ishenwei/nexus
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
fc0dde291fa7c19f90564e88e6a04ed4c26b5ba6
nexus/wiki/sources/ctp-topic-25-labs-landing-zone-overview-itom-teams.md
weishen 861ba9d1f6 Auto-sync: 2026-04-19 00:02
2026-04-19 00:02:42 +08:00

61 lines
3.3 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
---
title: "CTP Topic 25 Labs Landing Zone overview - ITOM teams"
type: source
tags:
- AWS
- Landing-Zone
- Labs
- ITOM
- CTP
category: DevOps & SRE/01_AWS-Landing-Zone
date-added: 2026-04-18
sources:
- raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-25-labs-landing-zone-overview-itom-teams.md
---
## Source File
- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/01_AWS-Landing-Zone/ctp-topic-25-labs-landing-zone-overview-itom-teams.md]]
## Summary
- 核心主题Labs Landing Zone 架构概述,基于 Gruntwork reference architecture 和 AWS 标准,采用多账号策略
- 问题域:企业级 AWS 云基础设施规划与部署
- 方法/机制IaCTerraform管理、标签驱动防火墙策略、CI/CD 自动化Jenkins + Terragrunt
- 结论/价值Labs Landing Zone 提供标准化的多账号基础设施框架,通过代码实现一致性、版本控制和自动化治理
## Key Claims
- Labs Landing Zone 基于 Gruntwork reference architecture 和 AWS 标准构建
- 整个技术栈通过 Terraform 管理,所有资源必须使用代码机制部署
- Shared Account 托管 Jenkins 主服务器、hardened AMIs 和 Docker 容器存储
- Logs Account 安全存储 AWS Config 和 CloudTrail 日志,访问权限由安全团队控制
- Security Account 管理用户账户和跨账户访问,采用联合身份认证
- Active Directory 账户管理 Windows 实例和 IDPs使用 swimford.net 域名)
- DNS 账户管理 AWS Swimford.net允许本地域或引用更广泛的基础设施
- Network Account 是网络通信中心,通过 Transit Gateway 和 JetPult 防火墙管理流量
- 所有互联网访问通过该账户路由,通过标签由网络团队管理
- Shared Service Accounts 提供监控服务(如 45 arc site和 Qualys 安全服务
- Product Account 是主要工作环境,使用标准化 IaC 模块构建可包含多个账户production、staging、development
- 部署 Product Account 时需定义 IP 地址范围,并与网络团队协商防火墙访问的标签
- Jenkins 流水线持续扫描 GitHub Enterprise 仓库,根据分支运行 Terragrunt plan 或 apply
- 互联网连接受限,访问特定企业网络位置需向网络服务团队申请
## Key Concepts
- [[Gruntwork Landing Zone]]Gruntwork 提供的预配置 AWS 基础架构框架
- [[Multi-Account Strategy]]AWS 推荐的多账号策略,通过分离工作负载提升安全性和治理能力
- [[Infrastructure as Code]]:通过代码实现基础设施管理,确保一致性和版本控制
- [[Terraform]]HashiCorp 开发的 IaC 工具,用于声明式定义云资源
- [[Transit Gateway]]AWS 中心网络路由服务,连接 VPCs 和本地网络
- [[Service Control Policies]]AWS Organizations 的策略类型,管理组织内账户的最大权限边界
## Key Entities
- [[Gruntwork]]Landing Zone 框架提供商
- [[Jenkins]]:开源自动化服务器,用于 CI/CD 流水线
- [[swinford.net]]R&D Labs 环境的 Active Directory 域名
## Connections
- [[Gruntwork Landing Zone]] ← builds_on ← [[AWS Organizations]]
- [[Product Account]] ← deploys_via ← [[Terraform]]
- [[Network Account]] ← manages ← [[Transit Gateway]]
- [[Logs Account]] ← stores ← [[CloudTrail]]
## Contradictions
- (暂无)
Reference in New Issue View Git Blame Copy Permalink