如果要在适用于 VMware vSphere 的 ONTAP® 工具中使用基于角色的访问控制,则必须在存储系统上配置 ONTAP 基于角色的访问控制 (Role-Based Access Control, RBAC) 功能。您可以使用 ONTAP 的 RBAC 功能创建一个或多个具有有限访问特权的自定义用户帐户。
VSC 和 SRA 可以在集群级别或 Storage Virtual Machine (SVM) SVM 级别访问存储系统。如果要在集群级别添加存储系统,则必须提供管理员用户的凭据,以提供所需的全部功能。如果要通过直接添加 SVM 详细信息来添加存储系统,请务必注意,vsadmin
用户不具有执行某些任务所需的所有角色和功能。
VASA Provider 只能在集群级别访问存储系统。如果某个存储控制器需要 VASA Provider,则必须在集群级别将该存储系统添加到 VSC 中,即便正在使用 VSC 或 SRA 也是如此。
要创建新用户并将集群或 SVM 连接到 ONTAP 工具,您应执行以下操作:
适用于 VMware vSphere 的 VSC、VASA Provider 和 Storage Replication Adapter 7.0 的 RBAC User Creator 工具
您需要使用这些存储系统凭据来为 VSC 配置存储系统。您可以通过在 VSC 中输入凭据来为 VSC 配置存储系统。每次使用这些凭据登录到存储系统时,您都将有权访问创建这些凭据时在 ONTAP 中设置的 VSC 功能。
VSC 会将 ONTAP 特权分为以下几组 VSC 角色:
用于发现所有已连接的存储控制器
用于创建卷和逻辑单元号 (Logical Unit Number, LUN)
用于对存储系统执行大小调整和重复数据删除
用于销毁卷和 LUN
您只能在集群级别创建基于策略的管理。通过此角色,可以使用存储功能配置文件对存储实施基于策略的管理。
SRA 会在集群级别或 SVM 级别将 ONTAP 特权分为 SAN 或 NAS 角色。这样,用户便可运行 SRM 操作。
在将集群添加到 VSC 时,VSC 会对 ONTAP RBAC 角色执行初始特权验证。如果您添加的是直接 SVM 存储 IP,则 VSC 不会执行此初始验证, 而是稍后在任务工作流检查并强制实施特权。