ドメイン分離と CMDB 識別および調整

  • リリースバージョン: Washingtondc
  • 更新日 2024年02月01日
  • 読む6読むのに数分

    • ドメイン分離は CMDB 識別および調整機能でサポートされています。 ドメイン分離では、データ、プロセス、および管理タスクをドメインと呼ばれる論理的なグループに分けることができます。どのユーザーがデータを表示できるか、データにアクセスできるかなど、このアプリケーションのいくつかの側面を制御できます。

    概要

    ドメイン分離は、CMDB 識別および調整 (IRE) プロセスで適用されます。IRE はドメインに対応しており、ドメイン分離は識別および調整ルールに適用されます。

    ドメイン分離の詳細については、「ドメイン分離」を参照してください。

    識別および調整でのドメイン分離の仕組み

    識別エンジンでのドメイン分離は、ユーザーがドメイン分離プラグインをアクティブにするとすぐに適用されます。IRE のドメイン分離には、ドメイン分離されたインスタンスで 2 つの動作モードがあります。
    • 厳格モード (デフォルトで有効):このモードでは、ドメイン ID が現在ログインしているユーザーのドメインと同じである CI のみが、識別で処理されます。ドメイン間で重複 CI (親ドメインと子ドメインを含む) が存在する場合、それらの CI は、ドメイン ID が一致しないため、重複 CI と見なされません。

    • プラットフォームドメイン分離モード (デフォルトでは無効):このモードでは、IRE はプラットフォームドメイン分離の動作に従います。そのため、識別中、親ドメインは、子ドメイン内のすべての CI、または可視性を持つ任意のドメインにアクセスできます。詳細については、「可視性ドメインと包含ドメイン」を参照してください。

      プラットフォームドメイン分離モードは、高度なユーザーが特定または高度なユースケースで使用することを目的としています。

      注:

      プラットフォームドメイン分離モードでは、アップグレードされたインスタンスではより大きく、zBooted インスタンスではより小さいリスクが発生します。

      ドメイン分離されたインスタンスで IRE プロセスがどのように構成されているかに応じてプラットフォームドメイン分離モードを使用するように IRE を設定した場合、慎重に使用しないと、予期しない望ましくない動作が発生する可能性があります。リスクの 1 つは、プラットフォームドメイン分離モードを有効にした後に、以前に IRE プロセスが実行されたドメインとは異なるドメインから IRE プロセスを実行したかどうかです。この状況では、以前に一意であると識別された CI が重複 CI として識別され、一部のアプリケーションが失敗し始める可能性があります。

      ドメイン分離された環境でアプリケーションが既に IRE を効果的に使用している場合は、プラットフォームドメイン分離モードに切り替えるメリットはなく、リスクが生じる可能性があります。

    glide.identification_engine.platform_domain_separation_enabled システムプロパティを使用して、IRE ドメイン分離の 2 つのモードを切り替えます。デフォルトでは、このプロパティは [false] に設定されています。

    プラットフォームドメイン分離モード

    システムプロパティ glide.identification_engine.platform_domain_separation_enabled[true] に設定し、IRE 処理のプラットフォームドメイン分離モードを有効にします。プラットフォームドメイン分離モードでは、親ドメインは IRE 処理中にすべての子ドメインにアクセスできます。たとえば、IRE は子ドメインで一致する CI を検出し、新しい CI を作成する代わりにその CI を更新することができます。

    IRE 用のプラットフォームドメイン分離モード:
    • 親ドメインから実行される IRE は、そのドメイン内に含まれる CI、ドメイン階層の下位にある子ドメイン、およびグローバルドメインにアクセスできます。
    • グローバルドメインから実行された IRE は、すべての CI にアクセスできます。
    • 可視性ドメインと包含ドメインがサポートされています。
    注:
    プラットフォームドメイン分離モードが有効になっている場合、重複 CI の IRE 検出が急増する可能性があります。

    識別プロセス中のドメイン分離

    識別プロセス中のドメイン分離は、次のように適用されます。
    • glide.identification_engine.platform_domain_separation_enabled システムプロパティの設定に関係なく、次のようになります。
      • ドメイン ID は、識別エンジン API の入力ペイロードで明示的に送信する必要はありません。内部的に、識別エンジンは、ユーザーの現在のドメイン ID に識別エンジン API を呼び出させます。
      • 照合中にレコードが見つからず、CI を挿入される場合、CI のドメイン ID は、ログインしているユーザーのドメインのドメイン ID と同じです。CI を更新しても、CI ドメイン ID は変更されません。
      • 照合中に重複が見つかった場合、[reconcile_duplicate_task] テーブルに作成される重複排除タスクのドメイン ID は、重複 CI のものと同じです。
      • 照合中、CI の再分類が許可されない場合、再分類が必要な CI と同じドメイン ID で [reclassification_task] テーブルに再分類タスクが作成されます。
    • システムプロパティ glide.identification_engine.platform_domain_separation_enabled が、[false] に設定された場合。
      • 照合中は、現在ログインしているユーザーのドメインと同じドメイン ID を持つ CI のみが使用されます。
      • ドメイン間に存在する重複 CI (親ドメインと子ドメインを含む) は、IRE によって重複 CI と見なされません。
    • システムプロパティ glide.identification_engine.platform_domain_separation_enabled が、[true] に設定された場合。
      • ドメイン間に存在する重複 CI (親ドメインと子ドメインなど) は、IRE によって重複 CI と見なされます。
      • ログインしたユーザードメインと子ドメインの CI は、照合時に使用されます。

    ドメイン分離と識別ルール

    識別プロセス中に使用される識別ルールおよび ID 包含ルールは、常にグローバル レベルで定義されます。たとえば、次のテーブルには [sys_domain] フィールドがありません。
    • 識別子 (cmdb_identifier)
    • 識別子エントリ (cmdb_identifier_entry)
    • 関連エントリ (cmdb_related_entry)
    • 識別包含ルール (cmdb_ie_active_config)

    ドメイン分離と調整ルール

    調整プロセスで使用される調整定義ルールは、異なるドメインに対して定義できます。たとえば、次のテーブルには、[sys_domain]、[sys_overrides]、[sys_domain_path] フィールドがあります。
    • 調整定義 (cmdb_reconciliation_definition)
    • データソース優先順位 (cmdb_datasource_precedence)
    • データソース未更新の定義 (cmdb_datasource_staleness)