Configurar as funções de usuário do ONTAP e o Privileges
Configure funções e privilégios de usuário para backends de armazenamento com o arquivo JSON das ONTAP tools for VMware vSphere e ONTAP System Manager.
-
Baixe o arquivo de Privileges ONTAP das ONTAP tools for VMware vSphere usando https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip. Depois de baixar o arquivo zip, você encontra dois arquivos JSON. Use o arquivo JSON específico do ASA r2 ao configurar um sistema ASA r2.
Você pode criar usuários no nível do cluster ou diretamente no nível das máquinas virtuais de armazenamento (SVMs). Se você não usar o arquivo user_roles.json, certifique-se de que o usuário tenha as permissões SVM mínimas necessárias. -
Efetue login com privilégios de administrador para o backend de armazenamento.
-
Extraia o arquivo https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip que você baixou.
-
Acesse o Gerenciador do sistema do ONTAP usando o endereço IP de gerenciamento de cluster do cluster.
-
Efetue login no cluster com privilégios de administrador. Para configurar um usuário:
-
Para configurar um usuário de ferramentas ONTAP do cluster, selecione Cluster > Configurações > painel Usuários e funções.
-
Para configurar um usuário de ferramentas SVM ONTAP , selecione Storage SVM > Configurações > painel Usuários e funções.
-
Selecione Adicionar em usuários.
-
Na caixa de diálogo Adicionar usuário, selecione Produtos de virtualização.
-
Navegue para selecionar e carregar o arquivo JSON de Privileges do ONTAP . Para sistemas não ASA r2, selecione o arquivo users_roles.json e para sistemas ASA r2, selecione o arquivo users_roles_ASAr2.json.
As ferramentas ONTAP preenchem automaticamente o campo Produto.
-
Selecione a capacidade do produto como VSC, VASA Provider e SRA no menu suspenso.
As ferramentas ONTAP preenchem automaticamente o campo Função com base na capacidade do produto selecionada.
-
Introduza o nome de utilizador e a palavra-passe necessários.
-
Selecione os privilégios (Descoberta, Criar armazenamento, Modificar armazenamento, Destruir armazenamento, Função NAS/SAN) que o usuário precisa e, em seguida, selecione Adicionar.
-
As ferramentas ONTAP adicionam a nova função e usuário. Você pode visualizar os privilégios da função configurada.
Requisitos de mapeamento de agregados da SVM
Ao provisionar datastores usando credenciais de usuário SVM, as ONTAP tools for VMware vSphere criam volumes no agregado especificado na API POST dos datastores. O ONTAP impede que usuários do SVM criem volumes em agregados não mapeados para o SVM. Mapeie o SVM para os agregados necessários usando a API REST ou CLI do ONTAP antes de criar volumes.
API REST:
PATCH "/api/svm/svms/f16f0935-5281-11e8-b94d-005056b46485" '{"aggregates":{"name":["aggr1","aggr2","aggr3"]}}'
CLI do ONTAP:
sti115_vsim_ucs630f_aggr1 vserver show-aggregates AvailableVserver Aggregate State Size Type SnapLock Type-------------- -------------- ------- ---------- ------- --------------svm_test sti115_vsim_ucs630f_aggr1 online 10.11GB vmdisk non-snaplock
Crie manualmente o usuário e a função do ONTAP
Crie usuários e funções manualmente sem o arquivo JSON.
-
Acesse o Gerenciador do sistema do ONTAP usando o endereço IP de gerenciamento de cluster do cluster.
-
Faça login no cluster com admin Privileges.
-
Para configurar funções de ferramentas ONTAP do cluster, selecione Cluster > Configurações > Usuários e funções.
-
Para configurar as funções das ferramentas ONTAP do cluster SVM, selecione Storage SVM > Configurações > Usuários e funções.
-
-
Criar funções:
-
Selecione Adicionar na tabela funções.
-
Insira os detalhes nome da função e atributos da função.
Adicione o Caminho da API REST e escolha o acesso na lista suspensa.
-
Adicione todas as APIs necessárias e salve as alterações.
-
-
Criar usuários:
-
Selecione Adicionar na tabela usuários.
-
Na caixa de diálogo Adicionar usuário, selecione System Manager.
-
Introduza o Nome de utilizador.
-
Selecione Role nas opções criadas na etapa Create Roles acima.
-
Introduza as aplicações a que pretende dar acesso e o método de autenticação. ONTAPI e HTTP são as aplicações necessárias e o tipo de autenticação é Password.
-
Defina Senha para o usuário e Salvar para o usuário.
-
Lista de Privileges mínimo necessário para usuário de cluster com escopo global não administrador
Esta seção lista os privilégios mínimos necessários para um usuário de cluster de escopo global não administrador sem um arquivo JSON. Se um cluster estiver no escopo local, use o arquivo JSON para criar usuários porque as ONTAP tools for VMware vSphere precisam de mais do que apenas privilégios de leitura para provisionamento no ONTAP.
Você pode acessar a funcionalidade usando APIs:
API |
Nível de acesso |
Usado para |
/api/cluster |
Somente leitura |
Descoberta de configuração de cluster |
/api/cluster/licenciamento/licenças |
Somente leitura |
Verificação de licenças específicas de protocolo |
/api/cluster/nós |
Somente leitura |
Descoberta do tipo de plataforma |
/api/security/accounts |
Somente leitura |
Descoberta de privilégios |
/api/security/roles |
Somente leitura |
Descoberta de privilégios |
/api/storage/agregados |
Somente leitura |
Verificação de espaço agregado durante o provisionamento de volume/armazenamento de dados |
/api/storage/cluster |
Somente leitura |
Para obter dados de espaço e eficiência em nível de cluster |
/api/storage/discos |
Somente leitura |
Para obter os discos associados em um agregado |
/api/storage/qos/políticas |
Ler/criar/Modificar |
Gerenciamento de políticas de QoS e VM |
/api/svm/svms |
Somente leitura |
Para obter a configuração do SVM quando o cluster é adicionado localmente. |
/api/network/ip/interfaces |
Somente leitura |
Adicionar backend de armazenamento - Para identificar o escopo do LIF de gerenciamento é cluster/SVM |
/api/storage/zonas de disponibilidade |
Somente leitura |
Descoberta do SAZ. Aplicável à versão ONTAP 9.16.1 em diante e aos sistemas ASA r2. |
/api/cluster/metrocluster |
Somente leitura |
Obtém o status e os detalhes de configuração do MetroCluster . |
Crie ferramentas do ONTAP para o usuário com escopo de cluster baseado na API do VMware vSphere ONTAP
|
Privilégios de descoberta, criação, modificação e destruição são necessários para operações PATCH e reversão automática em armazenamentos de dados. Permissões ausentes podem causar problemas de fluxo de trabalho e limpeza. |
Um usuário baseado na API ONTAP com privilégios de descoberta, criação, modificação e destruição pode gerenciar fluxos de trabalho de ferramentas ONTAP .
Para criar um usuário com escopo de cluster com todos os Privileges mencionados acima, execute os seguintes comandos:
security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all security login rest-role create -role <role-name> -api /api/storage/volumes -access all security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all security login rest-role create -role <role-name> -api /api/storage/luns -access all security login rest-role create -role <role-name> -api /api/storage/namespaces -access all security login rest-role create -role <role-name> -api /api/storage/qos/policies -access all security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify security login rest-role create -role <role-name> -api /api/cluster -access readonly security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly security login rest-role create -role <role-name> -api /api/cluster/licensing/licenses -access readonly security login rest-role create -role <role-name> -api /api/cluster/nodes -access readonly security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly security login rest-role create -role <role-name> -api /api/network/fc/ports -access readonly security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly security login rest-role create -role <role-name> -api /api/security/accounts -access readonly security login rest-role create -role <role-name> -api /api/security/roles -access readonly security login rest-role create -role <role-name> -api /api/storage/aggregates -access readonly security login rest-role create -role <role-name> -api /api/storage/cluster -access readonly security login rest-role create -role <role-name> -api /api/storage/disks -access readonly security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly security login rest-role create -role <role-name> -api /api/svm/peers -access readonly security login rest-role create -role <role-name> -api /api/svm/svms -access readonly security login rest-role create -role <role-name> -api /api/cluster/metrocluster -access readonly
Além disso, para o ONTAP versões 9.16.0 e superiores execute o seguinte comando:
security login rest-role create -role <role-name> -api /api/storage/storage-units -access all
Para sistemas ASA R2 no ONTAP versões 9.16.1 e superiores, execute o seguinte comando:
security login rest-role create -role <role-name> -api /api/storage/availability-zones -access readonly
Crie ferramentas do ONTAP para o usuário com escopo SVM baseado na API do VMware vSphere ONTAP
Execute os seguintes comandos para criar um usuário com escopo SVM com todos os privilégios:
security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/volumes -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/luns -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/namespaces -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/cluster -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/security/accounts -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/security/roles -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/svm/peers -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/svm/svms -access readonly -vserver <vserver-name>
Além disso, para o ONTAP versões 9.16.0 e superiores execute o seguinte comando:
security login rest-role create -role <role-name> -api /api/storage/storage-units -access all -vserver <vserver-name>
Para criar um novo usuário baseado em API usando as funções baseadas em API criadas acima, execute o seguinte comando:
security login create -user-or-group-name <user-name> -application http -authentication-method password -role <role-name> -vserver <cluster-or-vserver-name>
Exemplo:
security login create -user-or-group-name testvpsraall -application http -authentication-method password -role OTV_10_VP_SRA_Discovery_Create_Modify_Destroy -vserver C1_sti160-cluster_
Execute o seguinte comando para desbloquear a conta e habilitar o acesso à interface de gerenciamento:
security login unlock -user <user-name> -vserver <cluster-or-vserver-name>
Exemplo:
security login unlock -username testvpsraall -vserver C1_sti160-cluster
Atualize as ferramentas do ONTAP para o usuário do VMware vSphere 10,1 para o usuário 10,3
Para as ferramentas do ONTAP para usuários do VMware vSphere 10,1 com um usuário com escopo de cluster criado usando o arquivo JSON, use os seguintes comandos da CLI do ONTAP com Privileges de administrador do usuário para atualizar para a versão 10,3.
Para obter recursos do produto:
-
VSC
-
Fornecedor VSC e VASA
-
VSC e SRA
-
VSC, Fornecedor VASA e SRA.
Cluster Privileges -
security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace show" -access all
security login role create -role <existing-role-name> -cmddirname "vserver nvme sub show" -access all
security login role create -role <existing-role-name> -cmddirname "vserver nvme system host show" -access all
security login role create -role <existing-role-name> -cmddirname "vserver nvme sub system map show" -access all
security login role create -role <existing-role-name> -cmddirname "vserver nvme show-interface" -access read
security login role create -role <existing-role-name> -cmddirname "vserver nvme subystem host add" -access all
security login role create -role <existing-role-name> -cmddirname "vserver nvme subystem map add" -access all
security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace delete" -access all
security login role create -role <existing-role-name> -cmddirname "vserver nvme subystem delete" -access all
security login role create -role <existing-role-name> -cmddirname "vserver nvme subystem host remove" -access all
security login role create -role <existing-role-name> -cmddirname "vserver nvme subystem map remove" -access all
Para ferramentas do ONTAP para usuário do VMware vSphere 10,1 com um usuário com escopo SVM criado usando o arquivo json, use os comandos da CLI do ONTAP com o usuário admin Privileges para atualizar para a versão 10,3.
SVM Privileges -
security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace show" -access all -vserver <vserver-name>
security login role create -role <existing-role-name> -cmddirname "vserver nvme sub show" -access all -vserver <vserver-name>
security login role create -role <existing-role-name> -cmddirname "vserver nvme system host show" -access all -vserver <vserver-name>
security login role create -role <existing-role-name> -cmddirname "vserver nvme sub system map show" -access all -vserver <vserver-name>
security login role create -role <existing-role-name> -cmddirname "vserver nvme show-interface" -access read -vserver <vserver-name>
security login role create -role <existing-role-name> -cmddirname "vserver nvme subystem host add" -access all -vserver <vserver-name>
security login role create -role <existing-role-name> -cmddirname "vserver nvme subystem map add" -access all -vserver <vserver-name>
security login role create -role <existing-role-name> -cmddirname "vserver nvme namespace delete" -access all -vserver <vserver-name>
security login role create -role <existing-role-name> -cmddirname "vserver nvme sub-element delete" -access all -vserver <vserver-name>
security login role create -role <existing-role-name> -cmddirname "vserver nvme subystem host remove" -access all -vserver <vserver-name>
security login role create -role <existing-role-name> -cmddirname "vserver nvme subystem map remove" -access all -vserver <vserver-name>
Para habilitar os seguintes comandos, adicione os comandos vserver nvme namespace show e vserver nvme subsystem show à função existente.
vserver nvme namespace create vserver nvme namespace modify vserver nvme subsystem create vserver nvme subsystem modify
Atualize as ferramentas do ONTAP para o usuário do VMware vSphere 10,3 para o usuário 10,4
A partir do ONTAP 9.16.1, atualize as ONTAP tools for VMware vSphere 10.3 para o usuário 10.4.
Para ferramentas do ONTAP para usuário do VMware vSphere 10,3 com um usuário com escopo de cluster criado usando o arquivo JSON e o ONTAP versão 9.16.1 ou superior, use o comando ONTAP CLI com o administrador Privileges para atualizar para a versão 10,4.
Para obter recursos do produto:
-
VSC
-
Fornecedor VSC e VASA
-
VSC e SRA
-
VSC, Fornecedor VASA e SRA.
Cluster Privileges -
security login role create -role <existing-role-name> -cmddirname "storage availability-zone show" -access all