Anforderung einer Ausführung geschützter Vorgänge
Wenn Sie einen geschützten Vorgang oder einen geschützten Befehl für ein Cluster initiieren, das für die MAV-Überprüfung (Multi-Admin Verification) aktiviert ist, fängt ONTAP den Vorgang automatisch ab und fordert zur Generierung einer Anfrage auf, die von einem oder mehreren Administratoren in einer MAV Approval Group (MAV Administrators) genehmigt werden muss. Alternativ können Sie auch eine MAV-Anfrage ohne Dialog erstellen.
Wenn die Anfrage genehmigt ist, müssen Sie die Anfrage entsprechend beantworten, um den Vorgang innerhalb der Ablauffrist des Antrags abzuschließen. Wenn ein Veto eingelegt oder die Anfrage oder die Ablauffristen überschritten werden, müssen Sie die Anfrage löschen und erneut einreichen.
Die MAV-Funktionalität berücksichtigt vorhandene RBAC-Einstellungen. Das heißt, Ihre Administratorrolle muss über ausreichende Berechtigungen verfügen, um einen geschützten Vorgang auszuführen, ohne die MAV-Einstellungen zu berücksichtigen. "Erfahren Sie mehr über RBAC".
Wenn Sie ein MAV-Administrator sind, müssen Ihre Anfragen zur Ausführung von geschützten Vorgängen auch von einem MAV-Administrator genehmigt werden.
System Manager Verfahren
Wenn ein Benutzer auf einen Menüpunkt klickt, um einen Vorgang zu starten und der Vorgang zu schützen, wird eine Anfrage zur Genehmigung generiert und der Benutzer erhält eine Benachrichtigung wie folgt:
Approval request to delete the volume was sent. Track the request ID 356 from Events & Jobs > Multi-Admin Requests.
Das Fenster Multi-Admin Requests steht zur Verfügung, wenn MAV aktiviert ist und ausstehende Anfragen basierend auf der Anmelde-ID des Benutzers und der MAV-Rolle (Genehmiger oder nicht) angezeigt werden. Für jede ausstehende Anforderung werden die folgenden Felder angezeigt:
-
Betrieb
-
Index (Zahl)
-
Status (ausstehend, genehmigt, abgelehnt, ausgeführt oder abgelaufen)
Wird eine Anfrage von einem Genehmiger abgelehnt, sind keine weiteren Maßnahmen möglich.
-
Abfrage (alle Parameter oder Werte für die angeforderte Operation)
-
Benutzer Wird Angefordert
-
Die Anfrage Läuft Ab Am
-
(Anzahl der ausstehenden Genehmiger
-
(Anzahl der möglichen Genehmiger
Wenn die Anfrage genehmigt wird, kann der anfragende Benutzer den Vorgang innerhalb des Ablaufzeitraums wiederholen.
Wenn der Benutzer den Vorgang ohne Genehmigung erneut versucht, wird eine Benachrichtigung wie folgt angezeigt:
Request to perform delete operation is pending approval. Retry the operation after request is approved.
CLI-Verfahren
-
Geben Sie den geschützten Vorgang direkt oder mit dem Befehl MAV Request ein.
Beispiele – um ein Volume zu löschen, geben Sie einen der folgenden Befehle ein:
-
volume delete
cluster-1::*> volume delete -volume vol1 -vserver vs0 Warning: This operation requires multi-admin verification. To create a verification request use "security multi-admin-verify request create". Would you like to create a request for this operation? {y|n}: y Error: command failed: The security multi-admin-verify request (index 3) is auto-generated and requires approval.
-
security multi-admin-verify request create “volume delete”
Error: command failed: The security multi-admin-verify request (index 3) requires approval.
-
-
Den Status der Anfrage überprüfen und auf die MAV-Benachrichtigung antworten.
-
Wenn der Antrag genehmigt wird, beantworten Sie die CLI-Meldung, um den Vorgang abzuschließen.
Beispiel:
cluster-1::> security multi-admin-verify request show 3 Request Index: 3 Operation: volume delete Query: -vserver vs0 -volume vol1 State: approved Required Approvers: 1 Pending Approvers: 0 Approval Expiry: 2/25/2022 14:32:03 Execution Expiry: 2/25/2022 14:35:36 Approvals: admin2 User Vetoed: - Vserver: cluster-1 User Requested: admin Time Created: 2/25/2022 13:32:03 Time Approved: 2/25/2022 13:35:36 Comment: - Users Permitted: - cluster-1::*> volume delete -volume vol1 -vserver vs0 Info: Volume "vol1" in Vserver "vs0" will be marked as deleted and placed in the volume recovery queue. The space used by the volume will be recovered only after the retention period of 12 hours has completed. To recover the space immediately, get the volume name using (privilege:advanced) "volume recovery-queue show vol1_*" and then "volume recovery-queue purge -vserver vs0 -volume <volume_name>" command. To recover the volume use the (privilege:advanced) "volume recovery-queue recover -vserver vs0 -volume <volume_name>" command. Warning: Are you sure you want to delete volume "vol1" in Vserver "vs0" ? {y|n}: y
-
Wenn der Antrag gegen ein Vetos gestellt wird oder die Ablauffrist abgelaufen ist, löschen Sie die Anfrage, und senden Sie sie erneut oder wenden Sie sich an den MAV-Administrator.
Beispiel:
cluster-1::> security multi-admin-verify request show 3 Request Index: 3 Operation: volume delete Query: -vserver vs0 -volume vol1 State: vetoed Required Approvers: 1 Pending Approvers: 1 Approval Expiry: 2/25/2022 14:38:47 Execution Expiry: - Approvals: - User Vetoed: admin2 Vserver: cluster-1 User Requested: admin Time Created: 2/25/2022 13:38:47 Time Approved: - Comment: - Users Permitted: - cluster-1::*> volume delete -volume vol1 -vserver vs0 Error: command failed: The security multi-admin-verify request (index 3) hasbeen vetoed. You must delete it and create a new verification request. To delete, run "security multi-admin-verify request delete 3".
-