如何为适用于 VMware vSphere 的 VSC 配置 ONTAP 基于角色的访问控制
如果要对适用于 VMware vSphere 的 Virtual Storage Console(VSC)使用基于角色的访问控制(RBAC),则必须在存储系统上配置 ONTAP 基于角色的访问控制。可使用 ONTAP RBAC 功能创建一个或多个访问特权受限的自定义用户帐户。
VSC 和 SRA 可以在集群级别或存储虚拟机(SVM)SVM 级别访问存储系统。如果要在集群级别添加存储系统,则必须提供管理员用户的凭证才能提供所有必需的功能。如果要通过直接添加 SVM 详细信息来添加存储系统,必须注意vsadmin
用户不具有执行某些任务所需的所有角色和功能。
VASA Provider 只能在集群级别访问存储系统。如果特定存储控制器需要 VASA Provider,则即使使用 VSC 或 SRA,也必须在集群级别将存储系统添加到 VSC。
要创建新用户并将集群或 SVM 连接到 VSC、VASA Provider 和 SRA,应执行以下操作:
创建一个集群管理员或 SVM 管理员角色
注可使用以下途径之一创建这些角色:ThinkSystem DM 系列存储管理软件 9.7 或更高版本
适用于 ONTAP 的 RBAC User Creator 工具(如果使用的是 ONTAP 9.6 或更低版本)
使用 ONTAP 创建用户,为这些用户分配角色并设置适当应用程序
需要使用这些存储系统凭证才能为 VSC 配置存储系统。可通过在 VSC 中输入凭证来为 VSC 配置存储系统。每次使用这些凭证登录到存储系统时,您将拥有创建凭证时在 ONTAP 中设置的 VSC 功能的权限。
将存储系统添加到 VSC 并提供刚刚创建的用户的凭证
VSC 角色
VSC 将 ONTAP 特权分为以下 VSC 角色组:
发现
允许发现所有已连接的存储控制器
创建存储
允许创建卷和逻辑单元号(LUN)
修改存储
允许对存储系统进行大小调整和重复数据删除
销毁存储
允许销毁卷和 LUN
VASA Provider 角色
您只能在集群级别创建基于策略的管理。此角色可以使用存储功能 profile 对存储进行基于策略的管理。
SRA 角色
SRA 在集群级别或 SVM 级别将 ONTAP 特权分为 SAN 或 NAS 角色。这使用户可以运行 SRM 操作。
将集群添加到 VSC 时,VSC 会对 ONTAP RBAC 角色执行初始特权验证。如果添加了直接的 SVM 存储 IP,则 VSC 不会执行初始验证。VSC 稍后会在任务工作流程中检查并强制实施特权。