Skip to main content
ONTAP tools for VMware vSphere 10
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurare i ruoli e i privilegi degli utenti ONTAP

Collaboratori netapp-jani dmp-netapp

Configurare i ruoli utente e i privilegi per i backend di archiviazione con il file JSON degli ONTAP tools for VMware vSphere e ONTAP System Manager.

Prima di iniziare
  • Scaricare il file ONTAP Privileges dagli ONTAP tools for VMware vSphere utilizzando https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip. Dopo aver scaricato il file zip, troverai due file JSON. Utilizzare il file JSON specifico di ASA r2 durante la configurazione di un sistema ASA r2.

    Nota È possibile creare utenti a livello di cluster o direttamente a livello di macchine virtuali di archiviazione (SVM). Se non si utilizza il file user_roles.json, assicurarsi che l'utente disponga delle autorizzazioni SVM minime richieste.
  • Accedi con privilegi di amministratore per il backend di archiviazione.

Fasi
  1. Estrarre il file https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip scaricato.

  2. Accedere a ONTAP System Manager utilizzando l'indirizzo IP di gestione del cluster del cluster.

  3. Accedi al cluster con privilegi di amministratore. Per configurare un utente:

    1. Per configurare un utente degli strumenti ONTAP del cluster, selezionare il riquadro Cluster > Impostazioni > Utenti e ruoli.

    2. Per configurare un utente degli strumenti SVM ONTAP , selezionare il riquadro Storage SVM > Impostazioni > Utenti e ruoli.

    3. Selezionare Aggiungi in utenti.

    4. Nella finestra di dialogo Aggiungi utente, selezionare prodotti di virtualizzazione.

    5. Sfoglia per selezionare e caricare il file JSON Privileges ONTAP . Per i sistemi non ASA r2, selezionare il file users_roles.json e per i sistemi ASA r2, selezionare il file users_roles_ASAr2.json.

      Gli strumenti ONTAP popolano automaticamente il campo Prodotto.

    6. Selezionare la funzionalità del prodotto come VSC, VASA Provider e SRA dal menu a discesa.

      Gli strumenti ONTAP popolano automaticamente il campo Ruolo in base alla funzionalità del prodotto selezionata.

    7. Immettere il nome utente e la password richiesti.

    8. Selezionare i privilegi (Discovery, Create Storage, Edit Storage, Destroy Storage, NAS/SAN Role) di cui l'utente ha bisogno, quindi selezionare Aggiungi.

Gli strumenti ONTAP aggiungono il nuovo ruolo e utente. Puoi visualizzare i privilegi relativi al ruolo configurato.

Requisiti di mappatura degli aggregati delle SVM

Durante il provisioning degli archivi dati utilizzando le credenziali utente SVM, gli ONTAP tools for VMware vSphere creano volumi sull'aggregato specificato nell'API POST degli archivi dati. ONTAP impedisce agli utenti SVM di creare volumi su aggregati non mappati sull'SVM. Prima di creare i volumi, mappare l'SVM sugli aggregati richiesti utilizzando l'API REST o la CLI ONTAP .

API REST:

PATCH "/api/svm/svms/f16f0935-5281-11e8-b94d-005056b46485" '{"aggregates":{"name":["aggr1","aggr2","aggr3"]}}'

CLI ONTAP:

sti115_vsim_ucs630f_aggr1 vserver show-aggregates                                        AvailableVserver        Aggregate      State         Size Type    SnapLock Type-------------- -------------- ------- ---------- ------- --------------svm_test       sti115_vsim_ucs630f_aggr1                               online     10.11GB vmdisk  non-snaplock

Creare manualmente un utente e un ruolo ONTAP

Creare manualmente utenti e ruoli senza il file JSON.

  1. Accedere a ONTAP System Manager utilizzando l'indirizzo IP di gestione del cluster del cluster.

  2. Accedere al cluster con admin Privileges.

    1. Per configurare i ruoli degli strumenti ONTAP del cluster, selezionare Cluster > Impostazioni > Utenti e ruoli.

    2. Per configurare i ruoli degli strumenti SVM ONTAP del cluster, selezionare Storage SVM > Impostazioni > Utenti e ruoli.

  3. Crea ruoli:

    1. Selezionare Aggiungi nella tabella ruoli.

    2. Immettere i dettagli nome ruolo e attributi ruolo.

      Aggiungere il Percorso API REST e scegliere l'accesso dall'elenco a discesa.

    3. Aggiungere tutte le API necessarie e salvare le modifiche.

  4. Crea utenti:

    1. Selezionare Aggiungi nella tabella utenti.

    2. Nella finestra di dialogo Aggiungi utente, selezionare System Manager.

    3. Immettere il Nome utente.

    4. Selezionare ruolo dalle opzioni create nel passaggio Crea ruoli riportato sopra.

    5. Immettere le applicazioni a cui assegnare l'accesso e il metodo di autenticazione. ONTAPI e HTTP sono le applicazioni richieste e il tipo di autenticazione è Password.

    6. Impostare Password per l'utente e Salva l'utente.

Elenco dei privilegi minimi richiesti per gli utenti cluster con ambito globale non amministratori

In questa sezione sono elencati i privilegi minimi richiesti per un utente del cluster con ambito globale non amministratore senza un file JSON. Se un cluster si trova nell'ambito locale, utilizzare il file JSON per creare gli utenti, poiché gli ONTAP tools for VMware vSphere necessitano di più dei semplici privilegi di lettura per il provisioning su ONTAP.

È possibile accedere alle funzionalità tramite API:

API

Livello di accesso

Utilizzato per

/api/cluster

Sola lettura

Rilevamento della configurazione del cluster

/api/cluster/licenze/licenze

Sola lettura

Controllo della licenza per licenze specifiche del protocollo

/api/cluster/nodi

Sola lettura

Rilevamento del tipo di piattaforma

/api/security/accounts

Sola lettura

Scoperta dei privilegi

/api/security/ruoli

Sola lettura

Scoperta dei privilegi

/api/storage/aggregati

Sola lettura

Controllo dello spazio aggregato durante il provisioning del datastore/volume

/api/storage/cluster

Sola lettura

Per ottenere i dati sullo spazio e sull'efficienza a livello di cluster

/api/storage/dischi

Sola lettura

Per ottenere i dischi associati in un aggregato

/api/storage/qos/policy

Lettura/creazione/Modifica

Gestione delle policy QoS e VM

/api/svm/svm

Sola lettura

Per ottenere la configurazione SVM quando il cluster viene aggiunto localmente.

/api/network/ip/interfaces

Sola lettura

Aggiungi backend di archiviazione: per identificare l'ambito di gestione LIF è cluster/SVM

/api/storage/availability-zones

Sola lettura

Scoperta SAZ. Applicabile alla versione ONTAP 9.16.1 e successive e ai sistemi ASA r2.

/api/cluster/metrocluster

Sola lettura

Ottiene lo stato e i dettagli di configurazione MetroCluster .

Crea tool ONTAP per l'utente con ambito cluster basato su API VMware vSphere ONTAP

Nota Per le operazioni PATCH e il rollback automatico sui datastore sono richiesti privilegi di individuazione, creazione, modifica ed eliminazione. La mancanza di autorizzazioni potrebbe causare problemi di flusso di lavoro e di pulizia.

Un utente basato su API ONTAP con privilegi di individuazione, creazione, modifica ed eliminazione può gestire i flussi di lavoro degli strumenti ONTAP .

Per creare un utente soggetto all'ambito del cluster con tutti gli Privileges sopra menzionati, esegui i seguenti comandi:

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all

security login rest-role create -role <role-name> -api /api/storage/volumes -access all

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all

security login rest-role create -role <role-name> -api /api/storage/luns -access all

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all

security login rest-role create -role <role-name> -api /api/storage/qos/policies -access all

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify

security login rest-role create -role <role-name> -api /api/cluster -access readonly

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly

security login rest-role create -role <role-name> -api /api/cluster/licensing/licenses -access readonly

security login rest-role create -role <role-name> -api /api/cluster/nodes -access readonly

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly

security login rest-role create -role <role-name> -api /api/security/roles -access readonly

security login rest-role create -role <role-name> -api /api/storage/aggregates -access readonly

security login rest-role create -role <role-name> -api /api/storage/cluster -access readonly

security login rest-role create -role <role-name> -api /api/storage/disks -access readonly

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly

security login rest-role create -role <role-name> -api /api/cluster/metrocluster -access readonly

Inoltre, per ONTAP versione 9.16.0 e successive, eseguire il seguente comando:

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all

Per i sistemi ASA R2 su ONTAP versione 9.16.1 e successive, eseguire il seguente comando:

security login rest-role create -role <role-name> -api /api/storage/availability-zones -access readonly

Crea tool ONTAP per l'utente con ambito SVM basato su API di VMware vSphere ONTAP

Eseguire i seguenti comandi per creare un utente con ambito SVM dotato di tutti i privilegi:

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/volumes -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/luns -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/roles -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly -vserver <vserver-name>

Inoltre, per ONTAP versione 9.16.0 e successive, eseguire il seguente comando:

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all -vserver <vserver-name>

Per creare un nuovo utente basato su API utilizzando i ruoli basati su API creati in precedenza, eseguire il comando seguente:

security login create -user-or-group-name <user-name> -application http -authentication-method password -role <role-name> -vserver <cluster-or-vserver-name>

Esempio:

security login create -user-or-group-name testvpsraall -application http -authentication-method password -role OTV_10_VP_SRA_Discovery_Create_Modify_Destroy -vserver C1_sti160-cluster_

Eseguire il seguente comando per sbloccare l'account e abilitare l'accesso all'interfaccia di gestione:

security login unlock -user <user-name> -vserver <cluster-or-vserver-name>

Esempio:

security login unlock -username testvpsraall -vserver C1_sti160-cluster

Aggiorna i tool ONTAP per VMware vSphere 10,1 a un utente 10,3

Per i tool ONTAP per gli utenti di VMware vSphere 10,1 con un utente impostato su cluster creato utilizzando il file JSON, utilizzare i seguenti comandi dell'interfaccia della riga di comando di ONTAP con l'Privileges dell'amministratore utente per eseguire l'aggiornamento alla release 10,3.

Per le funzionalità del prodotto:

  • VSC

  • Provider VSC e VASA

  • VSC e SRA

  • VSC, VASA Provider e SRA.

Privileges cluster:

security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace show" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem show" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host show" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map show" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme show-interface" -access read

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host add" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map add" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace delete" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem delete" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host remove" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map remove" -access all

Per i tool ONTAP per l'utente di VMware vSphere 10,1 con un utente con ambito SVM creato utilizzando il file json, utilizza i comandi dell'interfaccia della riga di comando di ONTAP con l'utente admin Privileges per eseguire l'upgrade alla release 10,3.

Privileges SVM:

security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace show" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem show" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host show" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map show" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme show-interface" -access read -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host add" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map add" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace delete" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem delete" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem host remove" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subsystem map remove" -access all -vserver <vserver-name>

Per abilitare i seguenti comandi, aggiungere i comandi vserver nvme namespace show e vserver nvme subsystem show al ruolo esistente.

vserver nvme namespace create

vserver nvme namespace modify

vserver nvme subsystem create

vserver nvme subsystem modify

Aggiorna i tool ONTAP per VMware vSphere 10,3 a un utente 10,4

A partire da ONTAP 9.16.1, aggiornare gli ONTAP tools for VMware vSphere 10.3 alla versione 10.4.

Per i tool ONTAP per l'utente VMware vSphere 10,3 con un utente sottoposto a cluster creato utilizzando il file JSON e ONTAP versione 9.16.1 o successiva, utilizza il comando CLI ONTAP con admin user Privileges per eseguire l'upgrade alla release 10,4.

Per le funzionalità del prodotto:

  • VSC

  • Provider VSC e VASA

  • VSC e SRA

  • VSC, VASA Provider e SRA.

Privileges cluster:

security login role create -role <existing-role-name> -cmddirname "storage availability-zone show" -access all