設定 ONTAP 使用者角色和權限
建議變更
PDF
您可以使用適用於 VMware vSphere 和 ONTAP System Manager 的 ONTAP 工具隨附的 JSON 檔案、設定新的使用者角色和權限來管理儲存後端。
您需要的是什麼
-
您應該已使用下列方法從適用於 VMware vSphere 的 ONTAP 工具下載 ONTAP 權限檔案: https : <loadbalancerIP> : 8443/virtualization / 使用者權限 /users_roles.zip 。
-
您應該已使用從 ONTAP 工具下載 ONTAP 權限檔案
https://<loadbalancerIP>:8443/virtualization/user-privileges/users_roles.zip。
您可以在叢集或直接在儲存虛擬機器( SVM )層級建立使用者。您也可以在不使用 user_roles.json 檔案的情況下建立使用者、如果是這樣做、您必須在 SVM 層級擁有一組最低權限。 -
您應該已以儲存後端的系統管理員權限登入。
步驟
-
擷取下載的 \https : <loadbalancerIP> : 8443/virtualization / 使用者權限 /users_roles.zip 檔案。
-
使用叢集的叢集管理 IP 位址存取 ONTAP 系統管理員。
-
以叢集或 SVM 使用者的身分登入。
-
選擇 * 叢集 * > * 設定 * > * 使用者與角色 * 窗格。
-
在「使用者」下選取 * 「新增 * 」。
-
在「新增使用者」對話方塊中、選取*虛擬化產品*。
-
* 瀏覽 * 以選取並上傳 ONTAP Privileges JSON 檔案。
產品欄位會自動填入。
-
從產品功能下拉式功能表中選取所需的功能。
根據所選的產品功能、 * 角色 * 欄位會自動填入。
-
輸入所需的使用者名稱和密碼。
-
選取使用者所需的權限(探索、建立儲存設備、修改儲存設備、銷毀儲存設備、 NAS/SAN 角色)、然後按一下 * 新增 * 。
新角色和使用者即會新增、您可以在已設定的角色下看到詳細權限。
|
|
解除安裝作業不會移除 ONTAP 工具角色、但會移除 ONTAP 工具特定權限的本地化名稱、並附加前置字元 XXX missing privilege 對他們來說、當您重新安裝適用於 VMware vSphere 的 ONTAP 工具或升級至較新版本時、所有適用於 VMware vSphere 角色和 ONTAP 工具專屬權限的標準 ONTAP 工具都會還原。
|
SVM Aggregate 對應需求
若要使用 SVM 使用者認證來配置資料存放區、 VMware vSphere 的內部 ONTAP 工具會在 API 後的資料存放區中指定的集合上建立磁碟區。ONTAP 不允許使用 SVM 使用者認證、在 SVM 上的未對應集合體上建立磁碟區。若要解決此問題、您需要使用 ONTAP REST API 或 CLI 將 SVM 對應至集合體、如此處所述。
REST API :
PATCH "/api/svm/svms/f16f0935-5281-11e8-b94d-005056b46485" '{"aggregates":{"name":["aggr1","aggr2","aggr3"]}}'
ONTAP CLI :
sti115_vsim_ucs630f_aggr1 vserver show-aggregates AvailableVserver Aggregate State Size Type SnapLock Type-------------- -------------- ------- ---------- ------- --------------svm_test sti115_vsim_ucs630f_aggr1 online 10.11GB vmdisk non-snaplock
手動建立 ONTAP 使用者和角色
請依照本節的指示手動建立使用者和角色、而不使用 JSON 檔案。
-
使用叢集的叢集管理 IP 位址存取 ONTAP 系統管理員。
-
以叢集或 SVM 使用者的身分登入。
-
選擇 * 叢集 * > * 設定 * > * 使用者與角色 * 窗格。
-
建立角色:
-
在 * 角色 * 表下選擇 * 新增 * 。
-
輸入 * 角色名稱 * 和 * 角色屬性 * 詳細資料。
從下拉式清單中新增 REST API Path 及其各自的存取權限。
-
新增所有必要的 API 並儲存變更。
-
-
建立使用者:
-
在 * 使用者 * 表格下選取 * 新增 * 。
-
在 * 新增使用者 * 對話方塊中、選取 * 系統管理員 * 。
-
輸入 * 使用者名稱 * 。
-
從上述 * 建立角色 * 步驟中建立的選項中選取 * 角色 * 。
-
輸入要授予存取權的應用程式、以及驗證方法。ONTAPI 和 HTTP 是必要的應用程式、驗證類型為 * 密碼 * 。
-
設定「使用者 * 」的 * 密碼和「 * 儲存 * 」使用者。
-
非管理員全域範圍叢集使用者所需的最低權限清單
本節列出未使用使用使用者 JSON 檔案所建立之非管理員全域範圍叢集使用者所需的最低權限。如果叢集已新增至本機範圍、建議您使用 JSON 檔案來建立使用者、因為適用於 VMware vSphere 的 ONTAP 工具不只需要在 ONTAP 上進行資源配置的讀取權限。
使用 API :
API |
存取層級 |
用於 |
/API/cluster |
唯讀 |
叢集組態探索 |
/api/cluster / 授權 / 授權 |
唯讀 |
授權檢查特定傳輸協定的授權 |
/api/cluster / 節點 |
唯讀 |
平台類型探索 |
/api/storage / Aggregate |
唯讀 |
資料存放區 / Volume 資源配置期間的集合空間檢查 |
/api/storage / 叢集 |
唯讀 |
取得叢集層級空間與效率資料 |
/api/storage / 磁碟 |
唯讀 |
取得集合體中的相關磁碟 |
/API/儲存 設備 /QoS/ 原則 |
讀取 / 建立 / 修改 |
QoS 和 VM 原則管理 |
/API/SVM/svms |
唯讀 |
在本機新增叢集的情況下取得 SVM 組態。 |
/api/network/IP/ 介面 |
唯讀 |
Add Storage Backend (新增儲存後端):識別管理 LIF 範圍為叢集 / SVM |
/API |
唯讀 |
叢集使用者應該擁有此權限、才能取得正確的儲存後端狀態。否則、 ONTAP 工具管理員會顯示「未知」的儲存後端狀態。 |
將適用於 VMware vSphere 10.1 使用者的 ONTAP 工具升級為 10.2 使用者
如果 VMware vSphere 10.1 的 ONTAP 工具使用者是使用 json 檔案建立的叢集範圍使用者、請在 ONTAP CLI 上使用管理員使用者執行下列命令、以升級至 10.2 版本。
如需產品功能:
-
VSC
-
VSC 和 VASA Provider
-
VSC 和 SRA
-
VSC 、 VASA Provider 和 SRA 。
叢集 Privileges :
security 登入角色 create -role <existing-role-name> -cmddirname "vserver NVMe namespace show" -access all
security 登入角色 create -role <existing-role-name> -cmddirname "vserver NVMe subsystem show" -access all
security 登入角色 create -role <existing-role-name> -cmddirname "vserver NVMe subsystem host show" -access all
security 登入角色 create -role <existing-role-name> -cmddirname "vserver NVMe subsystem map show" -access all
security 登入角色 create -role <existing-role-name> -cmddirname "vserver NVMe show-interface" -access read
security 登入角色 create -role <existing-role-name> -cmddirname "vserver NVMe subsystem host add " -access all
security 登入角色 create -role <existing-role-name> -cmddirname "vserver NVMe subsystem map add" -access all
security 登入角色 create -role <existing-role-name> -cmddirname "vserver NVMe 命名空間刪除 " -access all
security 登入角色 create -role <existing-role-name> -cmddirname "vserver NVMe subsystem delete" -access all
security 登入角色 create -role <existing-role-name> -cmddirname "vserver NVMe subsystem host remove" -access all
security 登入角色 create -role <existing-role-name> -cmddirname "vserver NVMe subsystem map remove" -access all
如果 VMware vSphere 10.1 的 ONTAP 工具使用者是使用 json 檔案建立的 SVM 範圍使用者、請使用管理員使用者在 ONTAP CLI 上執行下列命令、以升級至 10.2 版本。
SVM Privileges :
_security 登入角色 create -role <existing-role-name> -cmddirname "vserver NVMe namespace show" -access all -vserver <vserver-name> _
_security 登入角色 create -role <existing-role-name> -cmddirname "vserver NVMe subsystem show" -access all -vserver <vserver-name> _
_security 登入角色 create -role <existing-role-name> -cmddirname "vserver NVMe subsystem host show" -access all -vserver <vserver-name> _
_security 登入角色 create -role <existing-role-name> -cmddirname "vserver NVMe subsystem map show" -access all -vserver <vserver-name> _
_security 登入角色 create -role <existing-role-name> -cmddirname "vserver NVMe show-interface" -access read -vserver <vserver-name> _
_security 登入角色 create -role <existing-role-name> -cmddirname "vserver NVMe subsystem host add " -access all -vserver <vserver-name> _
_security 登入角色 create -role <existing-role-name> -cmddirname "vserver NVMe subsystem map add" -access all -vserver <vserver-name> _
_security 登入角色 create -role <existing-role-name> -cmddirname "vserver NVMe 命名空間刪除 " -access all -vserver <vserver-name> _
_security 登入角色 create -role <existing-role-name> -cmddirname "vserver NVMe subsystem delete" -access all -vserver <vserver-name> _
_security 登入角色 create -role <existing-role-name> -cmddirname "vserver NVMe subsystem host remove" -access all -vserver <vserver-name> _
_security 登入角色 create -role <existing-role-name> -cmddirname "vserver NVMe subsystem map remove" -access all -vserver <vserver-name> _
將命令 vserver NVMe 命名空間 show 和 vserver NVMe 子系統 show 新增至現有角色、會新增下列命令。
vserver nvme namespace create vserver nvme namespace modify vserver nvme subsystem create vserver nvme subsystem modify