diff --git a/README.md b/README.md index 620bcb0..1bc5a6c 100644 --- a/README.md +++ b/README.md @@ -21,14 +21,13 @@ 执行时会遵守这些平台规则: -- 需要公网 HTTP 入口的应用使用 nginx + 单一 `NodePort` 作为平台接入层 -- 百智云用户鉴权是平台必填接入项,需要逐项补齐 `app_id` 与证书材料 -- 平台 shared 之外的私有依赖必须明确来源,不能只写不存在的连接参数 -- 应用自带私有依赖的内部口令优先自动生成;外部集成凭据再向用户逐项索取 -- 只允许应用仓库 CI 向 GitOps 仓库同步当前应用自己的 release 结果与版本引用;如果当前应用的 chart 版本由 GitOps 仓库中的 `Application` 维护,则只同步更新 `apps//application.yaml` 里的 `targetRevision` -- 如果运行时资源通过 `releases//manifests/` 提供,就必须同步维护这个 path 与 `Application` 中对应的 source,不能只删目录不删引用 -- 第三方镜像保持真实来源;只有当前应用 CI 实际发布的镜像才写到 `registry.baizhi.cloud//...` -- 镜像内自带的 nginx / 反向代理 upstream 必须和 Chart 渲染出来的 Service 名一致,不能混用裸服务名和 fullname 前缀 +- 明确列出应用仓库必须产出的文件、GitOps 导出结果和 CI 处理顺序 +- 只允许应用仓库 CI 同步当前应用自己的 release 结果与 `Application.targetRevision` +- `deploy/release/secret.yaml` 是唯一作者源;CI 只导出 `releases//manifests/secret.yaml` +- 如果保留 `releases//manifests/` source,就必须保留固定模板的 `kustomization.yaml` +- 需要公网 HTTP 入口时固定使用 nginx + 单一 `NodePort`,不改成 Ingress +- 百智云用户鉴权是必填项,按固定顺序逐项补齐 `app_id` 与证书材料 +- 平台 shared 之外的私有依赖必须明确来源;第三方镜像保持真实来源 不适合处理: diff --git a/gitops-app-onboarding/SKILL.md b/gitops-app-onboarding/SKILL.md index 36abf29..addb9ab 100644 --- a/gitops-app-onboarding/SKILL.md +++ b/gitops-app-onboarding/SKILL.md @@ -5,180 +5,170 @@ description: 面向当前 Baizhi GitOps 平台的项目接入工作流,只适 # GitOps 项目接入 Skill -这个 skill 是 Baizhi GitOps 平台的接入入口与执行摘要。 +## 目标 -执行不应依赖用户重复解释平台规则;按本 skill 与当前仓库约定直接推进即可。 +让 agent 能独立完成下面四件事: -目标是让 agent 能独立完成以下工作: - -- 为应用仓库补齐或恢复 `.gitlab-ci.yml` -- 生成或修复 `deploy/helm//` Chart -- 生成或修复 `deploy/release/` release bundle -- 在发版链路中将当前应用自己的 release 结果推送到固定 GitOps 仓库 +- 生成或修复 `.gitlab-ci.yml` +- 生成或修复 `deploy/helm//` +- 生成或修复 `deploy/release/` +- 让发版链路把当前应用的发布结果同步到固定 GitOps 仓库 ## 平台固定常量 -除非用户明确要求修改,否则默认使用以下常量: +除非用户明确要求修改,否则固定使用: -- GitOps 仓库主机:`deploy.baizhi.cloud` -- OCI Registry 主机:`registry.baizhi.cloud` +- GitOps 主机:`deploy.baizhi.cloud` +- Registry 主机:`registry.baizhi.cloud` - Helm OCI 仓库:`oci://registry.baizhi.cloud/helm` -- GitOps 仓库克隆地址:`https://deploy.baizhi.cloud/gitops-admin/argodeploy.git` +- GitOps 仓库地址:`https://deploy.baizhi.cloud/gitops-admin/argodeploy.git` - Registry 用户名:`registry-ci` -- 共享镜像拉取 Secret:`registry-pull-secret` +- 共享 pull secret:`registry-pull-secret` - GitOps 控制器:Argo CD -- Chart 分发方式:OCI Registry -- 源代码托管:GitLab +- 代码托管:GitLab -应用仓库 CI 默认依赖以下 GitLab 变量: +GitLab CI 默认依赖这些变量: - `GITEA_USER` - `GITEA_TOKEN` - `REGISTRY_PASSWORD` -通常直接把 `REGISTRY_USER` 写成 `registry-ci`。 +## 开始前先做什么 -## 真相来源与读取顺序 +先按这个顺序读仓库: -开始改代码前,按下面顺序建立上下文: +1. `README.md` +2. Dockerfile、包管理文件、构建脚本、已有 deploy 文件 +3. 用户提供的额外设计文档 -1. 先读目标应用仓库 `README.md` -2. 再读 Dockerfile、包管理文件、构建脚本、现有 deploy 文件 -3. 如果用户给了额外设计文档,一并读取 - -判断规则: - -- 目标应用仓库自己的 `README.md` 是应用运行架构的真相来源 -- 本 skill 定义平台接入流程、约束和执行重点 -- 如果应用 README 与平台约定冲突,优先识别是“应用设计差异”还是“平台硬约束” -- 如果冲突会直接改变最终实现且无法安全推断,再问用户;否则优先按已有代码和文档做最小偏差实现 - -在生成任何文件前,先推断出: +在动手前先确定: - 组件列表 -- 每个组件的构建上下文 -- 容器入口 -- 对外暴露模型 +- 每个组件的构建上下文与入口 +- 对外暴露方式 - 运行时配置结构 -- 哪些依赖属于平台共享,哪些是应用私有 +- 平台共享依赖与应用私有依赖 -不要假设每个项目都长得和现有项目一样。 +应用仓库自己的 `README.md` 是应用运行架构的真相来源;本 skill 只定义平台接入规则。 -## 先判断修改范围 +## 边界 -先区分任务属于哪一种: - -1. 补齐或修复应用仓库中的 CI、Chart、release 模板 -2. 修复应用仓库中的发版链路,使其在发版时推送当前应用自己的 release 结果 - -边界约束: - -- 本 skill 只处理应用仓库侧接入 -- 不读取、不判断、不修改与当前应用无关的 GitOps 发布侧清单 +- 只处理应用仓库侧接入 +- 不修改与当前应用无关的 GitOps 清单 - 对 GitOps 的唯一动作,是在应用仓库 CI 中同步当前应用自己的 release 结果与版本引用 -- 如果当前应用的 Argo CD `Application` 已存在且 chart 版本引用由 GitOps 仓库维护,只允许同步更新 `apps//application.yaml` 中当前应用 chart source 的 `targetRevision` -- 不要修改 `AppProject`、bootstrap、其他应用的 `Application`,也不要改动当前应用 `Application` 中除 chart `targetRevision` 以外的字段 +- 如果当前应用的 `Application` 已存在,只允许更新 `apps//application.yaml` 中当前应用 chart source 的 `targetRevision` +- 不修改 `AppProject`、bootstrap、其他应用的 `Application` -## 交付模型 +## 应用仓库必须产出哪些文件 -平台采用两个仓库协同交付: - -- 应用仓库负责源码、Docker 构建、`.gitlab-ci.yml`、Helm Chart 源码、release bundle 模板 -- 当前 GitOps 仓库负责 Argo CD `Application`、`AppProject`、平台 bootstrap、已发布 release bundle、共享配置 - -标准发布流程: - -1. 分支或 MR 只跑测试 -2. 打 `vX.Y.Z` tag 后构建并推送镜像 -3. 打 `vX.Y.Z` tag 后打包并推送 Helm Chart -4. 打 `vX.Y.Z` tag 后更新当前 GitOps 仓库中该应用的版本引用,包括当前应用 `Application` 中 chart source 的 `targetRevision` -5. 推送当前 GitOps 仓库提交 -6. Argo CD 感知当前 GitOps 仓库变更后自动同步 - -关键约束: - -- CI 不能直接调用 `kubectl` -- CI 不能调用 `argocd app sync` -- CI 不能把 hard refresh 当常规步骤 -- 当前 GitOps 仓库的提交才是 Argo 的同步信号 - -如果线上故障需要 hard refresh,那是运维例外,不属于通用模板。 - -## 应用仓库通常需要生成什么 - -通常需要创建或修复: +### CI - `.gitlab-ci.yml` -- `deploy/helm//Chart.yaml` -- `deploy/helm//values.yaml` -- `deploy/helm//templates/*` + +### Chart + +- `deploy/helm//Chart.yaml` +- `deploy/helm//values.yaml` +- `deploy/helm//templates/*` + +### release 作者源 + - `deploy/release/metadata.yaml` - `deploy/release/values.yaml` - `deploy/release/secret.yaml` -如果应用还有不适合放进 Chart 的静态清单,可以在后续发布结果中导出到当前 GitOps 仓库的 `releases//manifests/`。 +如果 `Application` 仍引用 `releases//manifests/`,还必须生成: -- 如果 Chart 运行时依赖的 `Secret`、`ConfigMap` 或 shared 资源并不是由 Chart 自己创建,而是通过 `deploy/release/secret.yaml` 或 GitOps 仓库中的 `shared/` 提供,就必须保留一个最小的 `releases//manifests/` 输出,并让当前应用的 `Application` 持续引用这个 path -- 如果某次发布不再导出 `releases//manifests/`,就必须同时移除当前应用 `Application` 中对应的 manifests source;不要留下一个指向不存在路径的 source +- `deploy/release/manifests/kustomization.yaml` + +默认模板固定为: + +```yaml +apiVersion: kustomize.config.k8s.io/v1beta1 +kind: Kustomization +namespace: +resources: + - secret.yaml + - ../../../shared +``` + +只有在确实需要额外静态资源时,才往 `resources:` 追加内容。 + +如果 `Application` 不再引用 `releases//manifests/`,就不要保留 `deploy/release/manifests/`。 + +## GitOps 仓库里最终应该有哪些文件 + +CI 导出结果固定为: + +- `deploy/release/metadata.yaml` -> `releases//metadata.yaml` +- `deploy/release/values.yaml` -> `releases//values.yaml` +- `deploy/release/manifests/kustomization.yaml` -> `releases//manifests/kustomization.yaml` +- `deploy/release/secret.yaml` -> `releases//manifests/secret.yaml` +- `apps//application.yaml` -> 只更新 chart source 的 `targetRevision` + +固定规则: + +- 不导出 `releases//secret.yaml` +- `releases//manifests/kustomization.yaml` 默认只维护 `secret.yaml` 和 `../../../shared` +- 不要依赖 `../secret.yaml` 这类位于当前 source path 外的裸资源文件 +- 如果不再导出 `releases//manifests/`,必须同时移除 `Application` 中对应的 manifests source ## GitLab CI 规则 -runner 约束: - -- 只要某个 job 需要使用 Docker、DinD 或 `docker buildx`,就必须显式带上 GitLab runner tags:`docker`、`network` - ### stages -使用这三个 stage: +固定使用: - `test` - `build` - `release` +### runner tags + +只要 job 使用 Docker、DinD 或 `docker buildx`,就必须带: + +- `docker` +- `network` + ### test job -test job 应运行在分支和 MR 上,并执行目标项目自己的标准测试命令。 +用途:只做测试,不改 GitOps,不推镜像。 要求: -- 安装该语言栈所需的最小依赖 -- 如果依赖私有代码仓库,补齐认证 -- 使用项目本身的标准测试入口,不要擅自发明新的测试命令 +- 运行在分支和 MR 上 +- 安装当前语言栈的最小依赖 +- 如依赖私有仓库,补齐认证 +- 使用项目原生测试入口 -Go 项目额外要求: +Go 项目默认变量写在 `.gitlab-ci.yml` 的 `variables:`: -- 如果项目使用 Go,并且依赖公共模块下载,默认在 GitLab CI variables 中加入:`GOPROXY=https://goproxy.cn,direct`、`GOSUMDB=sum.golang.google.cn` -- 如果项目使用 `git.in.chaitin.net` 私有 Go 模块,默认同时加入:`GOPRIVATE=git.in.chaitin.net`、`GONOSUMDB=git.in.chaitin.net`、`GONOPROXY=git.in.chaitin.net`、`GOINSECURE=git.in.chaitin.net` -- 如果项目通过 GitLab 私有仓库拉取依赖且当前平台环境需要跳过证书校验,默认加入:`GIT_SSL_NO_VERIFY="true"` -- 这类 Go 代理与私有仓库变量应放在 `.gitlab-ci.yml` 的 `variables:` 中,而不是分散写进单个命令 - -示例: - -- Go:`go mod download`、`go test ./...` -- Node:`npm ci`、`npm test` +- `GOPROXY=https://goproxy.cn,direct` +- `GOSUMDB=sum.golang.google.cn` +- `GOPRIVATE=git.in.chaitin.net` +- `GONOSUMDB=git.in.chaitin.net` +- `GONOPROXY=git.in.chaitin.net` +- `GOINSECURE=git.in.chaitin.net` +- `GIT_SSL_NO_VERIFY="true"` ### release 触发条件 -发布链路只应在 `vX.Y.Z` 这种语义化 tag 上触发。 +只在 `vX.Y.Z` tag 上触发发布链路。 ### build-images job -这个 job 必须: +输入:源码、Dockerfile、多组件构建上下文。 + +输出:推送到 `registry.baizhi.cloud//:` 的运行时镜像。 + +要求: - 登录 `registry.baizhi.cloud` -- 构建项目所有需要发布的运行时镜像 -- 将镜像推送到 `registry.baizhi.cloud//:` +- 优先使用 `docker buildx` +- 私有 Git 依赖通过 `.netrc` 和 build secret 传入 +- 如需额外 CA,也通过 build secret 传入 -如果仓库已经使用 BuildKit 或多构建上下文,优先使用 `docker buildx`。 - -如果镜像构建依赖私有 Git 仓库: - -- 用 CI 凭据生成 `.netrc` -- 通过 Docker build secret 传入 -- 如需额外 CA 证书,也通过 build secret 传入 -- 如果私有 GitLab 仓库位于 `git.in.chaitin.net` 且当前平台环境需要跳过证书校验,可配合 `GOINSECURE=git.in.chaitin.net` 与 `GIT_SSL_NO_VERIFY="true"` - -不要使用: +禁止: - `http://registry...` - `--plain-http` @@ -186,107 +176,104 @@ Go 项目额外要求: ### package-chart job -这个 job 必须: +输入:`deploy/helm//Chart.yaml`、`deploy/helm//values.yaml`、`deploy/helm//templates/*` -- 执行 `helm registry login registry.baizhi.cloud` -- 将 Chart 的 `version` 和 `appVersion` 更新为 tag 去掉前缀 `v` 后的版本号 -- 执行 `helm package` -- 推送到 `oci://registry.baizhi.cloud/helm` +输出:推送到 `oci://registry.baizhi.cloud/helm` 的 Chart 包。 + +要求: + +- `helm registry login registry.baizhi.cloud` +- 在临时目录复制 `deploy/helm//` +- 把复制品中的 `version` 和 `appVersion` 改成 tag 版本 +- `helm package` +- `helm push` ### update-gitops-repo job -这个 job 必须: +输入:`deploy/release/*`、当前 tag 版本、GitOps 仓库中的 `apps//application.yaml` -- 克隆 `https://${GITEA_USER}:${GITEA_TOKEN}@deploy.baizhi.cloud/gitops-admin/argodeploy.git` -- 只同步当前应用自己的 release 结果或版本引用 -- 提交并推送到 `main` +输出: -通常需要更新: +- `releases//metadata.yaml` +- `releases//values.yaml` +- `releases//manifests/` 下的发布结果 +- `apps//application.yaml` 中当前应用 chart source 的 `targetRevision` -- `releases//values.yaml` -- `releases//metadata.yaml` -- `releases//manifests/` 下由当前应用导出的发布结果 -- `apps//application.yaml` 中当前应用 chart source 的 `targetRevision` +处理顺序固定为: -不要在这个 job 中加入集群部署逻辑。 +1. 克隆 `https://${GITEA_USER}:${GITEA_TOKEN}@deploy.baizhi.cloud/gitops-admin/argodeploy.git` +2. 清空并重建 `releases//` +3. 复制 `deploy/release/` 到 `releases//` +4. 删除 `releases//secret.yaml` +5. 如果仍保留 manifests source: + - 保留 `releases//manifests/kustomization.yaml` + - 将 `deploy/release/secret.yaml` 物化为 `releases//manifests/secret.yaml` +6. 替换 `releases//metadata.yaml` 和 `releases//values.yaml` 中的 `__VERSION__` +7. 更新 `apps//application.yaml` 中当前应用 chart source 的 `targetRevision` +8. 只有存在 diff 时才提交并推送 `main` + +禁止: + +- 在 CI 中调用 `kubectl` +- 在 CI 中调用 `argocd app sync` +- 把 hard refresh 当常规发布步骤 ## Helm Chart 规则 Chart 必须反映应用的真实运行架构。 -推荐结构: +固定要求: -```text -deploy/helm// -├── Chart.yaml -├── values.yaml -└── templates/ - ├── _helpers.tpl - ├── deployment-.yaml - ├── service-.yaml 或 services.yaml - └── 按职责拆分的其他资源 -``` - -规则: - -- 按职责拆文件,不要堆成一个巨大模板 -- 模板中不要硬编码生产镜像 tag -- 所有镜像名都从 values 读取 -- 所有 Service 暴露方式都从 values 读取 +- 按职责拆文件,不堆一个大模板 +- 模板中不硬编码生产 tag +- 所有镜像名从 values 读取 +- 所有 Service 暴露方式从 values 读取 - nginx 对外 Service 固定使用 `NodePort` -- 后端 Service 默认使用集群内访问类型,不对外暴露 `NodePort` -- 如果应用运行时依赖某个不属于平台 shared 的私有服务,Chart / release bundle 必须把该依赖的来源表达清楚:要么生成应用自带资源,要么明确引用用户已提供的外部地址;不要只留下一个指向不存在服务的 host -- 应用自带的私有依赖如果同时需要应用口令和依赖自身启动口令,Secret key 设计要把两种消费方式都表达清楚;例如既保留 `neo4j_password` 供业务容器连接使用,也额外提供 `neo4j_auth` 这类组合值供 Neo4j 自身启动使用 -- `NodePort` 必须来自用户或平台已分配值,agent 不得自行猜测或默认分配端口 -- 不要生成 Ingress 模板或 Ingress values +- 后端 Service 只做集群内访问 +- 不生成 Ingress 模板,也不保留 Ingress values +- `NodePort` 必须来自用户或平台已分配值,不能猜 - 设置 `enableServiceLinks: false` - 支持 `imagePullSecrets` - 环境变量注入保持可读 -- 如果镜像内自带 nginx / 反向代理配置,upstream service 名必须与 Chart 实际渲染出来的 Service 名一致;如果 Chart 使用 `fullname` 前缀,就不要在镜像配置里写裸服务名 `server`、`mcp`、`frontend` -- Kubernetes `env.value` 不会展开 `$(OTHER_ENV)` 这种 shell 变量引用;不要生成 `NEO4J_AUTH=neo4j/$(NEO4J_PASSWORD)` 这类写法并假设容器启动时会自动拼接 -- 对像 Neo4j 这类会把 `NEO4J_*` 解析为配置项的镜像,不要额外注入并不存在的配置名,例如 `NEO4J_PASSWORD` -- 健康检查要符合真实应用行为 +- 如果镜像内带 nginx / 反向代理配置,upstream service 名必须与 Chart 渲染出的 Service 名一致 +- 不要依赖 Kubernetes 不支持的 `$(OTHER_ENV)` 展开 +- 对 Neo4j 这类镜像,不要注入不存在的 `NEO4J_*` 配置名,例如 `NEO4J_PASSWORD` -`_helpers.tpl` 一般至少提供: +如果应用依赖平台 shared 之外的私有服务,必须明确表达依赖来源: -- chart name -- fullname -- namespace -- labels -- selector labels +- 要么由 Chart 生成应用自带资源 +- 要么明确引用用户提供的外部地址 -只有当项目本身确实有 path 推导的 URL 时,才增加 URL helper。 +不能只留一个指向不存在服务的 host。 + +如果应用自带依赖同时需要业务连接口令和依赖自身启动口令,Secret key 要同时表达两种消费方式,例如: + +- `neo4j_password` +- `neo4j_auth` ## 对外暴露模型 -对外暴露模型使用固定方式。 +固定使用: -- 固定使用 nginx 作为统一入口,代理前端与后端路径 -- 对外只暴露 nginx 入口,并通过 `NodePort` 提供入口访问 -- 后端服务默认只在集群内通信 -- 每个应用对外只保留一个 nginx `NodePort` 入口 -- 不生成 Ingress 资源,也不要在 values 中保留 Ingress 开关 -- 不要因为应用有多个内部服务,就擅自发明多个公网 host - -如果项目当前没有现成的前端代理层,也应按这个固定模型为对外入口预留 nginx 代理方案,而不是改成 Ingress。 +- nginx 作为统一入口 +- 对外只暴露一个 nginx `NodePort` +- 后端服务只在集群内通信 +- 不生成 Ingress `NodePort` 处理规则: -- 如果用户或项目文档已经提供了分配好的 `NodePort`,直接使用 -- 如果没有提供,在生成到这一项时立即停下来索取该端口 -- 不要擅自写入示例端口或看起来顺手的默认值,例如 `30080`、`30081` -- 如果用户暂时没有提供,就停在这一项等待补值,不要擅自填入 +- 用户或文档已提供时直接使用 +- 没提供时,在生成到这一项时立即索取 +- 不要写示例端口或默认端口 ## Release Bundle 规则 -应用仓库中的 `deploy/release/` 是导出给当前 GitOps 仓库的标准模板。 - ### `metadata.yaml` -至少应包含: +至少包含: - 应用名 -- Kubernetes release 名 +- release 名 - namespace - chart 名 - chart 版本 @@ -296,40 +283,34 @@ deploy/helm// ### `values.yaml` -必须是可用于部署的默认值,而不是示例值。 +必须是可部署默认值,不是示例值。 -至少应满足: +至少满足: -- 应用自己构建并发布的运行时镜像使用 `registry.baizhi.cloud//...` -- 第三方基础镜像或官方镜像如果并未由当前应用 CI 同步到平台 registry,就保持其真实来源,不要擅自改写成 `registry.baizhi.cloud/library/...` -- Secret 名符合平台约定 -- 私有镜像拉取时包含 `imagePullSecrets` -- 与 Chart schema 保持一致 +- 应用自建镜像使用 `registry.baizhi.cloud//...` +- 第三方镜像保持真实来源 +- Secret 名与 Chart 约定一致 +- 私有镜像包含 `imagePullSecrets` +- 与 Chart schema 一致 - nginx 对外入口使用 `NodePort` -- `NodePort` 值来自用户或平台已分配结果,而不是模板内置默认值 +- `NodePort` 值来自用户或平台分配结果 - 不包含 Ingress 配置项 ### `secret.yaml` -用于放应用私有 Secret 模板,key 名必须与 Chart 读取的 key 对齐。 +只放应用私有 Secret,key 名必须与 Chart 读取的 key 对齐。 规则: -- 不要为了“看起来完整”而伪造假的生产值 -- 先区分“外部集成凭据”和“应用自带私有依赖的内部口令” -- 如果是外部集成凭据,应在生成到对应配置时主动向用户索取 -- 如果是应用自带私有依赖的内部口令,优先由生成流程一次性生成并写入 release secret,而不是要求用户手填 -- 如果某个工作负载需要组合型鉴权字段,例如 `username/password` 形式的单个环境变量,优先在 Secret 中直接写出完整值,再由 workload 直接读取该 key -- 如果用户暂时没有提供,不要造占位内容冒充可部署配置 -- 对部署阻塞项,按最小必要粒度逐项提问,优先直接问“这一项应填什么” -- 在交互会话中,如果当前步骤需要某个必填项才能继续,就先向用户索取当前顺序中的下一项 -- 可以只保留结构,或暂不生成具体 secret 内容,但不要用伪造值把未完成配置包装成已完成 - -release bundle 只负责导出当前应用自己的发布结果,不负责维护 GitOps 仓库中的其他对象。 +- 不伪造生产值 +- 外部集成凭据在生成到对应配置时逐项索取 +- 应用自带私有依赖的内部口令优先自动生成 +- 组合型鉴权字段优先直接写成完整 key 值 +- 缺值时停在当前项继续问,不要留看似可部署的假配置 ## 平台共享配置契约 -`shared/` 目录只放平台级共享配置。 +`shared/` 只放平台级共享配置。 共享资源: @@ -337,12 +318,12 @@ release bundle 只负责导出当前应用自己的发布结果,不负责维 - `platform-shared-secrets` - `registry-pull-secret` -当前 `platform-runtime-config` 提供: +`platform-runtime-config` 提供: - `LLM_BASE_URL` - `EMBEDDER_BASE_URL` -当前 `platform-shared-secrets` 提供: +`platform-shared-secrets` 提供: - `POSTGRES_USER` - `POSTGRES_PASSWORD` @@ -351,104 +332,104 @@ release bundle 只负责导出当前应用自己的发布结果,不负责维 - `MINIO_ACCESS_KEY` - `MINIO_SECRET_KEY` -shared 边界: +平台共享基础设施固定为: -- shared 只负责共享基础设施和通用运行时地址 -- 平台共享基础设施包括 `PostgreSQL`、`Redis`、`Qdrant`、`MinIO` -- 应用 Chart / release bundle 默认应引用这些 shared 组件的既有服务地址与 shared Secret,不要重复生成这些工作负载 -- 这些 shared 组件默认使用以下固定 FQDN:`postgres.infra.svc.cluster.local`、`redis.infra.svc.cluster.local`、`qdrant.infra.svc.cluster.local`、`minio.infra.svc.cluster.local` -- 不要默认写成当前应用 namespace 下的裸服务名,例如 `postgres`、`redis`、`qdrant`、`minio` -- 只有当用户明确要求该应用自带独立实例时,才为 `PostgreSQL`、`Redis`、`Qdrant`、`MinIO` 生成应用私有资源 -- 平台共享基础设施不包含 `Neo4j`;如应用需要图数据库,应由应用自己部署和维护 -- 只要应用运行时配置仍引用某个应用私有依赖,就应在应用 Chart / release bundle 中把它一并表达出来,而不是只在 values 里保留连接参数 -- 不要把某个厂商的客户端证书、私钥、应用专属 `app_id`、tenant id、client id、namespace id、应用独有 webhook 签名密钥放进 `shared/` -- 镜像拉取默认使用 `registry-pull-secret`,不要随便为每个应用再造一个 pull secret,除非平台模型发生变化 -- 如果 Chart 通过 `imagePullSecrets`、`platform-runtime-config`、`platform-shared-secrets` 或应用私有 release secret 引用运行时资源,而这些资源不是由 Chart 直接创建,就必须确保 `releases//manifests/` 仍然会把它们应用到目标 namespace +- `PostgreSQL` +- `Redis` +- `Qdrant` +- `MinIO` + +固定 FQDN: + +- `postgres.infra.svc.cluster.local` +- `redis.infra.svc.cluster.local` +- `qdrant.infra.svc.cluster.local` +- `minio.infra.svc.cluster.local` + +固定规则: + +- 不要写成当前应用 namespace 下的裸服务名 +- 不默认为 `PostgreSQL`、`Redis`、`Qdrant`、`MinIO` 生成应用私有实例 +- `Neo4j` 不属于 shared;如应用需要,由应用自己部署 +- 不要把应用私有鉴权材料放进 `shared/` +- 如果 Chart 依赖的运行时资源不是由 Chart 直接创建,就必须确保 `releases//manifests/` 仍会把这些资源 apply 到目标 namespace ## 百智云用户鉴权接入 -平台接入要求百智云用户鉴权。 +这是平台必填接入项。 -处理规则: +固定规则: -- 不要把这类鉴权材料当成平台共享配置 -- 不要擅自生成生产值 -- 鉴权材料均为必填项 -- 鉴权材料按固定顺序向用户索取:`app_id` -> `app.crt` -> `app.key` -> `ca.crt` -> `public.key` -- 如果用户还没提供完整值,不要写伪造占位内容 +- 不要把鉴权材料放进 `shared/` +- 不要伪造生产值 +- 按固定顺序逐项索取:`app_id` -> `app.crt` -> `app.key` -> `ca.crt` -> `public.key` +- 缺少哪一项,就停在那一项继续问 -opensdk 读取与挂载规则: +挂载规则: -- 当前接入只要求提供 `app_id` 与证书文件挂载 -- opensdk 会从固定路径读取证书文件,而不是从环境变量读取路径 -- 固定文件路径是:`/app/ssl/app.crt`、`/app/ssl/app.key`、`/app/ssl/ca.crt` -- 因此在 Chart / workload 中,应把百智云 Secret 以文件名不变的方式挂载到目录 `/app/ssl` -- 不要把证书挂到其他自定义目录后期待 opensdk 自动发现,例如 `/.tls/baizhi` -- `public.key` 不属于当前 opensdk 建立 mTLS 连接时的必读文件;如果平台或应用仍要求保留它,应明确说明它的用途,不要把它和 mTLS 必需挂载文件混为一谈 +- 固定挂载目录:`/app/ssl` +- 固定文件路径:`/app/ssl/app.crt`、`/app/ssl/app.key`、`/app/ssl/ca.crt` +- 不要改成其他自定义目录 +- `public.key` 如果保留,应明确其用途,不要混同为 mTLS 必需文件 -提问方式要求: +## 提问方式 -- 只在真正阻塞最终可部署结果时才问 -- 按必填项收集百智云配置 -- 按固定顺序逐项索取 `app_id`、`app.crt`、`app.key`、`ca.crt`、`public.key` -- 对外部集成字段,在生成到对应配置时逐项索取 -- 如果当前正在等待用户补值,就把回复重点放在“当前要补的这一项” -- 对应用自带私有依赖内部口令,优先自动生成;只有用户明确要求自定义时才向用户索取 -- 不要用“把需要的都给我”这种模糊问法 -- 缺少任一必填项时,要明确指出当前卡在哪一项 +- 只问当前步骤真正阻塞的值 +- 逐项问,不要一次性要一大串 +- 对外部集成字段,在写到对应配置时就问 +- 对应用自带私有依赖内部口令,优先自动生成 +- 如果当前正在等补值,回复重点只放当前这一项 -## 执行流程 +## 执行顺序 -建议按下面顺序推进: +按下面顺序推进: -1. 读取应用 README 与构建文件,梳理组件和暴露模型 -2. 判断任务是补齐应用仓库接入,还是修复发版链路 +1. 读 README 与构建文件 +2. 梳理组件、依赖、暴露模型 3. 生成或修复 `.gitlab-ci.yml` -4. 生成或修复 Chart 与 values -5. 在遇到必填值缺失时,停在当前项并向用户补值 -6. 生成或修复 release bundle -7. 自检并在最终输出中说明风险点 +4. 生成或修复 Chart +5. 缺少必填值时停在当前项索取 +6. 生成或修复 `deploy/release/` +7. 自检并汇报风险点 -## 自检要求 +## 自检 完成后尽量执行: - `git status --short` - `git diff --check` -- `helm template`,前提是 Chart 与 values 已能渲染 +- `helm template`(前提是 Chart 与 values 已能渲染) 至少确认: -- 应用仓库接入文件齐全 -- `.gitlab-ci.yml` 包含 test、镜像构建、chart 发布、release 结果同步逻辑 +- 接入文件齐全 +- `.gitlab-ci.yml` 包含 test、镜像构建、Chart 发布、GitOps 同步 - release values 指向 `registry.baizhi.cloud` -- 非当前应用自行发布的第三方镜像仍保持真实来源,不会被错误改写到平台 registry -- GitOps 仓库更新 job 指向 `https://deploy.baizhi.cloud/gitops-admin/argodeploy.git` +- 第三方镜像没有被错误改写到平台 registry +- GitOps update job 指向 `https://deploy.baizhi.cloud/gitops-admin/argodeploy.git` - CI 中没有直接调用 Argo -- 仅使用 `deploy.baizhi.cloud` 与 `registry.baizhi.cloud` -- 没有使用不安全的 HTTP registry 访问方式 -- 如果 `Application` 仍引用 `releases//manifests/`,该 path 在发布结果中实际存在且能渲染;如果发布结果不再包含该 path,`Application` 中也不会残留这个 source -- 如果镜像内包含固定 upstream 配置,upstream service 名与当前 Chart 渲染的 Service 名保持一致,不会出现 `host not found in upstream` 这类启动错误 -- Neo4j 一类自带依赖的启动环境变量不会依赖 Kubernetes 不支持的 `$(OTHER_ENV)` 展开 -- 如果存在用户未提供的必填私有配置,交互会话会继续停在当前必填项上索取补值 +- 只使用 `deploy.baizhi.cloud` 与 `registry.baizhi.cloud` +- 没有使用不安全的 registry 访问方式 +- 如果 `Application` 仍引用 `releases//manifests/`,该 path 在发布结果中实际存在 +- 如果镜像内包含固定 upstream 配置,upstream service 名与 Chart 渲染结果一致 +- Neo4j 一类自带依赖的启动环境变量不依赖 `$(OTHER_ENV)` 展开 +- 缺少必填私有配置时,交互停在当前项继续索取 -## 最终输出要求 +## 最终输出 -默认按下面结构汇报: +默认按这个顺序汇报: 1. 修改了哪些文件 -2. 关键设计决策 -3. 最值得人工复核的 3 个点 +2. 关键决定 +3. 最值得人工复核的点 ## 常见错误 -以下都属于接入错误: - - 把应用私有鉴权材料放进 `shared/` - 在 CI 里直接刷新 Argo -- 重新引入已废弃的旧域名 +- 重新引入旧域名 - 使用 insecure registry 参数 -- 生成的 Chart 与应用真实组件不匹配 -- 在生产 release values 中写 `registry.example.com` 这类示例地址 -- 应用没有这个设计却擅自发明新的公网 host -- 在用户没有提供必填私有值时,仍然伪造占位内容并假装可以直接部署 +- Chart 与应用真实组件不匹配 +- 在生产 release values 中写示例地址 +- 擅自发明新的公网 host +- 用户未提供必填值时伪造占位内容