chore: 对齐 00-05 §2 的部署与验证脚本

- 新增 deploy-lab.sh（k3s/longhorn/nginx 铺栈）与 ssh/run-phase2-k3s-on-ylc61-as-jack.sh
- verify.sh：flow/preflight、VERIFY_TEARDOWN 默认、注释与 §2 对应
- 更新 smoke-verify、README、.env.verify.example、根 README 与主要 playbook 头注释
- k3s-delete-lab-stacks 标明重度清场语义

Made-with: Cursor

scripts/.env.verify.example

@@ -21,12 +21,12 @@ export K3S_SERVER_HOSTNAME="${K3S_SERVER_HOSTNAME:-ylc61}"
 # 与 ansible group_vars 一致，验证磁盘/文档 00-04 时引用
 export K3S_DATA_DIR="${K3S_DATA_DIR:-/storage}"
 
-# --- Ansible（安装/复验 k3s）---
+# --- Ansible（安装/复验 k3s；对应 docs/00-05 §2 步骤 3）---
 export ANSIBLE_INVENTORY="${ANSIBLE_INVENTORY:-$(pwd)/ansible/inventory.ini}"
-# phase2（run-phase2-k3s-on-ylc61-as-jack.sh 或手工）：
-# 为 true 时先跑 k3s-prepare-storage.yml（须与 group_vars 一致）
+# deploy-lab.sh k3s / ssh/run-phase2-k3s-on-ylc61-as-jack.sh：
+# 为 true 时先跑 k3s-prepare-storage.yml（传 -e k3s_prepare_storage=true；磁盘变量见 group_vars）
 export K3S_PREPARE_STORAGE="${K3S_PREPARE_STORAGE:-false}"
-# phase2 建议在控制节点 ylc61 上执行（本机有 ansible-playbook）；办公机无 ansible 时用 phase2-print 复制命令到 ylc61
+# 建议在控制节点或 Linux 工作机执行 deploy-lab.sh；办公机可用 run-phase2-k3s-on-ylc61-as-jack.sh 触发远端
 
 # --- SSH 密钥命名（与 scripts/ssh/test-ssh.sh 默认一致；脚本内尚为硬编码路径）---
 # test-ssh 使用：$K3S_SSH_KEY_DIR/${K3S_SSH_KEY_PREFIX}<inventory主机名>
@@ -38,8 +38,9 @@ export SSH_USER="${SSH_USER:-jack}"
 # test-ssh.sh：连接超时秒数（脚本已支持环境变量 TIMEOUT_SEC）
 export TIMEOUT_SEC="${TIMEOUT_SEC:-5}"
 
-# ---（旧自动验证已下线）---
-# 如果你要重新落地自动化验证，请参考 docs/00-05 的测试框架设计说明。
+# --- 矩阵验证（docs/00-05 §2 步骤 4～6）---
+# ./scripts/verify.sh run | run-all | preflight | flow
+# VERIFY_TEARDOWN（默认 1）、VERIFY_PREFLIGHT_CLUSTER（为 1 时 preflight 额外 kubectl get nodes）
 
 # --- SSH：第三方验证机 onecloud（不忽略：矩阵里多处依赖「集群外」curl/探测）---
 # 用途示例：02-xx nginx 矩阵从第三方访问 Ingress；01-07 经 onecloud 对 OpenWrt:18080/18443 发 curl；
@@ -49,8 +50,9 @@ export ONECLOUD_SSH="${ONECLOUD_SSH:-ssh -o BatchMode=yes onecloud}"
 # 若需显式密钥，可写完整一行，例如：
 # export ONECLOUD_SSH="ssh -o BatchMode=yes -i ~/.ssh/id_ed25519_onecloud onecloud"
 
-# --- NFS（03-06）：服务端与导出路径；若需在服务端执行清理命令可填 SSH ---
+# --- NFS（03-06）：verify playbook 使用 NFS_SERVER_IP / NFS_EXPORT_PATH ---
 export NFS_SERVER_HOST="${NFS_SERVER_HOST:-YOUR_NFS_IP_OR_HOSTNAME}"
+export NFS_SERVER_IP="${NFS_SERVER_IP:-$NFS_SERVER_HOST}"
 export NFS_EXPORT_PATH="${NFS_EXPORT_PATH:-/export/k3s}"
 # export NFS_SSH="ssh -o BatchMode=yes root@${NFS_SERVER_HOST}"
 
@@ -96,8 +98,12 @@ export ARMV7_NFS_SSH="${ARMV7_NFS_SSH:-$ARMV7_SSH}"
 # 01-07 文档中第三方 curl 用 --https-hosts 时的主机列表（逗号分隔，与 VERIFY_TLS_HOSTS 可相同）
 # export OPENWRT_VERIFY_HTTPS_HOSTS="test01.jackadam.top,..."
 
-# --- 与现有 scripts/*.sh 对照（未列出的脚本不在仓库内）---
+# --- 与 scripts/*.sh 对照 ---
+# verify.sh                           → VERIFY_TEARDOWN, VERIFY_PREFLIGHT_CLUSTER, nginx_entry_base, ANSIBLE_INVENTORY
+# deploy-lab.sh                       → ANSIBLE_INVENTORY, K3S_PREPARE_STORAGE
+# ssh/run-phase2-k3s-on-ylc61-as-jack.sh → LAB_REPO_ROOT, K3S_PREPARE_STORAGE（传远端）
+# ssh/smoke-verify-matrix-on-ylc61.sh   → VERIFY_REPO_ROOT, VERIFY_TEARDOWN, nginx_entry_base
 # cloudflare-delete-acme-challenge-dns.sh → CF_API_TOKEN, ZONE_NAME, ZONE_ID
 # k3s-delete-lab-stacks.sh            → KUBECONFIG
 # ssh/test-ssh.sh                     → TIMEOUT_SEC；密钥路径当前固定为 $HOME/.ssh/id_ed25519_k3s_<host>
-# ssh/setup-k3s-workers-ssh.sh      → 交互 inventory + SSH_USER；可选一次性密码勿写入本文件
+# ssh/setup-k3s-workers-ssh.sh        → 交互 inventory + SSH_USER；可选一次性密码勿写入本文件