使用 vCenter Server RBAC 搭配適用於 VMware vSphere 10 的 ONTAP 工具
建議變更
PDF
在正式作業環境中使用 VMware vSphere 10 RBAC 實作的 ONTAP 工具有幾個層面,您應該先考慮這些層面。
vCenter 角色和管理員帳戶
如果您想要限制 vSphere 物件和相關管理工作的存取,只需定義和使用自訂 vCenter Server 角色。如果不需要限制存取,您可以改用系統管理員帳戶。每個系統管理員帳戶都是以物件階層最上層的系統管理員角色來定義。這可讓您完整存取 vSphere 物件,包括 ONTAP 工具為 VMware vSphere 10 新增的物件。
vSphere 物件階層架構
vSphere 物件詳細目錄是以階層架構來組織。例如,您可以依照下列方式向下移動階層:
vCenter Server-→ -→ -→ -→ Datacenter -→ Cluster -→ -→ ESXi host Virtual Machine
所有權限都會在 vSphere 物件階層中驗證,但 VAAI 外掛程式作業除外,這些作業會針對目標 ESXi 主機進行驗證。
適用於 VMware vSphere 10 的 ONTAP 工具隨附的角色
為了簡化使用 vCenter Server RBAC 的過程,適用於 VMware vSphere 的 ONTAP 工具可針對各種管理工作提供預先定義的角色。
|
您可以視需要建立新的自訂角色。在這種情況下,您應該複製其中一個現有的 ONTAP 工具角色,並視需要進行編輯。變更組態後,受影響的 vSphere 用戶端使用者必須登出並重新登入,才能啟動變更。 |
若要查看ONTAP tools for VMware vSphere,請在 vSphere Client 頂部選擇“選單”,然後按一下左側的“管理”,再按一下“角色”。指派給負責部署或啟用 vCenter 的 vCenter 使用者的角色必須包含下列權限。請確保將這些權限配置為部署或入職流程的先決條件。
-
警報
-
確認警報
-
-
內容庫
-
新增庫項目
-
請在模板中簽到
-
查看模板
-
下載文件
-
進口儲存
-
讀取儲存
-
同步庫項目
-
同步已訂閱的庫
-
查看配置設定
-
-
資料存放區
-
分配空間
-
瀏覽資料存儲
-
低階文件操作
-
刪除文件
-
更新虛擬機器文件
-
更新虛擬機器元數據
-
-
ESX 代理程式管理器
-
看法
-
-
資料夾
-
建立資料夾
-
-
主持人
-
配置
-
進階設定
-
更改設定
-
網路設定
-
系統資源
-
虛擬機器自動啟動配置
-
-
本地操作
-
建立虛擬機
-
刪除虛擬機
-
重新配置虛擬機
-
-
-
網路
-
分配網路
-
配置
-
-
OvfManager
-
Ovf消費者訪問
-
-
主機設定檔
-
看法
-
-
資源
-
將虛擬機器指派給資源池
-
-
計劃任務
-
創建任務
-
修改任務
-
運行任務
-
-
任務
-
創建任務
-
更新任務
-
-
虛擬應用
-
新增虛擬機
-
分配資源池
-
分配虛擬應用程式
-
建立
-
進口
-
移動
-
關閉電源
-
開機
-
從 URL 拉取
-
查看 OVF 環境
-
-
虛擬機器
-
更改配置
-
新增現有磁碟
-
新增磁碟
-
新增或移除設備
-
進階配置
-
更改 CPU 計數
-
記憶
-
更改設定
-
更改資源
-
擴充虛擬磁碟
-
修改設備設定
-
移除磁碟
-
重置賓客資訊
-
升級虛擬機器相容性
-
-
編輯庫存
-
從現有創建
-
創建新的
-
移動
-
註冊使用
-
消除
-
取消註冊
-
-
交互作用
-
虛擬機器上的備份操作
-
配置 CD 媒體
-
配置軟碟介質
-
連接裝置
-
控制台交互
-
透過 VIX API 進行客戶作業系統管理
-
關閉電源
-
開機
-
重置
-
暫停
-
-
供應
-
允許磁碟存取
-
克隆模板
-
客製化賓客
-
部署模板
-
修改定制規範
-
閱讀客製化規格
-
-
快照管理
-
建立快照
-
移除快照
-
重新命名快照
-
恢復到快照
-
-
有三個預先定義的角色,如下所述。
提供執行核心 ONTAP 工具以執行 VMware vSphere 管理員工作所需的所有原生 vCenter Server Privileges 和 ONTAP 工具專屬 Privileges 。
提供 ONTAP 工具的唯讀存取權。這些使用者無法針對存取控制的 VMware vSphere 動作執行任何 ONTAP 工具。
提供部分原生 vCenter Server 權限和 ONTAP 工具專屬權限、這些權限是配置儲存設備所需的。您可以執行下列工作:
-
建立新的資料存放區
-
管理資料存放區
vSphere 物件和 ONTAP 儲存設備後端
這兩種 RBAC 環境可一起運作。在 vSphere 用戶端介面中執行工作時,會先檢查定義至 vCenter Server 的 ONTAP 工具角色。如果 vSphere 允許此作業,則會檢查 ONTAP 角色 Privileges 。第二個步驟是根據建立及設定儲存後端時指派給使用者的 ONTAP 角色來執行。
使用 vCenter Server RBAC
使用 vCenter Server Privileges 和權限時,需要考量一些事項。
必要權限
若要存取適用於 VMware vSphere 10 使用者介面的 ONTAP 工具,您必須擁有 ONTAP 工具專屬的 _ 檢視 _ 權限。如果您在沒有此權限的情況下登入 vSphere ,並按一下 NetApp 圖示,適用於 VMware vSphere 的 ONTAP 工具會顯示錯誤訊息,並阻止您存取使用者介面。
vSphere 物件階層中的指派層級會決定您可以存取的使用者介面部分。將檢視權限指派給根物件可讓您按一下 NetApp 圖示來存取適用於 VMware vSphere 的 ONTAP 工具。
您可以將檢視權限指派給另一個較低的 vSphere 物件層級。不過,這會限制您可以存取和使用的 VMware vSphere ONTAP 工具功能表。
指派權限
如果您想要限制 vSphere 物件和工作的存取,則需要使用 vCenter Server 權限。在 vSphere 物件階層中指派權限的位置,決定使用者可以執行的 VMware vSphere 10 工作的 ONTAP 工具。
|
除非您需要定義更嚴格的存取,否則在根物件或根資料夾層級指派權限通常是個不錯的做法。 |
適用於 VMware vSphere 10 的 ONTAP 工具所提供的權限適用於自訂非 vSphere 物件,例如儲存系統。如果可能,您應該將這些權限指派給 VMware vSphere 根物件的 ONTAP 工具,因為沒有您可以指派的 vSphere 物件。例如,任何包含適用於 VMware vSphere 「新增 / 修改 / 移除儲存系統」權限的 ONTAP 工具權限,都應在根物件層級指派。
在物件階層中定義較高層級的權限時,您可以設定權限,讓子物件向下傳遞並繼承權限。如果需要,您可以指派額外權限給子物件,這些子物件會覆寫從父物件繼承的權限。
您可以隨時修改權限。如果您在權限內變更任何 Privileges ,則與權限相關的使用者必須登出 vSphere ,然後重新登入才能啟用變更。