[deploy] I5 · security 真实子 chart + 镜像接线 + 经网关可达（贯通主线 #15）

[uniquehole]

承 #15 I5 · 各服务真实化收口（security 分项）。服务侧已就绪，本 issue 跟踪 deploy/gateway 侧接线。

任务描述

把 security 服务真实接入单 namespace 部署，使其 Pod Running、readiness 真实绿、经网关可达（非占位）：

1. deploy/charts/ 下补 security 真实子 chart（复制黄金 Deployment + Service + probe 范式，非仅 NOTES.txt 占位）。
2. values-localdev.yaml 接线 security：image=ghcr.io/hashmatrixdata/security:<tag>、pullPolicy、端口 8083(app)/9083(mgmt)、readiness/liveness 探针指向 9083、独立 db。
3. gateway（APISIX）routes/upstream 指向 in-cluster security:8083，弃 mock-upstream（此条与 I2 重叠，I5「经网关可达」验收依赖之）。

背景

• D5：子仓交付 image、主仓 owns charts——故 security 的 chart/values/路由接线归主仓 deploy，不在 hashmatrix-security 仓。
• 服务侧已就绪（见 M1 贯通主线 · 端到端集成（主仓 owner） #15 的 I5 · security 子项）：镜像已入 ghcr（ghcr.io/hashmatrixdata/security :0.1.0/:sha/:latest）；readiness deps-optional 真实绿、端口 8083/9083 真实分离绑定，已由 hashmatrix-security#7 真实双端口 E2E 验证；GET /api/security/probe 守 RBAC + 按 X-Tenant-Id 行级路由 sec_<tenant>，消费 icd/tenant-context-headers。
• 仅剩 deploy/gateway 侧胶水未接，本 issue 收口该分项。

完成标准

• deploy/charts/security（或 umbrella 子 chart）落地：真实 Deployment + Service + readiness/liveness probe（指向 9083），非占位
• values-localdev.yaml 接线 security（ghcr image + tag + 端口 + 独立 db），纳入 umbrella enabled
• gateway 路由 /api/security/*（或既定前缀）→ in-cluster security:8083，弃 mock-upstream（依赖 I2）
• 单 ns helm install 后：kubectl get po -n demo 见 security Running、readiness 真实绿
• 经网关 curl（带网关注入的 X-User/X-Roles/X-Tenant-*）命中 /api/security/probe 返回 200（demoable）
• 红线自检过（scripts/redline-check.sh 或主仓等价）

依赖

• Blocked by I1（in-cluster PG dev + security 独立 db）——否则 security 起不来（Flowable/PG 连接）。
• 与 I2（gateway 真实路由）协同：「经网关可达」验收依赖 gateway upstream 接到 security。

优先级

P2（M1 贯通主线 I5 分项；服务侧已就绪，接线即可收口，非 DoD 唯一关键路径但属 demo 可达性必需）。