Asset-Bestandserkennung der Google Cloud Platform (GCP)

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 6 Minuten Lesedauer

    • Die ServiceNow DiscoveryAnwendung verwendet Google Cloud Platform (GCP)Zu suchendes Asset-Bestandsmuster GCPRessourcen und Richtlinien. Um einige dieser Ressourcen zu erkennen, muss aktualisiert werden Muster für Discovery und Service-MappingAnwendung von ServiceNow Store.

    Das Muster bietet Sichtbarkeit für Services, die von der Asset-Bestand-API unterstützt werden, sowie das Sammeln von Bestandsdaten für die bereitgestellten GCPServices und wird aktualisiert CMDB.

    Das Muster erfasst Bestandsdaten entweder für alle von GCP unterstützten Ressourcen oder für eine vorkonfigurierte Aufnahmeliste von Ressourcen. Die Aufnahmeliste für Cloud-Bestandsressourcen enthält alle Ressourcentypen, die vom GCP-Cloud-Asset-Bestand unterstützt werden, mit Ausnahme von Compute Engine-Ressourcen und IAM-Richtlinien. Sie können die Aufnahmeliste entsprechend Ihren Anforderungen um zusätzliche Ressourcentypen erweitern. Weitere Informationen zu Google Cloud-Assets finden Sie unter https://cloud.google.com/resource-manager/docs/cloud-asset-inventory/overview .

    Apps im Store anfordern

    Besuchen Sie die ServiceNow Store-Website, um alle verfügbaren Apps anzuzeigen und Informationen zum Senden von Anforderungen an den Store zu erhalten. Kumulative Informationen zum Release für alle veröffentlichten Apps finden Sie in den Release-Hinweisen zum ServiceNow Store-Versionsverlauf.

    Beginnend mit Muster für Discovery und Service-MappingVersion 1.18.1, Sie können erkennen GCPSpeicher nach zwei Discovery-Typen: Serverlose und Cloud-Discovery. Durch das Ausführen von Cloud Discovery-Zeitplänen können Sie einen Zeitplan für alle ausführen GCPProjekte, ohne separate Zeitpläne manuell zu konfigurieren. Sie können die serverlose Discovery auch wie zuvor verwenden.

    Erweitert Google Cloud Platform (GCP)Das Asset-Bestandsmuster führt Abfragen aus, um die Konfigurationen auf Ihrem System zu überprüfen und eine Discovery gemäß Ihren Konfigurationen auszulösen. Die Abfragen nach Reihenfolge:

    1. Wenn Sie haben Startprogramm-Parameter Für Discovery-Muster Konfiguriert löst das Muster einen serverlosen Discovery-Zeitplan aus.

    2. Wenn die vorherige Abfrage keine Ergebnisse enthält, wird die Abfrage des Musters fortgesetzt, wenn Sie über verfügen mid.gcp_resource_inventory_bucketpath MID-ServerEigenschaft konfiguriert. Wenn Sie dies tun, führt das Muster einen Cloud-Discovery-Zeitplan nach Cloud-Accounts aus.

    3. Wenn die vorherige Abfrage keine Ergebnisse enthält, wird die Abfrage des Musters fortgesetzt, wenn Sie über verfügen mid.gcp_resource_inventory_bucketpath.default MID-ServerEigenschaft konfiguriert. Wenn Sie dies tun, löst das Muster einen standardmäßigen Cloud Discovery-Zeitplan aus.

    4. Wenn keine dieser Eigenschaften konfiguriert ist, wird das Muster ordnungsgemäß beendet.

    Voraussetzungen

    Überprüfen Sie, ob die Store-Apps aktuell sind
    • Muster für Discovery und Service-Mapping
    • Visibility Content
    GCP Autorisierung für Discovery zur Verwendung der Cloud-Asset-API
    • API-Endpunkt: https://cloudasset.googleapis.com/v1/projects/<account_id>:exportAssets
    • Mindestens eine der folgenden IAM-Berechtigungen für das angegebene übergeordnete Ressourcenelement erforderlich:
      • CloudAsset.Assets.exportResource
      • CloudAsset.Assets.exportIamPolicy
    Serviceaccount-Anwender für die Cloud-Speicher-API
    Die ServiceNowCloud-Service-Account muss über verfügen Schreibgeschützte Berechtigung von GCPBis Greifen Sie auf den API-Endpunkt zu – https://www.googleapis.com/storage/v1.
    Hinweis:
    Sie können die Header auf der Seite „Verschlüsselung“ verwenden, um Folgendes auszuführen:
    • Laden Sie ein Objekt herunter, das mit einem vom Kunden bereitgestellten Verschlüsselungsschlüssel verschlüsselt ist.
    • Rufen Sie Objektmetadaten mit Inhalts-Hashes ab.
    Berechtigung zum Lesen und Schreiben in einen Cloud-Speicher-Bucket
    • Speicherobjektersteller
    • Speicherobjekt-Viewer
    • Speicherobjekt-Administrator
    Erstellen Sie einen Cloud-Speicher-Bucket mit der Google Cloud-Konsole
    1. Wechseln Sie zu Google Cloud-Konsole .
    2. Von Navigationsmenü , Auswählen Cloudspeicherung > Bucketsan.
    3. Wählen Sie aus, um einen neuen Bucket zu erstellen + Erstellen .
    4. Auf Erstellen Sie einen Bucket Seite, geben Sie die Bucket-Informationen ein.
      Feld Beschreibung
      Benennen Sie Ihren Bucket Geben Sie einen global eindeutigen Namen für Ihren Bucket ein.
      Wählen Sie aus, wo Ihre Daten gespeichert werden sollen Wählen Sie einen Standorttyp und einen Standort aus, an dem die Bucket-Daten dauerhaft gespeichert werden.
      • Standorttyp: Multi-Region, für globalen Speicher (z. B. USA, eu, asien).
      • Speicherort: Liste der Cloud-Speicherorte, die zum Speichern Ihrer Daten verfügbar sind.
      Wählen Sie eine Speicherklasse für Ihre Daten aus Wählen Sie die entsprechende Speicherklasse für Ihre Anforderungen aus (z. B. Standard, Nearline, Coldline oder Archiv).
      Wählen Sie aus, wie der Zugriff auf Objekte gesteuert werden soll Wählen Sie aus, ob Ihr Bucket die Verhinderung des öffentlichen Zugriffs erzwingt.
      Wählen Sie aus, wie Objektdaten geschützt werden sollen Konfigurieren Sie bei Bedarf Schutztools.
    5. Wählen Sie Erstellen aus.
      Hinweis:
      Weitere Informationen finden Sie unter Google Cloud Storage-Dokumentation .
    Aufbewahrungsrichtlinie für den Speicher-Bucket
    Stellen Sie sicher, dass die Aufbewahrungsrichtlinie für den Speicher-Bucket nicht aktiv ist. Wenn die Aufbewahrungsrichtlinie aktiv ist, kann die automatisch generierte Bestandsdatendatei nicht vom Muster gelöscht werden.
    Erstellen Sie einen serverlosen Discovery-Zeitplan

    Erstellen Sie einen Discovery-Zeitplan, um eine gezielte Discovery von durchzuführen GCPAsset-Bestand.

    1. Navigieren zu Discovery > Discovery-Zeitplänean.
    2. Klicken Sie auf Neu, und füllen Sie das Formular aus.Serverlose Discovery
      Tabelle : 1. Discovery Zeitplanformular
      Feld Beschreibung
      Name Name für DiscoveryZeitplan. Beispiel: Erkennen Sie den GCP-Asset-Bestand .
      Erkannt Typ erkennen.

      Wählen Sie Aus Serverlos .
      MID-Server Name von MID-Server.
      Ausführen Option zum Auswählen, wann die nächste Discovery ausgeführt werden soll.
    3. Klicken Sie mit der rechten Maustaste auf den Header von DiscoveryZeitplanformular, und wählen Sie aus Speichern .
    4. Klicken Sie auf Serverlose Ausführungsmuster Klicken Sie auf die Registerkarte Neu , Und füllen Sie dann das Formular aus. Serverlose Ausführungsmuster
      Tabelle : 2. Formular „Ausführungsmuster ohne Server“
      Feld Beschreibung
      Name Name für dieses serverlose Ausführungsmuster. Beispiel: Erkennen Sie den GCP-Asset-Bestand .
      Muster Wählen Sie aus Ressourcenbestand der Google Cloud Platform (GCP) Muster.
      Proxyhost Vollqualifizierter Domänenname des Computers, auf dem Sie den Proxy-Server installieren. Geben Sie An Global .
      Aktiv Option zum Aktivieren dieses Zeitplans für die Discovery. Aktivieren Sie dieses Kontrollkästchen, um die Discovery zu aktivieren.
    5. Wählen Sie Absenden.
    6. In Startprogramm-Parameter Für Discovery-Muster Konfigurieren Sie die folgenden Parameter mit den relevanten Werten:
      Parameter Wert
      cloud_account_id Die Projekt-ID in GCP.
      Full_path_file Der vollständige Dateipfad des Speicher-Buckets. Beispiel: gs://<bucketname> .
      Cloud_cred_ID Die sysid von GCPAnmeldeinformationen.
      Cloud_Datacenter_type cmdb_ci_google_datacenter
    Speicher-Discovery-Konfigurationen mit MID-ServerEigenschaften
    1. Konfigurieren Sie mid.gcp_resource_inventory_bucketpathEigenschaft.
      1. Navigieren zu Alle > MID-Server > Eigenschaften Und filtern Sie die Liste nach Name beginnt mit Mid.gcp .
      2. Wählen Sie mid.gcp_resource_inventory_bucketpath.
      3. Füllen Sie das Formular aus.
        1. Konfigurieren Sie die Eigenschaft Name Feld zum Einfügen Ihrer Account-ID wie folgt: mid.gcp_resource_inventory_bucketpath.<Cloud-Account-ID> .
        2. Füllen Sie aus Wert Feld mit dem Bucket-URI, das der vollständige Dateipfad des Speicher-Buckets ist. Beispiel: gs://<bucketname> .
        3. In MID-Server Feld leer lassen, um festzulegen MID-ServerEigenschaft, die sich auf alle MID-Server auswirkt. Zum Festlegen von MID-ServerEigenschaft für eine bestimmte MID-Server, Wählen Sie den bevorzugten Server aus.
        4. Wählen Sie Aktualisieren.
    2. Konfigurieren Sie mid.gcp_resource_inventory_bucketpath.defaultEigenschaft.
      1. Navigieren zu Alle > MID-Server > Eigenschaften Und filtern Sie die Liste nach Name beginnt mit Mid.gcp .
      2. Wählen Sie mid.gcp_resource_inventory_bucketpath.default.
      3. Füllen Sie aus Wert Feld mit dem Bucket-URI, das der vollständige Dateipfad des Speicher-Buckets ist. Beispiel: gs://<bucketname> .
      4. Wählen Sie Aktualisieren.

    Weitere Informationen finden Sie unter Exportieren Sie Asset-Metadaten aus einem Projekt in ein anderes

    Aufnahmeliste für Cloud-Bestandsressourcen
    • Dient zum Erfassen von Bestandsdaten für Ressourcen, die von unterstützt werden GCP, In Now Platform, Navigieren Sie zu Cloud-Bestandsressource – Aufnahmeliste Und alle löschen GCPTabellendatensätze.
      Abbildung : 1. Cloud-Bestandsressource – Aufnahmeliste

      GCP-Aufnahmeliste
    • Optimieren Sie die GCP-Ressourcen-Discovery mithilfe der Aufnahmeliste für Cloud-Bestandsressourcen.

      Wenn Ihre Bereitstellung anwenderdefinierte Muster für die GCP-Discovery enthält, stellen Sie sicher, dass Sie GCP-Ressourcen nicht zweimal erkennen:

      1. Stellen Sie sicher, dass der Anwendungsbereich „Discovery- und Servicezuordnungsmuster“ ist:
        1. Navigieren zu Einstellungen > Entwickleran.
        2. Wählen Sie Aus Discovery- und Servicezuordnungsmuster Von Anwendung Liste.
      2. Navigieren zu Systemdefinitionen > Tabellenan.
      3. Öffnen Sie die Tabelle „Einschlussliste für Cloud-Bestandsressourcen“ [sa_cloud_inventory_resource_whitelist].
      4. Unter Zugehörige Links , Klicken Sie auf Liste Anzeigen .
      5. Wählen Sie Ressourcentypen aus, für die Sie anwenderdefinierte Muster haben, und wählen Sie aus Löschen Von Aktionen für ausgewählte Zeilen Liste.
      Die Aufnahmeliste für Cloud-Bestandsressourcen ist mit allgemeinen Services vordefiniert. Sie können die Liste wie folgt um zusätzliche Ressourcentypen erweitern, die das Muster erkennen soll:
      Hinweis:
      Wenn Sie die im Basissystem bereitgestellte Liste ändern, wird sie in Anwendungsupdates nicht mehr automatisch aktualisiert. Sie müssen anwenderdefinierte Listen selbst verwalten.
      1. Öffnen Sie die Tabelle „Einschlussliste für Cloud-Bestandsressourcen“ [sa_cloud_inventory_resource_whitelist].
      2. Klicken Sie auf Neu.
      3. Füllen Sie das Formular aus, und klicken Sie dann auf Übermitteln .
        Hinweis:
        Die Namen zusätzlicher Ressourcentypen müssen den entsprechenden Lieferantenbenennungskonventionen entsprechen.
        Feld Beschreibung
        Cloud-Anbieter Der Lieferant des Ressourcentyps: GCP.
        Ressourcentyp Der Wert des GCP-Ressourcentyps.
        Anwendung Der Anwendungsbereich: Discovery- und Servicezuordnungsmuster.

      Die Änderungen werden beim nächsten Ausführen des Musters angewendet.

    Daten, die von Discovery während der horizontalen Discovery erfasst werden

    Dieses Muster erkennt Daten, die Transparenz für alle bieten GCPServices in Ihrer Organisation. Die erkannten Daten enthalten die folgenden Tabellen und Felder.

    Tabelle und Feld Beschreibung
    Haupt-CI [cmdb_ci_cmp_resource]
    object_id Die ID des Elements. Auf das Element wird mit dieser URL zugegriffen.
    name Der Name der Ressource.
    resource_type Der Asset-Ressourcentyp gemäß den Daten in der JSON-Datei.
    Schlüsselwert [cmdb_key_value]
    Key Der Name des GCP-Tag-Schlüssels.
    Wert Der Name des GCP-Tag-Werts.

    Die Zuordnung der Abhängigkeitsansichten zeigt die erkannten Konfigurationselemente (Configuration Items, CIs) in Ihrer Organisation und die Beziehungen zwischen ihnen. Hier hilft die einzige aussagekräftige Beziehung zwischen den CIs DiscoveryIdentifizieren Sie sie.

    Jeweils GCPBestands-CI bezieht sich entweder auf ein logisches Rechenzentrum (LDC)-CI oder ein Cloud-Service-Account-CI. In diesem Beispiel bezieht sich das Bestands-CI auf ein Cloud-Service-Account-CI.

    Abbildung : 2. Abhängigkeitsansichtszuordnung, die das CI des Cloud-Service-Accounts anzeigt

    CIs und Verbindungen in einer Abhängigkeitsansichtszuordnung

    CI-Beziehungen

    Diese Beziehungen werden zur Unterstützung erstellt GCPAsset-Bestandserkennung:

    CI Beziehung CI
    Für Globale Ressourcen:
    Haupt-CI [cmdb_ci_cmp_resource] Enthalten in::Enthält Cloud-Servicekonten
    Für Regionale Ressourcen:
    Haupt-CI [cmdb_ci_cmp_resource] HostedOn::Hosts Logisches Rechenzentrum (LDC)