From 3f5b941eacdca4fef63120001afb911581ad32e3 Mon Sep 17 00:00:00 2001
From: "xiaobing.wang" <xiaobing.wang@chaitin.com>
Date: Tue, 31 Mar 2026 14:34:38 +0800
Subject: [PATCH] docs: clarify nodeport-based public entry

---
 README.md                      | 2 +-
 gitops-app-onboarding/SKILL.md | 5 ++++-
 2 files changed, 5 insertions(+), 2 deletions(-)

diff --git a/README.md b/README.md
index 5d7a041..c27eb93 100644
--- a/README.md
+++ b/README.md
@@ -18,7 +18,7 @@
 - 恢复 `.gitlab-ci.yml`、`deploy/`、Helm Chart、release bundle
 - 修当前平台的发版链路
 - 让应用仓库在发版时推送自己的 release 结果
-- 按固定 nginx 代理模型组织前后端对外暴露
+- 按固定 nginx + `NodePort` 代理模型组织前后端对外暴露
 
 不适合处理：
 
diff --git a/gitops-app-onboarding/SKILL.md b/gitops-app-onboarding/SKILL.md
index 95ef68d..09e9ec3 100644
--- a/gitops-app-onboarding/SKILL.md
+++ b/gitops-app-onboarding/SKILL.md
@@ -216,6 +216,8 @@ deploy/helm/<app-name>/
 - 模板中不要硬编码生产镜像 tag
 - 所有镜像名都从 values 读取
 - 所有 Service 暴露方式都从 values 读取
+- nginx 对外 Service 固定使用 `NodePort`
+- 后端 Service 默认使用集群内访问类型，不对外暴露 `NodePort`
 - 不要生成 Ingress 模板或 Ingress values
 - 设置 `enableServiceLinks: false`
 - 支持 `imagePullSecrets`
@@ -237,7 +239,7 @@ deploy/helm/<app-name>/
 对外暴露模型使用固定方式，不再按项目自由选择。
 
 - 固定使用 nginx 作为统一入口，代理前端与后端路径
-- 对外只暴露 nginx 入口，不直接暴露后端服务
+- 对外只暴露 nginx 入口，并通过 `NodePort` 提供入口访问
 - 后端服务默认只在集群内通信
 - 不生成 Ingress 资源，也不要在 values 中保留 Ingress 开关
 - 不要因为应用有多个内部服务，就擅自发明多个公网 host
@@ -271,6 +273,7 @@ deploy/helm/<app-name>/
 - Secret 名符合平台约定
 - 私有镜像拉取时包含 `imagePullSecrets`
 - 与 Chart schema 保持一致
+- nginx 对外入口使用 `NodePort`
 - 不包含 Ingress 配置项
 
 ### `secret.yaml`