Visão geral

A seção a seguir lista as atividades que o administrador de um domínio executa para a empresa que um provedor de serviço gerencia. Configure contas de serviço e contas de nuvem usando o Portal de administração de nuvem. Crie operações de pré-provisionamento que você pode configurar para recursos de nuvem antes que os usuários os provisionem ou executem operações de ciclo de vida.

Padrões de processo universais fortes, design de processo orientado por dados, governança estrita e administração centralizada maximizam os benefícios da separação de domínio em Cloud Provisioning and Governance em uma única instância. A função de administrador de domínio deve ser estritamente restrita a usuários na organização do provedor de serviços e não ser atribuída aos usuários administradores de nuvem da organização do cliente. Essa restrição permite que o SP garanta que um cliente não tenha acesso total aos dados de outro domínio. Como os dados geralmente são compartilhados entre vários clientes, como administradores de domínio, não exponha ou forneça permissões que possam resultar em vazamento de dados.

Provisionamento de recursos em nuvem

• Certifique-se de mapear contas de serviço relevantes para contas de nuvem em cada domínio. Por exemplo, descobrir uma assinatura primária da nuvem do Azure cria uma ou mais contas de serviço secundárias e são criadas no mesmo domínio. Isso significa que todas as contas de serviço em uma assinatura principal da nuvem do Azure devem pertencer a uma única empresa e domínio.

  Faça login usando um usuário com uma função root_admin ou cloud_admin enquanto configura contas de nuvem e de serviço e executa a descoberta de qualquer domínio. Use o seletor de domínio ao executar ações como descoberta ou criação e mapeamento de contas de serviço e nuvem.

  Nota:

  • Cloud Provisioning and Governance não é compatível com a capacidade de expandir e recolher o escopo do domínio.
  • Para obter mais informações sobre o que um usuário pode e não pode acessar, consulte Escopo do domínio

  Uma conta de serviço é um registro seguro em sua instância que armazena as informações de acesso e credencial da conta do provedor. A Descoberta usa as informações para acessar a conta do provedor para obter dados sobre cada recurso em cada datacenter especificado. Uma conta de nuvem é a representação lógica em Cloud Provisioning and Governance de toda ou parte da sua infraestrutura de nuvem gerenciada. Uma conta na nuvem pode incluir várias contas de serviço, até mesmo contas de serviço de diferentes provedores. Para cada conta de serviço, você especifica quais datacenters serão incluídos na conta de nuvem.

  Certifique-se de que as chaves de gestão e as credenciais da conta de serviço sejam exclusivas para cada domínio e não sejam compartilhadas. Para configurar contas de nuvem e contas de serviço para vários provedores de nuvem, execute as ações de configuração do dia 1:

  • Guia de configuração do dia 1 para Amazon Web Services em Cloud Provisioning and Governance
  • Guia de configuração do dia 1 do Azure em Cloud Provisioning and Governance
  • Guia de configuração do dia 1 do Google Cloud Connector em Cloud Provisioning and Governance
  • Guia de configuração do dia 1 para VMware em Cloud Provisioning and Governance
• API de nuvem (CAPI) e scripts de nuvem e modelos de script de nuvem

  O CAPI não é separado por domínio como, suporte à separação de domínio em Cloud Provisioning and Governance. Como o CAPI é configurado em um domínio global e compartilhado entre domínios folha, certifique-se de que os scripts não contenham informações confidenciais codificadas, como detalhes da conta, credenciais ou nomes, mesmo em comentários ou anotações.

  O CAPI permite que você integre Cloud Provisioning and Governance com provedores de nuvem usando REST APIs. Scripts na nuvem são scripts java simples que usam recursos da plataforma. Na aplicação Cloud Provisioning and Governance, a execução do script é dividida em scripts na nuvem e modelos de script na nuvem. Use scripts em modelos, blocos de recursos, perfis de SO e use scripts de política para definir atributos de formulário de solicitação. Scripts de política não podem substituir dados do usuário. Os modelos de script na nuvem são executáveis reais que são passados para direcionar uma máquina virtual para execução. Crie um modelo de nuvem primeiro e, em seguida, associe-o a um script de nuvem.

• Descoberta na nuvem

  Os provedores de serviço (SPs) usam o Domain Separation para separar dados para cada cliente. Os usuários em um determinado domínio têm visibilidade somente dos dados em seus próprios domínios ou em domínios secundários. Os SPs normalmente controlam o domínio de nível superior, o que lhes dá visibilidade aos dados associados a todos os domínios. Embora o suporte à separação de domínio para Descoberta seja considerado Nível 2, não há administração delegada para os domínios secundários em Cloud Provisioning and Governance. Os SPs devem manter o controle administrativo. Como um SP, sempre execute a descoberta de um domínio folha fazendo login como ou representando um administrador de domínio para descobrir seus recursos de nuvem.

  A Descoberta na nuvem fornece um assistente que permite criar e executar cronogramas de nuvem em uma única interface. Ao criar uma programação com o Gerenciador de descoberta, você seleciona as contas a serem descobertas, as credenciais para acessar essas contas e os MID Servers para verificar os recursos. Você pode exibir os resultados na página inicial da Descoberta e rastrear todos os erros que possam ter ocorrido.

  Para obter mais informações, consulte,

  • Gerenciador do Discovery
  • Executando descobertas em sua rede
    • Descoberta na nuvem da Amazon AWS
    • Descoberta na nuvem do Microsoft Azure
    • Descoberta na nuvem do VMware
    • Descoberta do Google Cloud Platform
    • IBM Cloud Discovery
• Defina e configure a gestão de eventos para receber eventos externos e gerar alertas com base em regras de gestão de eventos e alertas. A visibilidade dos eventos depende do domínio da conta de serviço associada. Somente usuários pertencentes a esse domínio podem ver os detalhes do evento para eventos processados. Os eventos que não estão associados a uma conta de serviço são visíveis para todos os domínios.

  Monitore a integridade dos serviços de negócio e da infraestrutura usando um único console de gestão e responda adequadamente a todos os problemas que surgirem. A Gestão de eventos fornece análise inteligente de eventos e alertas para garantir a continuidade do desempenho do serviço de negócio. A Gestão de eventos recebe e processa eventos por meio do MID Server.

  Para obter mais informações, consulte

  • Exploração do Gestão de eventos
  • Configuração da Gestão de eventos
    • Configurar o serviço de configuração AWS para enviar notificações de eventos para a instância ServiceNow
    • Configure o serviço de alerta Microsoft Azure para atualizar automaticamente o CMDB
    • Configure o serviço Registro em log do Google Stackdriver para atualizar automaticamente o CMDB
    • Configure o serviço Eventos do VMware para atualizar automaticamente o CMDB

• A aplicação Cloud Provisioning and Governance oferece suporte à integração com soluções de entrega contínua (também conhecidas como gestão de configuração). Crie um provedor de gestão de configuração Ansible ou Terraform e execute a Descoberta no provedor para encontrar seus recursos. Para obter mais informações, consulte Suporte para entrega contínua (gestão de configuração) e Criação de um tipo de provedor de carga de trabalho para cada novo provedor de gestão de configuração. Essas informações aparecem no formulário do catálogo de pedidos como atributos de gerenciamento que os usuários podem selecionar ao provisionar um recurso virtual por meio de um provedor de gestão de configuração.

• Se você estiver criando catálogos com base em modelos do Terraform e compartilhando o catálogo com vários domínios. Execute a listagem de módulos (descoberta de configuração) no domínio global. O MID Server deve ser criado no domínio global e só deve ser atribuído com a capacidade do Terraform para sua descoberta. Isso permite que os SPs compartilhem catálogos com vários domínios.

  Aviso:

  Não crie um MID Server global com qualquer outra capacidade que não seja a gestão de configuração para Terraform.

  Crie um catálogo comum do Terraform e compartilhe-o com vários clientes:

  • Crie MID Server no domínio global como um administrador global.
  • Crie um provedor de configuração de código aberto do Terraform.
    Nota:

    Adicione somente "Terraform" como o provedor de configuração.
  • Crie um item do catálogo com base em um modelo do Terraform.

• Cloud Provisioning and Governance O é compatível com o uso de regras da Now Platform com fluxos de trabalho. Regras são coleções de condições e ações. ​Se todas as condições de uma regra forem avaliadas como verdadeiras, o sistema executará as ações. Se alguma condição for avaliada como falsa, o sistema não executará as ações. A criação de regras ajuda a rastrear atividades e responder e resolver problemas com mais rapidez. Aproveite a estrutura de fluxos de trabalho para automatizar suas operações do Dia 2. Grave rapidamente um fluxo de trabalho que se comunica com uma API de nuvem ou um recurso específico. Use SSH, PowerShell ou uma ferramenta semelhante para acessar e estender os recursos de fluxo de trabalho. Para obter mais informações, consulte Operações de dia 2 usando fluxos de trabalho.

• Notificação e aprovação baseadas em orçamento

  A Separação de domínios em Cloud Provisioning and Governance oferece suporte à separação de dados de orçamentos. Você pode atribuir orçamentos específicos de domínio. Atribua um orçamento a um grupo e a um usuário dentro do grupo. Quando o usuário ou grupo atinge o limite do orçamento, notificações são enviadas alertando-o sobre isso. Para obter mais informações, consulte Configurar orçamentos

  • Criar marcadores para recursos de nuvem

    Os marcadores categorizam os recursos de nuvem para fornecer dados de relatório de acompanhamento e cobrança mais avançados e detalhados. As chaves de marcador não são separadas por domínio e são mostradas para usuários de outros domínios. A visibilidade do marcador depende do domínio de IC associado ou do domínio de registro de cobrança associado. Os marcadores que não estão associados a nenhum IC ou registro de cobrança ficam visíveis para todos os administradores de domínio. Quando um marcador é criado, ele aparece em qualquer novo catálogo criado. O administrador da nuvem precisa escolher os marcadores desejados para o catálogo.

  • Os dados de cobrança podem ser exibidos separadamente para cada domínio. Os trabalhos de faturamento usam o domínio da conta de serviço configurada. Defina a configuração de cobrança para permitir que administradores e usuários da nuvem exibam relatórios como dados de cobrança da nuvem e uso de marcadores da nuvem no painel de cobrança.

    Defina o trabalho agendado que usa regularmente um MID Server para baixar dados de cobrança do provedor. Cloud Provisioning and Governance salva os dados em uma tabela de custos e usa as informações para gerar relatórios.

    Para obter mais informações sobre como configurar cronogramas de cobrança e baixar relatórios de cobrança, consulte:

    • Definir a programação para baixar dados de cobrança da AWS
    • Definir a programação para baixar os dados de cobrança do Azure

Próximas etapas

//var orderContext = json.decode(workflow.inputs.ordercontext) ;
new CMPDomainSeparationUtil() .impersonateUser(current.request.requested_for);

Para obter mais informações sobre como executar Cloud Provisioning and Governance operações de ciclo de vida que estão disponíveis para cada domínio que você está gerenciando em sua instância, consulte Portal de usuário da nuvem.