تشغيل أي مهارة في Manus بنقرة واحدة

ple-environment-design

PLE (Production-Like Environment) 隔离架构设计。当需要设计 PLE 环境、分析 PRD 与 non-PRD 隔离方案、评估网络架构、控制多环境访问风险时使用。涵盖：隔离层次分析、攻击路径识别、GCP 原生隔离控制（Org Policy/Firewall/IAM）、合规要求评估。

تشغيل في Manus

نظرة عامة

أمر التثبيت

npx skills add https://github.com/aibangjuxin/knowledge --skill ple-environment-design

انسخ والصق هذا الأمر في Claude Code لتثبيت المهارة

المصدر

aibangjuxin/knowledge

النجوم٢

التفرعات٠

آخر تحديث٢١ مايو ٢٠٢٦ في ٠١:٠٩

SKILL.md

readonly

name	ple-environment-design
description	PLE (Production-Like Environment) 隔离架构设计。当需要设计 PLE 环境、分析 PRD 与 non-PRD 隔离方案、评估网络架构、控制多环境访问风险时使用。涵盖：隔离层次分析、攻击路径识别、GCP 原生隔离控制（Org Policy/Firewall/IAM）、合规要求评估。
triggers	["PLE","Production-Like Environment","测试环境隔离","PRD 隔离","non-PRD 环境","环境隔离架构","多租户隔离"]

PLE (Production-Like Environment) 隔离架构设计

核心矛盾

"使用 PRD 网络基础设施" + "与 PRD 完全隔离" = 逻辑上矛盾

正确理解：
  → 复用网络架构设计（拓扑、规划、命名规范）
  → 但使用独立的网络资源（VPC、Subnet、IP）

5 层隔离金字塔

           L7: 应用层（API Gateway, Auth）
          /█\
         / █ \       ← 应用层被攻破，网络层无防护
        /───█───\
       /    █    \    L4: 网络层（Firewall, VPC, Route）
      /     █     \   ← 必要但不充分
     /──────█──────\
    /       █       \  L3: IAM（SA, RBAC）
   /        █        \ ← 权限配置错误即失效
  /─────────█─────────\
 /          █          \L2: 数据层（Secret, KMS, DB）
/                      \  ← 可独立保证隔离

攻击路径矩阵

攻击路径	说明	缓解措施
DNS 劫持	控制 DNS 解析指向 PRD	DNS Policy + 解析验证
内网横向移动	Firewall 规则配置错误	严格 Firewall Policy（含 egress）
服务发现冒充	K8s API 冒充	Workload Identity 隔离
元数据服务	获取 SA token	Metadata IP 限制
共享存储	GCS Bucket 权限过大	Bucket Policy 最小化

GCP 原生隔离控制

1. Organization Policy

orgPolicies:
  # 禁止跨 Project Service Account 使用
  - name: "disable-cross-project-service-account"
  # 强制 PLE SA 不能有 PRD 资源访问权限
  - name: "allowed-service-accounts"

2. VPC Firewall（关键： egress 也要控制）

firewall_rules:
  # 拒绝所有来自 PRD 的流量
  - name: "deny-from-prd"
    direction: INGRESS
    priority: 100
    sourceRanges: ["10.0.0.0/16"]  # PRD VPC CIDR
    action: DENY
    logConfig: { enabled: true }  # 所有拒绝流量必须记录

  # 拒绝所有出站到 PRD
  - name: "deny-to-prd"
    direction: EGRESS
    priority: 100
    destinationRanges: ["10.0.0.0/16"]
    action: DENY
    logConfig: { enabled: true }

⚠️ 注意：GCP Firewall 是 Stateful！ egress 不控制则 ingress 响应流量会自动放行

3. IAM Conditional

- role: roles/compute.admin
  members: ["serviceAccount:ple-sa@project-ple.iam.gserviceaccount.com"]
  condition:
    title: "只允许在 PLE Project 操作"
    expression: "resource.name.startsWith('projects/project-ple-xxx')"

澄清问题清单

Q1: PLE 的目的是什么？（功能/性能/安全测试/UAT）
Q2: PLE 用户需要访问哪些 PRD 资源？
Q3: PLE 是否需要"像 PRD"（用于 UAT）？
Q4: 合规要求是什么？（等保/PCI-DSS/SOC2）
Q5: PLE 的预算和运维责任是谁？

验证清单

□ PLE VM 不能 ping PRD VM
□ PLE egress 到 PRD CIDR 被 firewall 拒绝
□ PLE SA 不能列出 PRD Project 资源
□ PLE 不能访问 PRD GCS Bucket
□ Firewall 日志中有预期的 DENY 记录
□ 审计日志完整可追溯

相关文档

knowledge/develop/develop-process/test/docs/ple.md — PLE 隔离架构深度分析（完整版）
knowledge/webservice/nginx/nginx-cert/nginx-cert-dynamic-update.md — Nginx 动态证书更新
knowledge/develop/develop-process/test/docs/destructive-testing-infra.md — 破坏性测试指南

المزيد من هذا المستودع

نفس المستودع

architecture-diagram

aibangjuxin/knowledge

Create professional, dark-themed architecture diagrams as standalone HTML files with SVG graphics. Use when the user asks for system architecture diagrams, infrastructure diagrams, cloud architecture visualizations, security diagrams, network topology diagrams, or any technical diagram showing system components and their relationships.

2026-05-262

architectrue

aibangjuxin/knowledge

Production-focused GKE and GCP architecture partner for designing, optimizing, and implementing deployable cloud platforms. Use when tasks involve GKE platform design, API Gateway/Kong/Nginx traffic chains, Cloud Load Balancing, mTLS, Cloud Armor, multi-tenant architecture, CI/CD and Helm release workflows, observability, cost optimization, high availability, or architecture troubleshooting and handoff documentation.

2026-05-212

gcp

aibangjuxin/knowledge

Linux & GCP Infrastructure Architect - 专注于 Linux、GCP (GCE/GKE)、Kubernetes、Kong 网关及网络协议的资深技术专家。擅长解决基础设施层面的复杂问题。

2026-05-212

gcp-gateway-uploadsize

aibangjuxin/knowledge

GCP GKE Gateway upload size limit — Gateway API has no native client_max_body_size, enforcement at IIP/Kong/application layer. Use when designing file-upload paths in GKE Gateway 2.0 or answering upload-size questions.

2026-05-152

gke-ipam

aibangjuxin/knowledge

GKE IP Address Management — VPC subnet planning, secondary range allocation, PSC NAT sizing, and IP conflict validation. Use when designing GKE network topology, planning cluster IP ranges, validating 1.0→2.0 migration衝突, or auditing GKE ipAllocationPolicy.

2026-05-092

gke-policy-controller-tep-analysis

aibangjuxin/knowledge

GKE Policy Controller TEP 覆盖度分析模式。当需要对比 GKE Policy Controller 安装后的 Constraint Template (TEP) 列表与自定义策略设计文档时使用。包含覆盖度矩阵生成、差异表格、描述补充和双仓库同步流程。

2026-05-082

المصدر

aibangjuxin

aibangjuxin/knowledge

فتح مستودع GitHub عرض مستودعات المنشئ

أمر التثبيت

تنزيل

تشغيل في Manus

مفيد لـSOC

محللو أمن المعلوماتمهن الحاسوب والرياضيات15-1212L4

name	ple-environment-design
description	PLE (Production-Like Environment) 隔离架构设计。当需要设计 PLE 环境、分析 PRD 与 non-PRD 隔离方案、评估网络架构、控制多环境访问风险时使用。涵盖：隔离层次分析、攻击路径识别、GCP 原生隔离控制（Org Policy/Firewall/IAM）、合规要求评估。
triggers	["PLE","Production-Like Environment","测试环境隔离","PRD 隔离","non-PRD 环境","环境隔离架构","多租户隔离"]

PLE (Production-Like Environment) 隔离架构设计

核心矛盾

"使用 PRD 网络基础设施" + "与 PRD 完全隔离" = 逻辑上矛盾

正确理解：
  → 复用网络架构设计（拓扑、规划、命名规范）
  → 但使用独立的网络资源（VPC、Subnet、IP）

5 层隔离金字塔

           L7: 应用层（API Gateway, Auth）
          /█\
         / █ \       ← 应用层被攻破，网络层无防护
        /───█───\
       /    █    \    L4: 网络层（Firewall, VPC, Route）
      /     █     \   ← 必要但不充分
     /──────█──────\
    /       █       \  L3: IAM（SA, RBAC）
   /        █        \ ← 权限配置错误即失效
  /─────────█─────────\
 /          █          \L2: 数据层（Secret, KMS, DB）
/                      \  ← 可独立保证隔离

攻击路径矩阵

攻击路径	说明	缓解措施
DNS 劫持	控制 DNS 解析指向 PRD	DNS Policy + 解析验证
内网横向移动	Firewall 规则配置错误	严格 Firewall Policy（含 egress）
服务发现冒充	K8s API 冒充	Workload Identity 隔离
元数据服务	获取 SA token	Metadata IP 限制
共享存储	GCS Bucket 权限过大	Bucket Policy 最小化

GCP 原生隔离控制

1. Organization Policy

orgPolicies:
  # 禁止跨 Project Service Account 使用
  - name: "disable-cross-project-service-account"
  # 强制 PLE SA 不能有 PRD 资源访问权限
  - name: "allowed-service-accounts"

2. VPC Firewall（关键： egress 也要控制）

firewall_rules:
  # 拒绝所有来自 PRD 的流量
  - name: "deny-from-prd"
    direction: INGRESS
    priority: 100
    sourceRanges: ["10.0.0.0/16"]  # PRD VPC CIDR
    action: DENY
    logConfig: { enabled: true }  # 所有拒绝流量必须记录

  # 拒绝所有出站到 PRD
  - name: "deny-to-prd"
    direction: EGRESS
    priority: 100
    destinationRanges: ["10.0.0.0/16"]
    action: DENY
    logConfig: { enabled: true }

⚠️ 注意：GCP Firewall 是 Stateful！ egress 不控制则 ingress 响应流量会自动放行

3. IAM Conditional

- role: roles/compute.admin
  members: ["serviceAccount:ple-sa@project-ple.iam.gserviceaccount.com"]
  condition:
    title: "只允许在 PLE Project 操作"
    expression: "resource.name.startsWith('projects/project-ple-xxx')"

澄清问题清单

Q1: PLE 的目的是什么？（功能/性能/安全测试/UAT）
Q2: PLE 用户需要访问哪些 PRD 资源？
Q3: PLE 是否需要"像 PRD"（用于 UAT）？
Q4: 合规要求是什么？（等保/PCI-DSS/SOC2）
Q5: PLE 的预算和运维责任是谁？

验证清单

□ PLE VM 不能 ping PRD VM
□ PLE egress 到 PRD CIDR 被 firewall 拒绝
□ PLE SA 不能列出 PRD Project 资源
□ PLE 不能访问 PRD GCS Bucket
□ Firewall 日志中有预期的 DENY 记录
□ 审计日志完整可追溯

ple-environment-design

PLE (Production-Like Environment) 隔离架构设计

核心矛盾

5 层隔离金字塔

攻击路径矩阵

GCP 原生隔离控制

1. Organization Policy

2. VPC Firewall（关键： egress 也要控制）

3. IAM Conditional

推荐架构

澄清问题清单

验证清单

相关文档

PLE (Production-Like Environment) 隔离架构设计

核心矛盾

5 层隔离金字塔

攻击路径矩阵

GCP 原生隔离控制

1. Organization Policy

2. VPC Firewall（关键： egress 也要控制）

3. IAM Conditional

推荐架构

澄清问题清单

验证清单

相关文档