VMware vSphere. Ограничение пользователя пулом ресурсов

VMware vSphere позволяет ограничить любого пользователя или группу определенным набором действий. Но, эта система разделения прав доступа предполагает ролевое разделение полномочий. То есть позволяет распределить обязанности между администраторами, но она не как не лимитирует ресурсы затрачиваемые ими. В такой схеме, любой оператор ВМ может на создавать виртуалок, столько сколько ему вздумается, что в моем конкретном случае не приемлемо. Я долго бился над решением этой задачи.

Необходимо было сделать так, что бы группа пользователей(назовем ее Support_group) авторизуясь в vCentre видела только свой пул ресурсов и имела в нем административные привилегии. При этом не видела другие пулы и не могла создавать или изменять ВМ и другие объекты вне своего пула. С ролевой моделью доступа vSphere это оказалось не просто. 

Пошаговая инструкция как этого добиться

1. На уровне датацентра определяем для нашей группы все необходимые привилегии. Для этого лучше создать новую роль. При назначении роли, обязательно необходимо снять галочку Propogate! Это отменяет наследования полномочий на нижележащие объекты.

В моем случае эта роль имеет примерно следующие привилегии:
vsphere_vsphere_resource_pool_permissions_datacenter_permissions
2. На уровне кластера не какие привилегии не назначаются.

3. Создаем новый пул и определяем лимиты. В моем случае он назван Support_pool. На нем, назначаем нашей группе полные права. Роль Администратор.

4. На конкретном Датасторе назначаем нашей группе роль Datastore consumer (sample). Галочку Propogate так же снимаем.
5. На порт-группах виртуального коммутатора в которые будет разрешено включать ВМ так же назначаем нашей группе роль Network administrator (sample). Галочку Propogate так же снимаем.

6. На всех остальных пулах, видеть которые не нужно, назначаем нашей группе роль No access.

Все.

Вот что доступно администратору
vsphere_resource_pool_permissions_admin
Вот что доступно пользователю нашей ограниченной группы
vsphere_resource_pool_permissions_pool
А это уже на уровень выше
vsphere_resource_pool_permissions_cluster