feat(gateway): 可观测性 —— Prometheus 指标 + 结构化日志 + 探针

往"生产可运维"推一步（网关前门）：
- Prometheus /metrics：sundynix_http_requests_total{method,route,status}、
  request_duration_seconds 直方图、requests_in_flight。route 用 c.FullPath()
  路由模板（/tasks/:id/...）避免按真实路径高基数。
- 结构化访问日志：slog JSON 到 stderr（request_id/method/route/status/latency_ms/
  ip/uid/bytes），替代 gin 默认文本日志；gin.New()+Recovery 自管中间件链。
- RequestID 中间件：生成/透传 X-Request-ID，写上下文+响应头，供日志关联。
- 探针：/healthz（liveness，不查依赖）、/readyz（readiness，DB+Redis 就绪才 200，
  否则 503），供 k8s 等导流判断；/api/v1/health 深度聚合保留。
- 三个根端点不挂业务鉴权（/metrics 生产应由网络层限制抓取来源）。

验证：单测（计数 +1 / X-Request-ID 生成与透传）；实跑 /healthz 200、/readyz 200
（db,redis ready）、/metrics 输出真实指标、访问日志 JSON 正常、X-Request-ID 回写。

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

sundynix-gateway/internal/router/router.go

@@ -5,6 +5,7 @@ import (
 	"os"
 
 	"github.com/gin-gonic/gin"
+	"github.com/prometheus/client_golang/prometheus/promhttp"
 
 	"github.com/sundynix/sundynix-gateway/internal/blob"
 	"github.com/sundynix/sundynix-gateway/internal/handler"
@@ -15,13 +16,22 @@ import (
 
 // New 构建带有 Guardrail / 限流中间件的 Gin 引擎。
 func New(db *store.Postgres, cache *store.Redis, bus *nats.Bus, blobStore *blob.Store) *gin.Engine {
-	r := gin.Default()
-	r.Use(cors()) // 桌面端/浏览器跨源访问（开发期放开）
+	r := gin.New()
+	r.Use(gin.Recovery())          // panic 兜底
+	r.Use(middleware.RequestID())  // 生成/透传 X-Request-ID（日志关联）
+	r.Use(middleware.Observe())    // Prometheus 指标 + 结构化访问日志（替代 gin 默认文本日志）
+	r.Use(cors())                  // 桌面端/浏览器跨源访问
 	r.Use(middleware.RateLimit(cache))
 	r.Use(middleware.Auth())      // 解析 Bearer JWT，注入已验证 userID（非阻断）
 	r.Use(middleware.Guardrail()) // Harness: Input Guardrail
 
 	h := handler.New(db, cache, bus, blobStore)
+
+	// 可观测性根端点：Prometheus 抓取 + k8s 存活/就绪探针（不挂业务中间件鉴权）。
+	r.GET("/metrics", gin.WrapH(promhttp.Handler()))
+	r.GET("/healthz", h.Healthz)
+	r.GET("/readyz", h.Readyz)
+
 	api := r.Group("/api/v1")
 	{
 		// —— 公开：鉴权端点 / 健康 / 按 task_id 寻址的 SSE 与导出（EventSource/下载无法带 Bearer）——