Auto-sync: 2026-04-28 20:03

2026-04-28 20:03:11 +08:00
parent c51cc4c58b
commit f71229f0c3
94 changed files with 2752 additions and 1295 deletions
--- a/wiki/entities/AWS-Backup-Audit-Manager.md
+++ b/wiki/entities/AWS-Backup-Audit-Manager.md
@@ -0,0 +1,39 @@
+---
+title: "AWS Backup Audit Manager"
+type: entity
+tags:
+  - AWS
+  - Backup
+  - Compliance
+  - Audit
+sources:
+  - ctp-topic-72-implementing-an-enterprise-dr-strategy-using-aws-backup
+  - ctp-topic-73-aws-backup-implementation-of-the-cloud-transformation-program
+last_updated: 2026-04-28
+---
+
+## AWS Backup Audit Manager
+
+AWS Backup Audit Manager 是 AWS Backup 的内置合规审计框架，用于评估和改进备份实践。
+
+### 核心功能
+
+- **合规报告**：开箱即用的备份合规报告，可导出为 CSV 或 JSON 到 S3
+- **控制项评估**：预置控制项自动评估备份实践是否符合标准
+- **报告维度**：备份状态、被保护资源、创建时间、恢复点时间、备份时长、备份大小
+- **SNS 告警**：可配置 SNS 主题接收备份状态告警通知
+
+### 关键控制项
+
+| 控制项 | 说明 |
+|--------|------|
+| 备份覆盖率 | 确保备份资源受备份计划保护 |
+| 最小频率和保留期 | 验证备份是否满足最低 RPO/RTO 要求 |
+| 手动删除防护 | 确保恢复点不被手动删除 |
+| 加密验证 | 确保恢复点已加密 |
+| 跨区域/跨账户备份 | 确保按计划执行跨区域和跨账户复制 |
+
+### Related Sources
+
+- [[ctp-topic-72-implementing-an-enterprise-dr-strategy-using-aws-backup]] — AWS 官方 DR 策略
+- [[ctp-topic-73-aws-backup-implementation-of-the-cloud-transformation-program]] — CTP 中的 Audit Manager 使用
--- a/wiki/entities/AWS-Backup.md
+++ b/wiki/entities/AWS-Backup.md
@@ -0,0 +1,61 @@
+---
+title: "AWS Backup"
+type: entity
+tags:
+  - AWS
+  - Backup
+  - DR
+  - Cloud-Native
+sources:
+  - ctp-topic-72-implementing-an-enterprise-dr-strategy-using-aws-backup
+  - ctp-topic-73-aws-backup-implementation-of-the-cloud-transformation-program
+  - ctp-topic-44-aws-backup-in-micro-focus
+last_updated: 2026-04-28
+---
+
+## AWS Backup
+
+AWS Backup 是 AWS 原生全托管的策略驱动型备份服务，支持 80+ 种 AWS 资源类型的集中备份和恢复管理。作为企业级灾备战略的核心工具，它通过备份计划（Backup Plans）、备份保管库（Backup Vaults）和跨账户复制等机制，实现备份流程的标准化和自动化。
+
+## Core Capabilities
+
+| 功能 | 说明 |
+|------|------|
+| **Backup Plans** | 通过基于规则的备份计划定义何时备份、备份什么、存储到哪个保管库 |
+| **Backup Vaults** | 存储恢复点的加密容器，支持生命周期管理和访问控制 |
+| **跨账户跨区域复制** | 通过 AWS Organizations 将备份复制到独立账户/区域，实现备份隔离 |
+| **Vault Lock** | 合规模式锁定，防止任何人（包括根用户）在生命周期结束前删除恢复点 |
+| **AWS Backup Audit Manager** | 内置合规审计框架，提供备份状态报告和控制评估 |
+| **增量备份** | 仅备份自上次备份以来的变更，节省存储成本 |
+| **点时间恢复** | 支持 S3 和 RDS 的 PITR（Point-In-Time Recovery） |
+
+## Supported Resource Types
+
+AWS Backup 支持的典型资源类型包括：
+- Amazon EC2（实例、EBS 卷）
+- Amazon RDS（含 Aurora）、DynamoDB
+- Amazon EFS、FSx
+- Amazon S3
+- AWS Storage Gateway
+- VMware on-premises（通过 AWS Backup for VMware）
+
+## Key Architectural Patterns
+
+- **集中管控 + 分散执行**：SRE 团队提供标准化 Backup Model，产品组在 DRA 账户内自主管理
+- **备份隔离**：备份存储在独立的 Bunker/Vault 账户，与工作负载账户分离
+- **Forensic Account**：独立取证账户定期测试恢复点并扫描恶意软件
+- **零 RPO 策略**：结合 AWS Native 快照和 AWS Backup 实现分层备份
+
+## Related Concepts
+
+- [[RTO]] — Recovery Time Objective，灾备核心指标
+- [[RPO]] — Recovery Point Objective，灾备核心指标
+- [[High Availability]] — 高可用性，灾备体系的另一支柱
+- [[Vault Lock]] — 合规锁定，防勒索软件
+- [[增量备份]] — 节省存储的备份策略
+
+## Related Sources
+
+- [[ctp-topic-72-implementing-an-enterprise-dr-strategy-using-aws-backup]] — AWS 官方 DR 策略与 AWS Backup 架构（Sabith 主讲）
+- [[ctp-topic-73-aws-backup-implementation-of-the-cloud-transformation-program]] — CTP 中的 AWS Backup 实施落地
+- [[ctp-topic-44-aws-backup-in-micro-focus]] — Micro Focus 内部 AWS Backup 评估
--- a/wiki/entities/AWS-SSM.md
+++ b/wiki/entities/AWS-SSM.md
@@ -0,0 +1,44 @@
+---
+title: "AWS SSM"
+type: entity
+tags: ["AWS", "Systems-Manager", "Patch-Management", "Remote-Access"]
+sources: ["learning-sessions-standard-amis-updates-20231205-160324-meeting-recording-2", "ctp-topic-17-active-directory-services-in-gruntwork-aws-lzs", "ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones"]
+last_updated: 2026-05-08
+---
+
+## Overview
+AWS Systems Manager (SSM) 是 AWS 的管理和运维服务，在 Micro Focus AWS Landing Zone 中扮演两个关键角色：①作为标准 AMI 的内置 Agent（SSM Agent）实现实例管理和远程操作；②提供 SSM Patching 方案为长期运行实例按需打补丁；③替代传统 VPN 实现安全的远程实例访问。
+
+## Aliases
+- AWS Systems Manager
+- SSM Agent
+- SSM Session Manager
+- SSM Patch Manager
+- Session Manager
+
+## Role in AWS Landing Zone
+
+### 1. 标准 AMI 内置组件
+- SSM Agent 是所有标准 AMI 的默认组件
+- 支持实例元数据查询、配置管理、远程命令执行
+
+### 2. SSM Patching 方案
+- 为无法频繁刷新镜像的长期运行实例提供按需补丁管理
+- 通过补丁基准（Patch Baseline）自动化补丁审批和安装
+
+### 3. 安全远程访问（替代 VPN）
+- SSM Session Manager 提供浏览器内会话访问 EC2 实例
+- 通过 IAM 角色控制访问权限，无需 VPN 连接
+- 支持双因素认证和 AWS 网络内安全连接
+
+## Key Capabilities
+- **Run Command**：跨多实例批量执行命令
+- **Session Manager**：安全的浏览器内 shell 会话
+- **Patch Manager**：自动化补丁管理
+- **State Manager**：维护实例配置状态
+- **Parameter Store**：存储配置和密钥（已被 Secrets Manager 替代）
+
+## Connections
+- [[AWS-Landing-Zone]] — SSM 是标准化运维基础设施
+- [[ctp-topic-31-network-segregation-and-secure-access-to-the-new-aws-landing-zones]] — SSM Session Manager 替代 VPN 方案
+- [[ctp-topic-17-active-directory-services-in-gruntwork-aws-lzs]] — SSM Agent 内置于 SRE 预制 AMI
--- a/wiki/entities/AWS.md
+++ b/wiki/entities/AWS.md
@@ -1,35 +1,36 @@
---
-title: "Amazon Web Services (AWS)"
-type: entity
-tags:
-  - AWS
-  - Cloud
-  - Hybrid-Cloud
-sources: [cloud-operating-model-key-strategies-and-best-practices]
-last_updated: 2026-04-25
---
-
-## Amazon Web Services (AWS)
-
-Amazon Web Services (AWS) is the world's most comprehensive and broadly adopted cloud platform, offering over 200 fully featured services from data centers globally.
-
-## Aliases
- AWS
- Amazon Web Services
-
-## Key Partnerships
- **VMware Cloud on AWS (VMC on AWS)**: AWS partnered with VMware to run VMware workloads natively on AWS infrastructure. The underlying hardware consists of i3.metal and i3en.metal bare metal servers, organized into clusters within availability zones and regions.
-
-## Infrastructure for VMC on AWS
- **i3.metal**: Bare metal server instance used for VMware Cloud on AWS SDDC deployment
- **i3en.metal**: Enhanced bare metal instance with larger storage capacity
- **Clusters**: Organized within availability zones and regions globally
- **Stretched Clusters**: Available across availability zones for increased resilience
-
-## Connections
- [[VMware-Cloud-on-AWS]] ← powered_by ← [[AWS]]
- [[ctp-topic-43-vmware-cloud-on-aws]] ← source ← [[AWS]]
- [[VMware]] ← partners ← [[AWS]]
-
-## Sources
- [[ctp-topic-43-vmware-cloud-on-aws]]
+---
+title: "Amazon Web Services (AWS)"
+type: entity
+tags:
+  - AWS
+  - Cloud
+  - Hybrid-Cloud
+sources: [cloud-operating-model-key-strategies-and-best-practices]
+last_updated: 2026-04-25
+---
+
+## Amazon Web Services (AWS)
+
+Amazon Web Services (AWS) is the world's most comprehensive and broadly adopted cloud platform, offering over 200 fully featured services from data centers globally.
+
+## Aliases
+- AWS
+- Amazon Web Services
+
+## Key Partnerships
+- **VMware Cloud on AWS (VMC on AWS)**: AWS partnered with VMware to run VMware workloads natively on AWS infrastructure. The underlying hardware consists of i3.metal and i3en.metal bare metal servers, organized into clusters within availability zones and regions.
+
+## Infrastructure for VMC on AWS
+- **i3.metal**: Bare metal server instance used for VMware Cloud on AWS SDDC deployment
+- **i3en.metal**: Enhanced bare metal instance with larger storage capacity
+- **Clusters**: Organized within availability zones and regions globally
+- **Stretched Clusters**: Available across availability zones for increased resilience
+
+## Connections
+- [[VMware-Cloud-on-AWS]] ← powered_by ← [[AWS]]
+- [[ctp-topic-43-vmware-cloud-on-aws]] ← source ← [[AWS]]
+- [[VMware]] ← partners ← [[AWS]]
+
+## Sources
+- [[ctp-topic-43-vmware-cloud-on-aws]]
+- [[ctp-topic-72-implementing-an-enterprise-dr-strategy-using-aws-backup.md]]
--- a/wiki/entities/CCOE.md
+++ b/wiki/entities/CCOE.md
@@ -0,0 +1,43 @@
+---
+title: "CCOE"
+type: entity
+tags:
+  - Cloud
+  - AWS
+  - Organization
+sources: []
+last_updated: 2026-05-07
+---
+
+## CCOE
+
+Cloud Center of Excellence（云卓越中心），是企业内部负责云标准化、合规与治理的核心职能部门。
+
+## Description
+
+在 Micro Focus AWS 云转型计划（CTP）中，CCOE 负责：
+- 提供安全加固的基础镜像（Foundation AMI）
+- 制定和维护 AMI 路线图
+- 跨账号共享标准 AMI 和 KMS 密钥
+- 推动 AWS Landing Zone 的标准化架构落地
+
+## Key Responsibilities
+
+- **Foundation AMI 生命周期管理**：基于市场主流 OS（CentOS/Ubuntu/Windows）进行 [[CIS-Benchmark]] 安全基准加固，集成 McAfee EPO 防病毒 + Syslog-ng 日志管理 + AD 单点登录 + [[AWS-SSM]] + SiteScope 监控
+- **AMI 构建自动化**：通过 [[HashiCorp]] Packer + [[Jenkins]] 流水线实现镜像创建完全自动化
+- **版本策略**：每两个月更新一次，采用 N-2 版本保留策略
+- **分发机制**：通过跨账号共享（AMI Sharing）分发至全球多区域，而非物理复制
+
+## Role in Shared Responsibility
+
+- **CCOE 负责**：提供安全的基础镜像（Foundation AMI）
+- **产品团队负责**：在 Foundation AMI 之上构建产品特定 AMI，并负责其生命周期管理
+
+## Aliases
+- Cloud Center of Excellence
+- CCoE
+- Cloud CoE
+
+## Sources
+- [[ctp-topic-26-standard-ami-build-publish-share-processes]] — Foundation AMI 全生命周期管理详解（ Srihari/Alan/Praveen 主讲）
+- [[ctp-topic-50-ami-roadmap-for-aws-amis]] — CCOE AMI 路线图详解
--- a/wiki/entities/CloudFront.md
+++ b/wiki/entities/CloudFront.md
@@ -0,0 +1,28 @@
+---
+title: "CloudFront"
+type: entity
+tags: [CDN, AWS, Networking]
+sources: [ctp-topic-7-saas-landing-zone-design]
+last_updated: 2026-05-06
+---
+
+## CloudFront
+
+AWS 内容分发网络（CDN）服务，托管于全球边缘节点，用于加速静态和动态内容的分发。
+
+## Role in AWS Landing Zone
+
+在 [[ctp-topic-7-saas-landing-zone-design]] 定义的 SAS LZ 产品账户中：
+- **位置**：Product Account 入站安全/加速层（可选）
+- **入站链路**：用户 → CloudFront → WAF（流量监控）→ Load Balancer（公有子网）→ 工作负载（私有子网）
+- **用途**：CDN 加速内容分发，减少源站负载
+
+## Key Properties
+- **Type**: CDN (Content Delivery Network)
+- **Vendor**: AWS
+- **In SAS LZ**: 可选部署于产品账户入站链路
+- **Position in stack**: CloudFront → WAF → Load Balancer → Private Subnet Workloads
+
+## Connections
+- [[ctp-topic-7-saas-landing-zone-design]] — SAS LZ 产品账户入站架构
+- [[ctp-topic-7-saas-landing-zone-design]] — WAF 和负载均衡器协同工作的 CDN 层
--- a/wiki/entities/DRA-Account.md
+++ b/wiki/entities/DRA-Account.md
@@ -0,0 +1,33 @@
+---
+title: "DRA Account"
+type: entity
+tags:
+  - AWS
+  - Backup
+  - DR
+  - CTP
+  - Multi-Account
+sources:
+  - ctp-topic-73-aws-backup-implementation-of-the-cloud-transformation-program
+last_updated: 2026-04-28
+---
+
+## DRA Account
+
+DRA（Disaster Recovery Account）账户是 CTP（Cloud Transformation Programme）中为每个生产工作负载账户设立的专属灾备账户。
+
+### 用途
+
+- 存储从源账户复制过来的备份恢复点
+- 实现物理隔离：工作负载账户被入侵时，备份不会一并丢失
+- 支持即时恢复：备份保留在 DR 账户内，无需耗时跨账户数据拷贝即可完成恢复
+
+### 架构关系
+
+- 源账户 → 取初始备份 → 复制到 → **DRA Account**
+- 如 DRA 账户不可用，备份可回退到 [[Databunker]] 集中账户
+- DRA 账户配合 AWS Backup Audit Manager 提供合规审计报告
+
+### Related Sources
+
+- [[ctp-topic-73-aws-backup-implementation-of-the-cloud-transformation-program]] — CTP 中 DR 账户设计
--- a/wiki/entities/Databunker.md
+++ b/wiki/entities/Databunker.md
@@ -0,0 +1,32 @@
+---
+title: "Databunker"
+type: entity
+tags:
+  - AWS
+  - Backup
+  - DR
+  - CTP
+sources:
+  - ctp-topic-73-aws-backup-implementation-of-the-cloud-transformation-program
+last_updated: 2026-04-28
+---
+
+## Databunker
+
+Databunker 是 CTP 中作为备份集中存储备选账户的内部命名账户。
+
+### 用途
+
+- 当 DRA 账户不可用时，作为集中账户存储备份副本
+- 作为跨区域、跨账户备份架构的降级方案
+- 配合 AWS Backup 的跨账户复制机制使用
+
+### 架构关系
+
+- [[DRA-Account]] 为每个生产工作负载的专属 DR 账户（主方案）
+- [[Databunker]] 为集中备份账户（降级方案）
+- 两个账户均使用 [[AWS-Backup]] 的 Vault Lock 确保不可变性
+
+### Related Sources
+
+- [[ctp-topic-73-aws-backup-implementation-of-the-cloud-transformation-program]] — CTP 中 Databunker 作为备份集中账户的用途
--- a/wiki/entities/Jenkins.md
+++ b/wiki/entities/Jenkins.md
@@ -0,0 +1,33 @@
+---
+title: "Jenkins"
+type: entity
+tags: ["CI/CD", "Automation", "DevOps"]
+sources: ["learning-sessions-standard-amis-updates-20231205-160324-meeting-recording-2", "ctp-topic-26-standard-ami-build-publish-share-processes", "ctp-topic-1-gruntwork-landing-zone-architecture", "ctp-topic-7-saas-landing-zone-design"]
+last_updated: 2026-05-08
+---
+
+## Overview
+Jenkins 是开源的 CI/CD 自动化服务器，在 Micro Focus AWS Landing Zone 中承担基础设施即代码（IaC）部署和 AMI 构建的双重角色。每个 Landing Zone 配置独立的 Jenkins 服务器，通过多分支流水线（Multi-Branch Pipeline）管理 Terraform/TerraGrunt 模块的 plan 和 apply 流程，以及标准 AMI 的构建和测试。
+
+## Aliases
+- Jenkins CI
+- Jenkins Master
+- Jenkins Slave
+- Jenkins Multi-Branch Pipeline
+
+## Role in AWS Landing Zone
+- **Shared 账户**：托管 Jenkins 主节点（Master），通过 Lambda 触发各账户 Jenkins 从节点
+- **AMI 构建**：Jenkins 多分支流水线驱动 Packer 镜像构建，包含脚本化测试和 AWS Inspector 安全扫描
+- **IaC 部署**：扫描 GitHub 仓库变更，触发 Terraform Plan/Apply 流水线
+- **每个 LZ 独立**：Gruntwork 参考架构中每个 Landing Zone 有自己的 Jenkins 服务器
+
+## Key Processes
+- Feature Branch Pipeline：功能分支开发 → 合并到集成分支 → 构建测试 → 发布
+- Jenkinsfile 定义构建、测试、发布各阶段
+- 与 GitHub 集成实现自动化触发
+
+## Connections
+- [[AWS-Landing-Zone]] — Jenkins 是核心自动化基础设施
+- [[Terraform-IaC]] — Jenkins 流水线编排 Terraform 部署
+- [[Terragrunt]] — 与 Jenkins 配合的 IaC 工具
+- [[Gruntwork]] — Gruntwork 参考架构中的 Jenkins 配置模式
--- a/wiki/entities/OBM.md
+++ b/wiki/entities/OBM.md
@@ -0,0 +1,39 @@
+---
+title: "OBM"
+type: entity
+tags: [Monitoring, Observability, AWS, Micro-Focus]
+sources: [ctp-topic-7-saas-landing-zone-design]
+last_updated: 2026-05-06
+---
+
+## OBM (Operations Bridge Manager)
+
+Micro Focus Operations Bridge Manager (OBM) — 企业级监控平台，托管于 SAS Landing Zone 的 Monitoring 共享服务账户中，为产品账户提供运维监控能力。
+
+## Role in AWS Landing Zone
+
+在 [[ctp-topic-7-saas-landing-zone-design]] 定义的 SAS LZ 共享服务账户体系中：
+- **账户位置**：Monitoring Account（共享服务层）
+- **功能**：为所有产品账户提供集中式运维监控
+- **替代方案**：计划未来引入 Sitescope 作为补充监控手段
+- **上下文**：属 Shared Services Accounts 的一部分，与 Software Factory、Cyber (Qalis)、ARC Site 并列
+
+## Key Properties
+- **Type**: Monitoring/Observability Platform
+- **Vendor**: Micro Focus (Operations Bridge Suite)
+- **Location**: Monitoring Shared Services Account
+- **In SAS LZ Layer**: Shared Services Accounts
+
+## Related Tools
+- [[ctp-topic-8-implementation-of-cloud-monitoring-using-micro-focus-operations-brid]] — OBM 在云监控中的具体实施
+- [[ctp-topic-60-monitor-aws-using-hyperscale-observability-with-grafana]] — Grafana 替代方案（云原生监控）
+
+## Aliases
+- Operations Bridge Manager
+- Micro Focus OBM
+- OBM (Operations Bridge Manager)
+
+## Connections
+- [[ctp-topic-7-saas-landing-zone-design]] — SAS LZ 共享服务层组件
+- [[ctp-topic-8-implementation-of-cloud-monitoring-using-micro-focus-operations-brid]] — OBM 云监控实施细节
+- [[ctp-topic-60-monitor-aws-using-hyperscale-observability-with-grafana]] — Grafana 监控方案
--- a/wiki/entities/Pulse-VPN.md
+++ b/wiki/entities/Pulse-VPN.md
@@ -0,0 +1,40 @@
+---
+title: "Pulse-VPN"
+type: entity
+tags: [VPN, Network-Security, Remote-Access]
+sources: [ctp-topic-7-saas-landing-zone-design]
+last_updated: 2026-05-06
+---
+
+## Pulse VPN
+
+企业级远程访问 VPN 解决方案。Pulse VPN 是 Checkpoint VPN 的升级替代方案，用于 SAS Landing Zone 中的远程安全接入。
+
+## Role in AWS Landing Zone
+
+在 [[ctp-topic-7-saas-landing-zone-design]] 定义的 SAS LZ 中：
+- **替代 Checkpoint VPN**：远程访问从 Checkpoint VPN 迁移至 Pulse VPN
+- **认证方式**：通过 Active Directory（AD）认证，操作员必须使用 VPN 客户端
+- **用途**：允许运维人员远程访问 AWS 账户资源
+
+## Relationship with Checkpoint VPN
+
+| 维度 | Checkpoint VPN | Pulse VPN |
+|------|----------------|-----------|
+| 认证 | 旧式认证 | AD 认证 |
+| 状态 | 迁移中（逐步淘汰） | 新一代远程访问 |
+| 适用场景 | 历史遗留 | 新建 SAS LZ 环境 |
+
+## Key Properties
+- **Type**: Remote Access VPN
+- **Authentication**: Active Directory (AD)
+- **Client**: Requires VPN client installation
+- **Status**: 新一代远程访问 VPN（替代 Checkpoint VPN）
+
+## Aliases
+- Pulse Secure VPN
+- Pulse VPN Client
+
+## Connections
+- [[ctp-topic-7-saas-landing-zone-design]] — SAS LZ 远程接入方案
+- [[ctp-topic-35-aws-landing-zone-design-refresher-saas-labs]] — 网络分段策略变更（Checkpoint 重新路由入站流量）
--- a/wiki/entities/QALIS-Agent.md
+++ b/wiki/entities/QALIS-Agent.md
@@ -0,0 +1,25 @@
+---
+title: "QALIS Agent"
+type: entity
+tags: ["Security", "Endpoint-Protection", "Agent"]
+sources: ["learning-sessions-standard-amis-updates-20231205-160324-meeting-recording-2"]
+last_updated: 2026-05-08
+---
+
+## Overview
+QALIS Agent 是企业级端点保护 Agent，集成在 Micro Focus AWS Landing Zone 标准 AMI 中。QALIS 属于 Cyber（网络安全）共享服务层，负责所有 EC2 实例的终端安全监控和管理。
+
+## Aliases
+- QALIS
+- QALIS Endpoint Agent
+- Cyber QALIS
+
+## Role in AWS Landing Zone
+- **端点保护**：集成在所有标准 AMI 中，为 EC2 实例提供运行时安全保护
+- **Cyber 共享服务**：由 Cyber 账户（Cyber/QALIS）集中管理
+- **AMI 内置**：作为 SRE 预制标准 AMI 的默认组件之一
+
+## Connections
+- [[AWS-Landing-Zone]] — QALIS Agent 是标准 AMI 的默认安全组件
+- [[ctp-topic-7-saas-landing-zone-design]] — Cyber/QALIS 属于 SAS LZ 共享服务账户层
+- [[Sentinel-1]] — 正在替代 Trellix（Migrated from Trellix to Sentinel-1）
--- a/wiki/entities/Qalis.md
+++ b/wiki/entities/Qalis.md
@@ -0,0 +1,27 @@
+---
+title: "Qalis"
+type: entity
+tags: [Cybersecurity, Shared-Services, AWS]
+sources: [ctp-topic-7-saas-landing-zone-design]
+last_updated: 2026-05-06
+---
+
+## Qalis
+
+网络安全服务/平台，托管于 SAS Landing Zone 的 Cyber 共享服务账户中，为产品账户提供网络安全能力。
+
+## Role in AWS Landing Zone
+
+在 [[ctp-topic-7-saas-landing-zone-design]] 定义的 SAS LZ 共享服务账户体系中：
+- **账户位置**：Cyber Account（共享服务层）
+- **功能**：为所有产品账户提供网络安全服务
+- **上下文**：属 Shared Services Accounts 的一部分，与 Software Factory、ARC Site、Monitoring (OBM) 并列
+
+## Key Properties
+- **Type**: Cybersecurity Service
+- **Location**: Cyber Shared Services Account
+- **In SAS LZ Layer**: Shared Services Accounts
+
+## Connections
+- [[ctp-topic-7-saas-landing-zone-design]] — SAS LZ 共享服务层组件
+- [[ctp-topic-35-aws-landing-zone-design-refresher-saas-labs]] — 共享服务账户架构
--- a/wiki/entities/Rocky-Linux.md
+++ b/wiki/entities/Rocky-Linux.md
@@ -0,0 +1,24 @@
+---
+title: "Rocky Linux"
+type: entity
+tags: ["Linux", "Enterprise-OS", "CentOS-Replacement"]
+sources: ["learning-sessions-standard-amis-updates-20231205-160324-meeting-recording-2", "ctp-topic-50-ami-roadmap-for-aws-amis"]
+last_updated: 2026-05-08
+---
+
+## Overview
+Rocky Linux 是一个开源的企业级 Linux 发行版，作为 CentOS 的官方下游替代品，由 Rocky Enterprise Software Foundation 维护。在 Micro Focus AWS Landing Zone 中，Rocky Linux 8 和 9 作为标准 AMI 提供，用于替代即将 EOL 的 CentOS 7。
+
+## Aliases
+- Rocky Linux 8
+- Rocky Linux 9
+- Rocky Enterprise Software Foundation
+
+## Role in AWS Landing Zone
+- 作为标准 AMI 提供，支持企业 OS 加固、安全更新、SSM Agent 集成
+- CentOS 7 EOL 迁移的官方替代方案
+- 支持 Jenkins 多分支流水线构建和测试
+
+## Connections
+- [[AWS-Landing-Zone]] — 提供标准化操作系统支持
+- [[ctp-topic-50-ami-roadmap-for-aws-amis]] — AMI 路线图中规划了 Rocky Linux 8/9 的发布（2023年3月）
--- a/wiki/entities/SRE-Team.md
+++ b/wiki/entities/SRE-Team.md
@@ -1,41 +1,41 @@
---
-title: "SRE Team"
-type: entity
-tags: [SRE, DevOps, Automation, AWS, Tools]
-last_updated: 2026-04-14
---
-
-## Overview
-
-SRE Team（Site Reliability Engineering 团队）是该组织中负责 AWS Landing Zone 运维自动化和工具开发的团队。在 CTP Topic 28 中，SRE 团队展示了其开发的 AWS Tag Validation Tool，展示了 SRE 实践中的自动化工具开发能力。
-
-## Responsibilities
-
-| 职责 | 说明 |
-|------|------|
-| 运维自动化 | 开发自动化工具减少人工重复操作，通过 IaC + CI/CD 实现 Standard Change |
-| 工具开发 | 构建内部平台工具（如 Tag Validation Tool） |
-| 可靠性保障 | 确保 AWS 基础设施的高可用性和可观测性，定义 SLO/SLR 体系 |
-| 内部平台 | 维护 SRE Tools Repository 内部代码仓库 |
-| SRE 三阶段支持 | Build（构建）/Early Live Support（早期上线支持）/BAU（日常运维）三个阶段与产品团队协作 |
-
-## SRE Tools Repository
-
-SRE 团队维护的内部代码仓库（[[SRE-Tools-Repository]]），集中存放所有 SRE 自动化脚本和工具：
-
- **Tag Validation Tool**：Python/Boto3 AWS 标签验证工具
- 环境管理：Poetry
- 配置管理：variables.yaml（每个账户独立配置）
-
-## Related Concepts
-
- [[Tag-Validation-Tool]]：SRE 团队开发的标签验证工具
- [[Variables-YAML]]：Tag Validation Tool 的配置文件
- [[Boto3]]：SRE 工具使用的 AWS Python SDK
- [[Poetry]]：SRE 工具的 Python 环境管理工具
- [[AWS-Landing-Zone]]：SRE 团队服务的核心基础设施平台
-
-## Sources
-
- [[ctp-topic-28-aws-tag-validation-tool]]
- [[ctp-topic-30-managing-change]]
+---
+title: "SRE Team"
+type: entity
+tags: [SRE, DevOps, Automation, AWS, Tools]
+last_updated: 2026-04-28
+---
+
+## Overview
+
+SRE Team（Site Reliability Engineering 团队）是该组织中负责 AWS Landing Zone 运维自动化和工具开发的团队。在 CTP Topic 28 中，SRE 团队展示了其开发的 AWS Tag Validation Tool，展示了 SRE 实践中的自动化工具开发能力。
+
+## Responsibilities
+
+| 职责 | 说明 |
+|------|------|
+| 运维自动化 | 开发自动化工具减少人工重复操作，通过 IaC + CI/CD 实现 Standard Change |
+| 工具开发 | 构建内部平台工具（如 Tag Validation Tool） |
+| 可靠性保障 | 确保 AWS 基础设施的高可用性和可观测性，定义 SLO/SLR 体系 |
+| 内部平台 | 维护 SRE Tools Repository 内部代码仓库 |
+| SRE 三阶段支持 | Build（构建）/Early Live Support（早期上线支持）/BAU（日常运维）三个阶段与产品团队协作 |
+
+## SRE Tools Repository
+
+SRE 团队维护的内部代码仓库（[[SRE-Tools-Repository]]），集中存放所有 SRE 自动化脚本和工具：
+
+- **Tag Validation Tool**：Python/Boto3 AWS 标签验证工具
+- 环境管理：Poetry
+- 配置管理：variables.yaml（每个账户独立配置）
+
+## Related Concepts
+
+- [[Tag-Validation-Tool]]：SRE 团队开发的标签验证工具
+- [[Variables-YAML]]：Tag Validation Tool 的配置文件
+- [[Boto3]]：SRE 工具使用的 AWS Python SDK
+- [[Poetry]]：SRE 工具的 Python 环境管理工具
+- [[AWS-Landing-Zone]]：SRE 团队服务的核心基础设施平台
+
+## Sources
+- [[ctp-topic-28-aws-tag-validation-tool]]
+- [[ctp-topic-30-managing-change]]
+- [[ctp-topic-72-implementing-an-enterprise-dr-strategy-using-aws-backup.md]]
--- a/wiki/entities/Sentinel-1.md
+++ b/wiki/entities/Sentinel-1.md
@@ -0,0 +1,24 @@
+---
+title: "Sentinel-1"
+type: entity
+tags: ["Security", "Endpoint-Protection", "Migration"]
+sources: ["learning-sessions-standard-amis-updates-20231205-160324-meeting-recording-2"]
+last_updated: 2026-05-08
+---
+
+## Overview
+Sentinel-1 是正在替换 Trellix 的新一代企业端点保护方案，正在被集成到 Micro Focus AWS Landing Zone 标准 AMI 发布周期中。
+
+## Aliases
+- SentinelOne
+- Sentinel-1 Endpoint Protection
+
+## Migration Context
+- **迁移来源**：从 Trellix 迁移到 Sentinel-1
+- **集成方式**：作为新功能注入到 AMI 发布周期中
+- **目标**：统一所有标准 AMI 的端点保护解决方案
+
+## Connections
+- [[QALIS-Agent]] — 原有的端点保护 Agent（正在被 Sentinel-1 替代）
+- [[AWS-Landing-Zone]] — Sentinel-1 集成在标准 AMI 发布中
+- [[learning-sessions-standard-amis-updates-20231205-160324-meeting-recording-2]] — 该会议记录首次提及 Sentinel-1 迁移
--- a/wiki/entities/TerraGrant.md
+++ b/wiki/entities/TerraGrant.md
@@ -0,0 +1,40 @@
+---
+title: "TerraGrant"
+type: entity
+tags: [IaC, Terraform, AWS]
+sources: [ctp-topic-7-saas-landing-zone-design]
+last_updated: 2026-05-06
+---
+
+## TerraGrant (TerraGrunt)
+
+Terraform 的轻量封装工具，用于简化跨账户 IaC 部署。TerraGrant 在 SAS Landing Zone 中用于管理 Terraform 状态和跨账户依赖。
+
+## Relationship with Terraform
+
+TerraGrant（即 TerraGrunt）是 HashiCorp Terraform 的封装工具（wrapper），非独立产品。
+
+在 [[ctp-topic-7-saas-landing-zone-design]] 定义的 SAS LZ 中：
+- **跨账户部署**：TerraGrunt 简化 Terraform 状态管理和跨账户引用
+- **与 Gruntwork 集成**：SAS LZ 基于 Gruntwork 仓库，TerraGrunt 用于管理跨环境（Dev/Staging/Prod）的 Terraform 配置
+- **配合 Jenkins**：GitHub Hook → Jenkins → TerraGrunt 命令执行部署
+
+## Key Properties
+- **Type**: IaC Tool (Terraform Wrapper)
+- **Vendor**: Gruntwork (from Terragrunt)
+- **Purpose**: DRY Terraform configurations, remote state management, cross-account deployments
+- **In SAS LZ**: 每个账户拥有独立 GitHub 仓库管理 TerraGrunt 配置
+
+## Relationship to Gruntwork
+- [[Gruntwork]] 提供预构建的 Terraform 模块
+- TerraGrunt 简化这些模块的跨账户使用
+- 两者结合：Gruntwork 模块 + TerraGrunt 封装 = SAS LZ IaC 实践
+
+## Aliases
+- TerraGrunt
+- Terragrunt
+
+## Connections
+- [[ctp-topic-7-saas-landing-zone-design]] — SAS LZ 自动化部署工具链
+- [[ctp-topic-1-gruntwork-landing-zone-architecture]] — Gruntwork 架构基础
+- [[ctp-topic-48-terraform-vs-terragrunt]] — Terraform 与 TerraGrunt 深度对比
--- a/wiki/entities/VinoCTP.md
+++ b/wiki/entities/VinoCTP.md
@@ -0,0 +1,26 @@
+---
+title: "Vino CTP"
+type: entity
+tags: [DNS, Networking, AWS, CTP]
+sources: []
+last_updated: 2026-05-07
+---
+
+## Vino CTP
+
+AWS 网络与混合云架构专家，Cloud Transformation Programme (CTP) 的核心讲师之一。
+
+## Role
+
+- **CTP Topic 22**：Global DNS Service Offerings 讲师（与 Sankar 联合主讲）
+
+## Areas of Expertise
+
+- AWS Landing Zone 多账号架构设计
+- Route 53 混合 DNS 架构（Inbound/Outbound Endpoints）
+- 企业级 DNS 服务架构（Infoblox + Route 53）
+- 混合云网络互联
+
+## Connections
+
+- 通过 [[ctp-topic-22-global-dns-service-offerings]] 与 Sankar Gopov 联合主讲企业级全球 DNS 服务架构