71 lines
4.4 KiB
Markdown
71 lines
4.4 KiB
Markdown
---
|
||
title: "CTP Topic 25 Labs Landing Zone Overview - ITOM Teams"
|
||
type: source
|
||
tags:
|
||
- AWS
|
||
- Landing-Zone
|
||
- Labs
|
||
- ITOM
|
||
- CTP
|
||
- Gruntworks
|
||
- Terraform
|
||
- Terragrunt
|
||
- Multi-Account
|
||
date: 2026-04-14
|
||
---
|
||
|
||
## Source File
|
||
- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-25-labs-landing-zone-overview-itom-teams.md]]
|
||
|
||
## Summary(用中文描述)
|
||
- 核心主题:
|
||
Labs Landing Zone 基于 Gruntwork 参考架构和 AWS 标准,采用多账户策略,通过 Terraform/Terragrunt 实现基础设施即代码(IaC)管理。所有资源必须通过代码机制管理,不可手动操作。
|
||
- 问题域:
|
||
如何在 Labs 环境中建立标准化、可扩展、安全的多账户 AWS 基础设施架构,覆盖 CI/CD 流水线、网络安全、身份认证、日志管理等企业级运维需求。
|
||
- 方法/机制:
|
||
- 基于 Gruntworks 参考架构的多账户策略
|
||
- 全部资源通过 Terraform/Terragrunt 代码化管理
|
||
- Jenkins 多分支流水线扫描 GitHub 仓库变更,触发 Terragrunt plan/apply
|
||
- Checkpoint 防火墙通过标签(Tags)机制控制网络访问
|
||
- 联邦认证(Federated Access)管理跨账户访问
|
||
- 结论/价值:
|
||
Labs Landing Zone 提供企业级标准化基础设施模板,各团队基于标准 Terraform 模块快速部署工作负载,通过标签驱动的网络策略实现安全隔离,通过 Jenkins 流水线实现自动化部署和安全扫描。
|
||
|
||
## Key Claims(用中文描述)
|
||
- Labs Landing Zone 基于 Gruntwork 参考架构,所有资源必须通过 Terraform 或其他代码机制管理,不可手动操作。
|
||
- Labs 采用多账户策略,核心账户组包括 Active Directory(管理 Windows 实例和 IDP)和 DNS(管理 AWS Swimford.net)。
|
||
- Network 账户作为中央网络枢纽,通过 Transit Gateway 和 JetPult 防火墙管理所有互联网流量,所有防火墙访问均通过标签(Tags)控制。
|
||
- Product Account 是主要工作环境,基于标准 IaC 模块构建,可包含多个子账户(生产/预发/开发)。
|
||
- Jenkins 流水线扫描 GitHub Enterprise 仓库变更,根据分支触发 Terragrunt plan 或 apply,并通过 pre-commit 检查和 Fortify 安全扫描提升鲁棒性。
|
||
|
||
## Key Quotes
|
||
> "Everything should be managed using Terraform or some other code-based mechanism." — Labs Landing Zone 核心原则
|
||
> "Access through that firewall is all managed by tags." — 网络防火墙访问控制机制
|
||
> "The standard Jenkins-based pipelines scan GitHub Enterprise repositories for changes, running Terragrunt plans or applies based on the branch." — CI/CD 部署流程
|
||
|
||
## Key Concepts
|
||
- [[Landing Zone Architecture]]:多账户 AWS 基础设施的顶层框架,包含账户结构、网络、安全、访问管理和遥测
|
||
- [[Terraform]]:基础设施即代码工具,Labs LZ 中用于管理所有 AWS 资源
|
||
- [[Terragrunt]]:Terraform 的包装器,提供更简洁的多账户/多环境管理能力
|
||
- [[Gruntwork]]:提供生产级 IaC 模块库的专业公司,参考架构的提供者
|
||
- [[Jenkins]]:CI/CD 流水线工具,扫描 GitHub 仓库变更触发 Terragrunt plan/apply
|
||
- [[Transit Gateway]]:AWS 网络服务,Network 账户通过它作为中央枢纽管理所有 VPC 间的流量路由
|
||
- [[Federated Access]]:联邦访问,通过 AD 组映射到 IAM 角色实现跨账户身份认证
|
||
- [[Tag-Based Access Control]]:基于标签的访问控制,防火墙通过资源标签动态配置网络策略
|
||
|
||
## Key Entities
|
||
- [[Swimford.net]]:Labs Landing Zone 中使用的 DNS 域名(所有 AD 和 DNS 服务均在此域名下)
|
||
- [[JetPult]]:防火墙产品,Network 账户中用于管理网络流量
|
||
- [[Pulse VPN]]:VPN 解决方案,Network 账户中用于提供对 Micro Focus 网络的访问
|
||
- [[Qualys]]:安全扫描服务,Shared Service Accounts 中提供漏洞扫描能力
|
||
- [[45 Arc Site]]:监控服务,Shared Service Accounts 中提供站点监控能力
|
||
- [[Hardened AMIs]]:安全加固的 Amazon Machine Images,由 Shared Account 托管
|
||
|
||
## Connections
|
||
- [[ctp-topic-1-gruntwork-landing-zone-architecture]] ← foundational ← [[ctp-topic-25-labs-landing-zone-overview-itom-teams]]
|
||
- [[ctp-topic-35-aws-landing-zone-design-refresher-saas-labs]] ← related ← [[ctp-topic-25-labs-landing-zone-overview-itom-teams]]
|
||
- [[ctp-topic-7-saas-landing-zone-design]] ← extends ← [[ctp-topic-25-labs-landing-zone-overview-itom-teams]]
|
||
|
||
## Contradictions
|
||
- 无已知冲突
|