ONTAP 存储系统和 vSphere 对象的权限
通过 ONTAP 基于角色的访问控制( Role-Based Access Control , RBAC ),您可以控制对特定存储系统的访问,并控制用户可以对这些存储系统执行的操作。在适用于 VMware vSphere 的 ONTAP ® 工具中, ONTAP RBAC 可与 vCenter Server RBAC 结合使用,以确定特定用户可以对特定存储系统上的对象执行哪些虚拟存储控制台( VSC )任务。
VSC 使用您在 VSC 中设置的凭据(用户名和密码)对每个存储系统进行身份验证,并确定可以对该存储系统执行哪些存储操作。VSC 会为每个存储系统使用一组凭据。这些凭据决定了可以对该存储系统执行哪些 VSC 任务;换言之,这些凭据适用于 VSC ,而不是适用于单个 VSC 用户。
ONTAP RBAC 仅适用于访问存储系统以及执行与存储相关的 VSC 任务,例如配置虚拟机。如果您对特定存储系统没有适当的 ONTAP RBAC 特权,则无法对该存储系统上托管的 vSphere 对象执行任何任务。您可以将 ONTAP RBAC 与 VSC 专用特权结合使用来控制用户可以执行的 VSC 任务:
-
监控和配置存储系统上的存储或 vCenter Server 对象
-
配置存储系统上的 vSphere 对象
使用具有 VSC 专用权限的 ONTAP RBAC 可提供一个面向存储的安全层,存储管理员可以对其进行管理。因此,与单独的 ONTAP RBAC 或单独的 vCenter Server RBAC 相比,您可以更精细地控制访问。例如,使用 vCenter Server RBAC 时,您可以允许 vCenterUserB 在 NetApp 存储上配置数据存储库,同时防止 vCenterUserA 配置数据存储库。如果特定存储系统的存储系统凭据不支持创建存储,则 vCenterUserB 和 vCenterUserA 都无法在该存储系统上配置数据存储库。
启动 VSC 任务时, VSC 会首先验证您是否具有执行此任务的正确 vCenter Server 权限。如果 vCenter Server 权限不足以执行此任务,则 VSC 不必检查该存储系统的 ONTAP 权限,因为您未通过初始 vCenter Server 安全检查。因此,您无法访问存储系统。
如果 vCenter Server 权限足够,则 VSC 会检查与存储系统凭据(用户名和密码)关联的 ONTAP RBAC 特权(您的 ONTAP 角色) 确定您是否具有足够的权限来对该存储系统执行该 VSC 任务所需的存储操作。如果您具有正确的 ONTAP 权限,则可以访问存储系统并执行 VSC 任务。ONTAP 角色决定了您可以对存储系统执行的 VSC 任务。
每个存储系统都有一组关联的 ONTAP 特权。
同时使用 ONTAP RBAC 和 vCenter Server RBAC 具有以下优势:
-
安全性
管理员可以控制哪些用户可以在细化的 vCenter Server 对象级别和存储系统级别执行哪些任务。
-
审核信息
在许多情况下, VSC 会在存储系统上提供审核跟踪,使您能够将事件追溯到执行存储修改的 vCenter Server 用户。
-
可用性
您可以在一个位置维护所有控制器凭据。
使用适用于 VMware vSphere 的 ONTAP 工具时的建议 ONTAP 角色
您可以设置多个建议的 ONTAP 角色,以便使用适用于 VMware vSphere 的 ONTAP ® 工具和基于角色的访问控制( Role-Based Access Control , RBAC )。这些角色包含执行虚拟存储控制台( VSC )任务所需的存储操作所需的 ONTAP 特权。
要创建新的用户角色,您必须以管理员身份登录到运行 ONTAP 的存储系统。您可以使用以下方法之一创建 ONTAP 角色:
-
ONTAP System Manager 9.7 或更高版本
每个 ONTAP 角色都有一个关联的用户名和密码对,这两个用户名和密码对构成了该角色的凭据。如果不使用这些凭据登录,则无法访问与此角色关联的存储操作。
作为一项安全措施, VSC 专用的 ONTAP 角色按分层结构排序。这意味着,第一个角色的限制性最强,并且只具有与一组最基本的 VSC 存储操作关联的特权。下一个角色既包括自己的特权,也包括与上一个角色关联的所有特权。对于支持的存储操作,每个附加角色的限制性都较低。
以下是使用 VSC 时建议使用的一些 ONTAP RBAC 角色。创建这些角色后,您可以将这些角色分配给必须执行与存储相关的任务的用户,例如配置虚拟机。
-
发现
通过此角色,您可以添加存储系统。
-
创建存储
使用此角色可以创建存储。此角色还包括与发现角色关联的所有特权。
-
修改存储
使用此角色可以修改存储。此角色还包括与发现角色和创建存储角色关联的所有特权。
-
销毁存储
使用此角色可以销毁存储。此角色还包括与发现角色,创建存储角色和修改存储角色关联的所有特权。
如果您使用的是适用于 ONTAP 的 VASA Provider ,则还应设置基于策略的管理( Policy-Based Management , PBM )角色。通过此角色,您可以使用存储策略管理存储。此角色还要求您设置 Discovery
角色。