ser tratado apenas como precedencia IPv4/IPv6 e foi resolvido com ajuste do caminho efetivo de resolucao usado por curl/git, desativacao do cache hosts do nscd, troca dos resolvers persistentes do host e alinhamento do APT para noble, o que tambem restaurou dig e nslookup. A governanca do repositorio foi endurecida com regra anti-loop em AGENTS.md para obrigar consulta do historico antes de nova tentativa de diagnostico desse tema e com reforco em POLICY.md para validar sintaxe de arquivos de codigo antes de commit, merge ou encerramento.

Contexto

  • Em 2026-03-06, a VPS recebeu ajuste de precedencia IPv4 em CL-2026-03-06-INFRA-DNS-FIX.md.
  • Em 2026-03-10, o monitor documentado em CL-2026-03-10-BK-112.md e CL-2026-03-10-BK-113.md separou DNS do sistema, DoH e HTTPS, mas ainda apontava que o incidente podia voltar por causa externa.
  • Em 2026-03-11, a evidencia operacional mostrou um descompasso objetivo: getent hosts github.com resolvia, enquanto curl https://github.com e git ls-remote falhavam com Could not resolve host: github.com.

Entregas Tecnicas

1) Causa operacional isolada

  • O caminho de resolucao usado por curl/git nao estava consistente com o resultado de getent.
  • O nscd mantinha cache de hosts, o que amplificava respostas ruins ou intermitentes.
  • A VPS ainda tinha mistura de sources focal com noble, o que ja tinha quebrado bind9-dnsutils e escondia parte do diagnostico porque dig e nslookup estavam comprometidos no proprio host.

2) Correcao persistente de DNS no host

  • Ajustado /etc/nscd.conf para desativar cache de hosts.
  • Ajustado /etc/resolv.conf para usar 45.143.83.10, 1.1.1.1 e 8.8.8.8.
  • Ajustado /etc/netplan/50-cloud-init.yaml com os mesmos resolvers para persistencia no host.
  • Reiniciado nscd apos a alteracao.

3) Alinhamento estrutural do APT

  • Removidas das sources ativas as entradas legadas focal da base Ubuntu.
  • Mantida a base Ubuntu em noble por meio de /etc/apt/sources.list.d/ubuntu.sources.
  • Alinhados os repositorios de fornecedor para noble, evitando nova mistura de series.
  • Atualizados bind9-dnsutils, bind9-host, bind9-libs e bind9-utils para 1:9.18.39-0ubuntu0.24.04.2.

4) Validacao objetiva

  • Em 2026-03-11 10:21 -03, getent hosts github.com retornou 4.228.31.150 em repeticoes consecutivas.
  • Em 2026-03-11 10:21 -03, curl -I https://github.com retornou HTTP/2 200.
  • Em 2026-03-11 10:21 -03, git ls-remote https://github.com/git/git.git HEAD respondeu normalmente.
  • Em 2026-03-11 10:28 -03, dig +short github.com A e nslookup github.com voltaram a funcionar no host.
  • Em nova validacao na propria VPS em 2026-03-11, getent, curl e git ls-remote permaneceram operacionais, confirmando que o problema nao estava mais presente no caminho usado pelo GitHub.

5) Governanca anti-loop

  • AGENTS.md passou a exigir consulta previa do historico documentado antes de qualquer nova tentativa de corrigir DNS, GitHub, curl, git pull, git push ou Could not resolve host.
  • A regra agora exige evidencia minima com data/hora, branch atual, git status, output bruto e referencia ao changelog consultado.
  • POLICY.md passou a exigir validacao de sintaxe dos arquivos de codigo alterados antes de commit, merge ou encerramento, com php -l para PHP e node --check para JavaScript.
  • O utilitario scripts/setup_vps_workflow.sh fica disponivel para bootstrap de workflow Git/documentacao em projetos externos da VPS, reduzindo a chance de novos projetos nascerem sem o mesmo padrao operacional.

Backups e Rollback

  • Backups intermediarios de DNS/cache: /tmp/dns-fix-20260311-101744/
  • Backups intermediarios de APT/base + bind9: /tmp/apt-dns-fix-20260311-102744/
  • Backups intermediarios de repositorios de fornecedor: /tmp/apt-repo-align-20260311-102936/
  • Backup consolidado da intervencao: /root/cerebro/backups/system/2026-03-11-dns-apt-runtime-align/
  • Rollback consolidado disponivel em /root/cerebro/backups/system/2026-03-11-dns-apt-runtime-align/rollback-runtime.sh

Riscos Residuais

  • O monitor DNS/rede continua necessario para detectar nova oscilacao real do provedor ou da saida externa.
  • github.com e api.github.com continuam sem utilidade pratica em HTTPS IPv6 neste host, o que permanece como telemetria e nao como incidente.
  • O fechamento acima estabiliza o DNS/GitHub na VPS, mas nao substitui governanca futura de rede/provedor caso a infraestrutura externa volte a oscilar.