Erkennung des GCP-Assetbestands (Google Cloud Platform)

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 7 Minuten Lesedauer

    • Die Anwendung Google Cloud Platform (GCP)ServiceNow Discovery verwendet das Asset-Bestandsmuster GCP [], um Ressourcen und Richtlinien von zu finden. Die Erkennung einiger dieser Ressourcen erfordert ein Update der  Anwendung Muster für Discovery und Service-Mappingaus dem ServiceNow Store.

    Das Muster bietet Sichtbarkeit für Services, die von der Asset Inventory-API unterstützt werden, sowie zum Sammeln von Bestandsdaten zu den bereitgestellten GCP-Services und zum Aktualisieren der CMDB.

    Das Muster sammelt Bestandsdaten entweder für alle von GCP unterstützte Ressourcen oder für eine vorkonfigurierte Aufnahmeliste von Ressourcen. Die Aufnahmeliste für Ressourcen des Cloud-Bestands enthält alle Ressourcentypen, die vom Bestand von GCP-Cloud-Assets unterstützt werden, mit Ausnahme von Compute Engine-Ressourcen und IAM-Richtlinien. Ihren Anforderungen entsprechend können Sie die Aufnahmeliste um zusätzliche Ressourcentypen erweitern. Weitere Informationen zu Google Cloud-Assets finden Sie unterhttps://cloud.google.com/resource-manager/docs/cloud-asset-inventory/overview.

    Apps im Store anfordern

    Besuchen Sie die ServiceNow Store-Website, um alle verfügbaren Apps anzuzeigen und Informationen zum Senden von Anforderungen an den Store zu erhalten. Kumulative Informationen zum Release für alle veröffentlichten Apps finden Sie in den Release-Hinweisen zum ServiceNow Store-Versionsverlauf.

    Ab Muster für Discovery und Service-Mapping Version 1.18.1 können Sie den Speicher GCP durch zwei Discovery-Arten erkennen: ohne Server und Cloud-Discovery. Durch das Ausführen von Cloud-Discovery-Zeitplänen können Sie einen Zeitplan für alle Ihre GCP -Projekte ausführen, ohne manuell separate Zeitpläne zu konfigurieren. Sie können die serverlose Discovery auch wie zuvor verwenden.

    Das erweiterte Asset-Bestandsmuster Google Cloud Platform (GCP) führt Abfragen aus, um die Konfigurationen in Ihrem System zu überprüfen und eine Discovery entsprechend Ihren Konfigurationen auszulösen. Die Abfragen nach Reihenfolge:

    1. Wenn Sie die Startprogrammparameter für Discovery-Muster konfiguriert haben, löst das Muster einen Discovery-Zeitplan ohne Server aus.

    2. Wenn die vorherige Abfrage keine Ergebnisse liefert, fragt das Muster weiterhin ab, ob Sie die Eigenschaft mid.gcp_resource_inventory_bucketpath MID-Server konfiguriert haben. Wenn Sie dies tun, führt das Muster einen Cloud-Discovery-Zeitplan nach Cloud-Accounts aus.

    3. Wenn die vorherige Abfrage keine Ergebnisse liefert, fragt das Muster weiterhin ab, ob Sie die Eigenschaft mid.gcp_resource_inventory_bucketpath.default MID-Server konfiguriert haben. Wenn Sie dies tun, löst das Muster einen standardmäßigen Cloud-Discovery-Zeitplan aus.

    4. Wenn keine dieser Eigenschaften konfiguriert ist, wird das Muster ordnungsgemäß beendet.

    Voraussetzungen

    Stellen Sie sicher, dass die Store-Apps auf dem neuesten Stand sind
    • Muster für Discovery und Service-Mapping
    • Visibility Content
    GCP Autorisierung für Discovery zur Verwendung der Cloud Asset API
    • API-Endpunkt: https://cloudasset.googleapis.com/v1/projects/<account_id> :exportAssets
    • Mindestens eine der folgenden IAM-Berechtigungen für das angegebene übergeordnete Ressourcenelement erforderlich:
      • cloudasset.assets.exportResource
      • cloudasset.assets.exportIamPolicy
    Service-Account-Anwender für die Cloud-Speicher-API
    Der Cloud-Service-Account ServiceNow benötigt eine schreibgeschützte Berechtigung [] von GCP, um auf den API-Endpunkt – https://www.googleapis.com/storage/v1 zuzugreifen.
    Hinweis:
    Mit den Headern auf der Verschlüsselungsseite können Sie Folgendes tun:
    • Laden Sie ein Objekt herunter, das mit einem vom Kunden bereitgestellten Verschlüsselungsschlüssel verschlüsselt ist.
    • Rufen Sie Objektmetadaten mit Inhalts-Hashes ab.
    Berechtigung zum Lesen und Schreiben in einem Cloud Storage-Bucket
    • Speicherobjektersteller
    • Speicherobjekt-Viewer
    • Speicherobjektadministrator
    Erstellen Sie mit der Google Cloud Console einen Cloud Storage-Bucket
    1. Rufen Sie die Google Cloud Consoleauf.
    2. Wählen Sie im Navigationsmenüdie Option aus Cloud-Speicher > Buckets.
    3. Um einen neuen Bucket zu erstellen, wählen Sie + Erstellenaus.
    4. Füllen Sie auf der Seite Bucket erstellen die Bucket-Informationen aus.
      Feld Beschreibung
      Benennen Sie Ihren Bucket Geben Sie einen global eindeutigen Namen für Ihren Bucket ein.
      Wählen Sie aus, wo Ihre Daten gespeichert werden sollen Wählen Sie einen Ortstyp und einen Ort aus, an dem die Bucket-Daten dauerhaft gespeichert werden.
      • Standorttyp: Multiregional, für globalen Speicher (z. B. us, eur, asien).
      • Speicherort: Liste der Cloud Storage-Speicherorte, die zum Speichern Ihrer Daten verfügbar sind.
      Wählen Sie eine Speicherklasse für Ihre Daten Wählen Sie die Speicherklasse aus, die Ihren Anforderungen entspricht (z. B. „Standard“, „Nearline“, „Coldline“ oder „Archive“).
      Wählen Sie aus, wie der Zugriff auf Objekte gesteuert werden soll Wählen Sie aus, ob Ihr Bucket die Verhinderung des öffentlichen Zugriffs erzwingt.
      Wählen Sie aus, wie Objektdaten geschützt werden sollen Konfigurieren Sie bei Bedarf Schutztools.
    5. Wählen Sie Erstellen aus.
      Hinweis:
      Weitere Informationen finden Sie in der Dokumentation zu Google Cloud Storage.
    Aufbewahrungsrichtlinie für den Speicher-Bucket
    Stellen Sie sicher, dass die Aufbewahrungsrichtlinie für den Speicher-Bucket nicht aktiv ist. Wenn die Aufbewahrungsrichtlinie aktiv ist, kann die automatisch generierte Bestandsdatendatei nicht nach dem Muster gelöscht werden.
    Erstellen Sie einen Discovery-Zeitplan ohne Server

    Erstellen Sie einen Discovery-Zeitplan, um eine gezielte Erkennung des Asset-Bestands GCP durchzuführen.

    1. Navigieren zu Discovery > Discovery-Zeitpläne.
    2. Klicken Sie auf Neu, und füllen Sie das Formular aus.Serverlose Discovery
      Tabelle : 1. Formular „Discovery-Zeitplan“
      Feld Beschreibung
      Name Name des Discovery-Zeitplans. Beispiel: GCP-Asset-Bestand erkennen.
      Erkannt Erkennungstyp.

      Wählen Sie Ohne Server aus.
      MID-Server Name des MID-Servers
      Ausführen Option zum Auswählen, wann die nächste Discovery ausgeführt werden soll.
    3. Klicken Sie mit der rechten Maustaste auf den Header des Formulars „Discovery-Zeitplan“, und wählen Sie Speichern aus.
    4. Klicken Sie auf die Registerkarte Ausführungsmuster ohne Server, Neu, und füllen Sie das Formular aus. Ausführungsmuster ohne Server
      Tabelle : 2. Formular „Ausführungsmuster ohne Server“
      Feld Beschreibung
      Name Name dieses serverlosen Ausführungsmusters. Beispiel: GCP-Asset-Bestand erkennen.
      Muster Wählen Sie das Muster Ressourcenbestand für Google Cloud Platform (GCP) aus.
      Proxyhost Vollständig qualifizierter Domänenname des Computers, auf dem Sie den Proxy-Server installieren. Geben Sie Global an.
      Aktiv Option zum Aktivieren dieses Erkennungszeitplans. Aktivieren Sie dieses Kontrollkästchen, um die Erkennung zu aktivieren.
    5. Wählen Sie Absenden.
    6. Konfigurieren Sie auf der Registerkarte Parameter des Discovery-Muster-Startprogramms die folgenden Parameter mit den relevanten Werten:
      Parameter Wert
      cloud_account_id Projekt-ID in GCP
      full_path_file Der vollständige Dateipfad des Speicher-Buckets. Beispiel: gs://<bucketname> .
      cloud_cred_id Sysid der GCP-Anmeldeinformationen
      cloud_datacenter_type cmdb_ci_google_datacenter
    Speicher-Discovery-Konfigurationen mit den Eigenschaften MID-Server
    1. Konfigurieren Sie die Eigenschaft mid.gcp_resource_inventory_bucketpath.
      1. Navigieren zu Alle > MID-Server > Eigenschaften und filtern Sie die Liste nach Name beginnend mit mid.gcp.
      2. Wählen Sie mid.gcp_resource_inventory_bucketpath.
      3. Füllen Sie das Formular aus.
        1. Konfigurieren Sie das Feld Name der Eigenschaft so, dass Ihre Account-ID wie folgt aufgenommen wird: mid.gcp_resource_inventory_bucketpath.<Cloud Account Id> .
        2. Füllen Sie das Feld „Wert“ mit dem Bucket-URI aus. Dies ist der vollständige Dateipfad des Speicher-Buckets. Beispiel: gs://<bucketname> .
        3. Lassen Sie das Feld MID-Server leer, um eine MID-Server -Eigenschaft festzulegen, die sich auf alle MID-Server auswirkt. Zum Festlegen der Eigenschaft MID-Server für ein bestimmtesMID-ServerElement wählen Sie den gewünschten Server aus.
        4. Wählen Sie Aktualisieren.
    2. Konfigurieren Sie die Eigenschaft mid.gcp_resource_inventory_bucketpath.default.
      1. Navigieren zu Alle > MID-Server > Eigenschaften und filtern Sie die Liste nach Name beginnend mit mid.gcp.
      2. Wählen Sie mid.gcp_resource_inventory_bucketpath.default.
      3. Füllen Sie das Feld „Wert“ mit dem Bucket-URI aus. Dies ist der vollständige Dateipfad des Speicher-Buckets. Beispiel: gs://<bucketname> .
      4. Wählen Sie Aktualisieren.

    Weitere Informationen finden Sie unter Asset-Metadaten von einem Projekt in ein anderes exportieren

    Aufnahmeliste für Cloud-Bestandsressourcen
    • Um Bestandsdaten für von GCPunterstützte Ressourcen zu sammeln, navigieren Sie in Now Platformzu Cloud-Bestandsressourceneinschlussliste, und löschen Sie alle Datensätze der Tabelle GCP.
      Abbildung : 1. Aufnahmeliste von Cloud-Bestandsressourcen

      GCP-Einschlussliste
    • Feintunen Sie die Erkennung von GCP-Ressourcen mithilfe der Aufnahmeliste von Cloud-Bestandsressourcen.

      Wenn Ihre Bereitstellung benutzerdefinierte Muster für die GCP-Erkennung hat, stellen Sie sicher, dass Sie GCP-Ressourcen nicht zweimal entdecken:

      1. Stellen Sie sicher, dass der Anwendungsbereich „Discovery and Service Mapping Patterns“ ist:
        1. Navigieren zu Einstellungen > Entwickler.
        2. Wählen Sie Discovery and Service Mapping Patterns aus der Liste Anwendung aus.
      2. Navigieren zu Systemdefinitionen > Tabellen.
      3. Öffnen Sie die Tabelle „Aufnahmeliste für Cloud-Bestandsressourcen“ [sa_cloud_inventory_resource_whitelist].
      4. Klicken Sie unter Zugehörige Linksauf Liste anzeigen.
      5. Wählen Sie Ressourcentypen aus, für die Sie benutzerdefinierte Muster haben, und wählen Sie in der Liste Aktionen für ausgewählte Zeilen die Option Löschen aus.
      Die Aufnahmeliste für Cloud-Bestandsressourcen ist mit allgemeinen Services vordefiniert. Sie können die Liste wie folgt mit zusätzlichen Ressourcentypen erweitern, die vom Muster erkannt werden sollen:
      Hinweis:
      Wenn Sie die im Basissystem bereitgestellte Liste ändern, wird sie bei Anwendungsupdates nicht mehr automatisch aktualisiert. Sie müssen anwenderdefinierte Listen selbst pflegen.
      1. Öffnen Sie die Tabelle „Aufnahmeliste für Cloud-Bestandsressourcen“ [sa_cloud_inventory_resource_whitelist].
      2. Klicken Sie auf Neu.
      3. Füllen Sie das Formular aus, und klicken Sie dann auf Absenden.
        Hinweis:
        Die Namen der zusätzlichen Ressourcentypen müssen den entsprechenden Namenskonventionen der Lieferanten entsprechen.
        Feld Beschreibung
        Cloud-Anbieter Der Lieferant des Ressourcentyps: GCP
        Ressourcentyp Wert des GCP-Ressourcentyps
        Anwendung Der Anwendungsbereich: Discovery and Service Mapping Patterns

      Die Änderungen werden beim nächsten Ausführen des Musters angewendet.

    Von Discovery während der horizontalen Erkennung erfasste Daten

    Dieses Muster erkennt Daten, die Sichtbarkeit für alle GCP-Services in Ihrer Organisation bieten. Die erkannten Daten umfassen die folgenden Tabellen und Felder.

    Tabelle und Feld Beschreibung
    Haupt-CI [cmdb_ci_cmp_resource]
    object_id Die ID des Elements. Das Element wird mit dieser URL aufgerufen.
    name Der Name der Ressource
    resource_type Der Asset-Ressourcentyp gemäß den Daten in der JSON-Datei
    Schlüsselwert [cmdb_key_value]
    Key Der GCP-Tag-Schlüsselname.
    Wert Der GCP-Tag-Wertname.

    Die Dependency Views-Zuordnung zeigt die erkannten Konfigurationselemente (CIs) in Ihrer Organisation und die Beziehungen zwischen ihnen an. Hier ist die einzige bedeutungsvolle Beziehung zwischen den CIs die, mit der Discovery sie identifizieren kann.

    Jedes GCP-Bestand-CI ist entweder einem Logischen Datenzentrum (LDC)-CI oder einem Cloud-Servicekonto-CI zugeordnet. In diesem Beispiel bezieht sich das Bestand-CI auf ein Cloud-Servicekonto-CI.

    Abbildung : 2. Dependency Views-Zuordnung mit Cloud-Servicekonto-CI

    CIs und Verbindungen in einer Abhängigkeitsansichten-Karte

    CI-Beziehungen

    Diese Beziehungen sollen die GCP-Asset-Bestandserkennung unterstützen:

    CI Beziehung CI
    Für globale Ressourcen:
    Haupt-CI [cmdb_ci_cmp_resource] Enthalten in::Enthält Cloud-Servicekonten
    Für regionale Ressourcen:
    Haupt-CI [cmdb_ci_cmp_resource] HostedOn::Hosts Logisches Rechenzentrum (LDC)