适用于 VMware vSphere 的 SnapCenter 插件用户的 RBAC 类型
如果您使用的是适用于 VMware vSphere 的 SnapCenter 插件,则 vCenter Server 会提供一个额外级别的 RBAC 。此插件同时支持 vCenter Server RBAC 和 ONTAP RBAC 。
vCenter Server RBAC
此安全机制适用于适用于VMware vSphere的SnapCenter插件执行的所有作业、其中包括VM一致的、VM崩溃状态一致的和SnapCenter Server应用程序一致的(基于VMDK的应用程序)作业。此级别的RBAC限制vSphere用户对虚拟机(VM)和数据存储库等vSphere对象执行适用于VMware vSphere的SnapCenter插件任务的能力。
在部署适用于VMware vSphere的SnapCenter插件时、会为vCenter上的SnapCenter操作创建以下角色:
sCV 管理员
SCV 备份
SCV 子文件还原
SCV 还原
SCV 视图
vSphere 管理员通过执行以下操作来设置 vCenter Server RBAC :
-
在根对象(也称为根文件夹)上设置 vCenter Server 权限。然后,您可以通过限制不需要这些权限的子实体来细化安全性。
-
将 SCV 角色分配给 Active Directory 用户。
所有用户必须至少能够查看 vCenter 对象。如果没有此权限、用户将无法访问VMware vSphere客户端GUI。
ONTAP RBAC
此安全机制仅适用于 SnapCenter 服务器应用程序一致(基于 VMDK 的应用程序)作业。此级别限制了 SnapCenter 在特定存储系统上执行特定存储操作的能力,例如为数据存储库备份存储。
使用以下工作流设置 ONTAP 和 SnapCenter RBAC :
-
存储管理员使用必要的特权在 Storage VM 上创建一个角色。
-
然后,存储管理员将该角色分配给存储用户。
-
SnapCenter 管理员使用该存储用户名将此 Storage VM 添加到 SnapCenter 服务器。
-
然后, SnapCenter 管理员将角色分配给 SnapCenter 用户。
RBAC 权限的验证工作流
下图概述了 RBAC 权限( vCenter 和 ONTAP )的验证工作流: