一次看起来像 Cilium Gateway Degraded 和 ArgoCD Sync 异常的故障，最后追到了 CoreDNS stub resolver、ZITADEL backend 缺失和 Vault 密钥问题。记录完整排查链路、修复动作和后续固化方案。

在K3s homelab环境中部署ZITADEL作为OIDC身份提供者，结合oauth2-proxy和Traefik Gateway API的ForwardAuth机制，为所有自托管服务实现统一的SSO单点登录。