From 7ef1b376598dc769bc1c34e3b83458b9737301a5 Mon Sep 17 00:00:00 2001
From: "xiaobing.wang" <xiaobing.wang@chaitin.com>
Date: Tue, 31 Mar 2026 16:48:55 +0800
Subject: [PATCH] docs: clarify baizhiyun opensdk cert mount

---
 gitops-app-onboarding/SKILL.md | 10 ++++++++++
 1 file changed, 10 insertions(+)

diff --git a/gitops-app-onboarding/SKILL.md b/gitops-app-onboarding/SKILL.md
index 818287e..ec0edcc 100644
--- a/gitops-app-onboarding/SKILL.md
+++ b/gitops-app-onboarding/SKILL.md
@@ -349,6 +349,16 @@ shared 边界：
 - 鉴权材料按固定顺序向用户索取：`app_id` -> `app.crt` -> `app.key` -> `ca.crt` -> `public.key`
 - 如果用户还没提供完整值，不要写伪造占位内容；在最终输出中明确警告缺失了哪些字段以及可能影响
 
+opensdk 读取与挂载规则：
+
+- 当前 opensdk 通过环境变量 `BAIZHIYUN_ENV` 与 `BAIZHIYUN_APP_ID` 决定运行环境与应用标识
+- 当 `BAIZHIYUN_ENV=local` 时，opensdk 走 mock 分支，不读取证书文件
+- 非 `local` 环境下，opensdk 会从固定路径读取证书文件，而不是从环境变量读取路径
+- 固定文件路径是：`/app/ssl/app.crt`、`/app/ssl/app.key`、`/app/ssl/ca.crt`
+- 因此在 Chart / workload 中，应把百智云 Secret 以文件名不变的方式挂载到目录 `/app/ssl`
+- 不要把证书挂到其他自定义目录后期待 opensdk 自动发现，例如 `/.tls/baizhi`
+- `public.key` 不属于当前 opensdk 建立 mTLS 连接时的必读文件；如果平台或应用仍要求保留它，应明确说明它的用途，不要把它和 mTLS 必需挂载文件混为一谈
+
 提问方式要求：
 
 - 只在真正阻塞最终可部署结果时才问