docs(config): комментарии к group_vars, host_vars, inventory и defaults аддонов

- group_vars/all/main.yml: пояснения к глобальным настройкам K3S, сети, CNI,
  kube-vip, chrony, ротации сертификатов, сервисным пользователям и пакетам.
- group_vars/all/addons.yml: комментарии над флагами addon_* и активными
  блоками (NFS, CSI NFS, ingress-nginx, cert-manager, Databasus, MinIO,
  etcd backup и др.); исправлена битая строка-разделитель в секции Gitea Actions.
- group_vars/all/vault.yml.example: описание назначения каждого секрета.
- host_vars (master01, worker01, rpi01): пояснения к labels, taints и
  k3s_extra_server_args.
- inventory/hosts.ini: комментарии к группам и строкам нод, пояснение nfs_server;
  исправлена повреждённая линия-разделитель.
- addons/*/role/defaults/main.yml: русские комментарии над переменными
  (в т.ч. Harbor, Authelia, Istio, Prometheus, Vault, Jenkins, DNS-аддоны и др.).
- addons/csi-nfs/role/defaults/main.yml: исправлено имя csi_nfs_reclaim_policy
  (опечатка с кириллической «М» в имени ключа).
Рабочий vault.yml не менялся (секреты / ansible-vault).

addons/ingress-proxypass/role/defaults/main.yml

@@ -1,31 +1,56 @@
 ---
 # ─── Helm release ─────────────────────────────────────────────────────────────
+# Namespace для чарта reverse-proxy через Ingress
 ingress_proxypass_namespace: "ingress-proxypass"
+# Имя Helm-релиза
 ingress_proxypass_release_name: "ingress-proxypass"
 
 # ─── Global defaults (mirror of chart values.defaults) ────────────────────────
+# Дефолты для всех proxy-записей
 ingress_proxypass_defaults:
+  # IngressClass
   ingressClass: nginx
+  # TLS
   tls:
+    # Включить TLS
     enabled: false
+    # Secret с сертификатом
     secretName: ""
+    # cert-manager
     certManager:
+      # Заказ сертификата
       enabled: false
+      # Issuer
       issuer: ""
+      # Тип Issuer
       issuerKind: ClusterIssuer
+  # Basic auth перед прокси
   auth:
+    # Включить basic auth
     enabled: false
+    # Логин
     username: ""       # логин — пароль хэшируется автоматически через openssl passwd -apr1
+    # Пароль (желательно из vault)
     password: ""       # пароль в открытом виде (задай в vault.yml!)
+    # Готовая htpasswd-строка
     credentials: ""    # готовая htpasswd-строка (если задана — username/password игнорируются)
+    # Существующий Secret
     secretName: ""     # использовать существующий Secret вместо генерации нового
+  # WebSocket upgrade к upstream
   websocket: true
+  # Путь на Ingress
   path: /
+  # Тип пути
   pathType: Prefix
+  # Таймаут установки соединения с upstream (сек)
   proxyConnectTimeout: 60
+  # Таймаут чтения ответа upstream (сек)
   proxyReadTimeout: 3600
+  # Таймаут отправки запроса upstream (сек)
   proxySendTimeout: 3600
+  # Максимальный размер тела запроса (nginx)
   proxyBodySize: "1g"
+  # Доп. аннотации Ingress
   annotations: {}
 
 # ─── Proxy definitions ────────────────────────────────────────────────────────
@@ -67,7 +92,9 @@ ingress_proxypass_defaults:
 #         # credentials: "admin:$apr1$..."
 #       annotations:
 #         nginx.ingress.kubernetes.io/proxy-body-size: "0"
+# Список внешних IP:портов, проксируемых через Ingress
 ingress_proxypass_proxies: []
 
 # kube-vip VIP — shown in post-install summary (informational only)
+# Информационный VIP kube-vip для подсказок после установки (не меняет манифесты чарта)
 ingress_proxypass_vip: ""