Auto-sync: 2026-04-19 14:51

Hermes/xingzhi/Hermes自定义技能说明.md

@@ -0,0 +1,109 @@
+# Hermes 自定义技能说明
+
+> 创建日期：2026-04-20
+> 更新日期：2026-04-20
+
+---
+
+## 技能总览
+
+| 技能名                               | 用途                                            | 调用方式          |
+| --------------------------------- | --------------------------------------------- | ------------- |
+| `blogwatcher-daily`               | RSS 订阅监控 + 每日笔记生成                             | cronjob       |
+| `claude-code-executor`            | 用 TMUX 启动 Claude Code 并委托任务                   | delegate_task |
+| `claude-code-infographic-prompts` | 调用 Claude Code 的 baoyu-infographic 生成信息图提示词   | 手动调用          |
+| `marker-pdf-to-markdown`          | PDF 转 Markdown（marker_single 单文件 / marker 批量） | terminal      |
+| `whisper-audio-to-text`           | 音频/视频转文字（Whisper）                             | terminal      |
+
+---
+
+## 1. claude-code-executor
+
+**路径**：`~/.hermes/skills/custom/claude-code-executor/SKILL.md`
+
+**用途**：通过 TMUX 启动 Claude Code（bypassPermissions 模式），发送任务指令，监控完成状态。
+
+**触发关键词**：用户说"请用 Claude Code 做 xxx"、"用 Claude Code 执行 xxx"
+
+**核心流程**：
+1. 启动 TMUX session `claude-task`
+2. 等 8 秒后发送 Enter（bypassPermissions 确认）
+3. 发送完整任务指令
+4. 监控 `done:` 输出
+5. 清理 tmux session
+
+**SSH 到 ubuntu2 命令**：`ssh ubuntu2`
+
+---
+
+## 2. claude-code-infographic-prompts
+
+**路径**：`~/.hermes/skills/custom/claude-code-infographic-prompts/SKILL.md`
+
+**用途**：调用 Claude Code 的 `baoyu-infographic` 技能，为笔记内容生成信息图提示词。
+
+**输出格式**（三部分）：
+1. **系统提示词** — Image Specifications + Core Principles
+2. **风格锁定提示词** — Layout Guidelines + Style Guidelines
+3. **内容结构提示词** — Text Requirements + 具体内容
+
+**布局参考**（`~/.claude/skills/baoyu-infographic/references/layouts/`）：
+- `hub-spoke` — 适合 mind-map（标注了 "Best For: Mind maps"）
+- `circular-flow` — 适合循环流程
+- `venn` — 适合交集关系
+
+**风格参考**（`~/.claude/skills/baoyu-infographic/references/styles/`）：
+- `corporate-memphis` — 商务孟菲斯风格
+- `chalkboard` — 粉笔黑板风格
+- `cyberpunk-neon` — 赛博霓虹风格
+- `warm` / `notion` / `minimal` / `blueprint` / `watercolor` / `elegant`
+
+**文件命名**：`[主题]-infographic-prompts-YYYY-MM-DD.md`
+
+---
+
+## 3. blogwatcher-daily
+
+**路径**：`~/.hermes/skills/custom/blogwatcher-daily/SKILL.md`
+
+**用途**：RSS 订阅监控 + 每日笔记生成。使用 RSSHub + feedparser 抓取 31 个订阅，自动去重并存入 SQLite，新文章追加写入 Markdown 笔记。
+
+---
+
+## 4. marker-pdf-to-markdown
+
+**路径**：`~/.hermes/skills/custom/marker-pdf-to-markdown/SKILL.md`
+
+**用途**：PDF 转 Markdown/HTML/JSON 高精度工具，支持 OCR、表格、公式识别。
+
+**安装位置**：ubuntu2 服务器（`ssh ubuntu2`）
+
+| 命令 | 用途 | 输入 |
+|------|------|------|
+| `marker_single` | 单文件转换，默认输出到 PDF 同目录 | 单个 PDF 文件 |
+| `marker` | 批量转换，需文件夹输入 | 文件夹路径 |
+
+常用选项：`--output_dir`、`--output_format json/markdown/html`、`--no-images`、`--use_llm`、`--page_range`
+
+---
+
+## 5. whisper-audio-to-text
+
+**路径**：`~/.hermes/skills/custom/whisper-audio-to-text/SKILL.md`
+
+**用途**：使用 OpenAI Whisper 将音频/视频转换为文字（转录或翻译）。
+
+**安装位置**：Mac mini（GPU 加速）、ubuntu1、ubuntu2（CPU 模式），均直接可用。
+
+---
+
+## 相关 Claude Code 技能（`~/.claude/skills/`）
+
+| 技能名 | 用途 |
+|--------|------|
+| `baoyu-article-illustrator` | 文章配图（分析文章结构 + 生成配图） |
+| `baoyu-infographic` | 信息图生成 |
+| `baoyu-cover-image` | 封面图生成 |
+| `fireworks-tech-graph` | 技术图生成 |
+
+这些 Claude Code 技能通过 `claude-code-executor` 启动 Claude Code CLI 后调用。

Hermes/xingzhi/养龙虾封面提示词-2026-04-20.md

@@ -0,0 +1,51 @@
+---
+title: 养龙虾5天血泪史：我的AI Agent为什么总失忆？OpenClaw 记忆调试全记录
+type: metaphor
+palette: warm
+rendering: digital
+text: title-subtitle
+mood: balanced
+---
+
+请为这篇文章生成封面图。
+
+## 视觉概念
+
+以"金鱼记忆"为核心隐喻：一条卡通金鱼游在透明的水缸中，金鱼的大脑位置是一个空白的问号框架，周围漂浮着记忆碎片（文字泡泡、对话气泡、代码片段），碎片正在逐渐消散到缸外。底部有简单的齿轮和调试工具元素，暗示"调试"过程。
+
+## 主视觉元素
+
+- 金鱼：卡通风格，圆形身体，大眼睛，尾巴呈波浪形游动姿态
+- 空白大脑：空心问号形状，位于金鱼头部位置
+- 记忆碎片：5-6个椭圆形气泡，包含模糊的文字轮廓、对话符号、代码片段
+- 水缸：简单几何圆形边框，内部有微妙的涟漪效果
+- 调试工具：底部角落有小型齿轮、螺丝刀、代码括号图标
+
+## 配色方案（warm palette）
+
+- 主色：温暖橙色 #F5A623（用于金鱼身体）
+- 辅色：柔和珊瑚色 #FF8C74（用于记忆碎片）
+- 强调色：深琥珀色 #C47A2B（用于鱼鳍和调试工具）
+- 背景：米白色 #FFF8F0 到浅杏色 #FFE8D6 渐变
+- 文字色：深棕色 #4A3728
+
+## 渲染风格（digital）
+
+- 干净的矢量线条，精确边缘
+- 平滑渐变，无粗糙纹理
+- 轻微阴影创造层次感
+- 像专业UI插图一样现代简洁
+
+## 文字布局
+
+- 标题："养龙虾5天血泪史" 使用大号粗体字（金鱼上方右侧）
+- 副标题："我的AI Agent为什么总失忆？" 使用较小字号（标题下方）
+- 字体：现代无衬线体，清晰易读
+- 文字颜色：深棕色 #4A3728
+
+## 氛围（balanced）
+
+- 中等对比度
+- 正常饱和度
+- 视觉重量平衡
+- 温暖友好但不强烈

openclaw/xingshu/MEMORY.md

@@ -0,0 +1,108 @@
+# MEMORY.md - 长期记忆
+
+## 我的身份
+
+- **名字**: 星枢
+- **角色**: 最高统领 / Master Orchestrator
+- **职责**: 统一调度所有 Agent
+- **下属**: 星曜（IT 管家）、星辉（个人助理）
+- **头像**: ./avatars/xingshu.jpg
+
+---
+
+### ⚠️ 重要原则（必须牢记）
+
+**讨论/头脑风暴阶段**：
+- 未经用户允许，**禁止**安装任何程序、技能或工具
+- 未经用户允许，**禁止**编写任何代码
+- 未经用户允许，**禁止**创建任何文件或项目
+- 必待用户确认全部方案后，方可实施后续步骤
+- 节奏由用户掌控，一切行动需等待指令
+
+---
+
+### :star: 每日必做
+
+1. **每天第一次对话时**: 自动创建当天的记忆文件 `memory/YYYY-MM-DD.md`
+2. **记录内容**: 对话中的重要操作、决策、用户要求等
+3. **用户要求**: 当用户说"请记住xxxx"时必须记录到记忆文件
+4. **同步规则**: MEMORY.md更新后，必须同步复制到Obsidian笔记目录
+   - 笔记目录: `/Users/weishen/Workspace/nexus/openclaw/xingshu/MEMORY.md`
+
+*此为每日必执行的routine，不可遗漏。*
+
+---
+
+## 🖥️ 服务器架构
+
+| 服务器 | IP | 运行的 Agent |
+|--------|-----|-------------|
+| **Mac Mini** (中央控制节点) | 192.168.3.189 | xingshu (星枢), xingyao (星曜), xinghui (星辉), RabbitMQ |
+| **Ubuntu2** (开发服务器) | 192.168.3.45 | yunhan, yunce, yunjiang, yunzhi |
+| **Ubuntu1** (准生产服务器) | 192.168.3.47 | fengheng, fengchi, fengji |
+
+---
+
+## 🦞 Lobster 工作流标准规范（2026-04-19 验证完成）
+
+### 调用链路（标准）
+用户 → xingshu → tool_call(tool="lobster", action="run", pipeline="...", argsJson="...", timeoutMs=600000) → Gateway 执行
+
+### .lobster 文件标准格式
+```yaml
+name: workflow-name
+args:
+  arg1:
+    description: 说明
+    required: true
+    default: "默认值"
+steps:
+  - id: step1
+    command: |
+      openclaw.invoke --tool sessions_send --action json --args-json '{
+        "sessionKey": "agent:xxx:...",
+        "message": "指令内容 ${args.arg1}",
+        "timeoutSeconds": 300
+      }'
+  - id: step2
+    command: |
+      openclaw.invoke --tool sessions_send ...
+    stdin: $step1.stdout
+  - id: approve
+    command: approve --preview-from-stdin --prompt "确认？"
+    stdin: $step2.stdout
+    approval: required
+  - id: deliver
+    command: |
+      openclaw.invoke --tool sessions_send ...
+    condition: $approve.approved
+    stdin: $step2.stdout
+```
+
+### 关键规则
+1. argsJson 用**单引号**包裹（'{...}'），防止 shell 展开 ${} 变量
+2. ${args.xxx} 在 lobster runner 层展开，不经过 shell
+3. session key 格式：agent:{agentId}:{channel}:direct:{chatId} 或带 thread
+4. 审批门控：approval: required + condition: $step.approved
+5. 数据传递：stdin: $step.stdout
+
+### OpenClaw 配置要求
+- plugins.allow 含 lobster
+- plugins.entries.lobster.enabled: true
+- agents.list[xingshu].tools.alsoAllow 含 lobster
+
+### 工作流文件位置
+/Users/weishen/.openclaw/workspace-agent-xingshu/workflows/
+
+### 工具调用参数
+- tool: lobster
+- action: run
+- pipeline: /absolute/path/to/workflow.lobster
+- argsJson: {"arg1":"value1",...}
+- timeoutMs: 600000
+- cwd: /Users/weishen/.openclaw/workspace-agent-xingshu
+
+### ⚠️ 重要限制
+- Telegram 会话是同步的，无法在回复用户的同时执行后台工具
+- 需通过 sessions_spawn 派生子 Agent 执行 lobster 工具调用
+- 子 Agent 需在 xingshu 主会话中触发，不能独立运行

summary_knowledgebase/csd-wiki/ICSD/Toggle-plaftform-offline-NG-for-Native-SACM_686073929.md

@@ -0,0 +1,56 @@
+# 摘要：Toggle Platform Offline NG for Native SACM
+
+## 一句话说明
+Platform Offline NG Pod（24.2版本引入）用于解决 Native SACM CI 通知处理中的资源瓶颈问题，通过分担离线任务负载提升高并发场景下的系统稳定性。
+
+---
+
+## 关键概念
+
+| 概念 | 说明 |
+|------|------|
+| **Platform Offline NG Pod** | 24.2版本引入的新Pod，用于分散 Native SACM CI 同步任务负载 |
+| **Native SACM** | 默认依赖 Offline NG Pod 运行；可切换回原始Offline Pod |
+| **UCMDB** | CI数据来源，高峰期大量CI涌入时容易造成资源瓶颈 |
+| **ConfigMap** | `itom-xruntime-infra-config`，控制开关的核心配置 |
+| **开关参数** | `ENABLE_SCALABLE_NATIVE_SACM: "true"/"false"` |
+
+---
+
+## 操作流程对比
+
+### 禁用（Disable）
+
+| 步骤 | 操作 |
+|------|------|
+| 1 | 编辑ConfigMap：`kubectl edit cm itom-xruntime-infra-config -n <namespace>` |
+| 2 | 设置 `ENABLE_SCALABLE_NATIVE_SACM: "false"` |
+| 3 | 重启Offline NG Pod：`kubectl rollout restart deployment itom-xruntime-platform-offline-ng -n <namespace>` |
+| 4 | 重缩放Offline Pod：`kubectl scale deployment itom-xruntime-platform-offline -n <namespace> --replicas=0` → `--replicas=1` |
+
+### 启用（Enable）
+
+| 步骤 | 操作 |
+|------|------|
+| 1 | 编辑ConfigMap：`kubectl edit cm itom-xruntime-infra-config -n <namespace>` |
+| 2 | 设置 `ENABLE_SCALABLE_NATIVE_SACM: "true"` |
+| 3 | 重启Offline NG Pod：`kubectl rollout restart deployment itom-xruntime-platform-offline-ng -n <namespace>` |
+| 4 | 重缩放Offline Pod：`kubectl scale deployment itom-xruntime-platform-offline -n <namespace> --replicas=0` → `--replicas=1` |
+| 5 | 确认Offline NG副本数为1：`kubectl scale deployment itom-xruntime-platform-offline-ng -n <namespace> --replicas=1` |
+
+---
+
+## 核心差异（禁用 vs 启用）
+
+- **禁用**：Native SACM 回退至原始Offline Pod处理CI
+- **启用**：Native SACM 使用新版Offline NG Pod处理CI
+- **注意**：启用步骤比禁用多一步——需确保Offline NG副本数重缩放为1
+
+---
+
+## 相关链接
+
+- 原始文档：`knowledgebase/csd-wiki/ICSD/Toggle-plaftform-offline-NG-for-Native-SACM_686073929.md`
+
+## 信息图
+![信息图](./Toggle-plaftform-offline-NG-for-Native-SACM_686073929_infographic.jpg)

summary_openclaw_Slack.md

@@ -0,0 +1,80 @@
+# Slack 配置 OpenClaw Bot — 结构化摘要
+
+## 文档概述
+
+- **来源**：`/Users/weishen/Workspace/nexus/openclaw/Slack.md`
+- **主题**：在 Slack API 创建 App 并与 OpenClaw 集成的完整步骤
+- **包含内容**：配置流程 + 现有 Bot 凭证信息
+
+---
+
+## 一、配置流程（6 步）
+
+| 步骤 | 操作 | 关键产物 |
+|------|------|----------|
+| 1 | Slack API 创建 App（From app manifest） | App Manifest JSON |
+| 2 | 安装 App 到工作区 | Bot User OAuth Token（`xoxb-...`） |
+| 3 | 生成 App Level Token | App Level Token（`xapp-1-...`） |
+| 4 | 添加 Channel 到 OpenClaw | `openclaw channels add --channel slack ...` |
+| 5 | 绑定 Agent 到 Slack 账号 | `openclaw agents bind --agent ... --bind slack:...` |
+| 6 | 验证连接 | 发送私信或 @Bot 确认响应 |
+
+### Manifest JSON 关键配置
+- **Socket Mode**：启用（`socket_mode_enabled: true`）
+- **Interactivity**：启用
+- **Event Subscriptions**：app_mention、message.channels/groups/im/mpim、reaction_added/removed 等
+- **OAuth Scopes**：涵盖 im、chat、channels、groups、files、reactions、pins、users 等全部权限
+
+---
+
+## 二、现有 Bot 配置
+
+### XingShu
+| 项目 | 值 |
+|------|---|
+| Account | `xingshu` |
+| Bind Agent | `main` |
+| Bot Token | `xoxb-10749198837424-10729993030356-fZMcpT9AwVYjpZAoALh9G3Pf` |
+| App Token | `xapp-1-A0ALWUV7P7H-10720045898595-6d84e6b3c450587efe928459ab3ccfdefac2f7cb506ff741aabce688977644e8` |
+
+### XingYao
+| 项目 | 值 |
+|------|---|
+| Account | `xingyao` |
+| Bind Agent | `xingyao` |
+| Bot Token | `xoxb-10749198837424-10717815209651-z0T78ljkOGeNddAWcajl2Wxg` |
+| App Token | `xapp-1-A0AMDPLP99A-10722160508566-6cedd2c05c0a338435aaab98c9449ef01437b315b049850ba574ff67c1fbd68b` |
+
+### XingHui
+| 项目 | 值 |
+|------|---|
+| Account | `xinghui` |
+| Bind Agent | `xinghui` |
+| Bot Token | `xoxb-10749198837424-10724815197190-kEkxZmkBKQrYnY8Ov2hadu3O` |
+| App Token | `xapp-1-A0AMCRT5E10-10720526191091-9ed0aff401f0feb16994d9d20a5256b6417fa83e0b743c1d63f8a8838fba822f` |
+
+---
+
+## 三、关键命令速查
+
+```bash
+# 添加 Slack Channel
+openclaw channels add --channel slack --account <账号名> --bot-token <Bot Token> --app-token <App Token>
+
+# 绑定 Agent
+openclaw agents bind --agent <agent名称> --bind slack:<账号名>
+```
+
+---
+
+## 四、注意事项
+
+- 所有 Bot 均使用 **Socket Mode**（无需公网 Webhook）
+- App Level Token 必须添加 `connections:write` 权限
+- Bot OAuth Scopes 包含 24 个权限，建议仔细评估后使用
+- 凭证信息已脱敏保存在此摘要，原始文件含完整 token
+
+
+
+## 信息图
+![信息图](./summary_openclaw_Slack_infographic.jpg)

wiki/concepts/ADOT.md

@@ -0,0 +1,34 @@
+---
+title: "ADOT (AWS Distro for OpenTelemetry)"
+type: concept
+tags:
+  - OpenTelemetry
+  - AWS
+  - ADOT
+date: 2024-04-02
+---
+
+## Definition
+ADOT（AWS Distro for OpenTelemetry）是 AWS 提供的 OpenTelemetry 发行版，作为统一代理用于收集 Traces、Metrics、Logs，并自动检测应用语言创建预配置的 OpenTelemetry Collector。
+
+## Key Features
+- **统一代理**：单一 Agent 收集所有类型遥测数据
+- **自动检测**：自动识别应用编程语言并配置 instrumentation
+- **AWS 集成**：原生支持 CloudWatch、X-Ray、OpenSearch、Prometheus 等 AWS 服务
+- **Operator 支持**：通过 Kubernetes Operator 自动管理 Collector 部署
+
+## Capabilities
+- 自动 instrumentation（自动埋点）
+- 自定义属性添加（如租户 ID）
+- 日志支持（Fluent Bit 集成）
+- 无服务器指标抓取（Amazon Managed Prometheus）
+
+## Related Components
+- [[OpenTelemetry]]：上游开源项目
+- [[OpenTelemetry-Collector]]：ADOT 基于 Collector 构建
+- [[EKS]]：主要部署平台
+- [[Amazon-OpenSearch-Service]]：数据存储后端
+
+## References
+- AWS re:Invent 演示：EKS 上使用 Fluent Bit 收集日志，转发至 OpenTelemetry Collector 端点（端口 55681）
+- 支持 11 种语言 SDK

wiki/concepts/BYOD.md

@@ -0,0 +1,18 @@
+---
+title: "BYOD"
+type: concept
+tags: []
+---
+
+## Definition
+Bring Your Own Device，自带设备。允许员工使用个人设备（笔记本、手机、平板）访问企业资源的工作模式。
+
+## Security Considerations
+- 终端数据保护
+- 企业数据与个人数据隔离
+- 远程擦除能力
+- 多因素认证
+
+## Related Concepts
+- [[VDI]]
+- [[SAML]]

wiki/concepts/BottleRocket.md

@@ -0,0 +1,24 @@
+---
+title: "BottleRocket"
+description: EKS Auto Mode 使用的 Linux 操作系统，专为容器工作负载优化
+type: concept
+tags:
+  - AWS
+  - EKS
+  - Operating-System
+---
+
+## Definition
+BottleRocket 是 AWS 开发的 Linux 操作系统，专为容器工作负载设计，被 EKS Auto Mode 采用作为默认操作系统。它支持自动化补丁管理和安全更新。
+
+## Features
+- 专为容器优化的轻量级 OS
+- 自动化补丁管理和安全更新
+- 与 EKS Auto Mode 深度集成
+
+## Relationship
+- 由 [[Carpenter]] 管理
+- 运行在 [[EKS-Auto-Mode]] 集群节点上
+
+## References
+- [[public-cloud-learning-sessions-eks-optimization-part-3-of-3-introduction-to-eks-auto-mode]]

wiki/concepts/Bottlerocket-OS.md

@@ -0,0 +1,37 @@
+---
+title: "Bottlerocket OS"
+type: concept
+tags: [AWS, Container, Operating-System, Security]
+date: 2026-04-19
+---
+
+## Definition
+Bottlerocket OS 是专为托管容器工作负载而设计的最小化 Linux 操作系统，与通用操作系统不同，仅包含必要组件。
+
+## Key Characteristics
+- **最小化设计**：无包管理器、无默认 shell 解释器、无默认 SSH 访问，仅包含必要的内核组件
+- **变体机制**：通过变体满足特定工作负载需求（如 GPU 支持）
+- **安全更新**：原地更新和节点替换两种方式，使用 dm-verity 验证根文件系统完整性
+- **不可变根文件系统**：根文件系统默认不可变，/etc 是临时文件系统
+- **SELinux**：默认强制启用
+- **CIS Benchmark**：提供专门的硬化基准
+
+## Variants
+Bottlerocket 变体是平台、处理器架构和必要二进制组件的组合：
+- 基础变体
+- GPU 变体（支持 NVIDIA 驱动）
+- 与 EKS、Carpenter 集成的优化变体
+
+## Use Cases
+- EKS 节点操作系统
+- 自托管 Kubernetes 集群
+- 容器化工作负载生产环境
+
+## Related Concepts
+- [[dm-verity]] — 根文件系统完整性验证
+- [[CIS-Benchmarks]] — 安全配置基准
+- [[EKS]] — 支持的 Kubernetes 服务
+
+## Related Entities
+- [[Bottlerocket]] — 维护的开源项目
+- [[AWS]] — 核心维护者和赞助商

wiki/concepts/Carpenter.md

@@ -0,0 +1,25 @@
+---
+title: "Carpenter"
+description: EKS Auto Mode 的计算控制器，负责基础设施管理和节点生命周期
+type: concept
+tags:
+  - AWS
+  - EKS
+  - Controller
+---
+
+## Definition
+Carpenter 是 EKS Auto Mode 的计算控制器，运行在作为核心能力的 Pod 中，负责管理节点生命周期、基础设施配置和 AMI 滚动更新。
+
+## Functionality
+- 管理节点池配置和实例类型选择
+- 响应控制平面版本变化，自动拉取新 AMI
+- 通过滚动升级跨集群部署新 AMI
+- 支持动态实例确定和自动整合
+
+## Relationship
+- 与 [[EKS-Auto-Mode]] 紧密集成，是其核心能力之一
+- 管理 [[BottleRocket]] 操作系统实例
+
+## References
+- [[public-cloud-learning-sessions-eks-optimization-part-3-of-3-introduction-to-eks-auto-mode]]

wiki/concepts/Cluster-Autoscaler.md

@@ -0,0 +1,29 @@
+---
+title: "Cluster Autoscaler"
+type: concept
+tags: [Kubernetes, Auto-Scaling, GKE, EKS]
+sources: []
+last_updated: 2026-04-19
+---
+
+## Definition
+Cluster Autoscaler 是 Kubernetes 社区的自动扩缩容组件，与 Karpenter 功能类似但实现方式不同。
+
+## Key Differences from Karpenter
+- 不直接与 EC2 Fleet API 通信，依赖 Kubernetes scheduler
+- 无原生 Spot 中断处理，需要额外组件（如 Node Termination Handler）
+- 节点管理通过 Node Groups 而非原生资源
+- 不支持工作负载放置的细粒度控制
+
+## Use Cases
+- GKE：Google Kubernetes Engine 原生支持
+- AKS：Azure Kubernetes Service 支持
+- EKS：需要额外配置
+
+## Related Concepts
+- [[Karpenter]]：Cluster Autoscaler 的替代方案
+- [[Node-Pools]]：类似 Karpenter 的节点管理概念
+
+## Aliases
+- Kubernetes Cluster Autoscaler
+- CA

wiki/concepts/Comparative-Mode.md

@@ -0,0 +1,27 @@
+---
+title: "Comparative Mode"
+type: concept
+tags: [comparison, research, mode]
+last_updated: 2026-04-19
+---
+
+## Definition
+
+Comparative Mode 是 Last30Days skill 的一种研究模式，通过 "X vs Y" 格式生成并排对比研究，帮助用户快速对比两个主题的热门内容、用户痛点和市场观点。
+
+## Usage
+
+```bash
+python3 ~/.openclaw/skills/last30days-official/scripts/last30days.py "cursor vs windsurf"
+```
+
+## Output Structure
+
+- 双方热门内容并排显示
+- 关键模式对比
+- 推荐行动并列
+
+## Related Concepts
+
+- [[Last-30-Days-Skill]]
+- [[Market-Research]]

wiki/concepts/Consolidation-Policies.md

@@ -0,0 +1,30 @@
+---
+title: "Consolidation Policies"
+type: concept
+tags: [Kubernetes, Karpenter, Cost-Optimization]
+sources: []
+last_updated: 2026-04-19
+---
+
+## Definition
+Consolidation Policies 是 Karpenter 的成本优化策略，控制节点的整合行为以减少空闲资源。
+
+## Configuration Options
+- **Budget-based**：基于预算的整合限制
+- **Time-based**：基于时间的整合控制（如业务高峰时段禁止整合）
+- **Percentage-based**：限制每次中断的实例百分比
+
+## Purpose
+- 在保证性能的前提下最小化成本
+- 避免在业务高峰时段进行节点整合
+- 控制变更节奏，减少对工作负载的影响
+
+## Related Concepts
+- [[Karpenter]]：使用 Consolidation Policies
+- [[Node-Pools]]：配置整合策略的组件
+- [[Cost-Optimization]]：成本优化
+
+## Aliases
+- Consolidation Policies
+- Consolidation
+- Node Consolidation

wiki/concepts/Dashboard-as-Code.md

@@ -0,0 +1,22 @@
+---
+title: "Dashboard-as-Code"
+type: concept
+tags: [Grafana, IaC, monitoring, automation]
+sources: [ctp-topic-60-monitor-aws-using-hyperscale-observability-with-grafana]
+last_updated: 2026-04-19
+---
+
+## Summary
+通过代码管理 Grafana 仪表板的实践，使用 Terraform 模块实现自动化 provisioning。
+
+## Definition
+用代码（通常是 Terraform HCL）定义和管理 Grafana 组织、用户、文件夹、IAM 角色和仪表板的实践。
+
+## Key Attributes
+- **类型**：基础设施即代码（IaC）
+- **工具**：Terraform
+- **用途**：自动化监控资源部署
+
+## Connections
+- [[Grafana]] ← 管理工具 ← [[Dashboard-as-Code]]
+- [[Terraform]] ← 使用模块 ← [[Dashboard-as-Code]]

wiki/concepts/EKS-可靠性.md

@@ -0,0 +1,60 @@
+---
+title: "EKS 可靠性"
+type: concept
+tags: [AWS, EKS, Kubernetes, Reliability]
+---
+
+## Description
+EKS 可靠性是指在 Amazon EKS 集群中实现高可用性和弹性的实践，确保系统在故障发生时仍提供可预测行为。EKS 可靠性涵盖三个层面：应用可靠性、控制平面可靠性、数据平面可靠性。
+
+## Three Layers of EKS Reliability
+
+### 1. 应用可靠性（Application Reliability）
+- 避免单点 Pod，使用 [[Pod 反亲和性]] 或 [[拓扑分布约束]]
+- [[HPA]]（Horizontal Pod Autoscaler）根据 CPU/内存自动扩展
+- [[VPA]]（Vertical Pod Autoscaler）自动调整资源请求
+- [[探针]]（Liveness、Readiness、Startup）监控 Pod 健康
+- [[Pod 中断预算]] 确保维护期间最低服务水平
+- 部署策略：Rolling、Blue-Green、Canary
+
+### 2. 控制平面可靠性（Control Plane Reliability）
+- 监控控制平面指标（API Server 请求、etcd 状态）
+- 安全认证配置
+- 精心配置和测试的 Admission Webhooks
+- 集群升级：控制平面和数据平面分阶段升级
+- EKS 平台版本自动透明升级
+- minor 版本 14 个月支持周期后自动升级
+
+### 3. 数据平面可靠性（Data Plane Reliability）
+- 节点问题检测器（Node Problem Detector）
+- 系统资源预留
+- 实施 QoS（Quality of Service）资源配额
+- 资源限制范围（LimitRanges）
+- Pod 优先级和抢占
+
+## Shared Responsibility Model
+根据 AWS 共享责任模型：
+- **AWS 负责**：控制平面组件（etcd、API Server、Scheduler、Controller Manager）
+- **客户负责**：Worker Node、操作系统、应用配置
+- **Fargate 模式**：AWS 负责节点管理和补丁升级
+
+## Related Entities
+- [[Surav Paul]]：演讲人
+- [[EKS]]
+- [[AWS]]
+- [[Fargate]]
+- [[Kubernetes]]
+
+## Related Concepts
+- [[Pod 反亲和性]]
+- [[拓扑分布约束]]
+- [[HPA]]
+- [[VPA]]
+- [[探针]]
+- [[Pod 中断预算]]
+- [[共享责任模型]]
+
+## Connections
+- [[EKS 可靠性]] ← 包含 [[Pod 反亲和性]]、[[拓扑分布约束]]、[[HPA]]、[[VPA]]、[[探针]]、[[Pod 中断预算]]
+- [[EKS]] ← 提供 [[EKS 可靠性]]
+- [[Surav Paul]] ← 阐述 [[EKS 可靠性]]

wiki/concepts/ELK-Stack.md

@@ -0,0 +1,25 @@
+---
+title: "ELK Stack"
+type: concept
+tags: [Log-Analytics, Open-Source, Elasticsearch, Logstash, Kibana]
+date: 2026-04-14
+---
+
+## Definition
+ELK Stack 是开源日志分析技术栈，由 Elasticsearch、Logstash 和 Kibana 三个组件组成，用于日志采集、存储、搜索和可视化。
+
+## Components
+- **Elasticsearch**：分布式搜索引擎和存储引擎，用于存储和搜索日志数据
+- **Logstash**：日志处理管道，负责日志的聚合、转换和 enrichment
+- **Kibana**：Web 前端，用于日志数据的可视化、分析和查询
+
+## Usage
+ELK Stack 是云环境日志分析的标准开源方案，通过 BEATS 采集日志，Logstash 处理，Elasticsearch 存储，Kibana 可视化。
+
+## Connections
+- [[ELK Stack]] ← uses ← [[BEATS]]
+- [[ELK Stack]] ← uses ← [[Logstash]]
+- [[ELK Stack]] ← uses ← [[Elasticsearch]]
+- [[ELK Stack]] ← uses ← [[Kibana]]
+- [[OpenSearch]] ← extends ← [[ELK Stack]]
+- [[Log Analytics]] ← implements ← [[ELK Stack]]

wiki/concepts/Fargate.md

@@ -0,0 +1,29 @@
+---
+title: "Fargate"
+type: concept
+tags: [AWS, Serverless, Container]
+---
+
+## Description
+Fargate 是 AWS 提供的无服务器容器运行环境，让用户无需管理底层服务器即可运行容器。在 Fargate 模式下，AWS 负责管理节点、操作系统和补丁升级。
+
+## Features
+- 无需预置或管理服务器
+- 按实际使用的计算资源付费
+- AWS 自动处理节点管理和安全补丁
+- 与 EKS 和 ECS 集成
+
+## Use Case
+在 EKS 中使用 Fargate 运行无状态工作负载，让 AWS 管理底层基础设施，专注于应用逻辑。
+
+## Related Entities
+- [[AWS]]
+- [[EKS]]
+- [[ECS]]
+
+## Related Concepts
+- [[EKS 可靠性]]
+- [[Serverless-Computing]]
+
+## Connections
+- [[Fargate]] ← 提供 [[EKS 可靠性]]

wiki/concepts/HPA.md

@@ -0,0 +1,21 @@
+---
+title: "HPA"
+type: concept
+tags: [Kubernetes, EKS, Auto-Scaling]
+---
+
+## Description
+HPA（Horizontal Pod Autoscaler）是 Kubernetes 的水平 Pod 自动扩缩容功能，根据 CPU、内存或自定义指标自动调整 Pod 副本数。
+
+## Related Concepts
+- [[VPA]]
+- [[EKS 可靠性]]
+- [[KEDA]]
+- [[Auto-scaling]]
+
+## Related Entities
+- [[EKS]]
+- [[Kubernetes]]
+
+## Connections
+- [[HPA]] ← 实现 [[EKS 可靠性]]

wiki/concepts/IAM-用户.md

@@ -0,0 +1,31 @@
+---
+title: "IAM 用户"
+type: concept
+tags: [AWS, IAM, Identity]
+date: 2026-04-19
+---
+
+## Definition
+IAM 用户是 AWS IAM 中的持久化身份，代表使用 AWS 资源的人员或应用程序。
+
+## Characteristics
+- 长期凭证（Access Key + Secret Key）
+- 可直接附加策略
+- 适用于服务账号而非人员
+
+## Use Cases
+- 服务间通信的凭证
+- CI/CD 管道的访问凭证
+
+## Best Practice
+- 优先使用联合访问替代 IAM 用户进行人员认证
+- IAM 用户仅用于非人员实体（服务账号）
+
+## Related Concepts
+- [[IAM-角色]]: 临时凭证，适用于人员和服务的短期访问
+- [[IAM-策略]]: 定义 IAM 用户可执行的操作
+- [[联合访问]]: 优先使用的人员访问方式
+
+## Connections
+- [[IAM-用户]] ← uses ← [[IAM-策略]]
+- [[IAM-用户]] ← alternative_to ← [[联合访问]]

wiki/concepts/IAM-策略.md

@@ -0,0 +1,45 @@
+---
+title: "IAM 策略"
+type: concept
+tags: [AWS, IAM, Security, Policy]
+date: 2026-04-19
+---
+
+## Definition
+IAM 策略是定义 AWS 权限的 JSON 文档，指定允许或拒绝的操作和资源。
+
+## Core Concept
+> "We only want to allow the access that is strictly required."
+
+最小权限原则是 IAM 策略设计的核心指导原则。
+
+## Types
+- **AWS 托管策略**：AWS 预定义的策略，可重用
+- **客户托管策略**：用户创建和维护的策略，可重用
+- **内联策略**：直接嵌入 IAM 角色或用户，不可重用
+
+## Best Practices
+- 使用内联策略进行角色特定的权限
+- 使用托管策略进行跨角色可重用的权限
+- 策略应细粒度，限制访问特定资源而非广泛开放
+
+## JSON Structure
+```json
+{
+  "Version": "2012-10-17",
+  "Statement": [{
+    "Effect": "Allow|Deny",
+    "Action": ["s3:GetObject", "s3:ListBucket"],
+    "Resource": "arn:aws:s3:::bucket-name/*"
+  }]
+}
+```
+
+## Related Concepts
+- [[IAM-角色]]: 策略附加的目标
+- [[内联策略]]: 绑定到特定角色
+- [[托管策略]]: 可跨角色重用
+- [[最小权限原则]]: 策略设计原则
+
+## Connections
+- [[IAM-策略]] ← attached_to ← [[IAM-角色]]

wiki/concepts/IAM-角色.md

@@ -0,0 +1,40 @@
+---
+title: "IAM 角色"
+type: concept
+tags: [AWS, IAM, Identity]
+date: 2026-04-19
+---
+
+## Definition
+IAM 角色是 AWS IAM 中的身份，可以被其他实体 assum 以获取临时安全凭证。
+
+## Core Concept
+> "Roles don't enable actions; they tie together who can do something and what they can do."
+
+角色本身不执行操作，而是将"谁可以做什么"关联在一起。
+
+## Characteristics
+- 临时凭证（通过 AssumeRole API 获取）
+- 可被服务（AWS Service Role）或用户 assum
+- 包含信任策略和权限策略
+- 无持久化登录凭证
+
+## Use Cases
+- 授予服务访问 AWS 资源的权限（如 EC2 实例角色）
+- 授予用户跨账号访问权限
+- 联合访问映射（AD 组 → IAM 角色 → 权限）
+
+## Types
+- **服务角色**：供 AWS 服务使用
+- **跨账号角色**：跨 AWS 账号授权
+- **联合角色**：外部身份提供商映射的角色
+
+## Related Concepts
+- [[IAM-策略]]: 定义角色可执行的操作
+- [[信任策略]]: 定义谁可以 assum 角色
+- [[联合访问]]: AD 组映射到 IAM 角色的工作流
+- [[最小权限原则]]: 策略设计原则
+
+## Connections
+- [[IAM-角色]] ← contains ← [[IAM-策略]]
+- [[IAM-角色]] ← defined_by ← [[信任策略]]

wiki/concepts/IPv6-Networking.md

@@ -0,0 +1,30 @@
+---
+title: "IPv6 Networking"
+type: concept
+tags: [Networking, VPC, AWS, IP-Address]
+---
+
+## Description
+IPv6 Networking（IPv6 网络）是解决 VPC IP 地址耗尽的方案。通过双栈 VPC，节点支持 IPv4+IPv6 双协议栈，Pod 仅使用 IPv6 地址。IPv6 Pod 与 IPv4 目标交互需要在两层进行 NAT 转换。
+
+## AWS Implementation
+- 使用双栈 VPC
+- 节点支持双栈 IP 地址
+- Pod 仅分配 IPv6 地址
+- 通过 NAT 解决 IPv6 与 IPv4 互操作
+
+## Use Cases
+- 解决大规模 Kubernetes 集群的 IP 耗尽问题
+- 支持更多 Pod 和服务
+- VPC 网络扩展
+
+## Related Concepts
+- [[VPC]]
+- [[EKS]]
+
+## Related Entities
+- [[AWS]]
+
+## Connections
+- [[IPv6 Networking]] ← resolves [[IP Exhaustion]]
+- [[IPv6 Networking]] ← extends [[VPC]]

wiki/concepts/Identity-Governance.md

@@ -0,0 +1,20 @@
+---
+title: "Identity-Governance"
+type: concept
+tags: []
+---
+
+## Definition
+身份治理（Identity Governance）是一个用于高效管理数字身份、降低风险并保持合规性的框架。它回答三个核心问题：谁当前有权访问我们的系统？谁应该有权访问？访问是如何进行的？
+
+## Components
+- 身份管理（Identity Management）
+- 访问管理（Access Management）
+- 身份审计（Identity Auditing）
+
+## Use Cases
+- 管理内部员工访问权限
+- 管理外部用户（包括合同工）访问权限
+- 支持时间限制的临时访问
+- 通过工作流自动化访问审批和撤销
+- 监控和审计访问行为

wiki/concepts/KEDA.md

@@ -0,0 +1,30 @@
+---
+title: "KEDA"
+type: concept
+tags: [Kubernetes, EKS, Auto-Scaling, Event-Driven]
+---
+
+## Description
+KEDA（Kubernetes Event-driven Autoscaling）是基于外部事件的 Kubernetes 工作负载扩缩容框架。它使用 ScaledObject CRD 定义扩缩容规则，支持从零副本启动，可发布指标供 HPA 使用。
+
+## Mechanism
+- 使用 ScaledObject 自定义资源定义
+- 支持多种外部事件源（消息队列、HTTP API、Azure Blob 等）
+- 可与 HPA 集成提供指标
+- 支持从零副本扩展
+
+## Use Cases
+- 基于消息队列深度自动扩缩容
+- 基于 HTTP 请求速率扩缩容
+- 事件驱动的工作负载
+
+## Related Concepts
+- [[HPA]]
+- [[Auto-scaling]]
+
+## Related Entities
+- [[EKS]]
+
+## Connections
+- [[KEDA]] ← integrates_with [[HPA]]
+- [[KEDA]] ← provides_metrics_for [[Auto-scaling]]

wiki/concepts/Kibana.md

@@ -0,0 +1,23 @@
+---
+title: "Kibana"
+type: concept
+tags: [Log-Analytics, Visualization, Elasticsearch]
+date: 2026-04-14
+---
+
+## Definition
+Kibana 是 ELK Stack 的 Web 前端和可视化界面，用于日志数据的搜索、分析和可视化展示。
+
+## Description
+Kibana 提供交互式仪表板、时间序列可视化、图形图表等功能，用户可以通过查询语法搜索日志、创建可视化图表、构建仪表板。End users can view logs via Kibana, connecting from a specified network.
+
+## Usage
+- 日志搜索和查询
+- 可视化仪表板构建
+- 告警规则配置
+- 权限管理（配合 RBAC）
+
+## Connections
+- [[Kibana]] ← connects_to ← [[Elasticsearch]]
+- [[ELK Stack]] ← depends_on ← [[Kibana]]
+- [[Log Analytics]] ← uses ← [[Kibana]]

wiki/concepts/Log-Analytics.md

@@ -0,0 +1,41 @@
+---
+title: "Log Analytics"
+type: concept
+tags: [Log-Analytics, Observability, DevOps]
+date: 2026-04-14
+---
+
+## Definition
+Log Analytics（日志分析）是云运维可观测性的核心组件，负责日志数据的采集、存储、搜索和可视化，帮助运维团队监控系统健康、排查故障和安全审计。
+
+## Architecture
+典型日志分析架构包含：
+1. **采集层**：BEATS（Filebeat、Metricbeat、Heartbeat 等）从应用采集日志
+2. **处理层**：Logstash 聚合和转换日志数据
+3. **存储层**：Elasticsearch 或 OpenSearch 存储和索引日志
+4. **可视化层**：Kibana 提供查询和可视化界面
+5. **可选缓冲**：Redis 防止 Logstash 过载
+
+## Security Measures
+- 静态加密：加密节点 + NVMe 设备硬件级加密
+- 传输加密：TLS 1.2
+- VPC 间私有流量，不经过公网
+- 基于索引的访问控制 + RBAC
+
+## Regional Deployment
+出于 GDPR 合规要求，日志农场按区域 split（Oregon 美国、Europe 欧洲）。
+
+## Solutions Comparison
+| 方案 | 成本（单农场/14天/100GB日） | SLA | 特点 |
+|------|---------------------------|-----|------|
+| Logz.io | ~$4,000/月 | 99.8% | 托管 ELK，试用期 |
+| AWS OpenSearch | ~$1,500/月 | 99.9% | 托管，自动快照 |
+| 自托管 ELK | 最低 | 自定义 | 维护量大 |
+| Microfocus OBA | 较高 | 成熟 | 商业选项，自动化集群 |
+
+## Connections
+- [[Log Analytics]] ← implements ← [[Observability-Engineering]]
+- [[Log Analytics]] ← uses ← [[ELK Stack]]
+- [[Log Analytics]] ← uses ← [[OpenSearch]]
+- [[ELK Stack]] ← provides ← [[Log Analytics]]
+- [[OpenSearch]] ← provides ← [[Log Analytics]]

wiki/concepts/Logstash.md

@@ -0,0 +1,18 @@
+---
+title: "Logstash"
+type: concept
+tags: [Log-Analytics, Data-Processing, ETL]
+date: 2026-04-14
+---
+
+## Definition
+Logstash 是 ELK Stack 中的日志处理管道组件，负责接收、转换和 enrichment 日志数据，然后发送到 Elasticsearch 存储。
+
+## Description
+Logstash 支持多种输入源（文件、网络、Beats 等），通过过滤器对日志进行解析、转换、添加字段等处理，然后输出到目标存储。可选使用 Redis 作为消息队列缓冲，防止 Logstash 过载。
+
+## Connections
+- [[Logstash]] ← receives_from ← [[BEATS]]
+- [[Logstash]] ← sends_to ← [[Elasticsearch]]
+- [[Logstash]] ← uses_buffer ← [[Redis]]
+- [[ELK Stack]] ← depends_on ← [[Logstash]]

wiki/concepts/Management-Packs.md

@@ -0,0 +1,31 @@
+---
+title: "Management Packs"
+type: concept
+tags: [Monitoring, OBM]
+last_updated: 2026-04-19
+---
+
+## Definition
+Management Packs 是 Micro Focus Operations Bridge Manager (OBM) 的管理包，用于定义监控策略、指标和阈值。
+
+## Function
+- 定义监控间隔
+- 指定需要收集的指标
+- 配置数据收集范围（账户、服务、命名空间）
+- 设置阈值触发事件
+- 新实例自动部署监控策略
+
+## Usage in OBM
+```yaml
+Management Pack Config:
+  - Role ARN: arn:aws:iam::123456789012:role/OBM-Role
+  - Account ID: target account
+  - Namespaces: AWS/EC2, AWS/Lambda, etc.
+  - Metrics: CPUUtilization, MemoryUtilization
+  - Thresholds: 80% (warning), 90% (critical)
+  - Frequency: 5 minutes
+```
+
+## References
+- [[Operations Bridge Manager (OBM)]]
+- [[CTP Topic 8 Implementation of Cloud monitoring using Micro Focus Operations Bridge]]

wiki/concepts/Node-Classes.md

@@ -0,0 +1,25 @@
+---
+title: "Node Classes"
+type: concept
+tags: [Kubernetes, Karpenter, EC2, Instance-Configuration]
+sources: []
+last_updated: 2026-04-19
+---
+
+## Definition
+Node Classes 是 Karpenter 的核心组件，定义 EC2 实例的 provisioning 配置细节。
+
+## Key Attributes
+- **子网**：实例部署的 subnet
+- **节点角色**：IAM 角色和策略
+- **AMI**：Amazon Machine Image（可使用 EKS 优化 AMI 或自定义 AMI）
+- **安全组**：实例附加的安全组
+
+## Related Concepts
+- [[Node-Pools]]：定义调度约束和容量限制
+- [[Karpenter]]：使用 Node Classes 的 compute management tool
+- [[AMI]]：Amazon Machine Image
+
+## Aliases
+- Node Classes
+- Karpenter Node Classes

wiki/concepts/Node-Pool.md

@@ -0,0 +1,30 @@
+---
+title: "Node Pool"
+description: EKS Auto Mode 的节点池概念，用于管理一组相同配置的 Kubernetes 节点
+type: concept
+tags:
+  - AWS
+  - EKS
+  - Kubernetes
+---
+
+## Definition
+Node Pool（节点池）是 EKS Auto Mode 中管理一组相同配置节点的概念。默认包含两个节点池：general purpose 和 system，还有一个节点类。
+
+## Default Configuration
+- **General Purpose 节点池**：默认锁定 AMD64 架构，支持自定义节点池用于 Graviton 实例
+- **System 节点池**：带有 taint，系统插件需要相应的 tolerations
+- **节点类**：默认创建一个节点类
+
+## Behavior
+- 默认节点池不可变，配置为零权重，允许自定义节点池被优先使用
+- 实例动态确定和自动整合
+- 优化计算成本
+
+## Relationship
+- 由 [[Carpenter]] 管理
+- 运行 [[BottleRocket]] 操作系统
+- 属于 [[EKS-Auto-Mode]]
+
+## References
+- [[public-cloud-learning-sessions-eks-optimization-part-3-of-3-introduction-to-eks-auto-mode]]

wiki/concepts/Node-Pools.md

@@ -0,0 +1,30 @@
+---
+title: "Node Pools"
+type: concept
+tags: [Kubernetes, Karpenter, Compute-Management]
+sources: []
+last_updated: 2026-04-19
+---
+
+## Definition
+Node Pools 是 Karpenter 的核心组件，定义 Kubernetes 集群中节点的调度约束和容量限制。
+
+## Key Attributes
+- **调度约束**：定义哪些 Pod 可以调度到该节点池
+- **容量限制**：定义节点池的最大/最小节点数
+- **实例类型**：指定可使用的 EC2 实例类型
+- **可用区**：定义节点部署的可用区
+
+## Use Cases
+- 单节点池：统一的工作负载
+- 混合节点池：计算+加速节点
+- 隔离节点池：基于成本、安全或多租户的隔离
+
+## Related Concepts
+- [[Node-Classes]]：定义实例配置细节
+- [[Karpenter]]：使用 Node Pools 的 compute management tool
+- [[Consolidation-Policies]]：节点整合策略
+
+## Aliases
+- Node Pools
+- Karpenter Node Pools

wiki/concepts/OpenSearch.md

@@ -0,0 +1,27 @@
+---
+title: "OpenSearch"
+type: concept
+tags: [Log-Analytics, AWS, Open-Source, Elasticsearch]
+date: 2026-04-14
+---
+
+## Definition
+OpenSearch 是 AWS 的开源日志分析和搜索引擎，基于 Elasticsearch 和 Kibana 的开源分支，提供托管服务。
+
+## Description
+OpenSearch 是 ELK Stack 的 AWS 托管替代方案，由 AWS 维护。与 Logz.io 等商业解决方案相比，OpenSearch 提供更低成本（约 $1,500/月 vs $4,000/月）和更高的可用性 SLA（99.9% vs 99.8%）。
+
+## Features
+- 托管日志分析服务
+- 与 ELK Stack 兼容
+- 自动快照备份
+- 支持细粒度访问控制
+
+## Cost Comparison（单农场、14天保留、每日 100GB）
+- Logz.io：约 $4,000/月
+- AWS OpenSearch：约 $1,500/月
+- 自托管 ELK：成本最低但维护量大
+
+## Connections
+- [[OpenSearch]] ← extends ← [[ELK Stack]]
+- [[Log Analytics]] ← implements ← [[OpenSearch]]

wiki/concepts/OpenTelemetry-Collector.md

@@ -0,0 +1,46 @@
+---
+title: "OpenTelemetry Collector"
+type: concept
+tags:
+  - OpenTelemetry
+  - Collector
+  - Data-Processing
+date: 2024-04-02
+---
+
+## Definition
+OpenTelemetry Collector 是用于接收、处理和导出遥测数据的独立组件，作为数据管道在应用和后端存储之间进行数据标准化和转发。
+
+## Architecture
+Collector 包含四大组件：
+
+### Receivers（接收器）
+- AWS 特有接收器（ECS、EC2、EKS）
+- 开源接收器（Prometheus、OTLP、Fluent Bit）
+- 支持拉取（pull）和推送（push）模式
+
+### Processors（处理器）
+- 数据过滤和转换
+- 批量处理和重试
+- 内存限流和队列管理
+
+### Exporters（导出器）
+- AWS 原生：CloudWatch、X-Ray、OTLP
+- 开源：Prometheus、Jaeger、Zipkin
+- 第三方：Datadog、New Relic、Grafana
+
+### Extensions（扩展）
+- SIGV 授权
+- 健康检查
+- zPages 调试
+- 内存配置
+
+## Deployment Modes
+- **Agent 模式**：与应用部署在同一主机，收集本地数据
+- **Gateway 模式**：独立部署，收集多个 Agent 的数据
+
+## Related Concepts
+- [[OpenTelemetry]]：父框架
+- [[ADOT]]：AWS 发行版，包含预配置 Collector
+- [[Fluent-Bit]]：日志收集器，可将数据转发至 Collector
+- [[OTLP]]：数据交换协议

wiki/concepts/OpenTelemetry.md

@@ -0,0 +1,35 @@
+---
+title: "OpenTelemetry"
+type: concept
+tags:
+  - OpenTelemetry
+  - Observability
+  - Telemetry
+  - Cloud-Native
+date: 2024-04-02
+---
+
+## Definition
+OpenTelemetry（OTel）是厂商中立的遥测数据采集框架，提供统一的数据格式和跨语言 SDK，用于收集 Metrics、Logs、Traces 三种可观测性信号。
+
+## Core Components
+- **SDKs**：支持 11 种编程语言的自动和手动 instrumentation 库
+- **Collector**：数据标准化和转发组件
+- **Protocol (OTLP)**：统一的遥测数据格式
+
+## Key Capabilities
+- 厂商中立：不绑定特定后端监控系统
+- 自动 instrumentation：自动捕获常见框架和库的遥测数据
+- 统一数据格式：OTLP 标准化跨语言数据交换
+- 可扩展架构：支持自定义处理器和导出器
+
+## Related Concepts
+- [[OpenTelemetry-Collector]]：数据收集和处理核心组件
+- [[ADOT]]：AWS 发行版
+- [[OTLP]]：OpenTelemetry Protocol 数据格式
+- [[可观测性三大支柱]]：Metrics、Logs、Traces
+
+## Use Cases
+- 微服务架构的可观测性集成
+- 跨云厂商的监控数据统一采集
+- 统一日志、指标、追踪数据格式

wiki/concepts/Pod-中断预算.md

@@ -0,0 +1,22 @@
+---
+title: "Pod 中断预算"
+type: concept
+tags: [Kubernetes, EKS, High-Availability]
+---
+
+## Description
+Pod 中断预算（Pod Disruption Budget，PDB）是 Kubernetes 机制，确保在自愿中断（如节点维护、升级）期间仍维持最少的 Pod 副本数，保证服务的可用性。
+
+## Use Case
+在 EKS 中进行集群升级或节点维护时，PDB 确保应用始终保持最低服务水平。
+
+## Related Concepts
+- [[EKS 可靠性]]
+- [[Pod 反亲和性]]
+
+## Related Entities
+- [[EKS]]
+- [[Kubernetes]]
+
+## Connections
+- [[Pod 中断预算]] ← 实现 [[EKS 可靠性]]

wiki/concepts/Pod-反亲和性.md

@@ -0,0 +1,23 @@
+---
+title: "Pod 反亲和性"
+type: concept
+tags: [Kubernetes, EKS, High-Availability]
+---
+
+## Description
+Pod 反亲和性（Pod Anti-Affinity）是一种 Kubernetes 调度策略，用于确保 Pod 不被调度到同一节点或同一可用区，从而提高应用的可用性和可靠性。
+
+## Use Case
+在 EKS 中部署关键应用时，使用 Pod 反亲和性确保应用 Pod 分布在不同的节点和可用区，避免单点故障。
+
+## Related Concepts
+- [[拓扑分布约束]]：Pod 反亲和性的更细粒度控制方式
+- [[HPA]]
+- [[VPA]]
+
+## Related Entities
+- [[EKS]]
+- [[Kubernetes]]
+
+## Connections
+- [[Pod 反亲和性]] ← 实现 [[EKS 可靠性]]

wiki/concepts/SAML.md

@@ -0,0 +1,20 @@
+---
+title: "SAML"
+type: concept
+tags: []
+---
+
+## Definition
+Security Assertion Markup Language，安全断言标记语言。基于 XML 的标准，用于在身份提供商和服务提供商之间交换身份验证和授权数据。
+
+## Use Cases
+- 单点登录（SSO）
+- 多因素认证（MFA）集成
+- 跨域身份验证
+
+## Related Entities
+- [[AppStream-2.0]]
+- [[AWS-Workspaces]]
+
+## Related Concepts
+- [[BYOD]]

wiki/concepts/Secrets-Management.md

@@ -0,0 +1,37 @@
+---
+title: "Secrets Management"
+type: concept
+tags: [security, devops, best-practices]
+sources: [ctp-topic-37-secrets-certificates-management, ctp-topic-62-aws-secrets-manager]
+last_updated: 2026-04-19
+---
+
+## Summary
+密钥管理是企业管理数字认证凭证（密码、API Token、加密密钥、证书）的系统性方法，确保应用服务、特权账户和 IT 生态系统中敏感信息的安全存储、访问控制和自动轮换。
+
+## Definition
+管理数字认证凭证、密钥、密码、API 和 Token 等敏感信息的工具和方法，涵盖存储、访问控制、轮换、审计全生命周期。
+
+## Core Components
+- **密钥存储**：集中化安全存储敏感信息
+- **访问控制**：基于身份的细粒度权限管理
+- **自动轮换**：定时自动更新密钥降低泄露风险
+- **审计日志**：记录所有访问和操作行为
+
+## Implementation Patterns
+- **托管服务**：AWS Secrets Manager、Azure Key Vault、GCP Secret Manager
+- **自托管方案**：HashiCorp Vault（支持动态密钥、证书签名）
+- **特权访问管理**：CyberArk PAM、Micro Focus PAM
+
+## Best Practices
+- 避免明文存储密钥
+- 实施最小权限原则
+- 启用自动轮换
+- 集中化密钥管理
+- 集成 CI/CD 流程
+
+## Connections
+- [[Secrets Management]] ← 应用于 ← [[CI/CD]]
+- [[AWS Secrets Manager]] ← 实现 ← [[Secrets Management]]
+- [[HashiCorp Vault]] ← 实现 ← [[Secrets Management]]
+- [[Zero-Trust-Architecture]] ← 要求 ← [[Secrets Management]]

wiki/concepts/Spot-Interruption.md

@@ -0,0 +1,29 @@
+---
+title: "Spot Interruption"
+type: concept
+tags: [AWS, EC2, Cost-Optimization, High-Availability]
+sources: []
+last_updated: 2026-04-19
+---
+
+## Definition
+Spot Interruption 是 AWS EC2 Spot 实例的中断处理机制，Karpenter 原生集成 EventBridge 和 SQS 实现自动处理。
+
+## Mechanism
+- **通知来源**：EventBridge 发送 Spot 中断、实例重平衡、健康事件、实例状态变更通知
+- **处理方式**：Karpenter 监听 SQS 队列，自动将工作负载迁移到其他实例
+- **无需额外组件**：Karpenter 原生支持，与 Node Termination Handler 不同
+
+## Benefits
+- 降低 Spot 实例使用成本（可达 90% 折扣）
+- 自动处理中断，提高工作负载可用性
+- 简化架构，无需额外管理组件
+
+## Related Concepts
+- [[Karpenter]]：原生支持 Spot 中断处理
+- [[EventBridge]]：AWS 事件总线服务
+- [[SQS]]：AWS 简单队列服务
+
+## Aliases
+- Spot Interruption Handling
+- Spot Instance Interruption

wiki/concepts/VDI.md

@@ -0,0 +1,21 @@
+---
+title: "VDI"
+type: concept
+tags: []
+---
+
+## Definition
+Virtual Desktop Infrastructure，虚拟桌面基础设施。通过远程桌面协议（如 RDP、WSP）提供虚拟计算环境，用户可以在任何设备上访问托管的虚拟桌面。
+
+## Use Cases
+- 远程办公和混合工作模式
+- BYOD（自带设备）安全访问企业资源
+- 标准化桌面管理和安全控制
+
+## Related Concepts
+- [[持久化桌面]]：数据和应用设置在会话间保留
+- [[非持久化桌面]]：每次登录分配新桌面
+
+## Related Entities
+- [[AWS-Workspaces]]
+- [[AppStream-2.0]]

wiki/concepts/VPA.md

@@ -0,0 +1,22 @@
+---
+title: "VPA"
+type: concept
+tags: [Kubernetes, EKS, Auto-Scaling]
+---
+
+## Description
+VPA（Vertical Pod Autoscaler）是 Kubernetes 的垂直 Pod 自动扩缩容功能，根据实际使用情况自动调整 Pod 的资源请求（CPU、内存），但调整时会重启 Pod。
+
+## Note
+与 HPA 不同，VPA 调整的是单个 Pod 的资源大小而非副本数。
+
+## Related Concepts
+- [[HPA]]
+- [[EKS 可靠性]]
+
+## Related Entities
+- [[EKS]]
+- [[Kubernetes]]
+
+## Connections
+- [[VPA]] ← 实现 [[EKS 可靠性]]

wiki/concepts/WSP-Protocol.md

@@ -0,0 +1,16 @@
+---
+title: "WSP Protocol"
+type: concept
+tags: []
+---
+
+## Definition
+Workspaces Streaming Protocol，AWS Workspaces 专用的桌面流协议。专为高延迟网络环境设计，优化远程桌面的用户体验。
+
+## Characteristics
+- 专为高延迟网络优化
+- 支持剪贴板、摄像头、智能卡等外设
+- 适用于远程工作和分布式团队
+
+## Related Entities
+- [[AWS-Workspaces]]

wiki/concepts/dm-verity.md

@@ -0,0 +1,25 @@
+---
+title: "dm-verity"
+type: concept
+tags: [Linux-Kernel, Security, Filesystem]
+date: 2026-04-19
+---
+
+## Definition
+dm-verity（device-mapper verity）是 Linux 内核子系统，用于验证块设备的完整性，通过 cryptographic hash 树实现只读文件系统的完整性保护。
+
+## How It Works
+- 在块设备上构建 hash 树结构
+- 每个块的数据 hash 与上一级 hash 比对
+- 根 hash 存储在信任的存储位置
+- 任何块内容变化都会导致验证失败
+
+## Use Cases
+- 防止根文件系统被篡改
+- 确保容器镜像完整性
+- 安全启动链的一部分
+
+## Related Concepts
+- [[Bottlerocket-OS]] — 使用 dm-verity 验证根文件系统
+- [[Secure-Boot]] — 安全启动机制
+- [[Root-Filesystem]] — 根文件系统保护

wiki/concepts/可观测性三大支柱.md

@@ -0,0 +1,51 @@
+---
+title: "可观测性三大支柱"
+type: concept
+tags:
+  - Observability
+  - Metrics
+  - Logs
+  - Traces
+date: 2024-04-02
+---
+
+## Definition
+可观测性三大支柱是系统可观测性的三个核心信号：Metrics（指标）、Logs（日志）、Traces（追踪），它们相互关联共同提供系统内部状态的可见性。
+
+## Three Pillars
+
+### Metrics（指标）
+- 聚合的源统计数据
+- 长时间序列的数值测量
+- 用于监控、告警和趋势分析
+- 示例：CPU 使用率、请求延迟、错误率
+
+### Logs（日志）
+- 事件的时间戳记录
+- 详细的事件描述信息
+- 用于问题根因分析和调试
+- 示例：应用错误日志、访问日志
+
+### Traces（追踪）
+- 请求在分布式系统中的完整路径
+- 包含多个 Span（跨度）形成的调用链
+- 用于理解系统行为和性能瓶颈
+- 示例：用户请求从 API Gateway → Service A → Service B → Database
+
+## Trace Span
+追踪中的一个单元，包含：
+- 开始时间（Start Time）
+- 持续时间（Duration）
+- 元数据（Metadata）
+- 关联的日志
+
+## Integration
+- OpenTelemetry 统一收集这三种信号
+- 通过关联分析实现端到端可观测性
+- Grafana/OpenSearch 可视化展示
+
+## Related Concepts
+- [[OpenTelemetry]]：统一采集框架
+- [[OpenTelemetry-Collector]]：数据收集组件
+- [[ADOT]]：AWS 发行版
+- [[Fluent-Bit]]：日志收集器

wiki/concepts/拓扑分布约束.md

@@ -0,0 +1,22 @@
+---
+title: "拓扑分布约束"
+type: concept
+tags: [Kubernetes, EKS, High-Availability]
+---
+
+## Description
+拓扑分布约束（Topology Spread Constraints）是 Kubernetes 提供的 Pod 分布控制机制，比 Pod 反亲和性更细粒度，可以控制 Pod 在可用区、节点等拓扑域的分布。
+
+## Use Case
+在 EKS 中确保工作负载在多个可用区间均匀分布，实现高可用性。
+
+## Related Concepts
+- [[Pod 反亲和性]]：更简单的 Pod 分布策略
+- [[EKS 可靠性]]
+
+## Related Entities
+- [[EKS]]
+- [[Kubernetes]]
+
+## Connections
+- [[拓扑分布约束]] ← 实现 [[EKS 可靠性]]

wiki/concepts/持久化桌面.md

@@ -0,0 +1,26 @@
+---
+title: "持久化桌面"
+type: concept
+tags: []
+---
+
+## Definition
+每个用户独享虚拟机实例，应用状态和设置在会话之间保持。下次登录时，用户看到相同的工作环境和个人文件。
+
+## Characteristics
+- 一对一实例管理
+- 用户数据和应用状态持久化
+- 适合需要个性化环境的知识工作者
+- AWS Workspaces 是典型实现
+
+## Use Cases
+- 长期办公的远程员工
+- 需要保留工作环境的开发人员
+- 需要访问企业应用的 BYOD 用户
+
+## Related Entities
+- [[AWS-Workspaces]]
+
+## Related Concepts
+- [[VDI]]
+- [[非持久化桌面]]

wiki/concepts/探针.md

@@ -0,0 +1,21 @@
+---
+title: "探针"
+type: concept
+tags: [Kubernetes, EKS, Health-Check]
+---
+
+## Description
+探针（Probe）是 Kubernetes 用于检测 Pod 健康状态的功能，包含三种类型：
+- **Liveness Probe**：检测容器是否存活，失败时重启容器
+- **Readiness Probe**：检测容器是否就绪，失败时从 Service 移除流量
+- **Startup Probe**：检测容器是否启动完成，失败时重启容器（适用于启动慢的应用）
+
+## Related Concepts
+- [[EKS 可靠性]]
+
+## Related Entities
+- [[EKS]]
+- [[Kubernetes]]
+
+## Connections
+- [[探针]] ← 实现 [[EKS 可靠性]]

wiki/concepts/最小权限原则.md

@@ -0,0 +1,32 @@
+---
+title: "最小权限原则"
+type: concept
+tags: [Security, IAM, Best-Practice]
+date: 2026-04-19
+---
+
+## Definition
+最小权限原则（Least Privilege）是安全最佳实践，只授予完成任务所需的最小权限。
+
+## Core Concept
+> "We only want to allow the access that is strictly required."
+
+只授予完成任务所需的最小权限，降低权限滥用和数据泄露风险。
+
+## Implementation
+- 从空白策略开始，逐步添加所需权限
+- 定期审查和调整权限
+- 使用资源级别限制特定资源而非广泛权限
+- 避免使用通配符（*）
+
+## Related Concepts
+- [[IAM-策略]]: 最小权限的应用对象
+- [[IAM-用户]]: 需要最小权限管理的实体
+
+## Role in Cloud Security
+- 降低数据泄露影响范围
+- 限制内部威胁
+- 满足合规要求（PCI-DSS、HIPAA、GDPR）
+
+## Connections
+- [[最小权限原则]] ← guides ← [[IAM-策略]]

wiki/concepts/联合访问.md

@@ -0,0 +1,43 @@
+---
+title: "联合访问"
+type: concept
+tags: [AWS, IAM, Federation, Security]
+date: 2026-04-19
+---
+
+## Definition
+联合访问是通过外部身份提供商（如 Active Directory）映射 IAM 角色实现 AWS 访问的方式。
+
+## Core Concept
+> "Federated users log in via their organization's AD, which maps to an IAM role."
+
+联合用户通过组织的 AD 登录，AD 组映射到 IAM 角色，角色授予相应的 AWS 访问权限。
+
+## Workflow
+1. 用户通过 AD 凭证登录
+2. AD 组映射到 IAM 角色
+3. 用户 assum 角色获取临时 AWS 凭证
+4. 通过 CLI 工具（如 PFSSO）访问 AWS
+
+## Components
+- **Active Directory**：外部身份提供商
+- **AD 组**：映射到 IAM 角色的组
+- **IAM 角色**：接收 AD 映射的角色
+- **PFSSO**：命令行联合访问工具
+
+## Why Federation
+- 集中管理用户身份（无需单独管理 IAM 用户）
+- 员工离职后自动失去访问权限
+- 单一登录入口
+
+## Best Practice
+Federation 是用户管理的首选方法，IAM 用户仅用于服务账号。
+
+## Related Concepts
+- [[IAM-角色]]: 联合访问的目标角色
+- [[PFSSO]]: 命令行联合访问工具
+- [[Active-Directory]]: 外部身份提供商
+
+## Connections
+- [[AD]] ← maps_to_role ← [[IAM-角色]]
+- [[联合访问]] ← requires ← [[PFSSO]]

wiki/concepts/非持久化桌面.md

@@ -0,0 +1,27 @@
+---
+title: "非持久化桌面"
+type: concept
+tags: []
+---
+
+## Definition
+每次登录时分配新的桌面环境，会话结束后数据不被保留。多个用户可以共享同一实例，实现资源复用。
+
+## Characteristics
+- 多对一实例管理（多租户）
+- 会话结束后数据清除
+- 通过应用和存储连接器可实现选择性持久化
+- 适合共享资源场景
+
+## Use Cases
+- 实验室环境
+- 培训场景
+- 临时访客
+- 任务型工作者
+
+## Related Entities
+- [[AppStream-2.0]]
+
+## Related Concepts
+- [[VDI]]
+- [[持久化桌面]]

wiki/entities/AWS-Identity-Center.md

@@ -0,0 +1,19 @@
+---
+title: "AWS Identity Center"
+type: entity
+tags: []
+aliases:
+  - AWS Single Sign-On
+---
+
+## Definition
+AWS Identity Center 是 AWS 的身份和访问管理服务，提供跨 AWS 账户和应用程序的集中式访问管理。与 IGA 集成后可通过 IAM 提供资源访问。
+
+## Role
+- 提供单点登录（SSO）功能
+- 管理用户对 AWS 资源的访问
+- 与 IGA 集成实现企业级身份治理
+
+## Aliases
+- AWS Single Sign-On
+- AWS SSO

wiki/entities/AWS-Secrets-Manager.md

@@ -0,0 +1,25 @@
+---
+title: "AWS Secrets Manager"
+type: entity
+tags: [AWS, security, secrets-management]
+sources: [ctp-topic-37-secrets-certificates-management, ctp-topic-62-aws-secrets-manager]
+last_updated: 2026-04-19
+---
+
+## Summary
+AWS Secrets Manager 是 AWS 提供的托管密钥管理服务，用于存储和管理敏感信息（密码、API 密钥、证书等），支持自动轮换和与 AWS 服务的内置集成。
+
+## Definition
+AWS 托管的敏感信息管理服务，提供密钥存储、自动轮换、与 RDS/DynamoDB/Redshift 的内置集成，支持高可用和灾备，按使用量计费。
+
+## Key Attributes
+- **类型**：密钥管理服务
+- **供应商**：AWS
+- **计费模式**：按使用量（存储密钥数 + API 调用次数）
+- **核心功能**：密钥存储、自动轮换、审计日志、与 AWS 服务集成
+
+## Connections
+- [[AWS]] ← 提供 ← [[AWS Secrets Manager]]
+- [[AWS Secrets Manager]] ← 集成 ← [[AWS RDS]]
+- [[AWS Secrets Manager]] ← 集成 ← [[AWS DynamoDB]]
+- [[AWS Secrets Manager]] ← 集成 ← [[AWS Control Tower]]

wiki/entities/AWS-Workspaces.md

@@ -0,0 +1,34 @@
+---
+title: "AWS Workspaces"
+type: entity
+tags: []
+---
+
+## Definition
+AWS 提供的托管虚拟桌面服务（Virtual Desktop Infrastructure），支持 Windows 和 Ubuntu 操作系统。用户数据和设置在会话之间完全持久化保留。
+
+## Key Features
+- 完全持久化桌面：用户数据、应用状态和设置在会话间保持
+- 集成 Active Directory
+- 支持剪贴板、智能卡、摄像头等外设
+- WSP 协议，专为高延迟网络优化
+- 支持 auto-stop 功能降低成本
+
+## Use Cases
+- 混合工作forces
+- BYOD 用户
+- 开发人员
+- 计算密集型工作负载
+
+## Pricing
+- 按小时或按月计费
+- 支持 auto-stop 降低非活跃时段成本
+
+## Related Concepts
+- [[VDI]]
+- [[持久化桌面]]
+- [[WSP-Protocol]]
+- [[Active-Directory]]
+
+## Related Entities
+- [[AWS]]

wiki/entities/AppStream-2.0.md

@@ -0,0 +1,35 @@
+---
+title: "AppStream 2.0"
+type: entity
+tags: []
+---
+
+## Definition
+AWS 提供的应用流服务，可以从云端向用户设备流式传输应用。默认提供非持久化桌面，也可以通过应用程序和存储连接器实现选择性持久化。
+
+## Key Features
+- 非持久化桌面：每次登录分配新桌面
+- 选择性持久化：可为特定应用和数据启用持久化
+- 集中式应用管理：通过基镜像简化应用更新
+- 多租户支持：多个用户可以共享同一实例
+- 自动扩展：基于需求自动调整容量
+- SAML 集成：支持单点登录
+
+## Use Cases
+- 实验室环境
+- 培训场景
+- 临时访问
+- 安全浏览内部网站和 SaaS 应用
+- 在线试用
+
+## Pricing
+- 按用户使用时间计费
+- 支持并发使用降低单位成本
+
+## Related Concepts
+- [[VDI]]
+- [[非持久化桌面]]
+- [[SAML]]
+
+## Related Entities
+- [[AWS]]

wiki/entities/BMC.md

@@ -3,7 +3,7 @@ title: "BMC"
 type: entity
 tags: [company, cloud-software, enterprise-software]
 sources: [Public-vs-Private-vs-Hybrid-Cloud-Differences-Explained]
-last_updated: 2025-06-18
+last_updated: 2026-04-19
 ---
 
 ## Summary

wiki/entities/Bottlerocket.md

@@ -0,0 +1,27 @@
+---
+title: "Bottlerocket"
+type: entity
+tags: [AWS, Open-Source, Container-OS]
+date: 2026-04-19
+---
+
+## Aliases
+- Bottlerocket OS
+
+## Definition
+Bottlerocket 是由 AWS 维护的开源 Linux 操作系统，专为托管容器工作负载而设计。
+
+## Role
+- 基础设施软件提供商
+- EKS 官方支持的节点操作系统
+
+## Relationships
+- [[AWS]] — 核心维护者和赞助商
+- [[EKS]] — 支持的 Kubernetes 服务
+- [[Bottlerocket-OS]] — 本质上是同一个系统
+
+## Notes
+- 开源免费
+- 专为容器设计，仅包含必要组件
+- 支持 GPU 变体
+- 集成 EKS、Carpenter 等工具

wiki/entities/Christian-ODonough.md

@@ -0,0 +1,18 @@
+---
+title: "Christian O'Donough"
+type: entity
+tags: []
+---
+
+## Role
+AWS 专家，负责在 OpenText Public Cloud Learning Sessions 中介绍 AWS 终端用户计算（EUC）服务。
+
+## Presentation Topics
+- AWS Workspaces：完全持久化虚拟桌面服务
+- AppStream 2.0：应用流服务
+- Workspace Core：通过 API 访问 VDI 基础设施
+- Workspace Web：低成本安全浏览器
+- EUC 安全考虑和最佳实践
+
+## Organization
+- [[AWS]]

wiki/entities/EKS-Auto-Mode.md

@@ -0,0 +1,35 @@
+---
+title: "EKS Auto Mode"
+description: AWS EKS 自动模式，自动管理 Kubernetes 数据平面的计算、网络、存储和安全
+type: entity
+tags:
+  - AWS
+  - Kubernetes
+  - EKS
+  - Auto-Mode
+---
+
+## Aliases
+- EKS Auto Mode
+- Amazon EKS Auto Mode
+
+## Definition
+EKS Auto Mode 是 Amazon Elastic Kubernetes Service 的自动管理模式，扩展了 EKS 服务的管理职责从控制平面延伸到数据平面。Carpenter 控制器负责基础设施管理，托管 EBS CSI 驱动支持有状态工作负载，默认包含两个节点池（general purpose 和 system）。
+
+## Core Capabilities
+- **计算（Compute）**：Carpenter 控制器管理节点生命周期
+- **网络（Networking）**：AWS Load Balancer Controller，VPCCNI，Coredns
+- **存储（Storage）**：托管 EBS CSI 驱动
+- **安全（Security）**：Pod Identity Associations
+
+## Pricing
+每个 Auto Mode 集群实例收取 12% 的溢价。
+
+## Version Upgrade Flow
+1. 运营商升级控制平面版本
+2. 计算控制器识别控制平面版本变化
+3. 拉取新控制平面版本的 AMI
+4. 通过滚动升级跨集群部署新 AMI
+
+## References
+- [[public-cloud-learning-sessions-eks-optimization-part-3-of-3-introduction-to-eks-auto-mode]]

wiki/entities/EKS.md

@@ -0,0 +1,26 @@
+---
+title: "EKS"
+type: entity
+tags: [AWS, Kubernetes, Container-Orchestration]
+sources: []
+last_updated: 2026-04-19
+---
+
+## Definition
+EKS（Amazon Elastic Kubernetes Service）是 AWS 提供的托管 Kubernetes 容器编排服务。
+
+## Core Capabilities
+- 完全托管的 Kubernetes 控制平面
+- 与 AWS 其他服务原生集成
+- 支持 Karpenter 进行计算优化
+- 支持 EKS Auto Mode 自动管理模式
+
+## Related Entities
+- [[AWS]]：提供 EKS 的云服务提供商
+- [[Karpenter]]：EKS 计算优化的开源工具
+- [[Kubernetes]]：EKS 基于的开源容器编排平台
+
+## Aliases
+- Amazon EKS
+- Amazon Elastic Kubernetes Service
+- EKS

wiki/entities/IAM-AWS-Identity-and-Access-Management.md

@@ -0,0 +1,37 @@
+---
+title: "IAM (AWS Identity and Access Management)"
+type: entity
+tags: [AWS, Security, Identity, Access-Management]
+date: 2026-04-19
+---
+
+## Definition
+AWS IAM（身份和访问管理）是 AWS 的身份验证和授权服务，控制谁能访问 AWS 资源以及可以执行什么操作。
+
+## Key Components
+- **IAM 用户**：代表人员或应用程序的持久化身份凭证
+- **IAM 组**：将多个 IAM 用户分组以简化权限管理
+- **IAM 角色**：可以被临时 assum 的身份，用于授予临时权限
+- **IAM 策略**：定义权限的 JSON 文档
+
+## Core Concepts
+- **联合访问**：通过外部身份提供商（如 Active Directory）映射 IAM 角色的访问方式
+- **最小权限原则**：只授予完成任务所需的最小权限
+- **角色信任策略**：定义谁可以 assum 该角色的策略
+- **权限边界**：限制 IAM 实体最大权限的机制
+
+## Connections
+- [[AWS]] ← provides ← [[IAM (AWS Identity and Access Management)]]
+- [[IAM-用户]] ← part_of ← [[IAM (AWS Identity and Access Management)]]
+- [[IAM-角色]] ← part_of ← [[IAM (AWS Identity and Access Management)]]
+- [[IAM-策略]] ← attached_to ← [[IAM-角色]]
+- [[Active-Directory]] ← federates_to ← [[IAM-角色]]
+
+## Use Cases
+- 服务账号管理
+- 跨账号访问授权
+- 联合身份验证
+- 最小权限访问控制
+
+## Sources
+- [[ctp-topic-5-aws-identity-and-access-management-iam]]

wiki/entities/IGA.md

@@ -0,0 +1,21 @@
+---
+title: "IGA"
+type: entity
+tags: []
+aliases:
+  - Identity Governance and Administration
+  - Identity Governance
+---
+
+## Definition
+IGA（Identity Governance and Administration）是 Micro Focus 提供的身份治理与管理解决方案，用于高效管理数字身份、降低风险并保持合规性。
+
+## Role
+- 提供身份管理、访问管理和身份审计功能
+- 通过工作流自动化访问审批和撤销
+- 支持内部和外部用户（包括合同工）的访问管理
+- 支持时间限制访问
+
+## Aliases
+- Identity Governance and Administration
+- Identity Governance

wiki/entities/Jackie.md

@@ -0,0 +1,19 @@
+---
+title: "Jackie"
+type: entity
+tags: [OpenText, ITOM, ESM, SAS]
+date: 2026-04-14
+---
+
+## Aliases
+- Jackie, ITOM ESM SAS architect
+
+## Role
+- ITOM ESM SAS architect at OpenText
+- 演讲者：CTP Topic 54 ESM SaaS Log Analytics
+
+## Description
+Jackie 在 OpenText 担任 ITOM（IT Operations Management）ESM（Enterprise Service Management）SaaS 架构师，负责 Log Analytics 解决方案的架构设计与实施。他在演讲中详细介绍了 ELK Stack/OpenSearch 日志分析架构、区域部署策略、安全措施和成本对比。
+
+## Connections
+- [[ctp-topic-54-esm-saas-log-analytics]] ← presented

wiki/entities/Jay-Comer.md

@@ -0,0 +1,31 @@
+---
+title: "Jay Comer"
+type: entity
+tags:
+  - AWS
+  - Solutions-Architect
+  - OpenTelemetry
+date: 2024-04-02
+---
+
+## Definition
+Jay Comer 是 AWS 的 Solutions Architect，在 OpenText Public Cloud Learning Sessions 中发表了关于 OpenTelemetry 可观测性的演讲。
+
+## Role
+- **Position**: Solutions Architect at AWS
+- **Expertise**: Cloud Observability, OpenTelemetry, AWS Services
+
+## Presentation
+在 2024 年 4 月 2 日的 Public Cloud Learning Sessions 中，Jay Comer 介绍了：
+- 可观测性的定义和重要性
+- OpenTelemetry 框架和 AWS 生态系统的变化
+- 在 EKS 上演示 OpenTelemetry 集成
+
+## Related Concepts
+- [[OpenTelemetry]]
+- [[ADOT]]
+- [[EKS]]
+- [[可观测性三大支柱]]
+
+## Related Sources
+- [[public-cloud-learning-sessions-observability-with-opentelemetry-20240402-160113-]]

wiki/entities/Karpenter.md

@@ -0,0 +1,31 @@
+---
+title: "Karpenter"
+type: entity
+tags: [AWS, Kubernetes, EKS, Auto-Scaling, Compute]
+sources: []
+last_updated: 2026-04-19
+---
+
+## Definition
+Karpenter 是 AWS 开源的 Kubernetes compute management tool，替代传统的 Cluster Autoscaler，用于 EKS 集群的自动扩缩容。
+
+## Core Capabilities
+- 与 Kubernetes workload scheduling constructs 原生集成
+- 直接与 EC2 Fleet API 通信，降低延迟
+- 提供工作负载放置和节点整合的原生体验
+- 原生支持 Spot 中断处理（使用 EventBridge 和 SQS）
+- 支持 AMI 自动升级
+
+## Key Components
+- **Node Pools**：定义调度约束和容量限制
+- **Node Classes**：定义实例配置细节（子网、节点角色、AMI）
+
+## Related Entities
+- [[AWS]]：开发和支持 Karpenter 的云服务提供商
+- [[EKS]]：Karpenter 主要运行的 Kubernetes 服务
+- [[Kubernetes]]：Karpenter 运行的容器编排平台
+- [[EventBridge]]：用于 Spot 中断通知
+
+## Aliases
+- Karpenter
+- Karpenter for Kubernetes

wiki/entities/Operations-Bridge-Manager-OBM.md

@@ -0,0 +1,32 @@
+---
+title: "Operations Bridge Manager (OBM)"
+type: entity
+tags: [Product, Monitoring, Cloud]
+last_updated: 2026-04-19
+---
+
+## Summary
+Operations Bridge Manager (OBM) 是 Micro Focus 的云监控解决方案，用于替代传统的 Sitescope，实现跨公有云环境的动态监控。
+
+## Key Features
+- 支持 AWS、Azure、GCP 等多云平台
+- 通过 IAM Role 实现跨账户数据收集，无需共享 Access Key
+- Management Packs 定义监控策略，新实例自动部署监控
+- 集成 CloudWatch API 获取监控数据
+
+## Architecture
+```
+OBM AWS Account
+├── OBM Application
+├── Postgres RDS Database
+└── Operation Agent
+    ├── IAM Role (Cross-account access)
+    ├── Management Packs
+    └── CloudWatch API
+        ↓
+On-premise Global OBM
+    └── SMACKS Ticket
+```
+
+## References
+- [[CTP Topic 8 Implementation of Cloud monitoring using Micro Focus Operations Bridge]]

wiki/entities/OpsBridge.md

@@ -0,0 +1,21 @@
+---
+title: "OpsBridge"
+type: entity
+tags: [monitoring, alerting, internal-tool]
+sources: [ctp-topic-60-monitor-aws-using-hyperscale-observability-with-grafana]
+last_updated: 2026-04-19
+---
+
+## Summary
+OpenText 内部的监控解决方案，用于接收来自 Grafana 的告警并创建事件。
+
+## Definition
+内部监控和事件管理平台，作为 Grafana 告警的目标接收端。
+
+## Key Attributes
+- **类型**：内部监控平台
+- **用途**：告警接收和事件创建
+- **集成**：Grafana 告警转发
+
+## Connections
+- [[Grafana]] ← 转发告警 ← [[OpsBridge]]

wiki/entities/Optic-DR.md

@@ -0,0 +1,21 @@
+---
+title: "Optic DR"
+type: entity
+tags: [monitoring, data-source, internal-tool]
+sources: [ctp-topic-60-monitor-aws-using-hyperscale-observability-with-grafana]
+last_updated: 2026-04-19
+---
+
+## Summary
+OpenText 内部的监控数据收集解决方案，VaticaDB 的插件，用于将数据拉入 Grafana 仪表板。
+
+## Definition
+内部监控解决方案，作为 Grafana 插件将数据源接入 Grafana 仪表板。
+
+## Key Attributes
+- **类型**：数据源插件
+- **用途**：将监控数据拉入 Grafana
+- **集成**：Grafana 数据源
+
+## Connections
+- [[Grafana]] ← 数据源 ← [[Optic DR]]

wiki/entities/Surav-Paul.md

@@ -0,0 +1,23 @@
+---
+title: "Surav Paul"
+type: entity
+tags: [AWS, Solutions Architect, EKS]
+---
+
+## Aliases
+- Surav Paul
+
+## Description
+AWS 高级解决方案架构师（Senior Solutions Architect），在 CTP（Cloud Transformation Program）Topic 59 中演讲 Amazon EKS 可靠性实践。
+
+## Role
+- AWS 高级解决方案架构师
+- EKS 可靠性主题演讲人
+
+## Associated Topics
+- [[CTP Topic 59 Achieving reliability with Amazon EKS]]
+- [[EKS]]
+- [[AWS]]
+
+## Connections
+- [[AWS]] ← 雇佣 [[Surav Paul]]

wiki/entities/Suravpul.md

@@ -0,0 +1,16 @@
+---
+title: "Suravpul"
+type: entity
+tags: [AWS, Speaker]
+---
+
+## Profile
+- Role: 高级解决方案架构师（Senior Solutions Architect）
+- Organization: [[AWS]]
+
+## Key Contributions
+- 主讲 CTP Topic 64：Amazon EKS 扩展机制
+- 主题涵盖 HPA、KEDA、Karpenter、Cluster Autoscaler、IPv6 网络解决方案
+
+## Associated Sources
+- [[ctp-topic-64-scaling-out-with-amazon-eks]]

wiki/entities/VSM.md

@@ -0,0 +1,17 @@
+---
+title: "VSM"
+type: entity
+tags: []
+aliases:
+  - Virtual Service Manager
+---
+
+## Definition
+VSM（Virtual Service Manager）是 DXC Technology 提供的身份管理工具，正在被 Micro Focus IGA（Identity Governance and Administration）替换。
+
+## Role
+- 传统身份管理工具，用于管理用户访问权限
+- 已被计划替换为更现代的 IGA 解决方案
+
+## Aliases
+- Virtual Service Manager

wiki/index.md

@@ -28,6 +28,12 @@
 - [Obsidian CLI 命令全景速查表](sources/Obsidian-官方-CLI-命令-全景-速查表.md) — Obsidian 官方 CLI 命令速查与自动化工作流（版本要求 v1.12+）
 
 ## Sources
+- [Public Cloud Learning Sessions - EKS Optimization part 1 of 3 - Compute Optimization with Karpenter](sources/public-cloud-learning-sessions-eks-optimization-part-1-of-3-compute-optimization.md) — EKS 计算优化，使用 Karpenter 实现自动扩缩容
+- [Public Cloud Learning Sessions - EKS Optimization part 2 of 3 - Running Containers with Bottlerocket OS](sources/public-cloud-learning-sessions-eks-optimization-part-2-of-3-running-containers-w.md) — Bottlerocket OS 优化容器运行
+- [Public Cloud Learning Sessions - EKS Optimization part 3 of 3 - Introduction to EKS Auto Mode](sources/public-cloud-learning-sessions-eks-optimization-part-3-of-3-introduction-to-eks-auto-mode.md) — EKS Auto Mode 介绍，自动管理数据平面实例、操作系统、补丁和安全更新
+
+- [Public Cloud Learning Sessions - Observability with OpenTelemetry](sources/public-cloud-learning-sessions-observability-with-opentelemetry-20240402-160113-.md) — OpenTelemetry 可观测性框架在 AWS 环境中的应用（Metrics、Logs、Traces 三大信号）
+
 - [我做了个 Skill：让 AI 帮你生成 Logo 和图标](sources/我做了个-Skill-让-AI-帮你生成-Logo-和图标.md) — AI 生成 Logo 的 Skill 工作流，三步生成专业设计资产
 
 - [AI Memory Tools：两大阵营的深度解析](sources/AI-Memory-Tools-Two-Camps.md) — AI Agent 记忆工具的两大技术路线：记忆后端（Memory Backend）vs 上下文基质（Context Substrate）
@@ -42,9 +48,14 @@
 - [Never write another prompt](sources/never-write-another-prompt.md) — 通过工具简化 AI 提示词创建流程
 
 - [CTP Topic 34 Azure Landing Zone Architecture Overview](sources/ctp-topic-34-azure-landing-zone-architecture-overview.md) — Azure Landing Zone 架构设计，Management Groups、Subscription 分离、Terraform Cloud 自动化
+- [CTP Topic 67 Cloud Native Observability Using OpenTelemetry](sources/ctp-topic-67-cloud-native-observability-using-opentelemetry.md) — 云原生可观测性方案，基于 ADOT 在 EKS 上的部署实践
+
+- [CTP Topic 42 Grafana Observability Dashboard](sources/ctp-topic-42-grafana-observability-dashboard.md) — Grafana 可观测性平台与仪表盘设计，支持多数据源集成和 Terraform 自动化部署
 
 - [CTP Topic 36 SendGrid as an email service](sources/ctp-topic-36-sendgrid-as-an-email-service.md) — SendGrid 被采用为 CTP 标准邮件服务，替换不安全的语义网关和受限的 SES 方案
 
+- [CTP Topic 37 Secrets Certificates Management](sources/ctp-topic-37-secrets-certificates-management.md) — 云转型项目密钥与证书管理方案选型（AWS Secrets Manager vs HashiCorp Vault vs CyberArk PAM），30天试点验证后选择 AWS Secrets Manager
+
 - [CTP Topic 46 NetApps on AWS](sources/ctp-topic-46-netapps-on-aws.md) — NetApp on AWS (CVO) 架构、部署、数据分层、安全与迁移
 
 - [CTP Topic 58 AWS EC2 Image Builder](sources/ctp-topic-58-aws-ec2-image-builder.md) — AWS EC2 Image Builder 服务，用于自动创建、管理和分发 AMIs 和 Docker 镜像
@@ -292,6 +303,15 @@
 
 - [CTP Topic 69 Best Practices for Migrating On-Premises (IOD) Virtual Machines to VMware Cloud on AWS](sources/ctp-topic-69-best-practices-for-migrating-on-premises-iod-virtual-machines-to-vm.md) — 将本地虚拟机迁移到 VMware Cloud on AWS 的最佳实践（HCX、Direct Connect、CCOE）
 
+- [CTP Topic 70 EKS Deployment using IAC](sources/ctp-topic-70-eks-deployment-using-iac.md) — 通过基础设施即代码（IaC）方式部署 EKS 集群，使用 Terraform 和 Service Catalog 两种方式
+
+- [CTP Topic 64 Scaling out with Amazon EKS](sources/ctp-topic-64-scaling-out-with-amazon-eks.md) — Amazon EKS 水平扩展与垂直扩展机制，涵盖 HPA、KEDA、Karpenter、Cluster Autoscaler、IPv6 网络解决方案
+
+- [CTP Topic 59 Achieving reliability with Amazon EKS](sources/ctp-topic-59-achieving-reliability-with-amazon-eks.md) — Amazon EKS 可靠性实践，涵盖容器服务选型、共享责任模型、应用/控制/数据平面三层可靠性设计
+
+## Sources
+- [CTP Topic 39 Implementing EKS in the AWS Lab Landing Zone](sources/ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone.md) — 在 AWS Lab Landing Zone 中实现 EKS 集群部署
+
 - [CTP Topic 17 Active Directory Services in Gruntwork AWS LZs](sources/ctp-topic-17-active-directory-services-in-gruntwork-aws-lzs.md) — 在 Gruntwork AWS Landing Zones 中集成 Active Directory 服务实践
 
 - [CTP Topic 25 Labs Landing Zone overview - ITOM teams](sources/ctp-topic-25-labs-landing-zone-overview-itom-teams.md) — Labs Landing Zone 架构概述，基于 Gruntwork reference architecture
@@ -312,6 +332,12 @@
 
 - [CTP Topic 57 Product backlog managing demand](sources/ctp-topic-57-product-backlog-managing-demand.md) — Product Backlog 管理需求流程，SMACs 提交、Octane 入池、前置条件阶段
 
+- [CTP Topic 60 Monitor AWS using Hyperscale Observability with Grafana](sources/ctp-topic-60-monitor-aws-using-hyperscale-observability-with-grafana.md) — AWS 云监控与 Grafana 可观测性平台集成，Dashboard-as-Code，Terraform 模块自动化
+
+- [CTP Topic 62 AWS Secrets Manager](sources/ctp-topic-62-aws-secrets-manager.md) — AWS Secrets Manager 企业级敏感信息管理，分阶段实施方法（集中化→自动化获取→轮换），Lambda 数据库密码轮换
+
+- [CTP Topic 54 ESM SaaS Log Analytics](sources/ctp-topic-54-esm-saas-log-analytics.md) — ESM SaaS Log Analytics（日志分析）架构与实践，ELK Stack/OpenSearch，BEATS 采集，VPC 私有传输，安全加密，成本对比
+
 ## Sources
 - [CTP Topic 31 Network Segregation and Secure Access to AWS Landing Zones](sources/ctp-topic-31-network-segregation-secure-access-aws-landing-zones.md) — AWS Landing Zone 网络隔离与安全访问解决方案
 
@@ -331,22 +357,41 @@
 
 - [Public Cloud Learning Sessions - Tagging Standards for all hyperscalers](sources/public-cloud-learning-sessions-tagging-standards-for-all-hyperscalers-20240123-1.md) — 2024 年 1 月 OpenText 标签标准 V1，建立跨 AWS、GCP、Azure 统一标签体系
 
+- [Learning Sessions Identity Governance VSM Replacement](sources/learning-sessions-identity-governance-vsm-replacement-20231128-160326-meeting-re.md) — 身份治理（Identity Governance）以及用 IGA 替换 VSM（Virtual Service Manager）的计划
+
 - [Public Cloud Learning Sessions - Applicable Business Analysis Techniques](sources/Public-Cloud-Learning-Sessions-Applicable-Business-Analysis-Techniques-20240109.md) — OpenText 业务分析技术学习会议，介绍 BOSCARD、相关方轮盘和需求收集方法
 
+- [Public Cloud Learning Sessions - AWS End User Compute Services](sources/public-cloud-learning-sessions-aws-end-user-compute-services-20240430.md) — AWS 终端用户计算（EUC）服务介绍，涵盖 Workspaces 和 AppStream 2.0
+
 - [CTP Topic 1 Gruntwork Landing Zone Architecture](sources/ctp-topic-1-gruntwork-landing-zone-architecture.md) — 基于 Gruntwork 的 AWS Landing Zone 架构设计
 - [CTP Topic 10 AWS Landing Zone (LZ) Data Collection, Tagging Related Security](sources/ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security.md) — AWS Landing Zone 部署流程、数据收集策略、基于标签的安全控制机制
+
+- [Public Cloud Learning Sessions (OpenText) - GIS Security Policies](sources/public-cloud-learning-sessions-opentext-gis-security-policies-20241015-160257-me.md) — OpenText 全球信息安全团队（GIS）的安全策略框架与组织结构
+
 - [CTP Topic 35 AWS Landing Zone Design Refresher (SaaS Labs)](sources/ctp-topic-35-aws-landing-zone-design-refresher-saas-labs.md) — AWS Landing Zone 设计更新，SaaS（生产）与 Labs（开发）环境区分
 
+- [CTP Topic 8 Implementation of Cloud monitoring using Micro Focus Operations Bridge](sources/ctp-topic-8-implementation-of-cloud-monitoring-using-micro-focus-operations-bridge.md) — 使用 Micro Focus Operations Bridge Manager (OBM) 实现 AWS 云监控的实施方案
+
+- [CTP Topic 29 Cloud Monitoring – SaaS LZ accounts](sources/ctp-topic-29-cloud-monitoring-saas-lz-accounts.md) — AWS 云监控解决方案 OpsBridge 在 SaaS Landing Zone 多账号环境中的应用
+
 - [CTP Topic 7 SaaS Landing Zone Design](sources/ctp-topic-7-saas-landing-zone-design.md) — 生产环境 SaaS Landing Zone 高级设计，单一 Landing Zone 策略
 
+- [CTP Topic 5 AWS Identity and Access Management (IAM)](sources/ctp-topic-5-aws-identity-and-access-management-iam.md) — AWS IAM 用户、组、角色和策略管理，联合访问与权限控制
+
 - [CTP Topic 6 AWS Workspaces Demo](sources/ctp-topic-6-aws-workspaces-demo.md) — AWS Workspaces 远程桌面演示，预装 PF SSO、Terraform、TerraGrunt、Git、VS Code 等开发工具
 
+- [CTP Topic 11 AD Integration and Login using AD accounts](sources/ctp-topic-11-ad-integration-and-login-using-ad-accounts.md) — Jenkins 与 AD 集成实现自动登录，以及 pre-commit 框架的 IaC 自动化安全检查
+
 ## Entities
+- [IAM (AWS Identity and Access Management)](entities/IAM-AWS-Identity-and-Access-Management.md) — AWS 身份和访问管理服务，控制 AWS 资源的访问权限
 - [CCOE](entities/CCOE.md) — Cloud Center of Excellence，推动云采纳和治理的核心组织单元
 - [CrowdStrike](entities/CrowdStrike.md) — 网络安全公司，2024年7月事件推动行业对DR的重视
 - [Martin Rosler](entities/Martin-Rosler.md) — OpenText 技术专家，OpenText Tagging Standard V2 演讲者
 - [Phenops](entities/Phenops.md) — OpenText 团队，2023 年发起标签标准化工作
+- [Jackie](entities/Jackie.md) — ITOM ESM SAS architect，CTP Topic 54 演讲者
 - [OpenText](entities/OpenText.md) — 企业内容管理软件公司，主办 Public Cloud Learning Sessions
+- [OpsBridge](entities/OpsBridge.md) — OpenText 内部监控平台，接收 Grafana 告警并创建事件
+- [Optic DR](entities/Optic-DR.md) — OpenText 内部监控数据源插件，将数据拉入 Grafana 仪表板
 - [Arnold Dacan](entities/Arnold-Dacan.md) — OpenText 技术专家，Project Thor 演讲者
 - [Kishore Garlopati](entities/Kishore-Garlopati.md) — Azure Landing Zone 技术分享主讲人
 - [Pradeep](entities/Pradeep.md) — AWS Landing Zone 技术分享主讲人，Checkpoint 防火墙专家
@@ -564,15 +609,32 @@
 - [Tom Bice](entities/Tom-Bice.md) — OpenText 财务组织负责人，标签标准制定发起人
 - [Martin Nash](entities/Martin-Nash.md) — OpenText 技术架构经理，CTP Topic 23 主讲人
 - [Matthew Chapman](entities/Matthew-Chapman.md) — OpenText CTP 需求评审会议主持人
+- [AWS-Workspaces](entities/AWS-Workspaces.md) — AWS 托管虚拟桌面服务，提供完全持久化桌面
+- [AppStream-2.0](entities/AppStream-2.0.md) — AWS 应用流服务，提供非持久化桌面和应用流传输
+- [Christian-ODonough](entities/Christian-ODonough.md) — AWS 专家，AWS EUC 服务演讲者
 
 ## Concepts
+- [IAM 用户](concepts/IAM-用户.md) — IAM 持久化身份，主要用于服务账号
+- [IAM 角色](concepts/IAM-角色.md) — IAM 临时身份，将主体与权限关联
+- [IAM 策略](concepts/IAM-策略.md) — 定义 AWS 权限的 JSON 文档
+- [联合访问](concepts/联合访问.md) — 通过 AD 组映射 IAM 角色的用户访问方式
+- [最小权限原则](concepts/最小权限原则.md) — 安全最佳实践，只授予所需最小权限
 - [BOSCARD](concepts/BOSCARD.md) — 定义复杂新工作的技术，包含背景、目标、范围、约束、假设、风险、角色、可交付成果
+- [VDI](concepts/VDI.md) — Virtual Desktop Infrastructure，虚拟桌面基础设施，通过远程桌面协议提供虚拟计算环境
+- [WSP-Protocol](concepts/WSP-Protocol.md) — Workspaces 流协议，专为高延迟网络设计
+- [SAML](concepts/SAML.md) — 安全断言标记语言，用于单点登录和多因素认证
+- [BYOD](concepts/BYOD.md) — Bring Your Own Device，自带设备，允许员工使用个人设备访问企业资源
 
 - [Product](concepts/Product.md) — 具有独立 CI/CD 流水线或发布周期的软件分发
 - [Product-Backlog](concepts/Product-Backlog.md) — 产品待办列表，存放待开发功能和需求，高亮收益和优先级
 - [SMACs](concepts/SMACs.md) — 需求提交的标准化入口，用于启动计时器和确保需求追踪
 - [Cyber Suite](concepts/Cyber-Suite.md) — PSAC 发布的产品安全加密标准，包括标准/可选套件和审查要求
 - [Observability Engineering](concepts/Observability-Engineering.md) — 可观测性工程，通过指标、日志、追踪持续理解系统健康状态
+- [Log Analytics](concepts/Log-Analytics.md) — 日志分析，日志数据的采集、存储、搜索和可视化
+- [ELK Stack](concepts/ELK-Stack.md) — Elasticsearch + Logstash + Kibana 开源日志分析技术栈
+- [OpenSearch](concepts/OpenSearch.md) — AWS 的 ELK 开源分支，托管日志分析服务
+- [Logstash](concepts/Logstash.md) — ELK Stack 中的日志处理管道
+- [Kibana](concepts/Kibana.md) — ELK Stack 的 Web 前端和可视化界面
 - [Recovery Assurance](concepts/Recovery-Assurance.md) — 恢复保障，从设计层面确保系统具备恢复能力
 - [Service Control Policies](concepts/Service-Control-Policies.md) — AWS Organizations 的策略类型，管理组织内账户的最大权限边界
 - [Management Groups](concepts/Management-Groups.md) — Azure 组织管理结构，用于组织和管理多个订阅的分层容器

wiki/log.md

@@ -1,3 +1,190 @@
+## [2026-04-19] ingest | Public Cloud Learning Sessions (OpenText) - GIS Security Policies
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/public-cloud-learning-sessions-opentext-gis-security-policies-20241015-160257-me.md
+- Status: ✅ 成功摄入
+- Summary: OpenText 全球信息安全团队（GIS）的安全策略框架与组织结构，基于 ISO 27001 框架，采用分层安全方法
+- Concepts created: ISO 27001, 分层安全方法, 威胁情报, 红队演练
+- Entities created: OpenText（已存在）, GIS, Mike, Ed, BrightCloud
+- Source page: wiki/sources/public-cloud-learning-sessions-opentext-gis-security-policies-20241015-160257-me.md
+- Notes: 与 Modern ITSM 存在安全治理 vs 自动化优先的视角差异
+
+## [2026-04-19] ingest | CTP Topic 64 Scaling out with Amazon EKS
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-64-scaling-out-with-amazon-eks.md
+- Status: ✅ 成功摄入
+- Summary: Amazon EKS 水平扩展与垂直扩展机制，Suravpul (AWS) 演讲，涵盖 HPA、KEDA、Karpenter、Cluster Autoscaler、IPv6 网络解决方案
+- Concepts created: KEDA, IPv6 Networking
+- Entities created: Suravpul
+- Source page: wiki/sources/ctp-topic-64-scaling-out-with-amazon-eks.md
+- Notes: 与 CTP Topic 59 (EKS 可靠性) 互补扩展策略视角
+
+## [2026-04-19] ingest | CTP Topic 67 Cloud Native Observability Using OpenTelemetry
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-67-cloud-native-observability-using-opentelemetry.md
+- Status: ✅ 成功摄入
+- Summary: 云原生可观测性方案，Surav (AWS) 演讲，基于 ADOT 在 EKS 上的部署实践，涵盖 sidecar、daemonset、HA 等多种部署模式
+- Concepts created: ADOT（已存在）, Trace, Metrics, Logs
+- Entities created: Amazon EKS（已存在）
+- Source page: wiki/sources/ctp-topic-67-cloud-native-observability-using-opentelemetry.md
+- Notes: 与上一个 OpenTelemetry 主题互补，侧重 EKS 部署模式
+
+## [2026-04-19] ingest | CTP Topic 42 Grafana Observability Dashboard
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-42-grafana-observability-dashboard.md
+- Status: ✅ 成功摄入
+- Summary: Grafana 可观测性平台与仪表盘设计，支持多数据源集成（Metrics、Logs）和 Terraform 自动化部署，通过 IAM Role 跨账户访问 AWS 监控数据，计划替代 Micro Focus OpsBridge
+- Concepts created: 可观测性、Prometheus、Terraform、IAM Role
+- Entities: Grafana（已存在）、AWS CloudWatch、AWS EKS、Terraform（已存在）、Prometheus（已存在）、Micro Focus OpsBridge
+- Source page: wiki/sources/ctp-topic-42-grafana-observability-dashboard.md
+- Notes: 与 Apache Superset 存在工具选择冲突
+
+## [2026-04-19] ingest | Public Cloud Learning Sessions - Observability with OpenTelemetry
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/public-cloud-learning-sessions-observability-with-opentelemetry-20240402-160113-.md
+- Status: ✅ 成功摄入
+- Summary: OpenTelemetry 可观测性框架在 AWS 环境中的应用，Jay Comer 演讲，涵盖 Metrics、Logs、Traces 三大信号，ADOT 统一代理，Fluent Bit 日志收集，OpenSearch 可视化
+- Concepts created: OpenTelemetry, OpenTelemetry-Collector, ADOT, 可观测性三大支柱, Fluent-Bit, Trace-Span, OTLP
+- Entities created: Jay Comer
+- Source page: wiki/sources/public-cloud-learning-sessions-observability-with-opentelemetry-20240402-160113-.md
+- Notes: Gartner 估计平均每年 87 小时停机时间，每小时损失 $42,000；OpenTelemetry 提供厂商中立的端到端遥测数据采集标准
+
+## [2026-04-19] ingest | CTP Topic 62 AWS Secrets Manager
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-62-aws-secrets-manager.md
+- Status: ✅ 成功摄入
+- Summary: AWS Secrets Manager 在企业云环境中的实施与最佳实践，Nurit 和 Daniel 演讲，涵盖分阶段实施方法（集中化→自动化获取→轮换）、Lambda 数据库密码轮换、JDBC Wrapper 无密码登录
+- Concepts created: Secret Rotation, JDBC Wrapper, Lambda Rotation
+- Entities created: SendGrid（已存在）, Oracle Database, Control Tower, HashiCorp Vault
+- Source page: wiki/sources/ctp-topic-62-aws-secrets-manager.md
+- Notes: AWS Secrets Manager 是 HashiCorp Vault 的成本效益替代方案，无需客户端
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-59-achieving-reliability-with-amazon-eks.md
+- Status: ✅ 成功摄入
+- Summary: Amazon EKS 可靠性实践，涵盖容器服务选型（ECS vs EKS）、共享责任模型、三层可靠性设计（应用层、控制层、数据层），Surav Paul 演讲
+- Concepts created: EKS 可靠性, Pod 反亲和性, 拓扑分布约束, HPA, VPA, 探针, Pod 中断预算, Fargate
+- Entities created: Surav Paul
+- Source page: wiki/sources/ctp-topic-59-achieving-reliability-with-amazon-eks.md
+- Notes: 可靠性是系统在故障发生时仍提供可预测行为，Fargate 模式 AWS 负责节点管理
+
+## [2026-04-19] ingest | CTP Topic 29 Cloud Monitoring – SaaS LZ accounts
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-29-cloud-monitoring-saas-lz-accounts.md
+- Status: ✅ 成功摄入
+- Summary: AWS 云监控解决方案 OpsBridge 在 SaaS Landing Zone 多账号环境中的应用，容器化部署支持监控 20+ AWS 数据服务，数据存储于 Optic 数据湖（Vertica）
+- Concepts created: Cloud Monitoring, Optic Data Lake, Tag-based Monitoring
+- Entities created: Micro Focus, CCOE
+- Source page: wiki/sources/ctp-topic-29-cloud-monitoring-saas-lz-accounts.md
+- Notes: 基于标签的监控是最佳实践，自动化识别缺失标签
+
+## [2026-04-19] ingest | CTP Topic 39 Implementing EKS in the AWS Lab Landing Zone
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone.md
+- Status: ✅ 成功摄入
+- Summary: 在 AWS Lab Landing Zone 中实现 EKS 集群部署，解决 IP 地址有限问题，通过创建私有子网和使用 Terraform/Terragrunt 模块实现自定义网络配置
+- Concepts created: Terragrunt
+- Entities created: Octane
+- Source page: wiki/sources/ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone.md
+- Notes: EKS 模块支持自定义网络配置标志控制 IP 分配
+
+## [2026-04-19] ingest | Public Cloud Learning Sessions - EKS Optimization Part 1 of 3 - Compute Optimization with Karpenter
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/public-cloud-learning-sessions-eks-optimization-part-1-of-3-compute-optimization.md
+- Status: ✅ 成功摄入
+- Summary: EKS 计算优化，使用 Karpenter 替代传统 Cluster Autoscaler，直接与 EC2 Fleet API 通信，支持 Spot 中断处理和工作负载放置优化
+- Concepts created: Node Pools, Node Classes, Spot Interruption, Consolidation Policies, Cluster Autoscaler
+- Entities created: Karpenter, EKS
+- Source page: wiki/sources/public-cloud-learning-sessions-eks-optimization-part-1-of-3-compute-optimization.md
+- Notes: Karpenter 是 EKS 优化三部分系列的第一部分，后续将覆盖 Bottlerocket 和 EKS Auto Mode
+
+## [2026-04-19] ingest | CTP Topic 70 EKS Deployment using IAC
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-70-eks-deployment-using-iac.md
+- Status: ✅ 成功摄入
+- Summary: 通过基础设施即代码（IaC）方式部署 EKS 集群，涵盖 Terraform 和 Service Catalog 两种部署方式，ALB Ingress Controller 流量管理，EMI 自定义网络解决 CIDR 限制，CloudWatch + FluentBit 监控
+- Concepts created: Cluster Autoscaler, EMI, FluentBit, Container Insights
+- Entities created: EKS
+- Source page: wiki/sources/ctp-topic-70-eks-deployment-using-iac.md
+- Notes: 容器相比虚拟机具有更快的启动时间、内存效率和可移植性优势
+
+## [2026-04-19] ingest | CTP Topic 60 Monitor AWS using Hyperscale Observability with Grafana
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-60-monitor-aws-using-hyperscale-observability-with-grafana.md
+- Status: ✅ 成功摄入
+- Summary: AWS 云监控与 Grafana 可观测性平台集成，Hyperscale 监控能力，Terraform 模块自动创建 Grafana 组织、仪表板，Optic DR 数据源集成，告警转发 OpsBridge
+- Concepts created: Dashboard-as-Code
+
+## [2026-04-19] ingest | CTP Topic 54 ESM SaaS Log Analytics
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-54-esm-saas-log-analytics.md
+- Status: ✅ 成功摄入
+- Summary: ESM SaaS Log Analytics（日志分析）架构与实践，ELK Stack/OpenSearch 架构，BEATS 采集，VPC 私有传输，安全加密（TLS 1.2、静态加密），成本对比（Logz.io $4,000 vs OpenSearch $1,500），Jackie 演讲
+- Concepts created: Log Analytics, ELK Stack, OpenSearch, Logstash, Kibana
+- Entities created: Jackie
+- Source page: wiki/sources/ctp-topic-54-esm-saas-log-analytics.md
+- Notes: GDPR 合规驱动区域部署（Oregon、Europe），VPC 间流量走私有网络不经过公网
+- Entities created: OpsBridge, Optic-DR
+- Source page: wiki/sources/ctp-topic-60-monitor-aws-using-hyperscale-observability-with-grafana.md
+- Notes: 产品团队通过 Terraform HCL 文件消费模块获取默认仪表板
+
+## [2026-04-19] ingest | Public Cloud Learning Sessions - EKS Optimization part 3 of 3 - Introduction to EKS Auto Mode
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/public-cloud-learning-sessions-eks-optimization-part-3-of-3-introduction-to-eks-.md
+- Status: ✅ 成功摄入
+- Summary: EKS Auto Mode 介绍，EKS 优化的第三部分，自动管理数据平面实例、操作系统、补丁和安全更新，12% 溢价
+- Concepts created: Carpenter, BottleRocket, Node-Pool
+- Entities created: EKS-Auto-Mode
+- Source page: wiki/sources/public-cloud-learning-sessions-eks-optimization-part-3-of-3-introduction-to-eks-auto-mode.md
+- Notes: Carpenter 是计算控制器，默认节点池为 general purpose 和 system
+
+## [2026-04-19] ingest | CTP Topic 8 Implementation of Cloud monitoring using Micro Focus Operations Bridge
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-8-implementation-of-cloud-monitoring-using-micro-focus-operations-brid.md
+- Status: ✅ 成功摄入
+- Summary: 使用 Micro Focus Operations Bridge Manager (OBM) 实现 AWS 云监控的实施方案，IAM Role 跨账户访问，Management Packs 动态监控
+- Concepts created: Management-Packs
+- Entities created: Operations-Bridge-Manager-OBM
+- Source page: wiki/sources/ctp-topic-8-implementation-of-cloud-monitoring-using-micro-focus-operations-bridge.md
+- Notes: OBM 替代传统 Sitescope，通过 IAM Role 实现无密钥跨账户监控
+
+## [2026-04-19] ingest | CTP Topic 5 AWS Identity and Access Management (IAM)
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/02_IAM/ctp-topic-5-aws-identity-and-access-management-iam.md
+- Status: ✅ 成功摄入
+- Summary: AWS IAM 用户、组、角色和策略管理，联合访问与权限控制，最小权限原则
+- Concepts created: IAM-用户, IAM-角色, IAM-策略, 联合访问, 最小权限原则
+- Entities created: IAM (AWS Identity and Access Management)
+- Source page: wiki/sources/ctp-topic-5-aws-identity-and-access-management-iam.md
+- Notes: 联邦访问是用户管理的首选方式，IAM 用户仅用于服务账号
+
+## [2026-04-19] ingest | Learning Sessions Identity Governance VSM Replacement
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/02_IAM/learning-sessions-identity-governance-vsm-replacement-20231128-160326-meeting-re.md
+- Status: ✅ 成功摄入
+- Summary: 身份治理（Identity Governance）以及用 IGA 替换 VSM（Virtual Service Manager）的计划，涵盖 IGA 与 AWS Identity Center 集成、AD 组管理、自动化审批流程
+- Concepts created: Identity-Governance
+- Entities created: VSM, IGA, AWS-Identity-Center
+- Source page: wiki/sources/learning-sessions-identity-governance-vsm-replacement-20231128-160326-meeting-re.md
+- Notes: 
+
+## [2026-04-19] ingest | Public Cloud Learning Sessions - AWS End User Compute Services
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/10_OpenText-Series/public-cloud-learning-sessions-aws-end-user-compute-services-20240430-160120-mee.md
+- Status: ✅ 成功摄入
+- Summary: AWS 终端用户计算（EUC）服务介绍，涵盖 Workspaces（完全持久化虚拟桌面）和 AppStream 2.0（非持久化应用流），帮助组织根据用例选择合适的远程办公解决方案
+- Concepts created: VDI, WSP-Protocol, SAML, BYOD, 持久化桌面, 非持久化桌面
+- Entities created: AWS-Workspaces, AppStream-2.0, Christian-ODonough
+- Source page: wiki/sources/public-cloud-learning-sessions-aws-end-user-compute-services-20240430.md
+- Notes: 
+
+## [2026-04-19] verify | GOG-CLI 安装配置指南
+- Source file: raw/Skills/GOG-CLI-安装配置指南.md
+- Status: ✅ 已同步
+- Summary: 在 macOS 系统上安装和配置 gog CLI 工具，通过命令行管理 Google Workspace（Gmail、Calendar、Drive、Contacts、Docs、Sheets）
+- Concepts: OAuth（已有）, API-Enablement（已有）, 测试用户（已有）
+- Entities: Homebrew（已有）, Google Cloud Console（已有）
+- Source page: wiki/sources/GOG-CLI-安装配置指南.md
+- Notes: 源文件于 2026-04-17 修改，但内容无实质性变化，source page 已更新日期为 2026-04-19
+
+## [2026-04-19] ingest | Last30Days 使用指南
+- Source file: raw/Skills/Last30Days-使用指南.md
+- Status: ✅ 成功摄入
+- Summary: 多平台热门内容研究工具的使用指南，支持 Reddit、X、YouTube、TikTok、Instagram、Hacker News、Polymarket、Web 共 8 个数据源，深度研究需要 2-8 分钟
+- Concepts created: Last-30-Days-Skill (已有), Market-Research (已有), MVP (已有), Comparative Mode (新)
+- Entities created: Matt Van Horn (已有), ScrapeCreators (已有), Polymarket (已有), OpenClaw (已有)
+- Source page: wiki/sources/Last30Days-使用指南.md
+- Notes: 源文件已被摄入过，本次补充 Comparative Mode concept
+
+## [2026-04-19] verify | Nano-Banana Pro 提示词指南与策略
+- Source file: raw/AI/Nano-Banana Pro Prompting Guide & Strategies 1.md
+- Status: ✅ 成功同步
+- Summary: Google Nano-Banana Pro 图像生成模型的专业级提示词设计指南，涵盖10大核心能力（文本渲染、角色一致性、搜索锚定、高级编辑、维度转换、高分辨率、思考模式等）和4条黄金法则
+- Concepts created: 身份锁定 (已有), 思维模式 (已有), Google Search Grounding (已有), 图像修补 (新), 维度转换 (新)
+- Entities created: Google AI Studio (已有)
+- Source page: wiki/sources/nano-banana-pro-prompting-guide-strategies-1.md
+- Notes: 源文件于 2026-04-17 修改，hash 变更，已更新 source page 补充 10 大核心能力和 4 条黄金法则详情
+
 ## [2026-04-19] verify | Todoist Task Manager: Agent Task Visibility
 - Source file: raw/Agent/usecases/todoist-task-manager.md
 - Status: ✅ 已同步
@@ -472,14 +659,14 @@
 - Source page: wiki/sources/我做了个-Skill-让-AI-帮你生成-Logo-和图标.md
 - Notes: GitHub: op7418/logo-generator-skill
 
-## [2026-04-18] ingest | Obsidian 必装 Skills
+## [2026-04-19] ingest | Obsidian 必装 Skills
 - Source file: raw/Skills/Obsidian 必装 Skills.md
 - Status: ✅ 成功摄入
 - Summary: Obsidian 必装的 AI Skills 推荐与配置指南，推荐 9 个核心 Skills（defuddle、obsidian-cli、obsidian-bases、obsidian-markdown、obsidian-canvas-creator、mermaid-visualizer、excalidraw-diagram、tutor-skills、scholar-skill）和 2 个核心插件（claudian、obsidian-agent-client）
 - Concepts created: Obsidian Skills, Obsidian CLI, obsidian-bases, obsidian-canvas-creator, tutor-skills, scholar-skill
 - Entities created: kepano, Axton, Choi Wontak, BRAT 插件
 - Source page: wiki/sources/Obsidian-必装-Skills.md
-- Notes: 
+- Notes: 源文件已于 2026-04-18 摄入，本次更新日期 
 
 ## [2026-04-18] ingest | 在 Ubuntu 安装 Ollama 并运行 Qwen2.5-Coder 7B
 - Source file: raw/AI/在 Ubuntu 安装 Ollama 并运行 Qwen2.5-Coder 7B.md
@@ -2143,3 +2330,21 @@
 - Entities created: Polymarket（已有）
 - Source page: wiki/sources/polymarket-autopilot.md
 - Notes: 更新摄入，补充 Key Quotes 和策略详细定义
+
+## [2026-04-19] ingest | CTP Topic 11 AD Integration and Login using AD accounts
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/02_IAM/ctp-topic-11-ad-integration-and-login-using-ad-accounts.md
+- Status: ✅ 成功摄入
+- Summary: Jenkins 与 AD 集成实现自动登录，以及 CI/CD 流水线通过 pre-commit 框架嵌入 terraform fmt、TFLint、Checkov 自动化安全检查，左移治理模式
+- Concepts created: AD Integration, RBAC, Pre-commit Framework, terraform fmt, TFLint, Checkov, Static Analysis, CI/CD 左移
+- Entities created: Jenkins（已有）, Niranjan（新增）
+- Source page: wiki/sources/ctp-topic-11-ad-integration-and-login-using-ad-accounts.md
+- Notes: 与 IAM、身份治理概念关联；AD 集成实现账号自动管理，为 RBAC 打基础
+
+## [2026-04-19] ingest | Public Cloud Learning Sessions - EKS Optimization part 2 of 3 - Running Containers with Bottlerocket OS
+- Source file: raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/public-cloud-learning-sessions-eks-optimization-part-2-of-3-running-containers-w.md
+- Status: ✅ 成功摄入
+- Summary: Bottlerocket OS 运行容器化工作负载的优化，专为容器设计的最小化 Linux 操作系统，通过变体满足特定工作负载需求，具备安全更新和不可变根文件系统
+- Concepts created: Bottlerocket-OS, dm-verity
+- Entities created: Bottlerocket（新增）
+- Source page: wiki/sources/public-cloud-learning-sessions-eks-optimization-part-2-of-3-running-containers-w.md
+- Notes: 与 EKS、Karpenter 形成 EKS 优化三部曲；与通用 Linux 发行版（Ubuntu、RHEL）对比，定位更精简、更安全

wiki/overview.md

@@ -17,10 +17,15 @@ AI 开源项目、Cloud & DevOps、Vibe Coding、AI时代个人发展、跨境
 - X11 (Xorg)：传统 Linux 显示协议，兼容性更好，支持远程桌面软件，是 Wayland 的替代方案
 - GDM3：GNOME Display Manager，Ubuntu 的登录管理器，支持 Wayland 和 X11 两种显示协议
 - ITSM（IT 服务管理）：从工单系统演进为战略推动者，实现运营卓越、风险缓解和创新加速
+- Identity Governance（身份治理）：管理数字身份、降低风险并保持合规的框架，回答谁有权访问、谁应该访问、如何访问三个核心问题
 - Multi-Account Strategy（多账号策略）：AWS 推荐的企业级云架构模式，通过将工作负载分离到多个 AWS 账号来提升安全性、治理能力和故障隔离
 - Gruntwork Landing Zone：Gruntwork 提供的预配置 AWS 基础架构框架，基于 Reference Architecture 包含核心账户和工作负载账户
 - CCOE（Cloud Center of Excellence）：推动云采纳和治理的核心组织单元，负责 AMI 标准制定和发布
 
+- OpsBridge（运营桥）：Micro Focus 的企业级监控平台，支持 AWS 云监控，可部署在本地或 EKS 上
+- Cloud Monitoring（云监控）：OpsBridge 的核心功能，支持监控 20+ AWS 数据服务
+- Optic Data Lake：OpsBridge 的数据存储层，使用 Vertica 数据库支撑高性能仪表板
+
 - AWS Workspaces：AWS 提供的托管桌面即服务（DaaS）解决方案，预装开发工具实现快速生产力
 
 - Standard AMI：AWS 标准机器镜像，包含 OS 加固、最新安全补丁，并支持域集成、SSM agent、DNS 设置，每两个月发布一次
@@ -29,6 +34,7 @@ AI 开源项目、Cloud & DevOps、Vibe Coding、AI时代个人发展、跨境
 - IPAM（IP Address Management）：IP 地址管理工具，用于规划、追踪和管理 IP 地址空间，实现 VPC IP 地址自动化分配
 - RTO（Recovery Time Objective）：系统允许的最大停机时间，是灾难恢复的核心指标
 - RPO（Recovery Point Objective）：可接受的最大数据丢失量，是数据保护的核心指标
+- Feature Flag（特性开关）：控制代码路径而不需要重新部署的机制，实现秒级回滚和低 RTO/RPO
 - 开源平替：功能可替代闭源商业产品的开源项目
 - Cloud Maturity Model（云成熟度模型）：评估组织云采纳就绪程度的5级框架
 - DevOps 成熟度模型：评估组织 DevOps 实践水平的分级框架
@@ -212,6 +218,8 @@ AI 开源项目、Cloud & DevOps、Vibe Coding、AI时代个人发展、跨境
 - **What is DevSecOps? Best Practices, Benefits, and Tools** — DevSecOps 方法论详解（SDLC 安全集成、SAST/SCA/IAST/DAST 四大工具、Shift Left/Right 策略、企业实施挑战）
 - **Public Cloud Learning Sessions (OpenText) - GitHub Enterprise to GitLab migration** — OpenText 将代码仓库从 GitHub Enterprise 迁移到 GitLab，self-serve 模式
 
+- **Public Cloud Learning Sessions (OpenText) - GIS Security Policies** — OpenText 全球信息安全团队（GIS）的安全策略框架与组织结构，基于 ISO 27001 的分层安全方法
+
 - **Public Cloud Learning Sessions (OpenText) - Applicable Business Analysis Techniques** — OpenText 业务分析技术学习会议，介绍 BOSCARD（背景、目标、范围、约束、假设、风险、角色、可交付成果）、相关方轮盘和需求收集方法（T 型技能、用户故事 + 元数据、SAFe 框架）
 
 - BOSCARD（Background、Objectives、Scope、Constraints、Assumptions、Risks、Roles、Deliverables）：定义复杂新工作的系统化技术，帮助在项目早期明确范围、目标和可交付成果，避免目标、时间线和交付物的混淆
@@ -219,13 +227,36 @@ AI 开源项目、Cloud & DevOps、Vibe Coding、AI时代个人发展、跨境
 - **Ubuntu 服务器通过 rsync 实现日常增量备份** — 使用 rsync 实现 Ubuntu 服务器到 NAS 的增量备份，涵盖 NFS 永久挂载和灾难恢复
 
 - **CTP Topic 46 NetApps on AWS** — NetApp Cloud Volume ONTAP (CVO) 架构、部署、数据分层（EBS→S3）、安全加密与灾备（SnapMirror）
+
+- **CTP Topic 37 Secrets Certificates Management** — 云转型项目密钥与证书管理方案选型，评估 AWS Secrets Manager、HashiCorp Vault、CryptoArk PAM，30天试点后选择 AWS Secrets Manager
+
 - **CTP Topic 34 Azure Landing Zone Architecture Overview** — Azure Landing Zone 架构设计，Management Groups 四区域划分、Subscription 分离、Terraform Cloud 自动化
 - **CTP Topic 7 SaaS Landing Zone Design** — 生产环境 SaaS Landing Zone 高级设计，单一 Landing Zone 策略、Core/Baseline/Shared Services 账户分离
+- **CTP Topic 5 AWS Identity and Access Management (IAM)** — AWS IAM 用户、组、角色和策略管理，联合访问与权限控制，最小权限原则
+
+- **EKS Auto Mode** — AWS EKS 自动模式，自动管理 Kubernetes 数据平面的计算、网络、存储和安全
+
+- **CTP Topic 64 Scaling out with Amazon EKS** — Amazon EKS 水平扩展与垂直扩展机制，涵盖 HPA、KEDA、Karpenter、Cluster Autoscaler、IPv6 网络解决方案
+
+- **Bottlerocket OS** — 专为容器设计的最小化 Linux 操作系统，AWS 维护，开源免费，通过变体满足特定工作负载需求，具备安全更新和不可变根文件系统
+
+- **CTP Topic 11 AD Integration and Login using AD accounts** — Jenkins 与 AD 集成实现自动登录，pre-commit 框架嵌入 terraform fmt、TFLint、Checkov 自动化安全检查，左移治理模式
 - **CTP Topic 40 SaaS Database Architecture On AWS Cloud** — AWS 云上 SaaS 数据库架构设计，SaaS 数据库团队全球运维实践（500+ 数据库、1000+ 服务器，Oracle/Postgres/DynamoDB 等多种数据库，高可用设计）
 - **CTP Topic 28 AWS Tag Validation Tool** — AWS 标签验证工具，通过 YAML 配置文件审计资源标签合规性，生成 CSV 报告
 - **CTP Topic 30 Managing Change** — 云转型项目中的变更管理流程，SRE 角色定义和三种变更类型（标准变更、正常变更、紧急变更）
 - **CTP Topic 73 AWS Backup implementation of the Cloud Transformation Program** — AWS Backup 在 CTP 云转型计划中的实施，涵盖 SRE 备份模型、DR 账户备份、AWS Backup Audit Manager 审计
+
+- **CTP Topic 60 Monitor AWS using Hyperscale Observability with Grafana** — AWS 云监控与 Grafana 可观测性平台集成，Terraform 模块自动创建 Grafana 组织、仪表板，Optic DR 数据源集成，告警转发 OpsBridge
+- **CTP Topic 62 AWS Secrets Manager** — AWS Secrets Manager 企业级敏感信息管理，分阶段实施方法（集中化→自动化获取→轮换），Lambda 数据库密码轮换，JDBC Wrapper 无密码登录
+
+- **CTP Topic 67 Cloud Native Observability Using OpenTelemetry** — 云原生可观测性方案，基于 ADOT 在 EKS 上的部署实践（sidecar、daemonset、HA 模式）
+
+- **Public Cloud Learning Sessions - Observability with OpenTelemetry** — OpenTelemetry 可观测性框架在 AWS 环境中的应用，涵盖 Metrics、Logs、Traces 三大信号，ADOT 统一代理自动检测应用语言
+
+- OpenTelemetry（OTel）：厂商中立的遥测数据采集框架，提供统一数据格式和 11 种语言 SDK，解决不同组件各自为政的 SDK 问题
+- **CTP Topic 54 ESM SaaS Log Analytics** — ESM SaaS Log Analytics（日志分析）架构与实践，ELK Stack/OpenSearch 架构，BEATS 采集日志，VPC 私有传输，安全加密（TLS 1.2、静态加密），成本对比（Logz.io $4,000 vs AWS OpenSearch $1,500），GDPR 合规驱动区域部署
 - **CTP Topic 57 Product backlog managing demand** — Product Backlog 管理需求流程，SMACs 提交、Octane 入池、前置条件阶段
+- **CTP Topic 8 Implementation of Cloud monitoring using Micro Focus Operations Bridge** — 使用 Micro Focus Operations Bridge Manager (OBM) 实现 AWS 云监控的实施方案（IAM Role 跨账户访问、Management Packs 动态监控）
 - **如何在Ubuntu Server上通过NFS挂载Synology NAS上的共享文件夹** — 在 Ubuntu Server 上通过 NFS 协议挂载 Synology NAS 共享文件夹
 - **Ubuntu 禁用合盖休眠** — 在 Ubuntu 24.04 中通过修改 systemd-logind 配置禁用笔记本合盖休眠行为
 - **群晖NAS科学上网方法** — 在群晖 NAS 上通过 V2RayA 配置透明代理，使 Docker 可以科学上网

wiki/sources/GOG-CLI-安装配置指南.md

@@ -1,8 +1,8 @@
 ---
 title: "GOG-CLI 安装配置指南"
 type: source
-tags: [gog, gog-cli, macos, google-workspace, oauth]
-date: 2026-03-15
+tags: [gog-cli, macos, google-workspace, oauth]
+date: 2026-04-19
 ---
 
 ## Source File

wiki/sources/Last30Days-使用指南.md

@@ -2,7 +2,7 @@
 title: "Last30Days 使用指南"
 type: source
 tags: [hackernews, instagram, last30days, polymarket, scrapecreator, tiktok, x, youtube]
-date: 2026-04-18
+date: 2026-04-19
 ---
 
 ## Source File
@@ -25,6 +25,7 @@ date: 2026-04-18
 > "Polymarket 赔率是最高置信度的数据" — 使用指南
 
 ## Key Concepts
+- [[Comparative Mode]]：对比模式，通过 "X vs Y" 格式生成并排对比研究
 - [[Last-30-Days-Skill]]：Matt Van Horn 开发的 Reddit/X 研究技能，获取过去 30 天用户痛点
 - [[Market-Research]]：通过用户反馈和数据分析识别产品机会的过程
 - [[MVP]]：最小可行产品，用最少的资源验证核心产品假设

wiki/sources/Obsidian-必装-Skills.md

@@ -2,7 +2,7 @@
 title: "Obsidian 必装 Skills"
 type: source
 tags: []
-date: 2026-04-18
+date: 2026-04-19
 ---
 
 ## Source File

wiki/sources/Public-vs-Private-vs-Hybrid-Cloud-Differences-Explained.md

@@ -5,7 +5,7 @@ tags: [cloud-computing, public-cloud, private-cloud, hybrid-cloud]
 date: 2025-06-18
 source_file: raw/Cloud & DevOps/Public vs Private vs Hybrid Cloud Differences Explained.md
 sources: []
-last_updated: 2025-06-18
+last_updated: 2026-04-19
 ---
 
 ## Source File

wiki/sources/ctp-topic-11-ad-integration-and-login-using-ad-accounts.md

@@ -0,0 +1,66 @@
+---
+title: "CTP Topic 11 AD Integration and Login using AD accounts"
+type: source
+tags:
+  - AWS
+  - AD
+  - IAM
+  - SSO
+  - CTP
+date: 2026-04-14
+---
+
+## Source File
+
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/02_IAM/ctp-topic-11-ad-integration-and-login-using-ad-accounts.md]]
+
+## Summary
+
+- 核心主题：Jenkins 与 Active Directory 集成实现自动登录，以及 CI/CD 流水线自动化安全检查
+- 问题域：DevOps 身份认证、基础设施代码质量控制
+- 方法/机制：AD 集成实现用户自动认证，pre-commit 框架嵌入 terraform fmt、TFLint、Checkov 工具
+- 结论/价值：简化用户入职/离职的账号管理，自动化检测"坏代码"和安全漏洞，提升 IaC 安全性和稳定性
+
+## Key Claims
+
+- AD 集成后无需手动创建本地用户，实现基于 AD 账号的自动登录
+- 下一步将利用 AD 组策略实现 RBAC 权限管理（只读、读写、流水线创建权限）
+- pre-commit 框架在代码提交阶段执行 terraform fmt、TFLint、Checkov 三大检查
+- 分层治理模式：Commit 阶段仅自动化检查 → PR 阶段执行检查+terraform plan → 合并后人工审核+terraform apply
+
+## Key Quotes
+
+> "通过 AD 集成，团队告别了过去手动创建本地用户的繁琐流程，实现了基于 AD 账号的自动登录。这不仅简化了用户入职与离职的账号管理，还为未来实施基于角色的访问控制（RBAC）奠定了基础。"
+
+> "pre-commit 框架用于管理和维护多语言预提交钩子，在代码提交至仓库前识别简单问题。"
+
+> "工作流设计强调'左移'思想：在功能分支的每次提交时仅触发自动化检查；在 PR 阶段触发检查与 terraform plan；只有在代码合并至 Master 分支并经过人工审核后，才会执行最终的 terraform apply。"
+
+## Key Concepts
+
+- [[AD Integration]]：将 Jenkins 安全域与企业 AD 关联，实现用户身份统一认证
+- [[RBAC]]：基于角色的访问控制，通过 AD 组策略决定用户在 Jenkins 中的操作权限
+- [[Pre-commit Framework]]：管理预提交钩子的框架，提交前自动检查代码
+- [[terraform fmt]]：Terraform 内置格式化工具，统一代码风格
+- [[TFLint]]：Terraform 静态分析工具，检查代码错误、过时语法、缺失参数
+- [[Checkov]]：IaC 安全扫描工具，检测安全配置错误
+- [[Static Analysis]]：静态分析，不运行代码而检查潜在错误/漏洞
+- [[CI/CD 左移]]：在流水线早期阶段嵌入质量门禁
+
+## Key Entities
+
+- [[Jenkins]]：开源自动化服务器，用于 CI/CD
+- [[Niranjan]]：本次 DevOps Cloud Learning Session 主讲人
+
+## Connections
+
+- [[Jenkins]] ← 使用 ← [[AD Integration]]
+- [[AD Integration]] → 依赖 → [[Active Directory]]
+- [[Pre-commit Framework]] → 调用 → [[terraform fmt]]
+- [[Pre-commit Framework]] → 调用 → [[TFLint]]
+- [[Pre-commit Framework]] → 调用 → [[Checkov]]
+- [[CI/CD 左移]] → 包含 → [[Pre-commit Framework]]
+
+## Contradictions
+
+- （暂无）

wiki/sources/ctp-topic-29-cloud-monitoring-saas-lz-accounts.md

@@ -0,0 +1,51 @@
+---
+title: "CTP Topic 29 Cloud Monitoring – SaaS LZ accounts"
+type: source
+tags:
+  - AWS
+  - Monitoring
+  - SaaS
+  - Landing-Zone
+  - CTP
+  - OpsBridge
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-29-cloud-monitoring-saas-lz-accounts.md]]
+
+## Summary
+- 核心主题：AWS 云监控解决方案 OpsBridge 在 SaaS Landing Zone 多账号环境中的应用
+- 问题域：企业级多账号 AWS 环境的集中化监控挑战
+- 方法/机制：Micro Focus OpsBridge 容器化解决方案，通过 IAM 角色跨账号读取 CloudWatch 数据，存储于 Optic 数据湖（Vertica 数据库）
+- 结论/价值：支持监控 20+ AWS 数据服务，提供事件视角、拓扑视图和性能仪表板，标签驱动监控最佳实践
+
+## Key Claims
+- OpsBridge 可在本地或 AWS EKS 上部署，支持监控超过 20 个 AWS 数据服务
+- 数据存储在 Optic 数据湖（Vertica），支持高性能仪表板和报表
+- 使用只读 IAM 角色从 CloudWatch 获取指标，单一实例可监控多个账号和区域
+- 基于标签的监控是最佳实践，自动化识别缺失标签
+
+## Key Quotes
+> "Cloud Monitoring is enabled within OpsBridge, requiring a one-time IAM role setup in customer accounts for read-only access."
+
+> "Tag-based monitoring is emphasized as a best practice, with automation to identify missing tags."
+
+## Key Concepts
+- [[OpsBridge]]：Micro Focus 运营桥监控平台，用于 AWS 云监控
+- [[CloudWatch]]：AWS 监控和可观测性服务，OpsBridge 从中获取指标数据
+- [[CMDB]]：配置管理数据库，存储和管理 IT 基础设施配置项
+- [[Tagging-Methodology]]：标签方法论，驱动资源识别和监控策略
+- [[Multi-Account-Strategy]]：AWS 多账号架构策略，SaaS LZ 环境中的应用
+
+## Key Entities
+- [[AWS]]：公有云平台，提供 EKS 容器化部署能力
+- [[Micro-Focus]]：企业软件公司，OpsBridge 产品提供商
+- [[CCOE]]：Cloud Center of Excellence，推动云采纳和治理的核心组织
+
+## Connections
+- [[ctp-topic-8-implementation-of-cloud-monitoring-using-micro-focus-operations-bridge]] ← extends ← [[CTP Topic 29]]
+- [[ctp-topic-60-monitor-aws-using-hyperscale-observability-with-grafana]] ← relates_to ← [[CTP Topic 29]]
+
+## Contradictions
+- （暂无）

wiki/sources/ctp-topic-37-secrets-certificates-management.md

@@ -0,0 +1,53 @@
+---
+title: "CTP Topic 37 Secrets Certificates Management"
+type: source
+tags:
+  - AWS
+  - Secrets-Manager
+  - Certificates
+  - Security
+  - CTP
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-37-secrets-certificates-management.md]]
+
+## Summary
+- 核心主题：云转型项目中的密钥与证书管理方案选型与实施
+- 问题域：企业级 secrets 管理工具评估与标准化
+- 方法/机制：AWS Secrets Manager、HashiCorp Vault、CyberArk PAM 三方案对比，30天试点验证
+- 结论/价值：选择 AWS Secrets Manager 作为企业标准，集成 Control Tower 实现 CI/CD 流程中的密钥自动化管理
+
+## Key Claims
+- AWS Secrets Manager 与 AWS RDS、Redshift、DynamoDB 有内置集成，支持高可用和灾备
+- HashiCorp Vault 免费版缺乏企业级能力（高可用、多租户）
+- AWS Secrets Manager 在账户级别管理密钥，可降低成本并提升安全性
+
+## Key Quotes
+> "AWS Secrets Manager is easy and simple to implement."
+> "The pilot phase included HashiCorp Vault and AWS Secrets Manager."
+> "Implementation phase involves removing clear text passwords and keys from CI/CD processes, starting with Control Tower."
+
+## Key Concepts
+- [[Secrets Management]]：数字认证凭证、密钥、API Token 等敏感信息的管理
+- [[Secret Rotation]]：自动轮换密钥以提升安全性的机制
+- [[CI/CD Secrets Management]]：在持续集成/部署流程中安全管理密钥
+
+## Key Entities
+- [[AWS]]：云服务提供商，Secrets Manager 所属平台
+- [[AWS Secrets Manager]]：AWS 托管的密钥管理服务
+- [[HashiCorp Vault]]：自托管密钥管理工具
+- [[CyberArk PAM]]：特权访问管理解决方案
+- [[AWS Control Tower]]：AWS 账户治理服务
+
+## Connections
+- [[AWS Secrets Manager]] ← chosen_as ← [[Secrets Management]]
+- [[AWS Control Tower]] ← implements ← [[CI/CD Secrets Management]]
+- [[AWS]] ← provides ← [[AWS Secrets Manager]]
+
+## Contradictions
+- 与 [[CTP Topic 62 AWS Secrets Manager]] 冲突：
+  - 冲突点：两份文档都涉及 AWS Secrets Manager
+  - 当前观点：本文描述选型过程，Topic 62 描述实施细节
+  - 对方观点：Topic 62 聚焦分阶段实施方法和 JDBC Wrapper 无密码登录

wiki/sources/ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone.md

@@ -0,0 +1,44 @@
+---
+title: "CTP Topic 39 Implementing EKS in the AWS Lab Landing Zone"
+type: source
+tags: [AWS, EKS, Kubernetes, Landing-Zone, CTP]
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-39-implementing-eks-in-the-aws-lab-landing-zone.md]]
+
+## Summary
+- 核心主题：在 AWS Lab Landing Zone 中实现 EKS（Elastic Kubernetes Service）
+- 问题域：IP 地址有限导致 EKS 部署困难
+- 方法/机制：创建私有子网、使用 Terraform/Terragrunt 模块、配置自定义网络
+- 结论/价值：EKS 模块支持自定义网络配置标志，通过 Terraform 实现 EKS 集群部署
+
+## Key Claims
+- EKS 模块提供自定义网络配置标志控制 IP 分配
+- 私有子网方案可解决 IP 地址有限问题
+- Terragrunt 模块用于自动化 EKS 部署
+
+## Key Quotes
+> "They utilized Terraform and Terragrunt modules to create the lab, working with SRE to enable EKS to create its own subnet and use its own IPs within each pod."
+
+> "Within the spec configuration, we basically have to put host network equals true."
+
+## Key Concepts
+- [[EKS]]：AWS 托管 Kubernetes 服务
+- [[Terraform]]：基础设施即代码工具
+- [[Terragrunt]]：Terraform 封装工具
+- [[Landing Zone]]：云基础架构框架
+
+## Key Entities
+- [[AWS]]：云平台提供商
+- [[Spencer]]：演讲者
+- [[Guy]]：演讲者
+- [[Octane]]：Microfocus SaaS 应用
+
+## Connections
+- [[CTP Topic 70 EKS Deployment using IAC]] ← relates_to ← [[EKS Deployment]]
+- [[Terraform]] ← used_in ← [[EKS Deployment]]
+
+## Contradictions
+- （暂无）

wiki/sources/ctp-topic-42-grafana-observability-dashboard.md

@@ -0,0 +1,52 @@
+---
+title: "CTP Topic 42 Grafana Observability Dashboard"
+type: source
+tags: [Grafana, Observability, Dashboard, CTP, DevOps]
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-42-grafana-observability-dashboard.md]]
+
+## Summary
+- 核心主题：Grafana 可观测性平台与仪表盘设计
+- 问题域：云监控可视化、企业级监控告警
+- 方法/机制：Grafana 数据源集成、Terraform 自动化、IAM 跨账户访问、Prometheus 网络监控
+- 结论/价值：Grafana 作为统一监控平台，支持多数据源集成和 Terraform 自动化部署，计划替代 Micro Focus 工具实现端到端监控
+
+## Key Claims
+- Grafana 是开源数据可视化平台，支持多种数据源（Metrics、Logs）
+- Grafana 通过 IAM Role 策略访问多 AWS 账户的监控数据
+- Terraform 模块实现 Grafana 资源自动化配置
+- Prometheus 作为数据源用于网络设备监控（Checkpoint、Firewall）
+- 未来规划：告警规则细化、应用专用仪表盘、推广 Terraform 模块
+
+## Key Quotes
+> "Grafana does not exist differently data source by itself. It needs to be expressed from the data, all kinds of data sources." — Grafana 数据无关性，需从数据源表达
+
+> "We would like to build application specific dashboards which can basically give us key insight with respect to our applications that are running over there." — 构建应用专用仪表盘提供关键洞察
+
+## Key Concepts
+- [[Grafana]]：开源数据可视化平台，通过图表和仪表盘展示监控数据
+- [[可观测性]]（Observability）：系统内部状态的可度量程度，包含 Metrics、Logs、Traces 三大信号
+- [[Prometheus]]：开源监控系统，作为数据源为网络设备（Checkpoint、Firewall）提供指标采集
+- [[Terraform]]：基础设施即代码工具，用于自动化 Grafana 资源配置
+- [[IAM Role]]：AWS 身份访问管理角色，用于跨账户访问控制
+
+## Key Entities
+- [[AWS CloudWatch]]：AWS 原生监控服务，Grafana 集成的数据源之一
+- [[AWS EKS]]：Amazon Elastic Kubernetes Service，视频所属的云学习主题
+- [[Micro Focus OpsBridge]]：当前企业监控平台，计划被 Grafana 替换
+
+## Connections
+- [[Grafana]] ← integrates ← [[AWS CloudWatch]]
+- [[Grafana]] ← integrates ← [[Prometheus]]
+- [[Grafana]] ← provisions_with ← [[Terraform]]
+- [[Grafana]] ← accesses_via ← [[IAM Role]]
+- [[CTP Topic 42]] ← part_of ← [[Public Cloud Learning Sessions]]
+
+## Contradictions
+- 与 [[TikTok Shop - Apache Superset Dashboard设计思路]] 冲突：
+  - 冲突点：数据可视化工具选择
+  - 当前观点：Grafana 用于基础设施和应用监控
+  - 对方观点：Apache Superset 用于电商业务数据可视化

wiki/sources/ctp-topic-5-aws-identity-and-access-management-iam.md

@@ -0,0 +1,56 @@
+---
+title: "CTP Topic 5 - AWS Identity and Access Management (IAM)"
+type: source
+tags: [AWS, IAM, Security, CTP, cloud-learning]
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/02_IAM/ctp-topic-5-aws-identity-and-access-management-iam.md]]
+
+## Summary
+- 核心主题：AWS IAM 用户、组、角色和策略的管理，以及通过 CLI 和联合访问 AWS 的方式
+- 问题域：Landing Zone 账号访问控制、联邦认证、权限管理
+- 方法/机制：IAM 用户（服务账号）、联合访问（AD 组映射角色）、角色与策略、Terraform 模块定义
+- 结论/价值：联邦访问是用户管理的首选方式，角色和策略是权限管理的核心，遵循最小权限原则
+
+## Key Claims
+- 联合访问是用户管理的首选方法，IAM 用户仅用于服务账号
+- 角色不执行操作，而是将"谁"和"能做什么"关联在一起
+- 策略定义允许或拒绝的具体操作和资源
+- 最小权限原则是 IAM 策略设计的核心指导原则
+
+## Key Quotes
+> "Roles don't enable actions; they tie together who can do something and what they can do." — IAM 角色核心概念
+
+> "We only want to allow the access that is strictly required." — 最小权限原则
+
+> "Federated users log in via their organization's AD, which maps to an IAM role." — 联合访问流程
+
+## Key Concepts
+- [[IAM]]: AWS 身份和访问管理服务
+- [[IAM-用户]]: IAM 身份，主要用于服务账号而非人员
+- [[IAM-组]]: IAM 组的概念在联合用户管理中较少使用
+- [[IAM-角色]]: 将主体与权限关联的 IAM 身份，可由服务或用户 assum
+- [[IAM-策略]]: 定义允许或拒绝操作的文档
+- [[联合访问]]: 通过 AD 组映射 IAM 角色的用户访问方式
+- [[PFSSO]]: 命令行联合访问工具
+- [[最小权限原则]]: 只授予完成任务所需的最小权限
+- [[内联策略]]: 绑定到特定角色的策略，可重用
+- [[托管策略]]: 可跨角色重用的 AWS 管理策略
+- [[Landing-Zone]]: AWS 多账号架构的基础环境
+- [[accounts-json]]: Landing Zone 根目录下的账号列表文件
+
+## Key Entities
+- [[AWS]]: 全球最大公有云平台，提供 IAM 服务
+- [[Active-Directory]]: Microsoft 目录服务，用于联合用户身份验证
+- [[Gruntwork]]: Landing Zone 框架提供商
+
+## Connections
+- [[AD]] ← maps_to_role ← [[IAM-角色]]
+- [[IAM-角色]] ← contains ← [[IAM-策略]]
+- [[联合访问]] ← requires ← [[PFSSO]]
+- [[Landing-Zone]] ← has ← [[accounts-json]]
+
+## Contradictions
+- （暂无记录）

wiki/sources/ctp-topic-54-esm-saas-log-analytics.md

@@ -0,0 +1,60 @@
+---
+title: "CTP Topic 54 ESM SaaS Log Analytics"
+type: source
+tags: [Log-Analytics, SaaS, ESM, CTP, EKS]
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-54-esm-saas-log-analytics.md]]
+
+## Summary
+- 核心主题：ESM（Enterprise Service Management）SaaS Log Analytics（日志分析）架构与实践
+- 问题域：云环境日志采集、存储、分析和可视化
+- 方法/机制：ELK Stack（Elasticsearch、Logstash、Kibana）/OpenSearch 架构，BEATS 代理采集，VPC 间私有流量传输，TLS 1.2 加密，RBAC 访问控制
+- 结论/价值：Log Analytics 是云运维可观测性的核心组件，不同解决方案（Logz.io、AWS OpenSearch、自托管 ELK、Microfocus OBA）在成本、管理复杂度和功能上有显著差异
+
+## Key Claims
+- ELK Stack 是日志分析的标准开源方案，由 Elasticsearch（存储搜索）、Logstash（处理转换）和 Kibana（可视化）组成
+- 应用通过 BEATS 代理（Filebeat、Metricbeat 等）采集日志，Filebeat 作为容器持续将日志从应用 VPC 发送到日志 VPC
+- OpenSearch 是 AWS 的 ELK 开源替代方案，提供托管服务
+- 出于 GDPR 合规要求，日志农场按区域split（Oregon 美国、Europe 欧洲）
+- 静态加密使用加密节点和 NVMe 设备硬件级加密，传输加密使用 TLS 1.2
+- VPC 间流量走私有网络，不经过公网
+- 成本对比（单农场、14天保留、每日 100GB）：Logz.io 约 $4,000/月，AWS OpenSearch 约 $1,500/月，自托管成本最低但维护量大
+- 可用性 SLA：Logz.io 99.8%，AWS OpenSearch 99.9%
+
+## Key Quotes
+> "The application collects your log, it's called the BEATS." — Jackie, ITOM ESM SAS architect
+
+> "Due to legal reasons like GDPR, farms are split regionally, with farms in Oregon, the US, and Europe." — 区域合规要求
+
+> "We have already built up all the farms." — 实施状态
+
+## Key Concepts
+- [[ELK Stack]]：Elasticsearch + Logstash + Kibana 开源日志分析技术栈
+- [[OpenSearch]]：AWS 的 ELK 开源分支，托管日志分析服务
+- [[Logstash]]：日志处理管道，聚合和转换日志数据
+- [[Kibana]]：日志可视化前端
+- [[BEATS]]：Elastic 开发的轻量级数据采集器家族（Filebeat、Metricbeat、Heartbeat 等）
+- [[Filebeat]]：运行在容器中的日志文件采集代理
+- [[Redis]]：可选的消息队列缓冲，防止 Logstash 过载
+- [[RBAC]]：基于角色的访问控制
+- [[GDPR]]：欧盟通用数据保护条例，合规驱动区域部署
+- [[TLS 1.2]]：传输层安全协议版本
+- [[Log Analytics]]：日志分析，日志数据的采集、存储、搜索和可视化
+
+## Key Entities
+- [[Jackie]]：ITOM ESM SAS architect，演讲者
+
+## Connections
+- [[ELK Stack]] ← depends_on ← [[BEATS]]
+- [[ELK Stack]] ← depends_on ← [[Logstash]]
+- [[ELK Stack]] ← depends_on ← [[Elasticsearch]]
+- [[ELK Stack]] ← depends_on ← [[Kibana]]
+- [[OpenSearch]] ← extends ← [[ELK Stack]]
+- [[Logstash]] ← uses_buffer ← [[Redis]]
+- [[Log Analytics]] ← implements ← [[Observability-Engineering]]
+
+## Contradictions
+- （暂无）

wiki/sources/ctp-topic-59-achieving-reliability-with-amazon-eks.md

@@ -0,0 +1,57 @@
+---
+title: "CTP Topic 59 Achieving reliability with Amazon EKS"
+type: source
+tags: [AWS, EKS, Kubernetes, Reliability, CTP]
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-59-achieving-reliability-with-amazon-eks.md]]
+
+## Summary
+- 核心主题：Amazon EKS 可靠性实践，涵盖容器服务选型、共享责任模型、三层可靠性设计
+- 问题域：如何在 EKS 上构建高可靠性 Kubernetes 集群
+- 方法/机制：应用可靠性（Pod 分布、HPA、VPA、探针）、控制平面可靠性（监控、认证、集群升级）、数据平面可靠性（节点检测、资源预留、QoS）
+- 结论/价值：EKS 可靠性需要从应用层、控制层、数据层全面考虑，AWS 与客户按共享责任模型分工
+
+## Key Claims
+- ECS 适合容器入门用户，EKS 适合熟悉 Kubernetes 生态的用户
+- 可靠性是指系统在故障发生时仍能提供可预测行为
+- AWS 负责管理控制平面（API Server、etcd、Scheduler、Controller Manager），客户负责数据平面（Worker Node、OS、应用配置）
+- Fargate 模式下客户无需管理节点和补丁升级
+- 应用可靠性通过 Pod 反亲和性、拓扑分布约束、HPA/VPA、探针、Pod 中断预算实现
+- 控制平面可靠性通过监控控制平面指标、安全认证、精心配置的 webhook、集群升级实现
+- 数据平面可靠性通过节点问题检测器、系统资源预留、QoS 资源配额实现
+
+## Key Quotes
+> "Reliability in a system means it offers predictable behavior even when failures occur." — Surav Paul
+
+> "ECS is a more AWS opinionated way of running containers." — Surav Paul
+
+> "With Fargate, you don't have to worry about managing the nodes or worrying about patching or upgrading the nodes." — Surav Paul
+
+## Key Concepts
+- [[EKS 可靠性]]：系统在故障发生时仍提供可预测行为
+- [[共享责任模型]]：AWS 管理控制平面，客户负责数据平面和应用
+- [[Pod 反亲和性]]：避免 Pod 部署在同一节点或可用区
+- [[拓扑分布约束]]：细粒度控制 Pod 在可用区间的分布
+- [[HPA]]：Horizontal Pod Autoscaler，根据 CPU/内存自动扩展 Pod
+- [[VPA]]：Vertical Pod Autoscaler，自动调整 Pod 资源请求
+- [[探针]]：Liveness、Readiness、Startup 探针用于 Pod 健康检测
+- [[Pod 中断预算]]：确保维护期间仍提供最低服务水平
+
+## Key Entities
+- [[Surav Paul]]：AWS 高级解决方案架构师，本主题演讲人
+- [[AWS]]：公有云平台，提供 EKS 服务
+- [[EKS]]：Elastic Kubernetes Service，AWS 托管 Kubernetes 服务
+- [[ECS]]：Elastic Container Service，AWS 容器服务
+- [[Fargate]]：AWS 无服务器容器运行环境
+
+## Connections
+- [[EKS]] ← 使用 [[共享责任模型]] ← [[AWS]]
+- [[Surav Paul]] ← 演讲 [[CTP Topic 59 Achieving reliability with Amazon EKS]]
+- [[CTP Topic 59 Achieving reliability with Amazon EKS]] ← 依赖 [[EKS]]
+- [[CTP Topic 70 EKS Deployment using IAC]] ← 关联主题
+
+## Contradictions
+- （暂无）

wiki/sources/ctp-topic-60-monitor-aws-using-hyperscale-observability-with-grafana.md

@@ -0,0 +1,47 @@
+---
+title: "CTP Topic 60 Monitor AWS using Hyperscale Observability with Grafana"
+type: source
+tags: [AWS, Grafana, Observability, Hyperscale, CTP, monitoring]
+sources: []
+last_updated: 2026-04-19
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-60-monitor-aws-using-hyperscale-observability-with-grafana.md]]
+
+## Summary
+- 核心主题：AWS 云监控与 Grafana 可观测性平台集成
+- 问题域：企业级 AWS 云监控解决方案
+- 方法/机制：Hyperscale Observability 架构，Grafana 与多数据源集成，Dashboard-as-Code，Terraform 模块自动化 provisioning
+- 结论/价值：通过 Grafana Enterprise  License 实现全面的云资源监控、事件跟踪和告警集成
+
+## Key Claims
+- Grafana 与多种数据源集成实现统一的监控可视化
+- 通过 Terraform 模块为产品团队自动创建 Grafana 组织、用户、文件夹、IAM 角色和仪表板
+- Optic DR 是将数据拉入 Grafana 仪表板的关键内部监控解决方案
+- Grafana 告警系统灵活配置，可转发到 OpsBridge 创建事件
+- 实例监控帮助识别资源利用情况，资源标签分类实现有效管理
+
+## Key Quotes
+> "The product team can consume the modules by using sample telegram HCL file" — Terraform 模块的自服务消费方式
+
+> "Default dashboards are provided for accounts onboarded to code" — 账户 onboarding 后自动提供默认仪表板
+
+## Key Concepts
+- [[Grafana]]：可观测性数据可视化平台
+- [[Observability-Engineering]]：可观测性工程
+- [[Dashboard-as-Code]]：通过代码管理 Grafana 仪表板的实践
+- [[Hyperscale-Monitoring]]：超大规模监控能力
+
+## Key Entities
+- [[Grafana]]：开源可视化监控平台
+- [[Prometheus]]：指标数据源
+- [[Loki]]：日志数据源
+
+## Connections
+- [[Grafana]] ← 集成 ← [[Prometheus]]
+- [[Grafana]] ← 集成 ← [[Loki]]
+- [[Observability-Engineering]] ← 核心框架 ← [[Hyperscale-Monitoring]]
+
+## Contradictions
+- （暂无）

wiki/sources/ctp-topic-62-aws-secrets-manager.md

@@ -0,0 +1,58 @@
+---
+title: "CTP Topic 62 AWS Secrets Manager"
+type: source
+tags:
+  - AWS
+  - Secrets-Manager
+  - Security
+  - CTP
+  - Cloud-Learning
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-62-aws-secrets-manager.md]]
+
+## Summary
+- 核心主题：AWS Secrets Manager 在企业云环境中的实施与最佳实践
+- 问题域：敏感信息（密码、API密钥）管理、安全集中化、密钥轮换
+- 方法/机制：AWS Secrets Manager 集中化管理、分阶段实施（集中→自动化获取→轮换）、Lambda 函数实现数据库密码轮换、JDBC Wrapper 无密码登录
+- 结论/价值：AWS Secrets Manager 是 HashiCorp Vault 的成本效益替代方案，通过分阶段方法实现开发人员无需直接访问敏感信息
+
+## Key Claims
+- AWS Secrets Manager 易于实施且成本效益优于 HashiCorp Vault
+- 分阶段实施方法：集中化敏感信息→调整自动化获取→启动密钥轮换
+- 开发人员实际上不需要直接访问敏感信息
+- Control Tower 堆栈重新设计确保所有堆栈使用相同的密钥
+- AWS Secrets Manager 不需要客户端（与 HashiCorp Vault 对比）
+
+## Key Quotes
+> "AWS Secrets Manager is easy and simple to implement." — 演讲者
+> "With that idea, developers actually do not need to have direct access to their Secrets." — 标准文档核心理念
+
+## Key Concepts
+- [[AWS Secrets Manager]]：AWS 云原生敏感信息管理服务
+- [[Secret Rotation]]：密钥轮换，自动更新存储的敏感信息
+- [[JDBC Wrapper]]：使用 AWS SDK 从 Secrets Manager 检索密钥的 JDBC 包装器
+- [[Control Tower]]：AWS Control Tower 用于设置安全的多账号 AWS 环境
+- [[HashiCorp Vault]]：企业级敏感信息管理工具（对比方案）
+- [[Lambda Rotation]]：使用 Lambda 函数执行数据库密码轮换
+
+## Key Entities
+- [[Nurit]]：演讲者之一
+- [[Daniel]]：演讲者之一，分享实施机会
+- [[Victor]]：演示无密码 Oracle 数据库登录
+- [[SendGrid]]：集中邮件服务的密钥轮换目标
+- [[Oracle Database]]：通过 Lambda 实现密码轮换的数据库
+
+## Connections
+- [[AWS Secrets Manager]] ← cost_effective_alternative ← [[HashiCorp Vault]]
+- [[CTP]] ← uses ← [[AWS Secrets Manager]]
+- [[Control Tower]] ← secured_by ← [[AWS Secrets Manager]]
+- [[Oracle Database]] ← rotates_password_via ← [[Lambda Rotation]]
+
+## Contradictions
+- 与 HashiCorp Vault 对比：
+  - 冲突点：选择哪个敏感信息管理平台
+  - 当前观点：AWS Secrets Manager 成本效益更优，无需客户端
+  - 对方观点：HashiCorp Vault 功能更全面，适合复杂企业需求

wiki/sources/ctp-topic-64-scaling-out-with-amazon-eks.md

@@ -0,0 +1,51 @@
+---
+title: "CTP Topic 64 Scaling out with Amazon EKS"
+type: source
+tags: [AWS, EKS, Kubernetes, Scaling, CTP]
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-64-scaling-out-with-amazon-eks.md]]
+
+## Summary
+- 核心主题：Amazon EKS 水平扩展与垂直扩展机制
+- 问题域：EKS 集群扩容、应用伸缩、IP 地址管理
+- 方法/机制：HPA（水平 Pod 自动扩缩容）、KEDA（事件驱动扩缩容）、Karpenter/C Cluster Autoscaler（容量扩缩容）、IPv6 解决 IP 耗尽
+- 结论/价值：多维度扩展策略保障 EKS 工作负载稳定性和成本效率
+
+## Key Claims
+- HPA 是 Kubernetes 标准应用工作负载扩缩容机制，基于 CPU/内存指标计算副本数，支持自定义和外部指标
+- KEDA 支持基于外部事件的扩缩容，可从零副本启动，发布指标供 HPA 使用
+- Cluster Autoscaler 绑定 ASG（自动扩缩组），基于待调度 Pod 数量调整容量，考虑 CPU 和内存请求
+- Karpenter 是开源原生容量扩缩器，直接与 EC2 API 交互，支持动态按需供给，不依赖预配置节点组
+- IPv6 双栈 VPC 可解决 IP 耗尽问题，节点支持双栈 IP，Pod 仅需 IPv6 地址
+
+## Key Quotes
+> "The horizontal pod autoscaler is going to pull the metrics and it is going to calculate how many replicas are required for your application workload."
+> "The scaling decision that is made by the cluster auto scaler, it is done on the number of pending pods in the cluster."
+
+## Key Concepts
+- [[HPA]]：Horizontal Pod Autoscaler，Kubernetes 水平 Pod 自动扩缩容器
+- [[KEDA]]：Kubernetes Event-driven Autoscaling，事件驱动扩缩容框架
+- [[Karpenter]]：AWS 开源原生容量扩缩器，直接与 EC2 API 交互
+- [[Cluster Autoscaler]]：绑定 ASG 的 Kubernetes 容量扩缩器
+- [[IPv6 Networking]]：IPv6 网络解决 VPC IP 耗尽
+
+## Key Entities
+- [[Suravpul]]：AWS 高级解决方案架构师，本次演讲嘉宾
+- [[AWS]]：Amazon Web Services，云服务提供商
+- [[EKS]]：Amazon Elastic Kubernetes Service，AWS 托管 Kubernetes 服务
+
+## Connections
+- [[HPA]] ← uses ← [[Metrics Server]]
+- [[KEDA]] ← integrates_with ← [[HPA]]
+- [[Cluster Autoscaler]] ← depends_on ← [[ASG]]
+- [[Karpenter]] ← replaces ← [[Cluster Autoscaler]]
+- [[IPv6 Networking]] ← resolves ← [[IP Exhaustion]]
+
+## Contradictions
+- 与 [[ctp-topic-59-achieving-reliability-with-amazon-eks]] 冲突：
+  - 冲突点：EKS 扩展策略侧重点
+  - 当前观点：本视频聚焦水平扩展机制（HPA、KEDA、容量扩缩器）
+  - 对方观点：前视频聚焦可靠性保障机制

wiki/sources/ctp-topic-67-cloud-native-observability-using-opentelemetry.md

@@ -0,0 +1,50 @@
+---
+title: "CTP Topic 67 Cloud Native Observability Using OpenTelemetry"
+type: source
+tags: [OpenTelemetry, Observability, Cloud-Native, EKS, AWS, CTP]
+sources: []
+last_updated: 2026-04-19
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-67-cloud-native-observability-using-opentelemetry.md]]
+
+## Summary
+- 核心主题：在 Amazon EKS 上实现云原生可观测性，基于 AWS 提供的 OpenTelemetry 实践课程
+- 问题域：云原生应用的可观测性实现，包括 Metrics、Logs、Traces 三大信号
+- 方法/机制：AWS Distro for OpenTelemetry (ADOT) 统一采集代理，支持多种部署模式
+- 结论/价值：提供厂商中立的标准化可观测性方案，降低多工具集成复杂度
+
+## Key Claims
+- 可观测性是管理复杂系统的关键能力，构建可观测应用是开发者的责任
+- 三大信号（Traces、Metrics、Logs）支持响应式和主动式故障排查
+- ADOT 是经过安全加固的生产级方案，包含 AWS 自研组件和问题支持
+- OpenTelemetry 提供厂商中立的仪器化库，简化代码 instrumentation
+- ADOT 支持 sidecar、separate task、daemonset、high-availability replicas 等多种部署模式
+
+## Key Quotes
+> "Observability is essential for managing complexity as systems evolve." — Surav, AWS
+> "Building observable applications is a developer responsibility." — Surav, AWS
+
+## Key Concepts
+- [[OpenTelemetry]]：厂商中立的遥测数据采集框架，提供统一数据格式和 11 种语言 SDK
+- [[ADOT]]：AWS Distro for OpenTelemetry，经过安全加固的生产级发行版
+- [[OpenTelemetry Collector]]：使用 receivers、processors、exporters 管理信号
+- [[Trace]]：捕获应用调用栈中各层的处理时间
+- [[Metrics]]：从应用层和基础设施层收集的量化指标
+- [[Logs]]：应用运行日志，通过关联 ID 实现跨信号关联
+
+## Key Entities
+- [[AWS]]：云服务提供商， 提供 EKS、CloudWatch、X-Ray 等可观测性服务
+- [[Amazon EKS]]：AWS 弹性 Kubernetes 服务
+
+## Connections
+- [[OpenTelemetry]] ← is_basis_for ← [[ADOT]]
+- [[ADOT]] ← deployed_on ← [[Amazon EKS]]
+- [[ADOT]] ← integrates_with ← [[CloudWatch]]
+- [[ADOT]] ← integrates_with ← [[X-Ray]]
+
+## Contradictions
+- 与 AWS CloudWatch/X-Ray 原生方案对比：
+  - 原生方案：集成简单但供应商锁定
+  - OpenTelemetry：标准化的 vendor-agnostic 方案，可灵活切换后端

wiki/sources/ctp-topic-70-eks-deployment-using-iac.md

@@ -0,0 +1,58 @@
+---
+title: "CTP Topic 70 EKS Deployment using IAC"
+type: source
+tags:
+  - AWS
+  - EKS
+  - IaC
+  - Kubernetes
+  - CTP
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-70-eks-deployment-using-iac.md]]
+
+## Summary
+- 核心主题：通过基础设施即代码（IaC）方式部署 EKS 集群
+- 问题域：EKS 集群部署方式、容器与虚拟机对比、自定义网络和自动扩展
+- 方法/机制：使用 Terraform 和 Service Catalog 两种 IaC 方式部署 EKS，ALB Ingress Controller 流量管理，EMI 自定义网络解决 CIDR 限制，Kubernetes Cluster Autoscaler 自动扩展
+- 结论/价值：EKS 提供完全托管的控制平面，支持零停机滚动部署和 IAM RBAC 最小权限访问
+
+## Key Claims
+- EKS 是 AWS 提供的托管 Kubernetes 服务，具备完全托管的控制平面和工作节点自动扩展
+- 容器相比虚拟机具有更快的启动时间、内存效率和可移植性优势
+- 零停机滚动部署用于工作节点更新，IAM RBAC 映射实现最小权限访问
+- 自定义网络（EMI）解决 Pod 的 CIDR 限制问题
+
+## Key Quotes
+> "EKS, a managed Kubernetes service by Amazon, offers features like fully managed control planes and autoscaling worker nodes."
+
+> "The discussion begins with the differences between VMs and containers, highlighting the benefits of containers such as reduced boot time, memory efficiency, and portability."
+
+## Key Concepts
+- [[Infrastructure as Code (IaC)]]：通过代码方式定义和管理基础设施
+- [[Kubernetes]]：用于弹性运行分布式系统的框架，支持自动化部署、回滚、负载均衡和 Pod 水平扩展
+- [[EKS]]：Amazon EKS，AWS 的托管 Kubernetes 服务
+- [[Terraform]]：HashiCorp 的 IaC 工具，用于定义 EKS 集群配置
+- [[Service Catalog]]：AWS 服务目录，用于创建和管理 EKS 集群
+- [[Cluster Autoscaler]]：Kubernetes 自动扩展器，根据资源需求自动扩展工作节点
+- [[ALB Ingress Controller]]：AWS 负载均衡器入口控制器，用于流量管理
+- [[CloudWatch]]：AWS 监控服务，结合 FluentBit 和 Container Insights 实现容器监控
+- [[FluentBit]]：日志转发器，以 DaemonSet 形式部署到 EKS 集群
+- [[Grafana]]：开源可视化平台，用于监控指标展示
+
+## Key Entities
+- [[AWS]]：公有云平台，提供 EKS 服务
+- [[Terraform]]：IaC 工具供应商
+- [[Kubernetes]]：CNCF 开发的容器编排平台
+
+## Connections
+- [[Infrastructure as Code (IaC)]] ← implements ← [[EKS]]
+- [[EKS]] ← manages ← [[Kubernetes]]
+- [[Cluster Autoscaler]] → scales → [[EKS Worker Nodes]]
+- [[ALB Ingress Controller]] → routes → [[EKS Services]]
+- [[CloudWatch]] ← monitors ← [[EKS Cluster]]
+
+## Contradictions
+- （暂无）

wiki/sources/ctp-topic-8-implementation-of-cloud-monitoring-using-micro-focus-operations-bridge.md

@@ -0,0 +1,56 @@
+---
+title: "CTP Topic 8 Implementation of Cloud monitoring using Micro Focus Operations Bridge"
+type: source
+tags: [cloud-learning, AWS, monitoring, OBM, CTP]
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/ctp-topic-8-implementation-of-cloud-monitoring-using-micro-focus-operations-brid.md]]
+
+## Summary
+- 核心主题：使用 Micro Focus Operations Bridge Manager (OBM) 实现 AWS 云监控
+- 问题域：云环境监控能力补全，替代传统 Sitescope 方案
+- 方法/机制：OBM Management Packs + IAM Role-based Access + CloudWatch API 集成
+- 结论/价值：实现动态云监控，无需在客户账户安装服务器
+
+## Key Claims
+- OBM 提供比 Sitescope 更灵活的动态监控能力
+- 通过 IAM Role 实现跨账户 CloudWatch 数据收集，无需共享 Access Key
+- Management Packs 定义监控策略，支持新实例自动部署监控
+- OBM 可监控任何公有云供应商（AWS、Azure、GCP）的 CloudWatch 指标
+
+## Key Quotes
+> "The agent uses role-based access to collect data from CloudWatch API, eliminating the need to install servers in customer accounts and share sensitive access keys."
+
+> "Whenever new instances are added, policies are automatically deployed, and monitoring begins, offering dynamic monitoring capabilities."
+
+## Key Concepts
+- [[Operations Bridge Manager (OBM)]]：Micro Focus 云监控解决方案
+- [[Management Packs]]：OBM 管理包，定义监控策略和指标
+- [[Role-based Access]]：基于 IAM 角色的跨账户访问
+- [[CloudWatch API]]：AWS 监控数据接口
+
+## Key Entities
+- [[Micro Focus]]：企业软件公司，OBM 产品提供商
+- [[AWS]]：公有云平台
+- [[CloudWatch]]：AWS 监控和可观测性服务
+
+## Connections
+- [[Operations Bridge Manager (OBM)]] ← replaces ← [[Sitescope]]
+- [[Operations Bridge Manager (OBM)]] ← integrates_with ← [[CloudWatch]]
+- [[Operations Bridge Manager (OBM)]] ← uses ← [[IAM Role]]
+
+## Architecture
+```
+Regional OBM (AWS Account)
+    ├── OBM Application
+    ├── Postgres RDS
+    └── Operation Agent
+        ├── IAM Role (Cross-account access)
+        ├── Management Packs (AWS Mgmt Pack)
+        └── CloudWatch API (Data Collection)
+            ↓
+On-premise Global OBM
+    └── SMACKS Ticket (Event Escalation)
+```

wiki/sources/how-to-simplify-multi-account-deployments-monitoring-centralized-logs-for-aws-cloudformation-stacksets.md

@@ -1,5 +1,5 @@
 ---
-title: How to Simplify Multi-Account Deployments Monitoring: Centralized Logs for AWS CloudFormation StackSets
+title: How to Simplify Multi-Account Deployments Monitoring:Centralized Logs for AWS CloudFormation StackSets
 type: source
 tags: [aws, cloudformation, stacksets, multi-account, centralized-logging, eventbridge, cloudwatch]
 date: 2025-10-25

wiki/sources/jiao-xue-chatgpt-xian-zuo-zhi-shi-zheng-li-zai-rang-canva-gamma-ai-shu-chu-jian-bao.md

@@ -1,7 +1,7 @@
 ---
 title: "教學 ChatGPT 先做知識整理，再讓 Canva、 Gamma AI 輸出簡報"
 type: source
-tags: []
+tags: [AI简报, 工作流]
 date: 2025-10-26
 sources:
 - https://www.playpcesor.com/2025/10/chatgpt-canva-gamma-ai.html

wiki/sources/learning-sessions-identity-governance-vsm-replacement-20231128-160326-meeting-re.md

@@ -0,0 +1,57 @@
+---
+title: "Learning Sessions Identity Governance VSM Replacement 20231128 160326 Meeting Recording"
+type: source
+tags:
+  - Identity-Governance
+  - VSM
+  - CTP
+  - IAM
+  - IGA
+date: 2023-11-28
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/02_IAM/learning-sessions-identity-governance-vsm-replacement-20231128-160326-meeting-re.md]]
+
+## Summary
+- 核心主题：Identity Governance（身份治理）以及用其替换 VSM（Virtual Service Manager）的计划
+- 问题域：IT 身份管理、访问控制、权限自动化
+- 方法/机制：使用 Micro Focus IGA（Identity Governance and Administration）通过工作流自动化访问审批和撤销
+- 结论/价值：实现内部和外部用户（包括合同工）的访问管理，支持时间限制访问，强化安全合规
+
+## Key Claims
+- 身份治理框架用于高效管理数字身份、最大限度地降低风险并保持合规性
+- IGA 与 AWS Identity Center 集成，通过 IAM 提供资源访问
+- 计划用 IGA 替换所有账户的 VSM，采用相同架构但 IGA 连接到 Coptum 域
+- 访问请求通过审批流程，批准后自动授予访问权限
+
+## Key Quotes
+> "Identity governance is a framework for managing digital identities efficiently, minimizing risk, and maintaining compliance." — 会议核心定义
+
+> "Key questions addressed by identity governance: who currently has access to our systems, who should have access, and how is the access being done?" — 身份治理的核心问题
+
+> "IG is used to provide access to both internal and external users, including contractors, with time-limited access." — IGA 的适用范围
+
+## Key Concepts
+- [[Identity-Governance]]：管理数字身份、降低风险并保持合规的框架
+- [[VSM]]：Virtual Service Manager，DXC 工具，正在被 IGA 替换
+- [[IGA]]：Identity Governance and Administration，身份治理与管理解决方案
+- [[IGA-Portal]]：IGA 的用户门户，用于搜索资源、请求访问、填写表单
+- [[Active-Directory-Group]]：AD 组代表角色，IGA -governs 访问这些组
+- [[AWS-Identity-Center]]：AWS 身份中心，与 IGA 集成提供资源访问
+
+## Key Entities
+- [[Micro-Focus]]：提供 IGA（Identity Governance and Administration）产品的公司
+- [[OpenText]]：举办本次 Learning Session 的公司
+- [[AWS-Identity-Center]]：AWS 身份认证和访问管理服务
+
+## Connections
+- [[IGA]] ← provides_access ← [[AWS-Identity-Center]]
+- [[Active-Directory-Group]] ← governs ← [[IGA-Portal]]
+- [[VSM]] ← replaced_by → [[IGA]]
+
+## Contradictions
+- 与 [[VSM]] 旧架构冲突：
+  - 冲突点：VSM 使用旧的身份管理方式，IGA 提供更自动化的访问控制
+  - 当前观点：通过 IGA 实现自动化工作流和审计
+  - 对方观点：VSM 作为 DXC 传统工具仍被部分系统使用

wiki/sources/nano-banana-pro-prompting-guide-strategies-1.md

@@ -28,6 +28,8 @@ date: 2025-12-19
 - [[身份锁定 (Identity Locking)]]：通过参考图像保持特定人物或角色在生成新场景时面部特征不变的技术
 - [[思维模式 (Thinking Mode)]]：Nano-Banana Pro 默认生成中间思考图像（不收费）来优化构图后再渲染最终输出
 - [[Google Search Grounding]]：利用 Google 搜索实现实时数据可视化，减少时效性话题的幻觉
+- [[图像修补 (In-painting)]]：通过语义指令移除或添加对象，无需手动遮罩
+- [[维度转换]]：2D 与 3D 之间的相互转换，适用于室内设计、建筑、表情包创作
 
 ## Key Entities
 - [[Google]]：开发 Nano-Banana Pro 的公司
@@ -37,6 +39,25 @@ date: 2025-12-19
 - [[Nano Banana Pro]] ← extends ← [[图像生成模型]]
 - [[Google AI Studio]] ← provides_interface ← [[Nano Banana Pro]]
 - [[提示语设计]] ← applies_to ← [[Nano Banana Pro]]
+- [[身份锁定 (Identity Locking)]] ← enables ← [[角色一致性]]
 
 ## Contradictions
 - （暂无冲突）
+
+## 10大核心能力
+1. **文本渲染与信息图表**：SOTA 级别的文本渲染能力，支持风格化文字和复杂信息可视化
+2. **角色一致性与病毒式缩略图**：支持14张参考图像，实现身份锁定
+3. **Google Search 锚定**：基于实时数据的图像生成，减少幻觉
+4. **高级编辑、修复与着色**：语义化指令进行图像处理
+5. **维度转换 (2D ↔ 3D)**：平面图转3D可视化或反之
+6. **高分辨率与纹理**：原生支持1K-4K分辨率输出
+7. **思考与推理**：通过中间思考图像优化构图
+8. **单次故事板与概念艺术**：生成连续艺术或故事板
+9. **结构控制与布局引导**：通过草图、线框图控制最终输出
+10. **后续发展**：UI 实验、App Gallery、AI Studio Build
+
+## 4条黄金法则
+1. **编辑而非重新生成**：图像80%正确时不重新生成，通过对话修改
+2. **使用自然语言与完整句子**：像 briefing 人类艺术家一样描述
+3. **具体且具描述性**：定义主体、材质、纹理、环境、光线、情绪
+4. **提供上下文**：告诉模型"为什么"或"为谁"创作

wiki/sources/public-cloud-learning-sessions-aws-end-user-compute-services-20240430.md

@@ -0,0 +1,55 @@
+---
+title: "Public Cloud Learning Sessions - AWS End User Compute Services - 20240430"
+type: source
+tags:
+  - AWS
+  - End-User-Computing
+  - Workspaces
+  - AppStream
+date: 2024-04-30
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/10_OpenText-Series/public-cloud-learning-sessions-aws-end-user-compute-services-20240430-160120-mee.md]]
+
+## Summary
+- 核心主题：AWS 终端用户计算（EUC）服务介绍，涵盖虚拟桌面和应用流
+- 问题域：远程办公、混合工作模式下的终端用户计算解决方案
+- 方法/机制：AWS Workspaces（完全持久化虚拟桌面）、AppStream 2.0（非持久化应用流）、Workspace Core（通过 API 访问 VDI 基础设施）、Workspace Web（低成本安全浏览器）
+- 结论/价值：帮助组织根据用例选择合适的 AWS EUC 服务，平衡持久化需求、成本和安全要求
+
+## Key Claims
+- AWS Workspaces 提供完全持久化虚拟桌面，用户数据和设置在会话之间保留
+- AppStream 2.0 提供非持久化桌面，适合实验室、培训和临时访问场景
+- Workspace Web 是访问内部网站和 SaaS 应用的低成本安全解决方案
+- 虚拟桌面选择应基于用户类型（知识工作者 vs 任务工作者）和使用场景
+
+## Key Quotes
+- "With so many remote workers organizations are struggling to protect endpoints, as well as their IP and data from bad actors." — Christian O'Donough (AWS)，阐述远程工作安全挑战
+- "AppStream 2.0 is a great low cost alternative for customers that don't require a fully persistent desktop." — AWS EUC 服务选型建议
+
+## Key Concepts
+- [[VDI]]：Virtual Desktop Infrastructure，虚拟桌面基础设施，通过远程桌面协议提供虚拟计算环境
+- [[WSP-Protocol]]：Workspaces 流协议，专为高延迟网络设计
+- [[SAML]]：安全断言标记语言，用于单点登录和多因素认证
+- [[BYOD]]：Bring Your Own Device，自带设备，组织需要保护企业数据的同时允许个人设备访问
+- [[持久化桌面]]：每个用户独享虚拟机实例，应用状态和设置在会话间保持
+- [[非持久化桌面]]：每次登录分配新桌面，适合共享资源场景
+
+## Key Entities
+- [[AWS]]：云服务提供商，提供 Workspaces 和 AppStream 2.0 等 EUC 服务
+- [[Christian-ODonough]]：AWS 演讲者，负责本次 EUC 服务介绍
+- [[OpenText]]：本次学习会议的主办方，Cloud Transformation Program 的一部分
+
+## Connections
+- [[AWS]] ← provides ← [[AWS-Workspaces]]
+- [[AWS]] ← provides ← [[AppStream-2.0]]
+- [[AWS-Workspaces]] ← depends_on ← [[Active-Directory]]
+- [[AppStream-2.0]] ← uses ← [[SAML]]
+- [[VDI]] ← enables ← [[BYOD]]
+
+## Contradictions
+- 与传统VDI解决方案（如VMware Horizon、Citrix）相比：
+  - AWS Workspaces 是托管服务，无需管理底层基础设施
+  - Workspace Core 允许使用第三方 VDI 解决方案，保留现有投资
+  - 需要根据现有基础设施成熟度和运维能力进行选择

wiki/sources/public-cloud-learning-sessions-eks-optimization-part-1-of-3-compute-optimization.md

@@ -0,0 +1,49 @@
+---
+title: "Public Cloud Learning Sessions - EKS Optimization Part 1 of 3 - Compute Optimization with Karpenter"
+type: source
+tags: [AWS, EKS, Karpenter, Cost-Optimization, Compute-Optimization]
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/public-cloud-learning-sessions-eks-optimization-part-1-of-3-compute-optimization.md]]
+
+## Summary
+- 核心主题：EKS 计算优化，使用 Karpenter 实现自动扩缩容
+- 问题域：Kubernetes 集群资源管理、成本优化
+- 方法/机制：Karpenter 替代传统 Cluster Autoscaler，直接与 EC2 Fleet API 通信，基于成本和利用率进行工作负载放置和整合
+- 结论/价值：简化数据平面管理，降低节点管理复杂度，实现更优的成本效率
+
+## Key Claims
+- Karpenter 与 Kubernetes workload scheduling constructs 原生集成
+- Karpenter 直接与 EC2 Fleet API 通信，降低延迟
+- Karpenter 提供工作负载放置和节点整合的原生体验
+- Karpenter 原生支持 Spot 中断处理，使用 EventBridge 和 SQS
+
+## Key Quotes
+> "Carpenter not only does the auto-scaling bit, but it also removes the pain points of working with node groups."
+
+> "Carpenter has native integration with Kubernetes and it complements the native Kubernetes spot pod scheduling constraints that is available for your workloads."
+
+## Key Concepts
+- [[Karpenter]]：开源 Kubernetes compute management tool，替代 Cluster Autoscaler
+- [[Node-Pools]]：定义调度约束和容量限制
+- [[Node-Classes]]：定义实例配置细节（子网、节点角色、AMI）
+- [[Spot-Interruption]]：Spot 实例中断处理
+- [[Consolidation-Policies]]：整合策略，控制成本优化行为
+
+## Key Entities
+- [[AWS]]：云服务提供商
+- [[EKS]]：Amazon Elastic Kubernetes Service
+- [[EC2-Fleet-API]]：AWS EC2 灵活计算实例 API
+- [[EventBridge]]：AWS 事件总线服务
+- [[SQS]]：AWS 简单队列服务
+
+## Connections
+- [[Karpenter]] ← extends ← [[Cluster-Autoscaler]]
+- [[Karpenter]] ← integrates_with ← [[EC2-Fleet-API]]
+- [[Karpenter]] ← uses ← [[EventBridge]]
+- [[EKS]] ← manages ← [[Karpenter]]
+
+## Contradictions
+- （暂无）

wiki/sources/public-cloud-learning-sessions-eks-optimization-part-2-of-3-running-containers-w.md

@@ -0,0 +1,51 @@
+---
+title: "Public Cloud Learning Sessions - EKS Optimization part 2 of 3 - Running Containers with Bottlerocket OS"
+type: source
+tags: [AWS, EKS, Bottlerocket, OS, DevOps]
+date: 2026-04-19
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/04_EKS/public-cloud-learning-sessions-eks-optimization-part-2-of-3-running-containers-w.md]]
+
+## Summary
+- 核心主题：Bottlerocket OS 运行容器化工作负载的优化
+- 问题域：EKS 容器运行时操作系统选择与配置
+- 方法/机制：Bottlerocket 最小化设计、安全更新机制、EKS 集成配置
+- 结论/价值：Bottlerocket 提供专为容器设计的精简、安全的操作系统，通过变体满足特定工作负载需求
+
+## Key Claims
+- Bottlerocket 是专为托管容器而设计的 Linux 操作系统，仅包含必要组件，与通用操作系统不同
+- Bottlerocket 无包管理器、无默认 shell 解释器、无默认 SSH 访问，仅包含必要的内核组件
+- Bottlerocket 使用变体机制满足 GPU 等特定工作负载需求
+- 安全更新通过原地更新和节点替换实现，使用 dm-verity 验证根文件系统
+- 根文件系统默认不可变，/etc 是临时文件系统，SELinux 默认强制启用
+- Bottlerocket 集成 EKS，支持自托管节点组、托管节点组和 Carpenter 节点池
+
+## Key Quotes
+> "Bottlerocket is a Linux-based operating system designed specifically for hosting containers, differing from general-purpose OSes by including only essential components."
+> "The root file system is by default immutable, you cannot change anything there."
+> "A variant is basically a combination of platform, supported platform, the processor architecture and the necessary binary components that are supported by the processor architecture and any additional packages and drivers that are required for your specific workloads."
+
+## Key Concepts
+- [[Bottlerocket OS]]：专为容器设计的最小化 Linux 操作系统
+- [[EKS]]：Amazon Elastic Kubernetes Service，AWS 托管 Kubernetes 服务
+- [[Bottlerocket Variant]]：Bottlerocket 变体，满足特定工作负载需求的配置组合
+- [[dm-verity]]：内核子系统，用于验证根文件系统完整性
+- [[CIS Benchmark]]：互联网安全中心安全配置基准
+
+## Key Entities
+- [[AWS]]：云计算服务提供商，Bottlerocket 核心维护者和赞助商
+- [[Bottlerocket]]：开源容器操作系统项目
+
+## Connections
+- [[Bottlerocket OS]] ← supports ← [[EKS]]
+- [[Bottlerocket OS]] ← maintained_by ← [[AWS]]
+- [[Bottlerocket OS]] ← uses ← [[Bottlerocket Variant]]
+- [[Bottlerocket Variant]] ← provides ← [[GPU Support]]
+
+## Contradictions
+- 与通用 Linux 发行版（如 Ubuntu、RHEL）对比：
+  - 冲突点：通用 OS 提供完整功能集，Bottlerocket 仅提供最小化组件
+  - 当前观点：Bottlerocket 更安全、更精简，适合容器化工作负载
+  - 对方观点：通用 OS 更灵活，有更广泛的社区支持和工具链