From a577beaa4153b91aa786708af113fd21b4b6a1b0 Mon Sep 17 00:00:00 2001
From: "xiaobing.wang" <xiaobing.wang@chaitin.com>
Date: Tue, 31 Mar 2026 17:01:17 +0800
Subject: [PATCH] docs: clarify shared infra and docker runner tags

---
 gitops-app-onboarding/SKILL.md | 7 +++++++
 1 file changed, 7 insertions(+)

diff --git a/gitops-app-onboarding/SKILL.md b/gitops-app-onboarding/SKILL.md
index ec0edcc..f7d1e1d 100644
--- a/gitops-app-onboarding/SKILL.md
+++ b/gitops-app-onboarding/SKILL.md
@@ -118,6 +118,10 @@ description: 面向当前 Baizhi GitOps 平台的项目接入工作流，只适
 
 ## GitLab CI 规则
 
+runner 约束：
+
+- 只要某个 job 需要使用 Docker、DinD 或 `docker buildx`，就必须显式带上 GitLab runner tags：`docker`、`network`
+
 ### stages
 
 使用这三个 stage：
@@ -331,6 +335,9 @@ release bundle 只负责导出当前应用自己的发布结果，不负责维
 shared 边界：
 
 - shared 只负责共享基础设施和通用运行时地址
+- 平台共享基础设施包括 `PostgreSQL`、`Redis`、`Qdrant`、`MinIO`
+- 应用 Chart / release bundle 默认应引用这些 shared 组件的既有服务地址与 shared Secret，不要重复生成这些工作负载
+- 只有当用户明确要求该应用自带独立实例时，才为 `PostgreSQL`、`Redis`、`Qdrant`、`MinIO` 生成应用私有资源
 - `Neo4j` 不再作为平台共享基础设施提供；如应用需要图数据库，应由应用自己部署和维护
 - 只要应用运行时配置仍引用某个应用私有依赖，就应在应用 Chart / release bundle 中把它一并表达出来，而不是只在 values 里保留连接参数
 - 不要把某个厂商的客户端证书、私钥、应用专属 `app_id`、tenant id、client id、namespace id、应用独有 webhook 签名密钥放进 `shared/`