Auto-sync: 2026-04-18 20:02

wiki/sources/ctp-topic-1-gruntwork-landing-zone-architecture.md

@@ -0,0 +1,55 @@
+---
+title: "CTP Topic 1 Gruntwork Landing Zone Architecture"
+type: source
+tags:
+  - AWS
+  - Landing-Zone
+  - Gruntwork
+  - CTP
+  - DevOps
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-1-gruntwork-landing-zone-architecture.md]]
+
+## Summary
+- 核心主题：基于 Gruntwork 的 AWS Landing Zone 架构设计与实现
+- 问题域：云转型项目的基础设施最佳实践
+- 方法/机制：参考架构（Reference Architecture）+ Landing Zone + 联邦用户 + Jenkins CI/CD + Git 工作流
+- 结论/价值：Gruntwork 提供经过实战验证的 Terraform 模块，是云平台部署的最佳实践起点
+
+## Key Claims
+- Gruntwork 是拥有大量 Terraform 代码的组织，其代码经过多次实践验证，被认为是最佳实践
+- 参考架构（Reference Architecture）是包含核心账户（Shared/Logs/Security）和工作负载账户（Prod/Stage/Dev）的最佳实践起点
+- Landing Zone 基于 Gruntwork，不包含具体 ECS 集群或 RDS 数据库，由产品团队自行定义
+- 安全账户使用联邦用户，通过 AD 组映射到 IAM 角色，替代传统 IAM 用户
+- 每个 Landing Zone 有一个 Jenkins 服务器部署基础设施变更，每个产品团队有独立 Jenkins 任务
+
+## Key Quotes
+> "服务应具有业务上下文，而非简单的资源" — Gruntwork Terraform AWS 服务目录的设计理念
+
+## Key Concepts
+- [[Reference Architecture]]：包含核心账户和工作负载账户的最佳实践起点
+- [[Landing Zone]]：基于 Gruntwork 的基础设施部署单元，每个 Zone 有独立 GitHub 仓库管理 IaC
+- [[Federated User]]：通过 AD 组映射到 IAM 角色的联邦身份访问，简化安全账户管理
+- [[Gruntwork Modules]]：经过实战验证的 Terraform 模块，提供业务上下文和粒度支持
+- [[CI/CD Pipeline]]：基于特性分支 + PR + Jenkins 的基础设施变更自动化流程
+
+## Key Entities
+- [[Gruntwork]]：提供 Landing Zone 框架的组织，定义 R&D 和 SAS 环境域名规范
+
+## Connections
+- [[ctp-topic-2-git]] — Git 版本控制基础（CI/CD 前提）
+- [[ctp-topic-3-deploy-and-maintain-infrastructure]] — Terraform 部署与维护
+- [[ctp-topic-9-ci-cd-with-gruntwork]] — Gruntwork CI/CD 流水线实践
+
+## Contradictions
+- （暂无）
+
+## 行动项
+- [ ] 熟悉 Gruntwork Terraform AWS Service Catalog，了解可用模块
+- [ ] 采用特性分支开发流程，通过 PR 合并到主分支
+- [ ] 配置 Jenkins 流水线，实现 Terraform Plan/Apply 自动化
+- [ ] 探索 TerraTest 用于基础设施变更的自动化测试
+- [ ] 确定 Active Directory 联邦访问的具体配置方案

wiki/sources/ctp-topic-17-active-directory-services-in-gruntwork-aws-lzs.md

@@ -0,0 +1,61 @@
+---
+title: "CTP Topic 17 Active Directory Services in Gruntwork AWS LZs"
+type: source
+tags:
+  - AWS
+  - Landing-Zone
+  - AD
+  - Gruntwork
+  - CTP
+date: 2026-04-14
+---
+## Source File
+[[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-17-active-directory-services-in-gruntwork-aws-lzs.md]]
+
+## Summary
+- 核心主题：在 Gruntwork AWS Landing Zones 架构中集成和管理 Active Directory 服务
+- 问题域：R&D Labs 生产环境域名的选择与迁移，旧域名（infra/AST）废弃
+- 方法/机制：使用 SRE 预制 AMIs 实现自动域加入，通过 Terraform user_data 调用 PowerShell/Shell 脚本
+- 结论/价值：明确域名规范（swinford.net 用于研发环境，intsas.local 用于生产/SAS 环境），提供自动化域加入方案和支持渠道
+
+## Key Claims
+- R&D Labs 环境统一使用 swinford.net 域名，支持自助服务管理
+- 生产与分阶段 SAS 环境使用 intsans.local 域名，强调资源所有权和审计
+- 旧的 infra 和 AST 域名已在 Gruntwork 落地页中废弃，需要迁移
+- SRE 团队提供的预制 AMIs 内置自动域加入脚本（PowerShell/Shell）
+- MIM 自助工具用于研发环境的安全组管理和权限申请
+- SMACKS 工单系统用于生产环境账号申请和密码重置
+
+## Key Quotes
+> "本次视频是 DevOps 云学习系列课程之一，重点介绍了在 Gruntwork AWS Landing Zones 架构中集成与管理 Active Directory (AD) 服务的核心实践"
+
+> "研发实验室（R&D Labs）统一使用 `swinford.net` 域名"
+> "生产与分阶段 SAS 环境则采用 `intsas.local`"
+
+> "旧有的 `infra` 和 `AST` 域名在新的 Gruntwork 落地页中已被废弃"
+
+## Key Concepts
+- [[Gruntwork-Landing-Zone]]: Gruntwork 提供的预配置 AWS 基础架构框架，分为 R&D Labs 和 SAS 两种环境类型
+- [[SRE-provided-AMIs]]: SRE 团队预先构建的机器镜像，内置用于自动加入域的 PowerShell 和 Shell 脚本
+- [[Domain-Join]]: 通过 SRE-provided AMIs 在 Terraform user_data 中调用脚本实现自动化域加入
+- [[MIM]]: Microsoft Identity Manager，用于 R&D 环境的安全组管理和权限申请
+- [[SMACKS-Ticket]]: 内部服务管理工单系统，用于申请新账号、密码重置、生产环境变更
+- [[Secure-Dynamic-Updates]]: 安全机制，允许 Linux 系统加入域时自动注册 DNS A 记录
+
+## Key Entities
+- [[AWS]]: 全球最大公有云平台，Hosting Landing Zones 基础设施
+- [[Gruntwork]]: 提供 Landing Zone 框架的公司，定义环境域名规范
+- [[Paul]]: 视频演讲者，详细阐述 AD 服务集成方案
+- [[SRE-Team]]: 构建和提供预制 AMIs 的团队
+
+## Connections
+- [[AWS-Landing-Zone]] ← uses ← [[Gruntwork-Landing-Zone]]
+- [[SRE-provided-AMIs]] ← implements ← [[Domain-Join]]
+- [[MIM]] ← manages ← [[swinford.net]]
+- [[SMACKS-Ticket]] ← processes ← [[intsas.local]]
+
+## Contradictions
+- 与旧域名规范冲突：
+  - 冲突点：旧的 infra 和 AST 域名已被废弃
+  - 当前观点：统一使用 swinford.net（研发）和 intsas.local（生产）
+  - 对方观点：继续使用 infra/AST 域名

wiki/sources/ctp-topic-28-aws-tag-validation-tool.md

@@ -0,0 +1,57 @@
+---
+id: ctp-topic-28-aws-tag-validation-tool
+title: "CTP Topic 28 AWS Tag Validation Tool"
+type: source
+tags:
+  - AWS
+  - Tagging
+  - Validation
+  - Tool
+  - CTP
+  - Landing-Zone
+date: 2026-04-18
+last_updated: 2026-04-18
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-28-aws-tag-validation-tool.md]]
+
+## Summary
+
+- 核心主题：AWS 标签验证工具，用于审计资源标签合规性
+- 问题域：云资源治理、标签策略执行、自动化审计
+- 方法/机制：通过 YAML 配置文件定义合法标签值，使用 Boto3 扫描 EC2、安全组、负载均衡器、Lambda 函数，与预期值比对并生成 CSV 报告
+- 结论/价值：提高标签合规审计效率，为成本核算提供标签数据基础
+
+## Key Claims
+
+- 在该组织中，Checkpoint 防火墙会读取 EC2 实例、安全组和负载均衡器的标签值来配置网络访问权限，标签无效或缺失会被拦截网络流量
+- Service Control Policies (SCPs) 可在组织层面拦截不合规资源的创建，主要应用于 SAS 账户
+- 对于已存在的存量资源，需要有效的审计手段，标签验证工具可自动扫描并生成问题报告
+
+## Key Quotes
+
+> "标签不仅影响资源元数据，还直接影响网络安全" — Lewis Brown
+
+> "通过 YAML 配置文件定义各账户的合法标签值，工具会自动扫描并比对" — Lewis Brown
+
+## Key Concepts
+
+- [[AWS Tags]]：附加在 AWS 资源上的元数据键值对
+- [[Service Control Policies]]：AWS Organizations 的策略，管理组织内账户的最大可用权限
+- [[Boto3]]：适用于 Python 的 AWS SDK
+- [[Poetry]]：Python 依赖管理和打包工具
+
+## Key Entities
+
+- [[AWS]]：AWS 标签验证工具的云平台
+- [[SRE Team]]：工具开发者
+
+## Connections
+
+- [[CTP Topic 10 - AWS Tagging Deep Dive]] ← depends_on ← [[CTP Topic 28 - AWS Tag Validation Tool]]
+- [[CTP Topic 28 - AWS Tag Validation Tool]] → extends → [[Gruntwork Landing Zone]]
+
+## Contradictions
+
+- 暂无冲突记录

wiki/sources/ctp-topic-46-netapps-on-aws.md

@@ -0,0 +1,74 @@
+---
+title: "CTP Topic 46 NetApps on AWS"
+type: source
+tags:
+  - NetApp
+  - AWS
+  - Storage
+  - CTP
+date: 2026-04-14
+---
+
+## Source File
+
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-46-netapps-on-aws.md]]
+
+## Summary
+
+- **核心主题**：NetApp on AWS（Cloud Volume ONTAP - CVO）的架构、部署、数据分层、安全、备份与灾难恢复
+- **问题域**：传统 NetApp 存储系统云端部署、数据迁移、企业级存储方案
+- **方法/机制**：
+  - CVO：软件定义的存储设备，运行在 EC2 实例上
+  - 数据分层：EBS 存放活跃数据，S3 存放非活跃数据（30天以上）
+  - 备份恢复：SnapMirror（块级复制）、SnapVault、Snapshot
+  - 加密：AWS KMS 或 NetApp 自带加密（256位）
+- **结论/价值**：NetApp on AWS 提供企业级混合云存储方案，支持从本地数据中心无缝迁移
+
+## Key Claims
+
+- CVO 作为纯软件定义存储，运行在 EC2 实例上，支持单节点或 HA 对部署
+- 数据分层机制：活跃数据存 EBS，非活跃数据（超过 30 天）自动迁移至 S3
+- SnapMirror 支持块级复制，保持 Deduplication 和压缩，数据传输高效
+- 支持多协议：NFS、SMB、CIFS、iSCSI、FC
+- 当前生产环境约 15 个 NetApp 集群，存储约 1.3 PB 数据
+
+## Key Quotes
+
+> "NetApp on AWS (CVO) is a software-only storage appliance hosted on EC2 instances, functioning as nodes. It can be a single node or HA pair, utilizing a mediator instance to aid during takeover and give back processes." — 培训讲师 Sandeep 和 Yael
+
+> "Data inactive for 30 days or more is automatically moved to S3 and pulled back to EBS when accessed." — 数据分层机制
+
+## Key Concepts
+
+- [[Cloud Volume ONTAP]]：AWS 上的 NetApp 存储解决方案，纯软件定义
+- [[EBS]]：AWS 块存储，CVO 的物理存储后端（GP3、GP2、IO1、IO2、ST1 卷类型）
+- [[S3]]：用于存储非活跃数据的对象存储，与 EBS 数据分层配合
+- [[SnapMirror]]：NetApp 块级复制工具，用于数据中心到 AWS 的数据迁移
+- [[Snapshot]]：卷的点-in-time 只读快照，只存储指针，最小化存储空间占用
+
+## Key Entities
+
+- [[AWS]]：公有云平台，CVO 部署的目标云
+- [[NetApp]]：存储解决方案供应商，CVO 产品提供方
+- [[EBS]]：AWS Elastic Block Store，CVO 使用的块存储服务
+- [[S3]]：Simple Storage Service，CVO 数据分层的目标存储
+
+## Connections
+
+- [[CTP Topic 44 AWS Backup in Micro Focus]] ← uses_similar_pattern ← [[ctp-topic-46-netapps-on-aws]]
+- [[ctp-topic-46-netapps-on-aws]] → relies_on → [[EBS]]
+- [[ctp-topic-46-netapps-on-aws]] → uses_for_tiering → [[S3]]
+
+## Contradictions
+
+- 当前无冲突
+
+## Migration Tools
+
+| Tool | Use Case | Protocol |
+|------|----------|----------|
+| SnapMirror | 块级复制，保持 Dedeup/压缩 | NetApp to NetApp |
+| NetApp XCP | 文件级复制，多会话并发 | NFS/SMB |
+| NetApp Cloud Sync | 同步到 S3/EFS | 文件级 |
+| AWS DataSync | 迁移到 EFS/S3 | 文件级 |
+| Silver Peak | WAN 优化 | 压缩流量 |

wiki/sources/ctp-topic-47-enterprise-architecture-cloud-standards.md

@@ -0,0 +1,56 @@
+---
+title: "CTP Topic 47 Enterprise Architecture Cloud Standards"
+type: source
+tags: [Enterprise-Architecture, Cloud-Standards, CTP, AWS, Landing-Zone]
+sources: [nas:///volume2/work/Public Cloud Learning Sessions/CTP _ Topic 47_Enterprise Architecture Cloud Standards.mp4]
+last_updated: 2026-04-18
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-47-enterprise-architecture-cloud-standards.md]]
+
+## Summary
+- **核心主题**：企业云架构标准、Landing Zone 框架、云守护栏（Guardrails）
+- **问题域**：企业如何在云环境中实现标准化、安全性和治理
+- **方法/机制**：Landing Zone 框架、Enterprise Architecture、Cloud Guardrails、Terraform IaC
+- **结论/价值**：通过预配置框架降低应用团队安全审查负担，實現标准化和自动化
+
+## Key Claims
+- Landing Zone 是托管云工作负载的框架，聚焦安全性、合规性和可管理性，核心组件包括账户结构、网络、安全、访问管理和遥测
+- Enterprise Architecture 帮助阐明云架构，向应用团队传达可用资源和要求
+- Cloud Guardrails 捕获可扩展性、成本最小化和灵活性的强制性要求和最佳实践
+- Terraform IaC 允许通过代码指定期望环境，促进标准化和可测试性
+
+## Key Quotes
+> "A landing zone is a framework for hosting cloud workloads, focusing on security, compliance, and manageability."
+> — Lindsay, Enterprise Architect
+
+> "The account structure aligns with environments (dev, staging, production), and roles define access based on zero trust and least privilege principles."
+> — Lindsay
+
+> "We want your knowledge collected here for reuse and help other app developers down the road."
+> — Lindsay, on guardrails refinement
+
+## Key Concepts
+- [[Landing Zone]]：托管云工作负载的框架，聚焦安全性、合规性和可管理性
+- [[Enterprise Architecture]]：企业架构，帮助阐明云架构并传达可用资源
+- [[Cloud Guardrails]]：云守护栏，捕获强制要求和最佳实践
+- [[Terraform]]：基础设施即代码工具，支持环境标准化和可测试性
+- [[Terragrunt]]：Terraform 包装器，帮助生成不同环境
+
+## Key Entities
+- [[Lindsay]]：Enterprise Architect with development background，讲师
+- [[AWS]]：云服务提供商
+
+## Connections
+- [[Terraform]] ← enables ← [[Landing Zone]]
+- [[Terragrunt]] ← wraps ← [[Terraform]]
+- [[Cloud Guardrails]] ← derived_from ← [[Enterprise Architecture]]
+- [[Landing Zone]] ← implements ← [[Zero Trust]]
+
+## Contradictions
+- （暂无）
+
+## Action Items
+- 应用团队应提供输入以完善守护栏
+- 企业架构团队在 intranet 站点创建了包含业务架构概念、数据连接、应用信息和技术路线图的页面

wiki/sources/ctp-topic-51-architecting-with-aws-purpose-built-databases.md

@@ -0,0 +1,62 @@
+---
+title: "CTP Topic 51 Architecting with AWS Purpose-Built Databases"
+type: source
+tags: [AWS, Database, Purpose-Built, CTP, Cloud-Learning]
+date: 2026-04-18
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-51-architecting-with-aws-purpose-built-databases.md]]
+
+## Summary
+- 核心主题：AWS 专用数据库架构，讲解如何为现代应用选择合适的数据库
+- 问题域：数据库选型、NoSQL vs 关系型、AWS 数据库服务
+- 方法/机制：根据用例选择专用数据库，避免一刀切的数据库架构
+- 结论/价值：AWS 提供全面的专用数据库产品组合，支持不同类型的应用场景
+
+## Key Claims
+- 现代应用从客户端-服务器模型演进，需考虑可伸缩性、全球低延迟交付和开发者访问
+- 专用数据库选择需考虑应用规模、用户数、访问模式、使用高峰和性能要求
+- Duolingo 使用 DynamoDB 存储个性化数据，ElastiCache 缓存常见词汇，Aurora 处理事务数据
+- DBA 角色在云端演进，从平台管理转向应用创新
+
+## Key Quotes
+> "We need to start thinking of the right purpose built database for the right application." — Femi George
+
+> "Amazon Aurora has two flavors, MySQL and PostgreSQL." — Femi George
+
+> "The role of the DBA is evolving in the cloud." — Femi George
+
+## Key Concepts
+- [[Purpose-Built Database]]：为特定用例优化的数据库，选择最佳工具而非一刀切
+- [[Amazon Aurora]]：云原生关系型数据库，支持 MySQL 和 PostgreSQL，存储计算分离
+- [[Amazon DynamoDB]]：键值和文档数据库，单数字毫秒延迟，支持每日数万亿请求
+- [[Amazon DocumentDB]]：MongoDB 兼容的文档数据库，灵活模式
+- [[Amazon ElastiCache]]：内存数据库（Redis、Memcached），用于缓存、实时分析
+- [[Amazon Neptune]]：图形数据库，适用于欺诈检测、社交网络、推荐系统
+- [[Amazon Timestream]]：时序数据库，专为 IoT 等高容量时间序列数据设计
+- [[Amazon Keyspaces]]：Apache Cassandra 托管服务，无服务器选项
+
+## Key Entities
+- [[AWS]]：云平台提供商
+- [[Femi George]]：AWS 数据库销售专家，主讲人
+- [[Duolingo]]：案例公司，使用 DynamoDB + ElastiCache + Aurora
+- [[Netflix]]：案例公司，使用 DynamoDB 存储 JSON 文档
+- [[Peloton]]：案例公司，使用 ElastiCache Redis 提供即时客户反馈
+
+## Connections
+- [[AWS]] ← offers ← [[Amazon Aurora]]
+- [[AWS]] ← offers ← [[Amazon DynamoDB]]
+- [[AWS]] ← offers ← [[Amazon DocumentDB]]
+- [[AWS]] ← offers ← [[Amazon ElastiCache]]
+- [[AWS]] ← offers ← [[Amazon Neptune]]
+- [[AWS]] ← offers ← [[Amazon Timestream]]
+- [[AWS]] ← offers ← [[Amazon Keyspaces]]
+- [[Duolingo]] ← uses ← [[Amazon DynamoDB]]
+- [[Duolingo]] ← uses ← [[Amazon ElastiCache]]
+- [[Duolingo]] ← uses ← [[Aurora]]
+- [[Netflix]] ← uses ← [[Amazon DynamoDB]]
+- [[Peloton]] ← uses ← [[Amazon ElastiCache]]
+
+## Contradictions
+- （暂无）

wiki/sources/ctp-topic-66-exposing-the-differences-between-postgresql-rds-and-aurora.md

@@ -0,0 +1,45 @@
+---
+title: "CTP Topic 66 Exposing the differences between PostgreSQL RDS and Aurora"
+type: source
+tags:
+  - AWS
+  - RDS
+  - Aurora
+  - PostgreSQL
+  - CTP
+date: 2026-04-14
+source_file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-66-exposing-the-differences-between-postgresql-rds-and-aurora.md
+---
+
+## Summary
+- 核心主题：PostgreSQL on RDS 与 Aurora 的详细对比，涵盖架构、性能、成本、故障切换和高可用性优化
+- 问题域：选择适合的 AWS 数据库方案
+- 方法/机制：存储架构对比、故障转移机制、监控工具、高可用优化技巧
+- 结论/价值：Aurora 适合大型数据库（10-20TB+），RDS 适合中小型数据库
+
+## Key Claims
+- Aurora 提供 30 秒 RTO，RDS 为 2 分钟（AZ 故障场景）
+- Aurora 最低实例规格和成本高于 RDS，但扩展性更好
+- Aurora 使用 6 个 EBS 卷跨 3 个 AZ，RDS 使用附加存储（EBS）+计算节点
+
+## Key Quotes
+> "With Aurora, you get six EBS volumes. They're spread across three availability zones." — Aurora 存储架构
+> "Aurora IO is generally unbounded because they're motivated to give you as much IO as you can consume because they're charging you per IO." — IO 计费差异
+
+## Key Concepts
+- [[Aurora]]：Amazon 自研云原生数据库，使用 6 个 EBS 卷跨 3 个 AZ
+- [[RDS]]：Amazon 关系型数据库服务，使用计算+附加存储架构
+- [[RTO]]（Recovery Time Objective）：恢复时间目标，Aurora 30秒 vs RDS 2分钟
+- [[Multi-AZ]]：多可用区部署，实现高可用
+- [[Blue-Green Deployment]]：蓝绿部署，Aurora MySQL 支持大版本升级
+
+## Key Entities
+- [[AWS]]：提供 RDS 和 Aurora 服务的公有云平台
+
+## Connections
+- [[Aurora]] ← extends ← [[RDS]]
+- [[AWS]] ← provides ← [[RDS]]
+- [[AWS]] ← provides ← [[Aurora]]
+
+## Contradictions
+- （暂无）

wiki/sources/ctp-topic-72-implementing-an-enterprise-dr-strategy-using-aws-backup.md

@@ -0,0 +1,62 @@
+---
+id: ctp-topic-72-implementing-an-enterprise-dr-strategy-using-aws-backup
+title: "CTP Topic 72: Implementing an Enterprise DR Strategy using AWS Backup"
+type: source
+tags:
+  - AWS
+  - DR
+  - Backup
+  - Enterprise
+  - CTP
+date: 2026-04-14
+sources: []
+last_updated: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-72-implementing-an-enterprise-dr-strategy-using-aws-backup.md]]
+
+## Summary
+- **核心主题**: 使用 AWS Backup 实现企业级灾难恢复策略
+- **问题域**: DR 与 HA 的区别、RTO/RPO 定义、AWS Backup 架构
+- **方法/机制**: AWS Backup 服务、全备份与增量备份、备份计划、Vault Lock、跨账户备份
+- **结论/价值**: AWS Backup 是完全托管的策略驱动备份服务，支持多种资源类型，与 Organizations 集成实现跨账户备份副本
+
+## Key Claims
+- 高可用性（HA）关注系统运行时间和平均故障间隔，灾难恢复（DR）关注数据丢失防护
+- RPO 定义可接受的数据丢失量，RTO 定义可接受的停机时间
+- AWS Backup 是策略驱动的备份服务，支持与 Organizations 集成实现跨账户备份
+- Vault Lock（合规模式）防止任何人（包括 root 用户）在生命周期结束前删除恢复点
+
+## Key Quotes
+> "We should always be prepared for a situation that everything falls all the time." — Sabith (AWS)
+
+> "Human errors, technical failures, and natural disasters are major categories to consider when creating DR plans."
+
+> "AWS Backup is a fully managed, policy-based backup service that simplifies data protection."
+
+## Key Concepts
+- [[灾难恢复]]: 系统故障后的数据还原流程
+- [[高可用性]]: 通过冗余和故障转移确保系统持续可用的设计原则
+- [[RPO]]: Recovery Point Objective，可接受的数据丢失量
+- [[RTO]]: Recovery Time Objective，可接受的停机时间
+- [[Shared Responsibility Model]]: AWS 与客户在云安全方面的责任划分
+
+## Key Entities
+- [[AWS]]: 全球最大公有云平台，提供 AWS Backup 服务
+- [[AWS-Organizations]]: AWS 账户管理服务，用于跨账户备份
+- [[IAM]]: AWS 身份与访问管理，用于备份访问控制
+- [[AWS-Backup-Audit-Manager]]: AWS Backup 合规审计服务（BAM）
+
+## Connections
+- [[灾难恢复]] ← depends_on ← [[RPO]]
+- [[灾难恢复]] ← depends_on ← [[RTO]]
+- [[AWS-Backup]] ← implements ← [[灾难恢复]]
+- [[高可用性]] ← distinguishes_from ← [[灾难恢复]]
+
+## Contradictions
+- （暂无）
+
+## Related Topics
+- [[CTP-Topic-46-NetApp-on-AWS]]: 存储相关的 AWS 服务
+- [[CTP-Topic-66-PostgreSQL-RDS-vs-Aurora]]: 数据库灾备对比

wiki/sources/ctp-topic-73-aws-backup-implementation-of-the-cloud-transformation-program.md

@@ -0,0 +1,81 @@
+---
+title: "CTP Topic 73 AWS Backup implementation of the Cloud Transformation Program"
+type: source
+tags: [AWS, Backup, CTP]
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-73-aws-backup-implementation-of-the-cloud-transformation-program.md]]
+
+## Summary
+
+### 核心主题
+AWS Backup 在云转型计划（CTP）中的实施，标准化备份流程。
+
+### 问题域
+- 生产工作负载的备份策略
+- 跨账户跨区域备份设计
+- SRE 模型的备份自动化
+
+### 方法/机制
+- AWS Backup 作为统一备份工具
+- SRE 模型：允许产品组创建和控制备份
+- 初始备份 + 复制到 DR 账户
+- AWS Backup Audit Manager 审计与合规报告
+
+### 结论/价值
+- 备份策略灵活性和标准化兼顾
+- 支持点时间恢复（PITR）
+- 开箱即用的审计框架
+- DR 账户存储备份，实现即时恢复
+
+---
+
+## Key Claims
+
+- 生产工作负载备份策略要求：每24小时至少备份一次，保留至少30天，两个备份位置
+- AWS Backup 设计：源账户初始备份 → 复制到 DR 账户/区域，支持无 DR 账户时使用 Databunker 作为集中备份账户
+- SRE 备份模型简化 AWS Backup 采用：备份计划、选择、金库、KMS 策略、生命周期策略、审计报告等自动化
+- AWS Backup Audit Manager 提供合规控制评估：备份计划保护、最小频率和保留、防止删除恢复点、加密恢复点、跨区域跨账户备份
+
+---
+
+## Key Quotes
+
+> "AWS Backup was chosen as the strategic tool for backup in the cloud transformation program to standardize backup processes."
+> "The design involves taking initial backups within the source accounts and copying them to a remote account and region, ideally a dedicated DR account."
+> "AWS Backup Audit Manager provides out-of-the-box reports and compliance reports to evaluate backup practices."
+
+---
+
+## Key Concepts
+
+- [[AWS-Backup]]: AWS 原生备份服务，支持多种 AWS 资源备份
+- [[SRE]]: 站点可靠性工程，SRE 团队设计备份模型
+- [[DR-Account]]: 灾难恢复账户，存储备份副本
+- [[KMS-Key]]: AWS Key Management Service，备份加密
+- [[PITR]]: Point-in-Time Restore，点时间恢复
+
+---
+
+## Key Entities
+
+- [[AWS]]: 亚马逊云科技
+- [[SRE]]: 站点可靠性工程团队
+- [[Gruntwork]]: Landing Zone 框架提供商
+- [[CTP]]: Cloud Transformation Program，云转型计划
+
+---
+
+## Connections
+
+- [[AWS]] ← uses ← [[AWS-Backup]]
+- [[SRE]] ← provides ← [[SRE-Models-for-Backup]]
+- [[CTP]] ← implements ← [[AWS-Backup]]
+
+---
+
+## Contradictions
+
+- （暂无）