docs(config): комментарии к group_vars, host_vars, inventory и defaults аддонов

- group_vars/all/main.yml: пояснения к глобальным настройкам K3S, сети, CNI,
  kube-vip, chrony, ротации сертификатов, сервисным пользователям и пакетам.
- group_vars/all/addons.yml: комментарии над флагами addon_* и активными
  блоками (NFS, CSI NFS, ingress-nginx, cert-manager, Databasus, MinIO,
  etcd backup и др.); исправлена битая строка-разделитель в секции Gitea Actions.
- group_vars/all/vault.yml.example: описание назначения каждого секрета.
- host_vars (master01, worker01, rpi01): пояснения к labels, taints и
  k3s_extra_server_args.
- inventory/hosts.ini: комментарии к группам и строкам нод, пояснение nfs_server;
  исправлена повреждённая линия-разделитель.
- addons/*/role/defaults/main.yml: русские комментарии над переменными
  (в т.ч. Harbor, Authelia, Istio, Prometheus, Vault, Jenkins, DNS-аддоны и др.).
- addons/csi-nfs/role/defaults/main.yml: исправлено имя csi_nfs_reclaim_policy
  (опечатка с кириллической «М» в имени ключа).
Рабочий vault.yml не менялся (секреты / ansible-vault).

addons/ingress-add-domains/role/defaults/main.yml

@@ -1,27 +1,48 @@
 ---
 # ─── Helm release ─────────────────────────────────────────────────────────────
+# Имя Helm-релиза чарта дополнительных Ingress
 ingress_add_domains_release_name: "ingress-add-domains"
+# Namespace установки релиза
 ingress_add_domains_release_namespace: "ingress-add-domains"
 
 # ─── Global defaults (mirror of chart values.defaults) ────────────────────────
+# Значения по умолчанию для всех записей (переопределяются per-entry)
 ingress_add_domains_defaults:
+  # IngressClass для создаваемых Ingress
   ingressClass: nginx
+  # Настройки TLS
   tls:
+    # Включить TLS на Ingress
     enabled: false
+    # Имя Secret с сертификатом
     secretName: ""
+    # Параметры cert-manager
     certManager:
+      # Заказывать сертификат через cert-manager
       enabled: false
+      # Имя Issuer/ClusterIssuer
       issuer: ""
+      # Тип Issuer: ClusterIssuer или Issuer
       issuerKind: ClusterIssuer
+  # HTTP Basic-аутентификация на Ingress
   auth:
+    # Включить basic auth
     enabled: false
+    # Логин (хэш apr1 генерируется при деплое)
     username: ""       # логин — хэшируется автоматически через openssl passwd -apr1
+    # Пароль в открытом виде (лучше из vault.yml)
     password: ""       # пароль в открытом виде (задай в vault.yml!)
+    # Готовая строка htpasswd (имеет приоритет над username/password)
     credentials: ""    # готовая htpasswd-строка (если задана — username/password игнорируются)
+    # Использовать готовый Secret вместо генерации
     secretName: ""     # использовать существующий Secret вместо генерации нового
+  # Поддержка WebSocket на бэкенде
   websocket: false
+  # Путь URL на Ingress
   path: /
+  # Тип соответствия пути (Prefix/ImplementationSpecific)
   pathType: Prefix
+  # Дополнительные аннотации Ingress
   annotations: {}
 
 # ─── Entry definitions ────────────────────────────────────────────────────────
@@ -58,4 +79,5 @@ ingress_add_domains_defaults:
 #         password: "{{ vault_gitea_proxy_password }}"
 #       annotations:
 #         nginx.ingress.kubernetes.io/proxy-body-size: "0"
+# Список Ingress-записей (хосты → сервис в кластере)
 ingress_add_domains_entries: []