ishenwei/nexus
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Auto-sync: 2026-04-24 04:02

Browse Source
This commit is contained in:
weishen
2026-04-24 04:02:45 +08:00
parent 4e9ee6f51e
commit a96baa8fb7
40 changed files with 1934 additions and 89 deletions
Download Patch File Download Diff File Expand all files Collapse all files

28
wiki/overview.md
View File

@@ -41,8 +41,14 @@ Key concepts: [[Recursive Self-Optimization]], [[Generator Space]], [[Self-Refer
### Cloud Transformation & DevOps
Cloud Transformation Programme (CTP) materials cover AWS landing zones, EKS, Terraform, GitOps, FinOps, observability, security, and enterprise architecture. Key themes: 3 Lines of Defence framework, ITSM, container hardening, backup & DR strategies. DevOps culture focuses on four pillars: Collaboration, Automation (CI/CD, IaC), Continuous Improvement (Kaizen), and Customer-Centricity. Agile practices (Scrum, Kanban) are symbiotic with DevOps. Emerging trends: DevSecOps, GitOps, Serverless DevOps, AI/ML-driven automation, and Edge Computing DevOps.
**[[ctp-topic-4-using-agile-to-run-the-cloud-transformation-program]]**CTP Topic 4云转型计划中敏捷实践的落地经验——Heather Norris 主讲。核心内容:①框架演进——从 Scrum两周 Sprint含 Product Backlog/Sprint Planning/Retrospectives/Reviews/Daily Scrum因"Sprint 期间不允许变更"的问题而转向 Kanban 持续流动模式;②混合方案——以 Kanban 为主(随时可调整优先级、持续交付),同时保留 Scrum 的固定仪式每日站会和回顾会议③Microsoft Planner 看板——五列布局Backlog/To Do/In Progress/Program Key Decisions/Icebox每张卡必须指定单一负责人、链接依赖、设置优先级和截止日期④核心价值观——"Agile is all about getting that rapid feedback to make the product and make the development culture better"。属 [[Agile Ceremonies]] 和 [[Scrum]] vs [[Kanban]] 在企业级云迁移场景下的实战案例,与 [[ctp-topic-57-product-backlog-managing-demand]](需求管理)和 [[ctp-topic-30-managing-change]](变更管理)共同构成 CTP 项目管理知识体系。
**[[ctp-topic-18-wide-area-networking-in-aws-cloud]]**CTP Topic 18AWS 广域网架构设计——Micro Focus IT 网络架构师 Christian Deckelman 主讲。核心架构:全球划分为 APJ/EMEA/AMS 三个地理区域,每个区域设立 Hub如 EMEA 伦敦、AMS 俄勒冈),所有 Landing Zones 通过 TGW Peering 以星型拓扑接入区域 Hub区域 Hub 之间全网状互联。现阶段 TGW 间路由依赖静态前缀列表,缺乏 BGP 动态路由DR 场景需人工干预。演进路线:引入 Silver Peak SD-WAN 作为叠加网络实现动态路径选择Pulse VPN 迁移至 Palo Alto Prisma Access (SASE) 实现就近接入并打通 SD-WAN 骨干。属 [[AWS-Transit-Gateway]] 架构实践,与 [[ctp-topic-25-labs-landing-zone-overview-itom-teams]]Labs LZ 网络)和 [[ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones]](网络分段)共同构成 Landing Zone 网络知识体系。
**[[ctp-topic-25-labs-landing-zone-overview-itom-teams]]**CTP Topic 25Labs Landing Zone 运维团队视角——Labs LZ 基于 Gruntwork 参考架构,采用多账户策略,全部资源通过 Terraform/Terragrunt 管理Jenkins 流水线扫描 GitHub 仓库变更触发 plan/apply核心账户包括Shared托管 Jenkins 主节点和加固 AMI、LogsCloudTrail/Config 日志集中存储、Security联邦用户和跨账户访问、CoreAD 管理 Windows 实例和 IDP、DNS 管理 Swimford.net、NetworkTransit Gateway + JetPult 防火墙管理所有互联网流量Pulse VPN 提供 Micro Focus 网络访问、Shared Services45 Arc Site 监控、Qualys 漏洞扫描。Product Account 通过 Terraform 模块部署 subnet需与网络团队协调 IP 范围和标签策略,防火墙通过标签自动配置网络访问策略。属 [[AWS-Landing-Zone]] Labs 视角的运维实践,与 [[ctp-topic-1-gruntwork-landing-zone-architecture]](架构基础)和 [[ctp-topic-35-aws-landing-zone-design-refresher-saas-labs]]SaaS vs Labs 职责划分)共同构成完整的 AWS Landing Zone 知识体系。
**[[ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones]]**CTP Topic 31AWS Landing Zone 网络隔离与安全远程访问方案——解决 On-prem 系统和 VPN 用户因共享网络配置而可直接访问生产工作负载的安全风险。核心方案:①网络隔离通过 Checkpoint 防火墙启用 SPI 特性default-deny阻断内部网络对 AWS 网段的直接连通;②安全访问通过 AWS Systems Manager (SSM) 替代 VPN用户假设 IAM 角色访问目标 EC2 实例上的 SSM Agent支持浏览器会话和 AWS CLI 两种模式,提供双因素认证和 AWS 网络内安全连接。定位为 SD-WAN 实施前的过渡方案;长期演进目标为 IaC 化以消除控制台访问break-glass 访问仅保留用于紧急场景。与 [[ctp-topic-18-wide-area-networking-in-aws-cloud]]广域网架构互补——后者关注如何打通网络Topic 31 关注如何限制网络访问;两者共同构成 Landing Zone 网络知识体系。属 [[AWS-Landing-Zone]] 网络安全层的核心实践。
**[[ctp-topic-35-aws-landing-zone-design-refresher-saas-labs]]**CTP Topic 35AWS Landing Zone 设计复习——重点明确 SaaS生产与 Labs开发的职责划分。SaaS Landing Zone 为每个产品区域提供客户专属环境,产品账户连接至共享服务账户(安全、日志、网络);核心账户组包含 AD、DNS 和 Network 账户Gruntwork 账户跨所有账户管理 AMI、日志和安全。近期变更网络分段阻断对 SaaS 工作负载的直接连通性CCOEs CloudTrail 取代 Gruntworks CloudTrail 实现统一审计;入站流量拟通过 Network 账户 Checkpoint 重新路由;原生 AWS Backup 有望强制化;新账户可能取消 Management VPC。核心结论**SaaS = 生产Labs = 开发**PoC Landing Zone 将并入 Labs 以最大化资源共享Cloud Technology Design Forum 推动 Micro Focus 云交付标准化。
**[[ctp-topic-7-saas-landing-zone-design]]**CTP Topic 7SAS 生产 Landing Zone 顶层架构设计——定义了完整的四层账户体系①核心账户Core AccountsShared 托管 AMI + 主 Jenkins 服务器通过 Lambda 触发各账户 Jenkins slaveLogs 集中管理所有账户日志CloudTrail/Config/FlowlogsSecurity 托管 IAM 角色。②基线账户Baseline AccountsNetwork 账户部署区域级 Transit Gateway + Checkpoint Appliance 按标签监控跨账户流量DNS 账户托管 Route 53各产品拥有独立托管区Active Directory 账户提供双 AD 节点实现域加入和资源访问控制。③共享服务账户Shared Services AccountsSoftware Factory45 个 hub + Octane Hub + Artifactory、CyberQalis、ARC Site、MonitoringOBM/Sitescope。④产品账户Product Accounts工作负载置于私有子网公有子网通过负载均衡器和互联网网关对外暴露WAF 监控入站流量。自动化部署链路GitHub 仓库变更 → JenkinsGitHub Hook 触发)→ Management VPC → Lambda → ECS ClusterStaging 测试后才部署生产。远程访问从 Checkpoint VPN 迁移至 Pulse VPN通过 AD 认证)。属 [[AWS-Landing-Zone]] 的原始设计规范,与 [[ctp-topic-35-aws-landing-zone-design-refresher-saas-labs]](近期变更)共同构成 SAS LZ 的设计演进脉络。
@@ -55,12 +61,20 @@ Cloud Transformation Programme (CTP) materials cover AWS landing zones, EKS, Ter
**[[ctp-topic-26-standard-ami-build-publish-share-processes]]**CTP Topic 26Foundation AMI 全生命周期管理详解——Srihari、Alan 和 Praveen 三位专家主讲。Foundation AMI 基于市场主流 OSCentOS/Ubuntu/Windows进行 CIS 安全基准加固,集成 McAfee EPO 防病毒 + Syslog-ng 日志管理 + AD 单点登录 + SSM Agent + SiteScope 监控;使用 HashiCorp Packer + Jenkins 流水线实现镜像创建完全自动化通过跨账号共享AMI Sharing分发至全球多区域俄勒冈/法兰克福/悉尼而非物理复制AMI Copying避免额外存储成本每两个月更新采用 N-2 版本保留策略。责任共担模型CCOE 提供安全基础镜像,产品团队在其上构建产品特定 AMI。属 [[AWS-Landing-Zone]] AMI 层的核心基础,与 [[ctp-topic-58-aws-ec2-image-builder]](演进方向 EC2 Image Builder和 [[learning-sessions-standard-amis-updates]]2023年更新机制共同构成完整的 AMI 管理知识体系。
**CTP Topic 10**[[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging]]AWS Landing Zone 部署、数据收集策略与基于标签的云原生安全架构——Steve Jarman 和 Pradeep 主讲。核心内容①Landing Zone 部署前必须深入了解 BU 资产清单、IP 地址空间及数据敏感性②DNS、Transit Gateway 等基础服务已通过 SRE 团队实现高度自动化;③**基于标签的安全控制机制**——传统基于 IP 的防火墙规则无法适应云环境动态性,转向利用 AWS 标签作为安全凭证;④**SCP 强制执行标签规范**——通过"显式拒绝"逻辑防止用户通过篡改标签绕过审计,确保资源创建时即具备正确的 BU/产品/环境归属;⑤**Checkpoint 防火墙有序层逻辑**——按优先级执行地理屏蔽 → BU 隔离 → 产品隔离 → 环境隔离,实现跨 VPC/On-prem/互联网的精细化流量控制。属 [[ctp-topic-1-gruntwork-landing-zone-architecture]] 的安全层扩展,与 [[ctp-topic-28-aws-tag-validation-tool]](标签审计)共同构成标签治理闭环。
**CTP Topic 10**[[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]]AWS Landing Zone 部署、数据收集策略与基于标签的云原生安全架构——Steve Jarman 和 Pradeep 主讲。核心内容①Landing Zone 部署前必须深入了解 BU 资产清单、IP 地址空间及数据敏感性②DNS、Transit Gateway 等基础服务已通过 SRE 团队实现高度自动化;③**基于标签的安全控制机制**——传统基于 IP 的防火墙规则无法适应云环境动态性,转向利用 AWS 标签作为安全凭证;④**SCP 强制执行标签规范**——通过显式拒绝逻辑防止用户通过篡改标签绕过审计,确保资源创建时即具备正确的 BU/产品/环境归属;⑤**Checkpoint 防火墙有序层逻辑**——按优先级执行地理屏蔽 → BU 隔离 → 产品隔离 → 环境隔离,实现跨 VPC/On-prem/互联网的精细化流量控制⑥Inline 层基于账号号的父子规则架构,简化跨账户策略管理。与 [[ctp-topic-1-gruntwork-landing-zone-architecture]] 的安全层扩展,与 [[ctp-topic-28-aws-tag-validation-tool]](标签审计)共同构成标签治理闭环。
Key concepts: [[Landing Zone Architecture]], [[GitOps]], [[FinOps]], [[Event Sourcing]], [[Container Lifecycle Hardening]], [[AWS Backup]], [[ITSM]], [[ITSM-2.0]], [[Hyperautomation]], [[AIOps]], [[Self-Healing-Systems]], [[Zero-Trust-Architecture]], [[Policy-as-Code]], [[Immutable-Infrastructure]], [[Foundation AMI]], [[OS Hardening]], [[CIS Benchmarks]], [[AMI Sharing]], [[Central Repository]], [[Error Budgets]], [[Multi-Cloud Strategy]], [[Multi-Cloud-ROI]], [[DevOps Culture]], [[CI/CD Pipeline]], [[DevSecOps]], [[Shift-Left-Security]], [[Shift-Right-Security]], [[SAST]], [[DAST]], [[IAST]], [[SCA]], [[Break-the-Build]], [[Agile Practices]], [[DevOps Maturity]], [[DORA Metrics]], [[Infrastructure as Code]], [[Cloud-Native]], [[Cloud Maturity Levels]], [[Cloud Adoption Strategy]], [[Cloud Service Delivery]], [[Cloud DevOps Maturity Model]], [[Cloud Operating Model]], [[Cloud Governance]], [[Cloud Cost Optimization]], **[[Serverless Computing]]**, **[[Edge Computing]]**, **[[Green Computing]]**, [[Data-Warehouse]], [[MPP]], [[Columnar-Storage]], [[Sort-Key]], [[Distribution-Key]], [[Vendor-Lock-In]], [[Data-Sovereignty]], [[SLA]], [[SLO]], [[Incident Management]], [[Change Management]], **[[Disaster Recovery]]**, **[[AWS Backup]]**CTP Topic 44AWS Backup 托管服务 vs Micro Focus 当前分散式快照管理,四级 DR 策略——Backup and Restore / Pilot Light / Warm Standby / Active-Active不可变性防勒索软件法律保留满足合规局限无法选择性排除 EC2 附加卷,快照为崩溃一致而非热备份)、**[[高可用High Availability]]**HA 关注系统运行时间MTBF 为衡量指标;与 DR 互补——HA 保运行DR 保数据CTP Topic 72Sabith 主讲 HA 与 DR 的本质区别)、**[[灾难恢复架构模式]]**CTP Topic 72Backup and Restore / Pilot Light / Warm Standby / Active-Active 四级递进,成本与弹性权衡)、**[[Vault Lock]]**CTP Topic 72合规模式下即使根用户也无法删除恢复点防勒索软件核心机制、**[[跨账户备份]]**CTP Topic 72AWS Organizations 集成Bunker Account 隔离存储Forensic Account 定期测试)、**[[增量备份]]** vs [[全量备份]]CTP Topic 72增量仅捕获变更节省存储成本、**[[AWS Backup Audit Manager]]**BAMCTP Topic 72合规审计报告、**[[AWS-Tagging-Standards]]**CTP Topic 28AWS 标签规范,涵盖命名约定、强制标签键、成本标签策略;与 Checkpoint 防火墙安全策略直接关联,标签缺失导致流量拦截)、**[[Tag-Validation-Tool]]**CTP Topic 28SRE 团队开发的 Python/Boto3 工具,通过 YAML 配置扫描 AWS 资源标签合规性)、**[[Service-Control-Policies-SCPs]]**AWS Organizations 策略类型,用于阻止不合规资源创建)、**[[Variables-YAML]]**Tag Validation Tool 核心配置文件,定义每个账户的合法标签键及允许值)、**[[Checkpoint-Firewall]]**(防火墙供应商,依赖 AWS 标签值配置网络访问策略)、**[[SRE-Tools-Repository]]**(内部代码仓库,存放 Tag Validation Tool 等 SRE 自动化脚本):[[WAF]], [[APM]], [[Cloud Security]], [[Cloud Migration]], [[High Availability]], [[Pay-as-you-go]], [[Failover]], [[Multi-factor-Authentication]], [[Data-Governance]], [[Continuous Integration]], [[Continuous Deployment]], [[Lead Time]], [[Time-to-Market]], [[MTTR]], [[MTTD]], [[MTTA]], [[Change Failure Rate]], [[Error Budget]], [[Rollback Rate]], [[Availability]], [[Scalability]], **[[Agentic AI]]**, [[Root Cause Analysis (RCA)]], [[Predictive Maintenance]], [[Deployment Automation]], [[Rightsizing]], [[Automated Security Audit]], [[AI ChatOps]], [[What-If Simulation]], **[[RTO]]**, **[[RPO]]**, **[[Feature Flag]]**, **[[Kill Switch]]**, **[[Progressive Rollout]]**, **[[Micro-Recovery]]**, **[[Deployment-vs-Release]]**, **[[Business Impact Analysis]]**, **[[Public Cloud]]**, **[[Private Cloud]]**, **[[Hybrid Cloud]]**, **[[Shared Responsibility Model]]**, [[Multi-Tenancy]], [[Intentional Cloud Strategy]], **[[Centralized Logging]]**, **[[Cross-Account Monitoring]]**, **[[Multi-Account Deployment]]**, **[[StackSets Deployment Visibility]]**, [[CMDB]], [[Problem-Management]], [[Release-Management]], [[Configuration-Management]], [[Asset-Management]], [[Security-and-Compliance]], [[DRaaS]], [[Canary-Release]], [[Blue-Green-Deployment]], [[Threat Modeling]], [[OWASP-Top-Ten]], [[Bug-Bounty]], [[Vulnerability-Scanning]], [[Penetration-Testing]], [[Compliance-Automation]]
**[[ctp-topic-45-automatic-ip-address-allocation-with-ipam]]**CTP Topic 45Infoblox NIOS IPAM 自动分配 AWS VPC IP 地址——通过 YAML 配置文件声明期望子网大小和区域父 CIDRNIOS 自动分配下一个可用 IP 地址块(≤/24 自动,>/24 需审批);销毁 VPC 时自动从 IPAM Grid 清除条目;建立单一可信数据源,消除手工电子表格记录。属 [[IPAMIP Address Management]] 的机制层详解。
**[[ctp-topic-61-workload-vpc-provision-with-ipam-automation]]**CTP Topic 61Workload VPC 完整自动化供给方案——PushkaPrincipal SRE主讲在 Topic 45 的 IPAM 自动分配机制基础上,展示了端到端 VPC 供给流程。核心增强:多 VPC 批量供给支持、邮件通知机制、CIDR /22 阈值自动审批(更大 CIDR 自动,更小需理由审批)、非路由 IP 地址(如 10.2.0.0/16支持、使用 AZ ID 避免跨账号不一致。Infoblox Grid 作为全局唯一 IP 地址数据源防止重叠,架构包含休斯顿数据中心主库及冗余 DNS/NTP/DHCP 服务。核心理念:**"只需把信息放到正确位置,一切自动完成。"** 属 [[IPAMIP Address Management]] 的应用层扩展,与 [[ctp-topic-45-automatic-ip-address-allocation-with-ipam]] 共同构成 IPAM 的"机制 → 应用"完整链路。
Key concepts: [[Process]], [[Value]], [[Value-Stream]], [[Value-Adding]], [[Waste]], [[Benefits-Quantification]], [[Cost-of-Delay]], [[WSJF]], [[SOM]], [[Feature-Level-Value-Breakdown]], [[Program-Demand-Process]], [[Proof-of-Concept]], [[Gate-Process]], [[Solution-Design]], [[Landing Zone Architecture]], [[Hybrid DNS Resolution]], [[VMware-Cloud-on-AWS]], [[VMware]], [[HCX]], [[SDDC]], [[Stretched-Cluster]], [[Hybrid-Cloud]], [[Multi-Cloud Strategy]], [[Multi-Cloud-ROI]], [[DevOps Culture]], [[CI/CD Pipeline]], [[DevSecOps]], [[Shift-Left-Security]], [[Shift-Right-Security]], [[SAST]], [[DAST]], [[IAST]], [[SCA]], [[Break-the-Build]], [[Agile Practices]], [[DevOps Maturity]], [[DORA Metrics]], [[Infrastructure as Code]], [[Cloud-Native]], [[Cloud Maturity Levels]], [[Cloud Adoption Strategy]], [[Cloud Service Delivery]], [[Cloud DevOps Maturity Model]], [[Cloud Operating Model]], [[Cloud Governance]], [[Cloud Cost Optimization]], [[Serverless Computing]], [[Edge Computing]], [[Green Computing]], [[Data-Warehouse]], [[MPP]], [[Columnar-Storage]], [[Sort-Key]], [[Distribution-Key]], [[Vendor-Lock-In]], [[Data-Sovereignty]], [[SLA]], [[SLO]], [[Incident Management]], [[Change Management]], [[Disaster Recovery]], [[AWS Backup]], [[高可用High Availability]], [[灾难恢复架构模式]], [[Vault Lock]], [[跨账户备份]], [[增量备份]], [[SPF]], [[DKIM]], [[TLS]], [[API-Key-Rotation]], [[Cyber-Suite]], [[CBC-Mode]], [[SendGrid]], [[Twilio]] vs [[全量备份]]CTP Topic 72增量仅捕获变更节省存储成本、**[[AWS Backup Audit Manager]]**BAMCTP Topic 72合规审计报告、**[[AWS-Tagging-Standards]]**CTP Topic 28AWS 标签规范,涵盖命名约定、强制标签键、成本标签策略;与 Checkpoint 防火墙安全策略直接关联,标签缺失导致流量拦截)、**[[Tag-Validation-Tool]]**CTP Topic 28SRE 团队开发的 Python/Boto3 工具,通过 YAML 配置扫描 AWS 资源标签合规性)、**[[Service-Control-Policies-SCPs]]**AWS Organizations 策略类型,通过「显式拒绝」逻辑强制执行标签规范)、**[[OU-Layered-Security]]**(通过组织单元分层结构检查标签确保正确归属)、**[[Tag-Based-Security]]**(将资源标签作为安全凭证替代传统 IP 规则)、**[[Checkpoint-Firewall]]**(防火墙供应商,依赖 AWS 标签值配置网络访问策略)、**[[Variables-YAML]]**Tag Validation Tool 核心配置文件,定义每个账户的合法标签键及允许值)、**[[SRE-Tools-Repository]]**(内部代码仓库,存放 Tag Validation Tool 等 SRE 自动化脚本):[[WAF]], [[APM]], [[Cloud Security]], [[Cloud Migration]], [[High Availability]], [[Pay-as-you-go]], [[Failover]], [[Multi-factor-Authentication]], [[Data-Governance]], [[Continuous Integration]], [[Continuous Deployment]], [[Lead Time]], [[Time-to-Market]], [[MTTR]], [[MTTD]], [[MTTA]], [[Change Failure Rate]], [[Error Budget]], [[Rollback Rate]], [[Availability]], [[Scalability]], **[[Agentic AI]]**, [[Root Cause Analysis (RCA)]], [[Predictive Maintenance]], [[Deployment Automation]], [[Rightsizing]], [[Automated Security Audit]], [[AI ChatOps]], [[What-If Simulation]], **[[RTO]]**, **[[RPO]]**, **[[Feature Flag]]**, **[[Kill Switch]]**, **[[Progressive Rollout]]**, **[[Micro-Recovery]]**, **[[Deployment-vs-Release]]**, **[[Business Impact Analysis]]**, **[[Public Cloud]]**, **[[Private Cloud]]**, **[[Hybrid Cloud]]**, **[[Shared Responsibility Model]]**, [[Multi-Tenancy]], [[Intentional Cloud Strategy]], **[[Centralized Logging]]**, **[[Cross-Account Monitoring]]**, **[[Multi-Account Deployment]]**, **[[StackSets Deployment Visibility]]**, [[CMDB]], [[Problem-Management]], [[Release-Management]], [[Configuration-Management]], [[Asset-Management]], [[Security-and-Compliance]], [[DRaaS]], [[Canary-Release]], [[Blue-Green-Deployment]], [[Threat Modeling]], [[OWASP-Top-Ten]], [[Bug-Bounty]], [[Vulnerability-Scanning]], [[Penetration-Testing]], [[Compliance-Automation]]
**[[ctp-topic-40-saas-database-architecture]]**CTP Topic 40SAS 数据库团队在 AWS 云上的架构与运维实践——团队分布于美国/加拿大/印度/以色列,管理 500+ 数据库和 1000+ DB 服务器;支持 Oracle、Vertica、Postgres、DynamoDB、SQL Server、MongoDB、MySQL 等多引擎;高可用架构采用三可用区模式(主库/备用库/见证节点);使用 Oracle Data Guard、Postgres Active-Passive/Active-Active、RDS HA 实现多活;通过 Terraform、AWS CLI、Shell/PowerShell 实现 IaC 自动化Oracle GoldenGate 支持零停机迁移。属 [[AWS-Landing-Zone]] 数据库层的核心实践,与 [[ctp-topic-51-purpose-built-databases]](数据库品类全景)和 [[ctp-topic-66-rds-vs-aurora]](关系型选型)共同构成完整的 AWS 数据库知识体系。
**[[ctp-topic-43-vmware-cloud-on-aws]]**CTP Topic 43VMware Cloud on AWS 混合云服务介绍——VMware 与 AWS 联合开发,在 AWS 裸金属服务器i3.metal/i3en.metal上原生安装 vSphere 8为不完全准备完全迁移至原生云的企业提供中间路线。工作负载可在数秒内往返迁移于本地与云端之间通过 HCX 实现 any-to-any vSphere 迁移。Brian Reeves 讨论经济学效益:相比常规云方案节省 27% 成本,云经济学团队可提供 TCO 计算。Mike O'ReillyVMware Staff Cloud Solutions Architect强调这是真正的联合工程而非简单地将 VMware 软件部署到云端。支持 SDDC 部署,通过 vCenter 管理,支持跨可用区的 Stretched Cluster 高可用架构。属 [[Hybrid-Cloud]] 在 AWS 落地的核心实践,与 [[ctp-topic-53-why-bother-with-cloud]] 存在是否应迁移至云端的观点张力。
**[[ctp-topic-69-vmware-vm-migration-best-practices]]**CTP Topic 69VMC on AWS 虚拟机迁移最佳实践——基于 VMware 顾问支持的经验分享。核心内容①架构——VMware Cloud 托管于 AWS 基础设施,通过 Direct Connect 和 Virtual Transit Gateway 实现与本地数据中心的混合云连接②HCX 多云管理——每次迭代最多支持 200 台 VM 迁移,支持从 STDC 查看本地 vSphere 环境和反向操作③两种迁移方法——UI 方式VMware Cloud 原生)和 CCOE 脚本方案(使用输入文件定义 VM 详情);④成本原则——"Anything which leaves definitely attracts cost",数据传输产生费用;⑤后迁移管理——通过 Brown to Manage (BHM) 系统集成 SMACS Suite 和 HCMX 实现虚拟机管理。属 [[VMware-Cloud-on-AWS]] 迁移执行层面的核心补充,与 [[ctp-topic-43-vmware-cloud-on-aws]] 互补构成完整的"概述→迁移执行"知识链路。
**[[ctp-topic-46-netapps-on-aws]]**CTP Topic 46NetApp 存储系统 AWS 实践——Sandeep 和 Yael 主讲。覆盖传统 NetApp 架构ONTAP / Aggregate / FlexVol / Qtree / LUN / LIF / SVM和 AWS 云版本 Cloud Volume ONTAP (CVO)。CVO 通过 EC2 实例提供软件定义存储,支持单节点或 HA 配对(跨多 AZ 同步复制);数据分层机制将 30 天非活跃数据从 EBS 自动迁移到 S3SnapMirror 实现块级跨集群复制;支持的迁移工具包括 SnapMirror、NetApp XCP、Cloud Sync、AWS DataSync。组织已在 15 个 AWS 区域部署约 1.3 PB 数据,使用 Cloud Manager 集中管理,计划引入 FSX for NetAppPOC和 Terraform 自动化部署。属 [[AWS-Landing-Zone]] 存储层架构的核心补充。
**[[ctp-topic-51-purpose-built-databases]]**CTP Topic 51AWS 数据库专家 Femi George 分享专用数据库选型与架构原则——核心思维:现代应用"为正确的工作选择正确的专用数据库"避免一刀切。AWS 提供完整数据库品类关系型RDS、Aurora MySQL/PostgreSQL、NoSQL 键值( DynamoDB日处理万亿请求、文档DocumentDBMongoDB 兼容、宽列KeyspacesCassandra 兼容、内存ElastiCache Redis/Memcached、图Neptune、时序Timestream、账本。实战案例Duolingo 用 DynamoDB + ElastiCache + Aurora 组合Netflix 用 DynamoDB 做高弹性 JSON 文档Peloton 用 ElastiCache Redis 提供即时客户反馈。云时代 DBA 职能从底层平台管理转向应用创新(查询优化/架构设计)。属 [[AWS-Landing-Zone]] 数据库层的完整品类指南,与 [[ctp-topic-66-rds-vs-aurora]](关系型内部选型)互补。
@@ -71,10 +85,20 @@ Key concepts: [[Landing Zone Architecture]], [[GitOps]], [[FinOps]], [[Event Sou
**[[ctp-topic-14-octane-hub-on-aws]]**CTP Topic 14Octane Hub CTO 实战案例——Docker 容器化工作负载从 Bibling Lab 物理服务器迁移到 AWS Landing Zone。核心技术要点Packer 构建 AMI + Terraform/TerraGrunt 替代控制台脚本IaC 演进路径EFS 适合备份、EBS 适合实时数据库存储选型原则VPC Transit Gateway 实现多 VPC 互联;"紧密镜像现有设置"作为无缝迁移策略。下一步DR 改进、MSSQL→Postgres 迁移、ECS 演进。属 [[AWS-Landing-Zone]] 从设计到落地的完整案例补充。
**[[ctp-topic-22-global-dns-service-offerings]]**CTP Topic 22企业级全球 DNS 服务架构详解——Sankar 和 Vino 主讲。核心架构Route 53 Private Hosted Zone私有托管区域配合 AD 托管 DNS通过 Route 53 Resolver 入站/出站终端节点打通 AWS VPC 与本地网络的 DNS 查询Outbound Endpoint 出站规则配置多个区域 AD 域控制器 IP单区域故障时自动切换确保弹性。本地 Infoblox 平台利用 DNS Anycast 实现全球低延迟和自动故障转移AWS EC2 不支持 Anycast需手动维护 IP 列表。DNS 安全涵盖防隧道攻击、防数据外泄及缓存污染;"就近解析"原则优化 Office 365 等全球化 SaaS 访问性能。属 [[AWS-Landing-Zone]] 网络层 DNS 专题,与 [[ctp-topic-19-configuring-dns-within-aws-lzs]] 共同构成 Landing Zone DNS 知识体系——后者(前文)介绍 Route 53 Resolver Inbound/Outbound Endpoints 打通混合 DNS 架构,本视频(后者)聚焦 Landing Zone 内部集中化 DNS 账号的配置实践Terraform 自动化实现新账号上线即具备完整解析能力。
**[[ctp-topic-36-sendgrid-as-an-email-service]]**CTP Topic 36SendGrid 被选定为经典和新 Landing Zone 的标准邮件服务替换现有语义消息网关Port 25 不安全、即将停用本地网络)和 SES每封限制 50 收件人。SendGrid 支持每封最多 1,000 收件人、全云兼容、TLS 端到端加密和双因素认证;支持计划覆盖每月 500 万封邮件;提供直连 SendGrid需 TLS和中继服务器不支持 TLS 的应用)两种架构,数据通过全球中继节点(伦敦/印度/东京)走私有线路汇至美国数据中心。配置要求:使用 software.microcopy.com 域名、连接 smtp.sendgrid.net:587、启用 TLSSPF/DKIM 记录为邮件送达必要条件API 密钥每 180 天轮换,日志保留 7 天。同期 Yu-Yan 分享了 Cyber Suite 加密标准更新,涵盖 FIPS/Java/Golang/Node.js/OpenCell 等行业标准合规模件,可选套件因包含 CBC 模式(弱加密)仅作向后兼容,使用非标准套件的产品需经 PSAC 审查。属 [[AWS-Landing-Zone]] 通信层基础组件,与 [[ctp-topic-37-secrets-certificates-management]] 同属安全运维范畴。
**[[ctp-topic-17-active-directory-services-in-gruntwork-aws-lzs]]**CTP Topic 17Paul 讲解 Gruntwork AWS Landing Zones 中的 AD 服务集成——双域名策略(`swinford.net` 用于 R&D Labs`intsas.local` 用于生产/SAS 环境SRE 预制 AMI 内置 PowerShell/Shell 脚本,通过 Terraform `user_data` 实现自动化域加入;旧域名 `infra``AST` 已废弃提供明确迁移路径Linux 支持安全动态更新Secure Dynamic Updates自动注册 DNS A 记录R&D 环境使用 MIM 自助服务,生产/SAS 环境通过 SMACKS 工单系统申请账号。属 [[AWS-Landing-Zone]] AD 集成的核心实践参考。
**[[ctp-topic-28-aws-tag-validation-tool]]**CTP Topic 28AWS 标签验证工具——Lewis Brown 主讲SRE 团队开发的 Python/Boto3 工具。Checkpoint 防火墙通过读取 EC2、安全组、负载均衡器的标签值动态配置网络访问策略标签缺失或无效将导致流量被拦截SCPs 可阻止不合规资源创建但无法修复存量资源。该工具通过 `variables.yaml` 定义每个账户的合法标签值,自动扫描 EC2/安全组/负载均衡器/Lambda生成 CSV 审计报告。使用 Poetry 管理 Python 环境,存放于 SRE Tools Repository。标签策略还计划用于未来成本核算区分同一账户下不同产品的资源消耗。属 [[AWS-Landing-Zone]] 标签治理闭环的核心补充——制定规范Topic 10→ 强制执行SCPs→ 审计发现Topic 28
**[[ctp-topic-30-managing-change]]**CTP Topic 30云转型中的变更管理与 SRE 团队协作——Brendan StarnigSRE Function Lead主讲。核心内容①SRE 职责——用软件工程思维解决运维问题追求可靠性、可测试性、可重复性核心是打破运维与产品的壁垒②变更分类——Standard Change预批准完全自动化 IaC+CI/CD无需 CAB→ Normal Change需 CAB 审批,目标是通过自动化逐步归入 Standard Change→ Emergency Change立即执行缓解事故事后 CAPA/Post-mortem 修复根因③SRE 三阶段协作——构建Build/早期上线支持Early Live Support/BAU④Self-Healing 演进方向——各产品组分享实践SRE 协助在监控产品中落地。属 [[AWS-Landing-Zone]] 运维治理层的核心补充,与 [[ctp-topic-28-aws-tag-validation-tool]]IaC 变更的 Tagging 标准属于 Standard Change 范畴)共同构成变更管理知识体系。
**[[ctp-topic-65-tracing-the-value-delivered-in-cloud-transformation]]**CTP Topic 65云转型中的价值交付量化框架——提供系统性衡量、捕获和优先排序云转型业务价值的方法论。核心内容①基础概念——过程Process将输入转化为产出/成果,成果分硬性(时间/成本/质量)和软性(健康/安全Lean 识别三类活动增值活动、价值赋能活动、浪费价值Value由客户决定体现为公平回报②价值流Value Stream分为运营价值流OVS面向客户和开发价值流DVS内部产品③收益量化框架——涵盖财务、生产力、质量和体验四个维度聚焦收入增长、成本降低、风险改善和服务可获得市场规模SOM④WSJF 优先级排序——通过 Cost of Delay / Size of Job 比值对工作排序,实现"最小投入尽早交付最大价值";延迟成本 = 业务价值 + 时间紧迫性 + 风险与机会;⑤功能级价值拆解——可按单一功能归属、均分或不均匀分配(基于触达/影响/努力等标准)。属 [[AWS-Landing-Zone]] 价值治理层的核心方法论,与 [[ctp-topic-30-managing-change]](变更管理)和 [[ctp-topic-20-program-demand-process-flow]](需求流程)共同构成完整的 CTP 治理知识体系。
**[[ctp-topic-20-program-demand-process-flow-and-poc-onboarding]]**CTP Topic 20云转型计划的程序需求流程与 POC 入职流程——Sergio 和 Damian 主讲。核心内容①需求来源——主要由业务案例如数据中心关闭、高层管理人员战略优先级及产品路线图驱动②Gate Process——Gate 0 评估准入、Gate 1 负责 Design Authority 审批、Gate 3 作为启动迁移的最终准入③POC 目的——不仅验证架构和技术可行性,还包括让团队熟悉基于 Gruntwork 的新一代 Landing Zone④新环境特点——强调 IaCTerraform/Terragrunt自动化部署严禁手动构建⑤PCG 团队——平台控制组,负责提供云环境支持、安全策略制定及协助产品组进行 POC⑥成功标准——POC 成功标准必须在启动前明确定义。属 CTP 治理知识体系入口,与 [[ctp-topic-65]](价值量化)、[[ctp-topic-57]](需求管理)、[[ctp-topic-30]](变更管理)共同构成完整的治理框架链条。
**[[ctp-topic-47-enterprise-architecture-cloud-standards]]**CTP Topic 47Lindsay 分享企业架构云标准——核心概念Landing Zone 框架聚焦安全、合规和可管理性为云工作负载提供托管基础包含账户结构dev/stage/prod、网络、安全、访问管理和遥测账户结构与环境和角色对齐通过零信任和最小权限原则定义访问控制Terraform/Terragrunt 实现 IaC促进标准化和可测试性云防护栏文档捕获强制性要求和最佳实践指导可扩展性、成本最小化和灵活性功能分区将单体应用拆分为更小的独立模块或无服务器函数。强调需要应用团队的输入来完善防护栏并纳入实践经验。属 [[AWS-Landing-Zone]] 企业架构层的理论补充。
**[[ctp-topic-72-enterprise-dr-strategy-aws-backup]]**CTP Topic 72AWS 解决方案架构师 Sabith 深入讲解企业级灾难恢复策略与 AWS Backup 架构设计——核心内容HA高可用关注系统运行时间和 MTBFDR灾难恢复专注于防止数据丢失和系统恢复两者互补RPO恢复点目标定义可接受的最大数据丢失量RTO恢复时间目标定义可接受的最大停机时间AWS Backup 完全托管、基于策略,通过 Backup Plans 定义何时备份什么Backup Vaults 存储恢复点,支持跨账户跨区域复制;四级 DR 架构模式Backup and Restore → Pilot Light → Warm Standby → Active-Active提供从低成本到高弹性的递进选择增量备份仅捕获变更节省成本Vault Lock 合规模式防止任何人(包括根用户)提前删除恢复点,有效防勒索软件;建议使用独立的 Vault/Bunker Account 存储备份副本取证账户Forensic Account定期测试恢复点并扫描恶意软件。属 [[AWS-Landing-Zone]] DR 与数据保护层的理论基础补充,与 [[ctp-topic-44-aws-backup-in-micro-focus]](聚焦 Micro Focus 内部评估)和 [[ctp-topic-73-aws-backup-implementation]](聚焦 CTP 迁移实施)构成完整的 AWS Backup 知识体系。