서비스 제공자 조직의 도메인 관리자 활동

다음 섹션에서는 도메인 관리자가 서비스 제공자가 관리하는 회사에 대해 수행하는 활동을 나열합니다. 클라우드 관리자 포털을 사용하여 서비스 계정과 클라우드 계정을 설정합니다. 사용자가 클라우드 자원을 프로비저닝 하거나 수명 주기 운영을 수행하기 전에 클라우드 자원을 구성할 수 있는 사전 프로비저닝 작업을 생성합니다.

강력한 범용 프로세스 표준, 데이터 기반 프로세스 설계, 엄격한 관리 및 중앙 집중식 관리는 단일 인스턴스의 클라우드 프로비저닝 및 거버넌스에서 도메인 분리의 이점을 극대화합니다. 도메인 관리자 역할은 서비스 제공자의 조직에서 사용자에게 엄격하게 제한되고 고객 조직의 Cloud Admin 사용자에게 할당되지 않아야 합니다. 이러한 제한을 통해 SP가 고객이 다른 도메인의 데이터에 대한 전체적인 접근 권한을 받지 않도록 할 수 있습니다. 데이터는 여러 클라이언트에서 공유되므로 도메인 관리자는 데이터 유출을 초래할 수 있는 권한을 공개하거나 제공해서는 안됩니다.

클라우드 자원 프로비저닝

• 관련 서비스 계정을 각 도메인의 클라우드 계정에 매핑해야 합니다. 예를 들어, Azure 클라우드에서 기본 구독을 검색하면 하나 이상의 하위 서비스 계정이 생성되고 동일한 도메인에 생성됩니다. 즉, Azure 클라우드에서 마스터 구독에 있는 모든 서비스 계정은 단일 회사 및 도메인에만 속해야 합니다.

  클라우드 및 서비스 계정을 설정하고 도메인에 대한 검색을 실행할 때 root_admin 또는 cloud_admin 역할을 가진 사용자를 사용하여 로그인합니다. 검색 또는 클라우드 및 서비스 계정 생성 및 매핑 등의 작업 수행 시 도메인 선택기를 사용합니다.

  주:

  • 클라우드 프로비저닝 및 거버넌스는 도메인 범위 기능 확장 및 축소 기능을 지원하지 않습니다.
  • 사용자가 액세스할 수 있는 항목과 액세스할 수 없는 항목에 대한 자세한 내용은 도메인 범위를 참조하십시오.

  서비스 계정은 제공자 계정에 대한 자격 증명 및 액세스 정보를 저장하는 인스턴스의 보안 레코드입니다. 검색은 정보를 사용하여 제공자 계정에 액세스하고 지정된 각 데이터센터의 각 자원에 대한 데이터를 가져옵니다. 클라우드 계정은 관리되는 클라우드 인프라의 전부 또는 일부를 클라우드 프로비저닝 및 거버넌스에서 논리적으로 표현한 것입니다. 클라우드 계정에는 여러 서비스 계정(다른 제공자의 서비스 계정 포함)을 포함할 수 있습니다. 각 서비스 계정에 대해 클라우드 계정에 포함할 데이터센터를 지정합니다.

  관리 키와 서비스 계정 자격 증명이 각 도메인에 고유하며 공유되지 않는지 확인합니다. 여러 클라우드 제공자에 대한 클라우드 계정과 서비스 계정을 설정하려면 1일차 설정 작업을 수행하십시오.

  • 에서 Amazon Web Service를 위한 1일차 설정 가이드 클라우드 프로비저닝 및 거버넌스
  • 에서 Azure를 위한 1일차 설정 가이드 클라우드 프로비저닝 및 거버넌스
  • 에서 Google Cloud Connector를 위한 1일차 설정 가이드 클라우드 프로비저닝 및 거버넌스
  • VMware의 1일차 설정 가이드 클라우드 프로비저닝 및 거버넌스
• 클라우드 API(CAPI)와 클라우드 스크립트 및 클라우드 스크립트 템플릿

  CAPI는 도메인 분리되지 않으며 클라우드 프로비저닝 및 거버넌스에서는 도메인 분리가 지원됩니다 . CAPI는 전역 도메인에서 설정되고 리프 도메인 간에 공유되기 때문에 스크립트는 설명이나 주석에도 계정 세부 정보, 자격 증명 또는 이름과 같은 하드코딩된 중요한 정보를 포함하지 않아야 합니다.

  CAPI에서 REST API를 사용하여 클라우드 제공자와 클라우드 프로비저닝 및 거버넌스를 통합할 수 있습니다. 클라우드 스크립트는 플랫폼 기능을 사용하는 단순한 Java 스크립트입니다. 클라우드 프로비저닝 및 거버넌스 애플리케이션에서 스크립트 실행은 클라우드 스크립트와 클라우드 스크립트 템플릿으로 나뉩니다. 템플릿, 자원 블록, OS 프로파일의 스크립트를 사용하고 정책 스크립트를 사용하여 요청 양식 속성을 설정합니다. 정책 스크립트는 사용자 데이터를 재정의할 수 없습니다. 클라우드 스크립트 템플릿은 실제로 실행이 가능하며 실행을 위해 가상 머신에 전달됩니다. 먼저 클라우드 템플릿을 만든 다음 클라우드 스크립트와 연결합니다.

• 클라우드 검색

  SP(서비스 제공자)는 도메인 분리를 사용하여 각 고객의 데이터를 분리합니다. 지정된 도메인의 사용자는 자신의 도메인이나 하위 도메인에 있는 데이터만 볼 수 있습니다. SP는 일반적으로 최상위 도메인을 제어하여 모든 도메인과 관련된 데이터를 볼 수 있습니다. 검색의 도메인 분리 지원이 수준 2로 고려되지만 클라우드 프로비저닝 및 거버넌스에서 하위 도메인에 대한 관리는 위임되지 않습니다. SP는 관리 제어를 유지해야 합니다. SP는 항상 도메인 관리자로 로그인하거나 도메인 관리자를 가장해 리프 도메인에서 검색을 실행하여 클라우드 자원을 검색합니다.

  클라우드 검색은 단일 인터페이스에서 클라우드 일정을 생성하고 실행할 수 있는 마법사를 제공합니다. Discovery 관리자를 사용하여 일정을 생성할 때 검색할 계정, 계정 액세스를 위한 자격 증명, 자원을 스캔하는 MID Server를 선택합니다. 그런 다음 검색 홈페이지에서 결과를 확인하여 발생했을 가능성이 있는 모든 오류를 추적할 수 있습니다.

  자세한 내용은 다음을 참조하십시오.

  • 검색 관리자
  • 네트워크에서 검색 실행
    • Microsoft Azure 클라우드 검색
    • VMware 클라우드 검색
    • Google Cloud Platform 검색
    • IBM 클라우드 검색
• 이벤트 관리를 설정하고 구성하여 외부 이벤트를 수신하고 이벤트 및 경보 관리 규칙에 따라 경보를 생성합니다. 이벤트의 가시성은 연결된 서비스 계정의 도메인에 따라 다릅니다. 해당 도메인이 속한 사용자만 처리된 이벤트에 대한 이벤트 상세 정보를 볼 수 있습니다. 서비스 계정에 연결되지 않은 이벤트는 모든 도메인에서 볼 수 있습니다.

  단일 관리 콘솔을 사용하여 비즈니스 서비스와 인프라의 상태를 모니터링하고 발생하는 모든 문제에 적절하게 대응합니다. 이벤트 관리는 비즈니스 서비스 수행의 연속성을 보장하기 위해 지능적인 이벤트 및 경보 분석 기능을 제공합니다. 이벤트 관리는 MID 서버를 통해 이벤트를 수신하고 처리합니다.

  자세한 내용은 다음을 참조하십시오.

  • 이벤트 관리 탐색
  • 이벤트 관리 설정
    • 이벤트 알림을 ServiceNow 인스턴스에 보내도록 AWS 구성 서비스 구성
    • CMDB 를 자동으로 업데이트하도록 Microsoft Azure Alert 서비스 구성
    • 를 자동으로 업데이트하도록 Google Stackdriver 로깅 서비스 구성CMDB
    • 를 자동으로 업데이트하도록 VMware 이벤트 서비스 구성CMDB

• 클라우드 프로비저닝 및 거버넌스 애플리케이션은 지속적 제공 솔루션(구성 관리라고도 함)과의 통합을 지원합니다. Ansible 또는 Terraform 구성 관리 제공자를 생성한 다음 제공자에 대한 검색을 실행하여 해당 자원을 찾습니다. 자세한 내용은 각각의 새 구성 관리 제공자에 대한 지속적 제공(구성 관리) 지원 및 작업 부하 제공자 유형 생성을 참조하십시오. 이 정보는 주문 카탈로그 양식에서 구성 관리 제공자를 통해 가상 자원을 제공할 때 사용자가 선택할 수 있는 관리 속성으로 표시됩니다.

• Terraform 템플릿을 기반으로 카탈로그를 만들고 여러 도메인과 카탈로그를 공유하는 경우. 전역 도메인의 모듈 목록 작성(검색 구성)을 수행합니다. MID 서버는 전역 도메인에 생성되어야 하며 해당 검색에 대해 Terraform 기능만을 사용하여 할당해야 합니다. 이렇게 하면 SP가 여러 도메인으로 카탈로그를 공유할 수 있습니다.

  경고:

  Terraform에 대한 구성 관리 이외의 다른 기능을 가진 전역 MID 서버를 생성하지 마십시오.

  공용 Terraform 카탈로그를 생성하여 여러 고객과 공유합니다.

  • 전역 도메인에서 전역 관리자로 MID 서버를 생성합니다.
  • Terraform Open Source 구성 제공자를 생성합니다.
    주:

    "Terraform"만 구성 제공자로 추가합니다.
  • Terraform 템플릿을 기반으로 카탈로그 항목을 생성합니다.

• 클라우드 프로비저닝 및 거버넌스 는 하위 플로우와 함께 사용할 ServiceNow AI Platform 수 있도록 지원합니다. 규칙은 조건과 작업의 집합입니다. ​규칙의 모든 조건이 true로 평가되면 시스템이 작업을 수행합니다. 조건이 false로 평가되면 시스템이 작업을 수행하지 않습니다. 규칙을 생성하면 활동을 추적하고 문제를 보다 신속하게 대응 및 해결할 수 있습니다. Flow Designer 하위 플로우를 활용하여 2일차 작업을 자동화합니다. 클라우드 API나 특정 자원과 통신하는 하위 플로우를 빠르게 작성합니다. SSH, PowerShell 또는 이와 유사한 도구를 사용하여 하위 플로우 기능에 액세스한 다음 확장합니다. 자세한 내용은 하위 플로우를 사용하는 2일차 작업을 참조하세요.

• 예산 기반 알림 및 승인

  클라우드 프로비저닝 및 거버넌스의 도메인 분리는 예산의 데이터 분리를 지원합니다. 도메인별 예산을 할당할 수 있습니다. 그룹 및 그룹 내 사용자에 대한 예산을 할당합니다. 사용자 또는 그룹이 예산 한도 임계치에 도달하면 이를 알리는 알림이 전송됩니다. 자세한 내용은 예산 구성을 참조하십시오.

  • 클라우드 자원에 대한 태그 생성

    태그는 클라우드 자원을 분류하여 더 풍부하고 더 자세한 추적 및 청구 보고서 데이터를 제공합니다. 태그 키는 도메인이 분리하지 않으며 다른 도메인의 사용자에게 표시됩니다. 태그 가시성은 연결된 CI 도메인 또는 관련된 청구 레코드 도메인에 따라 달라집니다. CI 또는 청구 레코드에 연결되지 않은 태그는 모든 도메인 관리자에게 표시됩니다. 태그를 생성하면 생성한 새 카탈로그에 표시됩니다. 클라우드 관리자가 카탈로그에 사용할 태그를 선택해야 합니다.

  • 청구 데이터는 각 도메인에 대해 별도로 볼 수 있습니다. 청구 작업은 구성된 서비스 계정 도메인을 사용합니다. 클라우드 관리자 및 클라우드 사용자가 청구 대시보드의 클라우드 청구 데이터 및 클라우드 태그 사용과 같은 보고서를 볼 수 있도록 청구 설정을 구성합니다.

    MID 서버를 정기적으로 사용하여 제공자의 청구 데이터를 다운로드하는 예약된 작업을 정의합니다. 클라우드 프로비저닝 및 거버넌스는 데이터를 비용 테이블에 저장하고 이 정보를 사용하여 보고서를 생성합니다.

    청구 일정 설정 및 청구 보고서 다운로드에 대한 자세한 내용은 다음을 참조하십시오.

    • AWS 청구 데이터 다운로드 일정 정의
    • Azure 청구 데이터 다운로드 일정 정의

다음 단계

//var orderContext = json.decode(workflow.inputs.ordercontext) ;
new CMPDomainSeparationUtil() .impersonateUser(current.request.requested_for);

인스턴스에서 관리하는 각 도메인에 사용할 수 있는 클라우드 프로비저닝 및 거버넌스 수명주기 작업을 수행하는 방법에 대한 자세한 내용은 클라우드 사용자 포털을 참조하십시오.