会社のオンボーディング
クラウドプロビジョニングとガバナンス サービスに関して、ドメインセパレーションインスタンス内の顧客または会社をオンボーディングするときは、以下の考慮事項を確認します。
クラウドプロビジョニングとガバナンス に関するドメインセパレーションの概要
クラウドプロビジョニングとガバナンス に対するドメインセパレーションは、マルチテナントインスタンスアーキテクチャをサービスプロバイダーに提供し、そのクライアントに対して効率的かつ安全に製品を提供できるように設計されています。強力なユニバーサルプロセス標準、データ主導型のプロセス設計、厳格なガバナンス、および集中管理により、これらのメリットを最大限に活用できます。
サービスプロバイダーによる顧客のオンボーディング
- MID サーバーユーザーを作成し、ロールを付与します。 クラウドプロビジョニングとガバナンス でのドメインセパレーションは、インスタンス内で管理している各会社またはドメインに対して 1 つ以上の専用の MID サーバー をインストールおよび構成することで実現されます。各ドメインまたは会社に対して MID サーバー を指定すると、構成項目 (CI) が該当するドメインにアサインされます。各ドメインには、クラウドディスカバリー、プロビジョニング、およびその他のオーケストレーション用の MID サーバー セットアップが 1 つ以上あります。注:他のドメインのターゲットを探索できるように、グローバル ドメイン内に MID サーバー を作成できます。詳細については、「MID サーバーのドメインセパレーションを設定する」を参照してください
管理、計測、検出 (MID) サーバーは、ローカルネットワーク内のサーバーで Windows のサービスまたは UNIX のデーモンとして動作する Java アプリケーションです。MID サーバーは、ServiceNow® インスタンスと外部のアプリケーション、データソース、サービスの間のデータの通信や移動を支援します。
インスタンスと通信するには、MID サーバーにユーザー ID と適切なロールが必要です。MID サーバーのユーザー ID を作成し、[mid_server] ロールにその ID を付与します。MID サーバーの検証が失敗するのを回避するために、システムはビジネスルールを実行して MID サーバーユーザーへ向けて選択された設定を監視します。
- MID サーバーの設定 . MID サーバー のセットアップの詳細については、次を参照してください。
- のリソースブロック クラウドプロビジョニングとガバナンス
CI とリソースブロックの間に 1 対 1 の関係があるので、グローバルドメインにリソースブロックを作成します。子ドメインまたはリーフドメインにリソースブロックを作成しないでください。リソースブロックはプロセスレコードとして機能するため、親ドメインのテンプレートは表示され、子ドメイン内で機能します。
リソースブロックは、カタログアイテム、クラウド API (CAPI)、および CMDB 間のミドルウェアコンポーネントの一種として機能します。
- ベースシステムのブロックが、プロビジョニングする必要のあるクラウドリソースを提供しない場合は、カスタムリソースブロックを作成できます。
- クラウドプロビジョニングとガバナンス アプリケーションでは、スクリプトの実行はクラウドスクリプトとクラウドスクリプトテンプレートに分割されます。カタログアイテム、リソースブロック、OS プロファイルでスクリプトを使用し、ポリシースクリプトを使用して要求フォーム属性を設定します。ポリシースクリプトがユーザーデータをオーバーライドすることはできません。詳細については、「クラウドスクリプトおよびクラウドスクリプトテンプレート」を参照してください。
- OS プロファイルへのスクリプトのマップ
VM のプロビジョニング中にスクリプト化されたアクションを実行するには、スクリプトを OS プロファイルにマップします。スクリプトは、OS プロファイルのイメージテンプレートに基づいて作成された VM 上で実行されます。
- リソースプロファイルの定義
グローバルドメインにリソースプロファイル定義を作成し、子 (リーフ) ドメイン内にこれらの定義へのマッピングを作成します。影響を受けているすべての会社を確認せずに、リソースプロファイルを削除しないでください。サポートされているすべてのクラウドプロバイダーに対して、ドメイン固有のリソースプールとプールフィルターを作成できます。ドメインアドミンは、グローバル、ドメイン、およびサブドメインに固有のカスタムのリソースプールを参照できます。リソースプールは、テーブルをフィルター処理するクエリーまたはスクリプトです。リソースプールを構成して、ユーザーがカタログアイテムを要求するときに使用できる値を制限します。ドメインセパレーションされたリソースプールの場合は、関連するドメインのレコードのみが返されます。
リソースプロファイル は、リソースに対して許可される属性値を指定する、クラウドプロバイダーに依存しない定義です。リソースプロファイル によりクラウドリソースの要求時にユーザーに表示される選択肢を制御できます。そのため、リソースの各バリエーションに対して一意の詳細計画を定義する必要はありません。
クラウドプロビジョニングとガバナンス のクォータ、ポリシー、プール、権限を管理して設定します。ガバナンスとは、使用可能なクラウドリソースに設定できる制限事項のことです。SP は、 クラウドプロビジョニングとガバナンス ポリシー、およびインスタンスで管理している各会社またはドメインに対する権限でプロセスの分離を管理できます。グローバルドメインでのみ、ポリシーをセットアップすることをお勧めします。ドメインレベルでのプロセス分離は、ガバナンスとポリシーに対して実現可能です。ポリシーの適用をカスタマイズするには、ポリシールール条件の会社フィールドを使用して、特定のドメインに対するポリシーをターゲットにします。
タイプ 説明 クォータ クォータとは、CI またはクラウドリソース上のグループやユーザーに対する制限または要件のことです。クォータを使用して、クラウド環境でリソースが無駄に使用されないようにします。 ポリシー クラウドポリシーは、ユーザーが設定したプロパティ値の上書き、承認タスクの作成、IP アドレスの予約、フォームフィールドの事前入力または非表示、カスタムスクリプトの実行、 クラウド APIの呼び出し、サブフローの開始または中止を行うことができます。クラウドポリシーを使用すると、承認、リソース操作、詳細計画操作、カタログアイテムの設定をシステム全体で制御できます。 プール リソースプールは、テーブルをフィルターするクエリまたはスクリプトです。ユーザーがカタログアイテムを要求するときに使用できる値を制限するようにリソースプールを設定できます。 権限 権限は、クラウドプロビジョニングとガバナンス アプリケーションの機能、およびインスタンス内の特定のレコード (詳細計画やクラウドアカウントなど) に対するユーザーグループレベルのアクセス権限です。 権限は、クラウドプロビジョニングとガバナンス アプリケーションの機能、およびカタログアイテムやクラウドアカウントなど、インスタンス内の特定のレコードに対するユーザーグループレベルのアクセス権です。また、基本的なガバナンスのポリシー、クォータ、プールをセットアップして、クラウドアドミンのユーザーがニーズに基づいてさらにカスタマイズできるようにすることもできます。ドメインユーザーを表すユーザーグループを作成し、このユーザーグループに権限を関連付けて、ドメインレベルで権限をセットアップします。クラウドプロビジョニングとガバナンス のロールの権限管理の詳細については、「クラウド権限の管理 (Manage Cloud Permissions)」を参照してください。
ポリシーを構成および管理し、プロビジョニングされたスタックのリースを管理します。ポリシールールは、条件とアクションの集合です。すべての条件が「true」と評価された場合、ポリシーエンジンはアクションを実行します。いずれかの条件が「false」と評価された場合、ポリシーエンジンはアクションを実行しません。
グローバルドメインにポリシーをセットアップするのは、そのポリシーをすべてのドメインに適用する場合のみです。グローバルポリシーをドメインに適用しない場合は、クラウドプロビジョニングとガバナンス をカスタマイズして顧客またはドメインに固有のポリシーを設定できます。ポリシールール条件の [ドメインフィールド] を使用して、特定のドメインに対するポリシーをターゲットにすることで、ポリシーの適用をカスタマイズします。グローバルポリシーとドメインポリシーが共存している場合、両方のポリシーは、各ポリシーに対して構成された順序で実行されます。すべての順序列に設定された値が同じ場合、ポリシーが実行される順序は未定です。ポリシーアクションがドメインセパレーションされ、すべてのアクションルールが単一ドメイン内にあり、他のドメインのルールに依存しないことを確認します。
詳細については、以下を参照してください。
- クラウドカタログアイテムの作成
テンプレートに基づいてプロビジョニング用のクラウドカタログアイテムを作成し、カタログアイテムを公開してサービスを提供します。
共通またはグローバルのカタログアイテムをテンプレートに基づいて SP ドメインで作成して、管理しているすべてのドメインで使用できます。また、要件に基づいて、各ドメインまたは会社のカスタムカタログアイテムを作成することもできます。ドメインアドミンまたはクラウドデザイナーのロールを持つユーザーは、ドメインおよびサブドメインに属するクラウドスクリプトまたはクラウドスクリプトテンプレートを更新または削除できます。ドメインごとに異なるプールフィルターを使用する共通カタログを使用することはできません。代わりに、各ドメインのカスタムカタログを作成します。
展開、プロビジョニング後、および 2 日目の操作は、ドメインセパレーションされています。たとえば、特定の会社のクラウドポータルユーザーが VM を注文した場合、スタック、要求、仮想マシン、およびスタック内のすべてのコンポーネントが、それぞれのドメインに格納されます。ドメインに対する後続の操作も、同様に処理されます。Terraform 構成管理テンプレートに基づいてカタログアイテムを生成するか、Azure リソースマネージャーと AWS CloudFormation テンプレートを使用できます。
- クラウドテンプレートの作成
カタログアイテムをグローバルカタログアイテムとしてセットアップする場合は、CIDR 値、IP アドレス、認証情報などの機密情報をテンプレートコンテンツに追加しないでください。機密情報は、他のクラウドアドミンに公開される可能性があります。
クラウドテンプレートを作成し、テンプレートをカタログアイテムに関連付けます。テンプレートを作成したら、そのテンプレートを再利用して、プロビジョニングするサービスの追加のカタログアイテムを作成できます。
- リソースに対するユーザー要求のキャパシティ制限の設定
キャパシティ制限により、仮想マシンの数、仮想 CPU、ストレージのアグリゲートなど、クラウドリソースの属性が制限されます。クラウドアカウントの論理データセンターごとに、リソースに対する制限を個別に設定することができます。
- クラウドクォータ定義の作成
インスタンス内で管理しているドメインごとに、個別のクォータ定義をセットアップできます。
仮想サーバー、データセンター、汎用クラウドリソースなどのリソース、および特定のグループのユーザーにクォータを適用します。ユーザーごとの制限と、リソースのグループに対する制限の合計を設定することができます。クラウドクォータ定義は、リソースブロックの制限を指定します。テンプレートを使用するか、クォータ定義ごとに異なるタイプの構成を手動で作成することができます。
- IPAM データ連携の使用
クラウドプロビジョニングとガバナンス の IP アドレス管理 (IPAM) では、ドメインセパレーションがサポートされています。
Infoblox などの IP アドレス管理 (IPAM) ツールを使用し、クラウドカタログオファリングでクラウド IP アドレス、ネットワーク、およびサブネットを管理できます。
- 営業時間のスケジューリング
スタック内のすべての仮想マシンで、営業時間のスケジューリングをセットアップします。営業時間のスケジューリングは、プロビジョニング時のスタックに、または既存のスタックにセットアップできます。営業時間、休日、長い週末などのパラメーターを定義することにより、いつスタックを開始、停止、またはプロビジョニング解除するか、というスケジュールを設定できます。
スケジュールプロファイルをインスタンススケジュールにマップします。スケジュールプロファイルは、プロファイルを使用する、新しくプロビジョニングされたすべてのリソースに適用されます。たとえば、スケジュールプロファイルでは、スタックを開始または停止すべき曜日と時間を指定できます。
注:グローバルビジネススケジュールは、すべてのドメインに適用されます。アクティブなグローバルスケジュールが存在する場合、ドメイン固有のスケジュールをセットアップすることはできません。 - スケジュールプロファイルの作成
ドメイン固有のリーススケジュールを設定するには、グローバルリーススケジュールが存在しないことを確認します。アクティブなグローバルポリシーが存在しない場合にのみ、ドメイン固有のリースまたはスケジュールを作成できます。ドラフト状況の複数のリースまたはスケジュールを持つことができますが、アクティブにできるリースまたはスケジュールは 1 つだけです。
次の手順
クラウドリソースのプロビジョニングと、インスタンスで管理している各ドメインで クラウドプロビジョニングとガバナンス ライフサイクル操作を利用できるようにする方法の詳細については、「ドメインアドミンの考慮事項」を参照してください。