"Air-Gapped"
- 斷網環境的通用原則
離線套件管理、內容搬運、變更追蹤的共通操作模式 — 所有斷網情境都要先建立的基礎能力
- 斷網環境的 IaC
Terraform provider mirror、離線 plugin cache、本地 state backend、沒有雲端時的 plan/apply 流程與內網 CI
- 斷網環境的容器與映像管理
Private registry 架設、映像搬運(docker save/load、skopeo)、base image 更新週期、離線漏洞掃描
- 斷網環境的監控與可觀測性
Self-hosted 監控(Prometheus + Grafana)、離線 log 收集(Loki / ELK)、不能 phone home 的告警、NTP 時間同步
- 斷網環境要自建的服務清單
正常環境消費的 SaaS(GitHub、Docker Hub、npm、Datadog)在斷網環境全部要自建 — 服務清單、選型、部署順序、統一管理取捨與維護的隱藏成本
- 斷網環境的版本控制與 CI/CD
在沒有 GitHub、沒有 Docker Hub 的隔離網路裡,怎麼部署版本控制、設定 CI runner、跨邊界傳輸 commit、以及讓 PR review 流程運作
- 斷網環境的套件與容器映像 Registry
斷網環境裡每一個 apt install、npm install、docker pull 都需要內部來源 — 用 Nexus Repository 統一管理套件、用 Harbor 管理容器映像、建立定期搬運與安全掃描的更新週期
- 斷網環境的基礎服務:DNS、NTP、CA 與 Secret Management
斷網環境裡其他所有服務的前提——內部 DNS 做名稱解析、NTP 做時間同步、內部 CA 簽發 TLS 憑證、Vault 管理機密值。這四個服務先部署、其他才能跟上。
- 斷網環境的資安與權限控管
斷網環境的威脅模型從外部攻擊轉向內部人員與供應鏈——實體安全、離線認證、稽核日誌、更新延遲窗口、跨邊界傳輸審查各有專屬的操作方式