以 diegolnasc/kubernetes-best-practices 为蓝本，系统梳理 K8s 生产最佳实践，并补充 Gateway API、ValidatingAdmissionPolicy、原生 Sidecar 等仓库尚未覆盖的现代特性。

在K3s homelab环境中部署ZITADEL作为OIDC身份提供者，结合oauth2-proxy和Traefik Gateway API的ForwardAuth机制，为所有自托管服务实现统一的SSO单点登录。