Auto-sync: 2026-04-24 00:02
This commit is contained in:
@@ -41,7 +41,47 @@ Key concepts: [[Recursive Self-Optimization]], [[Generator Space]], [[Self-Refer
|
||||
### Cloud Transformation & DevOps
|
||||
Cloud Transformation Programme (CTP) materials cover AWS landing zones, EKS, Terraform, GitOps, FinOps, observability, security, and enterprise architecture. Key themes: 3 Lines of Defence framework, ITSM, container hardening, backup & DR strategies. DevOps culture focuses on four pillars: Collaboration, Automation (CI/CD, IaC), Continuous Improvement (Kaizen), and Customer-Centricity. Agile practices (Scrum, Kanban) are symbiotic with DevOps. Emerging trends: DevSecOps, GitOps, Serverless DevOps, AI/ML-driven automation, and Edge Computing DevOps.
|
||||
|
||||
Key concepts: [[Landing Zone Architecture]], [[GitOps]], [[FinOps]], [[Event Sourcing]], [[Container Lifecycle Hardening]], [[AWS Backup]], [[ITSM]], [[ITSM-2.0]], [[Hyperautomation]], [[AIOps]], [[Self-Healing-Systems]], [[Zero-Trust-Architecture]], [[Policy-as-Code]], [[Immutable-Infrastructure]], [[Error Budgets]], [[Multi-Cloud Strategy]], [[Multi-Cloud-ROI]], [[DevOps Culture]], [[CI/CD Pipeline]], [[DevSecOps]], [[Shift-Left-Security]], [[Shift-Right-Security]], [[SAST]], [[DAST]], [[IAST]], [[SCA]], [[Break-the-Build]], [[Agile Practices]], [[DevOps Maturity]], [[DORA Metrics]], [[Infrastructure as Code]], [[Cloud-Native]], [[Cloud Maturity Levels]], [[Cloud Adoption Strategy]], [[Cloud Service Delivery]], [[Cloud DevOps Maturity Model]], [[Cloud Operating Model]], [[Cloud Governance]], [[Cloud Cost Optimization]], **[[Serverless Computing]]**, **[[Edge Computing]]**, **[[Green Computing]]**, [[Vendor-Lock-In]], [[Data-Sovereignty]], [[SLA]], [[SLO]], [[Incident Management]], [[Change Management]], **[[Disaster Recovery]]**, [[WAF]], [[APM]], [[Cloud Security]], [[Cloud Migration]], [[High Availability]], [[Pay-as-you-go]], [[Failover]], [[Multi-factor-Authentication]], [[Data-Governance]], [[Continuous Integration]], [[Continuous Deployment]], [[Lead Time]], [[Time-to-Market]], [[MTTR]], [[MTTD]], [[MTTA]], [[Change Failure Rate]], [[Error Budget]], [[Rollback Rate]], [[Availability]], [[Scalability]], **[[Agentic AI]]**, [[Root Cause Analysis (RCA)]], [[Predictive Maintenance]], [[Deployment Automation]], [[Rightsizing]], [[Automated Security Audit]], [[AI ChatOps]], [[What-If Simulation]], **[[RTO]]**, **[[RPO]]**, **[[Feature Flag]]**, **[[Kill Switch]]**, **[[Progressive Rollout]]**, **[[Micro-Recovery]]**, **[[Deployment-vs-Release]]**, **[[Business Impact Analysis]]**, **[[Public Cloud]]**, **[[Private Cloud]]**, **[[Hybrid Cloud]]**, **[[Shared Responsibility Model]]**, [[Multi-Tenancy]], [[Intentional Cloud Strategy]], **[[Centralized Logging]]**, **[[Cross-Account Monitoring]]**, **[[Multi-Account Deployment]]**, **[[StackSets Deployment Visibility]]**, [[CMDB]], [[Problem-Management]], [[Release-Management]], [[Configuration-Management]], [[Asset-Management]], [[Security-and-Compliance]], [[DRaaS]], [[Canary-Release]], [[Blue-Green-Deployment]], [[Threat Modeling]], [[OWASP-Top-Ten]], [[Bug-Bounty]], [[Vulnerability-Scanning]], [[Penetration-Testing]], [[Compliance-Automation]]
|
||||
**[[ctp-topic-25-labs-landing-zone-overview-itom-teams]]**(CTP Topic 25):Labs Landing Zone 运维团队视角——Labs LZ 基于 Gruntwork 参考架构,采用多账户策略,全部资源通过 Terraform/Terragrunt 管理(Jenkins 流水线扫描 GitHub 仓库变更触发 plan/apply);核心账户包括:Shared(托管 Jenkins 主节点和加固 AMI)、Logs(CloudTrail/Config 日志集中存储)、Security(联邦用户和跨账户访问)、Core(AD 管理 Windows 实例和 IDP、DNS 管理 Swimford.net)、Network(Transit Gateway + JetPult 防火墙管理所有互联网流量,Pulse VPN 提供 Micro Focus 网络访问)、Shared Services(45 Arc Site 监控、Qualys 漏洞扫描)。Product Account 通过 Terraform 模块部署 subnet,需与网络团队协调 IP 范围和标签策略,防火墙通过标签自动配置网络访问策略。属 [[AWS-Landing-Zone]] Labs 视角的运维实践,与 [[ctp-topic-1-gruntwork-landing-zone-architecture]](架构基础)和 [[ctp-topic-35-aws-landing-zone-design-refresher-saas-labs]](SaaS vs Labs 职责划分)共同构成完整的 AWS Landing Zone 知识体系。
|
||||
|
||||
**[[ctp-topic-35-aws-landing-zone-design-refresher-saas-labs]]**(CTP Topic 35):AWS Landing Zone 设计复习——重点明确 SaaS(生产)与 Labs(开发)的职责划分。SaaS Landing Zone 为每个产品区域提供客户专属环境,产品账户连接至共享服务账户(安全、日志、网络);核心账户组包含 AD、DNS 和 Network 账户;Gruntwork 账户跨所有账户管理 AMI、日志和安全。近期变更:网络分段阻断对 SaaS 工作负载的直接连通性;CCOEs CloudTrail 取代 Gruntworks CloudTrail 实现统一审计;入站流量拟通过 Network 账户 Checkpoint 重新路由;原生 AWS Backup 有望强制化;新账户可能取消 Management VPC。核心结论:**SaaS = 生产,Labs = 开发**;PoC Landing Zone 将并入 Labs 以最大化资源共享;Cloud Technology Design Forum 推动 Micro Focus 云交付标准化。
|
||||
|
||||
**[[ctp-topic-7-saas-landing-zone-design]]**(CTP Topic 7):SAS 生产 Landing Zone 顶层架构设计——定义了完整的四层账户体系:①核心账户(Core Accounts):Shared 托管 AMI + 主 Jenkins 服务器通过 Lambda 触发各账户 Jenkins slave;Logs 集中管理所有账户日志(CloudTrail/Config/Flowlogs);Security 托管 IAM 角色。②基线账户(Baseline Accounts):Network 账户部署区域级 Transit Gateway + Checkpoint Appliance 按标签监控跨账户流量;DNS 账户托管 Route 53,各产品拥有独立托管区;Active Directory 账户提供双 AD 节点实现域加入和资源访问控制。③共享服务账户(Shared Services Accounts):Software Factory(45 个 hub + Octane Hub + Artifactory)、Cyber(Qalis)、ARC Site、Monitoring(OBM/Sitescope)。④产品账户(Product Accounts):工作负载置于私有子网,公有子网通过负载均衡器和互联网网关对外暴露,WAF 监控入站流量。自动化部署链路:GitHub 仓库变更 → Jenkins(GitHub Hook 触发)→ Management VPC → Lambda → ECS Cluster,Staging 测试后才部署生产。远程访问从 Checkpoint VPN 迁移至 Pulse VPN(通过 AD 认证)。属 [[AWS-Landing-Zone]] 的原始设计规范,与 [[ctp-topic-35-aws-landing-zone-design-refresher-saas-labs]](近期变更)共同构成 SAS LZ 的设计演进脉络。
|
||||
|
||||
**[[ctp-topic-1-gruntwork-landing-zone-architecture]]**(CTP Topic 1):Gruntwork AWS Landing Zone 架构基础——核心概念:参考架构(Reference Architecture)是包含核心账户 Shared/Logs/Security 和工作负载账户 Prod/Stage/Dev 的最佳实践起点;Landing Zone 基于 Gruntwork 仓库但由产品团队自行定义具体服务;安全账户使用联邦用户(Federated User),通过 AD 组映射到 IAM 角色;每个 Landing Zone 配置独立 Jenkins 服务器和特性分支 Git 工作流。属整个 CTP Landing Zone 系列的基础入门篇。
|
||||
|
||||
**[[learning-sessions-standard-amis-updates]]**(Learning Sessions 20231205):AWS 标准 AMI 更新机制与生命周期管理——Jenkins 多分支流水线构建测试 AMI,验证周期从 3-4 天缩短至 60 分钟;支持 23 种 AMI 涵盖 Amazon Linux/CentOS/RHEL/Rocky Linux/SUSE/Ubuntu/Windows;CentOS 7/RHEL 7 将于 2024 年 6 月 EOL,由 Rocky Linux 替代;机器人框架自动化验证是该优化流程的核心。属 [[AWS-Landing-Zone]] AMI 管理层的实践补充。
|
||||
|
||||
**[[ctp-topic-50-ami-roadmap-for-aws-amis]]**(CTP Topic 50):CCOE AMI 路线图详解——涵盖 CCOE AMI 路线图规划、操作系统 EOL 时间线(Windows Server 2008/2008 R2 已 EOL;CentOS 8 已 EOL;Windows Server 2012 将于 2023 年 10 月 EOL;RHEL 7 和 CentOS 7 将于 2024 年 6 月 EOL)、AMI 通知机制、变更日志(CCRE 门户)、新 AMI 添加流程(服务集成→功能启用→构建测试)、当前支持的 AMI 清单及未来路线图(SLES 15/RHEL 9 2022年11月;openSUSE 15/Amazon Linux 2022 2023年1月;Rocky 8/9 2023年3月;RHEL 9.4 ARM/Ubuntu 22.04 ARM 2023年5月)。自 2023 年 5 月起所有 ARM AMI 同步发布。路线图优先级主要由 ADM 需求驱动,变更需通过需求管道流程提交。AMI 通过跨账号共享分发给组织内所有账户。属 [[AWS-Landing-Zone]] AMI 层的路线图补充,与 [[ctp-topic-26-standard-ami-build-publish-share-processes]](生命周期管理)和 [[ctp-topic-58-aws-ec2-image-builder]](未来演进方向 EC2 Image Builder)共同构成完整的 AMI 管理知识体系。
|
||||
|
||||
**[[ctp-topic-26-standard-ami-build-publish-share-processes]]**(CTP Topic 26):Foundation AMI 全生命周期管理详解——Srihari、Alan 和 Praveen 三位专家主讲。Foundation AMI 基于市场主流 OS(CentOS/Ubuntu/Windows)进行 CIS 安全基准加固,集成 McAfee EPO 防病毒 + Syslog-ng 日志管理 + AD 单点登录 + SSM Agent + SiteScope 监控;使用 HashiCorp Packer + Jenkins 流水线实现镜像创建完全自动化;通过跨账号共享(AMI Sharing)分发至全球多区域(俄勒冈/法兰克福/悉尼),而非物理复制(AMI Copying),避免额外存储成本;每两个月更新,采用 N-2 版本保留策略。责任共担模型:CCOE 提供安全基础镜像,产品团队在其上构建产品特定 AMI。属 [[AWS-Landing-Zone]] AMI 层的核心基础,与 [[ctp-topic-58-aws-ec2-image-builder]](演进方向 EC2 Image Builder)和 [[learning-sessions-standard-amis-updates]](2023年更新机制)共同构成完整的 AMI 管理知识体系。
|
||||
|
||||
**CTP Topic 10**([[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging]]):AWS Landing Zone 部署、数据收集策略与基于标签的云原生安全架构——Steve Jarman 和 Pradeep 主讲。核心内容:①Landing Zone 部署前必须深入了解 BU 资产清单、IP 地址空间及数据敏感性;②DNS、Transit Gateway 等基础服务已通过 SRE 团队实现高度自动化;③**基于标签的安全控制机制**——传统基于 IP 的防火墙规则无法适应云环境动态性,转向利用 AWS 标签作为安全凭证;④**SCP 强制执行标签规范**——通过"显式拒绝"逻辑防止用户通过篡改标签绕过审计,确保资源创建时即具备正确的 BU/产品/环境归属;⑤**Checkpoint 防火墙有序层逻辑**——按优先级执行地理屏蔽 → BU 隔离 → 产品隔离 → 环境隔离,实现跨 VPC/On-prem/互联网的精细化流量控制。属 [[ctp-topic-1-gruntwork-landing-zone-architecture]] 的安全层扩展,与 [[ctp-topic-28-aws-tag-validation-tool]](标签审计)共同构成标签治理闭环。
|
||||
|
||||
Key concepts: [[Landing Zone Architecture]], [[GitOps]], [[FinOps]], [[Event Sourcing]], [[Container Lifecycle Hardening]], [[AWS Backup]], [[ITSM]], [[ITSM-2.0]], [[Hyperautomation]], [[AIOps]], [[Self-Healing-Systems]], [[Zero-Trust-Architecture]], [[Policy-as-Code]], [[Immutable-Infrastructure]], [[Foundation AMI]], [[OS Hardening]], [[CIS Benchmarks]], [[AMI Sharing]], [[Central Repository]], [[Error Budgets]], [[Multi-Cloud Strategy]], [[Multi-Cloud-ROI]], [[DevOps Culture]], [[CI/CD Pipeline]], [[DevSecOps]], [[Shift-Left-Security]], [[Shift-Right-Security]], [[SAST]], [[DAST]], [[IAST]], [[SCA]], [[Break-the-Build]], [[Agile Practices]], [[DevOps Maturity]], [[DORA Metrics]], [[Infrastructure as Code]], [[Cloud-Native]], [[Cloud Maturity Levels]], [[Cloud Adoption Strategy]], [[Cloud Service Delivery]], [[Cloud DevOps Maturity Model]], [[Cloud Operating Model]], [[Cloud Governance]], [[Cloud Cost Optimization]], **[[Serverless Computing]]**, **[[Edge Computing]]**, **[[Green Computing]]**, [[Data-Warehouse]], [[MPP]], [[Columnar-Storage]], [[Sort-Key]], [[Distribution-Key]], [[Vendor-Lock-In]], [[Data-Sovereignty]], [[SLA]], [[SLO]], [[Incident Management]], [[Change Management]], **[[Disaster Recovery]]**, **[[AWS Backup]]**(CTP Topic 44:AWS Backup 托管服务 vs Micro Focus 当前分散式快照管理,四级 DR 策略——Backup and Restore / Pilot Light / Warm Standby / Active-Active;不可变性防勒索软件;法律保留满足合规;局限:无法选择性排除 EC2 附加卷,快照为崩溃一致而非热备份)、**[[高可用(High Availability)]]**(HA 关注系统运行时间,MTBF 为衡量指标;与 DR 互补——HA 保运行,DR 保数据;CTP Topic 72:Sabith 主讲 HA 与 DR 的本质区别)、**[[灾难恢复架构模式]]**(CTP Topic 72:Backup and Restore / Pilot Light / Warm Standby / Active-Active 四级递进,成本与弹性权衡)、**[[Vault Lock]]**(CTP Topic 72:合规模式下即使根用户也无法删除恢复点,防勒索软件核心机制)、**[[跨账户备份]]**(CTP Topic 72:AWS Organizations 集成,Bunker Account 隔离存储,Forensic Account 定期测试)、**[[增量备份]]** vs [[全量备份]](CTP Topic 72:增量仅捕获变更,节省存储成本)、**[[AWS Backup Audit Manager]]**(BAM,CTP Topic 72:合规审计报告)、**[[AWS-Tagging-Standards]]**(CTP Topic 28:AWS 标签规范,涵盖命名约定、强制标签键、成本标签策略;与 Checkpoint 防火墙安全策略直接关联,标签缺失导致流量拦截)、**[[Tag-Validation-Tool]]**(CTP Topic 28:SRE 团队开发的 Python/Boto3 工具,通过 YAML 配置扫描 AWS 资源标签合规性)、**[[Service-Control-Policies-SCPs]]**(AWS Organizations 策略类型,用于阻止不合规资源创建)、**[[Variables-YAML]]**(Tag Validation Tool 核心配置文件,定义每个账户的合法标签键及允许值)、**[[Checkpoint-Firewall]]**(防火墙供应商,依赖 AWS 标签值配置网络访问策略)、**[[SRE-Tools-Repository]]**(内部代码仓库,存放 Tag Validation Tool 等 SRE 自动化脚本):[[WAF]], [[APM]], [[Cloud Security]], [[Cloud Migration]], [[High Availability]], [[Pay-as-you-go]], [[Failover]], [[Multi-factor-Authentication]], [[Data-Governance]], [[Continuous Integration]], [[Continuous Deployment]], [[Lead Time]], [[Time-to-Market]], [[MTTR]], [[MTTD]], [[MTTA]], [[Change Failure Rate]], [[Error Budget]], [[Rollback Rate]], [[Availability]], [[Scalability]], **[[Agentic AI]]**, [[Root Cause Analysis (RCA)]], [[Predictive Maintenance]], [[Deployment Automation]], [[Rightsizing]], [[Automated Security Audit]], [[AI ChatOps]], [[What-If Simulation]], **[[RTO]]**, **[[RPO]]**, **[[Feature Flag]]**, **[[Kill Switch]]**, **[[Progressive Rollout]]**, **[[Micro-Recovery]]**, **[[Deployment-vs-Release]]**, **[[Business Impact Analysis]]**, **[[Public Cloud]]**, **[[Private Cloud]]**, **[[Hybrid Cloud]]**, **[[Shared Responsibility Model]]**, [[Multi-Tenancy]], [[Intentional Cloud Strategy]], **[[Centralized Logging]]**, **[[Cross-Account Monitoring]]**, **[[Multi-Account Deployment]]**, **[[StackSets Deployment Visibility]]**, [[CMDB]], [[Problem-Management]], [[Release-Management]], [[Configuration-Management]], [[Asset-Management]], [[Security-and-Compliance]], [[DRaaS]], [[Canary-Release]], [[Blue-Green-Deployment]], [[Threat Modeling]], [[OWASP-Top-Ten]], [[Bug-Bounty]], [[Vulnerability-Scanning]], [[Penetration-Testing]], [[Compliance-Automation]]
|
||||
|
||||
**[[ctp-topic-40-saas-database-architecture]]**(CTP Topic 40):SAS 数据库团队在 AWS 云上的架构与运维实践——团队分布于美国/加拿大/印度/以色列,管理 500+ 数据库和 1000+ DB 服务器;支持 Oracle、Vertica、Postgres、DynamoDB、SQL Server、MongoDB、MySQL 等多引擎;高可用架构采用三可用区模式(主库/备用库/见证节点);使用 Oracle Data Guard、Postgres Active-Passive/Active-Active、RDS HA 实现多活;通过 Terraform、AWS CLI、Shell/PowerShell 实现 IaC 自动化;Oracle GoldenGate 支持零停机迁移。属 [[AWS-Landing-Zone]] 数据库层的核心实践,与 [[ctp-topic-51-purpose-built-databases]](数据库品类全景)和 [[ctp-topic-66-rds-vs-aurora]](关系型选型)共同构成完整的 AWS 数据库知识体系。
|
||||
|
||||
**[[ctp-topic-46-netapps-on-aws]]**(CTP Topic 46):NetApp 存储系统 AWS 实践——Sandeep 和 Yael 主讲。覆盖传统 NetApp 架构(ONTAP / Aggregate / FlexVol / Qtree / LUN / LIF / SVM)和 AWS 云版本 Cloud Volume ONTAP (CVO)。CVO 通过 EC2 实例提供软件定义存储,支持单节点或 HA 配对(跨多 AZ 同步复制);数据分层机制将 30 天非活跃数据从 EBS 自动迁移到 S3;SnapMirror 实现块级跨集群复制;支持的迁移工具包括 SnapMirror、NetApp XCP、Cloud Sync、AWS DataSync。组织已在 15 个 AWS 区域部署约 1.3 PB 数据,使用 Cloud Manager 集中管理,计划引入 FSX for NetApp(POC)和 Terraform 自动化部署。属 [[AWS-Landing-Zone]] 存储层架构的核心补充。
|
||||
|
||||
**[[ctp-topic-51-purpose-built-databases]]**(CTP Topic 51):AWS 数据库专家 Femi George 分享专用数据库选型与架构原则——核心思维:现代应用"为正确的工作选择正确的专用数据库",避免一刀切。AWS 提供完整数据库品类:关系型(RDS、Aurora MySQL/PostgreSQL)、NoSQL 键值( DynamoDB,日处理万亿请求)、文档(DocumentDB,MongoDB 兼容)、宽列(Keyspaces,Cassandra 兼容)、内存(ElastiCache Redis/Memcached)、图(Neptune)、时序(Timestream)、账本。实战案例:Duolingo 用 DynamoDB + ElastiCache + Aurora 组合;Netflix 用 DynamoDB 做高弹性 JSON 文档;Peloton 用 ElastiCache Redis 提供即时客户反馈。云时代 DBA 职能从底层平台管理转向应用创新(查询优化/架构设计)。属 [[AWS-Landing-Zone]] 数据库层的完整品类指南,与 [[ctp-topic-66-rds-vs-aurora]](关系型内部选型)互补。
|
||||
|
||||
**[[ctp-topic-68-introduction-to-redshift]]**(CTP Topic 68):AWS Redshift 数据仓库基础——Redshift 是完全托管的 PB 级云数据仓库,核心架构包含 Leader Node(管理 Schema、元数据、查询计划)和 Compute Node(通过 Slices 执行 MPP 并行查询)。支持列式存储(适合 OLAP 聚合查询)和行式存储两种模式;Sort Key 和 Distribution Key 是性能优化核心;RA3 实例类型性价比最优,支持 AWS 托管 NVMe 存储。属 [[AWS-Landing-Zone]] 数据库层的核心补充,与 [[ctp-topic-51-purpose-built-databases]](数据库品类全景)和 [[ctp-topic-66-rds-vs-aurora]](关系型选型)共同构成完整的 AWS 数据库知识体系。
|
||||
|
||||
**[[ctp-topic-66-rds-vs-aurora]]**(CTP Topic 66):PostgreSQL RDS 与 Aurora 深度对比——Greg Klau 主讲。核心维度对比:①最小规格和成本(RDS 更低);②最大容量和 IO 性能(Aurora 更优,适合 > 10-20 TB);③RTO(Aurora 30秒 vs RDS 2分钟);④存储灵活性(RDS 有 GP2/GP3/预置 IOPS/磁性,Aurora 按 IO 收费无上限);⑤架构(RDS:EC2+EBS 分离,Multi-AZ 备用节点;Aurora:跨 3 AZ 的 6 副本共享集群卷);⑥Blue-Green 部署(仅 Aurora MySQL 支持);⑦端点设计(Aurora 独立 Writer/Reader Endpoint)。高可用调优技巧:DNS TTL 设为 1 秒、TCP Keep-Alive 快速检测故障、JDBC 连接串配置 reader/writer 端点路由。属 [[AWS-Landing-Zone]] 数据库选型的核心参考。
|
||||
|
||||
**[[ctp-topic-14-octane-hub-on-aws]]**(CTP Topic 14):Octane Hub CTO 实战案例——Docker 容器化工作负载从 Bibling Lab 物理服务器迁移到 AWS Landing Zone。核心技术要点:Packer 构建 AMI + Terraform/TerraGrunt 替代控制台脚本(IaC 演进路径);EFS 适合备份、EBS 适合实时数据库(存储选型原则);VPC Transit Gateway 实现多 VPC 互联;"紧密镜像现有设置"作为无缝迁移策略。下一步:DR 改进、MSSQL→Postgres 迁移、ECS 演进。属 [[AWS-Landing-Zone]] 从设计到落地的完整案例补充。
|
||||
|
||||
**[[ctp-topic-17-active-directory-services-in-gruntwork-aws-lzs]]**(CTP Topic 17):Paul 讲解 Gruntwork AWS Landing Zones 中的 AD 服务集成——双域名策略(`swinford.net` 用于 R&D Labs,`intsas.local` 用于生产/SAS 环境);SRE 预制 AMI 内置 PowerShell/Shell 脚本,通过 Terraform `user_data` 实现自动化域加入;旧域名 `infra` 和 `AST` 已废弃,提供明确迁移路径;Linux 支持安全动态更新(Secure Dynamic Updates)自动注册 DNS A 记录;R&D 环境使用 MIM 自助服务,生产/SAS 环境通过 SMACKS 工单系统申请账号。属 [[AWS-Landing-Zone]] AD 集成的核心实践参考。
|
||||
|
||||
**[[ctp-topic-28-aws-tag-validation-tool]]**(CTP Topic 28):AWS 标签验证工具——Lewis Brown 主讲,SRE 团队开发的 Python/Boto3 工具。Checkpoint 防火墙通过读取 EC2、安全组、负载均衡器的标签值动态配置网络访问策略,标签缺失或无效将导致流量被拦截;SCPs 可阻止不合规资源创建但无法修复存量资源。该工具通过 `variables.yaml` 定义每个账户的合法标签值,自动扫描 EC2/安全组/负载均衡器/Lambda,生成 CSV 审计报告。使用 Poetry 管理 Python 环境,存放于 SRE Tools Repository。标签策略还计划用于未来成本核算,区分同一账户下不同产品的资源消耗。属 [[AWS-Landing-Zone]] 标签治理闭环的核心补充——制定规范(Topic 10)→ 强制执行(SCPs)→ 审计发现(Topic 28)。
|
||||
|
||||
**[[ctp-topic-47-enterprise-architecture-cloud-standards]]**(CTP Topic 47):Lindsay 分享企业架构云标准——核心概念:Landing Zone 框架聚焦安全、合规和可管理性,为云工作负载提供托管基础,包含账户结构(dev/stage/prod)、网络、安全、访问管理和遥测;账户结构与环境和角色对齐,通过零信任和最小权限原则定义访问控制;Terraform/Terragrunt 实现 IaC,促进标准化和可测试性;云防护栏文档捕获强制性要求和最佳实践,指导可扩展性、成本最小化和灵活性;功能分区将单体应用拆分为更小的独立模块或无服务器函数。强调需要应用团队的输入来完善防护栏并纳入实践经验。属 [[AWS-Landing-Zone]] 企业架构层的理论补充。
|
||||
|
||||
**[[ctp-topic-72-enterprise-dr-strategy-aws-backup]]**(CTP Topic 72):AWS 解决方案架构师 Sabith 深入讲解企业级灾难恢复策略与 AWS Backup 架构设计——核心内容:HA(高可用)关注系统运行时间和 MTBF,DR(灾难恢复)专注于防止数据丢失和系统恢复,两者互补;RPO(恢复点目标)定义可接受的最大数据丢失量,RTO(恢复时间目标)定义可接受的最大停机时间;AWS Backup 完全托管、基于策略,通过 Backup Plans 定义何时备份什么,Backup Vaults 存储恢复点,支持跨账户跨区域复制;四级 DR 架构模式(Backup and Restore → Pilot Light → Warm Standby → Active-Active)提供从低成本到高弹性的递进选择;增量备份仅捕获变更,节省成本;Vault Lock 合规模式防止任何人(包括根用户)提前删除恢复点,有效防勒索软件;建议使用独立的 Vault/Bunker Account 存储备份副本,取证账户(Forensic Account)定期测试恢复点并扫描恶意软件。属 [[AWS-Landing-Zone]] DR 与数据保护层的理论基础补充,与 [[ctp-topic-44-aws-backup-in-micro-focus]](聚焦 Micro Focus 内部评估)和 [[ctp-topic-73-aws-backup-implementation]](聚焦 CTP 迁移实施)构成完整的 AWS Backup 知识体系。
|
||||
|
||||
**[[Install WSL]]**([[install-wsl]]):微软官方 WSL 完整安装指南——`wsl --install` 一键安装(Windows 10/11 Build 19041+),支持 Ubuntu/Debian/SUSE/Kali 等多发行版并行安装,`wsl.exe --set-default-version` 切换 WSL1/WSL2;离线场景通过 MSI + DISM 命令手动启用 Virtual Machine Platform;运行入口推荐 Windows Terminal(含多标签、自定义快捷键)。[[Install WSL]] 与 [[WSL2 启动与网络配置指南]] 互补——前者解决安装问题,后者解决网络配置问题。
|
||||
|
||||
**[[WSL2]]** 是 Windows 内置的 Linux 运行环境,WSL2 默认使用 NAT 网络模式导致 Windows 代理无法被 WSL2 内部访问。通过 `.wslconfig` 启用 `networkingMode=mirrored` + `dnsTunneling=true` 可实现 WSL2 与 Windows 共享网络堆栈;国内环境下可使用 `ghproxy.com` 反向代理加速 GitHub 下载。[[WSL2]] 与 [[Ubuntu Server]] 同属 Linux 环境,[[WSL2]] 侧重 Windows 桌面开发场景,[[Ubuntu Server]] 侧重无头服务器场景。
|
||||
|
||||
### Home Server Automation
|
||||
Home office setup guides cover a complete multi-node home network infrastructure across 5 nodes: **RackNerd VPS** (public gateway), **Mac Mini M4** (control node), **Synology NAS DS718** (media & storage), and **2 Ubuntu Servers** (monitoring & services). The architecture uses **FRP** (frps/frpc v0.65.0) for reverse tunnel-based intranet penetration, **Caddy** for automatic HTTPS with Let's Encrypt, and **Cloudflare** for DNS托管. **内网穿透方案(VPS + frp + Caddy)**提供完整公网域名访问:Cloudflare DNS A 记录指向 VPS 公网 IP → VPS 运行 frps 和 Caddy → 内网主机运行 frpc 将本地端口映射到 VPS(TCP 隧道)→ Caddy 反向代理到 frp 映射端口,自动申请 Let's Encrypt 证书提供 HTTPS 访问。支持 SSH 穿透(remote_port TCP 映射)不走 Caddy,包含 7 步系统化故障排查(端口监听检查、token 验证、防火墙规则、telnet 诊断等)。 Services deployed include Docker monitoring stack (**Prometheus** + **Grafana** + node_exporter + cAdvisor + blackbox_exporter + Alertmanager), media servers (**Jellyfin**, **Navidrome**, **Transmission**), personal dashboards (**Homarr**, **Apache Superset**), password management (**vaultwarden**), workflow automation (**n8n**), self-hosted Git (**Gitea**), diagram editing (**Draw.io**), developer utilities (**it-tools**), image hosting (**Zipline** + **MinIO**), cloud drive mounting (**CloudDrive2**), AI assistant (**OpenClaw**), e-book management (**Calibre**), proxy client (**v2rayA**), and Docker management (**Portainer**). All services are containerized via Docker Compose. The media workflow follows: Transmission (download) → organize → Jellyfin/Navidrome (play). Key configurations include read-only music mounts, transcode caching (200MB limit), FRP TCP tunnel port mappings (remotePort 60022-60026 for SSH, 13000 for Grafana, 14533 for Navidrome, etc.), Caddy domain mapping table (20+ subdomains under *.ishenwei.online), and SOCKS5 proxy (127.0.0.1:10808) status tracking across all nodes (Mac mini, Ubuntu1, Ubuntu2 working; NAS local-only). **CloudDrive2** enables direct NAS access to cloud storage via virtual filesystem mount (Aliyun Drive resource directory only, scan QR code with App authorization). Backup automation is implemented via rsync incremental sync to NAS, using **Synology DSM NFS** (Squash=admin, sys security, _netdev fstab params) and **nfs-common** client on Ubuntu Server. SSH server setup on Ubuntu 24.04 introduces **ssh.socket activation** (on-demand startup) as the default; administrators can switch to persistent ssh.service mode. Cross-border AI service registration guides cover using **fingerprint browsers** (**AdsPower**), **high-purity US proxies**, **SMS verification platforms** (**PingMe**), and **virtual credit cards** (**WildCard**) to safely subscribe to **Claude Pro**. The architecture provides unified HTTPS public access to all internal services without requiring static IPs, achieving privacy for internal services while maintaining low bandwidth costs.
|
||||
@@ -53,6 +93,8 @@ Key concepts: [[Docker-Image]], [[Docker-Save]], [[Docker-Load]], [[Docker Compo
|
||||
### YouTube Automation
|
||||
A practical tip for extracting YouTube Channel IDs: use `view-source:` prefix in browser to access channel page source, search for `channel_id` string in the page source to find the RSS Feed URL containing the channel ID. Can be used in [[n8n]] workflows for YouTube subscription monitoring.
|
||||
|
||||
**本地 RSSHub 部署方案**([[实战笔记-本地部署-rsshub-并获取-youtube-订阅]]):通过 Docker 一键部署 RSSHub(`diygod/rsshub`,端口 1200),使用 `/youtube/channel/{channel_id}` 路由生成 YouTube 频道 RSS 源。相比第三方在线服务,本地部署更稳定可靠,可完全控制数据流向。本地 RSSHub 同时支撑 [[blogwatcher-daily]] Skill 的 YouTube 频道订阅监控(31个频道中18个通过 RSSHub 代理)。
|
||||
|
||||
**AI-Powered Daily Digest**: [[daily-youtube-digest]] provides a fully automated pipeline — AI Agent periodically checks subscribed channels for new uploads → extracts video transcripts via [[TranscriptAPI.com]] → generates key-point summaries → delivers a daily digest. Runs on [[OpenClaw]] via the `youtube-full` skill (installable from [[ClawHub]]), using 0-credit free API calls for channel checking and 1 credit per transcript for summarization. Supports two modes: channel-based (e.g., @TED, @Fireship, @LexFridman) and keyword-based (e.g., "Claude Code", "AI agents").
|
||||
|
||||
**[[YouTube-Content-Pipeline]]**:AI Agent 驱动的 YouTube 选题发现与选题自动化流水线——每小时 Cron Job 扫描 Web + X/Twitter 突发 AI 新闻,向 Telegram 推送选题;同时维护 90 天视频目录(播放量 + 主题分析)避免选题重复,通过 SQLite 向量嵌入实现语义去重;在 Slack 分享链接时自动研究主题、搜索 X、查询知识库并创建带大纲的 Asana 任务卡。与 [[Daily-YouTube-Digest]] 互补:后者侧重订阅频道更新监控,前者侧重全网趋势主动发现。与 [[Content-Factory]] 共享并行子 Agent 执行模式。
|
||||
@@ -106,6 +148,8 @@ Covers Claude Code, Claude Code Templates (npx 一键安装 Skills/Agents/MCP vi
|
||||
|
||||
**Gemini 3 十应用实战**([[我用-gemini-3-一口气做了-10-个应用-附教程]]):使用 Google [[Gemini-3]] 模型通过对话式提示词构建 10 个实用可视化应用(冷知识卡片/配色卡片/电影海报/绘画思维导图等)。核心方法论:①限定垂直场景(诗词/小说/电影)→ ②用提示词约束结构化输出(JSON/SVG)→ ③用前端 SVG/HTML 作为输出容器。三步核心机制:**AI 生成 SVG 代码 → 前端渲染为精美卡片/海报/导图**。该方法论与 [[Vibe-Coding]] 的"对话驱动 + AI 结对"理念高度契合——通过限制输入场景降低 AI 理解成本,通过提示词约束结构化输出,通过前端代码作为最终容器,是 Vibe Coding 在 AI 可视化产品方向的具体实践。
|
||||
|
||||
**[[fireworks-tech-graph]]**:Claude Code Skill,将自然语言描述转化为精美 SVG 技术图并导出 PNG——解决技术文档/博客缺乏高质量可视化图表、手动绘图耗时且风格不统一的核心痛点。内置 **7 种视觉风格**(扁平图标风/暗黑极客风/工程蓝图风/Notion极简风/玻璃态卡片风/Claude官方风格/OpenAI官方风格)和 **14 种 UML 图类型**,深度覆盖 AI/Agent 领域常见 Pattern(RAG、Agentic Search、Mem0、Multi-Agent、Tool Call 流程等)。语义形状词汇表确保图形语义一致(LLM=双边框圆角矩形、Agent=六边形、Vector Store=带内环圆柱),语义箭头系统通过颜色+虚线编码含义(主数据流/控制触发/记忆读取/写入/异步/反馈循环)。通过 `rsvg-convert` 导出 1920px PNG,可直接嵌入文章发布。安装:`npx skills add yizhiyanhua-ai/fireworks-tech-graph`,依赖 `librsvg`(macOS: `brew install librsvg`,Ubuntu: `sudo apt install librsvg2-bin`)。核心价值:**AI Agent 可快速生成专业级技术图,无需手动绘制**,支持 SVG 可编辑 + PNG 无损发布。
|
||||
|
||||
**Claude Prompt Library**([[useful-prompt-lib]]):Anthropic 官方提示词库,收录 64+ 款专业化提示词,覆盖开发工具(Python Bug Buster、Code Consultant、Git Gud)、效率工具(Data Organizer、Review Classifier、CSV Converter)、创意工具(Storytelling Sidekick、Culinary Creator)、营销工具(Babel's Broadcasts 多语言推文、Polyglot Superpowers 互译)、教育工具(Meeting Scribe、Lesson Planner、Socratic Sage)等 10+ 领域。TikTok 跨境电商推荐三剑客:Babel's Broadcasts(10 种语言产品发布)、Review Classifier(评论自动化分类)、Data Organizer(非结构化文本→JSON,对接 n8n 工作流)。
|
||||
|
||||
**LLM / RAG / AI Agent 三层架构**:基于 [[llms-rag-ai-agent-三个到底什么区别]] 的系统梳理,AI 应用的三层架构:
|
||||
@@ -173,6 +217,8 @@ Covers Claude Code, Claude Code Templates (npx 一键安装 Skills/Agents/MCP vi
|
||||
|
||||
**Claude Code 调用方法**:[[claude-code调用方法总结]] 详细记录了 Hermes Agent 通过 `terminal` 工具调用 Claude Code 的两种模式——Print Mode(`claude -p`,适合绝大多数任务)和 TMUX 交互模式(适合超长任务)。核心参数包括 `--permission-mode bypassPermissions`(跳过所有权限确认)和 `--add-dir`(加载 SKILL.md)。关键结论:当任务需要 Claude Code 的 Skill 时,应使用 `terminal` 调用 `claude -p` 而非 `delegate_task`。
|
||||
|
||||
**Mac 必装软件清单**([[mac必装软件清单-2026-04-17]]):精选 8 款 Mac 必备软件——Claude(AI 助手)、Obsidian(AI 知识库)、Chrome(浏览器)、Rectangle(分屏工具)、iShot(截图录屏)、Lemon(系统清理)、Raycast(启动器)、Homebrew(包管理器)。核心理念:**用最少的软件达到最高的效率**。[[Homebrew]] 是用 Claude Code 搭 Agent 的前置依赖,[[Obsidian]] 搭配 [[Claudian]] 可打造 AI 驱动的终极个人知识库。与 [[Second Brain]] 和 [[Personal Knowledge Base (RAG)]] 同属知识管理场景。
|
||||
|
||||
**baoyu-imagine AI Logo 生成**:[[我做了个-skill-让-ai-帮你生成-logo-和图标]] 介绍了一个 Claude Code Skill `baoyu-imagine`(`npx baoyu-imagine` 安装),通过 Logo 专用提示词策略驱动 AI 生图工具生成专业 Logo 和图标。核心价值:让非设计师快速产出扁平化/几何/手绘/渐变等多种风格的专业品牌视觉资产,支持 SVG(矢量缩放)和 PNG 格式导出。与 [[Nano Banana]] 提示词体系(侧重摄影/插画/科研配图)同属 AI 图像生成工具链,baoyu-imagine 专注于 Logo/图标这一垂直场景。
|
||||
|
||||
**Coze 平台多行业 AI Agent 培训**([[ai-解决方案专家培训课程]]):Coze(扣子)平台的实战培训课程,分国内版(coze.cn)和海外版(coze.com),提供覆盖金融(客户分层营销、智能客服)、医疗(分诊助手、影像识别)、教育(知识库问答、拍照搜题)、电商(混剪助手、在线换衣、抖音直播回复)、人力资源(招聘打分、面试对练、AI 培训对练)、泛娱乐(AI 证件照、视频生成工作流)、在线客服(AI 助教、AI 销售)等 7 大行业共 50+ 可体验 Agent Demo,是 AI 解决方案专家培训的实操案例库。与 [[Prompt Engineering]](提示词技能)、[[RAG(检索增强生成)]](知识库问答)、[[Function Call]](工具调用)三大基础能力配套,学员可通过邀请链接直接加入团队空间体验所有 Agent,并可 Fork 改造。与 [[固定镜头短视频制作的AI全流程解析]] 的 AI 视频生成工作流相关联。
|
||||
@@ -254,6 +300,7 @@ Key concepts: [[Generalist]], [[Self-Education]], [[Self-Interest]], [[Self-Suff
|
||||
- [[clawhub.ai]] — OpenClaw Skill 市场,托管 clawr.ing 等 Skill 安装包
|
||||
- [[AionUi]] — 桌面多 Agent Hub(macOS/Windows/Linux),将 OpenClaw 作为可视化 Cowork Agent 运行,支持内置远程救援专家和统一 MCP 配置
|
||||
- [[n8n]] — workflow automation
|
||||
- [[Octane-Hub]] — Software Factory 团队,Micro Focus 云转型计划一部分,主导 Docker 容器化工作负载从 Bibling Lab 向 AWS Landing Zone 的迁移项目,CTO 为 Holger Rode
|
||||
- [[Node.js]] — JavaScript 运行时环境,n8n-mcp 的运行依赖,也是 [[n8n]] 工作流引擎的后端运行环境
|
||||
- [[gog CLI]] — 由 steipete 开发的 Google Workspace 命令行管理工具(Homebrew 安装),支持 Gmail/Calendar/Drive/Contacts/Docs/Sheets 全套服务,[[personal-crm]] 和 [[multi-channel-assistant]] 的前置依赖
|
||||
- [[Quartz]] — static site generator for wikis
|
||||
@@ -298,8 +345,10 @@ Key concepts: [[Generalist]], [[Self-Education]], [[Self-Interest]], [[Self-Suff
|
||||
- [[VictoriaMetrics]] — Prometheus 时序数据库替代方案,支持长期存储和高效写入,适合大规模数据保留场景
|
||||
- [[Portainer]] — Docker 可视化管理工具,不替代 Prometheus 但便于运维快速操作容器
|
||||
- **[[BMC]]** — 企业IT管理解决方案提供商(BMC Helix / Control-M)
|
||||
- **[[AWS]]** — Amazon Web Services
|
||||
- **[[Azure]]** — Microsoft Azure
|
||||
- **[[AWS]]** — Amazon Web Services,提供 RDS 和 Aurora 两款托管数据库服务
|
||||
- **[[Amazon RDS]]** — 关系型数据库服务,计算与存储分离(EBS),支持 Multi-AZ 部署
|
||||
- **[[Amazon Aurora]]** — 云原生关系型数据库,6 副本跨 3 AZ 共享集群卷架构
|
||||
- [[Greg Klau]] — CTP Topic 66 讲师,主讲 PostgreSQL RDS vs Aurora 差异对比
|
||||
- **[[Google-Cloud]]** — Google Cloud Platform
|
||||
- [[Btop++]] — TUI系统监控器,作者首选
|
||||
- [[Htop]] — 轻量级TUI进程监控器
|
||||
@@ -360,9 +409,11 @@ Key concepts: [[Generalist]], [[Self-Education]], [[Self-Interest]], [[Self-Suff
|
||||
- **[[Apache Superset]]** — Apache 软件基金会旗下的开源 BI 平台,通过 Docker 快速部署,支持 SQL 查询、多样化图表和仪表盘构建。Home Server 场景通过 `apache/superset:GHA-*` 镜像容器化部署,6 步初始化流程:拉取镜像 → 启动容器 → 创建管理员 → 数据库迁移 → 加载示例 → 完成初始化,默认端口 8088(映射 8777),内置 SQLite,可选外挂 MySQL
|
||||
- **[[RustDesk]]** — 开源远程桌面软件,支持自建中继服务器,可通过修改 GDM3 配置 `WaylandEnable=false` 强制 X11 解决 Ubuntu 24.04 Wayland 登录限制问题
|
||||
- **[[Ollama]]** — 开源本地 LLM 运行框架(ollama.com/ollama.org.cn),支持 macOS/Windows/Linux/Docker,提供简洁命令 `ollama run <model>` 运行大语言模型,通过 API(localhost:11434)和 Open WebUI 提供多元化接入方式,DeepSeek-R1 系列模型官方支持
|
||||
- **[[Open WebUI]]** — 开源大模型 Web 界面(ghcr.io/open-webui/open-webui:main),基于浏览器访问,支持 Ollama/OpenAI API 接入,可配置 RAG 本地知识库(bge-m3 嵌入模型)和联网搜索,Docker Compose 一键部署
|
||||
|- **[[Open WebUI]]** — 开源大模型 Web 界面(ghcr.io/open-webui/open-webui:main),基于浏览器访问,支持 Ollama/OpenAI API 接入,可配置 RAG 本地知识库(bge-m3 嵌入模型)和联网搜索,Docker Compose 一键部署
|
||||
|- **[[WSL2]]** — Windows Subsystem for Linux 2,Windows 10/11 内置的 Linux 虚拟机环境,默认使用 NAT 网络模式,通过 `.wslconfig` 的 `networkingMode=mirrored` 可实现与 Windows 共享网络堆栈;[[ghproxy]] 提供 GitHub 下载的反向代理加速
|
||||
|
||||
- [[ProxyChains]]:通过 LD_PRELOAD 劫持 socket 调用使任意终端命令走 SOCKS5 代理的工具,配置文件 /etc/proxychains4.conf,格式 `socks5 127.0.0.1 10808`,适用于临时命令级代理
|
||||
|- **[[ghproxy]]** — ghproxy.com,国内可访问的 GitHub 反向代理服务,通过将 `github.com` 替换为 `mirror.ghproxy.com/https://github.com` 绕过网络限制,适用于 uv 安装器、Claude Code 等工具的下载加速
|
||||
|- [[ProxyChains]]:通过 LD_PRELOAD 劫持 socket 调用使任意终端命令走 SOCKS5 代理的工具,配置文件 /etc/proxychains4.conf,格式 `socks5 127.0.0.1 10808`,适用于临时命令级代理
|
||||
- [[Git 全局代理]]:Git 不读取系统环境变量,必须通过 `git config --global http.proxy socks5://127.0.0.1:10808` 设置
|
||||
- [[Docker Daemon Proxy]]:通过 systemd drop-in 文件(/etc/systemd/system/docker.service.d/http-proxy.conf)注入环境变量使 docker pull 走代理,docker info | grep -i proxy 验证
|
||||
- [[Docker 网络网关 IP]]:Docker 容器内访问宿主机的 IP,bridge 网络默认 172.17.0.1,自定义网络如 172.24.0.1,容器内 127.0.0.1 指向自身而非宿主机
|
||||
|
||||
Reference in New Issue
Block a user