Sync: add gitops and ci-cd notes

2026-04-24 14:12:17 +08:00
parent 4c2ec85278
commit 7550b4ee18
8 changed files with 847 additions and 8 deletions
--- a/Project/fonrey/PRD/权限管理/权限管理模块PRD.md
+++ b/Project/fonrey/PRD/权限管理/权限管理模块PRD.md
@@ -0,0 +1,623 @@
 # PRD: 权限管理模块
 **状态**: Draft  
 **作者**: 产品经理  
 **最后更新**: 2026-04-24（v1.0 初稿，基于产品截图分析）  
 **版本**: 1.0  
 **所属系统**: Fonrey 房产经纪管理系统  
 **关联模块**: 组织人事管理、房源管理、客源管理、系统设置
 ---
 ## 1. 问题陈述
 ### 背景
 房产经纪公司普遍存在多层级组织结构（总部 → 事业部 → 大区 → 区域 → 门店 → 店组），不同层级员工的业务职责和数据访问边界差异显著。在缺乏系统化权限管控的情况下，经纪公司面临以下核心痛点：
 - **数据越权访问风险**：经纪人可随意查看他人客户资料、房源联系方式，导致客源保护机制形同虚设，内部业务竞争失控
 - **角色权限配置低效**：每个系统账号独立配置权限，权限变更需逐一操作；人员增加或角色调整时，管理员重复劳动量巨大
 - **权限与岗位不匹配**：系统权限未与职务/职级联动，新员工默认权限可能超出岗位职责边界，造成数据安全隐患
 - **个性化权限需求无法满足**：部分员工因岗位特殊性需要在通用角色基础上增加或收窄特定权限，纯角色制度缺乏灵活性
 - **权限变更缺乏追溯**：权限调整无操作日志，出现数据纠纷时无法追溯是谁、何时、做了什么操作
 ### 目标用户
 | 角色 | 描述 | 使用频率 |
 |------|------|----------|
 | 系统管理员 | 负责角色创建、权限配置、人员权限分配及批量操作，是本模块的核心使用者 | 每日 |
 | 店长 / 区域经理 | 查看下属员工当前权限，按需发起权限变更申请 | 按需 |
 | 一线经纪人 | 受权限约束的数据访问者，感知到功能入口的显示/隐藏变化 | 被动感知 |
 ---
 ## 2. 目标与成功指标
 | 目标 | 指标 | 当前基准 | 目标值 | 衡量周期 |
 |------|------|----------|--------|----------|
 | 提升权限配置效率 | 完成一次人员权限分配耗时 | 约 20 分钟（估算，逐条配置） | < 2 分钟（批量设置角色） | 上线后 60 天 |
 | 降低越权访问事件 | 经纪人越权查看他人客源/联系方式的投诉工单数 | 待统计 | 减少 80% | 上线后 90 天 |
 | 提升权限管理透明度 | 管理员查找某员工当前权限配置的操作步骤数 | 待统计 | ≤ 3 步触达 | 上线后 30 天 |
 | 降低权限异常率 | 「权限与角色不一致」人员数量 | 待统计 | < 5% | 持续监控 |
 ---
 ## 3. 非目标（本期不做）
 - 不包含细化到行级（Row-level）的数据权限（如仅允许查看特定小区的房源），本期数据范围控制以「本人 / 本部门 / 全公司」三档为主
 - 不包含权限申请审批工作流（员工自助申请权限需上级审批），本期由管理员直接操作
 - 不包含操作日志的可视化看板（日志写入，查询能力在后续版本规划）
 - 不包含 IP 白名单、登录时段等安全策略配置（安全策略模块另行规划）
 - 不包含移动端 App 独立权限配置（移动端权限为 Web 权限的子集，v2 规划）
 - 不包含外部合作伙伴（联合门店）账号的跨租户权限体系
 ---
 ## 4. 用户故事与验收标准
 > **说明**：以下用户故事按核心业务流程顺序排列，覆盖权限管理模块的两个子模块：「权限管理（人员维度）」和「角色管理（角色维度）」。
 ---
 ### Story 1：管理员查看人员权限列表
 **As** 系统管理员，**I want** 在人员列表中查看全公司所有员工的当前角色与权限状态，**So that** 能快速定位权限异常人员并执行调整。
 **验收标准**：
 - [ ] 页面入口路径：顶部导航「人事」→「组织人事」→「权限管理」，面包屑显示「人事OA / 组织人事 / 权限管理」
 - [ ] 页面包含两个 Tab：「权限管理」（默认选中）和「角色管理」，Tab 切换无需全页刷新
 - [ ] 页面右上角提供「角色权限帮助」入口链接
 - [ ] 列表顶部提供两个快速筛选按钮：「全部员工」和「新房交易列表」
 - [ ] 支持多条件筛选：姓名/员工号（文本输入）、员工部门（下拉选择）、角色（下拉选择）、职务名称（下拉选择）
 - [ ] 提供「权限与角色权限不一致」快捷筛选按钮（高亮橙色），点击直接筛选出个人权限已被单独修改、与所属角色权限不一致的人员
 - [ ] 点击「查询」执行筛选，点击「清空条件」重置所有筛选项
 - [ ] 支持批量操作：勾选员工复选框后，点击「批量设置角色」按钮执行批量角色变更
 - [ ] 列表支持「导出」功能，导出当前筛选结果
 - [ ] 员工列表展示列：复选框、员工姓名、工号、部门、职务、角色、管理范围（带「详情」链接）、操作列
 - [ ] 操作列包含：「修改权限」「复制角色」「扩充范围」「范围」共 4 个操作项
 - [ ] 管理范围列显示该员工当前数据可见范围（如「上海豪园店二组」），点击「详情」展开管理范围明细
 - [ ] 列表支持分页：每页显示条数可切换（20 条/页为默认），支持跳转至指定页
 ---
 ### Story 2：管理员为员工批量设置角色
 **As** 系统管理员，**I want** 同时为多名员工批量设置同一角色，**So that** 在员工入职或组织架构调整时能高效完成权限初始化，无需逐一操作。
 **验收标准**：
 - [ ] 在人员列表中勾选至少一名员工后，「批量设置角色」按钮从禁用变为可点击
 - [ ] 点击「批量设置角色」弹出 Modal 对话框，标题为「批量设置角色」
 - [ ] Modal 内包含必填字段「角色」，为下拉选择器，展示系统中所有可用角色
 - [ ] 确认后系统将所选角色应用至所有勾选员工，操作成功后给出 Toast 成功提示
 - [ ] 若批量操作影响了已有个人自定义权限的员工，系统应给出提醒：「该操作将覆盖所选员工的个人自定义权限，请确认」
 - [ ] 支持取消操作，取消后返回人员列表，已勾选状态保持
 ---
 ### Story 3：管理员修改个人权限
 **As** 系统管理员，**I want** 为特定员工在角色权限基础上进行个性化权限调整，**So that** 满足因岗位特殊性而需要区别于通用角色权限配置的场景。
 **验收标准**：
 - [ ] 点击人员列表中某员工操作列的「修改权限」后，进入该员工的权限编辑页
 - [ ] 页面顶部展示员工信息：员工姓名 - 所属部门，及当前角色（带下拉箭头，支持直接在此页切换角色）
 - [ ] 页面提供权限名称搜索框，支持关键词快速定位权限项
 - [ ] 左侧为模块导航树，包含以下一级模块（均可折叠/展开）：
  - 首页
  - 房源（含子菜单：二手 & 租赁、小区、商圈精耕、举证 & 检核、挂牌分析、房源广场等）
  - 新房
  - 客源
  - 交易
  - 数据
  - 营销
  - 人事OA
  - 合同
  - 三网
  - 系统
  - 移动端
  - 智能门店
  - 在线充值
 - [ ] 点击左侧模块导航，右侧内容区切换至对应模块的权限配置
 - [ ] 右侧内容区按功能分组展示权限项，每组包含：分组标题（带开关）、权限项列表
 - [ ] 每个权限项展示：权限名称、说明（权限作用描述）、当前权限值（下拉选项 / 开关 / 数值输入）、「编辑」操作
 - [ ] 权限值类型包含：
  - **开关型**（Toggle）：开启 / 关闭
  - **范围型**（Select）：本人 / 本组 / 本门店 / 本区域 / 全公司 等选项（不同权限项的选项范围不同）
  - **数值型**（Number）：如每日最多查看联系人数量（0 = 不限制）
 - [ ] 模块级总开关（分组标题处的 Toggle）关闭后，该模块下所有权限项均置灰，对应菜单入口隐藏
 - [ ] 「编辑」操作点击后弹出侧边抽屉（Drawer），展示该权限项的详细说明及当前角色应用人数和应用人员名单
 - [ ] 修改权限后，若该员工权限与其角色默认权限存在差异，系统在人员列表中标记「权限与角色权限不一致」
 - [ ] 页面提供「保存」按钮，保存成功后给出成功提示
 ---
 ### Story 4：管理员查看并编辑特定权限项（侧边抽屉）
 **As** 系统管理员，**I want** 在编辑单个权限项时，同时看到该权限当前应用该角色的所有人员名单，**So that** 能了解本次修改的影响范围，再决定是否确认变更。
 **验收标准**：
 - [ ] 点击权限项的「编辑」按钮后，页面右侧滑出 Drawer（不覆盖左侧导航）
 - [ ] Drawer 顶部展示：角色名称 + 应用人数（如「角色：高级业务员 | 应用人数: 12」），并提供「查看详情」链接
 - [ ] Drawer 内展示该角色下所有应用人员的姓名和所属部门（格式：姓名-部门名）
 - [ ] Drawer 中列出本权限项的配置表格：权限名称、说明、当前值（下拉选择），支持在 Drawer 内直接修改
 - [ ] Drawer 底部提供「保存」和「取消」按钮
 - [ ] 若权限修改后影响角色所有应用人员，系统提示「权限修改后将影响该角色所有应用人员」
 - [ ] 保存后 Drawer 关闭，右侧内容区对应权限项显示更新后的值
 ---
 ### Story 5：管理员查看角色列表
 **As** 系统管理员，**I want** 在角色管理页查看所有已创建的角色及其基本信息，**So that** 快速了解当前系统的角色体系，并按需编辑或删除。
 **验收标准**：
 - [ ] 点击顶部「角色管理」Tab 切换至角色列表页
 - [ ] 支持多条件筛选：角色名称（文本输入）、角色类别（下拉，全选）、修改时间（日期范围，开始时间 + 结束时间）
 - [ ] 点击「查询」执行筛选，点击「清空条件」重置
 - [ ] 操作区提供：「+ 新增角色」按钮（主按钮，橙色）、「批量删除角色」按钮
 - [ ] 显示总记录条数（如「① 共 5 条」）
 - [ ] 角色列表展示列：复选框、角色名称（可排序）、角色类别、应用人数（含「查看」链接）、引用该角色配置、创建时间、修改时间、操作列
 - [ ] 操作列包含：「编辑」「删除」「修改日志」
 - [ ] 点击「应用人数」旁的「查看」链接，弹出该角色应用人员名单
 - [ ] 「引用该角色配置」列显示该角色的权限模板是从哪个已有角色复制/引用的（如「初始劝房」）
 - [ ] 支持分页，默认 20 条/页
 ---
 ### Story 6：管理员新增角色
 **As** 系统管理员，**I want** 新建一个角色并配置其权限，**So that** 为新增岗位或特殊职能定义标准权限模板，便于批量分配给对应员工。
 **验收标准**：
 - [ ] 点击「+ 新增角色」按钮弹出 Modal，标题为「添加角色」
 - [ ] Modal 内包含两个必填字段：
  - **角色名称**（文本输入，必填）
  - **角色类别**（下拉选择，必填）：包含「置业顾问」「店管」「总经」等类别选项
 - [ ] Modal 底部提示：「角色类别影响权限，创建后仅本人创建类别可修改」
 - [ ] Modal 操作按钮：「下一步：设置权限」（橙色主按钮）、「取消」
 - [ ] 点击「下一步：设置权限」后，跳转至权限配置详情页，进入角色权限编辑状态
 - [ ] 角色名称未填写或角色类别未选择时，点击「下一步」显示字段级错误提示，阻止提交
 - [ ] 创建成功后，新角色出现在角色列表中，创建时间为当前时间
 ---
 ### Story 7：管理员配置角色权限
 **As** 系统管理员，**I want** 在角色权限编辑页为角色精细配置各模块的权限开关和数据范围，**So that** 该角色下所有人员自动继承统一的权限配置，减少重复操作。
 **验收标准**：
 - [ ] 角色权限编辑页顶部展示：角色名称、角色类别、「编辑」按钮（支持在线修改角色基本信息）
 - [ ] 顶部操作区包含：「导入角色模板」（从已有角色复制权限配置）、「清空」、「保存」按钮
 - [ ] 左侧模块导航结构与人员权限编辑页一致（首页、房源、客源、交易、数据、营销、人事OA、合同、三网、系统、移动端、智能门店、在线充值）
 - [ ] 每个模块有「本模块开启」总开关（Toggle），关闭后该模块下所有权限项置灰，菜单入口隐藏
 - [ ] 权限项按业务分组展示，分组有独立的开关和说明文字
 - [ ] 各权限项支持的值类型与人员权限编辑页保持一致（开关型 / 范围型 / 数值型）
 - [ ] 支持「导入角色模板」：选择一个已有角色，将其权限配置复制到当前角色（覆盖当前配置，需二次确认）
 - [ ] 点击「清空」重置所有权限为默认最小值（需二次确认）
 - [ ] 点击「保存」保存权限配置，成功后 Toast 提示；应用该角色的所有员工权限实时生效
 ---
 ### Story 8：管理员修改角色（切换员工角色）
 **As** 系统管理员，**I want** 在员工权限编辑页直接切换员工所属角色，**So that** 快速完成角色变更而不需要退出到人员列表再操作。
 **验收标准**：
 - [ ] 在员工权限编辑页顶部，角色名称旁有下拉箭头，点击展开角色选择器
 - [ ] 角色选择器展示当前系统中所有可用角色（多选，支持同时分配多个角色）
 - [ ] 已选择的角色显示为 Tag 形式，可通过 × 取消
 - [ ] 修改角色后，右侧权限配置区自动刷新至新角色权限设置
 - [ ] 若新角色权限与员工当前个人自定义权限存在差异，系统提示是否保留个人自定义权限或以角色权限覆盖
 - [ ] 操作通过「修改角色」弹窗完成，弹窗关闭后权限编辑页显示新角色配置
 ---
 ## 5. 功能说明
 ### 5.1 子模块结构
 权限管理模块分为两个子模块，均位于「人事OA / 组织人事 / 权限管理」路径下：
 | 子模块 | 功能定位 |
 |--------|----------|
 | 权限管理（人员视角） | 以员工为维度，查看、分配、个性化调整每个员工的权限 |
 | 角色管理（角色视角） | 以角色为维度，创建和配置权限模板，供批量分配使用 |
 ---
 ### 5.2 权限模型设计
 Fonrey 采用 **RBAC（基于角色的访问控制）+ 个人权限叠加** 的混合权限模型：
 ```
 员工实际权限 = 角色基础权限 + 个人定制权限覆盖
 ```
 - **角色权限**：角色是权限的"模板"，相同角色的员工拥有一致的默认权限
 - **个人权限**：管理员可在角色基础上为特定员工增加或收窄特定权限项，形成个人定制权限
 - **个人权限优先**：当个人权限与角色权限存在差异时，个人权限值生效
 - **不一致标记**：系统在人员列表中标记「权限与角色权限不一致」的员工，方便管理员识别并决定是否同步
 ---
 ### 5.3 权限管理 - 人员列表
 #### 5.3.1 列表结构
 | 字段 | 说明 |
 |------|------|
 | 员工姓名 | 显示姓名，可作为搜索关键词 |
 | 工号 | 员工系统工号 |
 | 部门 | 当前所属部门 |
 | 职务 | 当前职务 |
 | 角色 | 当前分配的角色名称 |
 | 管理范围 | 该员工数据可见范围（如「上海豪园店二组」），点击「详情」查看明细 |
 | 操作 | 修改权限 / 复制角色 / 扩充范围 / 范围 |
 #### 5.3.2 筛选条件
 | 筛选项 | 类型 | 说明 |
 |--------|------|------|
 | 搜索 | 文本输入 | 支持姓名、员工号模糊搜索 |
 | 员工部门 | 下拉 | 选择部门过滤 |
 | 角色 | 下拉 | 按角色名过滤 |
 | 职务名称 | 下拉 | 按职务过滤 |
 | 权限与角色权限不一致 | 快捷筛选按钮 | 一键筛选个人权限已被单独定制的员工 |
 #### 5.3.3 行级操作说明
 | 操作 | 说明 |
 |------|------|
 | 修改权限 | 进入该员工的个人权限编辑页，在角色权限基础上进行个性化调整 |
 | 复制角色 | 将当前员工的角色（包含个人定制权限）复制给其他员工 |
 | 扩充范围 | 调整该员工的数据可见范围（如从「本组」扩展到「本门店」） |
 | 范围 | 查看当前员工的管理范围详情 |
 ---
 ### 5.4 权限管理 - 个人权限编辑页
 #### 5.4.1 模块导航（左侧树形菜单）
 | 模块 | 子菜单（示例） |
 |------|---------------|
 | 首页 | 首页 |
 | 房源 | 二手 & 租赁 / 小区 / 商圈精耕 / 举证 & 检核 / 挂牌分析 / 房源广场 |
 | 新房 | 新房楼盘管理 / 新房（置业顾问视角）|
 | 客源 | 客源 |
 | 交易 | 交易管理 / 二手房售后管理 / 新房售后管理 |
 | 数据 | 报表管理 / 资料客统计 / 行程量化 / 房客权益查询 |
 | 营销 | 短视频 / 巧克力（营销工具）|
 | 人事OA | 组织 / 审批 / 考勤 / 任务 / 内容 |
 | 合同 | 合同管理 |
 | 三网 | 三网经纪人后台 / 三网授权管理 |
 | 系统 | 系统工具 / 业务工具 / 安装与登录授权 |
 | 移动端 | 移动端 |
 | 智能门店 | 智慧大屏 / VR 换装 |
 | 在线充值 | 电话充值 / 增值服务 |
 #### 5.4.2 权限值类型
 | 类型 | 控件形式 | 示例权限项 |
 |------|----------|-----------|
 | 开关型 | Toggle（开 / 关） | 今日新上房源是否显示、管理点赞信息和屏蔽点赞 |
 | 范围型 | 下拉选择 | 查看私客列表（本人 / 本组 / 本门店 / 全公司）|
 | 数值型 | 数字输入框 | 每日最多查看联系人数量（0 = 不限制）|
 #### 5.4.3 客源模块权限分组（参考截图详细梳理）
 客源模块的权限按以下分组组织：
 **私客基础权限**
 | 权限项 | 值类型 | 说明 |
 |--------|--------|------|
 | 个人私客数量上限 | 数值型 | 999+ = 不限制，0 = 不允许 |
 | 查看私客房源进出页（非保护客） | 范围型 | 控制查看客源保护的私客房源进出页 |
 | 查看私客房源进出页（保护客） | 范围型 | 控制已保护客的私客房源进出页 |
 | 私客转公客 | 范围型 | — |
 | 查看私客（保护客） | 范围型 | 查看己经纪人名下的保护客 |
 | 查看私客（合保客） | 范围型 | — |
 | 编辑私客（保护客） | 范围型 | 编辑本人工员工名下保护的私客信息 |
 | 设置取消私客保护范围 | 范围型 | 设置取消相关员工的私客的保护范围 |
 | 私客（非保护）承接客 | 范围型 | 私客（非保护客）承接客的范围 |
 | 私客（保护客）承接客 | 范围型 | 私客（保护客）承接客的范围 |
 **公客基础权限**
 | 权限项 | 值类型 | 说明 |
 |--------|--------|------|
 | 公客查看范围 | 范围型 | 控制公客查看范围 |
 | 查看公客详情 | 开关型 | — |
 | 查看公私特殊客 | 开关型 | 跟公客查看范围和相同，启用后，还可对对查看范围内的公客特殊客，若关闭，无法在公客查看私客 |
 | 改公客状态 | 开关型 | — |
 | 编辑公客 | 开关型 | — |
 | 公客开客资格 | 范围型 | 公客开客资格的范围 |
 | 公客详情跟进记录查看范围 | 范围型 | 以跟客人为准，控制跟进记录可看到的跟客历史记录 |
 **成交客基础权限**
 | 权限项 | 值类型 | 说明 |
 |--------|--------|------|
 | 查看成交（私客类型） | 范围型 | 控制员工查看的成交情况范围 |
 | 查看成交（公客类型） | 范围型 | 控制员工查看公客号码的成交来源范围；查看成交权限为本组时，支持查看本组及以上共享层级的成交 |
 | 查看成交跟进 | 范围型 | — |
 | 成交客查看范围切换 | 开关型 | 跟成交客查看范围和相同，启用后，还可对对查看范围内的成交客实两次切换，若关闭，无法在成交客查看范围以外切换 |
 | 查看成交编辑来源人员限来的成交来源字段 | 范围型 | 控制查看成交编辑来源人员填写的成交来源字段 |
 | 查看成交客备注 | 范围型 | — |
 | 形成成交客列列表 | 开关型 | 成交客列号列表 |
 **联系人基础权限**
 | 权限项 | 值类型 | 说明 |
 |--------|--------|------|
 | 私客（非保护客）成交查看号码 | 范围型 | 控制查看客源保护的私客、私客的号码范围 |
 | 成交客查看号码 | 范围型 | 控制查看成交客的私客的号码范围；支持查看本组及以上共享层级的成交号码 |
 | 私客（保护客）号码 | 范围型 | 控制查看保护客的号码范围 |
 | 营销短信/成交联系人【联系人名称】最多个数 | 数值型 | — |
 | 查看【公客人号码】最多个数 | 数值型 | 控制公客查看号码的范围，999+ = 不限制 |
 | 拨打私客（非保护客）电话 | 范围型 | 控制拨打非保护私客的号码范围 |
 | 拨打私客（保护客）电话 | 范围型 | 控制拨打保护私客的号码范围 |
 | 成交客打电话 | 范围型 | 控制拨打成交客的号码范围 |
 | 公客拨打电话 | 开关型 | 控制拨打公客的号码范围 |
 | 编辑私客（非保护客）& 成交联系人 | 范围型 | 控制修改保护客、私客的号码信息，有权时对对刷新联系人 |
 | 编辑私客（保护客）联系人 | 范围型 | 控制修改保护客联系人号码信息，有权时对对刷新联系人 |
 | 编辑私客（非保护客）& 成交联系人号码 | 范围型 | 控制修改保护客、私客的号码信息 |
 | 编辑私客（保护客）联系人号码 | 范围型 | — |
 | 公客联系人号码 | 范围型 | 控制公客联系人号码范围 |
 **管理权限**
 | 权限项 | 值类型 | 说明 |
 |--------|--------|------|
 | 前跑源（查看已跑跑前源） | 开关型 | — |
 | 不公客查看号码可划打次数限制 | 开关型 | — |
 | 手动原客户为公客 | 开关型 | — |
 | 某个范围修改关联员工 | 范围型 | 可修改么么范围内的关联员工，包括添加合作人 |
 | 批量修改私客 / 公客来源 | 开关型 | — |
 | 查看客户客人操作日志 | 开关型 | 启用后，可查看某人评语中手号码模板、客户客人不可过... |
 | 不受到拨号手号码打划打次数限制 | 开关型 | — |
 | 跑跑跑 | 开关型 | — |
 | 查看客户号码，超频强制刷回跑跑跑 | 开关型 | 乙乙，可以查看更改不超限制号码，普通产业学刷回 |
 | 查看备案客 | 开关型 | 查看客户学记录 |
 | 接管跑跑新客 | 开关型 | 查看化学优化修改客跑跑新接管员工 |
 | 拆解员工划协办 | 范围型 | 控制拆解员工人员划协办 |
 | 置换跑跑工跑跑户 | 范围型 | 控制置换跑跑客跑跑户范围 |
 | 允许合并自己的私跑跑 | 开关型 | 开启后，允许合并入跑客人登录人员合并入本人的私跑跑 |
 **空客**
 | 权限项 | 值类型 | 说明 |
 |--------|--------|------|
 | 空跑跑单中哪些单元号房号查看 | 下拉选择 | 以置业顾问人为准 |
 | 空跑跑跑单查看范围 | 范围型 | 以置业顾问人为准 |
 | 空跑跑单中件查看范围 | 范围型 | 以上述人为准 |
 **带看/随行权限**
 | 权限项 | 值类型 | 说明 |
 |--------|--------|------|
 | 带跑跑新增 | 开关型 | — |
 | 带跑跑单中哪些单元号查看 | 范围型 | 以某某人为准 |
 | 带跑跑编辑、作废 | 范围型 | — |
 | 私客/成交跑跑记录查看范围 | 范围型 | 以某某人为准 |
 | 查看单中中体查看 | 范围型 | 以上述人为准 |
 | 公客详情跑跑用应用单查看 | 范围型 | 以上述人为准，此时以跑跑员及跑跑项实项目生效 |
 #### 5.4.4 楼盘（小区）模块权限分组
 **楼盘管理**
 | 权限项 | 值类型 | 说明 |
 |--------|--------|------|
 | 楼盘管理查看 | 开关型 | 关闭后，则不显示楼盘管理系统模块 |
 | 楼盘结构查看 | 开关型 | 开启后，可以查看楼栋-单元-房号数据 |
 | 新增/批量新增楼盘 | 开关型 | 允许新增楼盘 |
 | 新增/批量新增楼栋、单元、房号 | 开关型 | 新增楼栋、单元、房号数据 |
 | 编辑楼盘 | 开关型 | 编辑楼盘 |
 | 编辑楼栋/单元/房号信息 | 开关型 | 编辑楼栋、单元、房号信息 |
 | 关联标准库/取关 | 开关型 | 若启用，则可关联至标准楼盘、标准楼栋、单元、房号 |
 | 删除楼盘 | 开关型 | 删除楼盘 |
 | 删除楼盘数据（一并删除房源） | 开关型 | 若启用，则可无视是否存在房源，对不同层级及以下的数据全部删除 |
 | 删除楼栋、单元、房号 | 开关型 | 删除楼栋、单元、房号 |
 | 合并楼盘 | 开关型 | 若启用，则可合并不同层级楼盘数据（楼栋、单元、房号）|
 | 移动楼栋/单元/房号数据 | 开关型 | 若启用，则可将A楼盘楼栋单元及以下数据移动至B楼盘；转移房号不能跨小区进行转移 |
 | 锁定/解锁楼盘 | 开关型 | 操作锁定解锁楼盘 |
 | 候审房源地址数据查看范围 | 范围型 | 设置员工是否查看部门内其他员工的候审房源地址数据 |
 | 楼盘挂牌成交数据 | 开关型 | 开启后，显示楼盘挂牌及成交数据信息 |
 | 司内成交明细及套数 | 开关型 | 开启后，显示公司成交的房源明细信息及成交套数 |
 | 区域管理 | 开关型 | 若启用，则可对区域商圈进行新增、合并、关联操作 |
 | 查看销控盘 | 开关型 | 开启后，可在楼盘管理系统-楼盘里，查看销控盘；注意：员工查看销控盘时房源地址是直接可见的，建议只给管理层开启！！！|
 | 查看销控盘时，只可查看本部门作业范围内的楼盘 | 开关型 | 开启后，只可查看本部门作业范围内的楼盘的销控盘；关闭，则跟作业范围无关，「查看销控盘」权限开启即可查看所有楼盘的销控盘；系统管理员不受限制 |
 **楼盘资料管理**
 | 权限项 | 值类型 | 说明 |
 |--------|--------|------|
 | 楼盘照片 | 开关型 | 开启后，显示楼盘照片列表 |
 | 管理照片 | 开关型 | 楼盘管理系统-楼盘照片，包含上传照片、设为封面 |
 | 删除照片 | 开关型 | 允许删除照片 |
 | 下载照片 | 开关型 | 允许下载照片 |
 | 楼盘附件 | 开关型 | 开启后，显示楼盘附件模块 |
 | 管理附件 | 开关型 | 允许上传楼盘附件 |
 | 下载附件 | 开关型 | 允许下载楼盘附件 |
 | 删除附件 | 开关型 | 允许删除楼盘附件 |
 | 周边配套 | 开关型 | 开启后，显示周边配套模块 |
 | 学校管理列表 | 开关型 | 开启后，显示楼盘管理系统中的学校管理列表 |
 | 学校管理 | 开关型 | 包含新增、编辑、删除 |
 **楼盘处理**
 | 权限项 | 值类型 | 说明 |
 |--------|--------|------|
 | 楼盘反馈列表 | 范围型 | 可查看小区反馈列表的数据范围 |
 | 楼盘反馈处理 | 开关型 | 包含处理、不予处理操作 |
 ---
 ### 5.5 角色管理
 #### 5.5.1 角色列表
 | 字段 | 说明 |
 |------|------|
 | 角色名称 | 角色唯一名称，支持排序 |
 | 角色类别 | 如置业顾问、店管、总经等类别，影响权限可选范围 |
 | 应用人数 | 当前使用该角色的员工数量，点击「查看」查看名单 |
 | 引用该角色配置 | 该角色权限是基于哪个角色模板创建的 |
 | 创建时间 | 角色创建时间 |
 | 修改时间 | 最后一次权限修改时间 |
 #### 5.5.2 已知系统内置角色（来自截图）
 | 角色名称 | 角色类别 | 适用场景 |
 |----------|----------|----------|
 | 刘文龙 | 置业顾问 | 高级业务员 |
 | 最大权限角色 | 总经 | 系统管理员/超管角色 |
 | 行政人员 | 置业顾问 | 行政人员 |
 | 分行经理 | 店管 | 分行级别管理职务 |
 | 高级业务员 | 置业顾问 | 标准销售顾问 |
 #### 5.5.3 角色类别说明
 角色类别在创建时必选，且创建后**不可随意修改**（仅允许创建者修改），原因是角色类别会直接影响权限的可配置范围（不同类别允许的权限上限不同）。
 ---
 ### 5.6 数据范围（管理范围）说明
 权限管理中「数据范围」是权限系统的核心维度，控制员工可以看到哪个层级的业务数据：
 | 数据范围值 | 说明 |
 |-----------|------|
 | 本人 | 仅查看/操作自己名下的数据 |
 | 本组 | 查看/操作所在店组的数据 |
 | 本门店 | 查看/操作所在门店的所有数据 |
 | 本区域 | 查看/操作所在区域范围内的数据 |
 | 全公司 | 查看/操作公司所有数据（管理层权限）|
 | 无 | 无权查看/操作 |
 > 注：不同权限项的可选范围不同，如某权限项只有「本人 / 本门店 / 全公司」三个选项，另一权限项可能有完整的五档选项。具体可选范围以权限编辑页的下拉选项为准。
 ---
 ## 6. 技术考量
 ### 依赖关系
 | 依赖系统 / 模块 | 用途 | 风险等级 |
 |----------------|------|----------|
 | 组织人事管理（org 模块） | 员工 / 部门数据读取，权限与员工身份绑定 | 高 |
 | django-tenants | 权限数据必须严格按租户 Schema 隔离，严禁跨租户查询 | 高 |
 | Redis 缓存 | 员工权限频繁读取，建议缓存员工权限快照，更新时主动失效 | 中 |
 ### 已知风险
 | 风险 | 可能性 | 影响 | 缓解策略 |
 |------|--------|------|----------|
 | 权限变更实时生效的一致性问题 | 中 | 高 | 角色/个人权限变更后主动清除 Redis 中该员工权限缓存，强制下次请求重新加载 |
 | 权限项数量巨大（14+ 模块，数百个权限项）导致编辑页性能问题 | 中 | 中 | 左侧导航按模块懒加载权限数据，避免一次性加载全部权限项 |
 | 多角色冲突规则不清晰 | 低 | 高 | 明确规则：同一员工多角色时取权限并集（最宽松原则），在 PRD 评审时确认 |
 | 角色删除影响已分配员工 | 低 | 高 | 删除角色前校验是否有员工仍使用该角色，有则阻止删除并提示转移员工角色 |
 ### 待确认开放问题
 - [ ] **多角色权限合并规则**：当员工被分配了多个角色时，权限取并集（最宽松）还是交集（最严格）？当前截图显示支持多角色，需明确合并策略 — Owner: 产品负责人 — Deadline: 开发启动前
 - [ ] **个人权限与角色权限冲突优先级**：个人定制权限是否始终覆盖角色权限，还是支持「继承角色 + 仅扩展」模式？— Owner: 产品负责人 — Deadline: 开发启动前
 - [ ] **权限操作日志**：是否需要记录管理员对权限的变更记录（谁、何时、将哪个权限从什么改成什么）？截图中「修改日志」入口存在，需确认日志颗粒度 — Owner: 产品负责人 — Deadline: 开发启动前
 - [ ] **角色类别的完整枚举值**：当前已知「置业顾问 / 店管 / 总经」，需确认完整的角色类别列表及各类别允许的权限上限 — Owner: 产品负责人 — Deadline: 开发启动前
 ---
 ## 7. 上线计划
 | 阶段 | 时间 | 受众 | 通过标准 |
 |------|------|------|---------|
 | 内部 Alpha | TBD | 研发 + 产品团队 | 角色 CRUD 流程通畅，权限编辑保存无误 |
 | 封闭 Beta | TBD | 1-2 家试点门店系统管理员 | 批量设置角色 / 个人权限修改功能可用，无 P0 Bug |
 | 正式上线 | TBD | 全部租户系统管理员 | 权限变更实时生效，错误率 < 0.5%，系统管理员 CSAT ≥ 4/5 |
 **回滚标准**：若权限写入后错误率 > 2%，或出现跨租户数据泄漏问题，立即回滚并通知所有租户管理员。
 ---
 ## 8. 附录
 ### 8.1 截图参考索引
 | 截图文件 | 完整路径 | 对应功能 |
 |---------|---------|---------|
 | `权限管理-人员列表.png` | `Project/fonrey/screenshots/权限管理/权限管理-人员列表.png` | 5.3 权限管理人员列表 |
 | `权限管理-修改个人权限-客源.png` | `Project/fonrey/screenshots/权限管理/权限管理-修改个人权限-客源.png` | 5.4 个人权限编辑 - 客源模块 |
 | `权限管理-人员编辑特定权限.png` | `Project/fonrey/screenshots/权限管理/权限管理-人员编辑特定权限.png` | Story 4 - 侧边 Drawer 编辑单个权限项 |
 | `权限管理-批量设置角色.png` | `Project/fonrey/screenshots/权限管理/权限管理-批量设置角色.png` | Story 2 - 批量设置角色 Modal |
 | `角色管理-角色列表.png` | `Project/fonrey/screenshots/权限管理/角色管理-角色列表.png` | 5.5.1 角色列表 |
 | `角色管理-添加角色1.png` | `Project/fonrey/screenshots/权限管理/原始图片/角色管理-添加角色1.png` | Story 6 - 新增角色 Modal |
 | `角色管理-修改角色.png` | `Project/fonrey/screenshots/权限管理/原始图片/角色管理-修改角色.png` | Story 8 - 修改角色（切换员工角色）|
 | `权限-房源-小区.png` | `Project/fonrey/screenshots/权限管理/权限-房源-小区.png` | 5.4.4 楼盘（小区）模块权限分组 |
 | `权限-客源-客源.png` | `Project/fonrey/screenshots/权限管理/权限-客源-客源.png` | 5.4.3 客源模块权限分组（角色编辑视角）|
 | `权限-房源-挂牌分析.png` | `Project/fonrey/screenshots/权限管理/权限-房源-挂牌分析.png` | 5.4 房源 - 挂牌分析模块权限 |
 | `权限-房源-商圈精耕.png` | `Project/fonrey/screenshots/权限管理/权限-房源-商圈精耕.png` | 5.4 房源 - 商圈精耕模块权限 |
 | `权限-房源-举证检核.png` | `Project/fonrey/screenshots/权限管理/权限-房源-举证检核.png` | 5.4 房源 - 举证检核模块权限 |
 | `权限-客源-客源-table.png` | `Project/fonrey/screenshots/权限管理/权限-客源-客源-table.png` | 5.4.3 客源权限表格视图 |
 | `权限-合同-合同管理.png` | `Project/fonrey/screenshots/权限管理/权限-合同-合同管理.png` | 5.4 合同管理模块权限 |
 | `权限-人事QA-考勤.png` | `Project/fonrey/screenshots/权限管理/权限-人事QA-考勤.png` | 5.4 人事OA - 考勤权限 |
 | `权限-人事QA-组织.png` | `Project/fonrey/screenshots/权限管理/权限-人事QA-组织.png` | 5.4 人事OA - 组织权限 |
 | `权限-人事QA-审批.png` | `Project/fonrey/screenshots/权限管理/权限-人事QA-审批.png` | 5.4 人事OA - 审批权限 |
 | `权限-人事QA-任务.png` | `Project/fonrey/screenshots/权限管理/权限-人事QA-任务.png` | 5.4 人事OA - 任务权限 |
 | `权限-人事QA-内容.png` | `Project/fonrey/screenshots/权限管理/权限-人事QA-内容.png` | 5.4 人事OA - 内容权限 |
 | `权限-交易-交易管理.jpg` | `Project/fonrey/screenshots/权限管理/权限-交易-交易管理.jpg` | 5.4 交易 - 交易管理权限 |
 | `权限-交易-二手房售后管理.png` | `Project/fonrey/screenshots/权限管理/权限-交易-二手房售后管理.png` | 5.4 交易 - 二手房售后管理权限 |
 | `权限-交易-新房售后管理.png` | `Project/fonrey/screenshots/权限管理/权限-交易-新房售后管理.png` | 5.4 交易 - 新房售后管理权限 |
 | `权限-三网-三网经纪人后台.png` | `Project/fonrey/screenshots/权限管理/权限-三网-三网经纪人后台.png` | 5.4 三网 - 三网经纪人后台权限 |
 ### 8.2 权限模块完整导航结构
 基于截图梳理的权限配置模块树（以角色编辑页左侧导航为准）：
 ```
 权限配置
 ├── 首页
 ├── 房源
 │   ├── 二手 & 租赁
 │   ├── 小区（楼盘管理）
 │   ├── 商圈精耕
 │   ├── 举证 & 检核
 │   ├── 挂牌分析
 │   └── 房源广场
 ├── 新房
 ├── 客源
 ├── 交易
 │   ├── 交易管理
 │   ├── 二手房售后管理
 │   └── 新房售后管理
 ├── 数据
 │   ├── 报表管理
 │   ├── 资料客统计
 │   ├── 行程量化
 │   └── 房客权益查询
 ├── 营销
 │   ├── 短视频
 │   └── 巧克力
 ├── 人事OA
 │   ├── 组织
 │   ├── 审批
 │   ├── 考勤
 │   ├── 任务
 │   └── 内容
 ├── 合同
 │   └── 合同管理
 ├── 三网
 │   ├── 三网经纪人后台
 │   └── 三网授权管理
 ├── 系统
 │   ├── 系统工具
 │   ├── 业务工具
 │   └── 安装与登录授权
 ├── 移动端
 ├── 智能门店
 │   ├── 智慧大屏
 │   └── VR 换装
 └── 在线充值
    ├── 电话充值
    └── 增值服务
 ```
--- a/wiki/concepts/GitOps.md
+++ b/wiki/concepts/GitOps.md
@@ -2,7 +2,7 @@
 title: "GitOps"
 type: concept
 tags: [devops, gitops, infrastructure, git]
-sources: [devops-culture-and-transformation-fostering-collaboration-agile-practices-and-innovation-linkedin]
+sources: [devops-culture-and-transformation-fostering-collaboration-agile-practices-and-innovation-linkedin, ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments]
 last_updated: 2026-04-22
 ---
--- a/wiki/index.md
+++ b/wiki/index.md
@@ -4,6 +4,10 @@
 - [Overview](overview.md) — living synthesis
 ## Sources
 - [2026-04-24] [CTP Topic 9 CI CD with Gruntwork](sources/ctp-topic-9-ci-cd-with-gruntwork.md)
 - [2026-04-24] [CTP Topic 32 Using Atlantis CICD for Infrastructure Deployments](sources/ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments.md)
 - [2026-04-24] [CTP Topic 2 Git](sources/ctp-topic-2-git.md)
 - [2026-04-24] [CTP Topic 24 Micro Focus Product Privacy Framework](sources/ctp-topic-24-micro-focus-product-privacy-framework.md)
 - [2026-04-24] [CTP Topic 49 Container Lifecycle Hardening Standards](sources/ctp-topic-49-container-lifecycle-hardening-standards.md)
 - [2026-04-24] [CTP Topic 21 Supply Chain Security in Micro Focus](sources/ctp-topic-21-supply-chain-security-in-micro-focus.md)
 - [2026-04-24] [CTP Topic 52 3 Lines of Defence (3LoD) framework Cloud Security Posture Management (CSPM)](sources/ctp-topic-52-3-lines-of-defence-3lod-framework-cloud-security-posture-management.md)
@@ -410,10 +414,6 @@
 - [2026-04-19] [public-cloud-learning-sessions-ollie-workflow-and-the-demand-process-20240416-16](sources/public-cloud-learning-sessions-ollie-workflow-and-the-demand-process-20240416-16.md) — (expected: wiki/sources/public-cloud-learning-sessions-ollie-workflow-and-the-demand-process-20240416-16.md — source missing)
 - [2026-04-19] [ctp-topic-33-an-introduction-to-gitops](sources/ctp-topic-33-an-introduction-to-gitops.md) — (expected: wiki/sources/ctp-topic-33-an-introduction-to-gitops.md — source missing)
 - [2026-04-19] [ctp-topic-3-deploy-and-maintain-infrastructure](sources/ctp-topic-3-deploy-and-maintain-infrastructure.md) — (expected: wiki/sources/ctp-topic-3-deploy-and-maintain-infrastructure.md — source missing)
 - [2026-04-19] [ctp-topic-9-ci-cd-with-gruntwork](sources/ctp-topic-9-ci-cd-with-gruntwork.md) — (expected: wiki/sources/ctp-topic-9-ci-cd-with-gruntwork.md — source missing)
 - [2026-04-19] [ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments](sources/ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments.md) — (expected: wiki/sources/ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments.md — source missing)
 - [2026-04-19] [ctp-topic-2-git](sources/ctp-topic-2-git.md) — (expected: wiki/sources/ctp-topic-2-git.md — source missing)
 - [2026-04-14] [CTP Topic 24 Micro Focus Product Privacy Framework](sources/ctp-topic-24-micro-focus-product-privacy-framework.md) — Micro Focus 产品隐私框架，在云转型背景下解决 GDPR/CCPA 等法律合规要求与技术实现之间的鸿沟
 - [Your-AI-Isn-t-Stupid---It-Just-Needs-a-Better-Harness--Lychee-Technology-Engineering-Blog](sources/Your-AI-Isn-t-Stupid---It-Just-Needs-a-Better-Harness--Lychee-Technology-Engineering-Blog.md) — (expected: wiki/sources/Your-AI-Isn-t-Stupid---It-Just-Needs-a-Better-Harness--Lychee-Technology-Engineering-Blog.md — source missing)
 - [Expose-hermes-agent-as-an-OpenAI-compatible-API-for-any-frontend](sources/Expose-hermes-agent-as-an-OpenAI-compatible-API-for-any-frontend.md) — (expected: wiki/sources/Expose-hermes-agent-as-an-OpenAI-compatible-API-for-any-frontend.md — source missing)
 - [zk-steward](sources/zk-steward.md) — (expected: wiki/sources/zk-steward.md — source missing)
--- a/wiki/log.md
+++ b/wiki/log.md
@@ -1,3 +1,40 @@
 ## [2026-04-24] ingest | CTP Topic 9 CI CD with Gruntwork
 - Source file: Cloud & DevOps/Public-Cloud-Learning-Sessions/06_CI_CD_GitOps/ctp-topic-9-ci-cd-with-gruntwork.md
 - Status: ✅ 成功摄入
 - Summary: CTP Topic 9 CI/CD 与 Gruntwork 在 AWS Landing Zone 中的实践视频；源文档状态为"待 Whisper 转录"，基于文件元数据生成初始页面
 - Concepts identified: [[CI/CD Pipeline]], [[Infrastructure as Code]], [[Gruntwork]], [[Terraform]], [[Terragrunt]]
 - Entities identified: [[Gruntwork]], [[AWS Landing Zone]], [[Cloud Transformation Programme]]
 - Source page: wiki/sources/ctp-topic-9-ci-cd-with-gruntwork.md
 - Notes: 源视频待转录，Key Claims/Key Quotes 为占位内容；已建立与 ctp-topic-1（Gruntwork LZ 架构）、ctp-topic-2（Git）、ctp-topic-33（GitOps 入门）、ctp-topic-32（Atlantis CI/CD）的连接关系；index.md 已更新；overview.md Cloud Transformation & DevOps 章节已更新；无需新建 Entity/Concept 页面
 - Conflicts: （暂无，待视频转录后补充）
 ## [2026-04-14] ingest | CTP Topic 32 Using Atlantis CICD for Infrastructure Deployments
 - Source file: Cloud & DevOps/Public-Cloud-Learning-Sessions/06_CI_CD_GitOps/ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments.md
 - Status: ✅ 成功摄入
 - Summary: Atlantis 替代 Jenkins 用于 Terraform IaC 部署的 CTP 学习视频，涵盖 Atlantis 架构（单 EC2 + GitHub Webhook）、PR 评论式协作模型、跨账户 IAM 角色访问、并行构建、模块锁定机制
 - Concepts identified: [[GitOps]], [[Infrastructure-as-Code]], [[CI/CD Pipeline]], [[Terraform]]
 - Source page: wiki/sources/ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments.md
 - Notes: Source page 已创建；index.md 已更新（Sources 节顶部）；overview.md Cloud Transformation & DevOps 章节已更新；GitOps.md sources 列表已更新；已识别与 ctp-topic-39（EKS 不支持 Atlantis）的矛盾点并记录于 Contradictions 节
 - Conflicts: [[ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone]]（Atlantis 不支持 EKS 部署 vs Atlantis 可替代 Jenkins 全面部署）
 ## [2026-04-14] ingest | CTP Topic 2 Git
 - Source file: Cloud & DevOps/Public-Cloud-Learning-Sessions/06_CI_CD_GitOps/ctp-topic-2-git.md
 - Status: ✅ 成功摄入
 - Summary: CTP Topic 2 Git 版本控制系统基础与实践视频讲座，作为 CI/CD/GitOps 系列开篇；源文档状态为"待 Whisper 转录"
 - Concepts identified: [[Git]], [[Version Control]], [[DevOps]]
 - Entities identified: [[Cloud Transformation Programme]]
 - Source page: wiki/sources/ctp-topic-2-git.md
 - Notes: 源视频待转录，Key Claims/Key Quotes 为占位内容；已建立与 ctp-topic-9（CI/CD with Gruntwork）和 ctp-topic-33（GitOps 入门）的连接关系；index.md 已更新，overview.md Cloud Transformation & DevOps 章节已更新
 ## [2026-04-14] ingest | CTP Topic 24 Micro Focus Product Privacy Framework
 - Source file: Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-24-micro-focus-product-privacy-framework.md
 - Status: ✅ 成功摄入
 - Summary: Micro Focus 产品隐私框架在云转型中的应用——PSAC 与法律顾问合作，将 GDPR/CCPA 等晦涩法律条款翻译为约 110 项低级别技术要求；隐私框架是 STLC（安全开发生命周期）中 13 个安全与隐私轨道之一；通过五类需求（架构类/文档类/法律类/实现类/SAS 运营类）和成熟度模型（0-4 级）评估产品隐私合规状态；通过"蜘蛛图"直观展示产品隐私 KPI 合规现状
 - Concepts identified: [[Product Privacy Framework（产品隐私框架）]], [[STLC（Security Development Life Cycle）]], [[PSAC（Product Security Advisory Committee）]], [[PII（Personally Identifiable Information）]], [[Maturity Model（成熟度模型）]], [[Spider Chart（蜘蛛图）]], [[Product Privacy Settings Document]], [[Data Controller vs. Data Processor]], [[Anonymization & Pseudonymization]]
 - Entities identified: [[Micro Focus]], [[Shlomi Ben-Hur]]
 - Source page: wiki/sources/ctp-topic-24-micro-focus-product-privacy-framework.md
 - Notes: 无冲突检测；CTP Topic 21 和 Topic 24 均由 Shlomi Ben-Hur 主讲，PSAC 作为产品安全顾问委员会在多个 topic 中出现，实体创建条件待后续评估；STLC 作为 SDLC 的安全扩展已有提及，本次独立建 Concept 页面；overview.md 已更新，新增条目和 Key Concepts/Entities
 ## [2026-04-24] ingest | CTP Topic 49 Container Lifecycle Hardening Standards
 - Source file: Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-49-container-lifecycle-hardening-standards.md
 - Status: ✅ 成功摄入
--- a/wiki/overview.md
+++ b/wiki/overview.md
@@ -39,13 +39,17 @@ Key concepts: [[Recursive Self-Optimization]], [[Generator Space]], [[Self-Refer
 **[[multi-source-tech-news-digest]]**：AI Agent 驱动的多源科技新闻自动聚合与投递系统——四层数据管道整合 46 个 RSS 源、44 个 Twitter/X KOL 账号、19 个 GitHub Releases 仓库和 4 个 Brave Search 主题，覆盖 109+ 信息源；通过标题相似度去重和多维度质量评分（priority source +3, multi-source +5, recency +2, engagement +1）生成精选简报；支持 Discord/Email/Telegram 三通道投递，30 秒内通过自然语言添加自定义来源。属 [[Daily-YouTube-Digest]] / [[Daily Reddit Digest]] 同款 Cron Job + AI 摘要模式的不同垂直场景（前者视频，后者 Reddit 社区，本方案文字新闻）。
 ### Cloud Transformation & DevOps
 Git 是云转型计划中 DevOps 与 CI/CD 流水线的基础技能。**[[ctp-topic-2-git]]**（CTP Topic 2）作为 CI/CD/GitOps 系列的开篇，涵盖 Git 版本控制系统基础概念与实践，与 [[ctp-topic-9-ci-cd-with-gruntwork]]（Gruntwork CI/CD）和 [[ctp-topic-33-an-introduction-to-gitops]]（GitOps 入门）构成完整的学习链路。**[[ctp-topic-9-ci-cd-with-gruntwork]]**（CTP Topic 9）聚焦 CI/CD 与 Gruntwork 在 AWS Landing Zone 中的实践，基于 Gruntwork 参考架构通过 Terraform/Terragrunt 实现基础设施自动化交付（⚠️ 视频待 Whisper 转录后补充详细内容）。
 Cloud Transformation Programme (CTP) materials cover AWS landing zones, EKS, Terraform, GitOps, FinOps, observability, security, and enterprise architecture. Key themes: 3 Lines of Defence framework, ITSM, container hardening, backup & DR strategies. DevOps culture focuses on four pillars: Collaboration, Automation (CI/CD, IaC), Continuous Improvement (Kaizen), and Customer-Centricity. Agile practices (Scrum, Kanban) are symbiotic with DevOps. Emerging trends: DevSecOps, GitOps, Serverless DevOps, AI/ML-driven automation, and Edge Computing DevOps.
 **[[ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments]]**（CTP Topic 32）：Atlantis 替代 Jenkins 用于 Terraform IaC 部署——针对当前 Jenkins 流水线初始化慢（多次代码克隆/顺序测试/ECS 预配置）和架构复杂（持续叠加功能导致脆弱）的双重痛点，Atlantis 提供 PR 评论式协作模型，开发者直接在 GitHub PR 上评论 `atlantis plan`/`apply` 即可触发变更，无需独立账号；每个 Landing Zone 共享账户部署单台 EC2 实例，通过 GitHub Enterprise Webhook 接收通知，服务账号负责评论/合并/关闭 PR；跨账户访问通过在各账户部署的 IAM 角色实现；并行构建支持多模块并发 plan/apply；锁定机制防止多 PR 同时操作同一模块产生冲突。Atlantis 在 merge 前即应用变更，确保代码与基础设施始终同步。属 [[GitOps]] 工具实践层，与 [[ctp-topic-33-an-introduction-to-gitops]]（GitOps 概念）和 [[ctp-topic-9-ci-cd-with-gruntwork]]（Gruntwork CI/CD）共同构成完整链路。注意：[[ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone]] 提到 Atlantis 当前不支持 EKS 部署，两者存在实践约束差异。
 **[[ctp-topic-21-supply-chain-security-in-micro-focus]]**（CTP Topic 21）：Micro Focus 产品安全小组 Shlomi Ben-Hur 主讲的软件供应链安全新方法——核心议题：在云转型背景下，软件供应链安全已成为企业安全战略的重中之重。供应链（产品层面）涵盖源码管理（SCM）、构建组件（CI）、制品库到最终交付系统（CD）的所有环节，Micro Focus 内部存在 17 种不同 SCM 工具的极高多样性。主要驱动因素：SolarWinds 攻击事件（通过渗透构建过程注入恶意代码）、美国网络安全行政命令、以及向 AWS/SaaS 迁移带来的开放性风险。核心转变：从过去 99% 关注研发安全（代码扫描/渗透测试）转向全生命周期安全防护；供应链安全成为 SDL（安全开发生命周期）的第五大支柱，强调必须同时确保 CI 过程（构建环境/自动化服务器）和 CD 过程（交付系统）的完整性，防止黑客在任何环节篡改二进制文件。属 [[Supply Chain Security（供应链安全）]] 在 [[Micro Focus]] 云转型场景的核心实践，与 [[DevSecOps]]（开发安全运维一体化）高度关联。
-**[[ctp-topic-49-container-lifecycle-hardening-standards]]**（CTP Topic 49）：Micro Focus 产品安全小组 Ashish 主讲的容器镜像构建阶段 11 条安全加固标准——涵盖使用 Micro Focus 基础镜像（non-root/non-privileged）、引入 Init 系统（[[tini]] 防止僵尸进程）、镜像不含敏感信息、只读根文件系统（readOnlyRootFilesystem: true）、[[emptyDir Volume]] 临时文件系统、镜像漏洞扫描、容器单应用原则、禁用 Kubernetes API 自动挂载（automountServiceAccountToken: false）、私有服务账号配合精确 RBAC、避免 hostNetwork 和 hostPort。辅以 Demo 演示 [[tini]] 阻止僵尸进程和只读文件系统阻止未授权文件创建的效果。属 [[DevSecOps]] 在容器层面的具体实践，与 [[ctp-topic-21-supply-chain-security-in-micro-focus]] 共同构成供应链安全体系（上游源码 → 中游镜像构建 → 下游运行时）。
+**[[ctp-topic-24-micro-focus-product-privacy-framework]]**（CTP Topic 24）：Micro Focus 产品隐私框架在云转型中的应用——PSAC（产品安全顾问委员会）与法律顾问合作，将 GDPR/CCPA 等晦涩法律条款翻译为约 110 项低级别技术要求；隐私框架是 STLC（安全开发生命周期）中 13 个安全与隐私轨道之一；通过五类需求（架构类/文档类/法律类/实现类/SAS 运营类）和成熟度模型（0-4 级）评估产品隐私合规状态；通过"蜘蛛图"直观展示产品在安全去标识化、被遗忘权、数据可移植性等 KPI 上的合规现状；最终产出标准化《产品隐私设置文档》，确保客户获得一致的隐私信息参考。属 [[Product Privacy Framework（产品隐私框架）]] 在 [[Micro Focus]] 云转型场景的核心实践，与 [[Micro Focus Security Development Life Cycle (STLC) Overview]]（STLC 整体架构）直接关联。
-**[[public-cloud-learning-sessions-eks-optimization-part-1-of-3-compute-optimization]]**（Public Cloud Learning Sessions，EKS 计算优化专题 Part 1）：Karpenter 深度解析与 Cluster Autoscaler 对比——Karpenter 直接与 EC2 Fleet API 通信降低延迟，原生集成 Kubernetes 调度约束（node selectors/affinity/taints/tolerations/topology spread），内置 Spot 中断处理（EventBridge + SQS）和 AMI 滚动升级，Eliminate 节点组管理痛点；Consolidation 策略自动整合低利用率节点，支持中断预算控制和峰值时段豁免。Part 3 将介绍 EKS Auto Mode 进一步简化数据平面管理（内置 Karpenter Controller）。属 [[Karpenter]] 在 AWS EKS 的核心实践，与 [[ctp-topic-70-eks-deployment-using-iac]]（EKS IaC 部署）共同构成 EKS 完整知识链路。
+**[[ctp-topic-49-container-lifecycle-hardening-standards]]**（CTP Topic 49）：
 **[[public-cloud-learning-sessions-eks-optimization-part-2-of-3-running-containers-w]]**（Public Cloud Learning Sessions，EKS 计算优化专题 Part 2）：Bottlerocket OS（火箭瓶）深度解析——AWS 专为容器工作负载优化的最小化开源 Linux 发行版，核心设计理念：最小化（去除包管理器/Shell/SSH，仅打包必要内核组件）、安全更新（分区镜像 A/B 切换确保原子性）、安全加固（dm-verity 根文件系统加密验证 + SE Linux enforcing 模式 + 根文件系统默认只读）。Variant 机制通过平台+架构+工作负载组件组合在构建时定制功能，支持 Bottlerocket for EKS AMI（自管理节点组）、托管节点组（Managed Node Groups）和 Carpenter 节点池三种集成方式。属 [[Bottlerocket]] 在 [[Amazon EKS]] 场景的核心实践，与 Part 1（Karpenter 计算优化）和 Part 3（EKS Auto Mode）共同构成 EKS 优化三专题完整链路；Part 3 的 EKS Auto Mode 默认使用 Bottlerocket 作为节点操作系统。
@@ -101,7 +105,7 @@ Cloud Transformation Programme (CTP) materials cover AWS landing zones, EKS, Ter
 **[[ctp-topic-61-workload-vpc-provision-with-ipam-automation]]**（CTP Topic 61）：Workload VPC 完整自动化供给方案——Pushka（Principal SRE）主讲，在 Topic 45 的 IPAM 自动分配机制基础上，展示了端到端 VPC 供给流程。核心增强：多 VPC 批量供给支持、邮件通知机制、CIDR /22 阈值自动审批（更大 CIDR 自动，更小需理由审批）、非路由 IP 地址（如 10.2.0.0/16）支持、使用 AZ ID 避免跨账号不一致。Infoblox Grid 作为全局唯一 IP 地址数据源防止重叠，架构包含休斯顿数据中心主库及冗余 DNS/NTP/DHCP 服务。核心理念：**"只需把信息放到正确位置，一切自动完成。"** 属 [[IPAM（IP Address Management）]] 的应用层扩展，与 [[ctp-topic-45-automatic-ip-address-allocation-with-ipam]] 共同构成 IPAM 的"机制 → 应用"完整链路。
-Key concepts: [[Process]], [[Value]], [[Value-Stream]], [[Value-Adding]], [[Waste]], [[Benefits-Quantification]], [[Cost-of-Delay]], [[WSJF]], [[SOM]], [[Feature-Level-Value-Breakdown]], [[Program-Demand-Process]], [[Proof-of-Concept]], [[Gate-Process]], [[Solution-Design]], [[Landing Zone Architecture]], [[Product-Backlog]], [[Demand-Management]], [[SMACs]], [[Prerequisite-Phase]], [[Hyper-Care]], [[Octane]], [[Hybrid DNS Resolution]], [[VMware-Cloud-on-AWS]], [[VMware]], [[HCX]], [[SDDC]], [[Stretched-Cluster]], [[Hybrid-Cloud]], [[Multi-Cloud Strategy]], [[Multi-Cloud-ROI]], [[DevOps Culture]], [[CI/CD Pipeline]], [[DevSecOps]], [[Shift-Left-Security]], [[Shift-Right-Security]], [[SAST]], [[DAST]], [[IAST]], [[SCA]], [[Break-the-Build]], [[Agile Practices]], [[DevOps Maturity]], [[DORA Metrics]], [[Infrastructure as Code]], [[Cloud-Native]], [[Cloud Maturity Levels]], [[Cloud Adoption Strategy]], [[Cloud Service Delivery]], [[Cloud DevOps Maturity Model]], [[Cloud Operating Model]], [[Cloud Governance]], [[Cloud Cost Optimization]], [[Serverless Computing]], [[Edge Computing]], [[Green Computing]], [[Data-Warehouse]], [[MPP]], [[Columnar-Storage]], [[Sort-Key]], [[Distribution-Key]], [[Vendor-Lock-In]], [[Data-Sovereignty]], [[NFR（非功能需求）]], [[Error Budget（错误预算）]], [[Chaos Engineering]], [[高可用（High Availability）]], [[灾难恢复架构模式]], [[Vault Lock]], [[ELK Stack]], [[OpenSearch]], [[Logstash]], [[Kibana]], [[BEATS]], [[Filebeat]], [[OpenTelemetry]], [[Fluent Bit]], [[Observability（可观测性）]], [[OTLP（OpenTelemetry Protocol）]], [[Three Signals]], [[Centralized-Logging]], [[Redis缓存]], [[RBAC]], [[TLS]], [[API-Key-Rotation]], [[跨账户备份]], [[增量备份]], [[SPF]], [[DKIM]], [[TLS]], [[API-Key-Rotation]], [[Cyber-Suite]], [[CBC-Mode]], [[SendGrid]], [[Twilio]] vs [[全量备份]]（CTP Topic 72：增量仅捕获变更，节省存储成本）、**[[AWS Backup Audit Manager]]**（BAM，CTP Topic 72：合规审计报告）、**[[AWS-Tagging-Standards]]**（CTP Topic 28：AWS 标签规范，涵盖命名约定、强制标签键、成本标签策略；与 Checkpoint 防火墙安全策略直接关联，标签缺失导致流量拦截）、**[[Tag-Validation-Tool]]**（CTP Topic 28：SRE 团队开发的 Python/Boto3 工具，通过 YAML 配置扫描 AWS 资源标签合规性）、**[[Service-Control-Policies-SCPs]]**（AWS Organizations 策略类型，通过「显式拒绝」逻辑强制执行标签规范）、**[[OU-Layered-Security]]**（通过组织单元分层结构检查标签确保正确归属）、**[[Tag-Based-Security]]**（将资源标签作为安全凭证替代传统 IP 规则）、**[[Checkpoint-Firewall]]**（防火墙供应商，依赖 AWS 标签值配置网络访问策略）、**[[Variables-YAML]]**（Tag Validation Tool 核心配置文件，定义每个账户的合法标签键及允许值）、**[[SRE-Tools-Repository]]**（内部代码仓库，存放 Tag Validation Tool 等 SRE 自动化脚本）：[[WAF]], [[APM]], [[Cloud Security]], [[Cloud Migration]], [[High Availability]], [[Pay-as-you-go]], [[Failover]], [[Multi-factor-Authentication]], [[Data-Governance]], [[Continuous Integration]], [[Continuous Deployment]], [[Lead Time]], [[Time-to-Market]], [[MTTR]], [[MTTD]], [[MTTA]], [[Change Failure Rate]], [[Error Budget]], [[Rollback Rate]], [[Availability]], [[Scalability]], **[[Agentic AI]]**, [[Root Cause Analysis (RCA)]], [[Predictive Maintenance]], [[Deployment Automation]], [[Rightsizing]], [[Automated Security Audit]], [[AI ChatOps]], [[What-If Simulation]], **[[RTO]]**, **[[RPO]]**, **[[Feature Flag]]**, **[[Kill Switch]]**, **[[Progressive Rollout]]**, **[[Micro-Recovery]]**, **[[Deployment-vs-Release]]**, **[[Business Impact Analysis]]**, **[[Public Cloud]]**, **[[Private Cloud]]**, **[[Hybrid Cloud]]**, **[[Shared Responsibility Model]]**, [[Multi-Tenancy]], [[Intentional Cloud Strategy]], **[[Centralized Logging]]**, **[[Cross-Account Monitoring]]**, **[[Multi-Account Deployment]]**, **[[StackSets Deployment Visibility]]**, [[CMDB]], [[Problem-Management]], [[Release-Management]], [[Configuration-Management]], [[Asset-Management]], [[Security-and-Compliance]], [[DRaaS]], [[Canary-Release]], [[Blue-Green-Deployment]], [[Threat Modeling]], [[OWASP-Top-Ten]], [[Bug-Bounty]], [[Vulnerability-Scanning]], [[Penetration-Testing]], [[Compliance-Automation]]
+Key concepts: [[Process]], [[Value]], [[Value-Stream]], [[Value-Adding]], [[Waste]], [[Benefits-Quantification]], [[Cost-of-Delay]], [[WSJF]], [[SOM]], [[Feature-Level-Value-Breakdown]], [[Program-Demand-Process]], [[Proof-of-Concept]], [[Gate-Process]], [[Solution-Design]], [[Landing Zone Architecture]], [[Product-Backlog]], [[Demand-Management]], [[SMACs]], [[Prerequisite-Phase]], [[Hyper-Care]], [[Octane]], [[Hybrid DNS Resolution]], [[VMware-Cloud-on-AWS]], [[VMware]], [[HCX]], [[SDDC]], [[Stretched-Cluster]], [[Hybrid-Cloud]], [[Multi-Cloud Strategy]], [[Multi-Cloud-ROI]], [[DevOps Culture]], [[CI/CD Pipeline]], [[DevSecOps]], [[Shift-Left-Security]], [[Shift-Right-Security]], [[SAST]], [[DAST]], [[IAST]], [[SCA]], [[Break-the-Build]], [[Agile Practices]], [[DevOps Maturity]], [[DORA Metrics]], [[Infrastructure as Code]], [[Cloud-Native]], [[Cloud Maturity Levels]], [[Cloud Adoption Strategy]], [[Cloud Service Delivery]], [[Cloud DevOps Maturity Model]], [[Cloud Operating Model]], [[Cloud Governance]], [[Cloud Cost Optimization]], [[Serverless Computing]], [[Edge Computing]], [[Green Computing]], [[Data-Warehouse]], [[MPP]], [[Columnar-Storage]], [[Sort-Key]], [[Distribution-Key]], [[Vendor-Lock-In]], [[Data-Sovereignty]], [[NFR（非功能需求）]], [[Error Budget（错误预算）]], [[Chaos Engineering]], [[Product Privacy Framework（产品隐私框架）]], [[STLC（Security Development Life Cycle）]], [[PSAC（Product Security Advisory Committee）]], [[PII（Personally Identifiable Information）]], [[Maturity Model（成熟度模型）]], [[Spider Chart（蜘蛛图）]], [[Product Privacy Settings Document]], [[Data Controller vs. Data Processor]], [[Anonymization & Pseudonymization]], [[被遗忘权]], [[数据可移植性]], [[高可用（High Availability）]], [[灾难恢复架构模式]], [[Vault Lock]], [[ELK Stack]], [[OpenSearch]], [[Logstash]], [[Kibana]], [[BEATS]], [[Filebeat]], [[OpenTelemetry]], [[Fluent Bit]], [[Observability（可观测性）]], [[OTLP（OpenTelemetry Protocol）]], [[Three Signals]], [[Centralized-Logging]], [[Redis缓存]], [[RBAC]], [[TLS]], [[API-Key-Rotation]], [[跨账户备份]], [[增量备份]], [[SPF]], [[DKIM]], [[TLS]], [[API-Key-Rotation]], [[Cyber-Suite]], [[CBC-Mode]], [[SendGrid]], [[Twilio]] vs [[全量备份]]（CTP Topic 72：增量仅捕获变更，节省存储成本）、**[[AWS Backup Audit Manager]]**（BAM，CTP Topic 72：合规审计报告）、**[[AWS-Tagging-Standards]]**（CTP Topic 28：AWS 标签规范，涵盖命名约定、强制标签键、成本标签策略；与 Checkpoint 防火墙安全策略直接关联，标签缺失导致流量拦截）、**[[Tag-Validation-Tool]]**（CTP Topic 28：SRE 团队开发的 Python/Boto3 工具，通过 YAML 配置扫描 AWS 资源标签合规性）、**[[Service-Control-Policies-SCPs]]**（AWS Organizations 策略类型，通过「显式拒绝」逻辑强制执行标签规范）、**[[OU-Layered-Security]]**（通过组织单元分层结构检查标签确保正确归属）、**[[Tag-Based-Security]]**（将资源标签作为安全凭证替代传统 IP 规则）、**[[Checkpoint-Firewall]]**（防火墙供应商，依赖 AWS 标签值配置网络访问策略）、**[[Variables-YAML]]**（Tag Validation Tool 核心配置文件，定义每个账户的合法标签键及允许值）、**[[SRE-Tools-Repository]]**（内部代码仓库，存放 Tag Validation Tool 等 SRE 自动化脚本）：[[WAF]], [[APM]], [[Cloud Security]], [[Cloud Migration]], [[High Availability]], [[Pay-as-you-go]], [[Failover]], [[Multi-factor-Authentication]], [[Data-Governance]], [[Continuous Integration]], [[Continuous Deployment]], [[Lead Time]], [[Time-to-Market]], [[MTTR]], [[MTTD]], [[MTTA]], [[Change Failure Rate]], [[Error Budget]], [[Rollback Rate]], [[Availability]], [[Scalability]], **[[Agentic AI]]**, [[Root Cause Analysis (RCA)]], [[Predictive Maintenance]], [[Deployment Automation]], [[Rightsizing]], [[Automated Security Audit]], [[AI ChatOps]], [[What-If Simulation]], **[[RTO]]**, **[[RPO]]**, **[[Feature Flag]]**, **[[Kill Switch]]**, **[[Progressive Rollout]]**, **[[Micro-Recovery]]**, **[[Deployment-vs-Release]]**, **[[Business Impact Analysis]]**, **[[Public Cloud]]**, **[[Private Cloud]]**, **[[Hybrid Cloud]]**, **[[Shared Responsibility Model]]**, [[Multi-Tenancy]], [[Intentional Cloud Strategy]], **[[Centralized Logging]]**, **[[Cross-Account Monitoring]]**, **[[Multi-Account Deployment]]**, **[[StackSets Deployment Visibility]]**, [[CMDB]], [[Problem-Management]], [[Release-Management]], [[Configuration-Management]], [[Asset-Management]], [[Security-and-Compliance]], [[DRaaS]], [[Canary-Release]], [[Blue-Green-Deployment]], [[Threat Modeling]], [[OWASP-Top-Ten]], [[Bug-Bounty]], [[Vulnerability-Scanning]], [[Penetration-Testing]], [[Compliance-Automation]]
 **[[ctp-topic-40-saas-database-architecture]]**（CTP Topic 40）：SAS 数据库团队在 AWS 云上的架构与运维实践——团队分布于美国/加拿大/印度/以色列，管理 500+ 数据库和 1000+ DB 服务器；支持 Oracle、Vertica、Postgres、DynamoDB、SQL Server、MongoDB、MySQL 等多引擎；高可用架构采用三可用区模式（主库/备用库/见证节点）；使用 Oracle Data Guard、Postgres Active-Passive/Active-Active、RDS HA 实现多活；通过 Terraform、AWS CLI、Shell/PowerShell 实现 IaC 自动化；Oracle GoldenGate 支持零停机迁移。属 [[AWS-Landing-Zone]] 数据库层的核心实践，与 [[ctp-topic-51-purpose-built-databases]]（数据库品类全景）和 [[ctp-topic-66-rds-vs-aurora]]（关系型选型）共同构成完整的 AWS 数据库知识体系。
@@ -382,6 +386,7 @@ Key concepts: [[Generalist]], [[Self-Education]], [[Self-Interest]], [[Self-Suff
 - [[clawhub.ai]] — OpenClaw Skill 市场，托管 clawr.ing 等 Skill 安装包
 - [[AionUi]] — 桌面多 Agent Hub（macOS/Windows/Linux），将 OpenClaw 作为可视化 Cowork Agent 运行，支持内置远程救援专家和统一 MCP 配置
 - [[n8n]] — workflow automation
 - [[Shlomi Ben-Hur]] — Micro Focus 产品安全小组（PSAC）成员，主讲 CTP Topic 21（供应链安全）和 CTP Topic 24（产品隐私框架），推动将法律合规要求翻译为技术实现
 - [[Octane-Hub]] — Software Factory 团队，Micro Focus 云转型计划一部分，主导 Docker 容器化工作负载从 Bibling Lab 向 AWS Landing Zone 的迁移项目，CTO 为 Holger Rode
 - [[Node.js]] — JavaScript 运行时环境，n8n-mcp 的运行依赖，也是 [[n8n]] 工作流引擎的后端运行环境
 - [[gog CLI]] — 由 steipete 开发的 Google Workspace 命令行管理工具（Homebrew 安装），支持 Gmail/Calendar/Drive/Contacts/Docs/Sheets 全套服务，[[personal-crm]] 和 [[multi-channel-assistant]] 的前置依赖
--- a/wiki/sources/ctp-topic-2-git.md
+++ b/wiki/sources/ctp-topic-2-git.md
@@ -0,0 +1,45 @@
 ---
 title: "CTP Topic 2 Git"
 type: source
 tags:
  - Git
  - VCS
  - CTP
 last_updated: 2026-04-14
 ---
 ## Source File
 - [[Cloud & DevOps/Public-Cloud-Learning-Sessions/06_CI_CD_GitOps/ctp-topic-2-git.md]]
 ## Summary（用中文描述）
 - 核心主题：Git 版本控制系统基础与实践
 - 问题域：云转型计划中的源代码版本控制与协作工作流
 - 方法/机制：视频讲座形式，CTP Topic 2 系列课程
 - 结论/价值：掌握 Git 是 DevOps 与 IaC 实践的基础技能
 ## Key Claims（用中文描述）
 - CTP Topic 2 涵盖 Git 版本控制系统的核心概念与实操技能
 ## Key Quotes
 > "待 Whisper 转录后补充详细内容" — 当前状态：待转录
 ## Key Concepts
 - [[Git]]：分布式版本控制系统，DevOps 与 CI/CD 流水线的基础工具
 - [[Version Control]]：代码变更追踪与协作管理机制
 - [[DevOps]]：开发与运维协作的文化与实践体系
 ## Key Entities
 - [[Cloud Transformation Programme]]：云转型计划，CTP Topic 系列课程的组织框架
 ## Connections
 - [[ctp-topic-9-ci-cd-with-gruntwork]] ← extends ← [[ctp-topic-2-git]]
 - [[ctp-topic-33-an-introduction-to-gitops]] ← depends_on ← [[ctp-topic-2-git]]
 - [[public-cloud-learning-sessions-opentext-github-enterprise-to-gitlab-migration]] ← related_to ← [[ctp-topic-2-git]]
 ## Contradictions
 - 无已知冲突
 ## Notes
 - 原始文档状态为"待转录"（Awaiting Whisper transcription → Summary）
 - 视频源：NAS `/volume2/work/Public Cloud Learning Sessions/CTP _ Topic 2_ Git.mp4`
 - 类别：DevOps & SRE / 06_CI_CD_GitOps
--- a/wiki/sources/ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments.md
+++ b/wiki/sources/ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments.md
@@ -0,0 +1,79 @@
 ---
 title: "CTP Topic 32 Using Atlantis CICD for Infrastructure Deployments"
 type: source
 tags: [Atlantis, CI/CD, IaC, Terraform, GitOps, CTP]
 date: 2026-04-14
 ---
 ## Source File
 - [[Cloud & DevOps/Public-Cloud-Learning-Sessions/06_CI_CD_GitOps/ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments]]
 ## Summary（用中文描述）
 ### 核心主题
 Atlantis 作为 Terraform IaC 自动化工具，替代 Jenkins 用于 AWS Landing Zone 的基础设施部署流水线。
 ### 问题域
 当前 Jenkins 流水线面临两大核心痛点：
 - **速度慢**：初始化时间长、多次代码克隆、顺序测试、ECS Deployer 预配置导致整个流程极慢
 - **复杂度高**：持续叠加功能以覆盖更多场景和边缘用例，导致流水线脆弱且易漂移
 ### 方法/机制
 - **架构**：Atlantis 以单台 EC2 实例形式部署于每个 Landing Zone 的共享账户，通过 GitHub Enterprise Webhook 接收通知
 - **协作模型**：开发者直接在 GitHub Pull Request 上评论即可与 Atlantis 交互，无需单独账号和复杂集成
 - **跨账户访问**：通过在每个账户部署的 IAM 角色实现，支持简单和跨账户模块部署
 - **权限控制**：用户管理基于 GitHub 构建，构建日志以评论形式存储用于审计
 - **并行构建**：支持多模块 plan 和 apply 命令并发执行
 ### 结论/价值
 Atlantis 提供更好的协作模型、简化的网络架构（Jenkins 需要大量 VPC Endpoints）、代码与基础设施同步更新（merge 前即应用变更），是替换 Jenkins 的理想方案。
 ## Key Claims（用中文描述）
 - Atlantis 团队通过在 PR 上评论即可完成 plan/apply，无需独立的 Jenkins 账号和集成
 - Atlantis 在代码 merge 前即执行变更，确保代码始终与基础设施同步
 - Atlantis 锁定机制防止多 PR 同时对同一模块执行 plan 产生冲突
 - Atlantis 通过 Webhook 接收 GitHub 通知，服务账号负责与 GitHub 交互（评论、合并、关闭 PR）
 ## Key Quotes
 > "The current pipeline is practically very slow due to significant initialization time, multiple code cloning, sequential testing, and ECS deployer provisioning." — 当前 Jenkins 流水线的性能痛点
 > "Atlantis applies changes before merging, ensuring code in sync with infrastructure." — Atlantis 的核心价值主张
 > "When a plan is run, the directory of each module is locked until the pull request that has this folder locked is merged or closed, or the plan is manually discarded." — Atlantis 锁定机制
 ## Key Concepts
 - [[Infrastructure-as-Code]]：通过 Terraform 代码声明式管理 AWS 基础设施，Atlantis 是其 CI/CD 执行层
 - [[GitOps]]：以 Git 为单一事实来源，通过 PR 协作和 Atlantis 自动化 apply 实现 GitOps 工作流
 - [[CI/CD Pipeline]]：持续集成/持续部署流水线，Atlantis 替代传统 Jenkins 流水线用于 IaC 场景
 - [[Terraform]]：HashiCorp 的基础设施即代码工具，Atlantis 的核心执行对象
 ## Key Entities
 - [[Terraform]]：Atlantis 管理的基础设施即代码工具，替代手动控制台操作
 - [[Jenkins]]：被 Atlantis 替代的现有 CI/CD 系统，存在初始化慢和架构复杂的问题
 - [[GitHub Enterprise]]：Atlantis 的事件来源，通过 Webhook 通知 Atlantis 执行 plan/apply
 ## Connections
 - [[ctp-topic-33-an-introduction-to-gitops]] ← extends ← [[ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments]]（Topic 33 介绍 GitOps 概念，Topic 32 展示 Atlantis 工具实现）
 - [[ctp-topic-9-ci-cd-with-gruntwork]] ← extends ← [[ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments]]（Topic 9 介绍 Gruntwork CI/CD，Topic 32 进一步细化为 Atlantis 替代方案）
 - [[ctp-topic-3-deploy-and-maintain-infrastructure]] ← depends_on ← [[ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments]]（Topic 3 部署和维护基础设施，Topic 32 提供具体 CI/CD 工具）
 - [[ctp-topic-16-cross-account-terraform-modules]] ← relates_to ← [[ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments]]（跨账户 Terraform 模块与 Atlantis 跨账户访问机制关联）
 ## Contradictions
 - 与 [[ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone]]：
  - **冲突点**：EKS 部署是否支持 Atlantis
  - **当前观点（Topic 39）**：Atlantis 当前不支持 EKS 部署，需通过 Jenkins + Terragrunt 模块替代
  - **对方观点（Topic 32）**：Atlantis 可替代 Jenkins 用于所有 Terraform IaC 部署
  - **分析**：两者描述的语境不同——Topic 39 聚焦特定 EKS 场景下的实践经验，Topic 32 描述 Atlantis 整体优势。可能 Atlantis 在某些复杂场景（如 EKS 特定依赖）下存在限制，需进一步验证
 ## Source Metadata
 - **Category**: DevOps & SRE / 06_CI_CD_GitOps
 - **Type**: Video（CTP Learning Session）
 - **Status**: Summarized（Gemini 摘要）
 - **Video Source**: NAS `/volume2/work/Public Cloud Learning Sessions/CTP _ Topic 32_ Using Atlantis CICD for infrastructure deployments.mp4`
--- a/wiki/sources/ctp-topic-9-ci-cd-with-gruntwork.md
+++ b/wiki/sources/ctp-topic-9-ci-cd-with-gruntwork.md
@@ -0,0 +1,50 @@
 ---
 title: "CTP Topic 9 CI CD with Gruntwork"
 type: source
 tags:
  - CI/CD
  - Gruntwork
  - IaC
  - CTP
  - DevOps
  - AWS
 date: 2026-04-14
 ---
 ## Source File
 - [[Cloud & DevOps/Public-Cloud-Learning-Sessions/06_CI_CD_GitOps/ctp-topic-9-ci-cd-with-gruntwork]]
 ## Summary（用中文描述）
 - 核心主题：CI/CD 与 Gruntwork 在 AWS Landing Zone 中的实践
 - 问题域：云转型计划（Cloud Transformation Programme, CTP）中的基础设施自动化交付
 - 方法/机制：基于 Gruntwork 参考架构，通过 CI/CD 流水线实现 Terraform/Terragrunt 代码的自动化部署
 - 结论/价值：待视频转录后补充
 > ⚠️ **注意**：原始视频尚未完成 Whisper 转录，以上信息基于文件元数据生成。详见 Source File 链接获取完整内容。
 ## Key Claims（用中文描述）
 - （待视频转录后补充）
 ## Key Quotes
 > （待视频转录后补充）
 ## Key Concepts
 - [[CI/CD Pipeline]]：持续集成/持续交付流水线，自动化代码构建、测试和部署流程
 - [[Infrastructure as Code (IaC)]]：通过代码管理云基础设施，实现可重复、可审计的部署
 - [[Gruntwork]]：提供生产级 Terraform 模块和参考架构的 IaC 库
 - [[Terraform]]：HashiCorp 开源的 IaC 工具，用于声明式定义云资源
 - [[Terragrunt]]：Terraform 的包装器，提供状态管理和模块复用能力
 ## Key Entities
 - [[Gruntwork]]：IaC 基础设施库提供商，提供可复用的 Terraform 模块
 - [[AWS Landing Zone]]：AWS 多账户架构框架，为云工作负载提供安全、合规的基础设施
 - [[Cloud Transformation Programme (CTP)]]：云转型计划，Micro Focus 将工作负载从本地数据中心迁移至 AWS 的企业级项目
 ## Connections
 - [[ctp-topic-1-gruntwork-landing-zone-architecture]] ← foundational ← [[ctp-topic-9-ci-cd-with-gruntwork]]
 - [[ctp-topic-2-git]] ← related ← [[ctp-topic-9-ci-cd-with-gruntwork]]
 - [[ctp-topic-33-an-introduction-to-gitops]] ← extends ← [[ctp-topic-9-ci-cd-with-gruntwork]]
 - [[ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments]] ← alternative_tool ← [[ctp-topic-9-ci-cd-with-gruntwork]]
 ## Contradictions
 - （暂无，待视频转录后补充）