配置ONTAP用户角色和权限
使用ONTAP tools for VMware vSphere和ONTAP System Manager 的 ONTAP 工具中的 JSON 文件为存储后端配置用户角色和权限。
-
使用 https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip 从ONTAP tools for VMware vSphere下载ONTAPPrivileges文件。下载 zip 文件后,您会发现两个 JSON 文件。配置ASA r2 系统时使用ASA r2 特定的 JSON 文件。
您可以在集群级别或直接在存储虚拟机 (SVM) 级别创建用户。如果您不使用 user_roles.json 文件,请确保用户具有所需的最低 SVM 权限。 -
以存储后端的管理员权限登录。
-
提取您下载的 https://<ONTAPtoolsIP>:8443/virtualization/user-privileges/users_roles.zip 文件。
-
使用集群的集群管理IP地址访问ONTAP系统管理器。
-
使用管理员权限登录集群。要配置用户:
-
要配置集群ONTAP工具用户,请选择 集群 > 设置 > *用户和角色*窗格。
-
要配置 SVM ONTAP工具用户,请选择“存储 SVM”>“设置”>“用户和角色”窗格。
-
在“用户”下选择*Add*。
-
在*添加用户*对话框中、选择*虚拟化产品*。
-
*浏览*选择并上传ONTAPPrivilegesJSON 文件。对于非ASA r2 系统,选择 users_roles.json 文件;对于ASA r2 系统,选择 users_roles_ASAr2.json 文件。
ONTAP工具会自动填充产品字段。
-
从下拉菜单中选择产品功能为*VSC、VASA Provider 和 SRA*。
ONTAP工具会根据您选择的产品功能自动填充 角色 字段。
-
输入所需的用户名和密码。
-
选择用户需要的权限(发现、创建存储、修改存储、销毁存储、NAS/SAN 角色),然后选择*添加*。
-
ONTAP工具添加了新的角色和用户。您可以查看您配置的角色下的权限。
SVM聚合映射要求
使用 SVM 用户凭据配置数据存储库时,ONTAP tools for VMware vSphere在数据存储库 POST API 中指定的聚合上创建卷。 ONTAP阻止 SVM 用户在未映射到 SVM 的聚合上创建卷。在创建卷之前,使用ONTAP REST API 或 CLI 将 SVM 映射到所需的聚合。
REST API:
PATCH "/api/svm/svms/f16f0935-5281-11e8-b94d-005056b46485" '{"aggregates":{"name":["aggr1","aggr2","aggr3"]}}'
ONTAP命令行界面:
sti115_vsim_ucs630f_aggr1 vserver show-aggregates AvailableVserver Aggregate State Size Type SnapLock Type-------------- -------------- ------- ---------- ------- --------------svm_test sti115_vsim_ucs630f_aggr1 online 10.11GB vmdisk non-snaplock
手动创建ONTAP用户和角色
无需 JSON 文件即可手动创建用户和角色。
-
使用集群的集群管理IP地址访问ONTAP系统管理器。
-
使用管理Privileges登录到集群。
-
要配置集群ONTAP工具角色,请选择 集群 > 设置 > 用户和角色。
-
要配置集群 SVM ONTAP工具角色,请选择 存储 SVM > 设置 > 用户和角色。
-
-
创建角色:
-
在*roles*表下选择*Add*。
-
输入*角色名称*和*角色属性*详细信息。
添加*REST API 路径*并从下拉列表中选择访问权限。
-
添加所有所需的API并保存更改。
-
-
创建用户:
-
在*USERS*表下选择*ADD*。
-
在*添加用户*对话框中,选择*系统管理器*。
-
输入*用户名*。
-
从上面的*Create Roles*步骤中创建的选项中选择*Role*。
-
输入要授予访问权限的应用程序和身份验证方法。ONTAPI和HTTP是必需的应用程序,并且身份验证类型为*Password*。
-
设置*用户密码*和*保存*用户。
-
非管理员全局范围集群用户所需的最低权限列表
本节列出了没有 JSON 文件的非管理员全局范围集群用户所需的最低权限。如果集群处于本地范围内,请使用 JSON 文件创建用户,因为适用ONTAP tools for VMware vSphere需要的不仅仅是在ONTAP上进行配置的读取权限。
您可以使用 API 访问功能:
API |
访问级别 |
用于 |
/API/cluster |
只读 |
集群配置发现 |
/API/cluster-licensing /许可证 |
只读 |
许可证检查协议特定的许可证 |
/API/cluster-node |
只读 |
平台类型发现 |
/api/安全性/帐户 |
只读 |
特权发现 |
/api/安全性/角色 |
只读 |
特权发现 |
/API/storage/Aggregates |
只读 |
数据存储/卷配置期间的聚合空间检查 |
/API/storage/cluster |
只读 |
获取集群级别空间和效率数据 |
/API/storage/disks |
只读 |
获取聚合中关联的磁盘 |
/API/storage/QoS/策略 |
读取/创建/修改 |
QoS 和 VM 策略管理 |
/apI/SVM/SVM |
只读 |
在本地添加集群时获取 SVM 配置。 |
/API/network/IP/接口 |
只读 |
添加存储后端 - 确定管理 LIF 范围是集群/SVM |
/API/storage/availability分区 |
只读 |
SAZ 发现。适用于ONTAP 9.16.1 及更高版本和ASA r2 系统。 |
/api/cluster/metrocluster |
只读 |
获取MetroCluster状态和配置详细信息。 |
为基于VMware vSphere ONTAP API的集群范围用户创建ONTAP工具
|
PATCH 操作和数据存储上的自动回滚需要发现、创建、修改和销毁权限。缺少权限可能会导致工作流程和清理问题。 |
具有发现、创建、修改和销毁权限的基于ONTAP API 的用户可以管理ONTAP工具工作流。
要使用上述所有Privileges创建集群范围的用户、请运行以下命令:
security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all security login rest-role create -role <role-name> -api /api/storage/volumes -access all security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all security login rest-role create -role <role-name> -api /api/storage/luns -access all security login rest-role create -role <role-name> -api /api/storage/namespaces -access all security login rest-role create -role <role-name> -api /api/storage/qos/policies -access all security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify security login rest-role create -role <role-name> -api /api/cluster -access readonly security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly security login rest-role create -role <role-name> -api /api/cluster/licensing/licenses -access readonly security login rest-role create -role <role-name> -api /api/cluster/nodes -access readonly security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly security login rest-role create -role <role-name> -api /api/network/fc/ports -access readonly security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly security login rest-role create -role <role-name> -api /api/security/accounts -access readonly security login rest-role create -role <role-name> -api /api/security/roles -access readonly security login rest-role create -role <role-name> -api /api/storage/aggregates -access readonly security login rest-role create -role <role-name> -api /api/storage/cluster -access readonly security login rest-role create -role <role-name> -api /api/storage/disks -access readonly security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly security login rest-role create -role <role-name> -api /api/svm/peers -access readonly security login rest-role create -role <role-name> -api /api/svm/svms -access readonly security login rest-role create -role <role-name> -api /api/cluster/metrocluster -access readonly
此外、对于ONTAP 9.16.0及更高版本、请运行以下命令:
security login rest-role create -role <role-name> -api /api/storage/storage-units -access all
对于ASA ONTAP R2系统上的9.16.1及更高版本、运行以下命令:
security login rest-role create -role <role-name> -api /api/storage/availability-zones -access readonly
为基于VMware vSphere ONTAP API的SVM范围的用户创建ONTAP工具
运行以下命令创建具有所有权限的 SVM 范围用户:
security login rest-role create -role <role-name> -api /api/application/consistency-groups -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/private/cli/snapmirror -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/nfs/export-policies -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystem-maps -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/nvme/subsystems -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/san/igroups -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/san/lun-maps -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/san/vvol-bindings -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/snapmirror/relationships -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/volumes -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api "/api/storage/volumes/*/snapshots" -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/luns -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/namespaces -access all -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/cluster/schedules -access read_create -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/snapmirror/policies -access read_create -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/file/clone -access read_create -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/file/copy -access read_create -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/support/ems/application-logs -access read_create -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/nfs/services -access read_modify -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/cluster -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/cluster/jobs -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/cluster/peers -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/name-services/name-mappings -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/network/ethernet/ports -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/network/fc/interfaces -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/network/fc/logins -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/network/ip/interfaces -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/nfs/kerberos/interfaces -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/nvme/interfaces -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/san/fcp/services -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/protocols/san/iscsi/services -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/security/accounts -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/security/roles -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/qtrees -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/quota/reports -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/storage/snapshot-policies -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/svm/peers -access readonly -vserver <vserver-name> security login rest-role create -role <role-name> -api /api/svm/svms -access readonly -vserver <vserver-name>
此外、对于ONTAP 9.16.0及更高版本、请运行以下命令:
security login rest-role create -role <role-name> -api /api/storage/storage-units -access all -vserver <vserver-name>
要使用上述基于API创建的角色创建基于API的新用户、请运行以下命令:
security login create -user-or-group-name <user-name> -application http -authentication-method password -role <role-name> -vserver <cluster-or-vserver-name>
示例
security login create -user-or-group-name testvpsraall -application http -authentication-method password -role OTV_10_VP_SRA_Discovery_Create_Modify_Destroy -vserver C1_sti160-cluster_
运行以下命令解锁帐户并启用管理界面访问:
security login unlock -user <user-name> -vserver <cluster-or-vserver-name>
示例
security login unlock -username testvpsraall -vserver C1_sti160-cluster
将适用于VMware vSphere 10.1用户的ONTAP工具升级到10.3用户
对于使用JSON文件创建了集群范围用户的适用于VMware vSphere 10.1的ONTAP工具用户、请对用户admin Privileges使用以下ONTAP命令行界面命令升级到10.3版。
对于产品功能:
-
VSC
-
VSC和VASA Provider
-
VSC和SRA
-
VSC、VASA Provider和SRA。
集群Privileges:
security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve"-access all
security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem show"-access all
security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem host show"-access all
security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem map show"-access all
security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve sho-interface"-access read
security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem host add"-access all
security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem map add"-access all
security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve"-access all
security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem delete"-access all
security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem host remove"-access all
security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem map remove"-access all
对于使用json文件创建了SVM范围的用户的适用于VMware vSphere 10.1的ONTAP工具用户、请对管理员用户Privileges使用ONTAP命令行界面命令升级到10.3版。
SVM Privileges:
security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve"-access all -vserver nve<vserver-name>
security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem show"-access all -vserver nv<vserver-name>
security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem host show"-access all -vserver nv<vserver-name>
security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem map show"-access all -vserver nv<vserver-name>
security login Role create -Role <existing-role-name>-cmddirname "vserver nve sho-interface"-access read -vserver nv<vserver-name>
security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem host add"-access all -vserver nv<vserver-name>
security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem map add"-access all -vserver nv<vserver-name>
security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve"-access all -vserver nve<vserver-name>
security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem delete"-access all -vserver nv<vserver-name>
security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem host remove"-access all -vserver nv<vserver-name>
security login Role create -Role <existing-role-name> nve -cmddirname "vserver nve subsystem map remove"-access all -vserver nv<vserver-name>
要启用以下命令,请将命令 vserver nvme namespace show 和 vserver nvme subset show 添加到现有角色。
vserver nvme namespace create vserver nvme namespace modify vserver nvme subsystem create vserver nvme subsystem modify
将适用于VMware vSphere 10.3用户的ONTAP工具升级到10.4用户
从ONTAP 9.16.1 开始,将ONTAP tools for VMware vSphere升级到 10.4 用户。
如果适用于VMware vSphere 10.3的ONTAP工具用户的集群范围用户是使用JSON文件和ONTAP 9.16.1或更高版本创建的、请对管理员用户Privileges使用ONTAP命令行界面命令升级到10.4版本。
对于产品功能:
-
VSC
-
VSC和VASA Provider
-
VSC和SRA
-
VSC、VASA Provider和SRA。
集群Privileges:
security login role create -role <existing-role-name> -cmddirname "storage availability-zone show" -access all