gradatum-server 0.4.1

Stateless HTTP/MCP façade :19090 — handles read/search + enqueues writes
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316

//! Prometheus metrics — canal latéral loopback (caveat C7).
//!
//! Lié exclusivement au loopback (127.0.0.1:19091 par défaut). Non configurable
//! sur une adresse non-loopback (C7 strict : pas de TLS escape contrairement
//! au bind principal).
//!
//! La cardinalité des labels est plafonnée (défaut 100/série). Les labels sont sanitisés
//! via une whitelist statique — les paths utilisent des templates de routes, jamais des URI
//! concrètes (ex. `/api/v1/vault_search` et non `/api/v1/vault_search?q=secret`).
//!
//! # Métriques déclarées
//!
//! | Nom | Type | Notes |
//! |---|---|---|
//! | `gradatum_http_requests_total` | Counter | method, path (template), status |
//! | `gradatum_http_request_duration_seconds` | Histogram | method, path (template) |
//! | `gradatum_queue_depth` | Gauge | tenant |
//! | `gradatum_queue_lag_seconds` | Gauge | tenant |
//! | `gradatum_auth_failures_total` | Counter | reason |
//! | `gradatum_revocation_store_size` | Gauge | (sans label) |
//! | `gradatum_curator_decisions_total` | Counter | action — stub T11, impl P2.0b |
//! | `gradatum_llm_backend_calls_total` | Counter | backend, outcome — stub T11, impl P2.0b |

use std::sync::{
    atomic::{AtomicUsize, Ordering},
    Arc,
};

use axum::{body::Body, extract::State, http::StatusCode, response::Response};
use prometheus_client::{
    encoding::text::encode,
    metrics::{
        counter::Counter,
        family::Family,
        gauge::Gauge,
        histogram::{exponential_buckets, Histogram},
    },
    registry::Registry,
};

// ---------------------------------------------------------------------------
// Label sets
// ---------------------------------------------------------------------------

/// Labels pour les requêtes HTTP — paths sanitisés (templates, jamais URIs concrètes).
#[derive(Clone, Hash, Eq, PartialEq, Debug, prometheus_client::encoding::EncodeLabelSet)]
pub struct HttpReqLabels {
    /// Méthode HTTP (GET, POST, …).
    pub method: String,
    /// Template de route (ex. `/api/v1/vault_search`).
    pub path: &'static str,
    /// Code HTTP réponse (200, 400, 500, …).
    pub status: u16,
}

/// Label tenant — contrôlé par cardinality cap.
#[derive(Clone, Hash, Eq, PartialEq, Debug, prometheus_client::encoding::EncodeLabelSet)]
pub struct TenantLabel {
    pub tenant: String,
}

/// Label raison d'échec auth.
#[derive(Clone, Hash, Eq, PartialEq, Debug, prometheus_client::encoding::EncodeLabelSet)]
pub struct AuthFailLabel {
    /// Raison d'échec (ex. `"invalid_token"`, `"expired"`, `"revoked"`).
    pub reason: &'static str,
}

/// Label action curator — stub T11, impl effective P2.0b.
#[derive(Clone, Hash, Eq, PartialEq, Debug, prometheus_client::encoding::EncodeLabelSet)]
pub struct CuratorActionLabel {
    pub action: &'static str,
}

/// Labels appel LLM backend — stub T11, impl effective P2.0b.
#[derive(Clone, Hash, Eq, PartialEq, Debug, prometheus_client::encoding::EncodeLabelSet)]
pub struct LlmBackendLabel {
    pub backend: &'static str,
    pub outcome: &'static str,
}

// ---------------------------------------------------------------------------
// AppMetrics
// ---------------------------------------------------------------------------

/// Métriques applicatives exportées sur le canal latéral loopback :19091.
///
/// Clonable — le `Registry` et les familles sont wrappés dans `Arc`.
/// Injecté dans `AppState` (T11) et dans le routeur metrics séparé.
///
/// Les champs sont `pub` pour être accessibles par les middlewares HTTP (T12+) et les handlers.
/// `dead_code` supprimé : les champs sont des stubs intentionnels — branchement en P2.0b.
#[allow(dead_code)]
#[derive(Clone)]
pub struct AppMetrics {
    /// Registry Prometheus (partagé via Arc pour permettre le clonage).
    pub registry: Arc<Registry>,

    // -- Métriques HTTP -------------------------------------------------------
    /// Nombre total de requêtes HTTP (method, path template, status).
    pub http_requests: Family<HttpReqLabels, Counter>,
    /// Durée des requêtes HTTP en secondes (method, path template).
    pub http_duration: Family<HttpReqLabels, Histogram>,

    // -- File d'attente -------------------------------------------------------
    /// Profondeur de la file d'écriture par tenant (label contrôlé par cap).
    pub queue_depth: Family<TenantLabel, Gauge>,
    /// Décalage de la file d'écriture en secondes par tenant (label contrôlé par cap).
    pub queue_lag: Family<TenantLabel, Gauge>,

    // -- Auth -----------------------------------------------------------------
    /// Nombre d'échecs d'authentification par raison.
    pub auth_failures: Family<AuthFailLabel, Counter>,
    /// Taille du store de révocation (nombre d'entrées).
    pub revocation_size: Gauge,

    // -- Curator / LLM (stubs T11 — impl effective P2.0b) --------------------
    /// Décisions curator par action — stub T11.
    pub curator_decisions: Family<CuratorActionLabel, Counter>,
    /// Appels LLM backend par backend+outcome — stub T11.
    pub llm_calls: Family<LlmBackendLabel, Counter>,

    // -- Event-log (B1 tranche v0.3.0) ----------------------------------------
    /// Nombre de lignes courantes dans la table `event_log`.
    ///
    /// Mis à jour par la tâche de rétention tokio interval (6h).
    /// Ne pas appeler depuis les handlers (scan complet — lazy uniquement).
    pub event_log_rows: Gauge,

    // -- Cardinality cap (tenant) --------------------------------------------
    /// Nombre de labels tenant distincts enregistrés jusqu'ici.
    tenant_count: Arc<AtomicUsize>,
    /// Plafond de cardinalité par série tenant (défaut : 100).
    cap: usize,
}

impl AppMetrics {
    /// Crée et enregistre les 8 métriques dans un nouveau `Registry`.
    ///
    /// # Buckets histogram
    /// Buckets HTTP duration : 10 valeurs exponentielles à partir de 1ms (base 2),
    /// couvrant ~1ms – ~1s.
    pub fn new() -> Self {
        // Les familles doivent être clonées AVANT register (register prend ownership d'une copie).
        let http_requests: Family<HttpReqLabels, Counter> = Family::default();
        let http_duration: Family<HttpReqLabels, Histogram> =
            Family::new_with_constructor(|| Histogram::new(exponential_buckets(0.001, 2.0, 10)));
        let queue_depth: Family<TenantLabel, Gauge> = Family::default();
        let queue_lag: Family<TenantLabel, Gauge> = Family::default();
        let auth_failures: Family<AuthFailLabel, Counter> = Family::default();
        let revocation_size: Gauge = Gauge::default();
        let curator_decisions: Family<CuratorActionLabel, Counter> = Family::default();
        let llm_calls: Family<LlmBackendLabel, Counter> = Family::default();
        let event_log_rows: Gauge = Gauge::default();

        let mut registry = Registry::default();

        registry.register(
            "gradatum_http_requests",
            "Nombre total de requêtes HTTP reçues",
            http_requests.clone(),
        );
        registry.register(
            "gradatum_http_request_duration_seconds",
            "Durée des requêtes HTTP en secondes",
            http_duration.clone(),
        );
        registry.register(
            "gradatum_queue_depth",
            "Profondeur de la file d'écriture par tenant",
            queue_depth.clone(),
        );
        registry.register(
            "gradatum_queue_lag_seconds",
            "Décalage de la file d'écriture en secondes par tenant",
            queue_lag.clone(),
        );
        registry.register(
            "gradatum_auth_failures",
            "Nombre d'échecs d'authentification par raison",
            auth_failures.clone(),
        );
        registry.register(
            "gradatum_revocation_store_size",
            "Nombre d'entrées dans le store de révocation",
            revocation_size.clone(),
        );
        registry.register(
            "gradatum_curator_decisions",
            "Décisions curator par action (stub T11)",
            curator_decisions.clone(),
        );
        registry.register(
            "gradatum_llm_backend_calls",
            "Appels LLM backend par backend+outcome (stub T11)",
            llm_calls.clone(),
        );
        registry.register(
            "gradatum_event_log_rows",
            "Nombre de lignes courantes dans event_log (mis à jour par la tâche de rétention)",
            event_log_rows.clone(),
        );

        Self {
            registry: Arc::new(registry),
            http_requests,
            http_duration,
            queue_depth,
            queue_lag,
            auth_failures,
            revocation_size,
            curator_decisions,
            llm_calls,
            event_log_rows,
            tenant_count: Arc::new(AtomicUsize::new(0)),
            cap: 100,
        }
    }

    /// Enregistre un label tenant, en appliquant le plafond de cardinalité.
    // Utilisé par les middlewares HTTP (T12+) et directement par les tests.
    #[allow(dead_code)]
    ///
    /// # Comportement
    /// - Si la cardinalité n'a pas encore atteint le plafond (`cap`), incrémente le compteur
    ///   et retourne `Some(label)` — l'appelant peut utiliser ce label pour observer des métriques.
    /// - Si le plafond est atteint, log un warning et retourne `None` — le label est ignoré.
    ///
    /// # Note importante
    /// Ce compteur est un compteur _d'admission_ : il comptabilise les labels uniques
    /// présentés pour la première fois. Il ne connaît pas les labels déjà créés dans les Family.
    /// Pour un usage correct : appeler `observe_tenant` une seule fois par tenant distinct,
    /// puis réutiliser le label directement pour les mises à jour ultérieures de métriques.
    pub fn observe_tenant(&self, label: TenantLabel) -> Option<TenantLabel> {
        let current = self.tenant_count.load(Ordering::Relaxed);
        if current >= self.cap {
            tracing::warn!(
                tenant = %label.tenant,
                cap = self.cap,
                "cardinality cap atteint, label tenant ignoré"
            );
            return None;
        }
        // Incrémentation non-atomique avec le check ci-dessus — intentionnel : en cas de race
        // condition, quelques labels supplémentaires peuvent passer (at most N_threads au-dessus du cap).
        // C'est acceptable : le cap est une protection DoS soft, pas un hard limit cryptographique.
        self.tenant_count.fetch_add(1, Ordering::Relaxed);
        Some(label)
    }
}

impl Default for AppMetrics {
    fn default() -> Self {
        Self::new()
    }
}

// ---------------------------------------------------------------------------
// Handler /metrics
// ---------------------------------------------------------------------------

/// Handler Axum pour l'endpoint `/metrics` (canal latéral loopback).
///
/// Encode le registry Prometheus au format OpenMetrics text.
/// Retourne 500 si l'encodage échoue (ne devrait pas arriver en pratique).
pub async fn metrics_handler(State(m): State<AppMetrics>) -> Result<Response, StatusCode> {
    let mut buf = String::new();
    encode(&mut buf, &m.registry).map_err(|e| {
        tracing::error!(error = %e, "échec encodage métriques Prometheus");
        StatusCode::INTERNAL_SERVER_ERROR
    })?;
    Response::builder()
        .header(
            "Content-Type",
            "application/openmetrics-text; version=1.0.0; charset=utf-8",
        )
        .body(Body::from(buf))
        .map_err(|e| {
            tracing::error!(error = %e, "échec construction réponse /metrics");
            StatusCode::INTERNAL_SERVER_ERROR
        })
}

// ---------------------------------------------------------------------------
// Listener loopback
// ---------------------------------------------------------------------------

/// Démarre le listener métriques sur `bind` (doit être loopback — caveat C7 strict).
///
/// Spawné depuis `main.rs` après que le listener principal est lié.
///
/// # Erreurs
/// - Retourne `Err` si `bind` n'est pas loopback (C7 : pas de TLS escape pour les métriques).
/// - Retourne `Err` si le bind TCP échoue ou si axum::serve retourne une erreur.
pub async fn spawn_metrics_listener(
    bind: std::net::SocketAddr,
    m: AppMetrics,
) -> anyhow::Result<()> {
    use axum::{routing::get, Router};

    if !bind.ip().is_loopback() {
        anyhow::bail!(
            "metrics listener doit être loopback (caveat C7) : adresse refusée = {}",
            bind
        );
    }

    let app = Router::new()
        .route("/metrics", get(metrics_handler))
        .with_state(m);

    let listener = tokio::net::TcpListener::bind(bind).await?;
    tracing::info!(addr = %bind, "metrics listener en écoute");
    axum::serve(listener, app).await?;
    Ok(())
}