Skip to main content
ONTAP tools for VMware vSphere 10
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configure los roles y privilegios de usuario de ONTAP

Colaboradores netapp-jani dmp-netapp
PDF

Es posible configurar nuevos roles y privilegios de usuario para gestionar back-ends de almacenamiento mediante el archivo JSON proporcionado con las herramientas de ONTAP para VMware vSphere y el administrador del sistema de ONTAP.

Antes de empezar

  • Debe haber descargado el archivo ONTAP Privileges de las herramientas de ONTAP para VMware vSphere mediante https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip.

  • Debería haber descargado el archivo ONTAP Privileges desde las herramientas de ONTAP utilizando https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip.

    Nota Puede crear usuarios en el clúster o directamente en el nivel de las máquinas virtuales de almacenamiento (SVM). También puede crear usuarios sin utilizar el archivo user_roles.json y, si hace esto, debe tener un conjunto mínimo de privilegios en el nivel de SVM.

  • Debe haber iniciado sesión con privilegios de administrador para el back-end de almacenamiento.

Pasos

  1. Extraiga el archivo descargado https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip.

  2. Acceda a ONTAP System Manager mediante la dirección IP de gestión del clúster.

  3. Inicie sesión en el clúster con la Privileges de administrador. Para configurar un usuario, realice los siguientes pasos:

    1. Para configurar el usuario de las herramientas ONTAP del clúster, seleccione el panel Clúster > Configuración > Usuarios y roles.

    2. Para configurar el usuario de las herramientas ONTAP de SVM, seleccione el panel SVM de almacenamiento > Configuración > Usuarios y roles.

    3. Seleccione Agregar en Usuarios.

    4. En el cuadro de diálogo Agregar usuario, seleccione Productos de virtualización.

    5. Examinar para seleccionar y cargar el archivo JSON de privilegios ONTAP.

      El campo Producto se rellena automáticamente.

    6. Seleccione la capacidad del producto como VSC, Proveedor VASA y SRA en el menú desplegable.

      El campo Rol se rellena automáticamente según la capacidad del producto seleccionada.

    7. Introduzca el nombre de usuario y la contraseña necesarios.

    8. Seleccione la función Privileges (Detección, Crear almacenamiento, Modificar almacenamiento, Destruir almacenamiento, Función NAS/SAN) necesaria para el usuario y, a continuación, seleccione Agregar.

Se agregan el nuevo rol y usuario, y puede ver los privilegios detallados bajo el rol que ha configurado.

Requisitos de asignación de agregados de SVM

Para usar credenciales de usuario de SVM para aprovisionar almacenes de datos, las herramientas de ONTAP internamente para VMware vSphere crean volúmenes en el agregado especificado en los almacenes de datos POSTERIORES a la API. ONTAP no permite la creación de volúmenes en agregados sin asignar en una SVM usando credenciales de usuario de SVM. Para resolver esto, debe asignar las SVM con los agregados usando la API de REST o la interfaz de línea de comandos de ONTAP como se describe aquí.

API DE REST:

PATCH "/api/svm/svms/f16f0935-5281-11e8-b94d-005056b46485" '{"aggregates":{"name":["aggr1","aggr2","aggr3"]}}'

CLI de ONTAP:

sti115_vsim_ucs630f_aggr1 vserver show-aggregates                                        AvailableVserver        Aggregate      State         Size Type    SnapLock Type-------------- -------------- ------- ---------- ------- --------------svm_test       sti115_vsim_ucs630f_aggr1                               online     10.11GB vmdisk  non-snaplock

Crear el usuario y el rol de ONTAP manualmente

Siga las instrucciones de esta sección para crear el usuario y los roles manualmente sin utilizar el archivo JSON.

  1. Acceda a ONTAP System Manager mediante la dirección IP de gestión del clúster.

  2. Inicie sesión en el clúster con la Privileges de administrador.

    1. Para configurar las funciones de las herramientas ONTAP de clúster, seleccione el panel Clúster > Configuración > Usuarios y roles.

    2. Para configurar las funciones de las herramientas ONTAP de SVM de clúster, seleccione el panel Storage SVM > Settings > Users and Roles

  3. Crear Roles:

    1. Seleccione Agregar en la tabla Roles.

    2. Introduzca los detalles de nombre de rol y atributos de rol.

      Agregue la REST API Path y el acceso respectivo desde el menú desplegable.

    3. Agregue todas las API necesarias y guarde los cambios.

  4. Crear usuarios:

    1. Seleccione Agregar en la tabla Usuarios.

    2. En el cuadro de diálogo Agregar usuario, seleccione Administrador del sistema.

    3. Introduzca el Nombre de usuario.

    4. Seleccione Rol de las opciones creadas en el paso Crear Roles anterior.

    5. Introduzca las aplicaciones a las que desea acceder y el método de autenticación. ONTAPI y HTTP son las aplicaciones requeridas, y el tipo de autenticación es Password.

    6. Establezca la Contraseña para el usuario y Guardar para el usuario.

Lista de privilegios mínimos necesarios para el usuario de cluster de ámbito global no administrativo

En esta sección se detallan los privilegios mínimos necesarios para usuarios no administradores de clústeres de ámbito global creados sin usar el archivo JSON de usuarios. Si se agrega un clúster de ámbito local, se recomienda usar el archivo JSON para crear los usuarios, ya que las ONTAP tools for VMware vSphere requieren más que solo privilegios de lectura para el aprovisionamiento en ONTAP.

Uso de las API:

API

Nivel de acceso

Se utiliza para

/api/clúster

Solo lectura

Detección de la configuración del clúster

/api/cluster/licencias/licencias

Solo lectura

Comprobación de licencia para licencias específicas de protocolo

/api/cluster/nodos

Solo lectura

Detección de tipo de plataforma

/api/seguridad/cuentas

Solo lectura

Detección de privilegios

/api/seguridad/roles

Solo lectura

Detección de privilegios

/api/almacenamiento/agregados

Solo lectura

Comprobación de espacio agregado durante el aprovisionamiento de almacenes de datos/volúmenes

/api/almacenamiento/clúster

Solo lectura

Para obtener el nivel del clúster Datos de espacio y eficiencia

/api/storage/disks

Solo lectura

Para obtener los discos asociados a un agregado

/api/almacenamiento/qos/políticas

Lectura/Crear/Modificar

QoS y gestión de políticas de máquinas virtuales

/api/svm/svm

Solo lectura

Para obtener la configuración de SVM en caso de que se añada el clúster de forma local.

/api/network/ip/interfaces

Solo lectura

Agregar entorno de administración de almacenamiento: Para identificar el alcance de la LIF de gestión es Cluster/SVM

/api/storage/availability-zones

Solo lectura

SAZ Discovery. Aplicable a la versión 9.16.1 de ONTAP en adelante y a los sistemas ASA R2.

Cree herramientas de ONTAP para usuario de ámbito de clúster basado en la API de VMware vSphere ONTAP

Nota Es necesario detectar, crear, modificar y destruir Privileges para realizar operaciones DE PARCHES y revertir automáticamente en caso de fallo en los almacenes de datos. La falta de todas estas Privileges juntas produce interrupciones en el flujo de trabajo y problemas de limpieza.

Crear herramientas de ONTAP para usuario basado en API de VMware vSphere ONTAP con detección, crear almacenamiento, modificar almacenamiento y destruir almacenamiento Privileges permite iniciar detecciones y gestionar flujos de trabajo de herramientas de ONTAP.

Para crear un usuario de ámbito de cluster con todas las Privileges mencionadas anteriormente, ejecute los siguientes comandos:

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all

security login rest-role create -role <role-name> -api /api/storage/volumes -access all

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all

security login rest-role create -role <role-name> -api /api/storage/luns -access all

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all

security login rest-role create -role <role-name> -api /api/storage/qos/policies -access all

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify

security login rest-role create -role <role-name> -api /api/cluster -access readonly

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly

security login rest-role create -role <role-name> -api /api/cluster/licensing/licenses -access readonly

security login rest-role create -role <role-name> -api /api/cluster/nodes -access readonly

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly

security login rest-role create -role <role-name> -api /api/security/roles -access readonly

security login rest-role create -role <role-name> -api /api/storage/aggregates -access readonly

security login rest-role create -role <role-name> -api /api/storage/cluster -access readonly

security login rest-role create -role <role-name> -api /api/storage/disks -access readonly

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly

Además, para las versiones 9.16.0 y posteriores de ONTAP, ejecute el siguiente comando:

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all

Para los sistemas ASA R2 en ONTAP versiones 9.16.1 y posteriores, ejecute el siguiente comando:

security login rest-role create -role <role-name> -api /api/storage/availability-zones -access readonly

Create ONTAP tools for VMware vSphere ONTAP API based SVM scoped user

Para crear un usuario de ámbito de SVM con toda la Privileges, ejecute los siguientes comandos:

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/volumes -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/luns -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/roles -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly -vserver <vserver-name>

Además, para las versiones 9.16.0 y posteriores de ONTAP, ejecute el siguiente comando:

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all -vserver <vserver-name>

Para crear un nuevo usuario basado en API utilizando los roles basados en API creados anteriormente, ejecute el siguiente comando:

security login create -user-or-group-name <user-name> -application http -authentication-method password -role <role-name> -vserver <cluster-or-vserver-name>

Ejemplo:

security login create -user-or-group-name testvpsraall -application http -authentication-method password -role OTV_10_VP_SRA_Discovery_Create_Modify_Destroy -vserver C1_sti160-cluster_

Para desbloquear la cuenta, para habilitar el acceso a la interfaz de gestión, ejecute el siguiente comando:

security login unlock -user <user-name> -vserver <cluster-or-vserver-name>

Ejemplo:

security login unlock -username testvpsraall -vserver C1_sti160-cluster

Actualice las herramientas de ONTAP para un usuario de VMware vSphere 10,1 a 10,3 usuario

Para herramientas de ONTAP para usuarios de VMware vSphere 10,1 con un usuario en el ámbito del clúster creado con el archivo JSON, utilice los siguientes comandos de la CLI de ONTAP con la Privileges de administrador de usuario para actualizar a la versión 10,3.

Para las capacidades del producto:

  • VSC

  • VSC y proveedor VASA

  • VSC y SRA

  • VSC, proveedor VASA y SRA.

Privileges de clúster:

security login role create -role <existing-role-name> -cmddirname «vserver nvme namespace show» -access all

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem show» -access all

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem host show» -access all

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem map show» -access all

security login role create -role <existing-role-name> -cmddirname «vserver nvme show-interface» -access read

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem host add» -access all

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem map add» -access all

security login role create -role <existing-role-name> -cmddirname «vserver nvme namespace delete» -access all

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem delete» -access all

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem host remove» -access all

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem map remove» -access all

Para herramientas de ONTAP para VMware vSphere 10,1 usuario con un usuario de ámbito de SVM creado con el archivo json, utilice los comandos de la CLI de ONTAP con Privileges del usuario administrador para actualizar a la versión 10,3.

Privileges de SVM:

security login role create -role <existing-role-name> -cmddirname «vserver nvme namespace show» -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem show» -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem host show» -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem map show» -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname «vserver nvme show-interface» -access read -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem host add» -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem map add» -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname «vserver nvme namespace delete» -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem delete» -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem host remove» -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem map remove» -access all -vserver <vserver-name>

Al agregar el comando vserver nvme namespace show y vserver nvme subsystem show al rol existente, se agregan los siguientes comandos.

vserver nvme namespace create

vserver nvme namespace modify

vserver nvme subsystem create

vserver nvme subsystem modify

Actualice las herramientas de ONTAP para un usuario de VMware vSphere 10,3 a 10,4 usuario

A partir de ONTAP 9.16.1, actualice las herramientas de ONTAP para VMware vSphere 10,3 a un usuario de 10,4.

Para herramientas de ONTAP para VMware vSphere 10,3 usuario con un usuario de ámbito en el clúster creado con el archivo JSON y la versión 9.16.1 o posteriores de ONTAP, use el comando de la CLI de ONTAP con Privileges de usuario administrador para actualizar a la versión 10,4.

Para las capacidades del producto:

  • VSC

  • VSC y proveedor VASA

  • VSC y SRA

  • VSC, proveedor VASA y SRA.

Privileges de clúster:

security login role create -role <existing-role-name> -cmddirname "storage availability-zone show" -access all