Skip to main content
ONTAP tools for VMware vSphere 9.13
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

ONTAP 스토리지 시스템 및 vSphere 객체에 대한 사용 권한

기여자

ONTAP RBAC(역할 기반 액세스 제어)를 사용하여 특정 스토리지 시스템에 대한 액세스를 제어하고 해당 스토리지 시스템에서 사용자가 수행할 수 있는 작업을 제어할 수 있습니다. VMware vSphere용 ONTAP ® 툴에서 ONTAP RBAC는 vCenter Server RBAC와 함께 사용하여 특정 사용자가 특정 스토리지 시스템의 객체에 대해 수행할 수 있는 ONTAP 툴 작업을 결정합니다.

ONTAP 툴은 ONTAP 툴 내에서 설정한 자격 증명(사용자 이름 및 암호)을 사용하여 각 스토리지 시스템을 인증하고 해당 스토리지 시스템에서 수행할 수 있는 스토리지 작업을 결정합니다. ONTAP 툴은 각 스토리지 시스템에 대해 하나의 자격 증명 세트를 사용합니다. 이러한 자격 증명은 해당 스토리지 시스템에서 수행할 수 있는 ONTAP 툴 작업을 결정합니다. 즉, 개별 ONTAP 툴 사용자가 아닌 ONTAP 툴에 대한 자격 증명입니다.

ONTAP RBAC는 스토리지 시스템 액세스 및 가상 시스템 프로비저닝과 같이 스토리지와 관련된 ONTAP 툴 작업을 수행하는 경우에만 적용됩니다. 특정 스토리지 시스템에 적합한 ONTAP RBAC 권한이 없는 경우 해당 스토리지 시스템에 호스팅된 vSphere 객체에서 작업을 수행할 수 없습니다. ONTAP RBAC를 ONTAP 도구별 권한과 함께 사용하여 사용자가 수행할 수 있는 ONTAP 도구 작업을 제어할 수 있습니다.

  • 스토리지 시스템에 상주하는 스토리지 또는 vCenter Server 객체를 모니터링하고 구성합니다

  • 스토리지 시스템에 상주하는 vSphere 객체를 프로비저닝합니다

ONTAP 툴별 권한과 함께 ONTAP RBAC를 사용하면 스토리지 관리자가 관리할 수 있는 스토리지 중심의 보안 계층을 제공합니다. 따라서 ONTAP RBAC와 단독으로 또는 vCenter Server RBAC가 지원하는 것보다 세분화된 액세스 제어를 사용할 수 있습니다. 예를 들어 vCenter Server RBAC에서 vCenterUserA가 데이터 저장소를 프로비저닝하지 않도록 하면서 NetApp 스토리지에 데이터 저장소를 프로비저닝하도록 설정할 수 있습니다. 특정 스토리지 시스템의 스토리지 시스템 자격 증명이 스토리지 생성을 지원하지 않는 경우 vCenterUserB와 vCenterUserA는 해당 스토리지 시스템에서 데이터 저장소를 프로비저닝할 수 없습니다.

ONTAP 툴 작업을 시작할 때 ONTAP 툴은 먼저 해당 작업에 대한 올바른 vCenter Server 권한이 있는지 확인합니다. vCenter Server 권한이 작업을 수행할 수 있도록 충분하지 않으면 초기 vCenter Server 보안 검사를 통과하지 못했기 때문에 ONTAP 툴이 해당 스토리지 시스템에 대한 ONTAP 권한을 확인하지 않아도 됩니다. 따라서 스토리지 시스템에 액세스할 수 없습니다.

vCenter Server 권한이 충분하면 ONTAP 툴이 스토리지 시스템 자격 증명(사용자 이름 및 암호)과 연결된 ONTAP RBAC 권한(ONTAP 역할)을 확인합니다. 해당 스토리지 시스템에서 ONTAP 툴 작업에 필요한 스토리지 작업을 수행할 수 있는 충분한 권한이 있는지 확인합니다. 올바른 ONTAP 권한이 있는 경우 스토리지 시스템을 액세스하고 ONTAP 툴 작업을 수행할 수 있습니다. ONTAP 역할에 따라 스토리지 시스템에서 수행할 수 있는 ONTAP 툴 작업이 결정됩니다.

각 스토리지 시스템에는 하나의 ONTAP 권한 세트가 연결되어 있습니다.

ONTAP RBAC와 vCenter Server RBAC를 모두 사용하면 다음과 같은 이점이 있습니다.

  • 보안

    관리자는 세분화된 vCenter Server 객체 레벨과 스토리지 시스템 레벨에서 어떤 작업을 수행할 수 있는지 제어할 수 있습니다.

  • 감사 정보

    대부분의 경우 ONTAP 툴은 스토리지 시스템에 대한 감사 추적을 제공하므로 스토리지 수정을 수행한 vCenter Server 사용자에게 이벤트를 다시 추적할 수 있습니다.

  • 사용 편의성

    모든 컨트롤러 자격 증명을 한 곳에서 유지 관리할 수 있습니다.

VMware vSphere용 ONTAP 툴을 사용할 때 권장되는 ONTAP 역할

VMware vSphere 및 역할 기반 액세스 제어(RBAC)에 대한 ONTAP ® 툴로 작업하기 위해 몇 가지 권장되는 ONTAP 역할을 설정할 수 있습니다. 이러한 역할에는 ONTAP 툴 작업에 의해 실행되는 필수 스토리지 작업을 수행하는 데 필요한 ONTAP 권한이 포함되어 있습니다.

새 사용자 역할을 생성하려면 ONTAP를 실행하는 스토리지 시스템에서 관리자로 로그인해야 합니다. ONTAP 시스템 관리자 9.8P1 이상을 사용하여 ONTAP 역할을 생성할 수 있습니다. 을 참조하십시오 "사용자 역할 및 권한을 구성합니다" 를 참조하십시오.

각 ONTAP 역할에는 해당 역할의 자격 증명을 구성하는 연결된 사용자 이름 및 암호 쌍이 있습니다. 이러한 자격 증명을 사용하여 로그인하지 않으면 해당 역할과 연결된 스토리지 작업에 액세스할 수 없습니다.

보안 조치로서 ONTAP 도구별 ONTAP 역할은 계층적으로 정렬됩니다. 즉, 첫 번째 역할이 가장 제한적인 역할이며 가장 기본적인 ONTAP 툴 스토리지 작업 세트와 연관된 권한만 가집니다. 다음 역할에는 자신의 권한과 이전 역할과 연결된 모든 권한이 모두 포함됩니다. 각각의 추가 역할은 지원되는 스토리지 작업과 관련하여 덜 제한적입니다.

다음은 ONTAP 도구를 사용할 때 권장되는 ONTAP RBAC 역할 중 일부입니다. 이러한 역할을 생성한 후에는 가상 시스템 프로비저닝과 같은 스토리지 관련 작업을 수행해야 하는 사용자에게 역할을 할당할 수 있습니다.

  1. 탐색

    이 역할을 통해 스토리지 시스템을 추가할 수 있습니다.

  2. 스토리지 생성

    이 역할을 사용하여 스토리지를 생성할 수 있습니다. 이 역할에는 검색 역할과 연결된 모든 권한도 포함됩니다.

  3. 스토리지 수정

    이 역할을 사용하여 스토리지를 수정할 수 있습니다. 이 역할에는 검색 역할 및 스토리지 생성 역할과 연결된 모든 권한도 포함됩니다.

  4. 스토리지 폐기

    이 역할을 사용하면 스토리지를 제거할 수 있습니다. 이 역할에는 검색 역할, 스토리지 생성 역할 및 스토리지 수정 역할과 연결된 모든 권한도 포함됩니다.

VASA Provider for ONTAP를 사용하는 경우 PBM(정책 기반 관리) 역할도 설정해야 합니다. 이 역할을 통해 스토리지 정책을 사용하여 스토리지를 관리할 수 있습니다. 이 역할을 수행하려면 "Discovery" 역할도 설정해야 합니다.