---
name: gitops-app-onboarding
description: 面向当前 Baizhi GitOps 平台的项目接入工作流，只适用于 `deploy.baizhi.cloud`、`registry.baizhi.cloud`、GitLab + Argo CD 这套固定交付模型。只要用户提到“给当前平台接入新项目”“恢复 .gitlab-ci.yml / deploy 目录”“补齐当前平台的 Helm chart / release bundle”“修当前平台的发版链路”“让应用仓库在发版时推送自己的 release 结果”，就应优先使用这个 skill；如果只是通用 CI、通用 Helm 或通用 GitOps 任务而未指向当前平台，不应触发。
---

# GitOps 项目接入 Skill

这个 skill 是 Baizhi GitOps 平台的接入入口与执行摘要。

执行不应依赖用户重复解释平台规则；按本 skill 与当前仓库约定直接推进即可。

目标是让 agent 能独立完成以下工作：

- 为应用仓库补齐或恢复 `.gitlab-ci.yml`
- 生成或修复 `deploy/helm/<app>/` Chart
- 生成或修复 `deploy/release/` release bundle
- 在发版链路中将当前应用自己的 release 结果推送到固定 GitOps 仓库

## 平台固定常量

除非用户明确要求修改，否则默认使用以下常量：

- GitOps 仓库主机：`deploy.baizhi.cloud`
- OCI Registry 主机：`registry.baizhi.cloud`
- Helm OCI 仓库：`oci://registry.baizhi.cloud/helm`
- GitOps 仓库克隆地址：`https://deploy.baizhi.cloud/gitops-admin/argodeploy.git`
- Registry 用户名：`registry-ci`
- 共享镜像拉取 Secret：`registry-pull-secret`
- GitOps 控制器：Argo CD
- Chart 分发方式：OCI Registry
- 源代码托管：GitLab

应用仓库 CI 默认依赖以下 GitLab 变量：

- `GITEA_USER`
- `GITEA_TOKEN`
- `REGISTRY_PASSWORD`

通常直接把 `REGISTRY_USER` 写成 `registry-ci`。

## 真相来源与读取顺序

开始改代码前，按下面顺序建立上下文：

1. 先读目标应用仓库 `README.md`
2. 再读 Dockerfile、包管理文件、构建脚本、现有 deploy 文件
3. 如果用户给了额外设计文档，一并读取

判断规则：

- 目标应用仓库自己的 `README.md` 是应用运行架构的真相来源
- 本 skill 定义平台接入流程、约束和执行重点
- 如果应用 README 与平台约定冲突，优先识别是“应用设计差异”还是“平台硬约束”
- 如果冲突会直接改变最终实现且无法安全推断，再问用户；否则优先按已有代码和文档做最小偏差实现

在生成任何文件前，先推断出：

- 组件列表
- 每个组件的构建上下文
- 容器入口
- 对外暴露模型
- 运行时配置结构
- 哪些依赖属于平台共享，哪些是应用私有

不要假设每个项目都长得和现有项目一样。

## 先判断修改范围

先区分任务属于哪一种：

1. 补齐或修复应用仓库中的 CI、Chart、release 模板
2. 修复应用仓库中的发版链路，使其在发版时推送当前应用自己的 release 结果

边界约束：

- 本 skill 只处理应用仓库侧接入
- 不读取、不判断、不修改与当前应用无关的 GitOps 发布侧清单
- 对 GitOps 的唯一动作，是在应用仓库 CI 中同步当前应用自己的 release 结果与版本引用
- 如果当前应用的 Argo CD `Application` 已存在且 chart 版本引用由 GitOps 仓库维护，只允许同步更新 `apps/<app-name>/application.yaml` 中当前应用 chart source 的 `targetRevision`
- 不要修改 `AppProject`、bootstrap、其他应用的 `Application`，也不要改动当前应用 `Application` 中除 chart `targetRevision` 以外的字段

## 交付模型

平台采用两个仓库协同交付：

- 应用仓库负责源码、Docker 构建、`.gitlab-ci.yml`、Helm Chart 源码、release bundle 模板
- 当前 GitOps 仓库负责 Argo CD `Application`、`AppProject`、平台 bootstrap、已发布 release bundle、共享配置

标准发布流程：

1. 分支或 MR 只跑测试
2. 打 `vX.Y.Z` tag 后构建并推送镜像
3. 打 `vX.Y.Z` tag 后打包并推送 Helm Chart
4. 打 `vX.Y.Z` tag 后更新当前 GitOps 仓库中该应用的版本引用，包括当前应用 `Application` 中 chart source 的 `targetRevision`
5. 推送当前 GitOps 仓库提交
6. Argo CD 感知当前 GitOps 仓库变更后自动同步

关键约束：

- CI 不能直接调用 `kubectl`
- CI 不能调用 `argocd app sync`
- CI 不能把 hard refresh 当常规步骤
- 当前 GitOps 仓库的提交才是 Argo 的同步信号

如果线上故障需要 hard refresh，那是运维例外，不属于通用模板。

## 应用仓库通常需要生成什么

通常需要创建或修复：

- `.gitlab-ci.yml`
- `deploy/helm/<app-name>/Chart.yaml`
- `deploy/helm/<app-name>/values.yaml`
- `deploy/helm/<app-name>/templates/*`
- `deploy/release/metadata.yaml`
- `deploy/release/values.yaml`
- `deploy/release/secret.yaml`

如果应用还有不适合放进 Chart 的静态清单，可以在后续发布结果中导出到当前 GitOps 仓库的 `releases/<app>/manifests/`。

- 如果 Chart 运行时依赖的 `Secret`、`ConfigMap` 或 shared 资源并不是由 Chart 自己创建，而是通过 `deploy/release/secret.yaml` 或 GitOps 仓库中的 `shared/` 提供，就必须保留一个最小的 `releases/<app>/manifests/` 输出，并让当前应用的 `Application` 持续引用这个 path
- 如果某次发布不再导出 `releases/<app>/manifests/`，就必须同时移除当前应用 `Application` 中对应的 manifests source；不要留下一个指向不存在路径的 source

## GitLab CI 规则

runner 约束：

- 只要某个 job 需要使用 Docker、DinD 或 `docker buildx`，就必须显式带上 GitLab runner tags：`docker`、`network`

### stages

使用这三个 stage：

- `test`
- `build`
- `release`

### test job

test job 应运行在分支和 MR 上，并执行目标项目自己的标准测试命令。

要求：

- 安装该语言栈所需的最小依赖
- 如果依赖私有代码仓库，补齐认证
- 使用项目本身的标准测试入口，不要擅自发明新的测试命令

Go 项目额外要求：

- 如果项目使用 Go，并且依赖公共模块下载，默认在 GitLab CI variables 中加入：`GOPROXY=https://goproxy.cn,direct`、`GOSUMDB=sum.golang.google.cn`
- 如果项目使用 `git.in.chaitin.net` 私有 Go 模块，默认同时加入：`GOPRIVATE=git.in.chaitin.net`、`GONOSUMDB=git.in.chaitin.net`、`GONOPROXY=git.in.chaitin.net`、`GOINSECURE=git.in.chaitin.net`
- 如果项目通过 GitLab 私有仓库拉取依赖且当前平台环境需要跳过证书校验，默认加入：`GIT_SSL_NO_VERIFY="true"`
- 这类 Go 代理与私有仓库变量应放在 `.gitlab-ci.yml` 的 `variables:` 中，而不是分散写进单个命令

示例：

- Go：`go mod download`、`go test ./...`
- Node：`npm ci`、`npm test`

### release 触发条件

发布链路只应在 `vX.Y.Z` 这种语义化 tag 上触发。

### build-images job

这个 job 必须：

- 登录 `registry.baizhi.cloud`
- 构建项目所有需要发布的运行时镜像
- 将镜像推送到 `registry.baizhi.cloud/<app-name>/<component>:<version>`

如果仓库已经使用 BuildKit 或多构建上下文，优先使用 `docker buildx`。

如果镜像构建依赖私有 Git 仓库：

- 用 CI 凭据生成 `.netrc`
- 通过 Docker build secret 传入
- 如需额外 CA 证书，也通过 build secret 传入
- 如果私有 GitLab 仓库位于 `git.in.chaitin.net` 且当前平台环境需要跳过证书校验，可配合 `GOINSECURE=git.in.chaitin.net` 与 `GIT_SSL_NO_VERIFY="true"`

不要使用：

- `http://registry...`
- `--plain-http`
- `--insecure-skip-tls-verify`

### package-chart job

这个 job 必须：

- 执行 `helm registry login registry.baizhi.cloud`
- 将 Chart 的 `version` 和 `appVersion` 更新为 tag 去掉前缀 `v` 后的版本号
- 执行 `helm package`
- 推送到 `oci://registry.baizhi.cloud/helm`

### update-gitops-repo job

这个 job 必须：

- 克隆 `https://${GITEA_USER}:${GITEA_TOKEN}@deploy.baizhi.cloud/gitops-admin/argodeploy.git`
- 只同步当前应用自己的 release 结果或版本引用
- 提交并推送到 `main`

通常需要更新：

- `releases/<app-name>/values.yaml`
- `releases/<app-name>/metadata.yaml`
- `releases/<app-name>/manifests/` 下由当前应用导出的发布结果
- `apps/<app-name>/application.yaml` 中当前应用 chart source 的 `targetRevision`

不要在这个 job 中加入集群部署逻辑。

## Helm Chart 规则

Chart 必须反映应用的真实运行架构。

推荐结构：

```text
deploy/helm/<app-name>/
├── Chart.yaml
├── values.yaml
└── templates/
    ├── _helpers.tpl
    ├── deployment-<component>.yaml
    ├── service-<component>.yaml 或 services.yaml
    └── 按职责拆分的其他资源
```

规则：

- 按职责拆文件，不要堆成一个巨大模板
- 模板中不要硬编码生产镜像 tag
- 所有镜像名都从 values 读取
- 所有 Service 暴露方式都从 values 读取
- nginx 对外 Service 固定使用 `NodePort`
- 后端 Service 默认使用集群内访问类型，不对外暴露 `NodePort`
- 如果应用运行时依赖某个不属于平台 shared 的私有服务，Chart / release bundle 必须把该依赖的来源表达清楚：要么生成应用自带资源，要么明确引用用户已提供的外部地址；不要只留下一个指向不存在服务的 host
- 应用自带的私有依赖如果同时需要应用口令和依赖自身启动口令，Secret key 设计要把两种消费方式都表达清楚；例如既保留 `neo4j_password` 供业务容器连接使用，也额外提供 `neo4j_auth` 这类组合值供 Neo4j 自身启动使用
- `NodePort` 必须来自用户或平台已分配值，agent 不得自行猜测或默认分配端口
- 不要生成 Ingress 模板或 Ingress values
- 设置 `enableServiceLinks: false`
- 支持 `imagePullSecrets`
- 环境变量注入保持可读
- 如果镜像内自带 nginx / 反向代理配置，upstream service 名必须与 Chart 实际渲染出来的 Service 名一致；如果 Chart 使用 `fullname` 前缀，就不要在镜像配置里写裸服务名 `server`、`mcp`、`frontend`
- Kubernetes `env.value` 不会展开 `$(OTHER_ENV)` 这种 shell 变量引用；不要生成 `NEO4J_AUTH=neo4j/$(NEO4J_PASSWORD)` 这类写法并假设容器启动时会自动拼接
- 对像 Neo4j 这类会把 `NEO4J_*` 解析为配置项的镜像，不要额外注入并不存在的配置名，例如 `NEO4J_PASSWORD`
- 健康检查要符合真实应用行为

`_helpers.tpl` 一般至少提供：

- chart name
- fullname
- namespace
- labels
- selector labels

只有当项目本身确实有 path 推导的 URL 时，才增加 URL helper。

## 对外暴露模型

对外暴露模型使用固定方式。

- 固定使用 nginx 作为统一入口，代理前端与后端路径
- 对外只暴露 nginx 入口，并通过 `NodePort` 提供入口访问
- 后端服务默认只在集群内通信
- 每个应用对外只保留一个 nginx `NodePort` 入口
- 不生成 Ingress 资源，也不要在 values 中保留 Ingress 开关
- 不要因为应用有多个内部服务，就擅自发明多个公网 host

如果项目当前没有现成的前端代理层，也应按这个固定模型为对外入口预留 nginx 代理方案，而不是改成 Ingress。

`NodePort` 处理规则：

- 如果用户或项目文档已经提供了分配好的 `NodePort`，直接使用
- 如果没有提供，在生成到这一项时立即停下来索取该端口
- 不要擅自写入示例端口或看起来顺手的默认值，例如 `30080`、`30081`
- 如果用户暂时没有提供，就停在这一项等待补值，不要擅自填入

## Release Bundle 规则

应用仓库中的 `deploy/release/` 是导出给当前 GitOps 仓库的标准模板。

### `metadata.yaml`

至少应包含：

- 应用名
- Kubernetes release 名
- namespace
- chart 名
- chart 版本
- chart 仓库
- 镜像 tag
- 源码仓库地址

### `values.yaml`

必须是可用于部署的默认值，而不是示例值。

至少应满足：

- 应用自己构建并发布的运行时镜像使用 `registry.baizhi.cloud/<app-name>/...`
- 第三方基础镜像或官方镜像如果并未由当前应用 CI 同步到平台 registry，就保持其真实来源，不要擅自改写成 `registry.baizhi.cloud/library/...`
- Secret 名符合平台约定
- 私有镜像拉取时包含 `imagePullSecrets`
- 与 Chart schema 保持一致
- nginx 对外入口使用 `NodePort`
- `NodePort` 值来自用户或平台已分配结果，而不是模板内置默认值
- 不包含 Ingress 配置项

### `secret.yaml`

用于放应用私有 Secret 模板，key 名必须与 Chart 读取的 key 对齐。

规则：

- 不要为了“看起来完整”而伪造假的生产值
- 先区分“外部集成凭据”和“应用自带私有依赖的内部口令”
- 如果是外部集成凭据，应在生成到对应配置时主动向用户索取
- 如果是应用自带私有依赖的内部口令，优先由生成流程一次性生成并写入 release secret，而不是要求用户手填
- 如果某个工作负载需要组合型鉴权字段，例如 `username/password` 形式的单个环境变量，优先在 Secret 中直接写出完整值，再由 workload 直接读取该 key
- 如果用户暂时没有提供，不要造占位内容冒充可部署配置
- 对部署阻塞项，按最小必要粒度逐项提问，优先直接问“这一项应填什么”
- 在交互会话中，如果当前步骤需要某个必填项才能继续，就先向用户索取当前顺序中的下一项
- 可以只保留结构，或暂不生成具体 secret 内容，但不要用伪造值把未完成配置包装成已完成

release bundle 只负责导出当前应用自己的发布结果，不负责维护 GitOps 仓库中的其他对象。

## 平台共享配置契约

`shared/` 目录只放平台级共享配置。

共享资源：

- `platform-runtime-config`
- `platform-shared-secrets`
- `registry-pull-secret`

当前 `platform-runtime-config` 提供：

- `LLM_BASE_URL`
- `EMBEDDER_BASE_URL`

当前 `platform-shared-secrets` 提供：

- `POSTGRES_USER`
- `POSTGRES_PASSWORD`
- `REDIS_PASSWORD`
- `QDRANT_API_KEY`
- `MINIO_ACCESS_KEY`
- `MINIO_SECRET_KEY`

shared 边界：

- shared 只负责共享基础设施和通用运行时地址
- 平台共享基础设施包括 `PostgreSQL`、`Redis`、`Qdrant`、`MinIO`
- 应用 Chart / release bundle 默认应引用这些 shared 组件的既有服务地址与 shared Secret，不要重复生成这些工作负载
- 这些 shared 组件默认使用以下固定 FQDN：`postgres.infra.svc.cluster.local`、`redis.infra.svc.cluster.local`、`qdrant.infra.svc.cluster.local`、`minio.infra.svc.cluster.local`
- 不要默认写成当前应用 namespace 下的裸服务名，例如 `postgres`、`redis`、`qdrant`、`minio`
- 只有当用户明确要求该应用自带独立实例时，才为 `PostgreSQL`、`Redis`、`Qdrant`、`MinIO` 生成应用私有资源
- 平台共享基础设施不包含 `Neo4j`；如应用需要图数据库，应由应用自己部署和维护
- 只要应用运行时配置仍引用某个应用私有依赖，就应在应用 Chart / release bundle 中把它一并表达出来，而不是只在 values 里保留连接参数
- 不要把某个厂商的客户端证书、私钥、应用专属 `app_id`、tenant id、client id、namespace id、应用独有 webhook 签名密钥放进 `shared/`
- 镜像拉取默认使用 `registry-pull-secret`，不要随便为每个应用再造一个 pull secret，除非平台模型发生变化
- 如果 Chart 通过 `imagePullSecrets`、`platform-runtime-config`、`platform-shared-secrets` 或应用私有 release secret 引用运行时资源，而这些资源不是由 Chart 直接创建，就必须确保 `releases/<app>/manifests/` 仍然会把它们应用到目标 namespace

## 百智云用户鉴权接入

平台接入要求百智云用户鉴权。

处理规则：

- 不要把这类鉴权材料当成平台共享配置
- 不要擅自生成生产值
- 鉴权材料均为必填项
- 鉴权材料按固定顺序向用户索取：`app_id` -> `app.crt` -> `app.key` -> `ca.crt` -> `public.key`
- 如果用户还没提供完整值，不要写伪造占位内容

opensdk 读取与挂载规则：

- 当前接入只要求提供 `app_id` 与证书文件挂载
- opensdk 会从固定路径读取证书文件，而不是从环境变量读取路径
- 固定文件路径是：`/app/ssl/app.crt`、`/app/ssl/app.key`、`/app/ssl/ca.crt`
- 因此在 Chart / workload 中，应把百智云 Secret 以文件名不变的方式挂载到目录 `/app/ssl`
- 不要把证书挂到其他自定义目录后期待 opensdk 自动发现，例如 `/.tls/baizhi`
- `public.key` 不属于当前 opensdk 建立 mTLS 连接时的必读文件；如果平台或应用仍要求保留它，应明确说明它的用途，不要把它和 mTLS 必需挂载文件混为一谈

提问方式要求：

- 只在真正阻塞最终可部署结果时才问
- 按必填项收集百智云配置
- 按固定顺序逐项索取 `app_id`、`app.crt`、`app.key`、`ca.crt`、`public.key`
- 对外部集成字段，在生成到对应配置时逐项索取
- 如果当前正在等待用户补值，就把回复重点放在“当前要补的这一项”
- 对应用自带私有依赖内部口令，优先自动生成；只有用户明确要求自定义时才向用户索取
- 不要用“把需要的都给我”这种模糊问法
- 缺少任一必填项时，要明确指出当前卡在哪一项

## 执行流程

建议按下面顺序推进：

1. 读取应用 README 与构建文件，梳理组件和暴露模型
2. 判断任务是补齐应用仓库接入，还是修复发版链路
3. 生成或修复 `.gitlab-ci.yml`
4. 生成或修复 Chart 与 values
5. 在遇到必填值缺失时，停在当前项并向用户补值
6. 生成或修复 release bundle
7. 自检并在最终输出中说明风险点

## 自检要求

完成后尽量执行：

- `git status --short`
- `git diff --check`
- `helm template`，前提是 Chart 与 values 已能渲染

至少确认：

- 应用仓库接入文件齐全
- `.gitlab-ci.yml` 包含 test、镜像构建、chart 发布、release 结果同步逻辑
- release values 指向 `registry.baizhi.cloud`
- 非当前应用自行发布的第三方镜像仍保持真实来源，不会被错误改写到平台 registry
- GitOps 仓库更新 job 指向 `https://deploy.baizhi.cloud/gitops-admin/argodeploy.git`
- CI 中没有直接调用 Argo
- 仅使用 `deploy.baizhi.cloud` 与 `registry.baizhi.cloud`
- 没有使用不安全的 HTTP registry 访问方式
- 如果 `Application` 仍引用 `releases/<app>/manifests/`，该 path 在发布结果中实际存在且能渲染；如果发布结果不再包含该 path，`Application` 中也不会残留这个 source
- 如果镜像内包含固定 upstream 配置，upstream service 名与当前 Chart 渲染的 Service 名保持一致，不会出现 `host not found in upstream` 这类启动错误
- Neo4j 一类自带依赖的启动环境变量不会依赖 Kubernetes 不支持的 `$(OTHER_ENV)` 展开
- 如果存在用户未提供的必填私有配置，交互会话会继续停在当前必填项上索取补值

## 最终输出要求

默认按下面结构汇报：

1. 修改了哪些文件
2. 关键设计决策
3. 最值得人工复核的 3 个点

## 常见错误

以下都属于接入错误：

- 把应用私有鉴权材料放进 `shared/`
- 在 CI 里直接刷新 Argo
- 重新引入已废弃的旧域名
- 使用 insecure registry 参数
- 生成的 Chart 与应用真实组件不匹配
- 在生产 release values 中写 `registry.example.com` 这类示例地址
- 应用没有这个设计却擅自发明新的公网 host
- 在用户没有提供必填私有值时，仍然伪造占位内容并假装可以直接部署