Skip to main content
ONTAP tools for VMware vSphere 10
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurar as funções de usuário do ONTAP e o Privileges

Colaboradores netapp-jani dmp-netapp

Configure funções e privilégios de usuário para backends de armazenamento com o arquivo JSON das ONTAP tools for VMware vSphere e ONTAP System Manager.

Antes de começar
  • Baixe o arquivo de Privileges ONTAP das ONTAP tools for VMware vSphere usando https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip. Depois de baixar o arquivo zip, você encontra dois arquivos JSON. Use o arquivo JSON específico do ASA r2 ao configurar um sistema ASA r2.

    Observação Você pode criar usuários no nível do cluster ou diretamente no nível das máquinas virtuais de armazenamento (SVMs). Se você não usar o arquivo user_roles.json, certifique-se de que o usuário tenha as permissões SVM mínimas necessárias.
  • Efetue login com privilégios de administrador para o backend de armazenamento.

Passos
  1. Extraia o arquivo https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip que você baixou.

  2. Acesse o Gerenciador do sistema do ONTAP usando o endereço IP de gerenciamento de cluster do cluster.

  3. Efetue login no cluster com privilégios de administrador. Para configurar um usuário:

    1. Para configurar um usuário de ferramentas ONTAP do cluster, selecione Cluster > Configurações > painel Usuários e funções.

    2. Para configurar um usuário de ferramentas SVM ONTAP , selecione Storage SVM > Configurações > painel Usuários e funções.

    3. Selecione Adicionar em usuários.

    4. Na caixa de diálogo Adicionar usuário, selecione Produtos de virtualização.

    5. Navegue para selecionar e carregar o arquivo JSON de Privileges do ONTAP . Para sistemas não ASA r2, selecione o arquivo users_roles.json e para sistemas ASA r2, selecione o arquivo users_roles_ASAr2.json.

      As ferramentas ONTAP preenchem automaticamente o campo Produto.

    6. Selecione a capacidade do produto como VSC, VASA Provider e SRA no menu suspenso.

      As ferramentas ONTAP preenchem automaticamente o campo Função com base na capacidade do produto selecionada.

    7. Introduza o nome de utilizador e a palavra-passe necessários.

    8. Selecione os privilégios (Descoberta, Criar armazenamento, Modificar armazenamento, Destruir armazenamento, Função NAS/SAN) que o usuário precisa e, em seguida, selecione Adicionar.

As ferramentas ONTAP adicionam a nova função e usuário. Você pode visualizar os privilégios da função configurada.

Requisitos de mapeamento de agregados da SVM

Ao provisionar datastores usando credenciais de usuário SVM, as ONTAP tools for VMware vSphere criam volumes no agregado especificado na API POST dos datastores. O ONTAP impede que usuários do SVM criem volumes em agregados não mapeados para o SVM. Mapeie o SVM para os agregados necessários usando a API REST ou CLI do ONTAP antes de criar volumes.

API REST:

PATCH "/api/svm/svms/f16f0935-5281-11e8-b94d-005056b46485" '{"aggregates":{"name":["aggr1","aggr2","aggr3"]}}'

CLI do ONTAP:

sti115_vsim_ucs630f_aggr1 vserver show-aggregates                                        AvailableVserver        Aggregate      State         Size Type    SnapLock Type-------------- -------------- ------- ---------- ------- --------------svm_test       sti115_vsim_ucs630f_aggr1                               online     10.11GB vmdisk  non-snaplock

Crie manualmente o usuário e a função do ONTAP

Crie usuários e funções manualmente sem o arquivo JSON.

  1. Acesse o Gerenciador do sistema do ONTAP usando o endereço IP de gerenciamento de cluster do cluster.

  2. Faça login no cluster com admin Privileges.

    1. Para configurar funções de ferramentas ONTAP do cluster, selecione Cluster > Configurações > Usuários e funções.

    2. Para configurar as funções das ferramentas ONTAP do cluster SVM, selecione Storage SVM > Configurações > Usuários e funções.

  3. Criar funções:

    1. Selecione Adicionar na tabela funções.

    2. Insira os detalhes nome da função e atributos da função.

      Adicione o Caminho da API REST e escolha o acesso na lista suspensa.

    3. Adicione todas as APIs necessárias e salve as alterações.

  4. Criar usuários:

    1. Selecione Adicionar na tabela usuários.

    2. Na caixa de diálogo Adicionar usuário, selecione System Manager.

    3. Introduza o Nome de utilizador.

    4. Selecione Role nas opções criadas na etapa Create Roles acima.

    5. Introduza as aplicações a que pretende dar acesso e o método de autenticação. ONTAPI e HTTP são as aplicações necessárias e o tipo de autenticação é Password.

    6. Defina Senha para o usuário e Salvar para o usuário.

Lista de Privileges mínimo necessário para usuário de cluster com escopo global não administrador

Esta seção lista os privilégios mínimos necessários para um usuário de cluster de escopo global não administrador sem um arquivo JSON. Se um cluster estiver no escopo local, use o arquivo JSON para criar usuários porque as ONTAP tools for VMware vSphere precisam de mais do que apenas privilégios de leitura para provisionamento no ONTAP.

Você pode acessar a funcionalidade usando APIs:

API

Nível de acesso

Usado para

/api/cluster

Somente leitura

Descoberta de configuração de cluster

/api/cluster/licenciamento/licenças

Somente leitura

Verificação de licenças específicas de protocolo

/api/cluster/nós

Somente leitura

Descoberta do tipo de plataforma

/api/security/accounts

Somente leitura

Descoberta de privilégios

/api/security/roles

Somente leitura

Descoberta de privilégios

/api/storage/agregados

Somente leitura

Verificação de espaço agregado durante o provisionamento de volume/armazenamento de dados

/api/storage/cluster

Somente leitura

Para obter dados de espaço e eficiência em nível de cluster

/api/storage/discos

Somente leitura

Para obter os discos associados em um agregado

/api/storage/qos/políticas

Ler/criar/Modificar

Gerenciamento de políticas de QoS e VM

/api/svm/svms

Somente leitura

Para obter a configuração do SVM quando o cluster é adicionado localmente.

/api/network/ip/interfaces

Somente leitura

Adicionar backend de armazenamento - Para identificar o escopo do LIF de gerenciamento é cluster/SVM

/api/storage/zonas de disponibilidade

Somente leitura

Descoberta do SAZ. Aplicável à versão ONTAP 9.16.1 em diante e aos sistemas ASA r2.

/api/cluster/metrocluster

Somente leitura

Obtém o status e os detalhes de configuração do MetroCluster .

Crie ferramentas do ONTAP para o usuário com escopo de cluster baseado na API do VMware vSphere ONTAP

Observação Privilégios de descoberta, criação, modificação e destruição são necessários para operações PATCH e reversão automática em armazenamentos de dados. Permissões ausentes podem causar problemas de fluxo de trabalho e limpeza.

Um usuário baseado na API ONTAP com privilégios de descoberta, criação, modificação e destruição pode gerenciar fluxos de trabalho de ferramentas ONTAP .

Para criar um usuário com escopo de cluster com todos os Privileges mencionados acima, execute os seguintes comandos:

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all

security login rest-role create -role <role-name> -api /api/storage/volumes -access all

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all

security login rest-role create -role <role-name> -api /api/storage/luns -access all

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all

security login rest-role create -role <role-name> -api /api/storage/qos/policies -access all

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify

security login rest-role create -role <role-name> -api /api/cluster -access readonly

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly

security login rest-role create -role <role-name> -api /api/cluster/licensing/licenses -access readonly

security login rest-role create -role <role-name> -api /api/cluster/nodes -access readonly

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly

security login rest-role create -role <role-name> -api /api/network/fc/ports -access readonly

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly

security login rest-role create -role <role-name> -api /api/security/roles -access readonly

security login rest-role create -role <role-name> -api /api/storage/aggregates -access readonly

security login rest-role create -role <role-name> -api /api/storage/cluster -access readonly

security login rest-role create -role <role-name> -api /api/storage/disks -access readonly

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly

security login rest-role create -role <role-name> -api /api/cluster/metrocluster -access readonly

Além disso, para o ONTAP versões 9.16.0 e superiores execute o seguinte comando:

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all

Para sistemas ASA R2 no ONTAP versões 9.16.1 e superiores, execute o seguinte comando:

security login rest-role create -role <role-name> -api /api/storage/availability-zones -access readonly

Crie ferramentas do ONTAP para o usuário com escopo SVM baseado na API do VMware vSphere ONTAP

Execute os seguintes comandos para criar um usuário com escopo SVM com todos os privilégios:

security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/volumes -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/luns -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/namespaces -access all -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/accounts -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/security/roles -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/peers -access readonly -vserver <vserver-name>

security login rest-role create -role <role-name> -api /api/svm/svms -access readonly -vserver <vserver-name>

Além disso, para o ONTAP versões 9.16.0 e superiores execute o seguinte comando:

security login rest-role create -role <role-name> -api /api/storage/storage-units -access all -vserver <vserver-name>

Para criar um novo usuário baseado em API usando as funções baseadas em API criadas acima, execute o seguinte comando:

security login create -user-or-group-name <user-name> -application http -authentication-method password -role <role-name> -vserver <cluster-or-vserver-name>

Exemplo:

security login create -user-or-group-name testvpsraall -application http -authentication-method password -role OTV_10_VP_SRA_Discovery_Create_Modify_Destroy -vserver C1_sti160-cluster_

Execute o seguinte comando para desbloquear a conta e habilitar o acesso à interface de gerenciamento:

security login unlock -user <user-name> -vserver <cluster-or-vserver-name>

Exemplo:

security login unlock -username testvpsraall -vserver C1_sti160-cluster

Atualize as ferramentas do ONTAP para o usuário do VMware vSphere 10,1 para o usuário 10,3

Para as ferramentas do ONTAP para usuários do VMware vSphere 10,1 com um usuário com escopo de cluster criado usando o arquivo JSON, use os seguintes comandos da CLI do ONTAP com Privileges de administrador do usuário para atualizar para a versão 10,3.

Para obter recursos do produto:

  • VSC

  • Fornecedor VSC e VASA

  • VSC e SRA

  • VSC, Fornecedor VASA e SRA.

Cluster Privileges -

security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace show" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme sub show" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme system host show" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme sub system map show" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme show-interface" -access read

security login role create -role <existing-role-name> -cmddirname "vserver nvme subystem host add" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subystem map add" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace delete" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subystem delete" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subystem host remove" -access all

security login role create -role <existing-role-name> -cmddirname "vserver nvme subystem map remove" -access all

Para ferramentas do ONTAP para usuário do VMware vSphere 10,1 com um usuário com escopo SVM criado usando o arquivo json, use os comandos da CLI do ONTAP com o usuário admin Privileges para atualizar para a versão 10,3.

SVM Privileges -

security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace show" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme sub show" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme system host show" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme sub system map show" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme show-interface" -access read -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subystem host add" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subystem map add" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace delete" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme sub-element delete" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subystem host remove" -access all -vserver <vserver-name>

security login role create -role <existing-role-name> -cmddirname "vserver nvme subystem map remove" -access all -vserver <vserver-name>

Para habilitar os seguintes comandos, adicione os comandos vserver nvme namespace show e vserver nvme subsystem show à função existente.

vserver nvme namespace create

vserver nvme namespace modify

vserver nvme subsystem create

vserver nvme subsystem modify

Atualize as ferramentas do ONTAP para o usuário do VMware vSphere 10,3 para o usuário 10,4

A partir do ONTAP 9.16.1, atualize as ONTAP tools for VMware vSphere 10.3 para o usuário 10.4.

Para ferramentas do ONTAP para usuário do VMware vSphere 10,3 com um usuário com escopo de cluster criado usando o arquivo JSON e o ONTAP versão 9.16.1 ou superior, use o comando ONTAP CLI com o administrador Privileges para atualizar para a versão 10,4.

Para obter recursos do produto:

  • VSC

  • Fornecedor VSC e VASA

  • VSC e SRA

  • VSC, Fornecedor VASA e SRA.

Cluster Privileges -

security login role create -role <existing-role-name> -cmddirname "storage availability-zone show" -access all