docs: clarify onboarding skill scope

README.md

@@ -18,12 +18,14 @@
 - 恢复 `.gitlab-ci.yml`、`deploy/`、Helm Chart、release bundle
 - 修当前平台的发版链路
 - 让应用仓库在发版时推送自己的 release 结果
-- 按固定 nginx + `NodePort` 代理模型组织前后端对外暴露
-- 按用户或平台已分配的 `NodePort` 配置 nginx 对外入口
-- 在必填私有配置缺失时先逐项询问，再保留未解决的缺失警告
+
+执行时会遵守这些平台规则：
+
+- 需要公网 HTTP 入口的应用使用 nginx + 单一 `NodePort` 作为平台接入层
 - 百智云用户鉴权是平台必填接入项，需要逐项补齐 `env` 与证书材料
-- 在应用依赖平台 shared 之外的私有服务时，补齐对应资源或明确外部依赖来源，而不是只写连接参数
-- 对应用自带私有依赖的内部口令优先自动生成，对外部集成凭据再向用户逐项索取
+- 平台 shared 之外的私有依赖必须明确来源，不能只写不存在的连接参数
+- 应用自带私有依赖的内部口令优先自动生成；外部集成凭据再向用户逐项索取
+- 只允许应用仓库 CI 向 GitOps 仓库同步当前应用自己的 release 结果
 
 不适合处理：
 

gitops-app-onboarding/SKILL.md

@@ -349,6 +349,16 @@ shared 边界：
 - 鉴权材料按固定顺序向用户索取：`app_id` -> `app.crt` -> `app.key` -> `ca.crt` -> `public.key`
 - 如果用户还没提供完整值，不要写伪造占位内容；在最终输出中明确警告缺失了哪些字段以及可能影响
 
+opensdk 读取与挂载规则：
+
+- 当前 opensdk 通过环境变量 `BAIZHIYUN_ENV` 与 `BAIZHIYUN_APP_ID` 决定运行环境与应用标识
+- 当 `BAIZHIYUN_ENV=local` 时，opensdk 走 mock 分支，不读取证书文件
+- 非 `local` 环境下，opensdk 会从固定路径读取证书文件，而不是从环境变量读取路径
+- 固定文件路径是：`/app/ssl/app.crt`、`/app/ssl/app.key`、`/app/ssl/ca.crt`
+- 因此在 Chart / workload 中，应把百智云 Secret 以文件名不变的方式挂载到目录 `/app/ssl`
+- 不要把证书挂到其他自定义目录后期待 opensdk 自动发现，例如 `/.tls/baizhi`
+- `public.key` 不属于当前 opensdk 建立 mTLS 连接时的必读文件；如果平台或应用仍要求保留它，应明确说明它的用途，不要把它和 mTLS 必需挂载文件混为一谈
+
 提问方式要求：
 
 - 只在真正阻塞最终可部署结果时才问