[deploy] gateway 子 chart 落地：启用 APISIX 官方 chart 依赖 + config/插件 ConfigMap 注入 + 装进单 ns

[JIAQIA]

背景

deploy/charts/gateway/ 当前为占位（Chart 0.0.0-placeholder、apisix.enabled=false、NOTES/values 均为钩子），未可部署。M1「单命名空间端到端贯通」要求 APISIX 经 chart 装进单 ns。按 D5「子仓交付 image/config-as-code、主仓 owns charts」，chart 落地属主仓。

配置事实源在 submodule services/gateway（standalone 声明式、无 etcd）：apisix/{config.yaml,apisix.yaml} + plugins/{tenant-context,audit-log}.lua。

本 issue 支撑 hashmatrix-gateway#4 的完成判据「APISIX 经 chart 装进单 ns」，与其子项 G4（网关侧集群配置接点）联调。

范围

• deploy/charts/gateway/
  • 启用 APISIX 官方 chart 依赖（Chart.yaml dependencies；etcd.enabled=false，standalone / config_provider: yaml）。
  • 把 submodule 的 apisix.yaml + 自定义 Lua 插件渲染/挂载为 ConfigMap（插件挂载机制：initContainer / 卷挂载，二选一拍板并落档）。
  • values.yaml 注入部署级：oidc.discovery（in-cluster Keycloak）、上游目标（真实 in-cluster governance，见 G4）、tenancy.brandingProfile（部署级品牌，默认 emerald）。
  • App 端口 9080（与基线一致）；NOTES 输出可用访问指引。
• 装进本地 kind 单 ns 验证（与 tools/local-infra 协同）。

注入机制决策（主仓拍板，G4 跟随）

• env-specific 字段（discovery URL、上游 host）由 chart values → ConfigMap 渲染注入；submodule apisix.yaml 保留本地 compose 自洽（mock-upstream 仅本地）。子仓不各自发明注入方式。
• Service 端口约定（落档，避免漂移）：集群内各 Service→Pod 用应用容器端口——governance 8082、Keycloak 8080（基线 8180 仅宿主/dev 暴露，勿写进集群侧 discovery/upstream）。chart values 默认值按此约定给出。

验收

• helm template/helm install 渲染出 APISIX + ConfigMap（config/插件），无占位残留
• 装进 kind 单 ns，Pod Ready，9080 经 Service 可达
• oidc.discovery/上游由 values 注入生效（指向 in-cluster Keycloak / governance）
• 红线自检通过

关联

• Part of / supports: M1 自拆解简报 · 入口级交付 hashmatrix-gateway#4（完成判据「chart 装进单 ns」）
• 联调：hashmatrix-gateway#4 子项 G4（集群化配置接点）、G5（末端 e2e）
• 跨仓主线：M1 贯通主线 · 端到端集成（主仓 owner） #15（M1 贯通主线 · I2）
• 决策依据：D5（主仓 owns charts）

[JIAQIA]

✅ AC② 本地 kind 单 ns 实测通过 —— 关单

承接已并入 main 的 chart 落地（206d356 + 子模块指针对齐 1c023df + deploy-ci 触发路径 86ecaa7），本地 kind（hashmatrix-local，DaoCloud 镜像缓存）单 ns 实测验收 AC②。

部署

helm upgrade --install gw deploy/charts/gateway -n hashmatrix --create-namespace

镜像 apache/apisix:3.11.0-debian 经 DaoCloud 缓存透明拉取。

结果

• Pod Ready ✅ gw-gateway-… 1/1 Running（readiness tcpSocket:9080）
• Service ✅ gw-gateway ClusterIP …:9080/TCP
• 9080 经 Service 可达（port-forward Service → 全部 Server: APISIX/3.11.0）✅
  • 未定义路由 → 404（APISIX 在 9080 服务中）
  • /public/*（无鉴权）→ 503：路由匹配并代理到 governance:8082（未部署，故 503）→ values 注入的上游配置已生效
  • /api/*（受保护，无 token）→ 401：openid-connect 鉴权链已激活并 fail-closed（无 token→401，符合契约）
• config/插件 ConfigMap 注入运行期生效 ✅
  • APISIX 插件集含 "tenant-context":true, "audit-log":true（init_worker 加载成功，无 [error]）
  • 两个自定义 lua 经 ConfigMap subPath 挂到 /usr/local/apisix/apisix/plugins/，standalone APISIX 启动即校验插件可加载，Pod Ready 即证明加载无误

AC 总览

• ① helm template/install 渲染出 APISIX + ConfigMap（config/插件），无占位残留 —— 渲染门 + 实测加载
• ② 装进 kind 单 ns，Pod Ready，9080 经 Service 可达 —— 本次实测
• ③ oidc.discovery/上游由 values 注入生效 —— 503(governance:8082) + 401(openid-connect 链) 实证
• ④ 红线自检通过 —— secrets-guard + redline 扫描 + CI redline 全绿

决策落档（主仓拍板）

• D-A 自托管最小 APISIX Deployment（非官方 chart 硬依赖）——因主仓渲染门离线（helm dependency build 不拉外部 chart）；官方 chart 保留为 Chart.yaml 注释的升级路径，骨架等价、可无损切换、不返工。
• D-B 插件 ConfigMap subPath 挂载（镜像 compose bind-mount，非 initContainer）。
• D-C 集群侧 Service 端口约定（governance 8082 / keycloak 8080，非宿主 8180）。

注：本次实测部署 gateway 子 chart 进单 ns hashmatrix；浏览器→OIDC→真实 governance→PG→界面的完整纵切属 hashmatrix-gateway#4 子项 G5 联调（需 Keycloak/governance 同 ns 起栈），不在本 issue AC② 范围。CI（deploy CI + redline CI）全绿。