Общая идеология прав в VSphere такова: одной группе или пользователю может быть назначена ОДНА роль в рамках одного объекта.

При этом, явно назначенная роль на нижестоящем в иерархии объекте - перекрывает пермиссию, назначенную выше, то есть пермиссии в рамках одного объекта никак НЕ суммируются.

Если мы хотим создать специфический набор прав - лучшим способом это сделать - будет создание кастомной роли с набором специфических прав.

К примеру, мы хотим создать группу администраторов специфического пула + выделенного датастора, при этом, у них должны быть определенные права в общей инфраструктуре VSphere - к примеру, создание тегов или политик стораджей.

Тогда мы можем создать глобальную роль с перечнем прав, содержащих создание тегов, просмотр и редактирование политик стораджа и назначим её группе.

На самом ресурсном пуле мы включим группу в администраторы пула.

То же самое сделаем и на сторе, к которой мы хотим предоставить доступ для группы.

Роль для заказа дисков Kubernetes через CSI-контроллер: CNS Datastore.

Настраивается для учётной записи, от которой заказываются диски на уровне сторы, в которой заказываются ресурсы.

Без данной пермиссии владельцы пула не смогут выбирать ноду, на которой будет запущена VM. При наличии других прав - виртуальные машины будут создаваться, но после выполнения действия power on - не будет происходить ничего (окно с выбором ноды просто не запустится).

Назначение пермиссии автоматически приводит к тому, что её обладатель будет видеть объекты кластера в режиме read-only.

Имя настройки: Assign virtual machine to resource pool.

;#;

Политики стораджей

Политики стораджей настраиваются в следующем разделе: VM storage policies.