Atividades do administrador de domínio na organização de um provedor de serviços

A seção a seguir lista as atividades que o administrador de um domínio executa para a empresa que um provedor de serviços gerencia. Configure contas de serviço e contas de nuvem usando o Portal do administrador de nuvem. Crie operações de pré-provisionamento que você pode configurar para recursos de nuvem antes que os usuários os provisionem ou executem operações de ciclo de vida.

Fortes padrões de processo universal, design de processo orientado por dados, governança estrita e administração centralizada maximizam os benefícios da separação de domínios no Cloud Provisioning and Governance em uma única instância. A função de administrador do domínio deve ser estritamente restrita a usuários na organização do provedor de serviços e não ser atribuída aos usuários administradores de nuvem da organização do cliente. Esta restrição permite que o SP garanta que um cliente não obtenha acesso total aos dados de outro domínio. Como os dados geralmente são compartilhados entre vários clientes, como administradores de domínio, não exponha ou forneça permissões que possam resultar em vazamento de dados.

Provisionamento de recursos de nuvem

• Mapeie contas de serviço relevantes para contas de nuvem em cada domínio. Por exemplo, descobrir uma assinatura primária da nuvem do Azure cria uma ou mais contas de serviço secundárias e são criadas no mesmo domínio. Isso significa que todas as contas de serviço em uma assinatura principal da nuvem do Azure devem pertencer a uma única empresa e domínio.

  Faça login usando um usuário com uma função root_admin ou cloud_admin, enquanto configura contas de nuvem e de serviço e executa a Descoberta para qualquer domínio. Use o seletor de domínio ao executar ações como descoberta ou criação e mapeamento de contas de serviço e nuvem.

  Nota:

  • Cloud Provisioning and Governance não oferece suporte ao recurso expandir e recolher escopo do domínio.
  • Para obter mais informações sobre o que um usuário pode e não pode acessar, consulte Escopo do domínio

  Uma conta de serviço é um registro seguro em sua instância que armazena as credenciais e as informações de acesso da sua conta do provedor. A Descoberta usa as informações para acessar sua conta do provedor e obter dados sobre cada recurso em cada datacenter especificado. Uma conta de nuvem é a representação lógica em Cloud Provisioning and Governance de toda ou parte da sua infraestrutura de nuvem gerenciada. Uma conta de nuvem pode incluir várias contas de serviço, até mesmo contas de serviço de diferentes provedores. Para cada conta de serviço, você especifica quais datacenters serão incluídos na conta de nuvem.

  Certifique-se de que as chaves de gestão e as credenciais da conta de serviço sejam exclusivas para cada domínio e não sejam compartilhadas. Para configurar contas de nuvem e contas de serviço para vários provedores de nuvem, execute as ações de configuração do dia 1:

  • Guia de configuração do dia 1 para Amazon Web Services em Cloud Provisioning and Governance
  • Guia de configuração do dia 1 para o Azure em Cloud Provisioning and Governance
  • Guia de configuração do dia 1 para o Google Cloud Connector em Cloud Provisioning and Governance
  • Guia de configuração do dia 1 para VMware em Cloud Provisioning and Governance
• API de nuvem (CAPI) e. Scripts em nuvem e modelos de script em nuvem

  CAPI não é separado por domínio, pois há suporte à separação de domínio em Cloud Provisioning and Governance. Como o CAPI é configurado em um domínio global e compartilhado entre domínios folha, certifique-se de que os scripts não contenham informações confidenciais codificadas, como detalhes da conta, credenciais ou nomes, mesmo em comentários ou anotações.

  O CAPI permite que você integre Cloud Provisioning and Governance Com provedores de nuvem que usam REST APIs. Scripts em nuvem são scripts java simples que usam recursos da plataforma. Em Cloud Provisioning and Governance a execução do script é dividida em scripts de nuvem e modelos de script de nuvem. Use scripts em modelos, blocos de recursos, perfis de SO e scripts de política para definir atributos de formulário de solicitação. Os scripts de política não podem substituir os dados do usuário. Os modelos de script em nuvem são executáveis reais que são passados para uma máquina virtual de destino para execução. Primeiro, crie um modelo de nuvem e associe-o a um script de nuvem.

• Descoberta na nuvem

  SPs (Service Providers, provedores de serviço) usam a separação de domínios para segregar dados de cada cliente. Os usuários em um determinado domínio têm visibilidade somente dos dados em seus próprios domínios ou em domínios secundários. SPs normalmente controlam o domínio de nível superior, o que lhes dá visibilidade aos dados associados a todos os domínios. Embora o suporte à separação de domínios para a Descoberta seja considerado de nível 2, não há administração delegada para os domínios secundários em Cloud Provisioning and Governance. As SPs devem manter o controle administrativo. Como SP, sempre execute a descoberta de um domínio folha fazendo login como ou representando um administrador de domínio para descobrir seus recursos de nuvem.

  A Descoberta na nuvem fornece um assistente que permite criar e executar cronogramas de nuvem em uma única interface. Ao criar uma programação com o Gerenciador de Descoberta, você seleciona as contas a serem descobertas, as credenciais para acessar essas contas e os MID Servers para verificar os recursos. Em seguida, você pode exibir os resultados na página inicial da Descoberta e rastrear quaisquer erros que possam ter ocorrido.

  Para obter mais informações, consulte,

  • Gerenciador de Descoberta
  • Executando descobertas em sua rede
    • Descoberta em nuvem do Microsoft Azure
    • VMware Cloud Discovery
    • Descoberta do Google Cloud Platform
    • IBM Cloud Discovery
• Configure e configure a gestão de eventos para receber eventos externos e gerar alertas com base em regras de gestão de eventos e alertas. A visibilidade dos eventos depende do domínio da conta de serviço associada. Somente usuários que pertencem a esse domínio podem ver os detalhes do evento para eventos processados. Os eventos que não estão associados a uma conta de serviço ficam visíveis para todos os domínios.

  Monitore a integridade dos serviços de negócios e da infraestrutura usando um único console de gerenciamento e responda adequadamente a quaisquer problemas que surgirem. A Gestão de eventos fornece análise inteligente de eventos e alertas para garantir a continuidade do desempenho do serviço de negócios. A Gestão de eventos recebe e processa eventos por meio do MID Server.

  Para obter mais informações, consulte

  • Explorando Gestão de eventos
  • Configuração da Gestão de eventos
    • Configure o. AWS Serviço de configuração para enviar notificações de evento para ServiceNow instância
    • Configure o. Microsoft Azure Serviço de alerta para atualizar automaticamente o. CMDB
    • Configure o. Registro em log do Google Stackdriverserviço para atualizar automaticamente o. CMDB
    • Configure o. Eventos do VMwareserviço para atualizar automaticamente o. CMDB

• . Cloud Provisioning and Governance a aplicação oferece suporte à integração com soluções de entrega contínua (também conhecidas como gestão de configuração). Crie um provedor de gestão de configuração do Ansible ou terraform e execute a Descoberta no provedor para encontrar seus recursos. Para obter mais informações, consulte Suporte para entrega contínua (gestão de configuração) e. Crie um tipo de provedor de carga de trabalho para cada novo provedor de gestão de configuração. Essas informações aparecem no formulário do catálogo de pedidos como atributos de gestão que os usuários podem selecionar ao provisionar um recurso virtual por meio de um provedor de gestão de configuração.

• Se você estiver criando catálogos com base em modelos do terraform e compartilhando o catálogo com vários domínios. Execute a listagem de módulos (descoberta de configuração) no domínio global. . MID Server Deve ser criado no domínio global e só deve ser atribuído com a capacidade terraform para sua descoberta. Isso permite que os SPs compartilhem catálogos com vários domínios.

  Aviso:

  Não crie um global MID Server Com qualquer outro recurso que não seja a gestão de configuração do terraform.

  Crie um catálogo terraform comum e compartilhe-o com vários clientes:

  • Criar MID Server no domínio global como administrador global.
  • Crie um provedor de configuração de código aberto do terraform .
    Nota:

    Adicione somente "terraform" como o provedor de configuração.
  • Crie um item do catálogo com base em um modelo do terraform .

• Cloud Provisioning and Governance oferece suporte ao uso de ServiceNow AI Platformcom subfluxos. Regras são coleções de condições e ações. ​Se todas as condições de uma regra forem avaliadas como verdadeiras, o sistema executará as ações. Se alguma condição for avaliada como falsa, o sistema não executará as ações. Criar regras ajuda a rastrear atividades e responder e resolver problemas com mais rapidez. Aproveite o subfluxo do Flow Designer para automatizar suas operações do Dia 2. Grave rapidamente um subfluxo que se comunique com uma API de nuvem ou um recurso específico. Use SSH, PowerShell ou uma ferramenta semelhante para acessar e estender os recursos de subfluxo. Para obter mais informações, consulte Operações do dia 2 usando subfluxos .

• Notificação e aprovação baseadas em orçamento

  Domain Separation em Cloud Provisioning and Governance oferece suporte à separação de dados de orçamentos. Você pode atribuir orçamentos específicos do domínio. Atribua um orçamento para um grupo e um usuário dentro do grupo. Quando o usuário ou grupo atinge o limite de orçamento, notificações são enviadas alertando-os sobre isso. Para obter mais informações, consulte Configurar orçamentos

  • Criar marcadores para recursos de nuvem

    Os marcadores categorizam os recursos de nuvem para fornecer dados de relatório de rastreamento e faturamento mais detalhados e detalhados. As chaves de marcador não são separadas por domínio e são mostradas aos usuários de outros domínios. A visibilidade do marcador depende do domínio de IC associado ou do domínio de registro de faturamento associado. Marcadores que não estão associados a nenhum IC ou registro de faturamento ficam visíveis para todos os administradores de domínio. Quando um marcador é criado, ele aparece em qualquer novo catálogo que você cria. O administrador de nuvem precisa escolher os marcadores desejados para o catálogo.

  • Os dados de faturamento podem ser exibidos separadamente para cada domínio. Os trabalhos de faturamento usam o domínio da conta de serviço configurada. Configure a Configuração de faturamento para permitir que administradores de nuvem e usuários de nuvem exibam relatórios como dados de faturamento de nuvem e uso de marcador de nuvem no painel de faturamento.

    Defina o trabalho agendado que usa regularmente um MID Server para baixar dados de faturamento do provedor. Cloud Provisioning and Governance salva os dados em uma tabela de custos e usa as informações para gerar relatórios.

    Para obter mais informações sobre como configurar cronogramas de faturamento e baixar relatórios de faturamento, consulte:

    • Defina a programação para baixar dados de faturamento da AWS
    • Defina a programação para baixar dados de faturamento do Azure

Próximas etapas

//var orderContext = json.decode(workflow.inputs.ordercontext) ;
new CMPDomainSeparationUtil() .impersonateUser(current.request.requested_for);

Para obter mais informações sobre como executar Cloud Provisioning and Governance operações de ciclo de vida que estão disponíveis para cada domínio que você está gerenciando em sua instância, consulte Portal do usuário em nuvem .