Übersicht

Im folgenden Abschnitt werden Aktivitäten aufgelistet, die der Administrator einer Domäne für das Unternehmen ausführt, das von einem Service Provider verwaltet wird. Richten Sie Servicekonten und Cloud-Konten über das Cloud-Adminportal ein. Erstellen Sie die Bereitstellung vorbereitende Vorgänge, die Sie für Cloud-Ressourcen konfigurieren können, bevor Ihre Benutzer sie bereitstellen oder Lebenszyklusvorgänge ausführen.

Starke allgemeine Prozessstandards, datenbasiertes Prozessdesign, strikte Governance und zentralisierte Administration maximieren die Vorteile der Domänentrennung in Cloud Provisioning and Governance in einer einzelnen Instanz. Die Domänenadministratorrolle muss streng auf Benutzer in der Organisation des Service Providers beschränkt sein und darf nicht den Cloud-Administratorbenutzern aus der Organisation des Kunden zugewiesen werden. Diese Einschränkung ermöglicht dem SP sicherzustellen, dass ein Kunde keinen vollständigen Zugriff auf die Daten einer anderen Domäne erhält. Da Daten häufig von mehreren Clients gemeinsam verwendet werden, machen Sie als Domänenadministratoren keine Berechtigungen verfügbar oder gewähren solche, die zu Datenlecks führen könnten.

Cloud-Ressourcen bereitstellen

• Stellen Sie sicher, dass Sie Cloud-Konten in jeder Domäne relevante Servicekonten zuordnen. Beispielsweise wird beim Erkennen eines primären Abonnements in der Azure-Cloud mindestens ein untergeordnetes Servicekonto in derselben Domäne erstellt. Dies bedeutet, dass alle Servicekonten in einem Master-Abonnement aus der Azure-Cloud zu einem einzigen Unternehmen und einer Domäne gehören müssen.

  Melden Sie sich als Benutzer mit Rolle „root_admin“ oder „cloud_admin“ an, wenn Sie Cloud- und Servicekonten einrichten und eine Erkennung für eine beliebige Domäne ausführen. Verwenden Sie die Domänenauswahl, wenn Sie Aktionen wie Discovery oder das Erstellen und Zuordnen von Cloud- und Servicekonten ausführen.

  Hinweis:

  • Cloud Provisioning and Governance unterstützt das Erweitern und Reduzieren des Domänenbereichs nicht.
  • Weitere Informationen dazu, worauf ein Benutzer zugreifen kann und worauf nicht, finden Sie unter Domänenbereich

  Ein Servicekonto ist ein sicherer Datensatz in Ihrer Instanz, in dem die Anmelde- und Zugriffsinformationen für Ihr Provider-Konto gespeichert werden. In Discovery werden die Informationen für den Zugriff auf Ihr Provider-Konto dazu verwendet, Daten zu jeder Ressource in jedem angegebenen Rechenzentrum abzurufen. Ein Cloud-Konto ist die logische Darstellung der gesamten oder eines Teils Ihrer verwalteten Cloud-Infrastruktur in Cloud Provisioning and Governance. Ein Cloud-Konto kann mehrere Servicekonten enthalten – sogar Servicekonten verschiedener Provider. Für jedes Servicekonto geben Sie an, welche Rechenzentren in das Cloud-Konto aufgenommen werden sollen.

  Stellen Sie sicher, dass Verwaltungsschlüssel und Anmeldeinformationen von Servicekonten für jede Domäne eindeutig sind und nicht freigegeben werden. Führen Sie zum Einrichten von Cloud-Konten und Servicekonten für mehrere Cloud-Provider Aktionen für Tag 1 durch:

  • Setupleitfaden für Tag 1 für Amazon Web Services auf Cloud Provisioning and Governance
  • Setupleitfaden für Tag 1 für Azure unter Cloud Provisioning and Governance
  • Setupleitfaden für Tag 1 für Google Cloud Connector unter Cloud Provisioning and Governance
  • Setupleitfaden für Tag 1 für VMware auf Cloud Provisioning and Governance
• Cloud API (CAPI) und Cloud-Skripts und Cloud-Skriptvorlagen

  CAPI ist nicht domänengetrennt, Domänentrennung wird in Cloud Provisioning and Governance unterstützt. Da CAPI in einer globalen Domäne eingerichtet und über Blattdomänen hinweg gemeinsam genutzt wird, stellen Sie sicher, dass Skripts keine hartcodierten vertraulichen Informationen wie Kontodetails, Anmeldeinformationen oder Namen enthalten, nicht einmal in Kommentaren oder Anmerkungen.

  CAPI ermöglicht mithilfe von REST APIs die Integration von Cloud Provisioning and Governance in Cloud-Provider. Cloud-Skripts sind einfache Java-Skripts, die Plattformfunktionen verwenden. In der Cloud Provisioning and Governance-Anwendung ist die Skriptausführung in Cloud-Skripts und Cloud-Skriptvorlagen unterteilt. Verwenden Sie Skripts in Vorlagen, Ressourcenblöcken, BS-Profilen, und verwenden Sie Richtlinienskripts, um Anforderungsformularattribute festzulegen. Richtlinienskripts können Benutzerdaten nicht überschreiben. Cloud-Skriptvorlagen sind tatsächliche ausführbare Dateien, die zur Ausführung an einen virtuellen Computer übergeben werden. Erstellen Sie zuerst eine Cloud-Vorlage, und ordnen Sie sie dann einem Cloud-Skript zu.

• Cloudbasierter Discovery-Vorgang

  Service Provider (SPs) verwenden Domänentrennung, um Daten für jeden Kunden zu trennen. Benutzer in einer bestimmten Domäne können Daten nur in ihrer eigenen oder einer untergeordneten Domäne anzeigen. SPs haben üblicherweise die Kontrolle über die oberste Domäne, wodurch sie Daten aller Domänen anzeigen können. Obwohl die Unterstützung der Domänentrennung für Discovery als Ebene 2 angesehen wird, wird die Verwaltung in Cloud Provisioning and Governance nicht an untergeordnete Domänen delegiert. Die SPs müssen die administrative Kontrolle behalten. Als SP führen Sie Discovery immer von einer Blattdomäne aus, indem Sie sich als Domänenadministrator anmelden oder die Identität eines solchen annehmen, um Ihre Cloud-Ressourcen zu erkennen.

  Cloud Discovery enthält einen Assistenten, mit dem Sie Cloud-Zeitpläne in einer einzigen Benutzeroberfläche erstellen und ausführen können. Wenn Sie mit dem Discovery Manager einen Zeitplan erstellen, wählen Sie die zu erkennenden Konten, die Anmeldeinformationen für den Zugriff auf diese Konten und die MID Server zum Scannen der Ressourcen aus. Anschließend können Sie die Ergebnisse auf der Discovery-Homepage ansehen und eventuell aufgetretene Fehler nachverfolgen.

  Weitere Informationen finden Sie unter

  • Discovery-Manager
  • Erkennungen im Netzwerk ausführen
    • Erkennung von Amazon AWS Cloud
    • Microsoft Azure Cloud-Discovery
    • Erkennung von VMware-Clouds
    • Erkennung der Google Cloud Platform
    • Erkennung von IBM-Clouds
• Richten Sie Event Management ein und konfigurieren Sie es, um externe Events zu empfangen und Warnungen basierend auf den Event- und Warnungsverwaltungsregeln zu generieren. Die Sichtbarkeit von Events hängt von der Domäne des zugeordneten Servicekontos ab. Nur Benutzer, die zu dieser Domäne gehören, können die Eventdetails für verarbeitete Events sehen. Events, die keinem Servicekonto zugeordnet sind, sind für alle Domänen sichtbar.

  Überwachen Sie die Integrität der Business Services und der Infrastruktur mithilfe einer einzigen Managementkonsole, und reagieren Sie angemessen auf alle auftretenden Probleme. Event Management bietet intelligente Event- und Warnungsanalysen und stellt so die Kontinuität Ihrer Business Service-Leistung sicher. Von Event Management werden Events über den MID Server empfangen und verarbeitet.

  Weitere Informationen finden Sie unter

  • Ereignismanagement erkunden
  • Ereignismanagement-Setup
    • Konfigurieren Sie den Konfigurationsservice AWS, um Ereignisbenachrichtigungen an die Instanz ServiceNow ] zu senden
    • Konfigurieren Sie den Warnungsservice Microsoft Azure so, dass er automatisch aktualisiert wird CMDB
    • Konfigurieren Sie den Service Google Stackdriver Logging für die automatische Aktualisierung von CMDB
    • Konfigurieren Sie den Service VMware-Events für die automatische Aktualisierung von CMDB

• Die Cloud Provisioning and Governance-Anwendung unterstützt die Integration in Lösungen zur kontinuierlichen Bereitstellung (auch bekannt als Konfigurationsverwaltung). Erstellen Sie einen Provider für die Ansible- oder Terraform-Konfigurationsverwaltung, und führen Sie dann Discovery für den Provider aus, um seine Ressourcen zu finden. Weitere Informationen finden Sie unter Unterstützung für kontinuierliche Bereitstellung (Konfigurationsverwaltung) und Arbeitsauslastungs-Provider-Typ für jeden neuen Konfigurationsverwaltungs-Provider erstellen. Diese Informationen werden im Bestellkatalogformular als Verwaltungsattribute angezeigt, die Ihre Benutzer auswählen können, wenn sie eine virtuelle Ressource über einen Konfigurationsverwaltungs-Provider bereitstellen.

• Wenn Sie Kataloge basierend auf Terraform-Vorlagen erstellen und den Katalog für mehrere Domänen freigeben. Führen Sie eine Modulauflistung (Konfigurationserkennung) in der globalen Domäne durch. Der MID-Server sollte in der globalen Domäne erstellt werden, und ihm sollte nur die Terraform-Fähigkeit für die Discovery zugewiesen werden. Dadurch können SPs Kataloge für mehrere Domänen freigeben.

  Warnung:

  Erstellen Sie einen globalen MID-Server mit keiner anderen Funktionalität als der Konfigurationsverwaltung für Terraform.

  Gemeinsamen Terraform-Katalog erstellen und für mehrere Kunden freigeben:

  • Erstellen Sie als globaler Administrator einen MID-Server in der globalen Domäne.
  • Erstellen Sie einen Terraform Open Source-Konfigurationsanbieter.
    Hinweis:

    Fügen Sie nur „Terraform“ als Konfigurations-Provider hinzu.
  • Erstellen Sie ein Katalogelement basierend auf einer Terraform-Vorlage.

• Cloud Provisioning and Governance unterstützt die Verwendung von Now Platform-Regeln mit Workflows. Regeln sind Sammlungen von Bedingungen und Aktionen. Wenn alle Bedingungen als „true“ ausgewertet werden, führt das System die Aktionen aus. Wenn eine Bedingung als „false“ ausgewertet wird, führt das System die Aktionen nicht aus. Das Erstellen von Regeln hilft Ihnen, Aktivitäten nachzuverfolgen und schneller auf Probleme zu reagieren und sie zu lösen. Nutzen Sie das Framework der Workflows, um Ihre Abläufe an Tag 2 zu automatisieren. Schreiben Sie schnell einen Workflow, der mit einer Cloud API oder einer bestimmten Ressource kommuniziert. Verwenden Sie SSH, PowerShell oder ein ähnliches Tool, um auf die Workflow-Fähigkeiten zuzugreifen und sie dann zu erweitern. Weitere Informationen finden Sie unter Tag-2-Abläufe mit Workflows.

• Budgetbasierte Benachrichtigung und Genehmigung

  Die Domänentrennung in Cloud Provisioning and Governance unterstützt die Datentrennung von Budgets. Sie können domänenspezifische Budgets zuweisen. Weisen Sie ein Budget für eine Gruppe und einen Benutzer innerhalb der Gruppe zu. Wenn der Benutzer oder die Gruppe den Schwellenwert für das Budgetlimit erreicht, werden sie darüber benachrichtigt. Weitere Informationen finden Sie unter Budgets konfigurieren

  • Tags für Cloud-Ressourcen erstellen

    Mithilfe von Tags werden Cloud-Ressourcen kategorisiert, um umfangreichere und detailliertere Nachverfolgungs- und Abrechnungsberichtsdaten bereitzustellen. Tag-Schlüssel sind nicht domänengetrennt und werden Benutzern anderer Domänen angezeigt. Die Tag-Sichtbarkeit hängt von der zugeordneten CI-Domäne oder der zugehörigen Domäne des Abrechnungsdatensatzes ab. Tags, die keinem CI oder Abrechnungsdatensatz zugeordnet sind, sind für alle Domänenadministratoren sichtbar. Wenn ein Tag erstellt wird, wird es in jedem neu erstellten Katalog angezeigt. Der Cloud-Administrator muss die gewünschten Tags für seinen Katalog auswählen.

  • Abrechnungsdaten können für jede Domäne separat angezeigt werden. Abrechnungsaufträge verwenden die Domäne des konfigurierten Servicekontos. Konfigurieren Sie die Abrechnungseinrichtung so, dass Cloud-Administratoren und Cloud-Benutzer Berichte wie Cloud-Abrechnungsdaten und Cloud Tag-Nutzung auf dem Abrechnungsdashboard anzeigen lassen können.

    Definieren Sie den geplanten Auftrag, mit dem unter Verwendung eines MID Servers regelmäßig Abrechnungsdaten vom Provider heruntergeladen werden. Von Cloud Provisioning and Governance werden die Daten in einer Kostentabelle gespeichert und die Informationen zur Erstellung von Berichten verwendet.

    Weitere Informationen zum Einrichten von Abrechnungszeitplänen und zum Herunterladen von Abrechnungsberichten finden Sie unter:

    • Zeitplan für das Herunterladen von AWS-Abrechnungsdaten definieren
    • Zeitplan für das Herunterladen von Azure-Abrechnungsdaten definieren

Nächste Schritte

//var orderContext = json.decode(workflow.inputs.ordercontext) ;
new CMPDomainSeparationUtil() .impersonateUser(current.request.requested_for);

Weitere Informationen zur Durchführung von Cloud Provisioning and Governance -Lebenszyklusvorgängen, die für jede Domäne verfügbar sind, die Sie in Ihrer -Instanz verwalten, finden Sie unter Cloud-Benutzerportal.