feat(appendix): 添加多个交互式演示组件，完善 AI/Infra 等章节内容

- 新增 Vibe Coding 全栈相关演示组件 (DeveloperSkillShift, FrontendTriad, BackendCore 等)
- 新增 RAG 相关组件 (RAGPipeline, ChunkingStrategy, Retrieval 等)
- 新增 Embedding & Vector 相关组件 (EmbeddingConcept, VectorSimilarity 等)
- 新增 AI Native App 设计组件 (AINativeArch, PromptDesign 等)
- 新增 Infrastructure as Code 组件 (IaCConcept, TerraformWorkflow 等)
- 新增 DNS & HTTPS 演示组件 (DnsResolution, HttpsHandshake 等)
- 新增 Model Finetuning 组件 (FinetuningPipeline 等)
- 更新多个章节的 markdown 内容，集成交互式演示

docs/zh-cn/appendix/7-infrastructure-and-operations/dns-https.md

@@ -1,3 +1,173 @@
 # 域名、DNS 与 HTTPS
 
-> 待实现
+::: tip 前言
+**当你在浏览器输入 `www.google.com` 并按下回车，背后发生了什么？** 这个看似简单的动作，背后涉及域名解析、DNS 查询、TLS 加密握手等一系列精密的协作过程。理解这些机制，是每个开发者的必修课——它直接关系到你的网站能不能被访问、数据会不会被窃取。
+:::
+
+**这篇文章会带你学什么？**
+
+学完这章后，你将获得：
+
+- **DNS 原理**：理解域名如何被翻译成 IP 地址的完整过程
+- **记录类型**：掌握 A、CNAME、MX 等常见 DNS 记录的用途
+- **HTTPS 机制**：理解 TLS 握手如何建立安全连接
+- **证书体系**：了解数字证书的信任链和验证机制
+- **安全意识**：明白为什么 HTTPS 是现代 Web 的底线要求
+
+| 章节 | 内容 | 核心概念 |
+|-----|------|---------|
+| **第 1 章** | DNS 解析 | 递归查询、迭代查询 |
+| **第 2 章** | DNS 记录 | A、CNAME、MX、TXT |
+| **第 3 章** | HTTPS 与 TLS | 握手过程、加密通信 |
+| **第 4 章** | 证书信任链 | CA、根证书、中间证书 |
+| **第 5 章** | HTTP vs HTTPS | 明文 vs 加密、安全对比 |
+
+---
+
+## 0. 全景图：从域名到安全连接
+
+互联网的通信基于 IP 地址（如 142.250.80.46），但人类记不住这些数字。于是我们发明了**域名系统（DNS）**——互联网的"电话簿"，把人类可读的域名翻译成机器可读的 IP 地址。
+
+但光能找到服务器还不够。如果通信内容是明文传输的，任何中间人都能窃听、篡改你的数据。**HTTPS** 就是解决这个问题的——它在 HTTP 之上加了一层 TLS 加密，确保数据在传输过程中的机密性和完整性。
+
+::: tip 一次完整的网页访问
+1. **域名解析**：浏览器问 DNS "www.google.com 的 IP 是多少？"，DNS 回答 "142.250.80.46"
+2. **TCP 连接**：浏览器与服务器建立 TCP 三次握手
+3. **TLS 握手**：双方协商加密算法、验证证书、交换密钥
+4. **加密通信**：所有 HTTP 数据通过加密通道传输
+:::
+
+---
+
+## 1. DNS 解析：互联网的"电话簿"
+
+DNS（Domain Name System）的工作原理就像查电话簿：你知道对方的名字（域名），需要查到对方的电话号码（IP 地址）。但互联网的"电话簿"不是一本，而是一个分层的分布式系统。
+
+<DnsResolutionDemo />
+
+::: tip DNS 解析的四个步骤
+1. **浏览器缓存**：先查本地缓存，如果之前访问过这个域名，直接用缓存的 IP
+2. **递归解析器**：缓存没命中，请求发给 ISP 的递归解析器（如 8.8.8.8）
+3. **逐级查询**：递归解析器依次询问根域名服务器 → 顶级域服务器（.com）→ 权威域名服务器（google.com）
+4. **返回结果**：权威服务器返回最终 IP，递归解析器缓存结果并返回给浏览器
+:::
+
+| 层级 | 服务器 | 职责 | 数量 |
+|------|-------|------|------|
+| 根域 | Root Server | 知道所有顶级域的地址 | 全球 13 组 |
+| 顶级域 | TLD Server | 管理 .com、.cn、.org 等 | 每个后缀一组 |
+| 权威域 | Authoritative | 存储具体域名的 DNS 记录 | 每个域名至少 2 个 |
+| 递归解析器 | Resolver | 代替用户完成整个查询过程 | ISP 或公共 DNS |
+
+---
+
+## 2. DNS 记录类型：域名背后的"配置表"
+
+DNS 不只是把域名翻译成 IP。通过不同类型的 DNS 记录，你可以控制邮件投递、域名跳转、服务发现等多种行为。理解这些记录类型，是配置域名和排查网络问题的基础。
+
+<DnsRecordTypeDemo />
+
+| 记录类型 | 用途 | 示例 |
+|---------|------|------|
+| A | 域名 → IPv4 地址 | `example.com → 93.184.216.34` |
+| AAAA | 域名 → IPv6 地址 | `example.com → 2606:2800:220:1:...` |
+| CNAME | 域名 → 另一个域名（别名） | `www.example.com → example.com` |
+| MX | 指定邮件服务器 | `example.com → mail.example.com` |
+| TXT | 存储文本信息 | SPF 验证、域名所有权验证 |
+| NS | 指定权威域名服务器 | `example.com → ns1.example.com` |
+
+::: tip 实际场景中的 DNS 配置
+- **部署网站**：添加 A 记录指向服务器 IP，或 CNAME 指向 CDN 域名
+- **配置邮箱**：添加 MX 记录指向邮件服务器，TXT 记录配置 SPF/DKIM 防垃圾邮件
+- **验证域名所有权**：云服务商要求你添加特定 TXT 记录来证明你拥有这个域名
+- **负载均衡**：同一域名配置多条 A 记录，DNS 轮询分发流量
+:::
+
+---
+
+## 3. HTTPS 与 TLS：给数据穿上"防弹衣"
+
+HTTP 协议的数据是明文传输的——就像寄明信片，邮递员（中间人）可以随意阅读内容。HTTPS 在 HTTP 之上加了一层 TLS（Transport Layer Security）加密，相当于把明信片装进了密封信封。
+
+TLS 握手是建立安全连接的关键步骤，它在正式传输数据之前，完成身份验证和密钥协商。
+
+<HttpsHandshakeDemo />
+
+::: tip TLS 1.3 握手的核心步骤
+1. **Client Hello**：客户端发送支持的加密算法列表和一个随机数
+2. **Server Hello**：服务器选择加密算法，返回数字证书和随机数
+3. **证书验证**：客户端验证服务器证书是否可信（检查 CA 签名、有效期、域名匹配）
+4. **密钥交换**：双方通过 ECDHE 算法协商出一个共享密钥（不在网络上传输密钥本身）
+5. **加密通信**：后续所有数据使用协商好的对称密钥加密传输
+:::
+
+| 特性 | TLS 1.2 | TLS 1.3 |
+|------|---------|---------|
+| 握手往返次数 | 2-RTT | 1-RTT（首次）/ 0-RTT（恢复） |
+| 密钥交换 | RSA 或 ECDHE | 仅 ECDHE（前向安全） |
+| 加密算法 | 支持较多旧算法 | 仅保留安全算法 |
+| 性能 | 较慢 | 更快 |
+
+---
+
+## 4. 证书信任链：凭什么相信这个网站？
+
+TLS 握手中最关键的一步是"证书验证"。浏览器怎么判断一个网站的证书是真的，而不是攻击者伪造的？答案是**证书信任链**——一个层层背书的信任体系。
+
+<CertificateChainDemo />
+
+::: tip 证书信任链的三层结构
+1. **根证书（Root CA）**：由受信任的证书颁发机构签发，预装在操作系统和浏览器中。这是信任的"锚点"。
+2. **中间证书（Intermediate CA）**：由根 CA 签发，用于签发终端证书。根 CA 不直接签发网站证书，是为了安全隔离。
+3. **终端证书（Leaf Certificate）**：你的网站实际使用的证书，由中间 CA 签发，包含域名、公钥、有效期等信息。
+:::
+
+| 证书类型 | 验证级别 | 颁发速度 | 适用场景 |
+|---------|---------|---------|---------|
+| DV（域名验证） | 仅验证域名所有权 | 分钟级 | 个人网站、博客 |
+| OV（组织验证） | 验证组织身份 | 数天 | 企业官网 |
+| EV（扩展验证） | 严格验证组织 | 数周 | 银行、金融机构 |
+| 通配符证书 | 覆盖所有子域名 | 视类型而定 | 多子域名场景 |
+
+---
+
+## 5. HTTP vs HTTPS：为什么加密是底线？
+
+2024 年，全球超过 95% 的网页流量已经通过 HTTPS 传输。Chrome 浏览器会对 HTTP 网站标记"不安全"警告，搜索引擎也会降低 HTTP 网站的排名。HTTPS 不再是"可选项"，而是现代 Web 的底线要求。
+
+<DnsHttpsComparisonDemo />
+
+| 维度 | HTTP | HTTPS |
+|------|------|-------|
+| 数据传输 | 明文，可被窃听 | 加密，无法被窃听 |
+| 身份验证 | 无，无法确认服务器身份 | 有，通过证书验证服务器 |
+| 数据完整性 | 无保护，可被篡改 | 有保护，篡改会被检测 |
+| 端口 | 80 | 443 |
+| SEO 影响 | 搜索排名降低 | 搜索排名加分 |
+| 浏览器表现 | 显示"不安全"警告 | 显示锁图标 |
+
+::: tip 免费获取 HTTPS 证书
+**Let's Encrypt** 是一个免费、自动化的证书颁发机构，让任何网站都能零成本启用 HTTPS。配合 Certbot 工具，可以一键申请和自动续期证书。大多数云平台和 CDN 服务商也提供免费的 SSL 证书。
+:::
+
+---
+
+## 总结
+
+域名、DNS 和 HTTPS 是互联网基础设施的三大支柱。DNS 让我们用人类可读的名字访问网站，HTTPS 确保通信过程安全可信。
+
+回顾本章的关键要点：
+
+1. **DNS 是分层系统**：根域 → 顶级域 → 权威域，逐级查询，缓存加速
+2. **记录类型各有用途**：A 记录指向 IP，CNAME 做别名，MX 管邮件，TXT 做验证
+3. **TLS 握手建立信任**：证书验证 + 密钥协商，TLS 1.3 只需 1-RTT
+4. **证书信任链**：根 CA → 中间 CA → 终端证书，层层背书
+5. **HTTPS 是底线**：免费证书（Let's Encrypt）让加密零门槛
+
+## 延伸阅读
+
+- [How DNS Works](https://howdns.works/) - 漫画形式讲解 DNS 工作原理
+- [Let's Encrypt 文档](https://letsencrypt.org/docs/) - 免费 SSL 证书申请指南
+- [Cloudflare Learning Center](https://www.cloudflare.com/learning/dns/what-is-dns/) - DNS 和网络安全系统教程
+- [TLS 1.3 RFC 8446](https://datatracker.ietf.org/doc/html/rfc8446) - TLS 1.3 协议规范
+- [SSL Labs](https://www.ssllabs.com/ssltest/) - 在线检测网站 HTTPS 配置质量

docs/zh-cn/appendix/7-infrastructure-and-operations/incident-response.md

@@ -1,3 +1,158 @@
 # 故障排查与应急响应
 
-> 待实现
+::: tip 前言
+**凌晨三点，手机疯狂震动，线上服务全面瘫痪——你该怎么办？** 对于任何互联网团队来说，故障不是"会不会发生"的问题，而是"什么时候发生"的问题。优秀的团队不是不出故障，而是出了故障能快速响应、高效恢复，并从中学习避免重蹈覆辙。
+:::
+
+**这篇文章会带你学什么？**
+
+学完这章后，你将获得：
+
+- **分级意识**：掌握 P0~P4 事故严重程度分级标准
+- **响应流程**：理解从发现到恢复的完整事故响应时间线
+- **组织协作**：了解事故指挥体系中的角色分工和协作机制
+- **告警体系**：掌握告警升级策略，确保关键问题不被遗漏
+- **复盘方法**：学会用"五个为什么"挖掘根因，写出有价值的复盘报告
+
+| 章节 | 内容 | 核心概念 |
+|-----|------|---------|
+| **第 1 章** | 严重程度分级 | P0~P4、影响范围评估 |
+| **第 2 章** | 响应时间线 | 发现→响应→恢复→复盘 |
+| **第 3 章** | 指挥体系 | IC、通信官、技术负责人 |
+| **第 4 章** | 告警升级 | 分级告警、逐级升级 |
+| **第 5 章** | 事后复盘 | 五个为什么、无责文化 |
+
+---
+
+## 0. 全景图：故障是最好的老师
+
+Netflix 有一个著名的工具叫 Chaos Monkey——它会随机杀掉生产环境的服务器。听起来疯狂，但背后的逻辑很清晰：**与其等故障找上门，不如主动制造故障来锻炼团队的应急能力**。
+
+应急响应不是靠临场发挥，而是靠**流程、角色、工具**三位一体的体系化建设。就像消防队不是火灾发生时才组建的——他们平时就在训练、演练、维护装备。
+
+::: tip 应急响应的四个核心要素
+- **快速发现**：完善的监控和告警体系，确保问题在用户感知之前被发现
+- **高效协作**：清晰的角色分工和沟通机制，避免混乱中的重复劳动
+- **快速恢复**：优先恢复服务，而不是优先找根因。先止血，再治病
+- **持续改进**：每次故障都是学习机会，通过复盘不断完善系统和流程
+:::
+
+---
+
+## 1. 严重程度分级：不是所有故障都要"全员出动"
+
+一个按钮颜色显示错误和整个支付系统瘫痪，显然不是同一个级别的问题。**事故分级**的目的是让团队用合适的力度响应合适级别的问题——既不过度反应浪费资源，也不轻视问题导致损失扩大。
+
+<SeverityLevelDemo />
+
+| 级别 | 名称 | 影响范围 | 响应要求 | 示例 |
+|------|------|---------|---------|------|
+| P0 | 致命 | 核心业务完全不可用 | 立即响应，全员待命 | 支付系统瘫痪、数据泄露 |
+| P1 | 严重 | 核心功能严重受损 | 15 分钟内响应 | 登录失败率 > 50%、API 大面积超时 |
+| P2 | 重要 | 部分功能异常 | 1 小时内响应 | 搜索结果不准确、部分页面 500 |
+| P3 | 一般 | 非核心功能异常 | 工作时间处理 | 头像加载失败、非关键通知延迟 |
+| P4 | 轻微 | 体验问题 | 排入迭代计划 | UI 错位、文案错误 |
+
+::: tip 分级的关键原则
+- **影响用户数**：影响 100% 用户的 P2 可能比影响 1% 用户的 P1 更紧急
+- **业务损失**：直接影响收入的问题（支付、下单）优先级更高
+- **可降级处理**：如果有临时方案可以缓解影响，可以适当降级处理
+- **动态调整**：随着排查深入，级别可能上调或下调
+:::
+
+---
+
+## 2. 响应时间线：从发现到复盘的完整流程
+
+一次事故响应就像一场接力赛，每个阶段都有明确的目标和交接点。清晰的时间线能让团队在混乱中保持有序。
+
+<IncidentTimelineDemo />
+
+::: tip 事故响应的五个阶段
+1. **检测（Detection）**：通过监控告警、用户反馈或内部巡检发现异常。目标：尽早发现，缩短 MTTD（平均检测时间）。
+2. **响应（Response）**：确认事故、评估严重程度、召集响应团队、建立沟通频道。目标：快速组织起有效的响应力量。
+3. **缓解（Mitigation）**：采取临时措施恢复服务，如回滚部署、切换备用节点、限流降级。目标：先止血，恢复用户体验。
+4. **修复（Resolution）**：找到根本原因并彻底修复。目标：消除隐患，防止复发。
+5. **复盘（Postmortem）**：回顾整个过程，分析根因，制定改进措施。目标：从故障中学习，让系统更健壮。
+:::
+
+| 指标 | 含义 | 优化方向 |
+|------|------|---------|
+| MTTD | 平均检测时间 | 完善监控覆盖、降低告警阈值 |
+| MTTR | 平均恢复时间 | 自动化恢复、预案演练 |
+| MTBF | 平均故障间隔 | 提升系统可靠性、消除单点故障 |
+
+---
+
+## 3. 指挥体系：谁来指挥这场"战斗"？
+
+大型事故中最怕的不是技术难题，而是**混乱**——十几个人同时在排查，没人知道别人在做什么，关键信息在各个群里碎片化传播。事故指挥体系（Incident Command System）就是为了解决这个问题。
+
+<IncidentCommandDemo />
+
+::: tip 三个核心角色
+1. **事故指挥官（Incident Commander, IC）**：整个事故响应的总负责人。负责决策、协调资源、把控节奏。IC 不一定是技术最强的人，但必须是最冷静、最有全局观的人。
+2. **通信官（Communication Lead）**：负责对外沟通——更新状态页、通知客户、同步管理层。让 IC 和技术人员专注于解决问题，不被沟通事务打断。
+3. **技术负责人（Tech Lead）**：负责技术层面的排查和修复。组织技术人员分工协作，向 IC 汇报进展和方案。
+:::
+
+---
+
+## 4. 告警升级：确保关键问题不被遗漏
+
+告警系统是事故响应的"眼睛"。但告警太少会漏报，告警太多会导致"告警疲劳"——当每天收到几百条告警时，真正重要的那条很容易被淹没。**告警升级策略**就是解决这个问题的关键。
+
+<AlertEscalationDemo />
+
+::: tip 告警升级的三层机制
+1. **一线响应（L1）**：告警触发后，先通知值班工程师。如果 15 分钟内未确认，自动升级。
+2. **二线升级（L2）**：通知团队负责人和相关领域专家。如果 30 分钟内未缓解，继续升级。
+3. **三线升级（L3）**：通知技术总监和管理层，启动全面应急响应。
+:::
+
+| 告警级别 | 通知方式 | 响应时限 | 升级条件 |
+|---------|---------|---------|---------|
+| Warning | IM 消息 | 工作时间处理 | 持续 30 分钟未恢复 |
+| Critical | 电话 + IM | 15 分钟内确认 | 未确认或未缓解 |
+| Fatal | 电话轰炸 + 短信 | 5 分钟内响应 | 自动升级至管理层 |
+
+---
+
+## 5. 事后复盘：从故障中学习
+
+事故恢复后，最重要的一步是**复盘（Postmortem）**。复盘不是为了追责，而是为了找到系统性的改进机会。Google、Meta 等公司都奉行"无责复盘"文化——关注"系统为什么允许这个错误发生"，而不是"谁犯了这个错误"。
+
+<PostmortemDemo />
+
+::: tip "五个为什么"分析法
+从表面现象出发，连续追问"为什么"，直到找到根本原因：
+1. **为什么服务挂了？** → 数据库连接池耗尽
+2. **为什么连接池耗尽？** → 慢查询占用连接不释放
+3. **为什么有慢查询？** → 缺少索引，全表扫描
+4. **为什么缺少索引？** → 新表上线时没有 DBA 审核
+5. **为什么没有审核？** → 没有强制的 SQL 审核流程
+
+根因不是"某个人忘了加索引"，而是"缺少 SQL 审核流程"。修复根因才能防止复发。
+:::
+
+---
+
+## 总结
+
+故障排查与应急响应是每个技术团队的必备能力。它不是靠英雄主义的个人发挥，而是靠体系化的流程、清晰的角色分工和持续的复盘改进。
+
+回顾本章的关键要点：
+
+1. **分级响应**：P0~P4 分级确保用合适的力度应对合适级别的问题
+2. **时间线清晰**：检测→响应→缓解→修复→复盘，每个阶段目标明确
+3. **指挥体系**：IC + 通信官 + 技术负责人，分工协作避免混乱
+4. **告警升级**：分级告警 + 自动升级，确保关键问题不被遗漏
+5. **无责复盘**：用"五个为什么"挖掘根因，关注系统改进而非个人追责
+
+## 延伸阅读
+
+- [Google SRE Book - Incident Response](https://sre.google/sre-book/managing-incidents/) - Google 的事故管理实践
+- [PagerDuty Incident Response Guide](https://response.pagerduty.com/) - PagerDuty 开源的应急响应指南
+- [Atlassian Incident Management](https://www.atlassian.com/incident-management) - Atlassian 的事故管理最佳实践
+- [Learning from Incidents](https://www.learningfromincidents.io/) - 从事故中学习的社区资源
+- [Chaos Engineering (O'Reilly)](https://www.oreilly.com/library/view/chaos-engineering/9781492043850/) - 混沌工程原理与实践

docs/zh-cn/appendix/7-infrastructure-and-operations/infrastructure-as-code.md

@@ -1,3 +1,173 @@
 # 基础设施即代码
 
-> 待实现
+::: tip 前言
+**你有没有经历过这种噩梦：线上服务器挂了，但没人记得当初是怎么配置的？** 手动登录服务器、凭记忆敲命令、祈祷不要敲错——这就是传统运维的日常。基础设施即代码（Infrastructure as Code，IaC）彻底改变了这一切：用代码来定义和管理基础设施，让服务器配置像软件一样可版本控制、可复现、可审计。
+:::
+
+**这篇文章会带你学什么？**
+
+学完这章后，你将获得：
+
+- **核心概念**：理解 IaC 是什么，为什么它是现代运维的基石
+- **工作流认知**：掌握 Terraform 的 Write → Plan → Apply → Destroy 四阶段流程
+- **工具选型**：了解 Terraform、Pulumi、CloudFormation 等主流工具的优劣
+- **风险意识**：理解配置漂移的危害和检测方法
+- **最佳实践**：掌握 IaC 项目的工程化管理方法
+
+| 章节 | 内容 | 核心概念 |
+|-----|------|---------|
+| **第 1 章** | IaC 概念 | 手动运维 vs 代码化管理 |
+| **第 2 章** | Terraform 工作流 | Write → Plan → Apply |
+| **第 3 章** | 工具对比 | Terraform、Pulumi、CDK |
+| **第 4 章** | 配置漂移 | 检测、预防、修复 |
+| **第 5 章** | 最佳实践 | 模块化、状态管理、CI/CD |
+
+---
+
+## 0. 全景图：为什么基础设施也需要"源代码"？
+
+想象你是一个厨师。如果每道菜都凭感觉做，今天放一勺盐、明天放两勺，味道永远不稳定。但如果你把配方写下来——精确到每种调料的克数——任何人都能复现同样的味道。
+
+基础设施管理面临的是同样的问题。一台服务器的配置可能涉及操作系统、网络规则、安全组、存储卷、环境变量等几十个参数。手动配置不仅容易出错，而且**不可复现、不可审计、不可回滚**。
+
+::: tip IaC 的核心价值
+- **可复现**：同一份代码，无论执行多少次，结果都一样（幂等性）
+- **可版本控制**：基础设施变更通过 Git 管理，谁改了什么、为什么改，一目了然
+- **可审计**：所有变更都有记录，满足合规要求
+- **可自动化**：通过 CI/CD 流水线自动部署，消除人为操作风险
+- **可协作**：团队成员通过 Pull Request 审查基础设施变更，就像审查代码一样
+:::
+
+---
+
+## 1. IaC 概念：从"手动点击"到"代码声明"
+
+传统运维的工作方式是：登录云平台控制台，手动点击创建服务器、配置网络、设置安全组。这种方式在管理几台服务器时还能应付，但当规模扩大到几十、几百台时，就变成了噩梦。
+
+IaC 的核心思想是：**用声明式代码描述你想要的基础设施状态，让工具自动帮你实现**。你不需要告诉工具"先创建 VPC，再创建子网，再创建安全组"（命令式），只需要说"我要一个这样的网络环境"（声明式），工具会自动计算出需要执行的步骤。
+
+<IaCConceptDemo />
+
+| 维度 | 手动运维 | 基础设施即代码 |
+|------|---------|--------------|
+| 操作方式 | 登录控制台点击 | 编写代码文件 |
+| 可复现性 | 依赖文档和记忆 | 代码即文档，100% 可复现 |
+| 变更追踪 | 无记录或记录不全 | Git 版本控制，完整历史 |
+| 协作方式 | 口头沟通、文档传递 | Pull Request 审查 |
+| 回滚能力 | 手动逆向操作 | git revert + 重新 apply |
+| 一致性 | 环境间差异大 | 开发/测试/生产完全一致 |
+
+::: tip 声明式 vs 命令式
+- **声明式（Declarative）**：描述"我要什么"，工具自动计算"怎么做"。Terraform、CloudFormation 采用这种方式。优点是幂等性好，缺点是灵活性受限。
+- **命令式（Imperative）**：描述"怎么做"，一步步执行。Ansible、Shell 脚本采用这种方式。优点是灵活，缺点是难以保证幂等性。
+- **混合式**：Pulumi、AWS CDK 用通用编程语言编写，兼具声明式的状态管理和命令式的灵活性。
+:::
+
+---
+
+## 2. Terraform 工作流：Write → Plan → Apply
+
+Terraform 是目前最流行的 IaC 工具，由 HashiCorp 开发。它的工作流程清晰直观，分为四个阶段，就像软件开发的"编码→审查→部署→清理"。
+
+<TerraformWorkflowDemo />
+
+::: tip 四阶段工作流
+1. **Write（编写）**：用 HCL（HashiCorp Configuration Language）编写基础设施定义文件（.tf）。声明你需要的资源：服务器、数据库、网络等。
+2. **Plan（计划）**：运行 `terraform plan`，Terraform 会对比当前状态和目标状态，生成一份"执行计划"——告诉你它打算创建、修改、删除哪些资源。这是安全网，让你在真正执行前确认变更。
+3. **Apply（执行）**：确认计划无误后，运行 `terraform apply`，Terraform 按计划创建或修改资源。执行完成后，当前状态会保存到状态文件（terraform.tfstate）。
+4. **Destroy（销毁）**：不再需要时，运行 `terraform destroy` 清理所有资源，避免产生不必要的费用。
+:::
+
+| 命令 | 作用 | 是否修改基础设施 | 使用场景 |
+|------|------|----------------|---------|
+| `terraform init` | 初始化项目，下载 Provider | 否 | 首次使用或添加新 Provider |
+| `terraform plan` | 预览变更，生成执行计划 | 否 | 每次变更前必须执行 |
+| `terraform apply` | 执行变更，创建/修改资源 | 是 | 确认 plan 后执行 |
+| `terraform destroy` | 销毁所有资源 | 是 | 清理测试环境、下线服务 |
+| `terraform state` | 查看/管理状态文件 | 视操作而定 | 状态迁移、资源导入 |
+
+---
+
+## 3. 工具对比：选择适合你的 IaC 工具
+
+IaC 领域有多种工具，各有侧重。选择工具时需要考虑团队技术栈、云平台、项目规模等因素。没有"最好"的工具，只有最适合你场景的工具。
+
+<IaCToolComparisonDemo />
+
+| 工具 | 语言 | 云平台支持 | 学习曲线 | 适用场景 |
+|------|------|-----------|---------|---------|
+| Terraform | HCL | 多云（AWS/Azure/GCP） | 中等 | 多云环境、团队协作 |
+| Pulumi | Python/TS/Go | 多云 | 低（熟悉编程语言） | 开发者友好、复杂逻辑 |
+| AWS CloudFormation | JSON/YAML | 仅 AWS | 中等 | 纯 AWS 环境 |
+| AWS CDK | Python/TS/Java | 仅 AWS | 低 | AWS + 编程语言偏好 |
+| Ansible | YAML | 多云 + 裸机 | 低 | 配置管理、混合环境 |
+
+::: tip 如何选择？
+- **初创团队 / 单云**：CloudFormation（AWS）或对应云平台原生工具，生态集成最好
+- **多云 / 中大型团队**：Terraform，社区最大、Provider 最丰富、招聘最容易
+- **开发者主导的团队**：Pulumi 或 CDK，用熟悉的编程语言写基础设施，IDE 支持好
+- **需要配置管理**：Ansible，擅长服务器内部配置（安装软件、修改配置文件）
+:::
+
+---
+
+## 4. 配置漂移：无声的定时炸弹
+
+配置漂移（Configuration Drift）是 IaC 实践中最隐蔽的敌人。它指的是**实际基础设施状态与代码定义的状态之间逐渐产生偏差**。
+
+这种偏差通常是怎么产生的？有人为了"快速修复"一个线上问题，直接登录控制台手动改了安全组规则；有人为了调试，临时加大了某台服务器的配置但忘了改回来。这些"小改动"日积月累，最终导致代码和实际环境严重脱节。
+
+<ConfigDriftDemo />
+
+::: tip 配置漂移的危害
+1. **不可复现**：代码描述的环境和实际环境不一致，新建环境时会出问题
+2. **回滚失败**：以为回滚到上一版本就能恢复，但实际环境已经被手动修改过
+3. **安全隐患**：手动开放的端口、放宽的权限可能被遗忘，成为攻击入口
+4. **审计失效**：合规审计基于代码，但代码不反映真实状态
+:::
+
+| 预防措施 | 说明 |
+|---------|------|
+| 禁止手动变更 | 通过 IAM 策略限制控制台操作权限 |
+| 定期漂移检测 | 定时运行 `terraform plan` 检查差异 |
+| 自动修复 | 检测到漂移后自动执行 apply 恢复一致性 |
+| 变更审计 | 开启 CloudTrail 等审计日志，追踪所有变更来源 |
+
+---
+
+## 5. 最佳实践：让 IaC 项目可持续演进
+
+IaC 代码和应用代码一样，需要良好的工程实践来保证可维护性。随着基础设施规模增长，没有章法的 IaC 代码会变成另一种形式的"技术债"。
+
+<IaCBestPracticeDemo />
+
+::: tip 六条核心最佳实践
+1. **模块化**：将可复用的基础设施抽象为模块（如 VPC 模块、数据库模块），避免复制粘贴。就像写函数一样，一处定义、多处调用。
+2. **环境隔离**：开发、测试、生产使用独立的状态文件和变量文件，通过 workspace 或目录结构隔离。
+3. **远程状态管理**：状态文件（tfstate）存储在远程后端（S3 + DynamoDB），支持团队协作和状态锁定，避免并发冲突。
+4. **敏感信息管理**：密码、密钥等敏感信息不要写在代码里，使用 Vault、AWS Secrets Manager 等工具管理。
+5. **CI/CD 集成**：将 terraform plan 集成到 PR 流程，apply 通过流水线自动执行，杜绝本地手动操作。
+6. **代码审查**：基础设施变更和应用代码一样需要 Code Review，尤其是涉及安全组、IAM 策略的变更。
+:::
+
+---
+
+## 总结
+
+基础设施即代码是现代云原生运维的基石。它把"不可描述的手动操作"变成了"可版本控制的代码"，让基础设施管理从"艺术"变成了"工程"。
+
+回顾本章的关键要点：
+
+1. **IaC 的本质**：用代码声明基础设施的期望状态，让工具自动实现
+2. **Terraform 工作流**：Write → Plan → Apply 三步走，Plan 是安全网
+3. **工具选型**：多云选 Terraform，单云选原生工具，开发者团队选 Pulumi
+4. **配置漂移**：最隐蔽的风险，需要通过流程和工具双重防护
+5. **工程化管理**：模块化、环境隔离、远程状态、CI/CD 集成缺一不可
+
+## 延伸阅读
+
+- [Terraform 官方教程](https://developer.hashicorp.com/terraform/tutorials) - 从零开始学 Terraform
+- [Pulumi 文档](https://www.pulumi.com/docs/) - 用编程语言写基础设施
+- [AWS CDK Workshop](https://cdkworkshop.com/) - AWS CDK 实战教程
+- [Infrastructure as Code (O'Reilly)](https://www.oreilly.com/library/view/infrastructure-as-code/9781098114664/) - IaC 领域的经典书籍
+- [Spacelift Blog](https://spacelift.io/blog) - IaC 最佳实践和行业趋势