From 7550b4ee18b95bdeb22cc242f5bd6c8e5a53c2c6 Mon Sep 17 00:00:00 2001 From: weishen Date: Fri, 24 Apr 2026 14:12:17 +0800 Subject: [PATCH] Sync: add gitops and ci-cd notes --- .../fonrey/PRD/权限管理/权限管理模块PRD.md | 623 ++++++++++++++++++ wiki/concepts/GitOps.md | 2 +- wiki/index.md | 8 +- wiki/log.md | 37 ++ wiki/overview.md | 11 +- wiki/sources/ctp-topic-2-git.md | 45 ++ ...tis-cicd-for-infrastructure-deployments.md | 79 +++ .../ctp-topic-9-ci-cd-with-gruntwork.md | 50 ++ 8 files changed, 847 insertions(+), 8 deletions(-) create mode 100644 Project/fonrey/PRD/权限管理/权限管理模块PRD.md create mode 100644 wiki/sources/ctp-topic-2-git.md create mode 100644 wiki/sources/ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments.md create mode 100644 wiki/sources/ctp-topic-9-ci-cd-with-gruntwork.md diff --git a/Project/fonrey/PRD/权限管理/权限管理模块PRD.md b/Project/fonrey/PRD/权限管理/权限管理模块PRD.md new file mode 100644 index 00000000..14418792 --- /dev/null +++ b/Project/fonrey/PRD/权限管理/权限管理模块PRD.md @@ -0,0 +1,623 @@ +# PRD: 权限管理模块 +**状态**: Draft +**作者**: 产品经理 +**最后更新**: 2026-04-24(v1.0 初稿,基于产品截图分析) +**版本**: 1.0 +**所属系统**: Fonrey 房产经纪管理系统 +**关联模块**: 组织人事管理、房源管理、客源管理、系统设置 + +--- + +## 1. 问题陈述 + +### 背景 + +房产经纪公司普遍存在多层级组织结构(总部 → 事业部 → 大区 → 区域 → 门店 → 店组),不同层级员工的业务职责和数据访问边界差异显著。在缺乏系统化权限管控的情况下,经纪公司面临以下核心痛点: + +- **数据越权访问风险**:经纪人可随意查看他人客户资料、房源联系方式,导致客源保护机制形同虚设,内部业务竞争失控 +- **角色权限配置低效**:每个系统账号独立配置权限,权限变更需逐一操作;人员增加或角色调整时,管理员重复劳动量巨大 +- **权限与岗位不匹配**:系统权限未与职务/职级联动,新员工默认权限可能超出岗位职责边界,造成数据安全隐患 +- **个性化权限需求无法满足**:部分员工因岗位特殊性需要在通用角色基础上增加或收窄特定权限,纯角色制度缺乏灵活性 +- **权限变更缺乏追溯**:权限调整无操作日志,出现数据纠纷时无法追溯是谁、何时、做了什么操作 + +### 目标用户 + +| 角色 | 描述 | 使用频率 | +|------|------|----------| +| 系统管理员 | 负责角色创建、权限配置、人员权限分配及批量操作,是本模块的核心使用者 | 每日 | +| 店长 / 区域经理 | 查看下属员工当前权限,按需发起权限变更申请 | 按需 | +| 一线经纪人 | 受权限约束的数据访问者,感知到功能入口的显示/隐藏变化 | 被动感知 | + +--- + +## 2. 目标与成功指标 + +| 目标 | 指标 | 当前基准 | 目标值 | 衡量周期 | +|------|------|----------|--------|----------| +| 提升权限配置效率 | 完成一次人员权限分配耗时 | 约 20 分钟(估算,逐条配置) | < 2 分钟(批量设置角色) | 上线后 60 天 | +| 降低越权访问事件 | 经纪人越权查看他人客源/联系方式的投诉工单数 | 待统计 | 减少 80% | 上线后 90 天 | +| 提升权限管理透明度 | 管理员查找某员工当前权限配置的操作步骤数 | 待统计 | ≤ 3 步触达 | 上线后 30 天 | +| 降低权限异常率 | 「权限与角色不一致」人员数量 | 待统计 | < 5% | 持续监控 | + +--- + +## 3. 非目标(本期不做) + +- 不包含细化到行级(Row-level)的数据权限(如仅允许查看特定小区的房源),本期数据范围控制以「本人 / 本部门 / 全公司」三档为主 +- 不包含权限申请审批工作流(员工自助申请权限需上级审批),本期由管理员直接操作 +- 不包含操作日志的可视化看板(日志写入,查询能力在后续版本规划) +- 不包含 IP 白名单、登录时段等安全策略配置(安全策略模块另行规划) +- 不包含移动端 App 独立权限配置(移动端权限为 Web 权限的子集,v2 规划) +- 不包含外部合作伙伴(联合门店)账号的跨租户权限体系 + +--- + +## 4. 用户故事与验收标准 + +> **说明**:以下用户故事按核心业务流程顺序排列,覆盖权限管理模块的两个子模块:「权限管理(人员维度)」和「角色管理(角色维度)」。 + +--- + +### Story 1:管理员查看人员权限列表 + +**As** 系统管理员,**I want** 在人员列表中查看全公司所有员工的当前角色与权限状态,**So that** 能快速定位权限异常人员并执行调整。 + +**验收标准**: +- [ ] 页面入口路径:顶部导航「人事」→「组织人事」→「权限管理」,面包屑显示「人事OA / 组织人事 / 权限管理」 +- [ ] 页面包含两个 Tab:「权限管理」(默认选中)和「角色管理」,Tab 切换无需全页刷新 +- [ ] 页面右上角提供「角色权限帮助」入口链接 +- [ ] 列表顶部提供两个快速筛选按钮:「全部员工」和「新房交易列表」 +- [ ] 支持多条件筛选:姓名/员工号(文本输入)、员工部门(下拉选择)、角色(下拉选择)、职务名称(下拉选择) +- [ ] 提供「权限与角色权限不一致」快捷筛选按钮(高亮橙色),点击直接筛选出个人权限已被单独修改、与所属角色权限不一致的人员 +- [ ] 点击「查询」执行筛选,点击「清空条件」重置所有筛选项 +- [ ] 支持批量操作:勾选员工复选框后,点击「批量设置角色」按钮执行批量角色变更 +- [ ] 列表支持「导出」功能,导出当前筛选结果 +- [ ] 员工列表展示列:复选框、员工姓名、工号、部门、职务、角色、管理范围(带「详情」链接)、操作列 +- [ ] 操作列包含:「修改权限」「复制角色」「扩充范围」「范围」共 4 个操作项 +- [ ] 管理范围列显示该员工当前数据可见范围(如「上海豪园店二组」),点击「详情」展开管理范围明细 +- [ ] 列表支持分页:每页显示条数可切换(20 条/页为默认),支持跳转至指定页 + +--- + +### Story 2:管理员为员工批量设置角色 + +**As** 系统管理员,**I want** 同时为多名员工批量设置同一角色,**So that** 在员工入职或组织架构调整时能高效完成权限初始化,无需逐一操作。 + +**验收标准**: +- [ ] 在人员列表中勾选至少一名员工后,「批量设置角色」按钮从禁用变为可点击 +- [ ] 点击「批量设置角色」弹出 Modal 对话框,标题为「批量设置角色」 +- [ ] Modal 内包含必填字段「角色」,为下拉选择器,展示系统中所有可用角色 +- [ ] 确认后系统将所选角色应用至所有勾选员工,操作成功后给出 Toast 成功提示 +- [ ] 若批量操作影响了已有个人自定义权限的员工,系统应给出提醒:「该操作将覆盖所选员工的个人自定义权限,请确认」 +- [ ] 支持取消操作,取消后返回人员列表,已勾选状态保持 + +--- + +### Story 3:管理员修改个人权限 + +**As** 系统管理员,**I want** 为特定员工在角色权限基础上进行个性化权限调整,**So that** 满足因岗位特殊性而需要区别于通用角色权限配置的场景。 + +**验收标准**: +- [ ] 点击人员列表中某员工操作列的「修改权限」后,进入该员工的权限编辑页 +- [ ] 页面顶部展示员工信息:员工姓名 - 所属部门,及当前角色(带下拉箭头,支持直接在此页切换角色) +- [ ] 页面提供权限名称搜索框,支持关键词快速定位权限项 +- [ ] 左侧为模块导航树,包含以下一级模块(均可折叠/展开): + - 首页 + - 房源(含子菜单:二手 & 租赁、小区、商圈精耕、举证 & 检核、挂牌分析、房源广场等) + - 新房 + - 客源 + - 交易 + - 数据 + - 营销 + - 人事OA + - 合同 + - 三网 + - 系统 + - 移动端 + - 智能门店 + - 在线充值 +- [ ] 点击左侧模块导航,右侧内容区切换至对应模块的权限配置 +- [ ] 右侧内容区按功能分组展示权限项,每组包含:分组标题(带开关)、权限项列表 +- [ ] 每个权限项展示:权限名称、说明(权限作用描述)、当前权限值(下拉选项 / 开关 / 数值输入)、「编辑」操作 +- [ ] 权限值类型包含: + - **开关型**(Toggle):开启 / 关闭 + - **范围型**(Select):本人 / 本组 / 本门店 / 本区域 / 全公司 等选项(不同权限项的选项范围不同) + - **数值型**(Number):如每日最多查看联系人数量(0 = 不限制) +- [ ] 模块级总开关(分组标题处的 Toggle)关闭后,该模块下所有权限项均置灰,对应菜单入口隐藏 +- [ ] 「编辑」操作点击后弹出侧边抽屉(Drawer),展示该权限项的详细说明及当前角色应用人数和应用人员名单 +- [ ] 修改权限后,若该员工权限与其角色默认权限存在差异,系统在人员列表中标记「权限与角色权限不一致」 +- [ ] 页面提供「保存」按钮,保存成功后给出成功提示 + +--- + +### Story 4:管理员查看并编辑特定权限项(侧边抽屉) + +**As** 系统管理员,**I want** 在编辑单个权限项时,同时看到该权限当前应用该角色的所有人员名单,**So that** 能了解本次修改的影响范围,再决定是否确认变更。 + +**验收标准**: +- [ ] 点击权限项的「编辑」按钮后,页面右侧滑出 Drawer(不覆盖左侧导航) +- [ ] Drawer 顶部展示:角色名称 + 应用人数(如「角色:高级业务员 | 应用人数: 12」),并提供「查看详情」链接 +- [ ] Drawer 内展示该角色下所有应用人员的姓名和所属部门(格式:姓名-部门名) +- [ ] Drawer 中列出本权限项的配置表格:权限名称、说明、当前值(下拉选择),支持在 Drawer 内直接修改 +- [ ] Drawer 底部提供「保存」和「取消」按钮 +- [ ] 若权限修改后影响角色所有应用人员,系统提示「权限修改后将影响该角色所有应用人员」 +- [ ] 保存后 Drawer 关闭,右侧内容区对应权限项显示更新后的值 + +--- + +### Story 5:管理员查看角色列表 + +**As** 系统管理员,**I want** 在角色管理页查看所有已创建的角色及其基本信息,**So that** 快速了解当前系统的角色体系,并按需编辑或删除。 + +**验收标准**: +- [ ] 点击顶部「角色管理」Tab 切换至角色列表页 +- [ ] 支持多条件筛选:角色名称(文本输入)、角色类别(下拉,全选)、修改时间(日期范围,开始时间 + 结束时间) +- [ ] 点击「查询」执行筛选,点击「清空条件」重置 +- [ ] 操作区提供:「+ 新增角色」按钮(主按钮,橙色)、「批量删除角色」按钮 +- [ ] 显示总记录条数(如「① 共 5 条」) +- [ ] 角色列表展示列:复选框、角色名称(可排序)、角色类别、应用人数(含「查看」链接)、引用该角色配置、创建时间、修改时间、操作列 +- [ ] 操作列包含:「编辑」「删除」「修改日志」 +- [ ] 点击「应用人数」旁的「查看」链接,弹出该角色应用人员名单 +- [ ] 「引用该角色配置」列显示该角色的权限模板是从哪个已有角色复制/引用的(如「初始劝房」) +- [ ] 支持分页,默认 20 条/页 + +--- + +### Story 6:管理员新增角色 + +**As** 系统管理员,**I want** 新建一个角色并配置其权限,**So that** 为新增岗位或特殊职能定义标准权限模板,便于批量分配给对应员工。 + +**验收标准**: +- [ ] 点击「+ 新增角色」按钮弹出 Modal,标题为「添加角色」 +- [ ] Modal 内包含两个必填字段: + - **角色名称**(文本输入,必填) + - **角色类别**(下拉选择,必填):包含「置业顾问」「店管」「总经」等类别选项 +- [ ] Modal 底部提示:「角色类别影响权限,创建后仅本人创建类别可修改」 +- [ ] Modal 操作按钮:「下一步:设置权限」(橙色主按钮)、「取消」 +- [ ] 点击「下一步:设置权限」后,跳转至权限配置详情页,进入角色权限编辑状态 +- [ ] 角色名称未填写或角色类别未选择时,点击「下一步」显示字段级错误提示,阻止提交 +- [ ] 创建成功后,新角色出现在角色列表中,创建时间为当前时间 + +--- + +### Story 7:管理员配置角色权限 + +**As** 系统管理员,**I want** 在角色权限编辑页为角色精细配置各模块的权限开关和数据范围,**So that** 该角色下所有人员自动继承统一的权限配置,减少重复操作。 + +**验收标准**: +- [ ] 角色权限编辑页顶部展示:角色名称、角色类别、「编辑」按钮(支持在线修改角色基本信息) +- [ ] 顶部操作区包含:「导入角色模板」(从已有角色复制权限配置)、「清空」、「保存」按钮 +- [ ] 左侧模块导航结构与人员权限编辑页一致(首页、房源、客源、交易、数据、营销、人事OA、合同、三网、系统、移动端、智能门店、在线充值) +- [ ] 每个模块有「本模块开启」总开关(Toggle),关闭后该模块下所有权限项置灰,菜单入口隐藏 +- [ ] 权限项按业务分组展示,分组有独立的开关和说明文字 +- [ ] 各权限项支持的值类型与人员权限编辑页保持一致(开关型 / 范围型 / 数值型) +- [ ] 支持「导入角色模板」:选择一个已有角色,将其权限配置复制到当前角色(覆盖当前配置,需二次确认) +- [ ] 点击「清空」重置所有权限为默认最小值(需二次确认) +- [ ] 点击「保存」保存权限配置,成功后 Toast 提示;应用该角色的所有员工权限实时生效 + +--- + +### Story 8:管理员修改角色(切换员工角色) + +**As** 系统管理员,**I want** 在员工权限编辑页直接切换员工所属角色,**So that** 快速完成角色变更而不需要退出到人员列表再操作。 + +**验收标准**: +- [ ] 在员工权限编辑页顶部,角色名称旁有下拉箭头,点击展开角色选择器 +- [ ] 角色选择器展示当前系统中所有可用角色(多选,支持同时分配多个角色) +- [ ] 已选择的角色显示为 Tag 形式,可通过 × 取消 +- [ ] 修改角色后,右侧权限配置区自动刷新至新角色权限设置 +- [ ] 若新角色权限与员工当前个人自定义权限存在差异,系统提示是否保留个人自定义权限或以角色权限覆盖 +- [ ] 操作通过「修改角色」弹窗完成,弹窗关闭后权限编辑页显示新角色配置 + +--- + +## 5. 功能说明 + +### 5.1 子模块结构 + +权限管理模块分为两个子模块,均位于「人事OA / 组织人事 / 权限管理」路径下: + +| 子模块 | 功能定位 | +|--------|----------| +| 权限管理(人员视角) | 以员工为维度,查看、分配、个性化调整每个员工的权限 | +| 角色管理(角色视角) | 以角色为维度,创建和配置权限模板,供批量分配使用 | + +--- + +### 5.2 权限模型设计 + +Fonrey 采用 **RBAC(基于角色的访问控制)+ 个人权限叠加** 的混合权限模型: + +``` +员工实际权限 = 角色基础权限 + 个人定制权限覆盖 +``` + +- **角色权限**:角色是权限的"模板",相同角色的员工拥有一致的默认权限 +- **个人权限**:管理员可在角色基础上为特定员工增加或收窄特定权限项,形成个人定制权限 +- **个人权限优先**:当个人权限与角色权限存在差异时,个人权限值生效 +- **不一致标记**:系统在人员列表中标记「权限与角色权限不一致」的员工,方便管理员识别并决定是否同步 + +--- + +### 5.3 权限管理 - 人员列表 + +#### 5.3.1 列表结构 + +| 字段 | 说明 | +|------|------| +| 员工姓名 | 显示姓名,可作为搜索关键词 | +| 工号 | 员工系统工号 | +| 部门 | 当前所属部门 | +| 职务 | 当前职务 | +| 角色 | 当前分配的角色名称 | +| 管理范围 | 该员工数据可见范围(如「上海豪园店二组」),点击「详情」查看明细 | +| 操作 | 修改权限 / 复制角色 / 扩充范围 / 范围 | + +#### 5.3.2 筛选条件 + +| 筛选项 | 类型 | 说明 | +|--------|------|------| +| 搜索 | 文本输入 | 支持姓名、员工号模糊搜索 | +| 员工部门 | 下拉 | 选择部门过滤 | +| 角色 | 下拉 | 按角色名过滤 | +| 职务名称 | 下拉 | 按职务过滤 | +| 权限与角色权限不一致 | 快捷筛选按钮 | 一键筛选个人权限已被单独定制的员工 | + +#### 5.3.3 行级操作说明 + +| 操作 | 说明 | +|------|------| +| 修改权限 | 进入该员工的个人权限编辑页,在角色权限基础上进行个性化调整 | +| 复制角色 | 将当前员工的角色(包含个人定制权限)复制给其他员工 | +| 扩充范围 | 调整该员工的数据可见范围(如从「本组」扩展到「本门店」) | +| 范围 | 查看当前员工的管理范围详情 | + +--- + +### 5.4 权限管理 - 个人权限编辑页 + +#### 5.4.1 模块导航(左侧树形菜单) + +| 模块 | 子菜单(示例) | +|------|---------------| +| 首页 | 首页 | +| 房源 | 二手 & 租赁 / 小区 / 商圈精耕 / 举证 & 检核 / 挂牌分析 / 房源广场 | +| 新房 | 新房楼盘管理 / 新房(置业顾问视角)| +| 客源 | 客源 | +| 交易 | 交易管理 / 二手房售后管理 / 新房售后管理 | +| 数据 | 报表管理 / 资料客统计 / 行程量化 / 房客权益查询 | +| 营销 | 短视频 / 巧克力(营销工具)| +| 人事OA | 组织 / 审批 / 考勤 / 任务 / 内容 | +| 合同 | 合同管理 | +| 三网 | 三网经纪人后台 / 三网授权管理 | +| 系统 | 系统工具 / 业务工具 / 安装与登录授权 | +| 移动端 | 移动端 | +| 智能门店 | 智慧大屏 / VR 换装 | +| 在线充值 | 电话充值 / 增值服务 | + +#### 5.4.2 权限值类型 + +| 类型 | 控件形式 | 示例权限项 | +|------|----------|-----------| +| 开关型 | Toggle(开 / 关) | 今日新上房源是否显示、管理点赞信息和屏蔽点赞 | +| 范围型 | 下拉选择 | 查看私客列表(本人 / 本组 / 本门店 / 全公司)| +| 数值型 | 数字输入框 | 每日最多查看联系人数量(0 = 不限制)| + +#### 5.4.3 客源模块权限分组(参考截图详细梳理) + +客源模块的权限按以下分组组织: + +**私客基础权限** + +| 权限项 | 值类型 | 说明 | +|--------|--------|------| +| 个人私客数量上限 | 数值型 | 999+ = 不限制,0 = 不允许 | +| 查看私客房源进出页(非保护客) | 范围型 | 控制查看客源保护的私客房源进出页 | +| 查看私客房源进出页(保护客) | 范围型 | 控制已保护客的私客房源进出页 | +| 私客转公客 | 范围型 | — | +| 查看私客(保护客) | 范围型 | 查看己经纪人名下的保护客 | +| 查看私客(合保客) | 范围型 | — | +| 编辑私客(保护客) | 范围型 | 编辑本人工员工名下保护的私客信息 | +| 设置取消私客保护范围 | 范围型 | 设置取消相关员工的私客的保护范围 | +| 私客(非保护)承接客 | 范围型 | 私客(非保护客)承接客的范围 | +| 私客(保护客)承接客 | 范围型 | 私客(保护客)承接客的范围 | + +**公客基础权限** + +| 权限项 | 值类型 | 说明 | +|--------|--------|------| +| 公客查看范围 | 范围型 | 控制公客查看范围 | +| 查看公客详情 | 开关型 | — | +| 查看公私特殊客 | 开关型 | 跟公客查看范围和相同,启用后,还可对对查看范围内的公客特殊客,若关闭,无法在公客查看私客 | +| 改公客状态 | 开关型 | — | +| 编辑公客 | 开关型 | — | +| 公客开客资格 | 范围型 | 公客开客资格的范围 | +| 公客详情跟进记录查看范围 | 范围型 | 以跟客人为准,控制跟进记录可看到的跟客历史记录 | + +**成交客基础权限** + +| 权限项 | 值类型 | 说明 | +|--------|--------|------| +| 查看成交(私客类型) | 范围型 | 控制员工查看的成交情况范围 | +| 查看成交(公客类型) | 范围型 | 控制员工查看公客号码的成交来源范围;查看成交权限为本组时,支持查看本组及以上共享层级的成交 | +| 查看成交跟进 | 范围型 | — | +| 成交客查看范围切换 | 开关型 | 跟成交客查看范围和相同,启用后,还可对对查看范围内的成交客实两次切换,若关闭,无法在成交客查看范围以外切换 | +| 查看成交编辑来源人员限来的成交来源字段 | 范围型 | 控制查看成交编辑来源人员填写的成交来源字段 | +| 查看成交客备注 | 范围型 | — | +| 形成成交客列列表 | 开关型 | 成交客列号列表 | + +**联系人基础权限** + +| 权限项 | 值类型 | 说明 | +|--------|--------|------| +| 私客(非保护客)成交查看号码 | 范围型 | 控制查看客源保护的私客、私客的号码范围 | +| 成交客查看号码 | 范围型 | 控制查看成交客的私客的号码范围;支持查看本组及以上共享层级的成交号码 | +| 私客(保护客)号码 | 范围型 | 控制查看保护客的号码范围 | +| 营销短信/成交联系人【联系人名称】最多个数 | 数值型 | — | +| 查看【公客人号码】最多个数 | 数值型 | 控制公客查看号码的范围,999+ = 不限制 | +| 拨打私客(非保护客)电话 | 范围型 | 控制拨打非保护私客的号码范围 | +| 拨打私客(保护客)电话 | 范围型 | 控制拨打保护私客的号码范围 | +| 成交客打电话 | 范围型 | 控制拨打成交客的号码范围 | +| 公客拨打电话 | 开关型 | 控制拨打公客的号码范围 | +| 编辑私客(非保护客)& 成交联系人 | 范围型 | 控制修改保护客、私客的号码信息,有权时对对刷新联系人 | +| 编辑私客(保护客)联系人 | 范围型 | 控制修改保护客联系人号码信息,有权时对对刷新联系人 | +| 编辑私客(非保护客)& 成交联系人号码 | 范围型 | 控制修改保护客、私客的号码信息 | +| 编辑私客(保护客)联系人号码 | 范围型 | — | +| 公客联系人号码 | 范围型 | 控制公客联系人号码范围 | + +**管理权限** + +| 权限项 | 值类型 | 说明 | +|--------|--------|------| +| 前跑源(查看已跑跑前源) | 开关型 | — | +| 不公客查看号码可划打次数限制 | 开关型 | — | +| 手动原客户为公客 | 开关型 | — | +| 某个范围修改关联员工 | 范围型 | 可修改么么范围内的关联员工,包括添加合作人 | +| 批量修改私客 / 公客来源 | 开关型 | — | +| 查看客户客人操作日志 | 开关型 | 启用后,可查看某人评语中手号码模板、客户客人不可过... | +| 不受到拨号手号码打划打次数限制 | 开关型 | — | +| 跑跑跑 | 开关型 | — | +| 查看客户号码,超频强制刷回跑跑跑 | 开关型 | 乙乙,可以查看更改不超限制号码,普通产业学刷回 | +| 查看备案客 | 开关型 | 查看客户学记录 | +| 接管跑跑新客 | 开关型 | 查看化学优化修改客跑跑新接管员工 | +| 拆解员工划协办 | 范围型 | 控制拆解员工人员划协办 | +| 置换跑跑工跑跑户 | 范围型 | 控制置换跑跑客跑跑户范围 | +| 允许合并自己的私跑跑 | 开关型 | 开启后,允许合并入跑客人登录人员合并入本人的私跑跑 | + +**空客** + +| 权限项 | 值类型 | 说明 | +|--------|--------|------| +| 空跑跑单中哪些单元号房号查看 | 下拉选择 | 以置业顾问人为准 | +| 空跑跑跑单查看范围 | 范围型 | 以置业顾问人为准 | +| 空跑跑单中件查看范围 | 范围型 | 以上述人为准 | + +**带看/随行权限** + +| 权限项 | 值类型 | 说明 | +|--------|--------|------| +| 带跑跑新增 | 开关型 | — | +| 带跑跑单中哪些单元号查看 | 范围型 | 以某某人为准 | +| 带跑跑编辑、作废 | 范围型 | — | +| 私客/成交跑跑记录查看范围 | 范围型 | 以某某人为准 | +| 查看单中中体查看 | 范围型 | 以上述人为准 | +| 公客详情跑跑用应用单查看 | 范围型 | 以上述人为准,此时以跑跑员及跑跑项实项目生效 | + +#### 5.4.4 楼盘(小区)模块权限分组 + +**楼盘管理** + +| 权限项 | 值类型 | 说明 | +|--------|--------|------| +| 楼盘管理查看 | 开关型 | 关闭后,则不显示楼盘管理系统模块 | +| 楼盘结构查看 | 开关型 | 开启后,可以查看楼栋-单元-房号数据 | +| 新增/批量新增楼盘 | 开关型 | 允许新增楼盘 | +| 新增/批量新增楼栋、单元、房号 | 开关型 | 新增楼栋、单元、房号数据 | +| 编辑楼盘 | 开关型 | 编辑楼盘 | +| 编辑楼栋/单元/房号信息 | 开关型 | 编辑楼栋、单元、房号信息 | +| 关联标准库/取关 | 开关型 | 若启用,则可关联至标准楼盘、标准楼栋、单元、房号 | +| 删除楼盘 | 开关型 | 删除楼盘 | +| 删除楼盘数据(一并删除房源) | 开关型 | 若启用,则可无视是否存在房源,对不同层级及以下的数据全部删除 | +| 删除楼栋、单元、房号 | 开关型 | 删除楼栋、单元、房号 | +| 合并楼盘 | 开关型 | 若启用,则可合并不同层级楼盘数据(楼栋、单元、房号)| +| 移动楼栋/单元/房号数据 | 开关型 | 若启用,则可将A楼盘楼栋单元及以下数据移动至B楼盘;转移房号不能跨小区进行转移 | +| 锁定/解锁楼盘 | 开关型 | 操作锁定解锁楼盘 | +| 候审房源地址数据查看范围 | 范围型 | 设置员工是否查看部门内其他员工的候审房源地址数据 | +| 楼盘挂牌成交数据 | 开关型 | 开启后,显示楼盘挂牌及成交数据信息 | +| 司内成交明细及套数 | 开关型 | 开启后,显示公司成交的房源明细信息及成交套数 | +| 区域管理 | 开关型 | 若启用,则可对区域商圈进行新增、合并、关联操作 | +| 查看销控盘 | 开关型 | 开启后,可在楼盘管理系统-楼盘里,查看销控盘;注意:员工查看销控盘时房源地址是直接可见的,建议只给管理层开启!!!| +| 查看销控盘时,只可查看本部门作业范围内的楼盘 | 开关型 | 开启后,只可查看本部门作业范围内的楼盘的销控盘;关闭,则跟作业范围无关,「查看销控盘」权限开启即可查看所有楼盘的销控盘;系统管理员不受限制 | + +**楼盘资料管理** + +| 权限项 | 值类型 | 说明 | +|--------|--------|------| +| 楼盘照片 | 开关型 | 开启后,显示楼盘照片列表 | +| 管理照片 | 开关型 | 楼盘管理系统-楼盘照片,包含上传照片、设为封面 | +| 删除照片 | 开关型 | 允许删除照片 | +| 下载照片 | 开关型 | 允许下载照片 | +| 楼盘附件 | 开关型 | 开启后,显示楼盘附件模块 | +| 管理附件 | 开关型 | 允许上传楼盘附件 | +| 下载附件 | 开关型 | 允许下载楼盘附件 | +| 删除附件 | 开关型 | 允许删除楼盘附件 | +| 周边配套 | 开关型 | 开启后,显示周边配套模块 | +| 学校管理列表 | 开关型 | 开启后,显示楼盘管理系统中的学校管理列表 | +| 学校管理 | 开关型 | 包含新增、编辑、删除 | + +**楼盘处理** + +| 权限项 | 值类型 | 说明 | +|--------|--------|------| +| 楼盘反馈列表 | 范围型 | 可查看小区反馈列表的数据范围 | +| 楼盘反馈处理 | 开关型 | 包含处理、不予处理操作 | + +--- + +### 5.5 角色管理 + +#### 5.5.1 角色列表 + +| 字段 | 说明 | +|------|------| +| 角色名称 | 角色唯一名称,支持排序 | +| 角色类别 | 如置业顾问、店管、总经等类别,影响权限可选范围 | +| 应用人数 | 当前使用该角色的员工数量,点击「查看」查看名单 | +| 引用该角色配置 | 该角色权限是基于哪个角色模板创建的 | +| 创建时间 | 角色创建时间 | +| 修改时间 | 最后一次权限修改时间 | + +#### 5.5.2 已知系统内置角色(来自截图) + +| 角色名称 | 角色类别 | 适用场景 | +|----------|----------|----------| +| 刘文龙 | 置业顾问 | 高级业务员 | +| 最大权限角色 | 总经 | 系统管理员/超管角色 | +| 行政人员 | 置业顾问 | 行政人员 | +| 分行经理 | 店管 | 分行级别管理职务 | +| 高级业务员 | 置业顾问 | 标准销售顾问 | + +#### 5.5.3 角色类别说明 + +角色类别在创建时必选,且创建后**不可随意修改**(仅允许创建者修改),原因是角色类别会直接影响权限的可配置范围(不同类别允许的权限上限不同)。 + +--- + +### 5.6 数据范围(管理范围)说明 + +权限管理中「数据范围」是权限系统的核心维度,控制员工可以看到哪个层级的业务数据: + +| 数据范围值 | 说明 | +|-----------|------| +| 本人 | 仅查看/操作自己名下的数据 | +| 本组 | 查看/操作所在店组的数据 | +| 本门店 | 查看/操作所在门店的所有数据 | +| 本区域 | 查看/操作所在区域范围内的数据 | +| 全公司 | 查看/操作公司所有数据(管理层权限)| +| 无 | 无权查看/操作 | + +> 注:不同权限项的可选范围不同,如某权限项只有「本人 / 本门店 / 全公司」三个选项,另一权限项可能有完整的五档选项。具体可选范围以权限编辑页的下拉选项为准。 + +--- + +## 6. 技术考量 + +### 依赖关系 + +| 依赖系统 / 模块 | 用途 | 风险等级 | +|----------------|------|----------| +| 组织人事管理(org 模块) | 员工 / 部门数据读取,权限与员工身份绑定 | 高 | +| django-tenants | 权限数据必须严格按租户 Schema 隔离,严禁跨租户查询 | 高 | +| Redis 缓存 | 员工权限频繁读取,建议缓存员工权限快照,更新时主动失效 | 中 | + +### 已知风险 + +| 风险 | 可能性 | 影响 | 缓解策略 | +|------|--------|------|----------| +| 权限变更实时生效的一致性问题 | 中 | 高 | 角色/个人权限变更后主动清除 Redis 中该员工权限缓存,强制下次请求重新加载 | +| 权限项数量巨大(14+ 模块,数百个权限项)导致编辑页性能问题 | 中 | 中 | 左侧导航按模块懒加载权限数据,避免一次性加载全部权限项 | +| 多角色冲突规则不清晰 | 低 | 高 | 明确规则:同一员工多角色时取权限并集(最宽松原则),在 PRD 评审时确认 | +| 角色删除影响已分配员工 | 低 | 高 | 删除角色前校验是否有员工仍使用该角色,有则阻止删除并提示转移员工角色 | + +### 待确认开放问题 + +- [ ] **多角色权限合并规则**:当员工被分配了多个角色时,权限取并集(最宽松)还是交集(最严格)?当前截图显示支持多角色,需明确合并策略 — Owner: 产品负责人 — Deadline: 开发启动前 +- [ ] **个人权限与角色权限冲突优先级**:个人定制权限是否始终覆盖角色权限,还是支持「继承角色 + 仅扩展」模式?— Owner: 产品负责人 — Deadline: 开发启动前 +- [ ] **权限操作日志**:是否需要记录管理员对权限的变更记录(谁、何时、将哪个权限从什么改成什么)?截图中「修改日志」入口存在,需确认日志颗粒度 — Owner: 产品负责人 — Deadline: 开发启动前 +- [ ] **角色类别的完整枚举值**:当前已知「置业顾问 / 店管 / 总经」,需确认完整的角色类别列表及各类别允许的权限上限 — Owner: 产品负责人 — Deadline: 开发启动前 + +--- + +## 7. 上线计划 + +| 阶段 | 时间 | 受众 | 通过标准 | +|------|------|------|---------| +| 内部 Alpha | TBD | 研发 + 产品团队 | 角色 CRUD 流程通畅,权限编辑保存无误 | +| 封闭 Beta | TBD | 1-2 家试点门店系统管理员 | 批量设置角色 / 个人权限修改功能可用,无 P0 Bug | +| 正式上线 | TBD | 全部租户系统管理员 | 权限变更实时生效,错误率 < 0.5%,系统管理员 CSAT ≥ 4/5 | + +**回滚标准**:若权限写入后错误率 > 2%,或出现跨租户数据泄漏问题,立即回滚并通知所有租户管理员。 + +--- + +## 8. 附录 + +### 8.1 截图参考索引 + +| 截图文件 | 完整路径 | 对应功能 | +|---------|---------|---------| +| `权限管理-人员列表.png` | `Project/fonrey/screenshots/权限管理/权限管理-人员列表.png` | 5.3 权限管理人员列表 | +| `权限管理-修改个人权限-客源.png` | `Project/fonrey/screenshots/权限管理/权限管理-修改个人权限-客源.png` | 5.4 个人权限编辑 - 客源模块 | +| `权限管理-人员编辑特定权限.png` | `Project/fonrey/screenshots/权限管理/权限管理-人员编辑特定权限.png` | Story 4 - 侧边 Drawer 编辑单个权限项 | +| `权限管理-批量设置角色.png` | `Project/fonrey/screenshots/权限管理/权限管理-批量设置角色.png` | Story 2 - 批量设置角色 Modal | +| `角色管理-角色列表.png` | `Project/fonrey/screenshots/权限管理/角色管理-角色列表.png` | 5.5.1 角色列表 | +| `角色管理-添加角色1.png` | `Project/fonrey/screenshots/权限管理/原始图片/角色管理-添加角色1.png` | Story 6 - 新增角色 Modal | +| `角色管理-修改角色.png` | `Project/fonrey/screenshots/权限管理/原始图片/角色管理-修改角色.png` | Story 8 - 修改角色(切换员工角色)| +| `权限-房源-小区.png` | `Project/fonrey/screenshots/权限管理/权限-房源-小区.png` | 5.4.4 楼盘(小区)模块权限分组 | +| `权限-客源-客源.png` | `Project/fonrey/screenshots/权限管理/权限-客源-客源.png` | 5.4.3 客源模块权限分组(角色编辑视角)| +| `权限-房源-挂牌分析.png` | `Project/fonrey/screenshots/权限管理/权限-房源-挂牌分析.png` | 5.4 房源 - 挂牌分析模块权限 | +| `权限-房源-商圈精耕.png` | `Project/fonrey/screenshots/权限管理/权限-房源-商圈精耕.png` | 5.4 房源 - 商圈精耕模块权限 | +| `权限-房源-举证检核.png` | `Project/fonrey/screenshots/权限管理/权限-房源-举证检核.png` | 5.4 房源 - 举证检核模块权限 | +| `权限-客源-客源-table.png` | `Project/fonrey/screenshots/权限管理/权限-客源-客源-table.png` | 5.4.3 客源权限表格视图 | +| `权限-合同-合同管理.png` | `Project/fonrey/screenshots/权限管理/权限-合同-合同管理.png` | 5.4 合同管理模块权限 | +| `权限-人事QA-考勤.png` | `Project/fonrey/screenshots/权限管理/权限-人事QA-考勤.png` | 5.4 人事OA - 考勤权限 | +| `权限-人事QA-组织.png` | `Project/fonrey/screenshots/权限管理/权限-人事QA-组织.png` | 5.4 人事OA - 组织权限 | +| `权限-人事QA-审批.png` | `Project/fonrey/screenshots/权限管理/权限-人事QA-审批.png` | 5.4 人事OA - 审批权限 | +| `权限-人事QA-任务.png` | `Project/fonrey/screenshots/权限管理/权限-人事QA-任务.png` | 5.4 人事OA - 任务权限 | +| `权限-人事QA-内容.png` | `Project/fonrey/screenshots/权限管理/权限-人事QA-内容.png` | 5.4 人事OA - 内容权限 | +| `权限-交易-交易管理.jpg` | `Project/fonrey/screenshots/权限管理/权限-交易-交易管理.jpg` | 5.4 交易 - 交易管理权限 | +| `权限-交易-二手房售后管理.png` | `Project/fonrey/screenshots/权限管理/权限-交易-二手房售后管理.png` | 5.4 交易 - 二手房售后管理权限 | +| `权限-交易-新房售后管理.png` | `Project/fonrey/screenshots/权限管理/权限-交易-新房售后管理.png` | 5.4 交易 - 新房售后管理权限 | +| `权限-三网-三网经纪人后台.png` | `Project/fonrey/screenshots/权限管理/权限-三网-三网经纪人后台.png` | 5.4 三网 - 三网经纪人后台权限 | + +### 8.2 权限模块完整导航结构 + +基于截图梳理的权限配置模块树(以角色编辑页左侧导航为准): + +``` +权限配置 +├── 首页 +├── 房源 +│ ├── 二手 & 租赁 +│ ├── 小区(楼盘管理) +│ ├── 商圈精耕 +│ ├── 举证 & 检核 +│ ├── 挂牌分析 +│ └── 房源广场 +├── 新房 +├── 客源 +├── 交易 +│ ├── 交易管理 +│ ├── 二手房售后管理 +│ └── 新房售后管理 +├── 数据 +│ ├── 报表管理 +│ ├── 资料客统计 +│ ├── 行程量化 +│ └── 房客权益查询 +├── 营销 +│ ├── 短视频 +│ └── 巧克力 +├── 人事OA +│ ├── 组织 +│ ├── 审批 +│ ├── 考勤 +│ ├── 任务 +│ └── 内容 +├── 合同 +│ └── 合同管理 +├── 三网 +│ ├── 三网经纪人后台 +│ └── 三网授权管理 +├── 系统 +│ ├── 系统工具 +│ ├── 业务工具 +│ └── 安装与登录授权 +├── 移动端 +├── 智能门店 +│ ├── 智慧大屏 +│ └── VR 换装 +└── 在线充值 + ├── 电话充值 + └── 增值服务 +``` diff --git a/wiki/concepts/GitOps.md b/wiki/concepts/GitOps.md index 0c8a0ae6..720b45fc 100644 --- a/wiki/concepts/GitOps.md +++ b/wiki/concepts/GitOps.md @@ -2,7 +2,7 @@ title: "GitOps" type: concept tags: [devops, gitops, infrastructure, git] -sources: [devops-culture-and-transformation-fostering-collaboration-agile-practices-and-innovation-linkedin] +sources: [devops-culture-and-transformation-fostering-collaboration-agile-practices-and-innovation-linkedin, ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments] last_updated: 2026-04-22 --- diff --git a/wiki/index.md b/wiki/index.md index 4c9b78a6..ba4b4596 100644 --- a/wiki/index.md +++ b/wiki/index.md @@ -4,6 +4,10 @@ - [Overview](overview.md) — living synthesis ## Sources +- [2026-04-24] [CTP Topic 9 CI CD with Gruntwork](sources/ctp-topic-9-ci-cd-with-gruntwork.md) +- [2026-04-24] [CTP Topic 32 Using Atlantis CICD for Infrastructure Deployments](sources/ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments.md) +- [2026-04-24] [CTP Topic 2 Git](sources/ctp-topic-2-git.md) +- [2026-04-24] [CTP Topic 24 Micro Focus Product Privacy Framework](sources/ctp-topic-24-micro-focus-product-privacy-framework.md) - [2026-04-24] [CTP Topic 49 Container Lifecycle Hardening Standards](sources/ctp-topic-49-container-lifecycle-hardening-standards.md) - [2026-04-24] [CTP Topic 21 Supply Chain Security in Micro Focus](sources/ctp-topic-21-supply-chain-security-in-micro-focus.md) - [2026-04-24] [CTP Topic 52 3 Lines of Defence (3LoD) framework Cloud Security Posture Management (CSPM)](sources/ctp-topic-52-3-lines-of-defence-3lod-framework-cloud-security-posture-management.md) @@ -410,10 +414,6 @@ - [2026-04-19] [public-cloud-learning-sessions-ollie-workflow-and-the-demand-process-20240416-16](sources/public-cloud-learning-sessions-ollie-workflow-and-the-demand-process-20240416-16.md) — (expected: wiki/sources/public-cloud-learning-sessions-ollie-workflow-and-the-demand-process-20240416-16.md — source missing) - [2026-04-19] [ctp-topic-33-an-introduction-to-gitops](sources/ctp-topic-33-an-introduction-to-gitops.md) — (expected: wiki/sources/ctp-topic-33-an-introduction-to-gitops.md — source missing) - [2026-04-19] [ctp-topic-3-deploy-and-maintain-infrastructure](sources/ctp-topic-3-deploy-and-maintain-infrastructure.md) — (expected: wiki/sources/ctp-topic-3-deploy-and-maintain-infrastructure.md — source missing) -- [2026-04-19] [ctp-topic-9-ci-cd-with-gruntwork](sources/ctp-topic-9-ci-cd-with-gruntwork.md) — (expected: wiki/sources/ctp-topic-9-ci-cd-with-gruntwork.md — source missing) -- [2026-04-19] [ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments](sources/ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments.md) — (expected: wiki/sources/ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments.md — source missing) -- [2026-04-19] [ctp-topic-2-git](sources/ctp-topic-2-git.md) — (expected: wiki/sources/ctp-topic-2-git.md — source missing) -- [2026-04-14] [CTP Topic 24 Micro Focus Product Privacy Framework](sources/ctp-topic-24-micro-focus-product-privacy-framework.md) — Micro Focus 产品隐私框架,在云转型背景下解决 GDPR/CCPA 等法律合规要求与技术实现之间的鸿沟 - [Your-AI-Isn-t-Stupid---It-Just-Needs-a-Better-Harness--Lychee-Technology-Engineering-Blog](sources/Your-AI-Isn-t-Stupid---It-Just-Needs-a-Better-Harness--Lychee-Technology-Engineering-Blog.md) — (expected: wiki/sources/Your-AI-Isn-t-Stupid---It-Just-Needs-a-Better-Harness--Lychee-Technology-Engineering-Blog.md — source missing) - [Expose-hermes-agent-as-an-OpenAI-compatible-API-for-any-frontend](sources/Expose-hermes-agent-as-an-OpenAI-compatible-API-for-any-frontend.md) — (expected: wiki/sources/Expose-hermes-agent-as-an-OpenAI-compatible-API-for-any-frontend.md — source missing) - [zk-steward](sources/zk-steward.md) — (expected: wiki/sources/zk-steward.md — source missing) diff --git a/wiki/log.md b/wiki/log.md index c2fd5b8a..22e182c3 100644 --- a/wiki/log.md +++ b/wiki/log.md @@ -1,3 +1,40 @@ +## [2026-04-24] ingest | CTP Topic 9 CI CD with Gruntwork +- Source file: Cloud & DevOps/Public-Cloud-Learning-Sessions/06_CI_CD_GitOps/ctp-topic-9-ci-cd-with-gruntwork.md +- Status: ✅ 成功摄入 +- Summary: CTP Topic 9 CI/CD 与 Gruntwork 在 AWS Landing Zone 中的实践视频;源文档状态为"待 Whisper 转录",基于文件元数据生成初始页面 +- Concepts identified: [[CI/CD Pipeline]], [[Infrastructure as Code]], [[Gruntwork]], [[Terraform]], [[Terragrunt]] +- Entities identified: [[Gruntwork]], [[AWS Landing Zone]], [[Cloud Transformation Programme]] +- Source page: wiki/sources/ctp-topic-9-ci-cd-with-gruntwork.md +- Notes: 源视频待转录,Key Claims/Key Quotes 为占位内容;已建立与 ctp-topic-1(Gruntwork LZ 架构)、ctp-topic-2(Git)、ctp-topic-33(GitOps 入门)、ctp-topic-32(Atlantis CI/CD)的连接关系;index.md 已更新;overview.md Cloud Transformation & DevOps 章节已更新;无需新建 Entity/Concept 页面 +- Conflicts: (暂无,待视频转录后补充) + +## [2026-04-14] ingest | CTP Topic 32 Using Atlantis CICD for Infrastructure Deployments +- Source file: Cloud & DevOps/Public-Cloud-Learning-Sessions/06_CI_CD_GitOps/ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments.md +- Status: ✅ 成功摄入 +- Summary: Atlantis 替代 Jenkins 用于 Terraform IaC 部署的 CTP 学习视频,涵盖 Atlantis 架构(单 EC2 + GitHub Webhook)、PR 评论式协作模型、跨账户 IAM 角色访问、并行构建、模块锁定机制 +- Concepts identified: [[GitOps]], [[Infrastructure-as-Code]], [[CI/CD Pipeline]], [[Terraform]] +- Source page: wiki/sources/ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments.md +- Notes: Source page 已创建;index.md 已更新(Sources 节顶部);overview.md Cloud Transformation & DevOps 章节已更新;GitOps.md sources 列表已更新;已识别与 ctp-topic-39(EKS 不支持 Atlantis)的矛盾点并记录于 Contradictions 节 +- Conflicts: [[ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone]](Atlantis 不支持 EKS 部署 vs Atlantis 可替代 Jenkins 全面部署) + +## [2026-04-14] ingest | CTP Topic 2 Git +- Source file: Cloud & DevOps/Public-Cloud-Learning-Sessions/06_CI_CD_GitOps/ctp-topic-2-git.md +- Status: ✅ 成功摄入 +- Summary: CTP Topic 2 Git 版本控制系统基础与实践视频讲座,作为 CI/CD/GitOps 系列开篇;源文档状态为"待 Whisper 转录" +- Concepts identified: [[Git]], [[Version Control]], [[DevOps]] +- Entities identified: [[Cloud Transformation Programme]] +- Source page: wiki/sources/ctp-topic-2-git.md +- Notes: 源视频待转录,Key Claims/Key Quotes 为占位内容;已建立与 ctp-topic-9(CI/CD with Gruntwork)和 ctp-topic-33(GitOps 入门)的连接关系;index.md 已更新,overview.md Cloud Transformation & DevOps 章节已更新 + +## [2026-04-14] ingest | CTP Topic 24 Micro Focus Product Privacy Framework +- Source file: Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-24-micro-focus-product-privacy-framework.md +- Status: ✅ 成功摄入 +- Summary: Micro Focus 产品隐私框架在云转型中的应用——PSAC 与法律顾问合作,将 GDPR/CCPA 等晦涩法律条款翻译为约 110 项低级别技术要求;隐私框架是 STLC(安全开发生命周期)中 13 个安全与隐私轨道之一;通过五类需求(架构类/文档类/法律类/实现类/SAS 运营类)和成熟度模型(0-4 级)评估产品隐私合规状态;通过"蜘蛛图"直观展示产品隐私 KPI 合规现状 +- Concepts identified: [[Product Privacy Framework(产品隐私框架)]], [[STLC(Security Development Life Cycle)]], [[PSAC(Product Security Advisory Committee)]], [[PII(Personally Identifiable Information)]], [[Maturity Model(成熟度模型)]], [[Spider Chart(蜘蛛图)]], [[Product Privacy Settings Document]], [[Data Controller vs. Data Processor]], [[Anonymization & Pseudonymization]] +- Entities identified: [[Micro Focus]], [[Shlomi Ben-Hur]] +- Source page: wiki/sources/ctp-topic-24-micro-focus-product-privacy-framework.md +- Notes: 无冲突检测;CTP Topic 21 和 Topic 24 均由 Shlomi Ben-Hur 主讲,PSAC 作为产品安全顾问委员会在多个 topic 中出现,实体创建条件待后续评估;STLC 作为 SDLC 的安全扩展已有提及,本次独立建 Concept 页面;overview.md 已更新,新增条目和 Key Concepts/Entities + ## [2026-04-24] ingest | CTP Topic 49 Container Lifecycle Hardening Standards - Source file: Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-49-container-lifecycle-hardening-standards.md - Status: ✅ 成功摄入 diff --git a/wiki/overview.md b/wiki/overview.md index 89834b1a..6c126f5e 100644 --- a/wiki/overview.md +++ b/wiki/overview.md @@ -39,13 +39,17 @@ Key concepts: [[Recursive Self-Optimization]], [[Generator Space]], [[Self-Refer **[[multi-source-tech-news-digest]]**:AI Agent 驱动的多源科技新闻自动聚合与投递系统——四层数据管道整合 46 个 RSS 源、44 个 Twitter/X KOL 账号、19 个 GitHub Releases 仓库和 4 个 Brave Search 主题,覆盖 109+ 信息源;通过标题相似度去重和多维度质量评分(priority source +3, multi-source +5, recency +2, engagement +1)生成精选简报;支持 Discord/Email/Telegram 三通道投递,30 秒内通过自然语言添加自定义来源。属 [[Daily-YouTube-Digest]] / [[Daily Reddit Digest]] 同款 Cron Job + AI 摘要模式的不同垂直场景(前者视频,后者 Reddit 社区,本方案文字新闻)。 ### Cloud Transformation & DevOps +Git 是云转型计划中 DevOps 与 CI/CD 流水线的基础技能。**[[ctp-topic-2-git]]**(CTP Topic 2)作为 CI/CD/GitOps 系列的开篇,涵盖 Git 版本控制系统基础概念与实践,与 [[ctp-topic-9-ci-cd-with-gruntwork]](Gruntwork CI/CD)和 [[ctp-topic-33-an-introduction-to-gitops]](GitOps 入门)构成完整的学习链路。**[[ctp-topic-9-ci-cd-with-gruntwork]]**(CTP Topic 9)聚焦 CI/CD 与 Gruntwork 在 AWS Landing Zone 中的实践,基于 Gruntwork 参考架构通过 Terraform/Terragrunt 实现基础设施自动化交付(⚠️ 视频待 Whisper 转录后补充详细内容)。 + Cloud Transformation Programme (CTP) materials cover AWS landing zones, EKS, Terraform, GitOps, FinOps, observability, security, and enterprise architecture. Key themes: 3 Lines of Defence framework, ITSM, container hardening, backup & DR strategies. DevOps culture focuses on four pillars: Collaboration, Automation (CI/CD, IaC), Continuous Improvement (Kaizen), and Customer-Centricity. Agile practices (Scrum, Kanban) are symbiotic with DevOps. Emerging trends: DevSecOps, GitOps, Serverless DevOps, AI/ML-driven automation, and Edge Computing DevOps. +**[[ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments]]**(CTP Topic 32):Atlantis 替代 Jenkins 用于 Terraform IaC 部署——针对当前 Jenkins 流水线初始化慢(多次代码克隆/顺序测试/ECS 预配置)和架构复杂(持续叠加功能导致脆弱)的双重痛点,Atlantis 提供 PR 评论式协作模型,开发者直接在 GitHub PR 上评论 `atlantis plan`/`apply` 即可触发变更,无需独立账号;每个 Landing Zone 共享账户部署单台 EC2 实例,通过 GitHub Enterprise Webhook 接收通知,服务账号负责评论/合并/关闭 PR;跨账户访问通过在各账户部署的 IAM 角色实现;并行构建支持多模块并发 plan/apply;锁定机制防止多 PR 同时操作同一模块产生冲突。Atlantis 在 merge 前即应用变更,确保代码与基础设施始终同步。属 [[GitOps]] 工具实践层,与 [[ctp-topic-33-an-introduction-to-gitops]](GitOps 概念)和 [[ctp-topic-9-ci-cd-with-gruntwork]](Gruntwork CI/CD)共同构成完整链路。注意:[[ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone]] 提到 Atlantis 当前不支持 EKS 部署,两者存在实践约束差异。 + **[[ctp-topic-21-supply-chain-security-in-micro-focus]]**(CTP Topic 21):Micro Focus 产品安全小组 Shlomi Ben-Hur 主讲的软件供应链安全新方法——核心议题:在云转型背景下,软件供应链安全已成为企业安全战略的重中之重。供应链(产品层面)涵盖源码管理(SCM)、构建组件(CI)、制品库到最终交付系统(CD)的所有环节,Micro Focus 内部存在 17 种不同 SCM 工具的极高多样性。主要驱动因素:SolarWinds 攻击事件(通过渗透构建过程注入恶意代码)、美国网络安全行政命令、以及向 AWS/SaaS 迁移带来的开放性风险。核心转变:从过去 99% 关注研发安全(代码扫描/渗透测试)转向全生命周期安全防护;供应链安全成为 SDL(安全开发生命周期)的第五大支柱,强调必须同时确保 CI 过程(构建环境/自动化服务器)和 CD 过程(交付系统)的完整性,防止黑客在任何环节篡改二进制文件。属 [[Supply Chain Security(供应链安全)]] 在 [[Micro Focus]] 云转型场景的核心实践,与 [[DevSecOps]](开发安全运维一体化)高度关联。 -**[[ctp-topic-49-container-lifecycle-hardening-standards]]**(CTP Topic 49):Micro Focus 产品安全小组 Ashish 主讲的容器镜像构建阶段 11 条安全加固标准——涵盖使用 Micro Focus 基础镜像(non-root/non-privileged)、引入 Init 系统([[tini]] 防止僵尸进程)、镜像不含敏感信息、只读根文件系统(readOnlyRootFilesystem: true)、[[emptyDir Volume]] 临时文件系统、镜像漏洞扫描、容器单应用原则、禁用 Kubernetes API 自动挂载(automountServiceAccountToken: false)、私有服务账号配合精确 RBAC、避免 hostNetwork 和 hostPort。辅以 Demo 演示 [[tini]] 阻止僵尸进程和只读文件系统阻止未授权文件创建的效果。属 [[DevSecOps]] 在容器层面的具体实践,与 [[ctp-topic-21-supply-chain-security-in-micro-focus]] 共同构成供应链安全体系(上游源码 → 中游镜像构建 → 下游运行时)。 +**[[ctp-topic-24-micro-focus-product-privacy-framework]]**(CTP Topic 24):Micro Focus 产品隐私框架在云转型中的应用——PSAC(产品安全顾问委员会)与法律顾问合作,将 GDPR/CCPA 等晦涩法律条款翻译为约 110 项低级别技术要求;隐私框架是 STLC(安全开发生命周期)中 13 个安全与隐私轨道之一;通过五类需求(架构类/文档类/法律类/实现类/SAS 运营类)和成熟度模型(0-4 级)评估产品隐私合规状态;通过"蜘蛛图"直观展示产品在安全去标识化、被遗忘权、数据可移植性等 KPI 上的合规现状;最终产出标准化《产品隐私设置文档》,确保客户获得一致的隐私信息参考。属 [[Product Privacy Framework(产品隐私框架)]] 在 [[Micro Focus]] 云转型场景的核心实践,与 [[Micro Focus Security Development Life Cycle (STLC) Overview]](STLC 整体架构)直接关联。 -**[[public-cloud-learning-sessions-eks-optimization-part-1-of-3-compute-optimization]]**(Public Cloud Learning Sessions,EKS 计算优化专题 Part 1):Karpenter 深度解析与 Cluster Autoscaler 对比——Karpenter 直接与 EC2 Fleet API 通信降低延迟,原生集成 Kubernetes 调度约束(node selectors/affinity/taints/tolerations/topology spread),内置 Spot 中断处理(EventBridge + SQS)和 AMI 滚动升级,Eliminate 节点组管理痛点;Consolidation 策略自动整合低利用率节点,支持中断预算控制和峰值时段豁免。Part 3 将介绍 EKS Auto Mode 进一步简化数据平面管理(内置 Karpenter Controller)。属 [[Karpenter]] 在 AWS EKS 的核心实践,与 [[ctp-topic-70-eks-deployment-using-iac]](EKS IaC 部署)共同构成 EKS 完整知识链路。 +**[[ctp-topic-49-container-lifecycle-hardening-standards]]**(CTP Topic 49): **[[public-cloud-learning-sessions-eks-optimization-part-2-of-3-running-containers-w]]**(Public Cloud Learning Sessions,EKS 计算优化专题 Part 2):Bottlerocket OS(火箭瓶)深度解析——AWS 专为容器工作负载优化的最小化开源 Linux 发行版,核心设计理念:最小化(去除包管理器/Shell/SSH,仅打包必要内核组件)、安全更新(分区镜像 A/B 切换确保原子性)、安全加固(dm-verity 根文件系统加密验证 + SE Linux enforcing 模式 + 根文件系统默认只读)。Variant 机制通过平台+架构+工作负载组件组合在构建时定制功能,支持 Bottlerocket for EKS AMI(自管理节点组)、托管节点组(Managed Node Groups)和 Carpenter 节点池三种集成方式。属 [[Bottlerocket]] 在 [[Amazon EKS]] 场景的核心实践,与 Part 1(Karpenter 计算优化)和 Part 3(EKS Auto Mode)共同构成 EKS 优化三专题完整链路;Part 3 的 EKS Auto Mode 默认使用 Bottlerocket 作为节点操作系统。 @@ -101,7 +105,7 @@ Cloud Transformation Programme (CTP) materials cover AWS landing zones, EKS, Ter **[[ctp-topic-61-workload-vpc-provision-with-ipam-automation]]**(CTP Topic 61):Workload VPC 完整自动化供给方案——Pushka(Principal SRE)主讲,在 Topic 45 的 IPAM 自动分配机制基础上,展示了端到端 VPC 供给流程。核心增强:多 VPC 批量供给支持、邮件通知机制、CIDR /22 阈值自动审批(更大 CIDR 自动,更小需理由审批)、非路由 IP 地址(如 10.2.0.0/16)支持、使用 AZ ID 避免跨账号不一致。Infoblox Grid 作为全局唯一 IP 地址数据源防止重叠,架构包含休斯顿数据中心主库及冗余 DNS/NTP/DHCP 服务。核心理念:**"只需把信息放到正确位置,一切自动完成。"** 属 [[IPAM(IP Address Management)]] 的应用层扩展,与 [[ctp-topic-45-automatic-ip-address-allocation-with-ipam]] 共同构成 IPAM 的"机制 → 应用"完整链路。 -Key concepts: [[Process]], [[Value]], [[Value-Stream]], [[Value-Adding]], [[Waste]], [[Benefits-Quantification]], [[Cost-of-Delay]], [[WSJF]], [[SOM]], [[Feature-Level-Value-Breakdown]], [[Program-Demand-Process]], [[Proof-of-Concept]], [[Gate-Process]], [[Solution-Design]], [[Landing Zone Architecture]], [[Product-Backlog]], [[Demand-Management]], [[SMACs]], [[Prerequisite-Phase]], [[Hyper-Care]], [[Octane]], [[Hybrid DNS Resolution]], [[VMware-Cloud-on-AWS]], [[VMware]], [[HCX]], [[SDDC]], [[Stretched-Cluster]], [[Hybrid-Cloud]], [[Multi-Cloud Strategy]], [[Multi-Cloud-ROI]], [[DevOps Culture]], [[CI/CD Pipeline]], [[DevSecOps]], [[Shift-Left-Security]], [[Shift-Right-Security]], [[SAST]], [[DAST]], [[IAST]], [[SCA]], [[Break-the-Build]], [[Agile Practices]], [[DevOps Maturity]], [[DORA Metrics]], [[Infrastructure as Code]], [[Cloud-Native]], [[Cloud Maturity Levels]], [[Cloud Adoption Strategy]], [[Cloud Service Delivery]], [[Cloud DevOps Maturity Model]], [[Cloud Operating Model]], [[Cloud Governance]], [[Cloud Cost Optimization]], [[Serverless Computing]], [[Edge Computing]], [[Green Computing]], [[Data-Warehouse]], [[MPP]], [[Columnar-Storage]], [[Sort-Key]], [[Distribution-Key]], [[Vendor-Lock-In]], [[Data-Sovereignty]], [[NFR(非功能需求)]], [[Error Budget(错误预算)]], [[Chaos Engineering]], [[高可用(High Availability)]], [[灾难恢复架构模式]], [[Vault Lock]], [[ELK Stack]], [[OpenSearch]], [[Logstash]], [[Kibana]], [[BEATS]], [[Filebeat]], [[OpenTelemetry]], [[Fluent Bit]], [[Observability(可观测性)]], [[OTLP(OpenTelemetry Protocol)]], [[Three Signals]], [[Centralized-Logging]], [[Redis缓存]], [[RBAC]], [[TLS]], [[API-Key-Rotation]], [[跨账户备份]], [[增量备份]], [[SPF]], [[DKIM]], [[TLS]], [[API-Key-Rotation]], [[Cyber-Suite]], [[CBC-Mode]], [[SendGrid]], [[Twilio]] vs [[全量备份]](CTP Topic 72:增量仅捕获变更,节省存储成本)、**[[AWS Backup Audit Manager]]**(BAM,CTP Topic 72:合规审计报告)、**[[AWS-Tagging-Standards]]**(CTP Topic 28:AWS 标签规范,涵盖命名约定、强制标签键、成本标签策略;与 Checkpoint 防火墙安全策略直接关联,标签缺失导致流量拦截)、**[[Tag-Validation-Tool]]**(CTP Topic 28:SRE 团队开发的 Python/Boto3 工具,通过 YAML 配置扫描 AWS 资源标签合规性)、**[[Service-Control-Policies-SCPs]]**(AWS Organizations 策略类型,通过「显式拒绝」逻辑强制执行标签规范)、**[[OU-Layered-Security]]**(通过组织单元分层结构检查标签确保正确归属)、**[[Tag-Based-Security]]**(将资源标签作为安全凭证替代传统 IP 规则)、**[[Checkpoint-Firewall]]**(防火墙供应商,依赖 AWS 标签值配置网络访问策略)、**[[Variables-YAML]]**(Tag Validation Tool 核心配置文件,定义每个账户的合法标签键及允许值)、**[[SRE-Tools-Repository]]**(内部代码仓库,存放 Tag Validation Tool 等 SRE 自动化脚本):[[WAF]], [[APM]], [[Cloud Security]], [[Cloud Migration]], [[High Availability]], [[Pay-as-you-go]], [[Failover]], [[Multi-factor-Authentication]], [[Data-Governance]], [[Continuous Integration]], [[Continuous Deployment]], [[Lead Time]], [[Time-to-Market]], [[MTTR]], [[MTTD]], [[MTTA]], [[Change Failure Rate]], [[Error Budget]], [[Rollback Rate]], [[Availability]], [[Scalability]], **[[Agentic AI]]**, [[Root Cause Analysis (RCA)]], [[Predictive Maintenance]], [[Deployment Automation]], [[Rightsizing]], [[Automated Security Audit]], [[AI ChatOps]], [[What-If Simulation]], **[[RTO]]**, **[[RPO]]**, **[[Feature Flag]]**, **[[Kill Switch]]**, **[[Progressive Rollout]]**, **[[Micro-Recovery]]**, **[[Deployment-vs-Release]]**, **[[Business Impact Analysis]]**, **[[Public Cloud]]**, **[[Private Cloud]]**, **[[Hybrid Cloud]]**, **[[Shared Responsibility Model]]**, [[Multi-Tenancy]], [[Intentional Cloud Strategy]], **[[Centralized Logging]]**, **[[Cross-Account Monitoring]]**, **[[Multi-Account Deployment]]**, **[[StackSets Deployment Visibility]]**, [[CMDB]], [[Problem-Management]], [[Release-Management]], [[Configuration-Management]], [[Asset-Management]], [[Security-and-Compliance]], [[DRaaS]], [[Canary-Release]], [[Blue-Green-Deployment]], [[Threat Modeling]], [[OWASP-Top-Ten]], [[Bug-Bounty]], [[Vulnerability-Scanning]], [[Penetration-Testing]], [[Compliance-Automation]] +Key concepts: [[Process]], [[Value]], [[Value-Stream]], [[Value-Adding]], [[Waste]], [[Benefits-Quantification]], [[Cost-of-Delay]], [[WSJF]], [[SOM]], [[Feature-Level-Value-Breakdown]], [[Program-Demand-Process]], [[Proof-of-Concept]], [[Gate-Process]], [[Solution-Design]], [[Landing Zone Architecture]], [[Product-Backlog]], [[Demand-Management]], [[SMACs]], [[Prerequisite-Phase]], [[Hyper-Care]], [[Octane]], [[Hybrid DNS Resolution]], [[VMware-Cloud-on-AWS]], [[VMware]], [[HCX]], [[SDDC]], [[Stretched-Cluster]], [[Hybrid-Cloud]], [[Multi-Cloud Strategy]], [[Multi-Cloud-ROI]], [[DevOps Culture]], [[CI/CD Pipeline]], [[DevSecOps]], [[Shift-Left-Security]], [[Shift-Right-Security]], [[SAST]], [[DAST]], [[IAST]], [[SCA]], [[Break-the-Build]], [[Agile Practices]], [[DevOps Maturity]], [[DORA Metrics]], [[Infrastructure as Code]], [[Cloud-Native]], [[Cloud Maturity Levels]], [[Cloud Adoption Strategy]], [[Cloud Service Delivery]], [[Cloud DevOps Maturity Model]], [[Cloud Operating Model]], [[Cloud Governance]], [[Cloud Cost Optimization]], [[Serverless Computing]], [[Edge Computing]], [[Green Computing]], [[Data-Warehouse]], [[MPP]], [[Columnar-Storage]], [[Sort-Key]], [[Distribution-Key]], [[Vendor-Lock-In]], [[Data-Sovereignty]], [[NFR(非功能需求)]], [[Error Budget(错误预算)]], [[Chaos Engineering]], [[Product Privacy Framework(产品隐私框架)]], [[STLC(Security Development Life Cycle)]], [[PSAC(Product Security Advisory Committee)]], [[PII(Personally Identifiable Information)]], [[Maturity Model(成熟度模型)]], [[Spider Chart(蜘蛛图)]], [[Product Privacy Settings Document]], [[Data Controller vs. Data Processor]], [[Anonymization & Pseudonymization]], [[被遗忘权]], [[数据可移植性]], [[高可用(High Availability)]], [[灾难恢复架构模式]], [[Vault Lock]], [[ELK Stack]], [[OpenSearch]], [[Logstash]], [[Kibana]], [[BEATS]], [[Filebeat]], [[OpenTelemetry]], [[Fluent Bit]], [[Observability(可观测性)]], [[OTLP(OpenTelemetry Protocol)]], [[Three Signals]], [[Centralized-Logging]], [[Redis缓存]], [[RBAC]], [[TLS]], [[API-Key-Rotation]], [[跨账户备份]], [[增量备份]], [[SPF]], [[DKIM]], [[TLS]], [[API-Key-Rotation]], [[Cyber-Suite]], [[CBC-Mode]], [[SendGrid]], [[Twilio]] vs [[全量备份]](CTP Topic 72:增量仅捕获变更,节省存储成本)、**[[AWS Backup Audit Manager]]**(BAM,CTP Topic 72:合规审计报告)、**[[AWS-Tagging-Standards]]**(CTP Topic 28:AWS 标签规范,涵盖命名约定、强制标签键、成本标签策略;与 Checkpoint 防火墙安全策略直接关联,标签缺失导致流量拦截)、**[[Tag-Validation-Tool]]**(CTP Topic 28:SRE 团队开发的 Python/Boto3 工具,通过 YAML 配置扫描 AWS 资源标签合规性)、**[[Service-Control-Policies-SCPs]]**(AWS Organizations 策略类型,通过「显式拒绝」逻辑强制执行标签规范)、**[[OU-Layered-Security]]**(通过组织单元分层结构检查标签确保正确归属)、**[[Tag-Based-Security]]**(将资源标签作为安全凭证替代传统 IP 规则)、**[[Checkpoint-Firewall]]**(防火墙供应商,依赖 AWS 标签值配置网络访问策略)、**[[Variables-YAML]]**(Tag Validation Tool 核心配置文件,定义每个账户的合法标签键及允许值)、**[[SRE-Tools-Repository]]**(内部代码仓库,存放 Tag Validation Tool 等 SRE 自动化脚本):[[WAF]], [[APM]], [[Cloud Security]], [[Cloud Migration]], [[High Availability]], [[Pay-as-you-go]], [[Failover]], [[Multi-factor-Authentication]], [[Data-Governance]], [[Continuous Integration]], [[Continuous Deployment]], [[Lead Time]], [[Time-to-Market]], [[MTTR]], [[MTTD]], [[MTTA]], [[Change Failure Rate]], [[Error Budget]], [[Rollback Rate]], [[Availability]], [[Scalability]], **[[Agentic AI]]**, [[Root Cause Analysis (RCA)]], [[Predictive Maintenance]], [[Deployment Automation]], [[Rightsizing]], [[Automated Security Audit]], [[AI ChatOps]], [[What-If Simulation]], **[[RTO]]**, **[[RPO]]**, **[[Feature Flag]]**, **[[Kill Switch]]**, **[[Progressive Rollout]]**, **[[Micro-Recovery]]**, **[[Deployment-vs-Release]]**, **[[Business Impact Analysis]]**, **[[Public Cloud]]**, **[[Private Cloud]]**, **[[Hybrid Cloud]]**, **[[Shared Responsibility Model]]**, [[Multi-Tenancy]], [[Intentional Cloud Strategy]], **[[Centralized Logging]]**, **[[Cross-Account Monitoring]]**, **[[Multi-Account Deployment]]**, **[[StackSets Deployment Visibility]]**, [[CMDB]], [[Problem-Management]], [[Release-Management]], [[Configuration-Management]], [[Asset-Management]], [[Security-and-Compliance]], [[DRaaS]], [[Canary-Release]], [[Blue-Green-Deployment]], [[Threat Modeling]], [[OWASP-Top-Ten]], [[Bug-Bounty]], [[Vulnerability-Scanning]], [[Penetration-Testing]], [[Compliance-Automation]] **[[ctp-topic-40-saas-database-architecture]]**(CTP Topic 40):SAS 数据库团队在 AWS 云上的架构与运维实践——团队分布于美国/加拿大/印度/以色列,管理 500+ 数据库和 1000+ DB 服务器;支持 Oracle、Vertica、Postgres、DynamoDB、SQL Server、MongoDB、MySQL 等多引擎;高可用架构采用三可用区模式(主库/备用库/见证节点);使用 Oracle Data Guard、Postgres Active-Passive/Active-Active、RDS HA 实现多活;通过 Terraform、AWS CLI、Shell/PowerShell 实现 IaC 自动化;Oracle GoldenGate 支持零停机迁移。属 [[AWS-Landing-Zone]] 数据库层的核心实践,与 [[ctp-topic-51-purpose-built-databases]](数据库品类全景)和 [[ctp-topic-66-rds-vs-aurora]](关系型选型)共同构成完整的 AWS 数据库知识体系。 @@ -382,6 +386,7 @@ Key concepts: [[Generalist]], [[Self-Education]], [[Self-Interest]], [[Self-Suff - [[clawhub.ai]] — OpenClaw Skill 市场,托管 clawr.ing 等 Skill 安装包 - [[AionUi]] — 桌面多 Agent Hub(macOS/Windows/Linux),将 OpenClaw 作为可视化 Cowork Agent 运行,支持内置远程救援专家和统一 MCP 配置 - [[n8n]] — workflow automation +- [[Shlomi Ben-Hur]] — Micro Focus 产品安全小组(PSAC)成员,主讲 CTP Topic 21(供应链安全)和 CTP Topic 24(产品隐私框架),推动将法律合规要求翻译为技术实现 - [[Octane-Hub]] — Software Factory 团队,Micro Focus 云转型计划一部分,主导 Docker 容器化工作负载从 Bibling Lab 向 AWS Landing Zone 的迁移项目,CTO 为 Holger Rode - [[Node.js]] — JavaScript 运行时环境,n8n-mcp 的运行依赖,也是 [[n8n]] 工作流引擎的后端运行环境 - [[gog CLI]] — 由 steipete 开发的 Google Workspace 命令行管理工具(Homebrew 安装),支持 Gmail/Calendar/Drive/Contacts/Docs/Sheets 全套服务,[[personal-crm]] 和 [[multi-channel-assistant]] 的前置依赖 diff --git a/wiki/sources/ctp-topic-2-git.md b/wiki/sources/ctp-topic-2-git.md new file mode 100644 index 00000000..9cc1d889 --- /dev/null +++ b/wiki/sources/ctp-topic-2-git.md @@ -0,0 +1,45 @@ +--- +title: "CTP Topic 2 Git" +type: source +tags: + - Git + - VCS + - CTP +last_updated: 2026-04-14 +--- + +## Source File +- [[Cloud & DevOps/Public-Cloud-Learning-Sessions/06_CI_CD_GitOps/ctp-topic-2-git.md]] + +## Summary(用中文描述) +- 核心主题:Git 版本控制系统基础与实践 +- 问题域:云转型计划中的源代码版本控制与协作工作流 +- 方法/机制:视频讲座形式,CTP Topic 2 系列课程 +- 结论/价值:掌握 Git 是 DevOps 与 IaC 实践的基础技能 + +## Key Claims(用中文描述) +- CTP Topic 2 涵盖 Git 版本控制系统的核心概念与实操技能 + +## Key Quotes +> "待 Whisper 转录后补充详细内容" — 当前状态:待转录 + +## Key Concepts +- [[Git]]:分布式版本控制系统,DevOps 与 CI/CD 流水线的基础工具 +- [[Version Control]]:代码变更追踪与协作管理机制 +- [[DevOps]]:开发与运维协作的文化与实践体系 + +## Key Entities +- [[Cloud Transformation Programme]]:云转型计划,CTP Topic 系列课程的组织框架 + +## Connections +- [[ctp-topic-9-ci-cd-with-gruntwork]] ← extends ← [[ctp-topic-2-git]] +- [[ctp-topic-33-an-introduction-to-gitops]] ← depends_on ← [[ctp-topic-2-git]] +- [[public-cloud-learning-sessions-opentext-github-enterprise-to-gitlab-migration]] ← related_to ← [[ctp-topic-2-git]] + +## Contradictions +- 无已知冲突 + +## Notes +- 原始文档状态为"待转录"(Awaiting Whisper transcription → Summary) +- 视频源:NAS `/volume2/work/Public Cloud Learning Sessions/CTP _ Topic 2_ Git.mp4` +- 类别:DevOps & SRE / 06_CI_CD_GitOps diff --git a/wiki/sources/ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments.md b/wiki/sources/ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments.md new file mode 100644 index 00000000..5f39681f --- /dev/null +++ b/wiki/sources/ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments.md @@ -0,0 +1,79 @@ +--- +title: "CTP Topic 32 Using Atlantis CICD for Infrastructure Deployments" +type: source +tags: [Atlantis, CI/CD, IaC, Terraform, GitOps, CTP] +date: 2026-04-14 +--- + +## Source File +- [[Cloud & DevOps/Public-Cloud-Learning-Sessions/06_CI_CD_GitOps/ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments]] + +## Summary(用中文描述) + +### 核心主题 +Atlantis 作为 Terraform IaC 自动化工具,替代 Jenkins 用于 AWS Landing Zone 的基础设施部署流水线。 + +### 问题域 +当前 Jenkins 流水线面临两大核心痛点: +- **速度慢**:初始化时间长、多次代码克隆、顺序测试、ECS Deployer 预配置导致整个流程极慢 +- **复杂度高**:持续叠加功能以覆盖更多场景和边缘用例,导致流水线脆弱且易漂移 + +### 方法/机制 +- **架构**:Atlantis 以单台 EC2 实例形式部署于每个 Landing Zone 的共享账户,通过 GitHub Enterprise Webhook 接收通知 +- **协作模型**:开发者直接在 GitHub Pull Request 上评论即可与 Atlantis 交互,无需单独账号和复杂集成 +- **跨账户访问**:通过在每个账户部署的 IAM 角色实现,支持简单和跨账户模块部署 +- **权限控制**:用户管理基于 GitHub 构建,构建日志以评论形式存储用于审计 +- **并行构建**:支持多模块 plan 和 apply 命令并发执行 + +### 结论/价值 +Atlantis 提供更好的协作模型、简化的网络架构(Jenkins 需要大量 VPC Endpoints)、代码与基础设施同步更新(merge 前即应用变更),是替换 Jenkins 的理想方案。 + +## Key Claims(用中文描述) + +- Atlantis 团队通过在 PR 上评论即可完成 plan/apply,无需独立的 Jenkins 账号和集成 +- Atlantis 在代码 merge 前即执行变更,确保代码始终与基础设施同步 +- Atlantis 锁定机制防止多 PR 同时对同一模块执行 plan 产生冲突 +- Atlantis 通过 Webhook 接收 GitHub 通知,服务账号负责与 GitHub 交互(评论、合并、关闭 PR) + +## Key Quotes + +> "The current pipeline is practically very slow due to significant initialization time, multiple code cloning, sequential testing, and ECS deployer provisioning." — 当前 Jenkins 流水线的性能痛点 + +> "Atlantis applies changes before merging, ensuring code in sync with infrastructure." — Atlantis 的核心价值主张 + +> "When a plan is run, the directory of each module is locked until the pull request that has this folder locked is merged or closed, or the plan is manually discarded." — Atlantis 锁定机制 + +## Key Concepts + +- [[Infrastructure-as-Code]]:通过 Terraform 代码声明式管理 AWS 基础设施,Atlantis 是其 CI/CD 执行层 +- [[GitOps]]:以 Git 为单一事实来源,通过 PR 协作和 Atlantis 自动化 apply 实现 GitOps 工作流 +- [[CI/CD Pipeline]]:持续集成/持续部署流水线,Atlantis 替代传统 Jenkins 流水线用于 IaC 场景 +- [[Terraform]]:HashiCorp 的基础设施即代码工具,Atlantis 的核心执行对象 + +## Key Entities + +- [[Terraform]]:Atlantis 管理的基础设施即代码工具,替代手动控制台操作 +- [[Jenkins]]:被 Atlantis 替代的现有 CI/CD 系统,存在初始化慢和架构复杂的问题 +- [[GitHub Enterprise]]:Atlantis 的事件来源,通过 Webhook 通知 Atlantis 执行 plan/apply + +## Connections + +- [[ctp-topic-33-an-introduction-to-gitops]] ← extends ← [[ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments]](Topic 33 介绍 GitOps 概念,Topic 32 展示 Atlantis 工具实现) +- [[ctp-topic-9-ci-cd-with-gruntwork]] ← extends ← [[ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments]](Topic 9 介绍 Gruntwork CI/CD,Topic 32 进一步细化为 Atlantis 替代方案) +- [[ctp-topic-3-deploy-and-maintain-infrastructure]] ← depends_on ← [[ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments]](Topic 3 部署和维护基础设施,Topic 32 提供具体 CI/CD 工具) +- [[ctp-topic-16-cross-account-terraform-modules]] ← relates_to ← [[ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments]](跨账户 Terraform 模块与 Atlantis 跨账户访问机制关联) + +## Contradictions + +- 与 [[ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone]]: + - **冲突点**:EKS 部署是否支持 Atlantis + - **当前观点(Topic 39)**:Atlantis 当前不支持 EKS 部署,需通过 Jenkins + Terragrunt 模块替代 + - **对方观点(Topic 32)**:Atlantis 可替代 Jenkins 用于所有 Terraform IaC 部署 + - **分析**:两者描述的语境不同——Topic 39 聚焦特定 EKS 场景下的实践经验,Topic 32 描述 Atlantis 整体优势。可能 Atlantis 在某些复杂场景(如 EKS 特定依赖)下存在限制,需进一步验证 + +## Source Metadata + +- **Category**: DevOps & SRE / 06_CI_CD_GitOps +- **Type**: Video(CTP Learning Session) +- **Status**: Summarized(Gemini 摘要) +- **Video Source**: NAS `/volume2/work/Public Cloud Learning Sessions/CTP _ Topic 32_ Using Atlantis CICD for infrastructure deployments.mp4` diff --git a/wiki/sources/ctp-topic-9-ci-cd-with-gruntwork.md b/wiki/sources/ctp-topic-9-ci-cd-with-gruntwork.md new file mode 100644 index 00000000..d6935736 --- /dev/null +++ b/wiki/sources/ctp-topic-9-ci-cd-with-gruntwork.md @@ -0,0 +1,50 @@ +--- +title: "CTP Topic 9 CI CD with Gruntwork" +type: source +tags: + - CI/CD + - Gruntwork + - IaC + - CTP + - DevOps + - AWS +date: 2026-04-14 +--- + +## Source File +- [[Cloud & DevOps/Public-Cloud-Learning-Sessions/06_CI_CD_GitOps/ctp-topic-9-ci-cd-with-gruntwork]] + +## Summary(用中文描述) +- 核心主题:CI/CD 与 Gruntwork 在 AWS Landing Zone 中的实践 +- 问题域:云转型计划(Cloud Transformation Programme, CTP)中的基础设施自动化交付 +- 方法/机制:基于 Gruntwork 参考架构,通过 CI/CD 流水线实现 Terraform/Terragrunt 代码的自动化部署 +- 结论/价值:待视频转录后补充 + +> ⚠️ **注意**:原始视频尚未完成 Whisper 转录,以上信息基于文件元数据生成。详见 Source File 链接获取完整内容。 + +## Key Claims(用中文描述) +- (待视频转录后补充) + +## Key Quotes +> (待视频转录后补充) + +## Key Concepts +- [[CI/CD Pipeline]]:持续集成/持续交付流水线,自动化代码构建、测试和部署流程 +- [[Infrastructure as Code (IaC)]]:通过代码管理云基础设施,实现可重复、可审计的部署 +- [[Gruntwork]]:提供生产级 Terraform 模块和参考架构的 IaC 库 +- [[Terraform]]:HashiCorp 开源的 IaC 工具,用于声明式定义云资源 +- [[Terragrunt]]:Terraform 的包装器,提供状态管理和模块复用能力 + +## Key Entities +- [[Gruntwork]]:IaC 基础设施库提供商,提供可复用的 Terraform 模块 +- [[AWS Landing Zone]]:AWS 多账户架构框架,为云工作负载提供安全、合规的基础设施 +- [[Cloud Transformation Programme (CTP)]]:云转型计划,Micro Focus 将工作负载从本地数据中心迁移至 AWS 的企业级项目 + +## Connections +- [[ctp-topic-1-gruntwork-landing-zone-architecture]] ← foundational ← [[ctp-topic-9-ci-cd-with-gruntwork]] +- [[ctp-topic-2-git]] ← related ← [[ctp-topic-9-ci-cd-with-gruntwork]] +- [[ctp-topic-33-an-introduction-to-gitops]] ← extends ← [[ctp-topic-9-ci-cd-with-gruntwork]] +- [[ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments]] ← alternative_tool ← [[ctp-topic-9-ci-cd-with-gruntwork]] + +## Contradictions +- (暂无,待视频转录后补充)