Skip to main content
ONTAP tools for VMware vSphere 10.3
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare i ruoli e i privilegi degli utenti ONTAP

Collaboratori
PDF

È possibile configurare nuovi ruoli e privilegi utente per la gestione dei backend di storage utilizzando il file JSON fornito con gli strumenti ONTAP per VMware vSphere e ONTAP System Manager.

Prima di iniziare

  • È necessario aver scaricato il file dei privilegi di ONTAP da ONTAP Tools per VMware vSphere utilizzando https://<loadbalancerIP>:8443/Virtualization/user-Privileges/users_roles.zip.

  • Il file dei privilegi di ONTAP dovrebbe essere stato scaricato da ONTAP Tools utilizzando https://<loadbalancerIP>:8443/virtualization/user-privileges/users_roles.zip.

    Nota È possibile creare utenti a livello di cluster o direttamente a livello di Storage Virtual Machine (SVM). Puoi anche creare utenti senza utilizzare il file user_roles.json e, in tal caso, devi disporre di un set minimo di privilegi a livello di SVM.

  • È necessario aver effettuato l'accesso con i privilegi di amministratore per il backend di archiviazione.

Fasi

  1. Estrarre il file scaricato https://<loadbalancerIP>:8443/Virtualization/user-privileges/users_roles.zip.

  2. Accedere a ONTAP System Manager utilizzando l'indirizzo IP di gestione del cluster del cluster.

  3. Accedere al cluster con admin Privileges. Per configurare un utente, attenersi alla procedura illustrata di seguito:

    1. Per configurare l'utente degli strumenti ONTAP del cluster, selezionare cluster > Impostazioni > pannello utenti e ruoli.

    2. Per configurare l'utente degli strumenti di SVM ONTAP, selezionare Storage SVM > Impostazioni > pannello utenti e ruoli.

    3. Selezionare Aggiungi in utenti.

    4. Nella finestra di dialogo Aggiungi utente, selezionare prodotti di virtualizzazione.

    5. Sfoglia per selezionare e caricare il file JSON con privilegi ONTAP.

      Il campo prodotto viene compilato automaticamente.

    6. Selezionare la funzionalità desiderata dal menu a discesa funzionalità prodotto.

      Il campo ruolo viene compilato automaticamente in base alla capacità del prodotto selezionata.

    7. Immettere il nome utente e la password richiesti.

    8. Selezionare il ruolo Privileges (rilevamento, creazione archivio, Modifica archivio, distruzione archivio, NAS/SAN) richiesto per l'utente, quindi selezionare Aggiungi.

Vengono aggiunti il nuovo ruolo e l'utente e vengono visualizzati i privilegi dettagliati nel ruolo configurato.

Requisiti di mappatura degli aggregati delle SVM

Per utilizzare le credenziali utente delle SVM per il provisioning dei datastore, i tool interni di ONTAP per VMware vSphere creano volumi nell'aggregato specificato nelle API SUCCESSIVE ai datastore. ONTAP non consente la creazione di volumi su aggregati non mappati in una SVM utilizzando le credenziali utente della SVM. Per risolvere questo problema, è necessario mappare le SVM con gli aggregati utilizzando l'API REST o la CLI di ONTAP, come descritto qui.

API REST:

PATCH "/api/svm/svms/f16f0935-5281-11e8-b94d-005056b46485" '{"aggregates":{"name":["aggr1","aggr2","aggr3"]}}'

CLI ONTAP:

sti115_vsim_ucs630f_aggr1 vserver show-aggregates                                        AvailableVserver        Aggregate      State         Size Type    SnapLock Type-------------- -------------- ------- ---------- ------- --------------svm_test       sti115_vsim_ucs630f_aggr1                               online     10.11GB vmdisk  non-snaplock

Creare manualmente un utente e un ruolo ONTAP

Seguire le istruzioni in questa sezione per creare manualmente l'utente e i ruoli senza utilizzare il file JSON.

  1. Accedere a ONTAP System Manager utilizzando l'indirizzo IP di gestione del cluster del cluster.

  2. Accedere al cluster con admin Privileges.

    1. Per configurare i ruoli degli strumenti ONTAP del cluster, selezionare cluster > Impostazioni > utenti e ruoli.

    2. Per configurare i ruoli degli strumenti di SVM ONTAP del cluster, selezionare Storage SVM > Impostazioni > pannello utenti e ruoli

  3. Crea ruoli:

    1. Selezionare Aggiungi nella tabella ruoli.

    2. Immettere i dettagli nome ruolo e attributi ruolo.

      Aggiungere il percorso REST API e il relativo accesso dal menu a discesa.

    3. Aggiungere tutte le API necessarie e salvare le modifiche.

  4. Crea utenti:

    1. Selezionare Aggiungi nella tabella utenti.

    2. Nella finestra di dialogo Aggiungi utente, selezionare System Manager.

    3. Immettere il Nome utente.

    4. Selezionare ruolo dalle opzioni create nel passaggio Crea ruoli riportato sopra.

    5. Immettere le applicazioni a cui assegnare l'accesso e il metodo di autenticazione. ONTAPI e HTTP sono le applicazioni richieste e il tipo di autenticazione è Password.

    6. Impostare Password per l'utente e Salva l'utente.

Elenco dei privilegi minimi richiesti per gli utenti cluster con ambito globale non amministratori

In questa sezione sono elencati i privilegi minimi richiesti per gli utenti cluster con ambito globale non amministratore creati senza utilizzare il file JSON degli utenti. Se un cluster viene aggiunto nell'ambito locale, si consiglia di utilizzare il file JSON per creare gli utenti, poiché gli strumenti ONTAP per VMware vSphere richiedono più dei soli privilegi di lettura per il provisioning su ONTAP.

Utilizzo delle API:

API

Livello di accesso

Utilizzato per

/api/cluster

Sola lettura

Rilevamento della configurazione del cluster

/api/cluster/licenze/licenze

Sola lettura

Controllo licenza per licenze specifiche del protocollo

/api/cluster/nodi

Sola lettura

Rilevamento del tipo di piattaforma

/api/security/accounts

Sola lettura

Individuazione dei privilegi

/api/security/ruoli

Sola lettura

Individuazione dei privilegi

/api/storage/aggregati

Sola lettura

Controllo dello spazio di aggregazione durante datastore/provisioning dei volumi

/api/storage/cluster

Sola lettura

Per ottenere i dati di spazio ed efficienza a livello di cluster

/api/storage/dischi

Sola lettura

Per ottenere i dischi associati in un aggregato

/api/storage/qos/policy

Lettura/creazione/Modifica

Gestione di QoS e policy VM

/api/svm/svm

Sola lettura

Per ottenere la configurazione SVM nel caso in cui il cluster venga aggiunto localmente.

/api/network/ip/interfaces

Sola lettura

Aggiunta del backend dello storage - per identificare l'ambito della LIF di gestione è Cluster/SVM

Crea tool ONTAP per l'utente con ambito cluster basato su API VMware vSphere ONTAP

Nota Servono rilevamento, creazione, modifica e distruzione di Privileges per eseguire operazioni di PATCH e rollback automatico in caso di guasto nei datastore. La mancanza di questi Privileges insieme causa interruzioni del flusso di lavoro e problemi di pulizia.

Creazione di strumenti ONTAP per l'utente basato su API VMware vSphere ONTAP con rilevamento, creazione dello storage, modifica dello storage, distruzione dello storage Privileges consente l'avvio delle rilevazioni e la gestione dei flussi di lavoro degli strumenti ONTAP.

Per creare un utente soggetto all'ambito del cluster con tutti gli Privileges sopra menzionati, esegui i seguenti comandi:

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all

security login rest-role create -role <role-name> -api /api/storage/volumes -access all

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all

security login rest-role create -role <role-name> -api /api/storage/luns -access all

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all

security login rest-role create -role <role-name> -api /api/storage/qos/policies -access all

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify

security login rest-role create -role <role-name> -api /api/cluster -access readonly

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly

security login rest-role create -role <role-name> -api /api/cluster/licensing/licenses -access readonly

security login rest-role create -role <role-name> -api /api/cluster/nodes -access readonly

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly

security login rest-role create -role <role-name> -api /api/security/roles -access readonly

security login rest-role create -role <role-name> -api /api/storage/aggregates -access readonly

security login rest-role create -role <role-name> -api /api/storage/cluster -access readonly

security login rest-role create -role <role-name> -api /api/storage/disks -access readonly

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly

Inoltre, per ONTAP versione 9.16.0 e successive, eseguire il seguente comando:

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all

Crea tool ONTAP per l'utente con ambito SVM basato su API di VMware vSphere ONTAP

Per creare un utente SVM scoped con tutta la Privileges, esegui i seguenti comandi:

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/volumes -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/luns -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/roles -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly -vserver <vserver-name>

Inoltre, per ONTAP versione 9.16.0 e successive, eseguire il seguente comando:

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all -vserver <vserver-name>

Per creare un nuovo utente basato su API utilizzando i ruoli basati su API creati in precedenza, eseguire il comando seguente:

security login create -user-or-group-name <user-name> -application http -authentication-method password -role <role-name> -vserver <cluster-or-vserver-name>

Esempio:

security login create -user-or-group-name testvpsraall -application http -authentication-method password -role OTV_10_VP_SRA_Discovery_Create_Modify_Destroy -vserver C1_sti160-cluster_

Per sbloccare l'account, per consentire l'accesso all'interfaccia di gestione eseguire il seguente comando:

security login unlock -user <user-name> -vserver <cluster-or-vserver-name>

Esempio:

security login unlock -username testvpsraall -vserver C1_sti160-cluster

Aggiorna i tool ONTAP per VMware vSphere 10,1 a un utente 10,3

Se i tool di ONTAP per l'utente di VMware vSphere 10,1 sono un utente con ambito cluster creato utilizzando il file json, esegui i seguenti comandi nell'interfaccia dell'interfaccia dell'interfaccia dell'interfaccia dell'utente di ONTAP utilizzando l'utente di amministrazione per l'upgrade alla release 10,3.

Per le funzionalità del prodotto:

  • VSC

  • Provider VSC e VASA

  • VSC e SRA

  • VSC, VASA Provider e SRA.

Privileges cluster:

security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace show" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem show" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host show" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map show" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme show-interface" -access read

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host add" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map add" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace delete" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem delete" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host remove" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map remove" -access all

Se i tool di ONTAP per l'utente di VMware vSphere 10,1 sono un utente con ambito SVM creato utilizzando il file json, esegui i seguenti comandi nell'interfaccia dell'interfaccia dell'interfaccia dell'interfaccia dell'interfaccia utente di ONTAP utilizzando l'utente di amministrazione per l'upgrade alla release 10,3.

Privileges SVM:

security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace show" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem show" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host show" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map show" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme show-interface" -access read -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host add" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map add" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace delete" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem delete" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host remove" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map remove" -access all -vserver <vserver-name>

Aggiungendo al ruolo esistente il comando vserver nvme namespace show e vserver nvme subsystem show, si aggiungono i seguenti comandi.

vserver nvme namespace create

vserver nvme namespace modify

vserver nvme subsystem create

vserver nvme subsystem modify