ドメインセパレーションと CMDB 識別および調整

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:6分

    • ドメインセパレーションは CMDB 識別および調整機能でサポートされています。 ドメインセパレーションでは、データ、プロセス、および管理タスクをドメインと呼ばれる論理的なグループに分けることができます。どのユーザーがデータを表示できるか、データにアクセスできるかなど、このアプリケーションのいくつかの側面を制御できます。

    概要

    ドメインセパレーションは、CMDB 識別および調整 (IRE) プロセスで適用されます。IRE はドメインに対応しており、ドメインセパレーションは識別および調整ルールに適用されます。

    ドメインセパレーションの詳細については、「ドメインセパレーション」を参照してください。

    識別および調整でのドメインセパレーションの仕組み

    識別エンジンでのドメインセパレーションは、ユーザーがドメインセパレーションプラグインをアクティブにするとすぐに適用されます。IRE のドメインセパレーションには、ドメインセパレーションされたインスタンスで 2 つの動作モードがあります。
    • 厳格モード (デフォルトで有効):このモードでは、ドメイン ID が現在ログインしているユーザーのドメインと同じである CI のみが、識別で処理されます。ドメイン間で重複 CI (親ドメインと子ドメインを含む) が存在する場合、それらの CI は、ドメイン ID が一致しないため、重複 CI と見なされません。

    • プラットフォームドメインセパレーションモード (デフォルトでは無効):このモードでは、IRE はプラットフォームドメインセパレーションの動作に従います。そのため、識別中、親ドメインは、子ドメイン内のすべての CI、または可視化を持つ任意のドメインにアクセスできます。詳細については、「ヴィジビリティドメインと包含ドメイン」を参照してください。

      プラットフォームドメインセパレーションモードは、高度なユーザーが特定または高度なユースケースで使用することを目的としています。

      注:

      プラットフォームドメインセパレーションモードでは、アップグレードされたインスタンスではより大きく、zBooted インスタンスではより小さいリスクが発生します。

      ドメインセパレーションされたインスタンスで IRE プロセスがどのように構成されているかに応じてプラットフォームドメインセパレーションモードを使用するように IRE を設定した場合、慎重に使用しないと、予期しない望ましくない動作が発生する可能性があります。リスクの 1 つは、プラットフォームドメインセパレーションモードを有効にした後に、以前に IRE プロセスが実行されたドメインとは異なるドメインから IRE プロセスを実行したかどうかです。この状況では、以前に一意であると識別された CI が重複 CI として識別され、一部のアプリケーションが失敗し始める可能性があります。

      ドメインセパレーションされた環境でアプリケーションが既に IRE を効果的に使用している場合は、プラットフォームドメインセパレーションモードに切り替えるメリットはなく、リスクが生じる可能性があります。

    glide.identification_engine.platform_domain_separation_enabled システムプロパティを使用して、IRE ドメインセパレーションの 2 つのモードを切り替えます。デフォルトでは、このプロパティは [false] に設定されています。

    プラットフォームドメインセパレーションモード

    システムプロパティ glide.identification_engine.platform_domain_separation_enabled[true] に設定し、IRE 処理のプラットフォームドメインセパレーションモードを有効にします。プラットフォームドメインセパレーションモードでは、親ドメインは IRE 処理中にすべての子ドメインにアクセスできます。たとえば、IRE は子ドメインで一致する CI を検出し、新しい CI を作成する代わりにその CI を更新することができます。

    IRE 用のプラットフォームドメインセパレーションモード:
    • 親ドメインから実行される IRE は、そのドメイン内に含まれる CI、ドメイン階層の下位にある子ドメイン、およびグローバルドメインにアクセスできます。
    • グローバルドメインから実行された IRE は、すべての CI にアクセスできます。
    • ヴィジビリティドメインと包含ドメインがサポートされています。
    注:
    プラットフォームドメインセパレーションモードが有効になっている場合、重複 CI の IRE 検出が急増する可能性があります。

    識別プロセス中のドメインセパレーション

    識別プロセス中のドメインセパレーションは、次のように適用されます。
    • glide.identification_engine.platform_domain_separation_enabled システムプロパティの設定に関係なく、次のようになります。
      • ドメイン ID は、識別エンジン API の入力ペイロードで明示的に送信する必要はありません。内部的に、識別エンジンは、ユーザーの現在のドメイン ID に識別エンジン API を呼び出させます。
      • 照合中にレコードが見つからず、CI を挿入される場合、CI のドメイン ID は、ログインしているユーザーのドメインのドメイン ID と同じです。CI を更新しても、CI ドメイン ID は変更されません。
      • 照合中に重複が見つかった場合、[reconcile_duplicate_task] テーブルに作成される重複排除タスクのドメイン ID は、重複 CI のものと同じです。
      • 照合中、CI の再分類が許可されない場合、再分類が必要な CI と同じドメイン ID で [reclassification_task] テーブルに再分類タスクが作成されます。
    • システムプロパティ glide.identification_engine.platform_domain_separation_enabled が、[false] に設定された場合。
      • 照合中は、現在ログインしているユーザーのドメインと同じドメイン ID を持つ CI のみが使用されます。
      • ドメイン間に存在する重複 CI (親ドメインと子ドメインを含む) は、IRE によって重複 CI と見なされません。
    • システムプロパティ glide.identification_engine.platform_domain_separation_enabled が、[true] に設定された場合。
      • ドメイン間に存在する重複 CI (親ドメインと子ドメインなど) は、IRE によって重複 CI と見なされます。
      • ログインしたユーザードメインと子ドメインの CI は、照合時に使用されます。

    ドメインセパレーションと識別ルール

    識別プロセス中に使用される識別ルールおよび ID 包含ルールは、常にグローバル レベルで定義されます。たとえば、次のテーブルには [sys_domain] フィールドがありません。
    • 識別子 (cmdb_identifier)
    • 識別子エントリ (cmdb_identifier_entry)
    • 関連エントリ (cmdb_related_entry)
    • 識別包含ルール (cmdb_ie_active_config)

    ドメインセパレーションと調整ルール

    調整プロセスで使用される調整定義ルールは、異なるドメインに対して定義できます。たとえば、次のテーブルには、[sys_domain]、[sys_overrides]、[sys_domain_path] フィールドがあります。
    • 調整定義 (cmdb_reconciliation_definition)
    • データソース優先順位 (cmdb_datasource_precedence)
    • データソース未更新の定義 (cmdb_datasource_staleness)