Гранулярные права на NetApp Data ONTAP для работы Veeam Backup

Пробежало в Сети, и я пересказал эту статью для вас, на русском.

Интеграция Veeam Backup & Replication с СХД NetApp (серия FAS с ОС Data ONTAP 8.1 и выше) нужна для использования аппаратных снимков (storage snapshots) для резервного копирования, а также восстановления данных из снапшотов. Для этой интеграции достаточно просто ввести адрес доступа и учетную запись в консоли Veeam Backup для соответствующего СХД.

Но часто возникает проблема: СХД занимается другой отдел, не тот, который управляет виртуализацией или администрирует систему резервного копирования. И отдавать полный доступ администратора не является хорошей мерой с точки зрения безопасности.

В NetApp есть возможность создать учетную запись, с ограниченным доступом к командам и API.

Какие права нужны?

Для 7-Mode и Clustered различные.

7-Mode

login-http-admin
 api-system-*
 api-license-*
 api-volume-*
 api-net-*
 api-options-*
 api-vfiler-*
 api-qtree-*
 api-nfs-*
 api-snapshot-*
 api-lun-*
 api-iscsi-*
 api-feature-*
 api-registry-*
 cli-options
 api-fcp-*
 api-file-*
 api-igroup-*
 api-clone-*
 api-snapvault-*
 api-snapmirror-*
 api-cf-*

Clustered

DEFAULT         readonly
 cluster         readonly
 fcp             readonly
 file            readonly
 igroup          readonly
 iscsi           readonly
 network         readonly
 node            readonly
 security        readonly
 security login  readonly
 set             readonly
 snapmirror      all
 system          readonly
 version         readonly
 qtree           readonly
 lun             all
 nfs             all
 snapshot        all
 volume          all
 vserver         all


Как сделать?

Пути два через web-клиент OnCommand System Manager или CLI. Первый - юзерфрендли, но не удобный. Второй - проще, можно копи-пастить из статьи отсюда.

Пример через OnCommand System Manager

Сделал для Clustered Mode скриншоты - по ним понятно все должно быть.

1. По дереву в правой панели выбираем:
Cluster\ Configuration\ Security\ Roles; нажимаем на панели кнопку Add. Дальше вводим название роли и добавляем по одной нужные для роли аттрибуты (указал в главе выше).

2. Получаем:

3. Переходим в дереве на раздел Users. И снова Add, где даем новому пользователю разрешение подключаться через API (ontapi) с правами роли, созданной в п.1.

4. Результат.

Через CLI для 7-Mode

1. Создаем роль со всеми разрешениями одной командой:
useradmin role add Veeam -c "Veeam role" -a login-http-admin,api-system-*,api-license-*,api-volume-*,api-net-*,api-options-*,api-vfiler-*,api-qtree-*,api-nfs-*,api-snapshot-*,api-lun-*,api-iscsi-*,api-feature-*,api-registry-*,cli-options,api-fcp-*,api-file-*,api-igroup-*,api-clone-*,api-snapvault-*,api-snapmirror-*,api-cf-*
здесь:
Veeam - название новой роли
"Veeam role" - описание


2. Создаем группу с привязкой к роли:
useradmin group add Veeam -c "Veeam Backup Group" -r Veeam
здесь:
add Veeam - название группы
-c "Veeam Backup Group" - описание группы
-r Veeam - присваивание роли группе


3. Создаем пользователя в группе:
useradmin user add Veeam_Backup -c "Veeam Backup User" -g Veeam
здесь:
add Veeam_Backup - имя пользователя
-c "Veeam Backup User" - описание
-g Veeam - название группы

Через CLI для Clustered Mode

1. Создаем роль, добавляя все необходимые разрешения в каждой строке:
security login role create -vserver Сluster_name -role Veeam -cmddirname "DEFAULT" -access readonly
security login role create -vserver Сluster_name -role Veeam -cmddirname "cluster" -access readonly
security login role create -vserver Сluster_name -role Veeam -cmddirname "fcp" -access readonly
security login role create -vserver Сluster_name -role Veeam -cmddirname "file" -access readonly
security login role create -vserver Сluster_name -role Veeam -cmddirname "igroup" -access readonly
security login role create -vserver Сluster_name -role Veeam -cmddirname "iscsi" -access readonly
security login role create -vserver Сluster_name -role Veeam -cmddirname "network" -access readonly
security login role create -vserver Сluster_name -role Veeam -cmddirname "node" -access readonly
security login role create -vserver Сluster_name -role Veeam -cmddirname "security" -access readonly
security login role create -vserver Сluster_name -role Veeam -cmddirname "security login" -access readonly
security login role create -vserver Сluster_name -role Veeam -cmddirname "set" -access readonly
security login role create -vserver Сluster_name -role Veeam -cmddirname "snapmirror" -access all
security login role create -vserver Сluster_name -role Veeam -cmddirname "system" -access readonly
security login role create -vserver Сluster_name -role Veeam -cmddirname "version" -access readonly
security login role create -vserver Сluster_name -role Veeam -cmddirname "qtree" -access readonly
security login role create -vserver Сluster_name -role Veeam -cmddirname "lun" -access all
security login role create -vserver Сluster_name -role Veeam -cmddirname "nfs" -access all
security login role create -vserver Сluster_name -role Veeam -cmddirname "snapshot" -access all
security login role create -vserver Сluster_name -role Veeam -cmddirname "volume" -access all
security login role create -vserver Сluster_name -role Veeam -cmddirname "vserver" -access all
здесь:
-vserver Сluster_name  - имя кластера
-role Veeam - название новой роли


2. Создаем пользователя и присваиваем ему роль:
security login create -vserver Сluster_name -user-or-group-name User_name -application ontapi -authmethod password -role Veeam
здесь:
-vserver Сluster_name  - имя кластера
-user-or-group-name User_name - имя создаваемого пользователя
-role Veeam - название роли

После создания пользователя необходимо будет ввести пароль для него.



Если вы найдете ошибку - обязательно напишите мне.
Первоисточник: https://vmstorageguy.wordpress.com/2016/05/02/granular-data-ontap-permission-for-veeam-backup-replication/