Skip to main content
ONTAP tools for VMware vSphere 10
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

vCenter ServerのRBACに関するONTAP toolsの考慮事項

共同作成者 jani Copilot dmp-netapp
PDF

ONTAP Tools for VMware vSphere 10 RBACのvCenter Serverへの実装については、本番環境で使用する前に考慮する必要があります。

vCenterのロールと管理者アカウント

カスタムのvCenter Serverロールを定義して使用する必要があるのは、vSphereオブジェクトおよび関連する管理タスクへのアクセスを制限する場合のみです。アクセスを制限する必要がない場合は、代わりに管理者アカウントを使用できます。各管理者アカウントは、オブジェクト階層の最上位レベルにある管理者ロールで定義されます。これにより、ONTAP tools for VMware vSphere 10によって追加されたvSphereオブジェクトを含む、vSphereオブジェクトへのフルアクセスが提供されます。

vSphereオブジェクト階層

vSphereオブジェクトインベントリは階層構造になっています。たとえば、次のように階層を下に移動できます。

vCenter Server-→-→-→-→ Datacenter Cluster ESXi host Virtual Machine

vSphereオブジェクト階層ではすべての権限が検証されますが、VAAIプラグインの処理はターゲットESXiホストに対して検証されます。

ONTAP Tools for VMware vSphere 10に含まれるロール

vCenter Server RBACの使用を簡易化するために、ONTAP Tools for VMware vSphereには、さまざまな管理タスクに合わせてカスタマイズされた事前定義されたロールが用意されています。

メモ 必要に応じて、新しいカスタムロールを作成できます。この場合は、既存のONTAP toolsロールのいずれかをクローニングし、必要に応じて編集する必要があります。設定を変更したら、影響を受けるvSphere Clientユーザがログアウトしてから再度ログインし、変更をアクティブ化する必要があります。

ONTAP tools for VMware vSphereを表示するには、vSphere Client の上部にある メニュー を選択し、左側の 管理 をクリックしてから ロール をクリックします。vCenter の展開またはオンボーディングを担当する vCenter ユーザーに割り当てられるロールには、次の権限が含まれている必要があります。これらの権限が、展開またはオンボーディング プロセスの前提条件として構成されていることを確認します。

  • アラーム

    • アラームを確認する

  • コンテンツライブラリ

    • ライブラリアイテムを追加

    • テンプレートをチェックインする

    • テンプレートをチェックする

    • ファイルをダウンロードする

    • 輸入ストレージ

    • ストレージの読み取り

    • ライブラリアイテムを同期

    • 購読したライブラリを同期する

    • 構成設定を表示する

  • データストア

    • Allocate space

    • Browse datastore

    • Low level file operations

    • Remove file

    • Update virtual machine files

    • 仮想マシンのメタデータを更新する

  • ESXエージェントマネージャ

    • View

  • フォルダ

    • フォルダを作成

  • ホスト

    • 構成

      • 詳細設定

      • 設定の変更

      • ネットワーク構成

      • System resources

      • 仮想マシンの自動起動構成

    • 現地での活動

      • Create virtual machine

      • Delete virtual machine

      • Reconfigure virtual machine

  • ネットワーク

    • Assign network

    • 設定

  • Ovfマネージャー

    • OvfConsumer アクセス

  • ホストプロフィール

    • View

  • リソース

    • Assign virtual machine to resource pool

  • スケジュールされたタスク

    • タスクを作成する

    • タスクの変更

    • タスクを実行

  • タスク

    • タスクを作成

    • タスクの更新

  • vApp

    • 仮想マシンを追加する

    • リソース プールの割り当て

    • vAppの割り当て

    • 作成

    • インポート

    • 動く

    • Power off

    • Power on

    • URLから取得

    • OVF環境の表示

  • 仮想マシン

    • 構成の変更

      • Add existing disk

      • Add new disk

      • Add or remove device

      • 高度な設定

      • Change CPU count

      • メモリの変更

      • Change Settings

      • Change resource

      • Extend virtual disk

      • Modify device settings

      • Remove disk

      • ゲスト情報をリセットする

      • Upgrade virtual machine compatibility

    • 在庫を編集

      • Create from existing

      • Create new

      • 動く

      • 登録

      • 削除

      • 登録解除

    • 交流

      • 仮想マシン上のバックアップ操作

      • Configure CD media

      • Configure floppy media

      • デバイスを接続する

      • コンソール操作

      • VIX APIによるゲストシステム管理

      • Power off

      • Power on

      • リセット

      • 中断

    • プロビジョニング

      • Allow disk access

      • Clone template

      • ゲストをカスタマイズ

      • Deploy template

      • カスタマイズ仕様を変更する

      • Read customization specifications

    • Snapshotの管理

      • Snapshot の作成

      • Remove snapshot

      • スナップショットの名前を変更する

      • Revert to snapshot

以下に説明する 3 つの定義済みロールがあります。

VMware vSphere管理者向けNetApp ONTAPツール

VMware vSphere管理者タスク用のコアONTAPツールを実行するために必要なvCenter Server PrivilegesおよびONTAPツール固有のPrivilegesをすべて提供します。

NetApp ONTAP Tools for VMware vSphere読み取り専用

ONTAP toolsへの読み取り専用アクセスを許可します。アクセスが制御されたONTAP tools for VMware vSphereアクションを実行することはできません。

NetApp ONTAP Tools for VMware vSphereプロビジョニング

ストレージのプロビジョニングに必要なvCenter Server標準の権限とONTAP tools固有の権限が含まれています。次のタスクを実行できます。

  • 新しいデータストアを作成する

  • データストアを管理します

vSphereオブジェクトとONTAPストレージのバックエンド

2つのRBAC環境が連携して動作します。vSphere Clientインターフェイスでタスクを実行する場合は、まずvCenter Serverに定義されているONTAP toolsのロールがチェックされます。処理がvSphereで許可されている場合は、ONTAPロールPrivilegesが検証されます。2番目の手順は、ストレージバックエンドの作成および設定時にユーザに割り当てられたONTAPロールに基づいて実行します。

vCenter Server RBACノシヨウ

vCenter ServerのPrivilegesとアクセス許可を使用する際に考慮すべき点がいくつかあります。

必要な権限

ONTAP tools for VMware vSphere 10のユーザインターフェイスにアクセスするには、ONTAP tools固有の_view_privilegeが必要です。この権限がない状態でvSphereにサインインし、NetAppアイコンをクリックすると、ONTAP tools for VMware vSphereにエラーメッセージが表示され、ユーザインターフェイスにアクセスできません。

vSphereオブジェクト階層の割り当てレベルによって、ユーザインターフェイスのどの部分にアクセスできるかが決まります。ルートオブジェクトにView権限を割り当てると、NetAppアイコンをクリックしてONTAP tools for VMware vSphereにアクセスできるようになります。

代わりに、別の下位のvSphereオブジェクトレベルにView権限を割り当てることができます。ただし、これにより、アクセスして使用できるONTAP Tools for VMware vSphereメニューが制限されます。

権限を割り当てます

vSphereのオブジェクトおよびタスクへのアクセスを制限する場合は、vCenter Serverアクセス許可を使用する必要があります。vSphereオブジェクト階層で権限を割り当てる場所によって、ユーザが実行できるONTAP tools for VMware vSphere 10タスクが決まります。

ヒント アクセスをより制限的に定義する必要がないかぎり、ルートオブジェクトレベルまたはルートフォルダレベルで権限を割り当てることをお勧めします。

ONTAP tools for VMware vSphere 10で使用できる権限は、ストレージシステムなどのvSphere以外のカスタムオブジェクトに適用されます。割り当て可能なvSphereオブジェクトがないため、可能であればこれらのアクセス許可をONTAP tools for VMware vSphereルートオブジェクトに割り当てる必要があります。たとえば、ONTAP tools for VMware vSphereの「Add/Modify/Remove storage systems」権限を含むすべてのアクセス許可は、ルートオブジェクトレベルに割り当てる必要があります。

オブジェクト階層の上位レベルでアクセス許可を定義する場合は、アクセス許可が子オブジェクトに継承されるように設定できます。必要に応じて、親から継承したアクセス許可を上書きする追加のアクセス許可を子オブジェクトに割り当てることができます。

権限はいつでも変更できます。アクセス許可に含まれるPrivilegesを変更した場合、アクセス許可に関連付けられているユーザが変更を有効にするには、vSphereからログアウトしてログインし直す必要があります。