Skip to main content
ONTAP tools for VMware vSphere 10
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configure los roles y privilegios de usuario de ONTAP

Colaboradores netapp-jani dmp-netapp
PDF

Configure los roles y privilegios de usuario para los backends de almacenamiento con el archivo JSON de las ONTAP tools for VMware vSphere y ONTAP System Manager.

Antes de empezar

  • Descargue el archivo de Privileges de ONTAP de las ONTAP tools for VMware vSphere usando https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip. Después de descargar el archivo zip, encontrará dos archivos JSON. Utilice el archivo JSON específico de ASA r2 al configurar un sistema ASA r2.

    Nota Puede crear usuarios en el nivel de clúster o directamente en el nivel de máquinas virtuales de almacenamiento (SVM). Si no utiliza el archivo user_roles.json, asegúrese de que el usuario tenga los permisos SVM mínimos requeridos.

  • Inicie sesión con privilegios de administrador para el backend de almacenamiento.

Pasos

  1. Extraiga el archivo https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip que descargó.

  2. Acceda a ONTAP System Manager mediante la dirección IP de gestión del clúster.

  3. Inicie sesión en el clúster con privilegios de administrador. Para configurar un usuario:

    1. Para configurar un usuario de herramientas de clúster ONTAP , seleccione Clúster > Configuración > panel Usuarios y roles.

    2. Para configurar un usuario de herramientas SVM ONTAP , seleccione Almacenamiento SVM > Configuración > panel Usuarios y roles.

    3. Seleccione Agregar en Usuarios.

    4. En el cuadro de diálogo Agregar usuario, seleccione Productos de virtualización.

    5. Explorar para seleccionar y cargar el archivo JSON de Privileges de ONTAP . Para sistemas que no sean ASA r2, seleccione el archivo users_roles.json y, para sistemas ASA r2, seleccione el archivo users_roles_ASAr2.json.

      Las herramientas ONTAP rellenan automáticamente el campo Producto.

    6. Seleccione la capacidad del producto como VSC, Proveedor VASA y SRA en el menú desplegable.

      Las herramientas de ONTAP completan automáticamente el campo Rol según la capacidad del producto que seleccione.

    7. Introduzca el nombre de usuario y la contraseña necesarios.

    8. Seleccione los privilegios (Descubrimiento, Crear almacenamiento, Modificar almacenamiento, Destruir almacenamiento, Rol NAS/SAN) que necesita el usuario y luego seleccione Agregar.

Las herramientas ONTAP agregan el nuevo rol y usuario. Puede ver los privilegios bajo el rol que configuró.

Requisitos de asignación de agregados de SVM

Al aprovisionar almacenes de datos mediante credenciales de usuario de SVM, las ONTAP tools for VMware vSphere crean volúmenes en el agregado especificado en la API POST de almacenes de datos. ONTAP evita que los usuarios de SVM creen volúmenes en agregados no asignados a SVM. Asigne la SVM a los agregados necesarios mediante la API REST de ONTAP o la CLI antes de crear volúmenes.

API DE REST:

PATCH "/api/svm/svms/f16f0935-5281-11e8-b94d-005056b46485" '{"aggregates":{"name":["aggr1","aggr2","aggr3"]}}'

CLI de ONTAP:

sti115_vsim_ucs630f_aggr1 vserver show-aggregates                                        AvailableVserver        Aggregate      State         Size Type    SnapLock Type-------------- -------------- ------- ---------- ------- --------------svm_test       sti115_vsim_ucs630f_aggr1                               online     10.11GB vmdisk  non-snaplock

Crear el usuario y el rol de ONTAP manualmente

Cree usuarios y roles manualmente sin el archivo JSON.

  1. Acceda a ONTAP System Manager mediante la dirección IP de gestión del clúster.

  2. Inicie sesión en el clúster con la Privileges de administrador.

    1. Para configurar los roles de las herramientas del clúster ONTAP , seleccione Clúster > Configuración > Usuarios y roles.

    2. Para configurar los roles de las herramientas SVM ONTAP del clúster, seleccione SVM de almacenamiento > Configuración > Usuarios y roles.

  3. Crear roles:

    1. Seleccione Agregar en la tabla Roles.

    2. Introduzca los detalles de nombre de rol y atributos de rol.

      Agregue la Ruta de API REST y elija el acceso de la lista desplegable.

    3. Agregue todas las API necesarias y guarde los cambios.

  4. Crear usuarios:

    1. Seleccione Agregar en la tabla Usuarios.

    2. En el cuadro de diálogo Agregar usuario, seleccione Administrador del sistema.

    3. Introduzca el Nombre de usuario.

    4. Seleccione Rol de las opciones creadas en el paso Crear Roles anterior.

    5. Introduzca las aplicaciones a las que desea acceder y el método de autenticación. ONTAPI y HTTP son las aplicaciones requeridas, y el tipo de autenticación es Password.

    6. Establezca la Contraseña para el usuario y Guardar para el usuario.

Lista de privilegios mínimos necesarios para el usuario de cluster de ámbito global no administrativo

En esta sección se enumeran los privilegios mínimos necesarios para un usuario de clúster de ámbito global que no sea administrador y que no tenga un archivo JSON. Si un clúster está en el ámbito local, use el archivo JSON para crear usuarios porque las ONTAP tools for VMware vSphere necesitan más que solo privilegios de lectura para el aprovisionamiento en ONTAP.

Puede acceder a la funcionalidad mediante API:

API

Nivel de acceso

Se utiliza para

/api/clúster

Solo lectura

Descubrimiento de la configuración del clúster

/api/cluster/licencias/licencias

Solo lectura

Comprobación de licencias para licencias específicas del protocolo

/api/cluster/nodos

Solo lectura

Detección de tipo de plataforma

/api/seguridad/cuentas

Solo lectura

Descubrimiento de privilegios

/api/seguridad/roles

Solo lectura

Descubrimiento de privilegios

/api/almacenamiento/agregados

Solo lectura

Comprobación del espacio agregado durante el aprovisionamiento de volúmenes o almacenes de datos

/api/almacenamiento/clúster

Solo lectura

Para obtener datos de espacio y eficiencia a nivel de clúster

/api/storage/disks

Solo lectura

Para obtener los discos asociados en un agregado

/api/almacenamiento/qos/políticas

Lectura/Crear/Modificar

Gestión de políticas de QoS y VM

/api/svm/svm

Solo lectura

Para obtener la configuración de SVM cuando el clúster se agrega localmente.

/api/network/ip/interfaces

Solo lectura

Agregar backend de almacenamiento: para identificar que el alcance de LIF de administración es clúster/SVM

/api/storage/availability-zones

Solo lectura

Descubrimiento de SAZ. Aplicable a versiones ONTAP 9.16.1 en adelante y sistemas ASA r2.

/api/clúster/metrocluster

Solo lectura

Obtiene el estado de MetroCluster y los detalles de configuración.

Cree herramientas de ONTAP para usuario de ámbito de clúster basado en la API de VMware vSphere ONTAP

Nota Se requieren privilegios de descubrimiento, creación, modificación y destrucción para las operaciones PATCH y la reversión automática en los almacenes de datos. La falta de permisos puede provocar problemas de flujo de trabajo y limpieza.

Un usuario basado en API de ONTAP con privilegios de descubrimiento, creación, modificación y destrucción puede administrar flujos de trabajo de herramientas de ONTAP .

Para crear un usuario de ámbito de cluster con todas las Privileges mencionadas anteriormente, ejecute los siguientes comandos:

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all

security login rest-role create -role <role-name> -api /api/storage/volumes -access all

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all

security login rest-role create -role <role-name> -api /api/storage/luns -access all

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all

security login rest-role create -role <role-name> -api /api/storage/qos/policies -access all

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify

security login rest-role create -role <role-name> -api /api/cluster -access readonly

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly

security login rest-role create -role <role-name> -api /api/cluster/licensing/licenses -access readonly

security login rest-role create -role <role-name> -api /api/cluster/nodes -access readonly

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly

security login rest-role create -role <role-name> -api /api/security/roles -access readonly

security login rest-role create -role <role-name> -api /api/storage/aggregates -access readonly

security login rest-role create -role <role-name> -api /api/storage/cluster -access readonly

security login rest-role create -role <role-name> -api /api/storage/disks -access readonly

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly

security login rest-role create -role <role-name> -api /api/cluster/metrocluster -access readonly

Además, para las versiones 9.16.0 y posteriores de ONTAP, ejecute el siguiente comando:

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all

Para los sistemas ASA R2 en ONTAP versiones 9.16.1 y posteriores, ejecute el siguiente comando:

security login rest-role create -role <role-name> -api /api/storage/availability-zones -access readonly

Create ONTAP tools for VMware vSphere ONTAP API based SVM scoped user

Ejecute los siguientes comandos para crear un usuario con ámbito SVM con todos los privilegios:

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/volumes -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/luns -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/roles -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly -vserver <vserver-name>

Además, para las versiones 9.16.0 y posteriores de ONTAP, ejecute el siguiente comando:

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all -vserver <vserver-name>

Para crear un nuevo usuario basado en API utilizando los roles basados en API creados anteriormente, ejecute el siguiente comando:

security login create -user-or-group-name <user-name> -application http -authentication-method password -role <role-name> -vserver <cluster-or-vserver-name>

Ejemplo:

security login create -user-or-group-name testvpsraall -application http -authentication-method password -role OTV_10_VP_SRA_Discovery_Create_Modify_Destroy -vserver C1_sti160-cluster_

Ejecute el siguiente comando para desbloquear la cuenta y habilitar el acceso a la interfaz de administración:

security login unlock -user <user-name> -vserver <cluster-or-vserver-name>

Ejemplo:

security login unlock -username testvpsraall -vserver C1_sti160-cluster

Actualice las herramientas de ONTAP para un usuario de VMware vSphere 10,1 a 10,3 usuario

Para herramientas de ONTAP para usuarios de VMware vSphere 10,1 con un usuario en el ámbito del clúster creado con el archivo JSON, utilice los siguientes comandos de la CLI de ONTAP con la Privileges de administrador de usuario para actualizar a la versión 10,3.

Para las capacidades del producto:

  • VSC

  • VSC y proveedor VASA

  • VSC y SRA

  • VSC, proveedor VASA y SRA.

Privileges de clúster:

security login role create -role <existing-role-name> -cmddirname «vserver nvme namespace show» -access all

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem show» -access all

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem host show» -access all

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem map show» -access all

security login role create -role <existing-role-name> -cmddirname «vserver nvme show-interface» -access read

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem host add» -access all

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem map add» -access all

security login role create -role <existing-role-name> -cmddirname «vserver nvme namespace delete» -access all

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem delete» -access all

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem host remove» -access all

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem map remove» -access all

Para herramientas de ONTAP para VMware vSphere 10,1 usuario con un usuario de ámbito de SVM creado con el archivo json, utilice los comandos de la CLI de ONTAP con Privileges del usuario administrador para actualizar a la versión 10,3.

Privileges de SVM:

security login role create -role <existing-role-name> -cmddirname «vserver nvme namespace show» -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem show» -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem host show» -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem map show» -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname «vserver nvme show-interface» -access read -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem host add» -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem map add» -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname «vserver nvme namespace delete» -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem delete» -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem host remove» -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname «vserver nvme subsystem map remove» -access all -vserver <vserver-name>

Para habilitar los siguientes comandos, agregue los comandos vserver nvme namespace show y vserver nvme subsystem show a la función existente.

vserver nvme namespace create

vserver nvme namespace modify

vserver nvme subsystem create

vserver nvme subsystem modify

Actualice las herramientas de ONTAP para un usuario de VMware vSphere 10,3 a 10,4 usuario

A partir de ONTAP 9.16.1, actualice las ONTAP tools for VMware vSphere 10.3 al usuario 10.4.

Para herramientas de ONTAP para VMware vSphere 10,3 usuario con un usuario de ámbito en el clúster creado con el archivo JSON y la versión 9.16.1 o posteriores de ONTAP, use el comando de la CLI de ONTAP con Privileges de usuario administrador para actualizar a la versión 10,4.

Para las capacidades del producto:

  • VSC

  • VSC y proveedor VASA

  • VSC y SRA

  • VSC, proveedor VASA y SRA.

Privileges de clúster:

security login role create -role <existing-role-name> -cmddirname "storage availability-zone show" -access all