--- title: "CTP Topic 25 Labs Landing Zone overview - ITOM teams" type: source tags: - AWS - Landing-Zone - Labs - ITOM - CTP category: DevOps & SRE/01_AWS-Landing-Zone date-added: 2026-04-18 sources: - raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-25-labs-landing-zone-overview-itom-teams.md --- ## Source File - [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-25-labs-landing-zone-overview-itom-teams.md]] ## Summary - 核心主题:Labs Landing Zone 架构概述,基于 Gruntwork reference architecture 和 AWS 标准,采用多账号策略 - 问题域:企业级 AWS 云基础设施规划与部署 - 方法/机制:IaC(Terraform)管理、标签驱动防火墙策略、CI/CD 自动化(Jenkins + Terragrunt) - 结论/价值:Labs Landing Zone 提供标准化的多账号基础设施框架,通过代码实现一致性、版本控制和自动化治理 ## Key Claims - Labs Landing Zone 基于 Gruntwork reference architecture 和 AWS 标准构建 - 整个技术栈通过 Terraform 管理,所有资源必须使用代码机制部署 - Shared Account 托管 Jenkins 主服务器、hardened AMIs 和 Docker 容器存储 - Logs Account 安全存储 AWS Config 和 CloudTrail 日志,访问权限由安全团队控制 - Security Account 管理用户账户和跨账户访问,采用联合身份认证 - Active Directory 账户管理 Windows 实例和 IDPs(使用 swimford.net 域名) - DNS 账户管理 AWS Swimford.net,允许本地域或引用更广泛的基础设施 - Network Account 是网络通信中心,通过 Transit Gateway 和 JetPult 防火墙管理流量 - 所有互联网访问通过该账户路由,通过标签由网络团队管理 - Shared Service Accounts 提供监控服务(如 45 arc site)和 Qualys 安全服务 - Product Account 是主要工作环境,使用标准化 IaC 模块构建,可包含多个账户(production、staging、development) - 部署 Product Account 时需定义 IP 地址范围,并与网络团队协商防火墙访问的标签 - Jenkins 流水线持续扫描 GitHub Enterprise 仓库,根据分支运行 Terragrunt plan 或 apply - 互联网连接受限,访问特定企业网络位置需向网络服务团队申请 ## Key Concepts - [[Gruntwork Landing Zone]]:Gruntwork 提供的预配置 AWS 基础架构框架 - [[Multi-Account Strategy]]:AWS 推荐的多账号策略,通过分离工作负载提升安全性和治理能力 - [[Infrastructure as Code]]:通过代码实现基础设施管理,确保一致性和版本控制 - [[Terraform]]:HashiCorp 开发的 IaC 工具,用于声明式定义云资源 - [[Transit Gateway]]:AWS 中心网络路由服务,连接 VPCs 和本地网络 - [[Service Control Policies]]:AWS Organizations 的策略类型,管理组织内账户的最大权限边界 ## Key Entities - [[Gruntwork]]:Landing Zone 框架提供商 - [[Jenkins]]:开源自动化服务器,用于 CI/CD 流水线 - [[swinford.net]]:R&D Labs 环境的 Active Directory 域名 ## Connections - [[Gruntwork Landing Zone]] ← builds_on ← [[AWS Organizations]] - [[Product Account]] ← deploys_via ← [[Terraform]] - [[Network Account]] ← manages ← [[Transit Gateway]] - [[Logs Account]] ← stores ← [[CloudTrail]] ## Contradictions - (暂无)