55 lines
2.6 KiB
Markdown
55 lines
2.6 KiB
Markdown
---
|
||
title: "CTP Topic 1 Gruntwork Landing Zone Architecture"
|
||
type: source
|
||
tags:
|
||
- AWS
|
||
- Landing-Zone
|
||
- Gruntwork
|
||
- CTP
|
||
- DevOps
|
||
date: 2026-04-14
|
||
---
|
||
|
||
## Source File
|
||
- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-1-gruntwork-landing-zone-architecture.md]]
|
||
|
||
## Summary
|
||
- 核心主题:基于 Gruntwork 的 AWS Landing Zone 架构设计与实现
|
||
- 问题域:云转型项目的基础设施最佳实践
|
||
- 方法/机制:参考架构(Reference Architecture)+ Landing Zone + 联邦用户 + Jenkins CI/CD + Git 工作流
|
||
- 结论/价值:Gruntwork 提供经过实战验证的 Terraform 模块,是云平台部署的最佳实践起点
|
||
|
||
## Key Claims
|
||
- Gruntwork 是拥有大量 Terraform 代码的组织,其代码经过多次实践验证,被认为是最佳实践
|
||
- 参考架构(Reference Architecture)是包含核心账户(Shared/Logs/Security)和工作负载账户(Prod/Stage/Dev)的最佳实践起点
|
||
- Landing Zone 基于 Gruntwork,不包含具体 ECS 集群或 RDS 数据库,由产品团队自行定义
|
||
- 安全账户使用联邦用户,通过 AD 组映射到 IAM 角色,替代传统 IAM 用户
|
||
- 每个 Landing Zone 有一个 Jenkins 服务器部署基础设施变更,每个产品团队有独立 Jenkins 任务
|
||
|
||
## Key Quotes
|
||
> "服务应具有业务上下文,而非简单的资源" — Gruntwork Terraform AWS 服务目录的设计理念
|
||
|
||
## Key Concepts
|
||
- [[Reference Architecture]]:包含核心账户和工作负载账户的最佳实践起点
|
||
- [[Landing Zone]]:基于 Gruntwork 的基础设施部署单元,每个 Zone 有独立 GitHub 仓库管理 IaC
|
||
- [[Federated User]]:通过 AD 组映射到 IAM 角色的联邦身份访问,简化安全账户管理
|
||
- [[Gruntwork Modules]]:经过实战验证的 Terraform 模块,提供业务上下文和粒度支持
|
||
- [[CI/CD Pipeline]]:基于特性分支 + PR + Jenkins 的基础设施变更自动化流程
|
||
|
||
## Key Entities
|
||
- [[Gruntwork]]:提供 Landing Zone 框架的组织,定义 R&D 和 SAS 环境域名规范
|
||
|
||
## Connections
|
||
- [[ctp-topic-2-git]] — Git 版本控制基础(CI/CD 前提)
|
||
- [[ctp-topic-3-deploy-and-maintain-infrastructure]] — Terraform 部署与维护
|
||
- [[ctp-topic-9-ci-cd-with-gruntwork]] — Gruntwork CI/CD 流水线实践
|
||
|
||
## Contradictions
|
||
- (暂无)
|
||
|
||
## 行动项
|
||
- [ ] 熟悉 Gruntwork Terraform AWS Service Catalog,了解可用模块
|
||
- [ ] 采用特性分支开发流程,通过 PR 合并到主分支
|
||
- [ ] 配置 Jenkins 流水线,实现 Terraform Plan/Apply 自动化
|
||
- [ ] 探索 TerraTest 用于基础设施变更的自动化测试
|
||
- [ ] 确定 Active Directory 联邦访问的具体配置方案 |