feat: добавить аддон splitgw — прозрачный split-tunnel gateway (sing-box + Hysteria2 TPROXY)

- Роль: defaults, tasks (main/deploy-host/deploy-k8s), handlers, templates (sing-box config, iptables setup/teardown, systemd, K8s DaemonSet/ConfigMap/Secret)
- Режимы: systemd (host) и K8s DaemonSet с hostNetwork + privileged init-container
- Маршрутизация: YouTube/Google → Hysteria2, RU (geoip/geosite) → прямой, остальное → прямой
- DNS без утечек: protocol=dns перехватывается TPROXY, per-domain DNS серверы
- Интеграция: inventory [splitgw], addons.yml flag, Makefile target, playbooks/addons.yml
- Документация: README.md, docs/addons.md, README.md (счётчик 36)

README.md

@@ -38,7 +38,7 @@ HA-режим (embedded etcd): при отказе **любой одной** н
 
 **CNI:** `flannel` (встроен) | `calico` (Network Policy, BGP) | `cilium` (eBPF, Hubble)
 
-## Аддоны (35)
+## Аддоны (36)
 
 | Категория | Аддоны |
 |---|---|
@@ -51,6 +51,7 @@ HA-режим (embedded etcd): при отказе **любой одной** н
 | **Инфраструктура** | harbor, kubernetes-dashboard, velero, smtp-relay |
 | **Файловые хранилища** | nextcloud, owncloud |
 | **Медиасервер** | mediaserver — Plex, Sonarr, Radarr, Lidarr, Bazarr, Prowlarr + Hysteria2, Overseerr, Transmission, Samba |
+| **VPN / Прокси** | splitgw — прозрачный split-tunnel gateway (sing-box + Hysteria2 TPROXY, YouTube → прокси) |
 
 Все аддоны включаются флагами в `group_vars/all/addons.yml`. Установка: `make addon-<name>`.