Adminロールを使わずにCluster ModeのActiveIQ Unified Managerのユーザを設定することはできますか。
環境
- ActiveIQ Unified Manager(AIQUM)9.6+
- OnCommand Unified Manager(OCUM)9.5以下
- ONTAP 9
回答
- AIQUMドキュメントのAdding Clustersセクションによると、AIQUMには、アプリケーションアクセスの
adminロールがontapi, console, sshおよびhttpに設定されたONTAPユーザアカウントが必要です。 - 監視のためにユーザに読み取り専用ロールを割り当てようとすると、AIQUMの機能が壊れてクラスタで何も実行できなくなります。
- 例えば次の制限があります。
- データ保護
- EMS サブスクリプション
- UM をクラスタに登録
- パフォーマンス ポーリング
- AIQUMで使用するONTAP アカウントの範囲を制限すると、AIQUMとクラスタ間の機能が中断されることが知られているため、admin以外のロールでユーザーを設定することは、現時点ではNetApp Technical Supportではサポートされていません
- ただし、AIQUM 9.11までは、上記の機能(例:パフォーマンスデータ収集/EMSサブスクリプション)が必要ない場合、クラスタの追加後およびAIQUMへの初回取得後にカスタムの読み取り専用ユーザーを使用することができます
- AIQUMはクラスタ追加プロセス中に複数の場所に自身を登録するため、クラスタが追加されて初回ポーリングが完了するまで、この要件をバイパスすることはできません
- AIQUM 9.12+以降では、mTLS機能の導入により、AIQUM GUIからreadonlyユーザーを使用することはできません
- GUIのエラー:
user '<user_name>'does not have write access to this resource server_acq.log:
Unable to add EMS filter rule to cluster <cluster_name>: com.netapp.oci.netapp.client.interfaces.data.EmsManagerException: Insufficient privileges: user '<user_name>' does not have write access to this resource (errno=13003)
- AIQUM 9.12+で読み取り専用ユーザーを使用するには、 CLI を使用して、クラスタ追加/初回ポーリング後にユーザーを変更します