Auto-sync: 2026-04-21 17:12
This commit is contained in:
@@ -1,61 +0,0 @@
|
||||
---
|
||||
title: "CTP Topic 25 Labs Landing Zone overview - ITOM teams"
|
||||
type: source
|
||||
tags:
|
||||
- AWS
|
||||
- Landing-Zone
|
||||
- Labs
|
||||
- ITOM
|
||||
- CTP
|
||||
category: DevOps & SRE/01_AWS-Landing-Zone
|
||||
date-added: 2026-04-18
|
||||
sources:
|
||||
- raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-25-labs-landing-zone-overview-itom-teams.md
|
||||
---
|
||||
|
||||
## Source File
|
||||
- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-25-labs-landing-zone-overview-itom-teams.md]]
|
||||
|
||||
## Summary
|
||||
- 核心主题:Labs Landing Zone 架构概述,基于 Gruntwork reference architecture 和 AWS 标准,采用多账号策略
|
||||
- 问题域:企业级 AWS 云基础设施规划与部署
|
||||
- 方法/机制:IaC(Terraform)管理、标签驱动防火墙策略、CI/CD 自动化(Jenkins + Terragrunt)
|
||||
- 结论/价值:Labs Landing Zone 提供标准化的多账号基础设施框架,通过代码实现一致性、版本控制和自动化治理
|
||||
|
||||
## Key Claims
|
||||
- Labs Landing Zone 基于 Gruntwork reference architecture 和 AWS 标准构建
|
||||
- 整个技术栈通过 Terraform 管理,所有资源必须使用代码机制部署
|
||||
- Shared Account 托管 Jenkins 主服务器、hardened AMIs 和 Docker 容器存储
|
||||
- Logs Account 安全存储 AWS Config 和 CloudTrail 日志,访问权限由安全团队控制
|
||||
- Security Account 管理用户账户和跨账户访问,采用联合身份认证
|
||||
- Active Directory 账户管理 Windows 实例和 IDPs(使用 swimford.net 域名)
|
||||
- DNS 账户管理 AWS Swimford.net,允许本地域或引用更广泛的基础设施
|
||||
- Network Account 是网络通信中心,通过 Transit Gateway 和 JetPult 防火墙管理流量
|
||||
- 所有互联网访问通过该账户路由,通过标签由网络团队管理
|
||||
- Shared Service Accounts 提供监控服务(如 45 arc site)和 Qualys 安全服务
|
||||
- Product Account 是主要工作环境,使用标准化 IaC 模块构建,可包含多个账户(production、staging、development)
|
||||
- 部署 Product Account 时需定义 IP 地址范围,并与网络团队协商防火墙访问的标签
|
||||
- Jenkins 流水线持续扫描 GitHub Enterprise 仓库,根据分支运行 Terragrunt plan 或 apply
|
||||
- 互联网连接受限,访问特定企业网络位置需向网络服务团队申请
|
||||
|
||||
## Key Concepts
|
||||
- [[Gruntwork Landing Zone]]:Gruntwork 提供的预配置 AWS 基础架构框架
|
||||
- [[Multi-Account Strategy]]:AWS 推荐的多账号策略,通过分离工作负载提升安全性和治理能力
|
||||
- [[Infrastructure as Code]]:通过代码实现基础设施管理,确保一致性和版本控制
|
||||
- [[Terraform]]:HashiCorp 开发的 IaC 工具,用于声明式定义云资源
|
||||
- [[Transit Gateway]]:AWS 中心网络路由服务,连接 VPCs 和本地网络
|
||||
- [[Service Control Policies]]:AWS Organizations 的策略类型,管理组织内账户的最大权限边界
|
||||
|
||||
## Key Entities
|
||||
- [[Gruntwork]]:Landing Zone 框架提供商
|
||||
- [[Jenkins]]:开源自动化服务器,用于 CI/CD 流水线
|
||||
- [[swinford.net]]:R&D Labs 环境的 Active Directory 域名
|
||||
|
||||
## Connections
|
||||
- [[Gruntwork Landing Zone]] ← builds_on ← [[AWS Organizations]]
|
||||
- [[Product Account]] ← deploys_via ← [[Terraform]]
|
||||
- [[Network Account]] ← manages ← [[Transit Gateway]]
|
||||
- [[Logs Account]] ← stores ← [[CloudTrail]]
|
||||
|
||||
## Contradictions
|
||||
- (暂无)
|
||||
Reference in New Issue
Block a user