---
title: "CTP Topic 1 Gruntwork Landing Zone Architecture"
type: source
tags:
  - AWS
  - Landing-Zone
  - Gruntwork
  - CTP
  - DevOps
date: 2026-04-14
---

## Source File
- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-1-gruntwork-landing-zone-architecture.md]]

## Summary
- 核心主题：基于 Gruntwork 的 AWS Landing Zone 架构设计与实现
- 问题域：云转型项目的基础设施最佳实践
- 方法/机制：参考架构（Reference Architecture）+ Landing Zone + 联邦用户 + Jenkins CI/CD + Git 工作流
- 结论/价值：Gruntwork 提供经过实战验证的 Terraform 模块，是云平台部署的最佳实践起点

## Key Claims
- Gruntwork 是拥有大量 Terraform 代码的组织，其代码经过多次实践验证，被认为是最佳实践
- 参考架构（Reference Architecture）是包含核心账户（Shared/Logs/Security）和工作负载账户（Prod/Stage/Dev）的最佳实践起点
- Landing Zone 基于 Gruntwork，不包含具体 ECS 集群或 RDS 数据库，由产品团队自行定义
- 安全账户使用联邦用户，通过 AD 组映射到 IAM 角色，替代传统 IAM 用户
- 每个 Landing Zone 有一个 Jenkins 服务器部署基础设施变更，每个产品团队有独立 Jenkins 任务

## Key Quotes
> "服务应具有业务上下文，而非简单的资源" — Gruntwork Terraform AWS 服务目录的设计理念

## Key Concepts
- [[Reference Architecture]]：包含核心账户和工作负载账户的最佳实践起点
- [[Landing Zone]]：基于 Gruntwork 的基础设施部署单元，每个 Zone 有独立 GitHub 仓库管理 IaC
- [[Federated User]]：通过 AD 组映射到 IAM 角色的联邦身份访问，简化安全账户管理
- [[Gruntwork Modules]]：经过实战验证的 Terraform 模块，提供业务上下文和粒度支持
- [[CI/CD Pipeline]]：基于特性分支 + PR + Jenkins 的基础设施变更自动化流程

## Key Entities
- [[Gruntwork]]：提供 Landing Zone 框架的组织，定义 R&D 和 SAS 环境域名规范

## Connections
- [[ctp-topic-2-git]] — Git 版本控制基础（CI/CD 前提）
- [[ctp-topic-3-deploy-and-maintain-infrastructure]] — Terraform 部署与维护
- [[ctp-topic-9-ci-cd-with-gruntwork]] — Gruntwork CI/CD 流水线实践

## Contradictions
- （暂无）

## 行动项
- [ ] 熟悉 Gruntwork Terraform AWS Service Catalog，了解可用模块
- [ ] 采用特性分支开发流程，通过 PR 合并到主分支
- [ ] 配置 Jenkins 流水线，实现 Terraform Plan/Apply 自动化
- [ ] 探索 TerraTest 用于基础设施变更的自动化测试
- [ ] 确定 Active Directory 联邦访问的具体配置方案