ishenwei/nexus
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Sync: add ses and networking notes

Browse Source
This commit is contained in:
weishen
2026-04-24 20:38:20 +08:00
parent e4f6f463cb
commit 7903d703b9
12 changed files with 925 additions and 9 deletions
Download Patch File Download Diff File Expand all files Collapse all files

6
wiki/overview.md
View File

@@ -57,10 +57,14 @@ Cloud Transformation Programme (CTP) materials cover AWS landing zones, EKS, Ter
**[[ctp-topic-48-terraform-vs-terragrunt]]**CTP Topic 48BobAWS Solutions Architect对比 Terraform 与 Terragrunt——TerraformHashiCorp 出品)是云厂商无关的 Golang 应用通过状态文件将期望状态与实际环境绑定企业级使用须将状态文件存储在安全可访问位置Terragrunt 是 Terraform 的轻量封装,贯彻 DRY 原则,通过管理 provider 和 remote_state 块减少跨环境的重复声明。两者命令和语法高度一致(`terraform plan` = `terragrunt plan`Terragrunt 通过减少硬编码来优化大规模企业部署。辅助工具Terraform EnterpriseCI 平台 + workspaces、Gruntwork预建可定制模块、AtlantisGit 集成、tfsec静态安全分析、TerratestIaC 测试自动化)。属 [[Infrastructure As Code]] 工具选型层,与 [[ctp-topic-3-deploy-and-maintain-infrastructure]]Terragrunt HCL和 [[ctp-topic-56-automated-infrastructure-testing]]Terratest共同构成 Terraform 生态知识链路。
**本条新增Learning Sessions ECS Deployment using IAC**2023-08-08JP 和 Raja M 主讲CTP/SRE 团队通过 Terraform IaC 实现 ECS 容器化应用自动化部署——基于 Gruntwork 仓库构建的 ECS 模块,将 Docker 容器作为逻辑单元,支持 EC2 实例部署;核心功能:自动扩缩容、自动故障恢复、金丝雀部署;通过 Listener 方式集中管理(避免各产品团队重复下载 Gruntwork 代码);前置条件包括 VPC、ELB 安全组和 EFS 卷挂载;集成 CloudWatch/Splunk/Grafana/Prometheus。ECS 作为 AWS 原生技术与 AWS 服务深度集成,适合追求简单性和紧密集成的场景;属 [[Infrastructure-as-Code]] 在 ECS 场景的实践,与 [[ctp-topic-70-eks-deployment-using-iac]]EKS IaC 部署)构成容器编排双路径,与 [[ctp-topic-9-ci-cd-with-gruntwork]]Gruntwork CI/CD共享 Gruntwork 基础设施基础。与 [[ctp-topic-67-cloud-native-observability-using-opentelemetry]] 在可观测性集成方面关联ECS 模块集成 CloudWatch/Grafana
**本条新增Learning Sessions ECS Deployment using IAC**2023-08-08JP 和 Raja M 主讲CTP/SRE 团队通过 Terraform IaC 实现 ECS 容器化应用自动化部署——基于 Gruntwork 仓库构建的 ECS 模块,将 Docker 容器作为逻辑单元,支持 EC2 实例部署;核心功能:自动扩缩容、自动故障恢复、金丝雀部署;通过 Listener 方式集中管理(避免各产品团队重复下载 Gruntwork 代码);前置条件包括 VPC、ELB 安全组和 EFS 卷挂载;集成 CloudWatch/Splunk/Grafana/Prometheus。ECS 作为 AWS 原生技术与 AWS 服务深度集成,适合追求简单性和紧密集成的场景;属 [[Infrastructure-as-Code]] 在 ECS 场景的实践,与 [[ctp-topic-70-eks-deployment-using-iac]]EKS IaC 部署)构成容器编排双路径,与 [[ctp-topic-9-ci-cd-with-gruntwork]]Gruntwork CI/CD共享 Gruntwork 基础设施基础。与 [[ctp-topic-67-cloud-native-observability-using-opentelemetry]] 在可观测性集成方面关联ECS 模块集成 CloudWatch/Grafana同主题另一来源:[[learning-sessions-cloud-transformation-programme-20230808-183322-meeting-recordi]]。
**[[ctp-topic-16-cross-account-terraform-modules]]**CTP Topic 16Fibos 主讲,多账号 AWS 环境中跨账号 Terraform 模块的中心化部署方案——解决原有 Gruntwork 流水线主要针对单账号设计、账号间直接互访存在安全风险Blast Radius的问题。核心架构基于 **Shared Account共享账号** 作为中转站Jenkins 托管于 Shared Account检测到模块目录中 `cross-account.json` 标记文件后触发 **ECS Deploy Runner**ECS 上的 Docker 容器);该 Runner 通过 Assume Role 访问目标账号的两个角色——`TF state bucket accessor`(读取状态文件)和 `cross-account ECS deploy runner role`(执行资源部署);角色切换逻辑在根目录 `terragrunt.hcl` 中全局配置。实现三大目标:**安全性**(无 Workload 账号间直接信任)、**自动化**Jenkins 自动识别模块类型)、**可复用性**(模块代码不硬编码特定账号角色)。属 [[Infrastructure-as-Code]] 在多账号场景的进阶实践,与 [[ctp-topic-9-ci-cd-with-gruntwork]](单账号流水线)构成演进关系,与 [[ctp-topic-32-using-atlantis-cicd-for-infrastructure-deployments]]Atlantis 跨账号角色)共享 Assume Role 机制但执行载体不同ECS 容器 vs EC2与 [[ECS Deploy Runner]](实体)共同构成跨账号部署完整链路。
**Learning Sessions Cloud Transformation Programme-Deploying RDS via Terraform**2023 年GregDBRE 团队Greg 来自 Database Reliability Engineering 团队,倡导通过 Terraform IaC 部署任何规模的 RDS 到 AWS相比控制台具有速度、灵活性、一致性、灾难恢复、文档和自动化六大优势——**代码即文档**。RDS 部署提供两种模块选择:**裸 RDS module**(基础功能)和 **grunt work RDS Service**(推荐生产使用,预建 KMS 密钥加密和 CloudWatch 告警SRE 核心模块功能弱于 grunt work。**Terragrunt**Terraform 封装器)用于保持代码整洁、避免变量重复声明,贯彻 DRY 原则Day 2 运维(扩缩容、补丁、大版本升级)通过修改 Terragrunt 文件并提交 GitHub PR由 Atlantis 自动应用变更。监控通过 CloudWatch Dashboard + Alarms 实现需注意突发性能实例burstable instance的 CPU credits 消耗。属 [[Infrastructure-as-Code]] 在 RDS 数据库场景的实践,与 [[ctp-topic-48-terraform-vs-terragrunt]]Terragrunt 推荐)和 [[ctp-topic-16-cross-account-terraform-modules]](跨账号 Terraform 模块)共同构成 Terraform 生态知识链路,与 [[ctp-topic-9-ci-cd-with-gruntwork]]Gruntwork CI/CD共享 Gruntwork 模块体系。
**[[ctp-topic-12-using-ses-smtp-service-terraform-module]]**CTP Topic 12Christian Deckelmann 和 Filos Christolakis 主讲Micro Focus 团队使用 Terraform 模块自动化部署 AWS SES SMTP 服务以替代传统本地 SMTP 网关——随着业务向云端迁移,本地 SMTP 网关(如 smtbmicrofocus.com已不再高效SES 是网络安全部门唯一批准的云端邮件发送方案。Terraform 模块封装了 SMTP 终端节点配置,支持现有应用程序通过标准 SMTP 协议集成,无需重构代码适配 SES API技术实现在应用 VPC 中配置 VPC 端点实现私有连接(无需公网访问),通过 IAM 用户凭证作为 SMTP 认证信息并存储于 Secrets Manager自动化完成 DKIM 验证和 Infoblox DNS 记录创建。两个关键手动步骤:① 申请脱离 SES Sandbox Mode提交工单获取生产访问权限以提升发送限额并允许向外部地址发信② 手动更新 DNS TXT 记录以验证域名所有权Terraform 难以处理多账号共享域名时对同一 TXT 记录值的追加操作)。未来计划:引入收件人地址限制和凭证滚动更新增强安全功能。与 [[ctp-topic-36-sendgrid-as-an-email-service]] 构成云邮件服务双路径——SendGrid 面向新标准SES 服务现有应用平滑迁移。属 [[Infrastructure-as-Code]] 在邮件服务场景的实践,与 [[VPC-Endpoint]]、[[Secrets-Manager]] 概念关联。
**[[ctp-topic-21-supply-chain-security-in-micro-focus]]**CTP Topic 21
**[[ctp-topic-24-micro-focus-product-privacy-framework]]**CTP Topic 24Micro Focus 产品隐私框架在云转型中的应用——PSAC产品安全顾问委员会与法律顾问合作将 GDPR/CCPA 等晦涩法律条款翻译为约 110 项低级别技术要求;隐私框架是 STLC安全开发生命周期中 13 个安全与隐私轨道之一;通过五类需求(架构类/文档类/法律类/实现类/SAS 运营类和成熟度模型0-4 级)评估产品隐私合规状态;通过"蜘蛛图"直观展示产品在安全去标识化、被遗忘权、数据可移植性等 KPI 上的合规现状;最终产出标准化《产品隐私设置文档》,确保客户获得一致的隐私信息参考。属 [[Product Privacy Framework产品隐私框架]] 在 [[Micro Focus]] 云转型场景的核心实践,与 [[Micro Focus Security Development Life Cycle (STLC) Overview]]STLC 整体架构)直接关联。