ONTAP 사용자 역할 및 권한을 구성합니다
ONTAP tools for VMware vSphere 및 ONTAP System Manager용 ONTAP 도구의 JSON 파일을 사용하여 스토리지 백엔드에 대한 사용자 역할과 권한을 구성합니다.
-
_\https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip_을 사용하여 ONTAP tools for VMware vSphere 에서 ONTAP Privileges 파일을 다운로드합니다. zip 파일을 다운로드하면 JSON 파일 두 개가 있습니다. ASA r2 시스템을 구성할 때 ASA r2 관련 JSON 파일을 사용하세요.
클러스터 수준이나 스토리지 가상 머신(SVM) 수준에서 직접 사용자를 만들 수 있습니다. user_roles.json 파일을 사용하지 않는 경우 사용자에게 최소한 필요한 SVM 권한이 있는지 확인하세요. -
스토리지 백엔드에 대한 관리자 권한으로 로그인합니다.
-
다운로드한 https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip 파일을 추출합니다.
-
클러스터의 클러스터 관리 IP 주소를 사용하여 ONTAP System Manager에 액세스합니다.
-
관리자 권한으로 클러스터에 로그인합니다. 사용자를 구성하려면:
-
클러스터 ONTAP 도구 사용자를 구성하려면 클러스터 > 설정 > 사용자 및 역할 창을 선택합니다.
-
SVM ONTAP 도구 사용자를 구성하려면 저장소 SVM > 설정 > 사용자 및 역할 창을 선택합니다.
-
사용자 아래에서 * 추가 * 를 선택합니다.
-
사용자 추가 * 대화 상자에서 * 가상화 제품 * 을 선택합니다.
-
*찾아보기*하여 ONTAP Privileges JSON 파일을 선택하고 업로드합니다. ASA r2 시스템이 아닌 경우 users_roles.json 파일을 선택하고, ASA r2 시스템의 경우 users_roles_ASAr2.json 파일을 선택합니다.
ONTAP 도구는 자동으로 제품 필드를 채웁니다.
-
드롭다운에서 제품 기능을 *VSC, VASA 공급자 및 SRA*로 선택합니다.
ONTAP 도구는 선택한 제품 기능에 따라 역할 필드를 자동으로 채웁니다.
-
필요한 사용자 이름과 암호를 입력합니다.
-
사용자에게 필요한 권한(검색, 저장소 생성, 저장소 수정, 저장소 삭제, NAS/SAN 역할)을 선택한 다음 *추가*를 선택합니다.
-
ONTAP 도구는 새로운 역할과 사용자를 추가합니다. 구성한 역할에 따라 권한을 볼 수 있습니다.
SVM 애그리게이트 매핑 요구사항
SVM 사용자 자격 증명을 사용하여 데이터 저장소를 프로비저닝할 때 ONTAP tools for VMware vSphere 데이터 저장소 POST API에 지정된 집계에 볼륨을 생성합니다. ONTAP SVM 사용자가 SVM에 매핑되지 않은 집계에 볼륨을 생성하는 것을 방지합니다. 볼륨을 생성하기 전에 ONTAP REST API나 CLI를 사용하여 SVM을 필요한 집계에 매핑합니다.
REST API:
PATCH "/api/svm/svms/f16f0935-5281-11e8-b94d-005056b46485" '{"aggregates":{"name":["aggr1","aggr2","aggr3"]}}'
ONTAP CLI:
sti115_vsim_ucs630f_aggr1 vserver show-aggregates AvailableVserver Aggregate State Size Type SnapLock Type-------------- -------------- ------- ---------- ------- --------------svm_test sti115_vsim_ucs630f_aggr1 online 10.11GB vmdisk non-snaplock
ONTAP 사용자 및 역할을 수동으로 생성합니다
JSON 파일 없이 사용자와 역할을 수동으로 생성합니다.
-
클러스터의 클러스터 관리 IP 주소를 사용하여 ONTAP System Manager에 액세스합니다.
-
admin Privileges를 사용하여 클러스터에 로그인합니다.
-
클러스터 ONTAP 도구 역할을 구성하려면 클러스터 > 설정 > *사용자 및 역할*을 선택합니다.
-
클러스터 SVM ONTAP 도구 역할을 구성하려면 저장소 SVM > 설정 > *사용자 및 역할*을 선택합니다.
-
-
역할 생성:
-
역할 * 표 아래에서 * 추가 * 를 선택합니다.
-
역할 이름 * 및 * 역할 속성 * 세부 정보를 입력합니다.
*REST API 경로*를 추가하고 드롭다운 목록에서 액세스를 선택합니다.
-
필요한 모든 API를 추가하고 변경 사항을 저장합니다.
-
-
사용자 생성:
-
사용자 * 표에서 * 추가 * 를 선택합니다.
-
사용자 추가 * 대화 상자에서 * 시스템 관리자 * 를 선택합니다.
-
사용자 이름 * 을 입력합니다.
-
위의 * 역할 생성 * 단계에서 생성한 옵션에서 * 역할 * 을 선택합니다.
-
액세스 권한을 부여할 응용 프로그램과 인증 방법을 입력합니다. ONTAPI 및 HTTP는 필수 응용 프로그램이며 인증 유형은 * Password * 입니다.
-
사용자의 * 비밀번호 * 를 설정하고 사용자를 * 저장 * 합니다.
-
관리자가 아닌 전역 범위 클러스터 사용자에게 필요한 최소 권한 목록입니다
이 섹션에서는 JSON 파일이 없는 관리자가 아닌 글로벌 범위 클러스터 사용자에게 필요한 최소 권한을 나열합니다. 클러스터가 로컬 범위에 있는 경우 ONTAP 에서 프로비저닝하려면 ONTAP tools for VMware vSphere 에 읽기 권한 이상이 필요하므로 JSON 파일을 사용하여 사용자를 생성합니다.
API를 사용하여 기능에 액세스할 수 있습니다.
API를 참조하십시오 |
액세스 수준 |
에 사용됩니다 |
/api/클러스터 |
읽기 전용 |
클러스터 구성 검색 |
/api/cluster/licensing/licenses 를 선택합니다 |
읽기 전용 |
프로토콜별 라이센스 확인 |
/api/cluster/nodes를 사용합니다 |
읽기 전용 |
플랫폼 유형 검색 |
/api/security/accounts |
읽기 전용 |
권한 검색 |
/API/보안/역할 |
읽기 전용 |
권한 검색 |
/api/스토리지/애그리게이트 |
읽기 전용 |
데이터 저장소/볼륨 프로비저닝 중 집계 공간 확인 |
/api/storage/cluster 를 선택합니다 |
읽기 전용 |
클러스터 수준 공간 및 효율성 데이터를 얻으려면 |
/api/스토리지/디스크 |
읽기 전용 |
집계에 연관된 디스크를 가져오려면 |
/api/스토리지/QoS/정책 |
읽기/생성/수정 |
QoS 및 VM 정책 관리 |
/api/svm/sSVM |
읽기 전용 |
클러스터가 로컬에 추가될 때 SVM 구성을 가져옵니다. |
/api/network/ip/interfaces 를 참조하십시오 |
읽기 전용 |
스토리지 백엔드 추가 - 관리 LIF 범위가 클러스터/SVM인지 식별합니다. |
/api/스토리지/가용성 영역 |
읽기 전용 |
SAZ 발견. ONTAP 9.16.1 릴리스 이상 및 ASA r2 시스템에 적용됩니다. |
/api/클러스터/메트로클러스터 |
읽기 전용 |
MetroCluster 상태 및 구성 세부 정보를 가져옵니다. |
VMware vSphere ONTAP API 기반 클러스터 범위 사용자를 위한 ONTAP 툴을 생성합니다
|
PATCH 작업과 데이터 저장소의 자동 롤백에는 검색, 생성, 수정 및 삭제 권한이 필요합니다. 권한이 없으면 워크플로 및 정리 문제가 발생할 수 있습니다. |
검색, 생성, 수정 및 삭제 권한이 있는 ONTAP API 기반 사용자는 ONTAP 도구 워크플로를 관리할 수 있습니다.
위에서 언급한 모든 Privileges를 사용하여 클러스터 범위 사용자를 생성하려면 다음 명령을 실행합니다.
security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all security login rest-role create -role <role-name> -api /api/storage/volumes -access all security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all security login rest-role create -role <role-name> -api /api/storage/luns -access all security login rest-role create -role <role-name> -api /api/storage/namespaces -access all security login rest-role create -role <role-name> -api /api/storage/qos/policies -access all security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify security login rest-role create -role <role-name> -api /api/cluster -access readonly security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly security login rest-role create -role <role-name> -api /api/cluster/licensing/licenses -access readonly security login rest-role create -role <role-name> -api /api/cluster/nodes -access readonly security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly security login rest-role create -role <role-name> -api /api/network/fc/ports -access readonly security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly security login rest-role create -role <role-name> -api /api/security/accounts -access readonly security login rest-role create -role <role-name> -api /api/security/roles -access readonly security login rest-role create -role <role-name> -api /api/storage/aggregates -access readonly security login rest-role create -role <role-name> -api /api/storage/cluster -access readonly security login rest-role create -role <role-name> -api /api/storage/disks -access readonly security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly security login rest-role create -role <role-name> -api /api/svm/peers -access readonly security login rest-role create -role <role-name> -api /api/svm/svms -access readonly security login rest-role create -role <role-name> -api /api/cluster/metrocluster -access readonly
또한 ONTAP 버전 9.16.0 이상의 경우 다음 명령을 실행합니다.
security login rest-role create -role <role-name> -api /api/storage/storage-units -access all
ONTAP 버전 9.16.1 이상의 ASA R2 시스템의 경우 다음 명령을 실행합니다.
security login rest-role create -role <role-name> -api /api/storage/availability-zones -access readonly
VMware vSphere ONTAP API 기반 SVM 범위 사용자를 위한 ONTAP 툴을 생성합니다
다음 명령을 실행하여 모든 권한을 가진 SVM 범위 사용자를 만듭니다.
security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/volumes -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/luns -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/namespaces -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/cluster -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/security/accounts -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/security/roles -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/svm/peers -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/svm/svms -access readonly -vserver <vserver-name>
또한 ONTAP 버전 9.16.0 이상의 경우 다음 명령을 실행합니다.
security login rest-role create -role <role-name> -api /api/storage/storage-units -access all -vserver <vserver-name>
위에서 생성한 API 기반 역할을 사용하여 새 API 기반 사용자를 생성하려면 다음 명령을 실행합니다.
security login create -user-or-group-name <user-name> -application http -authentication-method password -role <role-name> -vserver <cluster-or-vserver-name>
예:
security login create -user-or-group-name testvpsraall -application http -authentication-method password -role OTV_10_VP_SRA_Discovery_Create_Modify_Destroy -vserver C1_sti160-cluster_
다음 명령을 실행하여 계정 잠금을 해제하고 관리 인터페이스 액세스를 활성화하세요.
security login unlock -user <user-name> -vserver <cluster-or-vserver-name>
예:
security login unlock -username testvpsraall -vserver C1_sti160-cluster
VMware vSphere 10.1 사용자용 ONTAP 툴을 10.3 사용자로 업그레이드합니다
JSON 파일을 사용하여 클러스터 범위 사용자가 생성된 VMware vSphere 10.1 사용자용 ONTAP 툴의 경우, admin Privileges와 함께 다음 ONTAP CLI 명령을 사용하여 10.3 릴리즈로 업그레이드하십시오.
제품 기능:
-
VSC
-
VSC 및 VASA 공급자
-
VSC 및 SRA
-
VSC, VASA 공급자 및 SRA:
클러스터 Privileges:
security login role create -role <existing-role-name> -cmdddirname "vserver NVMe namespace show" -access all
_security login role create -role <existing-role-name> -cmdddirname "vserver NVMe subsystem show" -access all _
_security login role create -role <existing-role-name> -cmdddirname "vserver NVMe 서브시스템 host show" -access all _
security login role create -role <existing-role-name> -cmddirname "vserver NVMe subsystem map show" -access all
_security login role create -role <existing-role-name> -cmddirname "vserver NVMe show -interface" -access read _
security login role create -role <existing-role-name> -cmdddirname "vserver NVMe 하위 시스템 호스트 추가" -access all
security login role create -role <existing-role-name> -cmddirname "vserver NVMe 하위 시스템 맵 add" -access all
_security login role create -role <existing-role-name> -cmdddirname "vserver NVMe namespace delete" -access all _
security login role create -role <existing-role-name> -cmdddirname "vserver NVMe 하위 시스템 삭제" -access all
security login role create -role <existing-role-name> -cmdddirname "vserver NVMe 하위 시스템 호스트 제거" -access all
security login role create -role <existing-role-name> -cmdddirname "vserver NVMe 하위 시스템 맵 제거" -access all
json 파일을 사용하여 생성된 SVM 범위 사용자가 있는 VMware vSphere 10.1 사용자용 ONTAP 툴의 경우 admin 사용자 Privileges의 ONTAP CLI 명령을 사용하여 10.3 릴리즈로 업그레이드하십시오.
SVM Privileges:
security login role create -role <existing-role-name> -cmdddirname "vserver NVMe namespace show" -access all -vserver <vserver-name>
security login role create -role <existing-role-name> -cmdddirname "vserver NVMe subsystem show" -access all -vserver <vserver-name>
security login role create -role <existing-role-name> -cmdddirname "vserver NVMe 하위 시스템 host show" -access all -vserver <vserver-name>
security login role create -role <existing-role-name> -cmddirname "vserver NVMe subsystem map show" -access all -vserver <vserver-name>
security login role create -role <existing-role-name> -cmddirname "vserver NVMe show -interface" -access read -vserver <vserver-name>
security login role create -role <existing-role-name> -cmdddirname "vserver NVMe 하위 시스템 호스트 추가" -access all -vserver <vserver-name>
_security login role create -role <existing-role-name> -cmddirname "vserver NVMe 서브시스템 맵 add" -access all -vserver <vserver-name> _
_security login role create -role <existing-role-name> -cmdddirname "vserver NVMe namespace delete" -access all -vserver <vserver-name> _
security login role create -role <existing-role-name> -cmdddirname "vserver NVMe 하위 시스템 삭제" -access all -vserver <vserver-name>
security login role create -role <existing-role-name> -cmdddirname "vserver NVMe 하위 시스템 호스트 제거" -access all -vserver <vserver-name>
security login role create -role <existing-role-name> -cmdddirname "vserver NVMe 하위 시스템 맵 제거" -access all -vserver <vserver-name>
다음 명령을 활성화하려면 기존 역할에 vserver nvme namespace show 및 vserver nvme subsystem show 명령을 추가합니다.
vserver nvme namespace create vserver nvme namespace modify vserver nvme subsystem create vserver nvme subsystem modify
VMware vSphere 10.3 사용자용 ONTAP 툴을 10.4 사용자로 업그레이드합니다
ONTAP 9.16.1부터 ONTAP tools for VMware vSphere 10.4 사용자로 업그레이드하세요.
JSON 파일과 ONTAP 버전 9.16.1 이상을 사용하여 클러스터 범위 사용자를 생성한 VMware vSphere 10.3 사용자용 ONTAP 툴의 경우 admin user Privileges와 함께 ONTAP CLI 명령을 사용하여 10.4 릴리즈로 업그레이드하십시오.
제품 기능:
-
VSC
-
VSC 및 VASA 공급자
-
VSC 및 SRA
-
VSC, VASA 공급자 및 SRA:
클러스터 Privileges:
security login role create -role <existing-role-name> -cmddirname "storage availability-zone show" -access all