ishenwei/nexus
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Auto-sync: 2026-04-18 20:02

Browse Source
This commit is contained in:
weishen
2026-04-18 20:02:44 +08:00
parent 3f2e1765d8
commit 2ed46e251d
50 changed files with 1924 additions and 267 deletions
Download Patch File Download Diff File Expand all files Collapse all files

40
wiki/concepts/Boto3.md Normal file
View File

@@ -0,0 +1,40 @@
---
id: boto3
title: "Boto3"
type: concept
tags:
- AWS
- Python
- SDK
last_updated: 2026-04-18
---
## Summary
AWS SDK for Python用于通过 Python 代码与 AWS 服务交互。
## Definition
Boto3 是 Amazon 官方提供的 Python SDK允许开发者通过 Python 代码调用 AWS API管理 AWS 资源和服务。
## Key Attributes
- **类型**AWS SDK
- **语言**Python
- **安装方式**pip install boto3
- **认证方式**IAM 凭证、环境变量、AWS CLI 配置
## Core Concepts
### Clients vs Resources
- **Clients**:底层服务 API提供精确控制
- **Resources**:高层次、面向对象的抽象
### Waiters
自动轮询服务响应直到特定状态
### Paginators
自动处理分页结果
## Common Use Cases
- 扫描 EC2 实例、安全组、负载均衡器
- 创建、修改、删除 S3 存储桶
- 触发 Lambda 函数
- 查询 CloudWatch 指标

42
wiki/concepts/Cloud-Guardrails.md Normal file
View File

@@ -0,0 +1,42 @@
---
title: "Cloud Guardrails"
type: concept
tags: [Cloud, Security, Guardrails, Enterprise-Architecture]
last_updated: 2026-04-18
---
## Definition
云守护栏Cloud Guardrails捕获可扩展性、成本最小化和灵活性的强制性要求和最佳实践。
## Key Attributes
- **Purpose**:确保云环境符合企业安全和治理标准
- **Scope**:应用于所有云工作负载
- **Implementation**:通过 Landing Zone 框架自动执行
## Core Components
- 设计概念Design Concepts
- 能力Capabilities
- 最佳实践Best Practices
## Design Principles
- Cloud-First优先使用云原生服务
- Well-Architected Frameworks遵循架构最佳实践
- Infrastructure as Code (Terraform):基础设施即代码
- Resource Tagging资源标签策略
## Executable Packaging
优先使用现有云服务和托管服务,最小化自定义代码。
## Functional Partitioning
将单体应用分解为更小的独立块或无服务器功能。
## Relationships
- [[Enterprise Architecture]] → defines → [[Cloud Guardrails]]
- [[Cloud Guardrails]] → enforces → [[Landing Zone]]
- [[Terraform]] → implements → [[Cloud Guardrails]]
## See Also
- [[Landing Zone]]
- [[Enterprise Architecture]]
- [[Terraform]]
- [[Zero Trust Architecture]]

39
wiki/concepts/Cloud-Volume-ONTAP.md Normal file
View File

@@ -0,0 +1,39 @@
---
title: "Cloud Volume ONTAP"
type: concept
tags:
- storage
- AWS
- NetApp
last_updated: 2026-04-18
---
## Definition
Cloud Volume ONTAP (CVO) 是 NetApp 的云端存储解决方案,纯软件定义的存储设备,运行在 AWS EC2 实例上。
## Architecture
- **部署模式**:单节点或 HA 对(高可用)
- **存储后端**AWS EBS 卷GP3、GP2、IO1、IO2、ST1
- **数据分层**:活跃数据存 EBS非活跃数据30天以上自动迁移到 S3
- **管理工具**Cloud Manager
## Features
- **协议支持**NFS、SMB/CIFS、iSCSI、FC
- **数据保护**Snapshot、Snapmirror、SnapVault
- **加密**:支持 AWS KMS 或 NetApp 自带加密256位
- **安全集成**:与 McAfee 杀毒集成VSES
## Components
- **Aggregate**:磁盘组,组成 RAID 组
- **FlexVolume**:数据容器,托管在 aggregate 上
- **Qtree**:卷的子目录,支持权限和配额
- **LUN**逻辑单元号FC 或 iSCSI 的块存储
- **SVM**:存储虚拟机,支持多租户
## Links
- 对应源页面:[[ctp-topic-46-netapps-on-aws]]

30
wiki/concepts/Domain-Join.md Normal file
View File

@@ -0,0 +1,30 @@
---
title: "Domain Join"
type: concept
tags:
- aws
- active-directory
- automation
sources: [ctp-topic-17-active-directory-services-in-gruntwork-aws-lzs]
last_updated: 2026-04-18
---
## Definition
通过 SRE-provided AMIs 实现自动化将 Windows/Linux 实例加入 Active Directory 域的技术。
## Windows Implementation
在 Terraform user_data 中调用 PowerShell 脚本:
- 自动域加入
- 自动命名
- 管理员权限分配
- 旧对象清理
## Linux Implementation
- 支持安全动态 DNS 更新
- 自动注册 DNS A 记录
## Related Concepts
- [[Gruntwork-Landing-Zone]]
- [[swinford-net]]
- [[intsas-local]]
- [[SRE-provided-AMIs]]

38
wiki/concepts/Enterprise-Architecture.md Normal file
View File

@@ -0,0 +1,38 @@
---
title: "Enterprise Architecture"
type: concept
tags: [Cloud, Enterprise, Architecture, Governance]
aliases: [EA]
last_updated: 2026-04-18
---
## Definition
企业架构Enterprise ArchitectureEA帮助组织阐明云架构向应用团队传达可用资源和要求确保技术决策与企业目标一致。
## Key Attributes
- **Purpose**:提供技术战略视图和治理框架
- **Scope**:涵盖业务架构、数据架构、应用架构、技术架构
- **Output**:企业级标准、指南和路线图
## Core Functions
1. 阐明云架构Articulate cloud architecture
2. 传达可用资源Communicate available resources
3. 定义要求Define requirements
4. 指导技术决策Guide technical decisions
## Cloud EA Focus Areas
- 业务架构概念Business architecture concepts
- 数据连接Data connections
- 应用信息Application information
- 技术路线图Technology roadmaps
## Relationships
- [[Enterprise Architecture]] → defines → [[Cloud Guardrails]]
- [[Enterprise Architecture]] → guides → [[Landing Zone]]
- [[Enterprise Architecture]] → informs → [[Multi-Account Strategy]]
## See Also
- [[Landing Zone]]
- [[Cloud Guardrails]]
- [[Multi-Account Strategy]]
- [[Zero Trust Architecture]]

27
wiki/concepts/Federated-User.md Normal file
View File

@@ -0,0 +1,27 @@
---
title: "Federated User"
type: concept
tags:
- aws
- security
- identity
sources: [ctp-topic-1-gruntwork-landing-zone-architecture]
last_updated: 2026-04-18
---
## Summary
通过 AD 组映射到 IAM 角色的联邦身份访问机制,替代传统 IAM 用户实现安全账户管理。
## Definition
Federated User联邦用户是基于身份提供商IdP的访问方式用户通过企业 Active DirectoryAD进行身份验证然后通过 SAML 或 OIDC 映射到 AWS IAM 角色获取访问权限。
## Advantages
- **集中管理**:用户凭据由企业 AD 集中管理,无需在 AWS 中单独创建 IAM 用户
- **自动生命周期**:员工离职后自动失去 AWS 访问权限
- **最小权限原则**:通过 AD 组精确控制用户获得的 IAM 角色和权限
- **审计合规**:所有访问通过企业身份系统记录和审计
## Connections
- [[IAM]] ← accepts ← [[Federated-User]]
- [[Active-Directory]] ← authenticates ← [[Federated-User]]
- [[Gruntwork-Landing-Zone]] ← uses ← [[Federated-User]]

27
wiki/concepts/Gruntwork-Landing-Zone.md Normal file
View File

@@ -0,0 +1,27 @@
---
title: "Gruntwork Landing Zone"
type: concept
tags:
- aws
- infrastructure
- landing-zone
sources: [ctp-topic-17-active-directory-services-in-gruntwork-aws-lzs]
last_updated: 2026-04-18
---
## Definition
Gruntwork 提供的预配置 AWS 基础架构框架,分为 R&D Labs 和 SAS 两种环境类型。
## Types
- **R&D Labs**:研发实验室环境,统一使用 swinford.net 域名
- **SAS (Staging and Production)**:分阶段和生产环境,使用 intsas.local 域名
## Key Components
- SRE-provided AMIs内置自动域加入脚本
- 自助服务工具(如 MIM
- 支持渠道(如 SMACKS 工单系统)
## Connections
- [[Gruntwork]] ← provides ← [[Gruntwork-Landing-Zone]]
- [[swinford-net]] ← serves ← [[Gruntwork-Landing-Zone]]
- [[intsas-local]] ← serves ← [[Gruntwork-Landing-Zone]]

37
wiki/concepts/Purpose-Built-Database.md Normal file
View File

@@ -0,0 +1,37 @@
---
title: "Purpose-Built Database"
type: concept
tags: [database, AWS, architecture]
date: 2026-04-18
---
## Definition
专用数据库Purpose-Built Database为特定用例优化的数据库架构。根据用例选择最佳工具避免一刀切的数据库架构。
## Rationale
现代应用程序从传统的客户端-服务器模型演进,原因包括:
- 客户需求变化
- 新设备类型多样化
- 数据类型多样化
- 经济因素
选择专用数据库需考虑:
- 应用规模
- 用户数量
- 访问模式
- 使用高峰
- 性能要求(延迟、可用性)
## AWS Database Portfolio
| 数据库类型 | AWS 服务 | 适用场景 |
|------------|---------|----------|
| 关系型 | Aurora, RDS | 固定模式、事务处理 |
| 键值 | DynamoDB | 高扩展、低延迟 |
| 文档 | DocumentDB | JSON 文档、灵活模式 |
| 内存 | ElastiCache | 缓存、实时分析 |
| 图形 | Neptune | 欺诈检测、推荐 |
| 时序 | Timestream | IoT、监控数据 |
| 宽列 | Keyspaces | 大规模写入 |
## Sources
- [[ctp-topic-51-architecting-with-aws-purpose-built-databases]]

6
wiki/concepts/RTO.md
View File

@@ -22,6 +22,12 @@ RTORecovery Time Objective恢复时间目标是指系统允许的最大
| Important | Admin dashboards, reporting | < 1 hour |
| Nice-to-have | Internal tools, dev environments | < 4 hours |
## RDS vs Aurora RTO Comparison
| Database | RTO (AZ Failure) |
|----------|-----------------|
| Aurora | 30 秒 |
| RDS PostgreSQL | 2 分钟 |
## Connections
- [[RPO (Recovery Point Objective)]] ← 配对指标 → [[RTO (Recovery Time Objective)]]
- [[灾难恢复]] ← 应用领域 → [[RTO (Recovery Time Objective)]]

25
wiki/concepts/Reference-Architecture.md Normal file
View File

@@ -0,0 +1,25 @@
---
title: "Reference Architecture"
type: concept
tags:
- aws
- landing-zone
- infrastructure
sources: [ctp-topic-1-gruntwork-landing-zone-architecture]
last_updated: 2026-04-18
---
## Summary
包含核心账户和工作负载账户的最佳实践起点,是云平台部署的参考标准。
## Definition
Reference Architecture参考架构是一套经过实战验证的最佳实践集合作为云平台部署的起点包含预定义的账户结构和基础设施组件。
## Key Components
- **核心账户**Shared共享、Logs日志、Security安全
- **工作负载账户**Prod生产、Stage预发、Dev开发
## Connections
- [[Gruntwork-Landing-Zone]] ← implements ← [[Reference-Architecture]]
- [[AWS-Organizations]] ← manages ← [[Reference-Architecture]]
- [[Multi-Account-Strategy]] ← relies_on ← [[Reference-Architecture]]

26
wiki/concepts/SRE-provided-AMIs.md Normal file
View File

@@ -0,0 +1,26 @@
---
title: "SRE-provided AMIs"
type: concept
tags:
- aws
- ami
- automation
sources: [ctp-topic-17-active-directory-services-in-gruntwork-aws-lzs]
last_updated: 2026-04-18
---
## Definition
SRE 团队预先构建的 Amazon Machine Images内置用于自动加入域的 PowerShell 和 Shell 脚本。
## Use Cases
- Windows 实例自动域加入
- Linux 实例 DNS 动态更新
- 自动化用户权限分配
- 自动清理旧 AD 对象
## Provider
SRE 团队
## Related
- [[Gruntwork-Landing-Zone]]
- [[Domain-Join]]

52
wiki/concepts/Service-Control-Policies.md Normal file
View File

@@ -0,0 +1,52 @@
---
id: service-control-policies
title: "Service Control Policies (SCPs)"
type: concept
tags:
- AWS
- Policy
- Governance
last_updated: 2026-04-18
---
## Summary
AWS Organizations 的策略类型之一,用于集中管理组织内所有账户的最大可用权限。
## Definition
Service Control Policies (SCPs) 是 AWS Organizations 的一种策略类型,用于设置组织内所有账户的最大权限边界。它们不允许授予权限,而是限制可用的权限范围。
## Key Attributes
- **类型**:组织策略
- **作用域**组织单元OU或单个账户
- **效果**Allow允许或 Deny拒绝
- **优先级**仅拒绝Deny策略优先于 Allow 策略
## Use Cases
- 实施标签规范,阻止创建不带标签的 EC2 实例
- 限制特定区域的资源部署
- 防止删除关键资源(如 CloudTrail、VPC Flow Logs
## Examples
```json
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ec2:RunInstances"
],
"Resource": ["arn:aws:ec2:*:*:instance/*"],
"Condition": {
"StringEquals": {
"aws:RequestTag/CostCenter": "absent"
}
}
}
]
}
```
## Related Concepts
- [[Multi-Account Strategy]]SCPs 是多账号策略的一部分
- [[Gruntwork Landing Zone]]Gruntwork Landing Zone 使用 SCPs 实施治理