## 背景 主仓 Helm 部署治理。设计见 [`docs/00-主仓初始化-spec.md`](../blob/main/docs/00-主仓初始化-spec.md) §4 与架构 [`05-多租户与控制平面`](../blob/main/docs/architecture/05-多租户与控制平面.md)。 ## 任务清单(DoD) **Helm 制品管理(在父仓统一管理)** - [ ] umbrella `Chart.yaml` 聚合各服务子 chart;有状态依赖(Kafka/Doris/Milvus/MinIO/PG/Redis/ES)**优先社区 Operator/chart** 作为 Chart 依赖并钉版本 - [ ] 各子仓贡献子 chart 占位汇入 `deploy/charts/<subsystem>`(gateway/governance/security/tools-bi/privacy/data-foundation/platform-common/control-plane) - [ ] values 分层:`values.yaml`(base) + `values-{prod,test,信创}.yaml` - [ ] **per-tenant 模板** `values-tenant-<id>.yaml`(namespace / ResourceQuota / NetworkPolicy / schema·db / 服务实例)——供控制平面渲染 - [ ] **Secrets:External Secrets Operator** 接入;`.gitignore` 挡 `*secret*.yaml`,**不入库**(红线) - [ ] (可选)`argocd/` 平台基座 app-of-apps —— **仅管共享基座**(gateway/data/observability),**租户 provision 不走 Argo** - [ ] CI:`helm lint` + `helm template` + kubeconform/kubeval **调试·部署·发布 SKILL(主仓 `.claude/skills/helm-deploy`)** - [ ] 主仓自带 **`helm-deploy` SKILL**:`lint/template/diff` → 部署到 test/prod/**信创**(切 values)→ **渲染并调试单租户 per-tenant release** → 发布(chart 打包 / 推 OCI registry) - [ ] 支持 `dry-run` / `diff` / 回滚;**Secrets 走 ESO 不入库**的红线守卫 ## 约束 - 🔴 红线见 `CLAUDE.md`;**Secrets 绝不入库**。 - 信创双轨 = `values-信创.yaml` 切镜像/参数/资源,**不改应用逻辑**(架构 04 §3)。 ## DoD `helm template` 渲染 base + 一个 `tenant-demo` 模板,通过 lint 与 kubeconform;`helm-deploy` SKILL 能 dry-run 出该租户 release 的 diff。
背景
主仓 Helm 部署治理。设计见
docs/00-主仓初始化-spec.md§4 与架构05-多租户与控制平面。任务清单(DoD)
Helm 制品管理(在父仓统一管理)
Chart.yaml聚合各服务子 chart;有状态依赖(Kafka/Doris/Milvus/MinIO/PG/Redis/ES)优先社区 Operator/chart 作为 Chart 依赖并钉版本deploy/charts/<subsystem>(gateway/governance/security/tools-bi/privacy/data-foundation/platform-common/control-plane)values.yaml(base) +values-{prod,test,信创}.yamlvalues-tenant-<id>.yaml(namespace / ResourceQuota / NetworkPolicy / schema·db / 服务实例)——供控制平面渲染.gitignore挡*secret*.yaml,不入库(红线)argocd/平台基座 app-of-apps —— 仅管共享基座(gateway/data/observability),租户 provision 不走 Argohelm lint+helm template+ kubeconform/kubeval调试·部署·发布 SKILL(主仓
.claude/skills/helm-deploy)helm-deploySKILL:lint/template/diff→ 部署到 test/prod/信创(切 values)→ 渲染并调试单租户 per-tenant release → 发布(chart 打包 / 推 OCI registry)dry-run/diff/ 回滚;Secrets 走 ESO 不入库的红线守卫约束
CLAUDE.md;Secrets 绝不入库。values-信创.yaml切镜像/参数/资源,不改应用逻辑(架构 04 §3)。DoD
helm template渲染 base + 一个tenant-demo模板,通过 lint 与 kubeconform;helm-deploySKILL 能 dry-run 出该租户 release 的 diff。