微服务拆分过细：虽然架构先进，但运维成本高。如果不是backend配置支持继承，单独配置每个 Pod 的调度策略会非常痛苦。默认配置不合理：OPA 默认只监听localhost导致健康检查失败，这是一个非常低级的默认配置坑，迫使我们必须手动介入。文档缺失：官方文档未强调 HTTPS 对于前端功能的强制性，导致很容易在 HTTP 环境下浪费时间排查 JS 报错。内网友好度低：内网环境下，Grafan

条件文件作用合法身份xxx.crt谁是谁能证明我是我xxx.key私钥签名/解密，证明身份真实性统一信任源ca.crt验证对方证书是否合法Kubernetes 全员实名制 + 双向 TLS，确保每个组件身份可验证、通信加密。这里就过了一下 TSL 证书工作原理以及生成过程，工作上若证书丢失或过期，大致也从工作原理上明白了从哪个点进行修复。

一句话：Nginx 是默认“不会翻译 WebSocket 请求”的 HTTP 代理，需要你手动告诉它如何升级协议。

这不是 Gerrit 的 bug，而是设计如此。真正的冲突点是：Gerrit 里有我手动添加的邮箱AD 里mail是空的AD 里mail有值了Gerrit 登录时尝试“再添加一次同样的邮箱”于是 Gerrit 认为：“这个邮箱已经属于某个 account 了，我不能再给你建 external ID。Exchange 撤销之后，AD 某些原本被自动维护的属性，悄悄变成了“没人管”，而系统却还在继续依

独立 agent，从内核读主机指标 → 输出 Prometheus 格式。Jenkins Prometheus 插件：Jenkins 内部插件，从 Jenkins 对象模型读业务指标 → 输出 Prometheus 格式。要不要我再帮你画一张对比原理的架构图？这样一看 Node Exporter 和 Jenkins 插件在“采集链路”上的差别就更直观了。