Гранулярные права на NetApp Data ONTAP для работы Veeam Backup

Пробежало в Сети, и я пересказал эту статью для вас, на русском.

Интеграция Veeam Backup & Replication с СХД NetApp (серия FAS с ОС Data ONTAP 8.1 и выше) нужна для использования аппаратных снимков (storage snapshots) для резервного копирования, а также восстановления данных из снапшотов. Для этой интеграции достаточно просто ввести адрес доступа и учетную запись в консоли Veeam Backup для соответствующего СХД.

Но часто возникает проблема: СХД занимается другой отдел, не тот, который управляет виртуализацией или администрирует систему резервного копирования. И отдавать полный доступ администратора не является хорошей мерой с точки зрения безопасности.

В NetApp есть возможность создать учетную запись, с ограниченным доступом к командам и API.

Какие права нужны?

Для 7-Mode и Clustered различные.

7-Mode

login-http-admin

 api-system-*

 api-license-*

 api-volume-*

 api-net-*

 api-options-*

 api-vfiler-*

 api-qtree-*

 api-nfs-*

 api-snapshot-*

 api-lun-*

 api-iscsi-*

 api-feature-*

 api-registry-*

 cli-options

 api-fcp-*

 api-file-*

 api-igroup-*

 api-clone-*

 api-snapvault-*

 api-snapmirror-*

 api-cf-*

Clustered

DEFAULT         readonly

 cluster         readonly

 fcp             readonly

 file            readonly

 igroup          readonly

 iscsi           readonly

 network         readonly

 node            readonly

 security        readonly

 security login  readonly

 set             readonly

 snapmirror      all

 system          readonly

 version         readonly

 qtree           readonly

 lun             all

 nfs             all

 snapshot        all

 volume          all

 vserver         all

Как сделать?

Пути два через web-клиент OnCommand System Manager или CLI. Первый - юзерфрендли, но не удобный. Второй - проще, можно копи-пастить из статьи отсюда.

Пример через OnCommand System Manager

Сделал для Clustered Mode скриншоты - по ним понятно все должно быть.

1. По дереву в правой панели выбираем:

Cluster\ Configuration\ Security\ Roles; нажимаем на панели кнопку Add. Дальше вводим название роли и добавляем по одной нужные для роли аттрибуты (указал в главе выше).

2. Получаем:

3. Переходим в дереве на раздел Users. И снова Add, где даем новому пользователю разрешение подключаться через API (ontapi) с правами роли, созданной в п.1.

4. Результат.

Через CLI для 7-Mode

1. Создаем роль со всеми разрешениями одной командой:

useradmin role add Veeam -c "Veeam role" -a login-http-admin,api-system-*,api-license-*,api-volume-*,api-net-*,api-options-*,api-vfiler-*,api-qtree-*,api-nfs-*,api-snapshot-*,api-lun-*,api-iscsi-*,api-feature-*,api-registry-*,cli-options,api-fcp-*,api-file-*,api-igroup-*,api-clone-*,api-snapvault-*,api-snapmirror-*,api-cf-*

здесь:

Veeam - название новой роли

"Veeam role" - описание


2. Создаем группу с привязкой к роли:

useradmin group add Veeam -c "Veeam Backup Group" -r Veeam

здесь:
add Veeam - название группы
-c "Veeam Backup Group" - описание группы
-r Veeam - присваивание роли группе


3. Создаем пользователя в группе:

useradmin user add Veeam_Backup -c "Veeam Backup User" -g Veeam

здесь:

add Veeam_Backup - имя пользователя

-c "Veeam Backup User" - описание
-g Veeam - название группы

Через CLI для Clustered Mode

1. Создаем роль, добавляя все необходимые разрешения в каждой строке:

security login role create -vserver Сluster_name -role Veeam -cmddirname "DEFAULT" -access readonly

security login role create -vserver Сluster_name -role Veeam -cmddirname "cluster" -access readonly

security login role create -vserver Сluster_name -role Veeam -cmddirname "fcp" -access readonly

security login role create -vserver Сluster_name -role Veeam -cmddirname "file" -access readonly

security login role create -vserver Сluster_name -role Veeam -cmddirname "igroup" -access readonly

security login role create -vserver Сluster_name -role Veeam -cmddirname "iscsi" -access readonly

security login role create -vserver Сluster_name -role Veeam -cmddirname "network" -access readonly

security login role create -vserver Сluster_name -role Veeam -cmddirname "node" -access readonly

security login role create -vserver Сluster_name -role Veeam -cmddirname "security" -access readonly

security login role create -vserver Сluster_name -role Veeam -cmddirname "security login" -access readonly

security login role create -vserver Сluster_name -role Veeam -cmddirname "set" -access readonly

security login role create -vserver Сluster_name -role Veeam -cmddirname "snapmirror" -access all

security login role create -vserver Сluster_name -role Veeam -cmddirname "system" -access readonly

security login role create -vserver Сluster_name -role Veeam -cmddirname "version" -access readonly

security login role create -vserver Сluster_name -role Veeam -cmddirname "qtree" -access readonly

security login role create -vserver Сluster_name -role Veeam -cmddirname "lun" -access all

security login role create -vserver Сluster_name -role Veeam -cmddirname "nfs" -access all

security login role create -vserver Сluster_name -role Veeam -cmddirname "snapshot" -access all

security login role create -vserver Сluster_name -role Veeam -cmddirname "volume" -access all

security login role create -vserver Сluster_name -role Veeam -cmddirname "vserver" -access all

здесь:
-vserver Сluster_name  - имя кластера
-role Veeam - название новой роли


2. Создаем пользователя и присваиваем ему роль:

security login create -vserver Сluster_name -user-or-group-name User_name -application ontapi -authmethod password -role Veeam

здесь:
-vserver Сluster_name  - имя кластера
-user-or-group-name User_name - имя создаваемого пользователя
-role Veeam - название роли

После создания пользователя необходимо будет ввести пароль для него.



Если вы найдете ошибку - обязательно напишите мне.
Первоисточник: https://vmstorageguy.wordpress.com/2016/05/02/granular-data-ontap-permission-for-veeam-backup-replication/