https://socake.github.io/tags/%E9%9B%B6%E4%BF%A1%E4%BB%BB/Recent content in 零信任 on 黄文卓 | DevOps EngineerHugo -- gohugo.iozh-CN17691281867@163.com (Wenzhuo Huang)17691281867@163.com (Wenzhuo Huang)© 2026 Wenzhuo HuangThu, 30 Apr 2026 15:30:00 +0800https://socake.github.io/playbook/aurora-public-access-tightening/Thu, 30 Apr 2026 15:30:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/playbook/aurora-public-access-tightening/很多团队的生产 Aurora 长期挂着 0.0.0.0/0 全协议规则，加上几条来源不明的 IP 白名单。直接删规则会立刻打断跨 Region 服务和开发者本地调试，于是收紧工作年复一年被推迟。本文给出一条工程化路径：先用 Flow Logs + Athena + CloudTrail 摸清依赖，把跨 Region 业务切到 VPC Peering + Route53 Private Hosted Zone，再用 SSM Port Forwarding 替代开发者直连，最后原子切换 SG 并清理长尾白名单。每一步都给可直接执行的脚本和 IAM Policy。覆盖 4 个真实踩到的坑。https://socake.github.io/playbook/zerotrust-mesh-headscale/Thu, 30 Apr 2026 15:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/playbook/zerotrust-mesh-headscale/数据库公网入口收紧后，开发调试需求仍然真实存在。SSM Port Forwarding 这类临时方案随着资源增加和团队扩大很快变得不可维护。Headscale + Tailscale 提供了一层统一的访问控制：单台 ECS 跑控制面，每个 K8s 集群部署 Subnet Router Pod，ACL 基于身份控制访问范围。本文给出从阿里云 ECS 创建命令、Caddyfile、完整 Headscale 配置、K8s 完整 manifest、运维脚本、客户端接入脚本到故障 runbook 的一整套可直接复制执行的工件，包含 5 个生产中真实踩到的坑。https://socake.github.io/posts/headscale-zero-trust-vpn/Sun, 12 Apr 2026 14:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/headscale-zero-trust-vpn/从 WireGuard 协议原理到 Headscale 完整部署，包括 DERP 自建、Subnet Router 配置、K8s 集成和 ACL 策略设计，用 Mesh VPN 替代传统堡垒机的完整实操指南。https://socake.github.io/posts/supply-chain-slsa-framework/Fri, 05 Dec 2025 10:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/supply-chain-slsa-framework/一份 SLSA v1.0 框架的实战落地笔记：讲清楚 Build Track 从 L1 到 L3 的具体要求、用 GitHub Actions 官方 generator 和 Tekton Chains 生成 provenance、用 slsa-verifier 和 Kyverno 做验证、以及和前面 Sigstore/Kyverno/Cosign 的整合。https://socake.github.io/posts/%E9%9B%B6%E4%BF%A1%E4%BB%BB%E7%BD%91%E7%BB%9C%E5%AE%9E%E8%B7%B5/Sat, 22 Nov 2025 13:37:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/%E9%9B%B6%E4%BF%A1%E4%BB%BB%E7%BD%91%E7%BB%9C%E5%AE%9E%E8%B7%B5/从发现公网暴露的安全隐患开始，到用 Headscale 自建零信任网络，替代跳板机体系，实现 kubectl 和运维系统的 VPN 接入。https://socake.github.io/posts/secret-rotation-automation/Fri, 14 Nov 2025 10:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/secret-rotation-automation/一份来自生产环境的密钥轮换实战笔记：对比 Vault dynamic secret、AWS Secrets Manager 原生 rotation、SOPS + GitOps 三种方案的适用场景，给出数据库、Kafka SASL、TLS 证书、API key 的完整轮换工作流，并分享 ESO 同步、rotation 风暴、灰度发布等真实踩坑。https://socake.github.io/posts/wireguard-mesh-vpn/Fri, 07 Nov 2025 10:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/wireguard-mesh-vpn/一份从实战出发的 WireGuard mesh VPN 笔记：讲清楚为什么不用 IPSec/OpenVPN、手写配置 vs Netmaker vs Tailscale 的选型对比、AWS 与阿里云跨云 mesh 的真实部署方案、MTU 与 NAT 穿透的踩坑，以及自动化密钥分发与监控方案。https://socake.github.io/posts/cilium-network-policy-production/Fri, 31 Oct 2025 10:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/cilium-network-policy-production/一份基于 Cilium 1.16+ 的生产落地笔记：讲清楚 Kubernetes NetworkPolicy 的局限、CiliumNetworkPolicy 的扩展能力、L7 HTTP/Kafka/DNS 过滤的真实用法、Hubble 可观测性、策略开发方法论，以及多集群 ClusterMesh 场景下的策略治理。https://socake.github.io/posts/spiffe-spire-workload-identity/Fri, 10 Oct 2025 10:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/spiffe-spire-workload-identity/一份从生产部署出发的 SPIFFE/SPIRE 实战笔记：讲清楚 SVID、节点证明、工作负载证明、信任域联邦这些核心概念，用 Kubernetes + Istio + 非 K8s 工作负载的混合场景展示 SPIRE 如何统一身份，并分享升级、备份、Agent 崩溃等真实运维踩坑。https://socake.github.io/posts/kubernetes-network-policy/Sun, 15 Jun 2025 09:00:00 +080017691281867@163.com (Wenzhuo Huang)https://socake.github.io/posts/kubernetes-network-policy/系统讲解 Kubernetes NetworkPolicy 的工作机制与生产实战配置，覆盖 deny-all 基础模板、常见隔离场景、Cilium 扩展、多租户设计、测试验证方法及常见陷阱。