Adminロールを使用せずに、Active IQ Unified Manager for Cluster Modeのユーザを設定することはできますか。
環境
- ActiveIQ Unified Manager(AIQUM)9.6以降
- OnCommand Unified Manager(OCUM)9.5以下
- ONTAP 9
回答
- [1] AIQUMドキュメントの「クラスタの追加」セクションに記載されているとおり、AIQUMには
admin
ontapi, console, ssh
、アプリケーションアクセスのロールがとに設定されたONTAPユーザアカウントが必要です。http
- 監視対象のユーザに読み取り専用ロールを割り当てようとすると、AIQUMの機能が中断されてクラスタで処理が実行されなくなります。
- 例えば次の制限があります。
- データ保護
- EMSサブスクリプション
- クラスタへのUMの登録
- パフォーマンスのポーリング
- AIQUMで使用されるONTAPアカウントの範囲を制限するとAIQUMとクラスタの機能が中断されることがわかっているため、現時点ではadmin以外のロールを持つユーザの設定はNetAppテクニカルサポートでサポートされていません。
- ただし、AIQUM 9.11までは、 上記の機能(パフォーマンスデータ収集/ EMSサブスクリプションなど)が 不要な場合は、AIQUMにクラスタを追加して最初に取得したあとにカスタムの読み取り専用ユーザを使用できます。
- AIQUMはクラスタ追加プロセスで複数の場所に登録されるため、クラスタが追加されて最初のポーリングが完了するまでこの要件をバイパスすることはできません。
- AIQUM 9.12以降では、MTLS機能が導入されているため、AIQUM GUIからreadonlyユーザを使用できません。
- GUIのエラー:
user '<user_name>'does not have write access to this resource
server_acq.log:
Unable to add EMS filter rule to cluster <cluster_name>: com.netapp.oci.netapp.client.interfaces.data.EmsManagerException: Insufficient privileges: user '<user_name>' does not have write access to this resource (errno=13003)
- AIQUM 9.12以降で読み取り専用ユーザを使用するには 、 クラスタの追加/初回ポーリング後にCLIを使用してユーザを変更します。