60 lines
4.3 KiB
Markdown
60 lines
4.3 KiB
Markdown
---
|
||
title: "CTP Topic 17 Active Directory Services in Gruntwork AWS LZs"
|
||
type: source
|
||
tags: [AWS, Landing-Zone, AD, Gruntwork, CTP]
|
||
sources: []
|
||
last_updated: 2026-04-14
|
||
---
|
||
|
||
## Source File
|
||
- [[Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-17-active-directory-services-in-gruntwork-aws-lzs]]
|
||
|
||
## Summary(用中文描述)
|
||
- 核心主题:在 Gruntwork AWS Landing Zones 架构中集成与管理 Active Directory (AD) 服务的核心实践
|
||
- 问题域:企业级 AWS 多环境(研发/生产)的 AD 域名规划、自动化域加入、以及开发者自助服务
|
||
- 方法/机制:
|
||
- 双域名策略:`swinford.net`(研发实验室 R&D Labs)vs `intsas.local`(生产/SAS 环境)
|
||
- SRE 团队预制 AMI,内置 PowerShell(Windows)/Shell(Linux)域加入脚本
|
||
- Terraform `user_data` 触发自动域加入流程
|
||
- MIM(Microsoft Identity Manager)提供研发环境安全组自助管理
|
||
- SMACKS 工单系统处理生产环境账号申请
|
||
- 结论/价值:旧域名(`infra`、`AST`)已在 Gruntwork LZ 中废弃,提供了清晰的迁移路径和所有权归属建议
|
||
|
||
## Key Claims(用中文描述)
|
||
- Gruntwork Landing Zones 按环境类型(研发 vs 生产)分别使用不同的 AD 域名,以满足隔离性和合规审计需求
|
||
- Windows 实例通过 Terraform `user_data` 调用 SRE 预制 AMI 中的 PowerShell 脚本,实现自动化域加入、旧对象清理和本地管理员分配
|
||
- Linux 实例通过安全动态更新(Secure Dynamic Updates)机制自动向 Windows DNS 服务器注册 DNS A 记录
|
||
- 旧域名 `infra` 和 `AST` 在新 Gruntwork LZ 中已被废弃,开发者必须迁移至新域名架构
|
||
- R&D 环境支持 MIM 自助服务工具,生产/SAS 环境通过 SMACKS 工单系统申请账号
|
||
|
||
## Key Quotes
|
||
> "本次视频是 DevOps 云学习系列课程之一,重点介绍了在 Gruntwork AWS Landing Zones 架构中集成与管理 Active Directory (AD) 服务的核心实践。演讲者 Paul 详细阐述了两种主要环境的域名配置:研发实验室(R&D Labs)统一使用 `swinford.net` 域名,而生产与分阶段 SAS 环境则采用 `intsas.local`。" — 视频摘要
|
||
|
||
> "旧有的 `infra` 和 `AST` 域名在新的 Gruntwork 落地页中已被废弃,并为用户提供了相应的迁移路径和所有权归属建议。" — 视频摘要
|
||
|
||
## Key Concepts
|
||
- [[Gruntwork Landing Zones]]:预配置的、基于最佳实践的 AWS 基础架构框架,分为 R&D Labs 和 SAS 两种环境类型
|
||
- [[swinford.net]]:专门用于研发实验室(R&D Labs)环境的 Active Directory 域名,支持 MIM 自助服务管理
|
||
- [[intsas.local]]:用于生产和分阶段 SAS 环境的内部 Active Directory 域名,强调资源所有权归属和审计合规
|
||
- [[SRE-provided AMIs]]:由 SRE 团队预先构建的机器镜像,内置了用于自动加入域的 PowerShell(Windows)和 Shell(Linux)脚本
|
||
- [[User Data]]:在 AWS EC2 实例启动时执行的脚本数据,本视频中用于触发自动化的域加入流程
|
||
- [[MIM (Microsoft Identity Manager)]]:用于 R&D 环境中安全组管理和权限申请的自助服务解决方案
|
||
- [[SMACKS Ticket]]:内部服务管理工单系统,用于申请新账号、重置密码或处理复杂的生产环境变更
|
||
- [[Secure Dynamic Updates]]:一种 DNS 安全机制,允许 Linux 系统在加入域时向 Windows DNS 服务器安全地注册其 A 记录
|
||
|
||
## Key Entities
|
||
- [[Paul]]:CTP Topic 17 讲师,Gruntwork AWS LZs AD 集成方案的讲解者
|
||
- [[Gruntwork]]:提供 Landing Zones 基础设施框架的团队/组织
|
||
- [[SRE Team]]:负责构建和维护预制 AMI 的 Site Reliability Engineering 团队
|
||
- [[MIM]]:Microsoft Identity Manager,R&D 环境的安全组自助管理工具
|
||
- [[SMACKS]]:内部服务管理工单系统,用于生产/SAS 环境的账号申请和变更处理
|
||
|
||
## Connections
|
||
- [[Gruntwork AWS Landing Zones Overview]] ← foundational ← [[CTP Topic 17 Active Directory Services]]
|
||
- [[SRE Standard AMIs and Image Building]] ← source ← [[SRE-provided AMIs]]
|
||
- [[Terraform Single Server Module Deep Dive]] ← deployment mechanism ← [[User Data]]
|
||
- [[ctp-topic-11-ad-integration-and-login-using-ad-accounts]] ← related ← [[AD Integration in AWS LZs]]
|
||
|
||
## Contradictions
|
||
- 暂无检测到与其他 Wiki 页面的冲突
|