クラウドプロビジョニングとガバナンス での Microsoft Azure クラウド 1 日目のセットアップガイド
クラウドプロビジョニングとガバナンス を初めて設定する場合、この「1 日目」のセットアップガイドの手順を実行します。手順は順番に実行してください。1 日目のセットアップを実行した後、必要に応じて、任意の順序でオプションの 2 日目のセットアップおよび構成手順を実行できます。各手順の詳細な説明については、この概要に従ってください。
クラウドプロビジョニングとガバナンス アプリケーションの要求
クラウドプロビジョニングとガバナンス アプリケーションは個別のサブスクリプションとして使用できますが、クラウドプロビジョニングとガバナンス プラグイン (com.snc.cloud.mgmt) が必要です。 「クラウドプロビジョニングとガバナンス のアプリケーションの要求」を参照してください。
クラウドプロビジョニングとガバナンス のセットアップに必要なロール
- Azure ポータルでの操作には、次のいずれかのロールが必要です。
- Azure または Azure AD (Active Directory) アドミン
- アプリケーションアドミニストレーター
- アプリケーション開発者
- クラウドアプリケーションアドミニストレーター
- クラウドプロビジョニングとガバナンス の操作には、sn_cmp.cloud_admin ロールが必要です。
クラウドプロビジョニングとガバナンス が使用する用語について
多くの場合、クラウドプロバイダーはアカウント、地域、認証情報の設定に異なる名前を使用します。ServiceNow アプリケーションは複数のクラウドプロバイダーをサポートしているため、アプリは設定に汎用的な名前を使用します。 Azure では、仮想リソースの地域固有のコンテナは「リージョン」と呼ばれます。クラウドプロビジョニングとガバナンス では、地域はデータセンターまたは論理データセンター (LDC) と呼ばれます。 論理という用語は、クラウドプロビジョニング がプロバイダーに依存しないというアイデアを強調するために使用されます。クラウドプロビジョニング を使用して展開されているすべてのインフラストラクチャまたはアプリケーションは、データセンターに関連付けられています。
セットアッププロセスの簡単な概要
- 必要な場合:クラウドプロビジョニングとガバナンス のアプリケーションの要求。
- クラウドユーザーに適切なロールをアサインします。
- プロバイダーの API エンドポイントとのセキュリティ保護された通信を処理する MID サーバー を設定します。
- プロバイダーポータルで、ディスカバリー プロセスでプロバイダーアカウントにプログラムによりアクセスするために使用するアカウント設定と認証情報を (MID サーバー を通じて) 収集します。アカウント設定と認証情報を クラウドプロビジョニングとガバナンス の サービスアカウント に安全に関連付けます。
- 管理対象のクラウドインフラストラクチャ全体を表すように クラウドアカウント を設定し、いずれかのプロバイダーアカウントを使用して機能するように サービスアカウント を設定します。サービスアカウント で クラウドアカウント に含めるデータセンターを指定します(後で、「2 日目」に追加の クラウドアカウント と サービスアカウント を同じまたは他のプロバイダーから設定できます)。
- クラウドプロビジョニング で CMDB データを使用し、ユーザーによるクラウドリソースの要求と管理、およびクラウドインフラストラクチャの管理に役立てることができます。すべてのデータセンターに対するリソースデータを CMDB に入力するには、サービスアカウント でデータセンターごとに ディスカバリー プロセスを手動で実行します。次に、データが継続的に更新されるように、定期的なスケジュールで実行するよう ディスカバリー を設定します。クラウドアカウント は次のようになります。
図 : 1. 1 日目のクラウドアカウントの構造 - プロバイダーは、リソースに対する作成/変更/終了のライフサイクル変更または構成の更新が発生するたびに CMDB を自動更新できるサービスを提供します。クラウドプロビジョニングとガバナンス と直接統合するようにサービスを構成することができます。
クラウドプロビジョニングとガバナンス を Microsoft Azure アカウントとデータ連携するために行うこと
各手順の詳細な説明については、この概要に従ってください。- 1. Azure ユーザーへのロールの割り当て:クラウドプロビジョニングとガバナンス
- ユーザーのアクティビティと責任に基づいて、ユーザーグループと個々のユーザーに クラウドプロビジョニングとガバナンス ロールをアサインします。
- 2. クラウド環境にアクセスするための MID サーバーのインストールと構成
- 安全で信頼性の高い通信を確保するために、ディスカバリー プロセスは 1 つ以上の MID サーバー を介してクラウドプロバイダーアカウントおよびクラウドリソースと通信します。ネットワークまたはクラウドネットワークのいずれかに MID サーバー を設定できます。
注:データは MID サーバー および MID サーバー と API エンドポイントの間で暗号化されます。高いパフォーマンスとセキュリティを確保するには、管理対象の各データセンターに対して MID サーバー を 1 つ以上設定する必要があります。他のクラウドプロバイダーに対して クラウドプロビジョニングとガバナンス を設定している際に、その他の MID サーバー に対して既に構成している場合でも、MID サーバー を設定します。
- 3. Microsoft Azure サービスプリンシパルの作成
- Microsoft Azure アカウントのリソースおよび請求処理データに安全にアクセスするために、ディスカバリー プロセスは適切な Microsoft Azure アカウント認証情報を提供する必要があります。必要な認証情報を生成するために、特別なプログラムによるアカウント (Microsoft Azure サービスプリンシパル) を作成します。
- 4. インスタンスに Azure サービス プリンシパル認証情報を格納する
- プロバイダーアカウントのデータに安全にアクセスするために、ディスカバリー プロセスで適切な認証情報を提供する必要があります。認証情報を ディスカバリー で利用できるようにするには、最初に Azure ポータル で Azure サービスプリンシパルの認証情報を作成します。次に、インスタンスの サービスアカウント で認証情報を安全に保存します。
- 5. 追加:Azure サービスアカウント
- サービスアカウント はプロバイダーアカウントの認証情報およびアクセス情報を保存するインスタンスの安全なレコードです。ディスカバリー は、指定された各データセンター内の各リソースのデータを取得するために、その情報を使用してプロバイダーアカウントにアクセスします。
- 6. サービスアカウントでのすべてのデータセンターのオンデマンド検出
- ディスカバリー では、サービスアカウント の情報を使用してプロバイダーアカウントに関連付けられているすべての論理データセンターを識別します。
- 7 クラウドアカウントのセットアップ:Azure
- クラウドアカウント は、管理対象のクラウドインフラストラクチャのすべてまたは一部の クラウドプロビジョニングとガバナンス における論理的な表現です。クラウドアカウント には、異なるプロバイダーからの サービスアカウント であっても複数の サービスアカウント を含めることができます。サービスアカウント ごとに、クラウドアカウント に含めるデータセンターを指定します。
- 8. リソースに対するユーザー要求のキャパシティ制限の設定
- キャパシティ制限により、仮想マシンの数、仮想 CPU、ストレージのアグリゲートなど、クラウドリソースの属性が制限されます。クラウドアカウントの論理データセンターごとに、リソースに対する制限を個別に設定することができます。
- 10. 請求処理ダウンロード用の Microsoft Azure 認証情報の作成
- MID サーバー を定期的に使用して請求処理データをプロバイダーからダウンロードするスケジュール済みジョブを定義します。クラウドプロビジョニングとガバナンス でデータがコストテーブルに保存され、その情報を使用してレポートが生成されます。
次のステップ
このセットアップガイドにある 1 日目と 2 日目の手順を完了したら、組織で クラウドプロビジョニングとガバナンス アプリケーションを使用する方法について「クラウドプロビジョニングとガバナンス 管理ガイド」を参照してください。