如何为适用于 VMware vSphere 的 VSC 配置 ONTAP 基于角色的访问控制

如果要在适用于 VMware vSphere 的 Virtual Storage Console (VSC) 中使用基于角色的访问控制,则必须在存储系统上配置 ONTAP 基于角色的访问控制 (Role-Based Access Control, RBAC) 功能。您可以使用 ONTAP 的 RBAC 功能创建一个或多个具有有限访问特权的自定义用户帐户。

VSC 和 SRA 可以在集群级别或 Storage Virtual Machine (SVM) SVM 级别访问存储系统。如果要在集群级别添加存储系统,则必须提供管理员用户的凭据,以提供所需的全部功能。如果要通过直接添加 SVM 详细信息来添加存储系统,请务必注意,vsadmin 用户不具有执行某些任务所需的所有角色和功能。

VASA Provider 只能在集群级别访问存储系统。如果某个存储控制器需要 VASA Provider,则必须在集群级别将该存储系统添加到 VSC 中,即便正在使用 VSC 或 SRA 也是如此。

要创建新用户并将集群或 SVM 连接到 VSC、VASA Provider 和 SRA,您应执行以下操作:

VSC 角色

VSC 会将 ONTAP 特权分为以下几组 VSC 角色:

VASA Provider 角色

您只能在集群级别创建基于策略的管理。通过此角色,可以使用存储功能配置文件对存储实施基于策略的管理。

SRA 角色

SRA 会在集群级别或 SVM 级别将 ONTAP 特权分为 SAN 或 NAS 角色。这样,用户便可运行 SRM 操作。

注: 要使用 ONTAP 命令手动配置角色和特权,必须参考 NetApp 知识库文章。

在将集群添加到 VSC 时,VSC 会对 ONTAP RBAC 角色执行初始特权验证。如果您添加的是直接 SVM 存储 IP,则 VSC 不会执行此初始验证,而是稍后在任务工作流检查并强制实施特权。