Skip to main content
ONTAP tools for VMware vSphere 10.1
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定 ONTAP 使用者角色和權限

貢獻者

您可以使用適用於 VMware vSphere 和 ONTAP System Manager 的 ONTAP 工具隨附的 JSON 檔案、設定新的使用者角色和權限來管理儲存後端。

您需要的是什麼

  • 您應該已使用下列方法從適用於 VMware vSphere 的 ONTAP 工具下載 ONTAP 權限檔案: https : <loadbalancerIP> : 8443/virtualization / 使用者權限 /users_roles.zip 。

  • 您應該已使用從 ONTAP 工具下載 ONTAP 權限檔案 https://<loadbalancerIP>:8443/virtualization/user-privileges/users_roles.zip

    註 您可以在叢集或直接在儲存虛擬機器( SVM )層級建立使用者。您也可以在不使用 user_roles.json 檔案的情況下建立使用者、如果是這樣做、您必須在 SVM 層級擁有一組最低權限。

  • 您應該已以儲存後端的系統管理員權限登入。

註 您可以在叢集層級或 SVM 層級建立使用者。您也可以在不使用 user_roles.json 檔案的情況下建立使用者、如果是這樣做、您必須在 SVM 層級擁有一組最低權限。

步驟

  1. 擷取下載的 \https : <loadbalancerIP> : 8443/virtualization / 使用者權限 /users_roles.zip 檔案。

  2. 使用叢集的叢集管理 IP 位址存取 ONTAP 系統管理員。

  3. 以叢集或 SVM 使用者的身分登入。

  4. 選擇 * 叢集 * > * 設定 * > * 使用者與角色 * 窗格。

  5. 在「使用者」下選取 * 「新增 * 」。

  6. 在「新增使用者」對話方塊中、選取*虛擬化產品*。

  7. * 瀏覽 * 以選取並上傳 ONTAP Privileges JSON 檔案。

    產品欄位會自動填入。

  8. 從產品功能下拉式功能表中選取所需的功能。

    根據所選的產品功能、 * 角色 * 欄位會自動填入。

  9. 輸入所需的使用者名稱和密碼。

  10. 選取使用者所需的權限(探索、建立儲存設備、修改儲存設備、銷毀儲存設備、 NAS/SAN 角色)、然後按一下 * 新增 * 。

新角色和使用者即會新增、您可以在已設定的角色下看到詳細權限。

註 解除安裝作業不會移除 ONTAP 工具角色、但會移除 ONTAP 工具特定權限的本地化名稱、並附加前置字元 XXX missing privilege 對他們來說、當您重新安裝適用於 VMware vSphere 的 ONTAP 工具或升級至較新版本時、所有適用於 VMware vSphere 角色和 ONTAP 工具專屬權限的標準 ONTAP 工具都會還原。

SVM Aggregate 對應需求

若要使用 SVM 使用者認證來配置資料存放區、 VMware vSphere 的內部 ONTAP 工具會在 API 後的資料存放區中指定的集合上建立磁碟區。ONTAP 不允許使用 SVM 使用者認證、在 SVM 上的未對應集合體上建立磁碟區。若要解決此問題、您需要使用 ONTAP REST API 或 CLI 將 SVM 對應至集合體、如此處所述。

REST API :

PATCH "/api/svm/svms/f16f0935-5281-11e8-b94d-005056b46485" '{"aggregates":{"name":["aggr1","aggr2","aggr3"]}}'

ONTAP CLI :

sti115_vsim_ucs630f_aggr1 vserver show-aggregates                                        AvailableVserver        Aggregate      State         Size Type    SnapLock Type-------------- -------------- ------- ---------- ------- --------------svm_test       sti115_vsim_ucs630f_aggr1                               online     10.11GB vmdisk  non-snaplock

手動建立 ONTAP 使用者和角色

請依照本節的指示手動建立使用者和角色、而不使用 JSON 檔案。

  1. 使用叢集的叢集管理 IP 位址存取 ONTAP 系統管理員。

  2. 以叢集或 SVM 使用者的身分登入。

  3. 選擇 * 叢集 * > * 設定 * > * 使用者與角色 * 窗格。

  4. 建立角色:

    1. 在 * 角色 * 表下選擇 * 新增 * 。

    2. 輸入 * 角色名稱 * 和 * 角色屬性 * 詳細資料。

      從下拉式清單中新增 REST API Path 及其各自的存取權限。

    3. 新增所有必要的 API 並儲存變更。

  5. 建立使用者:

    1. 在 * 使用者 * 表格下選取 * 新增 * 。

    2. 在 * 新增使用者 * 對話方塊中、選取 * 系統管理員 * 。

    3. 輸入 * 使用者名稱 * 。

    4. 從上述 * 建立角色 * 步驟中建立的選項中選取 * 角色 * 。

    5. 輸入要授予存取權的應用程式、以及驗證方法。ONTAPI 和 HTTP 是必要的應用程式、驗證類型為 * 密碼 * 。

    6. 設定「使用者 * 」的 * 密碼和「 * 儲存 * 」使用者。

非管理員全域範圍叢集使用者所需的最低權限清單

本節列出未使用使用使用者 JSON 檔案所建立之非管理員全域範圍叢集使用者所需的最低權限。 如果叢集已新增至本機範圍、建議您使用 JSON 檔案來建立使用者、因為適用於 VMware vSphere 的 ONTAP 工具不只需要在 ONTAP 上進行資源配置的讀取權限。

使用 API :

API

存取層級

用於

/API/cluster

唯讀

叢集組態探索

/api/cluster / 授權 / 授權

唯讀

授權檢查特定傳輸協定的授權

/api/cluster / 節點

唯讀

平台類型探索

/api/storage / Aggregate

唯讀

資料存放區 / Volume 資源配置期間的集合空間檢查

/api/storage / 叢集

唯讀

取得叢集層級空間與效率資料

/api/storage / 磁碟

唯讀

取得集合體中的相關磁碟

/API/儲存 設備 /QoS/ 原則

讀取 / 建立 / 修改

QoS 和 VM 原則管理

/API/SVM/svms

唯讀

在本機新增叢集的情況下取得 SVM 組態。

/api/network/IP/ 介面

唯讀

Add Storage Backend (新增儲存後端):識別管理 LIF 範圍為叢集 / SVM

/API

唯讀

叢集使用者應該擁有此權限、才能取得正確的儲存後端狀態。否則、 ONTAP 工具管理員會顯示「未知」的儲存後端狀態。