Domain Separation und CMDB-Identifikation und -Abgleich

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Domänentrennung wird in der Funktion CMDB-Identifizierung und -Abgleich unterstützt. Mit der Domain Separation können Sie Daten, Prozesse und Verwaltungsaufgaben in logische Gruppierungen, sogenannte Domänen, aufteilen. Sie können verschiedene Aspekte dieser Trennung steuern, einschließlich der Benutzer, die Daten sehen und darauf zugreifen können.

    Übersicht

    Die Domänentrennung wird während des CMDB Identification and Reconciliation -Prozesses (IRE) erzwungen. IRE-Prozesse sind domänenfähig, und Domain Separation wird auf die Regeln für Identifizierung und Abgleich angewendet.

    Weitere Informationen zu Domain Separation finden Sie unter Domain Separation.

    Funktionsweise der Domain Separation bei Identifikation und Abgleich

    Die Domänentrennung in der Identifizierungs-Engine wird erzwungen, wenn Benutzer das Plugin „Domain Separation“ aktivieren. Domain Separation für IRE bietet zwei Betriebsmodi in domänengetrennten Instanzen:
    • Strikter Modus (standardmäßig aktiviert): In diesem Modus verarbeitet die Identifizierung nur CIs, deren Domänen-ID mit der Domäne des aktuell angemeldeten Benutzers identisch ist. Wenn domänenübergreifend doppelte CIs vorhanden sind (einschließlich über- und untergeordneter Domänen), werden diese CIs nicht als doppelte CIs betrachtet, da ihre Domänen-IDs nicht übereinstimmen.

    • Platform Domain Separation-Modus (standardmäßig deaktiviert): In diesem Modus folgt IRE dem Platform Domain Separation-Verhalten. Daher können übergeordnete Domänen während der Identifizierung auf alle CIs innerhalb ihrer untergeordneten Domänen oder in allen Domänen zugreifen, in die sie Einblick haben. Weitere Informationen finden Sie unter Sichtbarkeitsdomänen und Contains-Domänen.

      Der Modus „Platform Domain Separation“ ist für die Verwendung durch erfahrene Benutzer für sehr spezifische oder fortgeschrittene Anwendungsfälle vorgesehen.

      Hinweis:

      Der Platform Domain Separation-Modus birgt Risiken, die bei aktualisierten Instanzen größer und bei zBoot-Instanzen geringer sind.

      Abhängig davon, wie IRE-Prozesse in einer domänengetrennten Instanz konfiguriert werden, kann das Festlegen von IRE auf die Verwendung des Plattform-Domain-Separationsmodus zu unerwartetem und unerwünschtem Verhalten führen, wenn es nicht mit Sorgfalt verwendet wird. Eines der Risiken besteht darin, wenn nach dem Aktivieren des Platform Domain Separation-Modus IRE-Prozesse in einer anderen Domäne ausgeführt werden als in der, in der IRE-Prozesse zuvor ausgeführt wurden. In dieser Situation werden CIs, die zuvor als eindeutig identifiziert wurden, möglicherweise als doppelte CIs identifiziert, was dazu führen kann, dass einige Anwendungen fehlschlagen.

      Wenn eine Anwendung IRE in einer domänengetrennten Umgebung bereits effektiv verwendet, hat der Wechsel zum Plattform-Domain-Separation-Modus keinen Vorteil, da dies ein Risiko darstellen könnte.

    Verwenden Sie die Systemeigenschaft „ glide.identification_engine.platform_domain_separation_enabled “, um zwischen diesen beiden Modi für die IRE-Domänentrennung zu wechseln. Standardmäßig ist diese Eigenschaft auf falsefestgelegt.

    Domänentrennungsmodus der Plattform

    Legen Sie die Systemeigenschaft „glide.identification_engine.platform_domain_separation_enabled“ auf „ true “ fest, um den Platform Domain Separation-Modus für die IRE-Verarbeitung zu aktivieren. Im Domänentrennungsmodus der Plattform können übergeordnete Domänen während der IRE-Verarbeitung auf alle untergeordneten Domänen zugreifen. Beispielsweise kann IRE ein übereinstimmendes CI in einer untergeordneten Domäne erkennen und dieses CI dann aktualisieren, anstatt ein neues zu erstellen.

    Im Modus der Plattform-Domänentrennung für IRE:
    • IRE, die von einer übergeordneten Domäne ausgeführt werden, kann auf CIs zugreifen, die in ihrer Domäne, untergeordneten Domänen, die in der Domänenhierarchie niedriger sind, und auf die globale Domäne zugreifen.​
    • Eine in der globalen Domäne ausgeführte IRE kann auf alle CIs zugreifen.
    • Sichtbarkeitsdomänen und Contains-Domänen werden unterstützt.
    Hinweis:
    Wenn der Platform Domain Separation-Modus aktiviert ist, kann die IRE-Erkennung von doppelten CIs unerwartet ansteigen.

    Domänentrennung während des Identifizierungsprozesses

    Die Domänentrennung während des Identifizierungsprozesses wird wie folgt erzwungen:
    • Unabhängig von der Einstellung der Systemeigenschaft „ glide.identification_engine.platform_domain_separation_enabled “:
      • Domänen-IDs müssen nicht explizit in der Eingabenutzlast der Identifizierungs-Engine-APIs gesendet werden. Intern bewirkt die Identifizierungsmaschine, dass die aktuelle Domänen-ID des Benutzers die Identifizierungsmaschinen-APIs aufruft.
      • Wenn während des Abgleichs keine Datensätze gefunden werden und ein CI eingefügt wird, ist die CI-Domänen-ID mit der Domänen-ID der Domäne des angemeldeten Benutzers identisch. Beim Aktualisieren eines CI ändert sich die CI-Domänen-ID nicht.
      • Wenn während des Abgleichs Duplikate gefunden werden, haben die in der Tabelle [reconcile_duplicate_task] erstellten Deduplizierungsaufgaben dieselbe Domänen-ID wie die doppelten CIs.
      • Wenn während des Abgleichs eine Neuklassifizierung des CI nicht zulässig ist, werden in der Tabelle [reclassification_task] Neuklassifizierungsaufgaben mit derselben Domänen-ID wie das CI erstellt, für das eine Neuklassifizierung erforderlich ist.
    • Wenn die Systemeigenschaft glide.identification_engine.platform_domain_separation_enabled auf falsefestgelegt ist:
      • Für den Abgleich werden nur CIs verwendet, die dieselbe Domänen-ID wie die Domäne des aktuell angemeldeten Benutzers aufweisen.
      • Doppelte CIs, die domänenübergreifend vorhanden sind (einschließlich übergeordneter und untergeordneter Domänen), werden von IRE nicht als doppelte CIs betrachtet.
    • Wenn die Systemeigenschaft glide.identification_engine.platform_domain_separation_enabled auf truefestgelegt ist:
      • Doppelte CIs, die domänenübergreifend vorhanden sind (z. B. in übergeordneten und untergeordneten Domänen), werden von IRE als doppelte CIs betrachtet.
      • CIs aus der Domäne des angemeldeten Benutzers und den untergeordneten Domänen werden während des Abgleichs verwendet.

    Domain Separation und Identifizierungsregeln

    Die im Identifizierungsprozess verwendeten Identifizierungsregeln und Identifizierungsinklusionsregeln für die Identifikation werden immer auf globaler Ebene definiert. Beispielsweise haben die folgenden Tabellen kein Feld „sys_domain“:
    • Bezeichner (cmdb_identifier)
    • Identifier-Einträge (cmdb_identifier_entry)
    • Zugehörige Einträge (cmdb_related_entry)
    • Aufnahmeregeln für Identifizierung (cmdb_ie_active_config)

    Domain Separation und Abgleichregeln

    Die Abgleichsdefinitionsregeln, die während des Abgleichs verwendet werden, können für verschiedene Domänen definiert werden. Beispielsweise haben die folgenden Tabellen die Felder sys_domain, sys_overrides, sys_domain_path:
    • Abgleichsdefinition (cmdb_reconciliation_definition)
    • Datenquellenreihenfolge (cmdb_datasource_precedence)
    • Veraltungsdefinitionen für Datenquellen (cmdb_datasource_staleness)