以 diegolnasc/kubernetes-best-practices 为蓝本，系统梳理 K8s 生产最佳实践，并补充 Gateway API、ValidatingAdmissionPolicy、原生 Sidecar 等仓库尚未覆盖的现代特性。

从一次被 Claude Code 拒绝的 git push 出发，结合最近几个月能查到的官方文档、CVE、论文与失败案例，整理 vibe coding 时代为什么需要工程边界、Claude Code 的 harness 如何分层，以及其他 AI 编码 agent 的不同取舍。

以问答方式拆解软件供应链最小基线：用 CycloneDX 生成 SBOM、用 cosign keyless 签名容器镜像、把 SBOM 作为 cosign attestation 绑定到镜像。覆盖为什么、具体怎么做、以及绕不开的 tradeoff。

结合 Homelab 场景，整理 Anycast、分层缓存、请求合并等能力是怎样在背后帮助保护和减压源站的。

记录在 Homelab 的 Cloudflare Terraform 配置中补充 WAF 防护：Zone 安全设置、自定义规则和认证端点速率限制，用来保护 homelab 与 oracle-k3s 的子域名入口。