Skip to main content
ONTAP tools for VMware vSphere 10.2
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configurer les rôles et privilèges des utilisateurs ONTAP

Contributeurs
PDF

Vous pouvez configurer de nouveaux rôles et privilèges utilisateur pour la gestion des systèmes back-end de stockage à l'aide du fichier JSON fourni avec les outils ONTAP pour VMware vSphere et ONTAP System Manager.

Ce dont vous aurez besoin

  • Vous devez avoir téléchargé le fichier de privilèges ONTAP depuis les outils ONTAP pour VMware vSphere à l'aide de https://<loadbalancerIP>:8443/Virtualization/user-Privileges/Users_roles.zip.

  • Vous devez avoir téléchargé le fichier privilèges ONTAP à partir des outils ONTAP à l'aide de https://<loadbalancerIP>:8443/virtualization/user-privileges/users_roles.zip.

    Remarque La création d'utilisateurs s'effectue au niveau du cluster ou directement au niveau des SVM. Vous pouvez également créer des utilisateurs sans utiliser le fichier user_roles.json et, si c'est le cas, vous devez disposer d'un ensemble minimal de privilèges au niveau du SVM.

  • Vous devez vous être connecté avec des privilèges d'administrateur pour le back-end de stockage.

Étapes

  1. Extrayez le fichier téléchargé https://<loadbalancerIP>:8443/Virtualization/user-Privileges/Users_roles.zip.

  2. Accédez à ONTAP System Manager à l'aide de l'adresse IP de gestion du cluster.

  3. Connectez-vous au cluster avec admin Privileges. Pour configurer un utilisateur, effectuez les opérations suivantes :

    1. Pour configurer l'utilisateur des outils ONTAP du cluster, sélectionnez Cluster > Paramètres > utilisateurs et rôles.

    2. Pour configurer l'utilisateur des outils ONTAP du SVM, sélectionner SVM de stockage > Paramètres > volet utilisateurs et rôles.

    3. Sélectionnez Ajouter sous utilisateurs.

    4. Dans la boîte de dialogue Ajouter un utilisateur, sélectionnez produits de virtualisation.

    5. Parcourir pour sélectionner et télécharger le fichier JSON de privilèges ONTAP.

      Le champ produit est renseigné automatiquement.

    6. Sélectionnez la fonctionnalité requise dans le menu déroulant Product Capability.

      Le champ role est renseigné automatiquement en fonction de la fonctionnalité de produit sélectionnée.

    7. Saisissez le nom d'utilisateur et le mot de passe requis.

    8. Sélectionnez les privilèges (découverte, création de stockage, modification de stockage, destruction de stockage, rôle NAS/SAN) requis pour l'utilisateur, puis cliquez sur Ajouter.

Le nouveau rôle et l'utilisateur sont ajoutés et vous pouvez voir les privilèges détaillés sous le rôle que vous avez configuré.

Remarque L'opération de désinstallation ne supprime pas les rôles d'outil ONTAP, mais supprime les noms localisés des privilèges spécifiques à l'outil ONTAP et ajoute le préfixe XXX missing privilege pour eux. Lorsque vous réinstallez les outils ONTAP pour VMware vSphere ou que vous effectuez une mise à niveau vers une version plus récente, tous les outils ONTAP standard pour les rôles VMware vSphere et les privilèges spécifiques aux outils ONTAP sont restaurés.

Exigences de mappage des agrégats du SVM

Pour utiliser les identifiants utilisateur SVM pour provisionner les datastores, les outils ONTAP internes pour VMware vSphere créent des volumes sur l'agrégat spécifié dans l'API POST des datastores. La ONTAP ne permet pas la création de volumes sur des agrégats non mappés sur un SVM à l'aide des informations d'identification utilisateur du SVM. Pour résoudre ce problème, vous devez mapper les SVM avec les agrégats à l'aide de l'API REST ou de l'interface de ligne de commandes de ONTAP comme décrit dans cette section.

API REST :

PATCH "/api/svm/svms/f16f0935-5281-11e8-b94d-005056b46485" '{"aggregates":{"name":["aggr1","aggr2","aggr3"]}}'

Interface de ligne de commande ONTAP :

sti115_vsim_ucs630f_aggr1 vserver show-aggregates                                        AvailableVserver        Aggregate      State         Size Type    SnapLock Type-------------- -------------- ------- ---------- ------- --------------svm_test       sti115_vsim_ucs630f_aggr1                               online     10.11GB vmdisk  non-snaplock

Créez manuellement un utilisateur et un rôle ONTAP

Suivez les instructions de cette section pour créer l'utilisateur et les rôles manuellement sans utiliser le fichier JSON.

  1. Accédez à ONTAP System Manager à l'aide de l'adresse IP de gestion du cluster.

  2. Connectez-vous au cluster avec admin Privileges.

    1. Pour configurer les rôles des outils ONTAP du cluster, sélectionnez Cluster > Paramètres > utilisateurs et rôles.

    2. Pour configurer les rôles des outils ONTAP du SVM du cluster, sélectionner le volet SVM de stockage > Paramètres > utilisateurs et rôles

  3. Créer des rôles :

    1. Sélectionnez Ajouter dans la table rôles.

    2. Entrez les détails nom de rôle et attributs de rôle.

      Ajoutez le REST API Path et l'accès correspondant dans le menu déroulant.

    3. Ajoutez toutes les API nécessaires et enregistrez les modifications.

  4. Créer des utilisateurs :

    1. Sélectionnez Ajouter dans la table utilisateurs.

    2. Dans la boîte de dialogue Ajouter un utilisateur, sélectionnez System Manager.

    3. Entrez le Nom d'utilisateur.

    4. Sélectionnez role parmi les options créées à l'étape Create Roles ci-dessus.

    5. Entrez les applications à laquelle vous souhaitez accorder l'accès et la méthode d'authentification. ONTAPI et HTTP sont les applications requises et le type d'authentification est Password.

    6. Définissez le Mot de passe pour l'utilisateur et le Enregistrer pour l'utilisateur.

Liste des privilèges minimaux requis pour les utilisateurs du cluster dont le périmètre global n'est pas défini sur admin

Les privilèges minimaux requis pour l'utilisateur de cluster avec périmètre global non-admin créé sans utiliser le fichier JSON d'utilisateurs sont répertoriés dans cette section. Si un cluster est ajouté au périmètre local, il est recommandé d'utiliser le fichier JSON pour créer les utilisateurs, car les outils ONTAP pour VMware vSphere requièrent bien plus que les privilèges de lecture pour le provisionnement sur ONTAP.

À l'aide d'API :

API

Niveau d'accès

Utilisé pour

/api/cluster

Lecture seule

Découverte de la configuration du cluster

/api/cluster/licences/licences

Lecture seule

Contrôle de licence pour les licences spécifiques au protocole

/api/cluster/nœuds

Lecture seule

Découverte du type de plate-forme

/api/stockage/agrégats

Lecture seule

Vérification de l'espace de l'agrégat lors du provisionnement des datastores/volumes

/api/stockage/cluster

Lecture seule

Pour obtenir les données d'espace et d'efficacité au niveau du cluster

/api/stockage/disques

Lecture seule

Pour obtenir les disques associés dans un agrégat

/api/stockage/qos/politiques

Lire/Créer/Modifier

Gestion de la QoS et de la stratégie des machines virtuelles

/api/svm/svm

Lecture seule

Pour obtenir la configuration SVM au cas où le Cluster est ajouté localement.

/api/network/ip/interfaces

Lecture seule

Add Storage back-end : pour identifier le périmètre de la LIF de gestion, il s'agit de Cluster/SVM

/api

Lecture seule

Les utilisateurs du cluster doivent disposer de ce privilège pour obtenir l'état du back-end de stockage correct. Sinon, le gestionnaire des outils ONTAP affiche l'état du back-end de stockage « inconnu ».

Mise à niveau des outils ONTAP pour VMware vSphere 10.1 utilisateur vers 10.2 utilisateurs

Si l'utilisateur des outils ONTAP pour VMware vSphere 10.1 est un utilisateur dont la portée est définie en cluster et créé à l'aide du fichier json, exécutez les commandes suivantes sur l'interface de ligne de commande ONTAP en utilisant l'utilisateur admin pour effectuer la mise à niveau vers la version 10.2.

Pour les fonctionnalités du produit :

  • VSC

  • Fournisseur VSC et VASA

  • VSC et SRA

  • Fournisseur VSC, VASA et SRA.

Cluster Privileges :

security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace show" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem show" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host show" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map show" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme show-interface" -access read

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host add" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map add" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace delete" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem delete" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host remove" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map remove" -access all

Si l'utilisateur disposant des outils ONTAP pour VMware vSphere 10.1 est un utilisateur avec périmètre SVM créé à l'aide du fichier json, exécuter les commandes suivantes sur l'interface de ligne de commande ONTAP en utilisant l'utilisateur admin pour effectuer la mise à niveau vers la version 10.2.

SVM Privileges :

security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace show" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem show" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host show" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map show" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme show-interface" -access read -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host add" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map add" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace delete" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem delete" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host remove" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map remove" -access all -vserver <vserver-name>

L'ajout de la commande vserver nvme namespace show et vserver nvme subsystem show au rôle existant ajoute les commandes suivantes.

vserver nvme namespace create

vserver nvme namespace modify

vserver nvme subsystem create

vserver nvme subsystem modify