4.4 KiB
4.4 KiB
title, type, tags, date
| title | type | tags | date | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| CTP Topic 25 Labs Landing Zone Overview - ITOM Teams | source |
|
2026-04-14 |
Source File
Summary(用中文描述)
- 核心主题: Labs Landing Zone 基于 Gruntwork 参考架构和 AWS 标准,采用多账户策略,通过 Terraform/Terragrunt 实现基础设施即代码(IaC)管理。所有资源必须通过代码机制管理,不可手动操作。
- 问题域: 如何在 Labs 环境中建立标准化、可扩展、安全的多账户 AWS 基础设施架构,覆盖 CI/CD 流水线、网络安全、身份认证、日志管理等企业级运维需求。
- 方法/机制:
- 基于 Gruntworks 参考架构的多账户策略
- 全部资源通过 Terraform/Terragrunt 代码化管理
- Jenkins 多分支流水线扫描 GitHub 仓库变更,触发 Terragrunt plan/apply
- Checkpoint 防火墙通过标签(Tags)机制控制网络访问
- 联邦认证(Federated Access)管理跨账户访问
- 结论/价值: Labs Landing Zone 提供企业级标准化基础设施模板,各团队基于标准 Terraform 模块快速部署工作负载,通过标签驱动的网络策略实现安全隔离,通过 Jenkins 流水线实现自动化部署和安全扫描。
Key Claims(用中文描述)
- Labs Landing Zone 基于 Gruntwork 参考架构,所有资源必须通过 Terraform 或其他代码机制管理,不可手动操作。
- Labs 采用多账户策略,核心账户组包括 Active Directory(管理 Windows 实例和 IDP)和 DNS(管理 AWS Swimford.net)。
- Network 账户作为中央网络枢纽,通过 Transit Gateway 和 JetPult 防火墙管理所有互联网流量,所有防火墙访问均通过标签(Tags)控制。
- Product Account 是主要工作环境,基于标准 IaC 模块构建,可包含多个子账户(生产/预发/开发)。
- Jenkins 流水线扫描 GitHub Enterprise 仓库变更,根据分支触发 Terragrunt plan 或 apply,并通过 pre-commit 检查和 Fortify 安全扫描提升鲁棒性。
Key Quotes
"Everything should be managed using Terraform or some other code-based mechanism." — Labs Landing Zone 核心原则 "Access through that firewall is all managed by tags." — 网络防火墙访问控制机制 "The standard Jenkins-based pipelines scan GitHub Enterprise repositories for changes, running Terragrunt plans or applies based on the branch." — CI/CD 部署流程
Key Concepts
- Landing Zone Architecture:多账户 AWS 基础设施的顶层框架,包含账户结构、网络、安全、访问管理和遥测
- Terraform:基础设施即代码工具,Labs LZ 中用于管理所有 AWS 资源
- Terragrunt:Terraform 的包装器,提供更简洁的多账户/多环境管理能力
- Gruntwork:提供生产级 IaC 模块库的专业公司,参考架构的提供者
- Jenkins:CI/CD 流水线工具,扫描 GitHub 仓库变更触发 Terragrunt plan/apply
- Transit Gateway:AWS 网络服务,Network 账户通过它作为中央枢纽管理所有 VPC 间的流量路由
- Federated Access:联邦访问,通过 AD 组映射到 IAM 角色实现跨账户身份认证
- Tag-Based Access Control:基于标签的访问控制,防火墙通过资源标签动态配置网络策略
Key Entities
- Swimford.net:Labs Landing Zone 中使用的 DNS 域名(所有 AD 和 DNS 服务均在此域名下)
- JetPult:防火墙产品,Network 账户中用于管理网络流量
- Pulse VPN:VPN 解决方案,Network 账户中用于提供对 Micro Focus 网络的访问
- Qualys:安全扫描服务,Shared Service Accounts 中提供漏洞扫描能力
- 45 Arc Site:监控服务,Shared Service Accounts 中提供站点监控能力
- Hardened AMIs:安全加固的 Amazon Machine Images,由 Shared Account 托管
Connections
- ctp-topic-1-gruntwork-landing-zone-architecture ← foundational ← ctp-topic-25-labs-landing-zone-overview-itom-teams
- ctp-topic-35-aws-landing-zone-design-refresher-saas-labs ← related ← ctp-topic-25-labs-landing-zone-overview-itom-teams
- ctp-topic-7-saas-landing-zone-design ← extends ← ctp-topic-25-labs-landing-zone-overview-itom-teams
Contradictions
- 无已知冲突