Назначение прав в VSphere
О правах в общем ключе
Общая идеология прав в VSphere такова: одной группе или пользователю может быть назначена ОДНА роль в рамках одного объекта.
При этом, явно назначенная роль на нижестоящем в иерархии объекте - перекрывает пермиссию, назначенную выше, то есть пермиссии в рамках одного объекта никак НЕ суммируются.
Если мы хотим создать специфический набор прав - лучшим способом это сделать - будет создание кастомной роли с набором специфических прав.
К примеру, мы хотим создать группу администраторов специфического пула + выделенного датастора, при этом, у них должны быть определенные права в общей инфраструктуре VSphere - к примеру, создание тегов или политик стораджей.
Тогда мы можем создать глобальную роль с перечнем прав, содержащих создание тегов, просмотр и редактирование политик стораджа и назначим её группе.
На самом ресурсном пуле мы включим группу в администраторы пула.
То же самое сделаем и на сторе, к которой мы хотим предоставить доступ для группы.
Настройка заказа дисков для Kubernetes
Роль для заказа дисков Kubernetes через CSI-контроллер: CNS Datastore.
Настраивается для учётной записи, от которой заказываются диски на уровне сторы, в которой заказываются ресурсы.
Право выбора ноды, на которой запускается VM
Без данной пермиссии владельцы пула не смогут выбирать ноду, на которой будет запущена VM. При наличии других прав - виртуальные машины будут создаваться, но после выполнения действия power on - не будет происходить ничего (окно с выбором ноды просто не запустится).
Назначение пермиссии автоматически приводит к тому, что её обладатель будет видеть объекты кластера в режиме read-only.
Имя настройки: Assign virtual machine to resource pool.
;#;
Политики стораджей
Политики стораджей настраиваются в следующем разделе: VM storage policies.