Auto-sync: 2026-04-19 14:51

wiki/concepts/ADOT.md

@@ -0,0 +1,34 @@
+---
+title: "ADOT (AWS Distro for OpenTelemetry)"
+type: concept
+tags:
+  - OpenTelemetry
+  - AWS
+  - ADOT
+date: 2024-04-02
+---
+
+## Definition
+ADOT（AWS Distro for OpenTelemetry）是 AWS 提供的 OpenTelemetry 发行版，作为统一代理用于收集 Traces、Metrics、Logs，并自动检测应用语言创建预配置的 OpenTelemetry Collector。
+
+## Key Features
+- **统一代理**：单一 Agent 收集所有类型遥测数据
+- **自动检测**：自动识别应用编程语言并配置 instrumentation
+- **AWS 集成**：原生支持 CloudWatch、X-Ray、OpenSearch、Prometheus 等 AWS 服务
+- **Operator 支持**：通过 Kubernetes Operator 自动管理 Collector 部署
+
+## Capabilities
+- 自动 instrumentation（自动埋点）
+- 自定义属性添加（如租户 ID）
+- 日志支持（Fluent Bit 集成）
+- 无服务器指标抓取（Amazon Managed Prometheus）
+
+## Related Components
+- [[OpenTelemetry]]：上游开源项目
+- [[OpenTelemetry-Collector]]：ADOT 基于 Collector 构建
+- [[EKS]]：主要部署平台
+- [[Amazon-OpenSearch-Service]]：数据存储后端
+
+## References
+- AWS re:Invent 演示：EKS 上使用 Fluent Bit 收集日志，转发至 OpenTelemetry Collector 端点（端口 55681）
+- 支持 11 种语言 SDK

wiki/concepts/BYOD.md

@@ -0,0 +1,18 @@
+---
+title: "BYOD"
+type: concept
+tags: []
+---
+
+## Definition
+Bring Your Own Device，自带设备。允许员工使用个人设备（笔记本、手机、平板）访问企业资源的工作模式。
+
+## Security Considerations
+- 终端数据保护
+- 企业数据与个人数据隔离
+- 远程擦除能力
+- 多因素认证
+
+## Related Concepts
+- [[VDI]]
+- [[SAML]]

wiki/concepts/BottleRocket.md

@@ -0,0 +1,24 @@
+---
+title: "BottleRocket"
+description: EKS Auto Mode 使用的 Linux 操作系统，专为容器工作负载优化
+type: concept
+tags:
+  - AWS
+  - EKS
+  - Operating-System
+---
+
+## Definition
+BottleRocket 是 AWS 开发的 Linux 操作系统，专为容器工作负载设计，被 EKS Auto Mode 采用作为默认操作系统。它支持自动化补丁管理和安全更新。
+
+## Features
+- 专为容器优化的轻量级 OS
+- 自动化补丁管理和安全更新
+- 与 EKS Auto Mode 深度集成
+
+## Relationship
+- 由 [[Carpenter]] 管理
+- 运行在 [[EKS-Auto-Mode]] 集群节点上
+
+## References
+- [[public-cloud-learning-sessions-eks-optimization-part-3-of-3-introduction-to-eks-auto-mode]]

wiki/concepts/Bottlerocket-OS.md

@@ -0,0 +1,37 @@
+---
+title: "Bottlerocket OS"
+type: concept
+tags: [AWS, Container, Operating-System, Security]
+date: 2026-04-19
+---
+
+## Definition
+Bottlerocket OS 是专为托管容器工作负载而设计的最小化 Linux 操作系统，与通用操作系统不同，仅包含必要组件。
+
+## Key Characteristics
+- **最小化设计**：无包管理器、无默认 shell 解释器、无默认 SSH 访问，仅包含必要的内核组件
+- **变体机制**：通过变体满足特定工作负载需求（如 GPU 支持）
+- **安全更新**：原地更新和节点替换两种方式，使用 dm-verity 验证根文件系统完整性
+- **不可变根文件系统**：根文件系统默认不可变，/etc 是临时文件系统
+- **SELinux**：默认强制启用
+- **CIS Benchmark**：提供专门的硬化基准
+
+## Variants
+Bottlerocket 变体是平台、处理器架构和必要二进制组件的组合：
+- 基础变体
+- GPU 变体（支持 NVIDIA 驱动）
+- 与 EKS、Carpenter 集成的优化变体
+
+## Use Cases
+- EKS 节点操作系统
+- 自托管 Kubernetes 集群
+- 容器化工作负载生产环境
+
+## Related Concepts
+- [[dm-verity]] — 根文件系统完整性验证
+- [[CIS-Benchmarks]] — 安全配置基准
+- [[EKS]] — 支持的 Kubernetes 服务
+
+## Related Entities
+- [[Bottlerocket]] — 维护的开源项目
+- [[AWS]] — 核心维护者和赞助商

wiki/concepts/Carpenter.md

@@ -0,0 +1,25 @@
+---
+title: "Carpenter"
+description: EKS Auto Mode 的计算控制器，负责基础设施管理和节点生命周期
+type: concept
+tags:
+  - AWS
+  - EKS
+  - Controller
+---
+
+## Definition
+Carpenter 是 EKS Auto Mode 的计算控制器，运行在作为核心能力的 Pod 中，负责管理节点生命周期、基础设施配置和 AMI 滚动更新。
+
+## Functionality
+- 管理节点池配置和实例类型选择
+- 响应控制平面版本变化，自动拉取新 AMI
+- 通过滚动升级跨集群部署新 AMI
+- 支持动态实例确定和自动整合
+
+## Relationship
+- 与 [[EKS-Auto-Mode]] 紧密集成，是其核心能力之一
+- 管理 [[BottleRocket]] 操作系统实例
+
+## References
+- [[public-cloud-learning-sessions-eks-optimization-part-3-of-3-introduction-to-eks-auto-mode]]

wiki/concepts/Cluster-Autoscaler.md

@@ -0,0 +1,29 @@
+---
+title: "Cluster Autoscaler"
+type: concept
+tags: [Kubernetes, Auto-Scaling, GKE, EKS]
+sources: []
+last_updated: 2026-04-19
+---
+
+## Definition
+Cluster Autoscaler 是 Kubernetes 社区的自动扩缩容组件，与 Karpenter 功能类似但实现方式不同。
+
+## Key Differences from Karpenter
+- 不直接与 EC2 Fleet API 通信，依赖 Kubernetes scheduler
+- 无原生 Spot 中断处理，需要额外组件（如 Node Termination Handler）
+- 节点管理通过 Node Groups 而非原生资源
+- 不支持工作负载放置的细粒度控制
+
+## Use Cases
+- GKE：Google Kubernetes Engine 原生支持
+- AKS：Azure Kubernetes Service 支持
+- EKS：需要额外配置
+
+## Related Concepts
+- [[Karpenter]]：Cluster Autoscaler 的替代方案
+- [[Node-Pools]]：类似 Karpenter 的节点管理概念
+
+## Aliases
+- Kubernetes Cluster Autoscaler
+- CA

wiki/concepts/Comparative-Mode.md

@@ -0,0 +1,27 @@
+---
+title: "Comparative Mode"
+type: concept
+tags: [comparison, research, mode]
+last_updated: 2026-04-19
+---
+
+## Definition
+
+Comparative Mode 是 Last30Days skill 的一种研究模式，通过 "X vs Y" 格式生成并排对比研究，帮助用户快速对比两个主题的热门内容、用户痛点和市场观点。
+
+## Usage
+
+```bash
+python3 ~/.openclaw/skills/last30days-official/scripts/last30days.py "cursor vs windsurf"
+```
+
+## Output Structure
+
+- 双方热门内容并排显示
+- 关键模式对比
+- 推荐行动并列
+
+## Related Concepts
+
+- [[Last-30-Days-Skill]]
+- [[Market-Research]]

wiki/concepts/Consolidation-Policies.md

@@ -0,0 +1,30 @@
+---
+title: "Consolidation Policies"
+type: concept
+tags: [Kubernetes, Karpenter, Cost-Optimization]
+sources: []
+last_updated: 2026-04-19
+---
+
+## Definition
+Consolidation Policies 是 Karpenter 的成本优化策略，控制节点的整合行为以减少空闲资源。
+
+## Configuration Options
+- **Budget-based**：基于预算的整合限制
+- **Time-based**：基于时间的整合控制（如业务高峰时段禁止整合）
+- **Percentage-based**：限制每次中断的实例百分比
+
+## Purpose
+- 在保证性能的前提下最小化成本
+- 避免在业务高峰时段进行节点整合
+- 控制变更节奏，减少对工作负载的影响
+
+## Related Concepts
+- [[Karpenter]]：使用 Consolidation Policies
+- [[Node-Pools]]：配置整合策略的组件
+- [[Cost-Optimization]]：成本优化
+
+## Aliases
+- Consolidation Policies
+- Consolidation
+- Node Consolidation

wiki/concepts/Dashboard-as-Code.md

@@ -0,0 +1,22 @@
+---
+title: "Dashboard-as-Code"
+type: concept
+tags: [Grafana, IaC, monitoring, automation]
+sources: [ctp-topic-60-monitor-aws-using-hyperscale-observability-with-grafana]
+last_updated: 2026-04-19
+---
+
+## Summary
+通过代码管理 Grafana 仪表板的实践，使用 Terraform 模块实现自动化 provisioning。
+
+## Definition
+用代码（通常是 Terraform HCL）定义和管理 Grafana 组织、用户、文件夹、IAM 角色和仪表板的实践。
+
+## Key Attributes
+- **类型**：基础设施即代码（IaC）
+- **工具**：Terraform
+- **用途**：自动化监控资源部署
+
+## Connections
+- [[Grafana]] ← 管理工具 ← [[Dashboard-as-Code]]
+- [[Terraform]] ← 使用模块 ← [[Dashboard-as-Code]]

wiki/concepts/EKS-可靠性.md

@@ -0,0 +1,60 @@
+---
+title: "EKS 可靠性"
+type: concept
+tags: [AWS, EKS, Kubernetes, Reliability]
+---
+
+## Description
+EKS 可靠性是指在 Amazon EKS 集群中实现高可用性和弹性的实践，确保系统在故障发生时仍提供可预测行为。EKS 可靠性涵盖三个层面：应用可靠性、控制平面可靠性、数据平面可靠性。
+
+## Three Layers of EKS Reliability
+
+### 1. 应用可靠性（Application Reliability）
+- 避免单点 Pod，使用 [[Pod 反亲和性]] 或 [[拓扑分布约束]]
+- [[HPA]]（Horizontal Pod Autoscaler）根据 CPU/内存自动扩展
+- [[VPA]]（Vertical Pod Autoscaler）自动调整资源请求
+- [[探针]]（Liveness、Readiness、Startup）监控 Pod 健康
+- [[Pod 中断预算]] 确保维护期间最低服务水平
+- 部署策略：Rolling、Blue-Green、Canary
+
+### 2. 控制平面可靠性（Control Plane Reliability）
+- 监控控制平面指标（API Server 请求、etcd 状态）
+- 安全认证配置
+- 精心配置和测试的 Admission Webhooks
+- 集群升级：控制平面和数据平面分阶段升级
+- EKS 平台版本自动透明升级
+- minor 版本 14 个月支持周期后自动升级
+
+### 3. 数据平面可靠性（Data Plane Reliability）
+- 节点问题检测器（Node Problem Detector）
+- 系统资源预留
+- 实施 QoS（Quality of Service）资源配额
+- 资源限制范围（LimitRanges）
+- Pod 优先级和抢占
+
+## Shared Responsibility Model
+根据 AWS 共享责任模型：
+- **AWS 负责**：控制平面组件（etcd、API Server、Scheduler、Controller Manager）
+- **客户负责**：Worker Node、操作系统、应用配置
+- **Fargate 模式**：AWS 负责节点管理和补丁升级
+
+## Related Entities
+- [[Surav Paul]]：演讲人
+- [[EKS]]
+- [[AWS]]
+- [[Fargate]]
+- [[Kubernetes]]
+
+## Related Concepts
+- [[Pod 反亲和性]]
+- [[拓扑分布约束]]
+- [[HPA]]
+- [[VPA]]
+- [[探针]]
+- [[Pod 中断预算]]
+- [[共享责任模型]]
+
+## Connections
+- [[EKS 可靠性]] ← 包含 [[Pod 反亲和性]]、[[拓扑分布约束]]、[[HPA]]、[[VPA]]、[[探针]]、[[Pod 中断预算]]
+- [[EKS]] ← 提供 [[EKS 可靠性]]
+- [[Surav Paul]] ← 阐述 [[EKS 可靠性]]

wiki/concepts/ELK-Stack.md

@@ -0,0 +1,25 @@
+---
+title: "ELK Stack"
+type: concept
+tags: [Log-Analytics, Open-Source, Elasticsearch, Logstash, Kibana]
+date: 2026-04-14
+---
+
+## Definition
+ELK Stack 是开源日志分析技术栈，由 Elasticsearch、Logstash 和 Kibana 三个组件组成，用于日志采集、存储、搜索和可视化。
+
+## Components
+- **Elasticsearch**：分布式搜索引擎和存储引擎，用于存储和搜索日志数据
+- **Logstash**：日志处理管道，负责日志的聚合、转换和 enrichment
+- **Kibana**：Web 前端，用于日志数据的可视化、分析和查询
+
+## Usage
+ELK Stack 是云环境日志分析的标准开源方案，通过 BEATS 采集日志，Logstash 处理，Elasticsearch 存储，Kibana 可视化。
+
+## Connections
+- [[ELK Stack]] ← uses ← [[BEATS]]
+- [[ELK Stack]] ← uses ← [[Logstash]]
+- [[ELK Stack]] ← uses ← [[Elasticsearch]]
+- [[ELK Stack]] ← uses ← [[Kibana]]
+- [[OpenSearch]] ← extends ← [[ELK Stack]]
+- [[Log Analytics]] ← implements ← [[ELK Stack]]

wiki/concepts/Fargate.md

@@ -0,0 +1,29 @@
+---
+title: "Fargate"
+type: concept
+tags: [AWS, Serverless, Container]
+---
+
+## Description
+Fargate 是 AWS 提供的无服务器容器运行环境，让用户无需管理底层服务器即可运行容器。在 Fargate 模式下，AWS 负责管理节点、操作系统和补丁升级。
+
+## Features
+- 无需预置或管理服务器
+- 按实际使用的计算资源付费
+- AWS 自动处理节点管理和安全补丁
+- 与 EKS 和 ECS 集成
+
+## Use Case
+在 EKS 中使用 Fargate 运行无状态工作负载，让 AWS 管理底层基础设施，专注于应用逻辑。
+
+## Related Entities
+- [[AWS]]
+- [[EKS]]
+- [[ECS]]
+
+## Related Concepts
+- [[EKS 可靠性]]
+- [[Serverless-Computing]]
+
+## Connections
+- [[Fargate]] ← 提供 [[EKS 可靠性]]

wiki/concepts/HPA.md

@@ -0,0 +1,21 @@
+---
+title: "HPA"
+type: concept
+tags: [Kubernetes, EKS, Auto-Scaling]
+---
+
+## Description
+HPA（Horizontal Pod Autoscaler）是 Kubernetes 的水平 Pod 自动扩缩容功能，根据 CPU、内存或自定义指标自动调整 Pod 副本数。
+
+## Related Concepts
+- [[VPA]]
+- [[EKS 可靠性]]
+- [[KEDA]]
+- [[Auto-scaling]]
+
+## Related Entities
+- [[EKS]]
+- [[Kubernetes]]
+
+## Connections
+- [[HPA]] ← 实现 [[EKS 可靠性]]

wiki/concepts/IAM-用户.md

@@ -0,0 +1,31 @@
+---
+title: "IAM 用户"
+type: concept
+tags: [AWS, IAM, Identity]
+date: 2026-04-19
+---
+
+## Definition
+IAM 用户是 AWS IAM 中的持久化身份，代表使用 AWS 资源的人员或应用程序。
+
+## Characteristics
+- 长期凭证（Access Key + Secret Key）
+- 可直接附加策略
+- 适用于服务账号而非人员
+
+## Use Cases
+- 服务间通信的凭证
+- CI/CD 管道的访问凭证
+
+## Best Practice
+- 优先使用联合访问替代 IAM 用户进行人员认证
+- IAM 用户仅用于非人员实体（服务账号）
+
+## Related Concepts
+- [[IAM-角色]]: 临时凭证，适用于人员和服务的短期访问
+- [[IAM-策略]]: 定义 IAM 用户可执行的操作
+- [[联合访问]]: 优先使用的人员访问方式
+
+## Connections
+- [[IAM-用户]] ← uses ← [[IAM-策略]]
+- [[IAM-用户]] ← alternative_to ← [[联合访问]]

wiki/concepts/IAM-策略.md

@@ -0,0 +1,45 @@
+---
+title: "IAM 策略"
+type: concept
+tags: [AWS, IAM, Security, Policy]
+date: 2026-04-19
+---
+
+## Definition
+IAM 策略是定义 AWS 权限的 JSON 文档，指定允许或拒绝的操作和资源。
+
+## Core Concept
+> "We only want to allow the access that is strictly required."
+
+最小权限原则是 IAM 策略设计的核心指导原则。
+
+## Types
+- **AWS 托管策略**：AWS 预定义的策略，可重用
+- **客户托管策略**：用户创建和维护的策略，可重用
+- **内联策略**：直接嵌入 IAM 角色或用户，不可重用
+
+## Best Practices
+- 使用内联策略进行角色特定的权限
+- 使用托管策略进行跨角色可重用的权限
+- 策略应细粒度，限制访问特定资源而非广泛开放
+
+## JSON Structure
+```json
+{
+  "Version": "2012-10-17",
+  "Statement": [{
+    "Effect": "Allow|Deny",
+    "Action": ["s3:GetObject", "s3:ListBucket"],
+    "Resource": "arn:aws:s3:::bucket-name/*"
+  }]
+}
+```
+
+## Related Concepts
+- [[IAM-角色]]: 策略附加的目标
+- [[内联策略]]: 绑定到特定角色
+- [[托管策略]]: 可跨角色重用
+- [[最小权限原则]]: 策略设计原则
+
+## Connections
+- [[IAM-策略]] ← attached_to ← [[IAM-角色]]

wiki/concepts/IAM-角色.md

@@ -0,0 +1,40 @@
+---
+title: "IAM 角色"
+type: concept
+tags: [AWS, IAM, Identity]
+date: 2026-04-19
+---
+
+## Definition
+IAM 角色是 AWS IAM 中的身份，可以被其他实体 assum 以获取临时安全凭证。
+
+## Core Concept
+> "Roles don't enable actions; they tie together who can do something and what they can do."
+
+角色本身不执行操作，而是将"谁可以做什么"关联在一起。
+
+## Characteristics
+- 临时凭证（通过 AssumeRole API 获取）
+- 可被服务（AWS Service Role）或用户 assum
+- 包含信任策略和权限策略
+- 无持久化登录凭证
+
+## Use Cases
+- 授予服务访问 AWS 资源的权限（如 EC2 实例角色）
+- 授予用户跨账号访问权限
+- 联合访问映射（AD 组 → IAM 角色 → 权限）
+
+## Types
+- **服务角色**：供 AWS 服务使用
+- **跨账号角色**：跨 AWS 账号授权
+- **联合角色**：外部身份提供商映射的角色
+
+## Related Concepts
+- [[IAM-策略]]: 定义角色可执行的操作
+- [[信任策略]]: 定义谁可以 assum 角色
+- [[联合访问]]: AD 组映射到 IAM 角色的工作流
+- [[最小权限原则]]: 策略设计原则
+
+## Connections
+- [[IAM-角色]] ← contains ← [[IAM-策略]]
+- [[IAM-角色]] ← defined_by ← [[信任策略]]

wiki/concepts/IPv6-Networking.md

@@ -0,0 +1,30 @@
+---
+title: "IPv6 Networking"
+type: concept
+tags: [Networking, VPC, AWS, IP-Address]
+---
+
+## Description
+IPv6 Networking（IPv6 网络）是解决 VPC IP 地址耗尽的方案。通过双栈 VPC，节点支持 IPv4+IPv6 双协议栈，Pod 仅使用 IPv6 地址。IPv6 Pod 与 IPv4 目标交互需要在两层进行 NAT 转换。
+
+## AWS Implementation
+- 使用双栈 VPC
+- 节点支持双栈 IP 地址
+- Pod 仅分配 IPv6 地址
+- 通过 NAT 解决 IPv6 与 IPv4 互操作
+
+## Use Cases
+- 解决大规模 Kubernetes 集群的 IP 耗尽问题
+- 支持更多 Pod 和服务
+- VPC 网络扩展
+
+## Related Concepts
+- [[VPC]]
+- [[EKS]]
+
+## Related Entities
+- [[AWS]]
+
+## Connections
+- [[IPv6 Networking]] ← resolves [[IP Exhaustion]]
+- [[IPv6 Networking]] ← extends [[VPC]]

wiki/concepts/Identity-Governance.md

@@ -0,0 +1,20 @@
+---
+title: "Identity-Governance"
+type: concept
+tags: []
+---
+
+## Definition
+身份治理（Identity Governance）是一个用于高效管理数字身份、降低风险并保持合规性的框架。它回答三个核心问题：谁当前有权访问我们的系统？谁应该有权访问？访问是如何进行的？
+
+## Components
+- 身份管理（Identity Management）
+- 访问管理（Access Management）
+- 身份审计（Identity Auditing）
+
+## Use Cases
+- 管理内部员工访问权限
+- 管理外部用户（包括合同工）访问权限
+- 支持时间限制的临时访问
+- 通过工作流自动化访问审批和撤销
+- 监控和审计访问行为

wiki/concepts/KEDA.md

@@ -0,0 +1,30 @@
+---
+title: "KEDA"
+type: concept
+tags: [Kubernetes, EKS, Auto-Scaling, Event-Driven]
+---
+
+## Description
+KEDA（Kubernetes Event-driven Autoscaling）是基于外部事件的 Kubernetes 工作负载扩缩容框架。它使用 ScaledObject CRD 定义扩缩容规则，支持从零副本启动，可发布指标供 HPA 使用。
+
+## Mechanism
+- 使用 ScaledObject 自定义资源定义
+- 支持多种外部事件源（消息队列、HTTP API、Azure Blob 等）
+- 可与 HPA 集成提供指标
+- 支持从零副本扩展
+
+## Use Cases
+- 基于消息队列深度自动扩缩容
+- 基于 HTTP 请求速率扩缩容
+- 事件驱动的工作负载
+
+## Related Concepts
+- [[HPA]]
+- [[Auto-scaling]]
+
+## Related Entities
+- [[EKS]]
+
+## Connections
+- [[KEDA]] ← integrates_with [[HPA]]
+- [[KEDA]] ← provides_metrics_for [[Auto-scaling]]

wiki/concepts/Kibana.md

@@ -0,0 +1,23 @@
+---
+title: "Kibana"
+type: concept
+tags: [Log-Analytics, Visualization, Elasticsearch]
+date: 2026-04-14
+---
+
+## Definition
+Kibana 是 ELK Stack 的 Web 前端和可视化界面，用于日志数据的搜索、分析和可视化展示。
+
+## Description
+Kibana 提供交互式仪表板、时间序列可视化、图形图表等功能，用户可以通过查询语法搜索日志、创建可视化图表、构建仪表板。End users can view logs via Kibana, connecting from a specified network.
+
+## Usage
+- 日志搜索和查询
+- 可视化仪表板构建
+- 告警规则配置
+- 权限管理（配合 RBAC）
+
+## Connections
+- [[Kibana]] ← connects_to ← [[Elasticsearch]]
+- [[ELK Stack]] ← depends_on ← [[Kibana]]
+- [[Log Analytics]] ← uses ← [[Kibana]]

wiki/concepts/Log-Analytics.md

@@ -0,0 +1,41 @@
+---
+title: "Log Analytics"
+type: concept
+tags: [Log-Analytics, Observability, DevOps]
+date: 2026-04-14
+---
+
+## Definition
+Log Analytics（日志分析）是云运维可观测性的核心组件，负责日志数据的采集、存储、搜索和可视化，帮助运维团队监控系统健康、排查故障和安全审计。
+
+## Architecture
+典型日志分析架构包含：
+1. **采集层**：BEATS（Filebeat、Metricbeat、Heartbeat 等）从应用采集日志
+2. **处理层**：Logstash 聚合和转换日志数据
+3. **存储层**：Elasticsearch 或 OpenSearch 存储和索引日志
+4. **可视化层**：Kibana 提供查询和可视化界面
+5. **可选缓冲**：Redis 防止 Logstash 过载
+
+## Security Measures
+- 静态加密：加密节点 + NVMe 设备硬件级加密
+- 传输加密：TLS 1.2
+- VPC 间私有流量，不经过公网
+- 基于索引的访问控制 + RBAC
+
+## Regional Deployment
+出于 GDPR 合规要求，日志农场按区域 split（Oregon 美国、Europe 欧洲）。
+
+## Solutions Comparison
+| 方案 | 成本（单农场/14天/100GB日） | SLA | 特点 |
+|------|---------------------------|-----|------|
+| Logz.io | ~$4,000/月 | 99.8% | 托管 ELK，试用期 |
+| AWS OpenSearch | ~$1,500/月 | 99.9% | 托管，自动快照 |
+| 自托管 ELK | 最低 | 自定义 | 维护量大 |
+| Microfocus OBA | 较高 | 成熟 | 商业选项，自动化集群 |
+
+## Connections
+- [[Log Analytics]] ← implements ← [[Observability-Engineering]]
+- [[Log Analytics]] ← uses ← [[ELK Stack]]
+- [[Log Analytics]] ← uses ← [[OpenSearch]]
+- [[ELK Stack]] ← provides ← [[Log Analytics]]
+- [[OpenSearch]] ← provides ← [[Log Analytics]]

wiki/concepts/Logstash.md

@@ -0,0 +1,18 @@
+---
+title: "Logstash"
+type: concept
+tags: [Log-Analytics, Data-Processing, ETL]
+date: 2026-04-14
+---
+
+## Definition
+Logstash 是 ELK Stack 中的日志处理管道组件，负责接收、转换和 enrichment 日志数据，然后发送到 Elasticsearch 存储。
+
+## Description
+Logstash 支持多种输入源（文件、网络、Beats 等），通过过滤器对日志进行解析、转换、添加字段等处理，然后输出到目标存储。可选使用 Redis 作为消息队列缓冲，防止 Logstash 过载。
+
+## Connections
+- [[Logstash]] ← receives_from ← [[BEATS]]
+- [[Logstash]] ← sends_to ← [[Elasticsearch]]
+- [[Logstash]] ← uses_buffer ← [[Redis]]
+- [[ELK Stack]] ← depends_on ← [[Logstash]]

wiki/concepts/Management-Packs.md

@@ -0,0 +1,31 @@
+---
+title: "Management Packs"
+type: concept
+tags: [Monitoring, OBM]
+last_updated: 2026-04-19
+---
+
+## Definition
+Management Packs 是 Micro Focus Operations Bridge Manager (OBM) 的管理包，用于定义监控策略、指标和阈值。
+
+## Function
+- 定义监控间隔
+- 指定需要收集的指标
+- 配置数据收集范围（账户、服务、命名空间）
+- 设置阈值触发事件
+- 新实例自动部署监控策略
+
+## Usage in OBM
+```yaml
+Management Pack Config:
+  - Role ARN: arn:aws:iam::123456789012:role/OBM-Role
+  - Account ID: target account
+  - Namespaces: AWS/EC2, AWS/Lambda, etc.
+  - Metrics: CPUUtilization, MemoryUtilization
+  - Thresholds: 80% (warning), 90% (critical)
+  - Frequency: 5 minutes
+```
+
+## References
+- [[Operations Bridge Manager (OBM)]]
+- [[CTP Topic 8 Implementation of Cloud monitoring using Micro Focus Operations Bridge]]

wiki/concepts/Node-Classes.md

@@ -0,0 +1,25 @@
+---
+title: "Node Classes"
+type: concept
+tags: [Kubernetes, Karpenter, EC2, Instance-Configuration]
+sources: []
+last_updated: 2026-04-19
+---
+
+## Definition
+Node Classes 是 Karpenter 的核心组件，定义 EC2 实例的 provisioning 配置细节。
+
+## Key Attributes
+- **子网**：实例部署的 subnet
+- **节点角色**：IAM 角色和策略
+- **AMI**：Amazon Machine Image（可使用 EKS 优化 AMI 或自定义 AMI）
+- **安全组**：实例附加的安全组
+
+## Related Concepts
+- [[Node-Pools]]：定义调度约束和容量限制
+- [[Karpenter]]：使用 Node Classes 的 compute management tool
+- [[AMI]]：Amazon Machine Image
+
+## Aliases
+- Node Classes
+- Karpenter Node Classes

wiki/concepts/Node-Pool.md

@@ -0,0 +1,30 @@
+---
+title: "Node Pool"
+description: EKS Auto Mode 的节点池概念，用于管理一组相同配置的 Kubernetes 节点
+type: concept
+tags:
+  - AWS
+  - EKS
+  - Kubernetes
+---
+
+## Definition
+Node Pool（节点池）是 EKS Auto Mode 中管理一组相同配置节点的概念。默认包含两个节点池：general purpose 和 system，还有一个节点类。
+
+## Default Configuration
+- **General Purpose 节点池**：默认锁定 AMD64 架构，支持自定义节点池用于 Graviton 实例
+- **System 节点池**：带有 taint，系统插件需要相应的 tolerations
+- **节点类**：默认创建一个节点类
+
+## Behavior
+- 默认节点池不可变，配置为零权重，允许自定义节点池被优先使用
+- 实例动态确定和自动整合
+- 优化计算成本
+
+## Relationship
+- 由 [[Carpenter]] 管理
+- 运行 [[BottleRocket]] 操作系统
+- 属于 [[EKS-Auto-Mode]]
+
+## References
+- [[public-cloud-learning-sessions-eks-optimization-part-3-of-3-introduction-to-eks-auto-mode]]

wiki/concepts/Node-Pools.md

@@ -0,0 +1,30 @@
+---
+title: "Node Pools"
+type: concept
+tags: [Kubernetes, Karpenter, Compute-Management]
+sources: []
+last_updated: 2026-04-19
+---
+
+## Definition
+Node Pools 是 Karpenter 的核心组件，定义 Kubernetes 集群中节点的调度约束和容量限制。
+
+## Key Attributes
+- **调度约束**：定义哪些 Pod 可以调度到该节点池
+- **容量限制**：定义节点池的最大/最小节点数
+- **实例类型**：指定可使用的 EC2 实例类型
+- **可用区**：定义节点部署的可用区
+
+## Use Cases
+- 单节点池：统一的工作负载
+- 混合节点池：计算+加速节点
+- 隔离节点池：基于成本、安全或多租户的隔离
+
+## Related Concepts
+- [[Node-Classes]]：定义实例配置细节
+- [[Karpenter]]：使用 Node Pools 的 compute management tool
+- [[Consolidation-Policies]]：节点整合策略
+
+## Aliases
+- Node Pools
+- Karpenter Node Pools

wiki/concepts/OpenSearch.md

@@ -0,0 +1,27 @@
+---
+title: "OpenSearch"
+type: concept
+tags: [Log-Analytics, AWS, Open-Source, Elasticsearch]
+date: 2026-04-14
+---
+
+## Definition
+OpenSearch 是 AWS 的开源日志分析和搜索引擎，基于 Elasticsearch 和 Kibana 的开源分支，提供托管服务。
+
+## Description
+OpenSearch 是 ELK Stack 的 AWS 托管替代方案，由 AWS 维护。与 Logz.io 等商业解决方案相比，OpenSearch 提供更低成本（约 $1,500/月 vs $4,000/月）和更高的可用性 SLA（99.9% vs 99.8%）。
+
+## Features
+- 托管日志分析服务
+- 与 ELK Stack 兼容
+- 自动快照备份
+- 支持细粒度访问控制
+
+## Cost Comparison（单农场、14天保留、每日 100GB）
+- Logz.io：约 $4,000/月
+- AWS OpenSearch：约 $1,500/月
+- 自托管 ELK：成本最低但维护量大
+
+## Connections
+- [[OpenSearch]] ← extends ← [[ELK Stack]]
+- [[Log Analytics]] ← implements ← [[OpenSearch]]

wiki/concepts/OpenTelemetry-Collector.md

@@ -0,0 +1,46 @@
+---
+title: "OpenTelemetry Collector"
+type: concept
+tags:
+  - OpenTelemetry
+  - Collector
+  - Data-Processing
+date: 2024-04-02
+---
+
+## Definition
+OpenTelemetry Collector 是用于接收、处理和导出遥测数据的独立组件，作为数据管道在应用和后端存储之间进行数据标准化和转发。
+
+## Architecture
+Collector 包含四大组件：
+
+### Receivers（接收器）
+- AWS 特有接收器（ECS、EC2、EKS）
+- 开源接收器（Prometheus、OTLP、Fluent Bit）
+- 支持拉取（pull）和推送（push）模式
+
+### Processors（处理器）
+- 数据过滤和转换
+- 批量处理和重试
+- 内存限流和队列管理
+
+### Exporters（导出器）
+- AWS 原生：CloudWatch、X-Ray、OTLP
+- 开源：Prometheus、Jaeger、Zipkin
+- 第三方：Datadog、New Relic、Grafana
+
+### Extensions（扩展）
+- SIGV 授权
+- 健康检查
+- zPages 调试
+- 内存配置
+
+## Deployment Modes
+- **Agent 模式**：与应用部署在同一主机，收集本地数据
+- **Gateway 模式**：独立部署，收集多个 Agent 的数据
+
+## Related Concepts
+- [[OpenTelemetry]]：父框架
+- [[ADOT]]：AWS 发行版，包含预配置 Collector
+- [[Fluent-Bit]]：日志收集器，可将数据转发至 Collector
+- [[OTLP]]：数据交换协议

wiki/concepts/OpenTelemetry.md

@@ -0,0 +1,35 @@
+---
+title: "OpenTelemetry"
+type: concept
+tags:
+  - OpenTelemetry
+  - Observability
+  - Telemetry
+  - Cloud-Native
+date: 2024-04-02
+---
+
+## Definition
+OpenTelemetry（OTel）是厂商中立的遥测数据采集框架，提供统一的数据格式和跨语言 SDK，用于收集 Metrics、Logs、Traces 三种可观测性信号。
+
+## Core Components
+- **SDKs**：支持 11 种编程语言的自动和手动 instrumentation 库
+- **Collector**：数据标准化和转发组件
+- **Protocol (OTLP)**：统一的遥测数据格式
+
+## Key Capabilities
+- 厂商中立：不绑定特定后端监控系统
+- 自动 instrumentation：自动捕获常见框架和库的遥测数据
+- 统一数据格式：OTLP 标准化跨语言数据交换
+- 可扩展架构：支持自定义处理器和导出器
+
+## Related Concepts
+- [[OpenTelemetry-Collector]]：数据收集和处理核心组件
+- [[ADOT]]：AWS 发行版
+- [[OTLP]]：OpenTelemetry Protocol 数据格式
+- [[可观测性三大支柱]]：Metrics、Logs、Traces
+
+## Use Cases
+- 微服务架构的可观测性集成
+- 跨云厂商的监控数据统一采集
+- 统一日志、指标、追踪数据格式

wiki/concepts/Pod-中断预算.md

@@ -0,0 +1,22 @@
+---
+title: "Pod 中断预算"
+type: concept
+tags: [Kubernetes, EKS, High-Availability]
+---
+
+## Description
+Pod 中断预算（Pod Disruption Budget，PDB）是 Kubernetes 机制，确保在自愿中断（如节点维护、升级）期间仍维持最少的 Pod 副本数，保证服务的可用性。
+
+## Use Case
+在 EKS 中进行集群升级或节点维护时，PDB 确保应用始终保持最低服务水平。
+
+## Related Concepts
+- [[EKS 可靠性]]
+- [[Pod 反亲和性]]
+
+## Related Entities
+- [[EKS]]
+- [[Kubernetes]]
+
+## Connections
+- [[Pod 中断预算]] ← 实现 [[EKS 可靠性]]

wiki/concepts/Pod-反亲和性.md

@@ -0,0 +1,23 @@
+---
+title: "Pod 反亲和性"
+type: concept
+tags: [Kubernetes, EKS, High-Availability]
+---
+
+## Description
+Pod 反亲和性（Pod Anti-Affinity）是一种 Kubernetes 调度策略，用于确保 Pod 不被调度到同一节点或同一可用区，从而提高应用的可用性和可靠性。
+
+## Use Case
+在 EKS 中部署关键应用时，使用 Pod 反亲和性确保应用 Pod 分布在不同的节点和可用区，避免单点故障。
+
+## Related Concepts
+- [[拓扑分布约束]]：Pod 反亲和性的更细粒度控制方式
+- [[HPA]]
+- [[VPA]]
+
+## Related Entities
+- [[EKS]]
+- [[Kubernetes]]
+
+## Connections
+- [[Pod 反亲和性]] ← 实现 [[EKS 可靠性]]

wiki/concepts/SAML.md

@@ -0,0 +1,20 @@
+---
+title: "SAML"
+type: concept
+tags: []
+---
+
+## Definition
+Security Assertion Markup Language，安全断言标记语言。基于 XML 的标准，用于在身份提供商和服务提供商之间交换身份验证和授权数据。
+
+## Use Cases
+- 单点登录（SSO）
+- 多因素认证（MFA）集成
+- 跨域身份验证
+
+## Related Entities
+- [[AppStream-2.0]]
+- [[AWS-Workspaces]]
+
+## Related Concepts
+- [[BYOD]]

wiki/concepts/Secrets-Management.md

@@ -0,0 +1,37 @@
+---
+title: "Secrets Management"
+type: concept
+tags: [security, devops, best-practices]
+sources: [ctp-topic-37-secrets-certificates-management, ctp-topic-62-aws-secrets-manager]
+last_updated: 2026-04-19
+---
+
+## Summary
+密钥管理是企业管理数字认证凭证（密码、API Token、加密密钥、证书）的系统性方法，确保应用服务、特权账户和 IT 生态系统中敏感信息的安全存储、访问控制和自动轮换。
+
+## Definition
+管理数字认证凭证、密钥、密码、API 和 Token 等敏感信息的工具和方法，涵盖存储、访问控制、轮换、审计全生命周期。
+
+## Core Components
+- **密钥存储**：集中化安全存储敏感信息
+- **访问控制**：基于身份的细粒度权限管理
+- **自动轮换**：定时自动更新密钥降低泄露风险
+- **审计日志**：记录所有访问和操作行为
+
+## Implementation Patterns
+- **托管服务**：AWS Secrets Manager、Azure Key Vault、GCP Secret Manager
+- **自托管方案**：HashiCorp Vault（支持动态密钥、证书签名）
+- **特权访问管理**：CyberArk PAM、Micro Focus PAM
+
+## Best Practices
+- 避免明文存储密钥
+- 实施最小权限原则
+- 启用自动轮换
+- 集中化密钥管理
+- 集成 CI/CD 流程
+
+## Connections
+- [[Secrets Management]] ← 应用于 ← [[CI/CD]]
+- [[AWS Secrets Manager]] ← 实现 ← [[Secrets Management]]
+- [[HashiCorp Vault]] ← 实现 ← [[Secrets Management]]
+- [[Zero-Trust-Architecture]] ← 要求 ← [[Secrets Management]]

wiki/concepts/Spot-Interruption.md

@@ -0,0 +1,29 @@
+---
+title: "Spot Interruption"
+type: concept
+tags: [AWS, EC2, Cost-Optimization, High-Availability]
+sources: []
+last_updated: 2026-04-19
+---
+
+## Definition
+Spot Interruption 是 AWS EC2 Spot 实例的中断处理机制，Karpenter 原生集成 EventBridge 和 SQS 实现自动处理。
+
+## Mechanism
+- **通知来源**：EventBridge 发送 Spot 中断、实例重平衡、健康事件、实例状态变更通知
+- **处理方式**：Karpenter 监听 SQS 队列，自动将工作负载迁移到其他实例
+- **无需额外组件**：Karpenter 原生支持，与 Node Termination Handler 不同
+
+## Benefits
+- 降低 Spot 实例使用成本（可达 90% 折扣）
+- 自动处理中断，提高工作负载可用性
+- 简化架构，无需额外管理组件
+
+## Related Concepts
+- [[Karpenter]]：原生支持 Spot 中断处理
+- [[EventBridge]]：AWS 事件总线服务
+- [[SQS]]：AWS 简单队列服务
+
+## Aliases
+- Spot Interruption Handling
+- Spot Instance Interruption

wiki/concepts/VDI.md

@@ -0,0 +1,21 @@
+---
+title: "VDI"
+type: concept
+tags: []
+---
+
+## Definition
+Virtual Desktop Infrastructure，虚拟桌面基础设施。通过远程桌面协议（如 RDP、WSP）提供虚拟计算环境，用户可以在任何设备上访问托管的虚拟桌面。
+
+## Use Cases
+- 远程办公和混合工作模式
+- BYOD（自带设备）安全访问企业资源
+- 标准化桌面管理和安全控制
+
+## Related Concepts
+- [[持久化桌面]]：数据和应用设置在会话间保留
+- [[非持久化桌面]]：每次登录分配新桌面
+
+## Related Entities
+- [[AWS-Workspaces]]
+- [[AppStream-2.0]]

wiki/concepts/VPA.md

@@ -0,0 +1,22 @@
+---
+title: "VPA"
+type: concept
+tags: [Kubernetes, EKS, Auto-Scaling]
+---
+
+## Description
+VPA（Vertical Pod Autoscaler）是 Kubernetes 的垂直 Pod 自动扩缩容功能，根据实际使用情况自动调整 Pod 的资源请求（CPU、内存），但调整时会重启 Pod。
+
+## Note
+与 HPA 不同，VPA 调整的是单个 Pod 的资源大小而非副本数。
+
+## Related Concepts
+- [[HPA]]
+- [[EKS 可靠性]]
+
+## Related Entities
+- [[EKS]]
+- [[Kubernetes]]
+
+## Connections
+- [[VPA]] ← 实现 [[EKS 可靠性]]

wiki/concepts/WSP-Protocol.md

@@ -0,0 +1,16 @@
+---
+title: "WSP Protocol"
+type: concept
+tags: []
+---
+
+## Definition
+Workspaces Streaming Protocol，AWS Workspaces 专用的桌面流协议。专为高延迟网络环境设计，优化远程桌面的用户体验。
+
+## Characteristics
+- 专为高延迟网络优化
+- 支持剪贴板、摄像头、智能卡等外设
+- 适用于远程工作和分布式团队
+
+## Related Entities
+- [[AWS-Workspaces]]

wiki/concepts/dm-verity.md

@@ -0,0 +1,25 @@
+---
+title: "dm-verity"
+type: concept
+tags: [Linux-Kernel, Security, Filesystem]
+date: 2026-04-19
+---
+
+## Definition
+dm-verity（device-mapper verity）是 Linux 内核子系统，用于验证块设备的完整性，通过 cryptographic hash 树实现只读文件系统的完整性保护。
+
+## How It Works
+- 在块设备上构建 hash 树结构
+- 每个块的数据 hash 与上一级 hash 比对
+- 根 hash 存储在信任的存储位置
+- 任何块内容变化都会导致验证失败
+
+## Use Cases
+- 防止根文件系统被篡改
+- 确保容器镜像完整性
+- 安全启动链的一部分
+
+## Related Concepts
+- [[Bottlerocket-OS]] — 使用 dm-verity 验证根文件系统
+- [[Secure-Boot]] — 安全启动机制
+- [[Root-Filesystem]] — 根文件系统保护

wiki/concepts/可观测性三大支柱.md

@@ -0,0 +1,51 @@
+---
+title: "可观测性三大支柱"
+type: concept
+tags:
+  - Observability
+  - Metrics
+  - Logs
+  - Traces
+date: 2024-04-02
+---
+
+## Definition
+可观测性三大支柱是系统可观测性的三个核心信号：Metrics（指标）、Logs（日志）、Traces（追踪），它们相互关联共同提供系统内部状态的可见性。
+
+## Three Pillars
+
+### Metrics（指标）
+- 聚合的源统计数据
+- 长时间序列的数值测量
+- 用于监控、告警和趋势分析
+- 示例：CPU 使用率、请求延迟、错误率
+
+### Logs（日志）
+- 事件的时间戳记录
+- 详细的事件描述信息
+- 用于问题根因分析和调试
+- 示例：应用错误日志、访问日志
+
+### Traces（追踪）
+- 请求在分布式系统中的完整路径
+- 包含多个 Span（跨度）形成的调用链
+- 用于理解系统行为和性能瓶颈
+- 示例：用户请求从 API Gateway → Service A → Service B → Database
+
+## Trace Span
+追踪中的一个单元，包含：
+- 开始时间（Start Time）
+- 持续时间（Duration）
+- 元数据（Metadata）
+- 关联的日志
+
+## Integration
+- OpenTelemetry 统一收集这三种信号
+- 通过关联分析实现端到端可观测性
+- Grafana/OpenSearch 可视化展示
+
+## Related Concepts
+- [[OpenTelemetry]]：统一采集框架
+- [[OpenTelemetry-Collector]]：数据收集组件
+- [[ADOT]]：AWS 发行版
+- [[Fluent-Bit]]：日志收集器

wiki/concepts/拓扑分布约束.md

@@ -0,0 +1,22 @@
+---
+title: "拓扑分布约束"
+type: concept
+tags: [Kubernetes, EKS, High-Availability]
+---
+
+## Description
+拓扑分布约束（Topology Spread Constraints）是 Kubernetes 提供的 Pod 分布控制机制，比 Pod 反亲和性更细粒度，可以控制 Pod 在可用区、节点等拓扑域的分布。
+
+## Use Case
+在 EKS 中确保工作负载在多个可用区间均匀分布，实现高可用性。
+
+## Related Concepts
+- [[Pod 反亲和性]]：更简单的 Pod 分布策略
+- [[EKS 可靠性]]
+
+## Related Entities
+- [[EKS]]
+- [[Kubernetes]]
+
+## Connections
+- [[拓扑分布约束]] ← 实现 [[EKS 可靠性]]

wiki/concepts/持久化桌面.md

@@ -0,0 +1,26 @@
+---
+title: "持久化桌面"
+type: concept
+tags: []
+---
+
+## Definition
+每个用户独享虚拟机实例，应用状态和设置在会话之间保持。下次登录时，用户看到相同的工作环境和个人文件。
+
+## Characteristics
+- 一对一实例管理
+- 用户数据和应用状态持久化
+- 适合需要个性化环境的知识工作者
+- AWS Workspaces 是典型实现
+
+## Use Cases
+- 长期办公的远程员工
+- 需要保留工作环境的开发人员
+- 需要访问企业应用的 BYOD 用户
+
+## Related Entities
+- [[AWS-Workspaces]]
+
+## Related Concepts
+- [[VDI]]
+- [[非持久化桌面]]

wiki/concepts/探针.md

@@ -0,0 +1,21 @@
+---
+title: "探针"
+type: concept
+tags: [Kubernetes, EKS, Health-Check]
+---
+
+## Description
+探针（Probe）是 Kubernetes 用于检测 Pod 健康状态的功能，包含三种类型：
+- **Liveness Probe**：检测容器是否存活，失败时重启容器
+- **Readiness Probe**：检测容器是否就绪，失败时从 Service 移除流量
+- **Startup Probe**：检测容器是否启动完成，失败时重启容器（适用于启动慢的应用）
+
+## Related Concepts
+- [[EKS 可靠性]]
+
+## Related Entities
+- [[EKS]]
+- [[Kubernetes]]
+
+## Connections
+- [[探针]] ← 实现 [[EKS 可靠性]]

wiki/concepts/最小权限原则.md

@@ -0,0 +1,32 @@
+---
+title: "最小权限原则"
+type: concept
+tags: [Security, IAM, Best-Practice]
+date: 2026-04-19
+---
+
+## Definition
+最小权限原则（Least Privilege）是安全最佳实践，只授予完成任务所需的最小权限。
+
+## Core Concept
+> "We only want to allow the access that is strictly required."
+
+只授予完成任务所需的最小权限，降低权限滥用和数据泄露风险。
+
+## Implementation
+- 从空白策略开始，逐步添加所需权限
+- 定期审查和调整权限
+- 使用资源级别限制特定资源而非广泛权限
+- 避免使用通配符（*）
+
+## Related Concepts
+- [[IAM-策略]]: 最小权限的应用对象
+- [[IAM-用户]]: 需要最小权限管理的实体
+
+## Role in Cloud Security
+- 降低数据泄露影响范围
+- 限制内部威胁
+- 满足合规要求（PCI-DSS、HIPAA、GDPR）
+
+## Connections
+- [[最小权限原则]] ← guides ← [[IAM-策略]]

wiki/concepts/联合访问.md

@@ -0,0 +1,43 @@
+---
+title: "联合访问"
+type: concept
+tags: [AWS, IAM, Federation, Security]
+date: 2026-04-19
+---
+
+## Definition
+联合访问是通过外部身份提供商（如 Active Directory）映射 IAM 角色实现 AWS 访问的方式。
+
+## Core Concept
+> "Federated users log in via their organization's AD, which maps to an IAM role."
+
+联合用户通过组织的 AD 登录，AD 组映射到 IAM 角色，角色授予相应的 AWS 访问权限。
+
+## Workflow
+1. 用户通过 AD 凭证登录
+2. AD 组映射到 IAM 角色
+3. 用户 assum 角色获取临时 AWS 凭证
+4. 通过 CLI 工具（如 PFSSO）访问 AWS
+
+## Components
+- **Active Directory**：外部身份提供商
+- **AD 组**：映射到 IAM 角色的组
+- **IAM 角色**：接收 AD 映射的角色
+- **PFSSO**：命令行联合访问工具
+
+## Why Federation
+- 集中管理用户身份（无需单独管理 IAM 用户）
+- 员工离职后自动失去访问权限
+- 单一登录入口
+
+## Best Practice
+Federation 是用户管理的首选方法，IAM 用户仅用于服务账号。
+
+## Related Concepts
+- [[IAM-角色]]: 联合访问的目标角色
+- [[PFSSO]]: 命令行联合访问工具
+- [[Active-Directory]]: 外部身份提供商
+
+## Connections
+- [[AD]] ← maps_to_role ← [[IAM-角色]]
+- [[联合访问]] ← requires ← [[PFSSO]]

wiki/concepts/非持久化桌面.md

@@ -0,0 +1,27 @@
+---
+title: "非持久化桌面"
+type: concept
+tags: []
+---
+
+## Definition
+每次登录时分配新的桌面环境，会话结束后数据不被保留。多个用户可以共享同一实例，实现资源复用。
+
+## Characteristics
+- 多对一实例管理（多租户）
+- 会话结束后数据清除
+- 通过应用和存储连接器可实现选择性持久化
+- 适合共享资源场景
+
+## Use Cases
+- 实验室环境
+- 培训场景
+- 临时访客
+- 任务型工作者
+
+## Related Entities
+- [[AppStream-2.0]]
+
+## Related Concepts
+- [[VDI]]
+- [[持久化桌面]]