32a - AI辅助DevOps概览

Level 5 ─── 自主运维（AIOps 3.0）─── AI 自主管理基础设施、预测并预防故障
  ↑                                    （2027+ 前沿探索）
Level 4 ─── 智能运维 ─────────────── AI 驱动自愈、预测性扩缩容、自动优化
  ↑                                    （2025-2026 领先团队）
Level 3 ─── 辅助运维 ─────────────── AI 生成 IaC/CI-CD 配置、辅助排障
  ↑                                    （2024-2025 主流团队）
Level 2 ─── 补全运维 ─────────────── AI 补全配置片段、建议最佳实践
  ↑                                    （2023-2024 早期采用者）
Level 1 ─── 手动运维 ─────────────── 完全手动编写配置和排障
                                       （传统方式）

┌─────────────────────────────────────────────────────────────────────┐
│                    DevOps 全链路 AI 应用地图                          │
├─────────────────────────────────────────────────────────────────────┤
│                                                                     │
│  ┌──────────┐   ┌──────────┐   ┌──────────┐   ┌──────────┐        │
│  │  计划     │──→│  编码     │──→│  构建     │──→│  测试     │        │
│  │ (Plan)   │   │ (Code)   │   │ (Build)  │   │ (Test)   │        │
│  └────┬─────┘   └────┬─────┘   └────┬─────┘   └────┬─────┘        │
│       │              │              │              │               │
│  AI 需求分析    AI 代码生成     AI 构建优化     AI 测试生成          │
│  AI 任务分解    AI 代码审查     依赖漏洞扫描    自愈 E2E 测试        │
│  AI 估算       IaC 生成       缓存策略优化    PBT 属性发现          │
│       │              │              │              │               │
│  ┌────▼─────┐   ┌────▼─────┐   ┌────▼─────┐   ┌────▼─────┐        │
│  │  发布     │←──│  部署     │←──│  运行     │←──│  监控     │        │
│  │(Release) │   │(Deploy)  │   │(Operate) │   │(Monitor) │        │
│  └──────────┘   └──────────┘   └──────────┘   └──────────┘        │
│       │              │              │              │               │
│  AI 发布策略    AI 部署编排     AI 事件响应     AI 异常检测          │
│  金丝雀分析    蓝绿/滚动部署   自愈基础设施    预测性告警            │
│  回滚决策      配置验证        成本优化        根因分析              │
│                                                                     │
│  ┌─────────────────────────────────────────────────────────────┐    │
│  │                    横切关注点（Cross-Cutting）                │    │
│  │  安全扫描 │ 合规检查 │ 成本监控 │ 文档生成 │ 知识管理        │    │
│  └─────────────────────────────────────────────────────────────┘    │
└─────────────────────────────────────────────────────────────────────┘

你是一位资深 DevOps 工程师。请为以下需求生成 Terraform 模块：

## 需求
[描述基础设施需求，例如：一个高可用的 Web 应用架构，包含 ALB + ECS Fargate + RDS PostgreSQL]

## 约束
- 云提供商：[AWS/GCP/Azure]
- 环境：[dev/staging/production]
- 安全要求：[列出安全要求]
- 成本预算：[月度预算]

## 输出要求
1. 模块化结构（networking, compute, database 分离）
2. 使用变量和输出
3. 包含安全组和 IAM 最小权限配置
4. 添加标签策略
5. 包含 README 说明

你是一位 CI/CD 专家。请为以下项目生成 GitHub Actions 工作流：

## 项目信息
- 语言/框架：[例如 Node.js + Next.js]
- 包管理器：[npm/pnpm/yarn]
- 测试框架：[例如 Vitest + Playwright]
- 部署目标：[例如 Vercel/AWS ECS/K8s]

## 工作流要求
1. PR 触发：lint → type-check → unit test → build
2. main 分支合并：上述 + E2E 测试 → 部署到 staging
3. tag 推送：上述 + 部署到 production
4. 包含缓存优化（node_modules, .next/cache）
5. 包含安全扫描（依赖漏洞 + 密钥泄露检测）
6. 失败时发送 Slack 通知

## 安全要求
- 使用 OIDC 进行云认证（不使用长期密钥）
- 密钥通过 GitHub Secrets 管理
- 限制 GITHUB_TOKEN 权限

你是一位资深 SRE 工程师。请为以下故障场景生成标准化 Runbook：

## 故障场景
[描述故障场景，例如：Kubernetes Pod 频繁 CrashLoopBackOff]

## 环境信息
- 集群：[EKS/GKE/AKS]
- 命名空间：[namespace]
- 相关服务：[服务列表]

## Runbook 要求
1. 症状描述（告警触发条件）
2. 影响范围评估
3. 诊断步骤（从简单到复杂，包含具体 kubectl 命令）
4. 修复操作（分级：临时缓解 → 根本修复）
5. 验证步骤（确认修复成功）
6. 预防措施（避免再次发生）
7. 升级路径（何时需要升级给更高级别工程师）

┌─────────────────────────────────────────────────────────────────┐
│                    AI DevOps 能力层次金字塔                       │
├─────────────────────────────────────────────────────────────────┤
│                                                                 │
│                        ┌───────┐                                │
│                        │ L5    │  自主运维                       │
│                        │ 自主  │  AI 独立管理基础设施             │
│                       ┌┴───────┴┐                               │
│                       │ L4      │  预测性运维                    │
│                       │ 预测    │  AI 预测故障并预防              │
│                      ┌┴─────────┴┐                              │
│                      │ L3        │  智能辅助                     │
│                      │ 智能      │  AI 生成完整配置 + 排障        │
│                     ┌┴───────────┴┐                             │
│                     │ L2          │  上下文感知                   │
│                     │ 感知        │  AI 理解项目上下文补全         │
│                    ┌┴─────────────┴┐                            │
│                    │ L1            │  基础补全                    │
│                    │ 补全          │  AI 补全配置片段              │
│                    └───────────────┘                            │
└─────────────────────────────────────────────────────────────────┘

┌─────────────────────────────────────────────────────────────┐
│              DevOps Steering 规则维度                         │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  ┌──────────────┐  ┌──────────────┐  ┌──────────────┐      │
│  │   安全规则    │  │   架构规则    │  │   运维规则    │      │
│  │              │  │              │  │              │      │
│  │ • 最小权限    │  │ • 高可用设计  │  │ • 监控标准    │      │
│  │ • 密钥管理    │  │ • 多 AZ 部署  │  │ • 日志规范    │      │
│  │ • 网络隔离    │  │ • 自动扩缩容  │  │ • 告警策略    │      │
│  │ • 加密传输    │  │ • 灾备策略    │  │ • 备份策略    │      │
│  └──────────────┘  └──────────────┘  └──────────────┘      │
│                                                             │
│  ┌──────────────┐  ┌──────────────┐  ┌──────────────┐      │
│  │   成本规则    │  │   合规规则    │  │   命名规则    │      │
│  │              │  │              │  │              │      │
│  │ • 资源标签    │  │ • GDPR       │  │ • 资源命名    │      │
│  │ • 预算限制    │  │ • SOC 2      │  │ • 标签策略    │      │
│  │ • 实例类型    │  │ • HIPAA      │  │ • 环境前缀    │      │
│  │ • 自动关停    │  │ • PCI DSS    │  │ • 版本标记    │      │
│  └──────────────┘  └──────────────┘  └──────────────┘      │
└─────────────────────────────────────────────────────────────┘

# DevOps Steering 规则
 
## 基础设施规则
- 所有 Terraform 资源必须包含 `environment`、`team`、`cost-center` 标签
- 安全组规则禁止使用 0.0.0.0/0 入站规则（除 ALB/NLB 的 80/443 端口外）
- 数据库实例必须启用加密存储和自动备份（保留 7 天以上）
- 所有 S3 存储桶必须启用版本控制和服务端加密
- 生产环境必须使用多 AZ 部署
 
## CI/CD 规则
- 所有管线必须包含 lint、type-check、unit-test、security-scan 阶段
- 生产部署必须通过 staging 环境验证
- 使用 OIDC 进行云认证，禁止长期 Access Key
- GITHUB_TOKEN 权限必须遵循最小权限原则
- 部署失败必须自动回滚
 
## 容器化规则
- Dockerfile 必须使用多阶段构建
- 基础镜像必须使用特定版本标签（禁止 :latest）
- 容器必须以非 root 用户运行
- K8s Deployment 必须设置资源请求和限制
- 必须配置健康检查（liveness + readiness probe）
 
## 监控规则
- 所有服务必须暴露 /health 和 /metrics 端点
- 必须配置 CPU > 80%、内存 > 85%、磁盘 > 90% 的告警
- 日志必须使用结构化 JSON 格式
- 关键业务指标必须有 Grafana 仪表板
- 必须定义 SLO（可用性 ≥ 99.9%）
 
## 安全规则
- 密钥必须通过 Secrets Manager/Vault 管理，禁止硬编码
- 所有外部通信必须使用 TLS 1.2+
- 容器镜像必须通过安全扫描（零高危漏洞）
- IAM 策略必须遵循最小权限原则
- 启用 CloudTrail/审计日志

---
inclusion: auto
globs: ["**/*.tf", "**/*.yaml", "**/*.yml", "**/Dockerfile*", "**/.github/**"]
---
 
# DevOps Steering 规则
 
## Terraform 规则
- 所有资源必须包含 environment、team、cost-center 标签
- 使用 terraform-aws-modules 官方模块优先
- 安全组禁止 0.0.0.0/0 入站（ALB 80/443 除外）
- 数据库必须启用加密和自动备份
 
## Kubernetes 规则
- 所有 Deployment 必须设置 resources.requests 和 resources.limits
- 必须配置 livenessProbe 和 readinessProbe
- 禁止使用 :latest 镜像标签
- 容器必须以非 root 用户运行（runAsNonRoot: true）
 
## CI/CD 规则
- GitHub Actions 使用 OIDC 认证云服务
- 所有管线包含安全扫描阶段
- 生产部署需要手动审批

## DevOps 配置生成规则
 
当生成基础设施或运维配置时：
1. 始终遵循最小权限原则
2. 所有密钥通过 Secrets Manager 管理，禁止硬编码
3. 生产环境配置必须包含高可用设计（多 AZ）
4. 所有配置必须包含注释说明用途和依赖关系
5. Terraform 使用远程状态存储（S3 + DynamoDB 锁）
6. Docker 镜像使用多阶段构建，最小化攻击面

┌──────────────────────────────────────────────────────────┐
│                                                          │
│  开发时                    部署时                运行时    │
│  ┌──────────┐         ┌──────────┐         ┌──────────┐ │
│  │ Steering │  ──→    │ Policy   │  ──→    │ Runtime  │ │
│  │ 规则     │         │ as Code  │         │ 监控     │ │
│  │          │         │          │         │          │ │
│  │ 指导 AI  │         │ OPA      │         │ Falco    │ │
│  │ 生成配置 │         │ Conftest │         │ Sysdig   │ │
│  │          │         │ Sentinel │         │ Datadog  │ │
│  └──────────┘         └──────────┘         └──────────┘ │
│                                                          │
│  预防问题产生            阻止不合规部署        检测运行时违规 │
└──────────────────────────────────────────────────────────┘

阶段四：AI 集成（高级）
├── AI Agent 工作流设计（LangChain/LangGraph）
├── MCP Server 开发（连接 DevOps 工具）
├── RAG 系统构建（运维知识库）
├── MLOps 基础（模型部署和监控）
└── AI 辅助的混沌工程和容量规划

阶段三：现代 DevOps（中级）
├── CI/CD 管线设计（GitHub Actions/GitLab CI）
├── IaC 实践（Terraform/Pulumi）
├── 容器编排（Docker/Kubernetes）
├── 可观测性（Prometheus/Grafana/Datadog）
├── GitOps（Argo CD/Flux）
└── 云平台认证（AWS/GCP/Azure）

阶段二：AI 日常应用（初级-中级）
├── AI 辅助排障（使用 AI 分析日志和指标）
├── AI 生成 IaC 模板（Copilot/Claude Code）
├── AI 优化 CI/CD 配置
├── AI 辅助安全扫描
└── AI 生成运维文档

阶段一：基础（初级）
├── Linux 系统管理
├── 网络基础
├── Git 版本控制
├── Shell/Python 脚本
├── 容器基础（Docker）
└── 云计算基础概念

Prompt: 请为我的 Next.js SaaS 应用生成 AWS 基础设施的 Terraform 配置：
- VPC（3 个 AZ，公有/私有子网）
- ALB（HTTPS，ACM 证书）
- ECS Fargate（自动扩缩容 2-10 实例）
- RDS PostgreSQL（Multi-AZ，加密存储）
- ElastiCache Redis（会话缓存）
- S3（静态资源 + 日志存储）
- CloudWatch 日志组
- 所有资源添加 environment 和 team 标签

Prompt: 为我的 Next.js + Node.js 项目生成 GitHub Actions 工作流：
- PR 触发：lint + type-check + unit test + build
- main 合并：上述 + E2E 测试 + 部署到 staging
- release tag：部署到 production（需要手动审批）
- 使用 pnpm，缓存 node_modules 和 .next/cache
- 包含 Snyk 安全扫描
- 使用 OIDC 认证 AWS（不使用 Access Key）

Prompt: 为我的 Next.js 应用生成优化的 Dockerfile：
- 多阶段构建（deps → build → runner）
- 使用 node:20-alpine 基础镜像
- 非 root 用户运行
- 健康检查端点
- 最小化镜像大小

Prompt: 为我的 ECS Fargate + RDS 架构生成 Grafana 仪表板和 Prometheus 告警规则：
- 应用层：请求延迟 P50/P95/P99、错误率、QPS
- 基础设施层：CPU/内存使用率、网络 I/O
- 数据库层：连接数、查询延迟、复制延迟
- 告警规则：错误率 > 1%、P99 > 2s、CPU > 80%

Prompt: 为以下常见故障场景生成运维 Runbook：
1. ECS 任务频繁重启
2. RDS 连接数耗尽
3. ALB 5xx 错误率飙升
4. 磁盘空间不足
5. 证书即将过期

每个 Runbook 包含：症状、诊断步骤、修复操作、预防措施