起動ポリシー

起動ポリシーは、VM メタデータ変数 をオーバーライドして、ワークロード オペレーターが設定した悪意のあるアクションを制限します。ワークロード作成者は、コンテナ イメージのビルドの一環として、ラベルを使用してポリシーを設定できます。

たとえば、Dockerfile では次のようになります。

LABEL "tee.launch_policy.allow_cmd_override"="true"

Bazel BUILD ファイルでは:

container_image(
    ...
    labels={"tee.launch_policy.allow_cmd_override":"true"}
    ...
)

次の表に、利用可能な起動ポリシーを示します。

ポリシー タイプ 説明

tee.launch_policy.allow_capabilities

連携する要素:

 ブール値(デフォルトは false ワークロード オペレーターがワークロード コンテナに Linux 機能 を追加できるかどうかを決定します。

tee.launch_policy.allow_cgroups

連携する要素:

  • ワークロード オペレーター: tee-cgroup-ns メタデータ変数。
 ブール値(デフォルトは false ワークロード コンテナが名前空間付きの cgroup マウントを /sys/fs/cgroup に含めることができるかどうかを決定します。

tee.launch_policy.allow_cmd_override

連携する要素:

 ブール値(デフォルトは false ワークロード コンテナの Dockerfile で指定された CMD を、ワークロード オペレーターが tee-cmd メタデータ値でオーバーライドできるかどうかを決定します。

tee.launch_policy.allow_env_override

連携する要素:

 カンマ区切りの文字列 ワークロード オペレーターが tee-env-ENVIRONMENT_VARIABLE_NAME メタデータ値で設定できる、許可された環境変数名のカンマ区切りの文字列。

tee.launch_policy.allow_mount_destinations

連携する要素:

  • ワークロード オペレーター: tee-mount メタデータ変数。
 コロン区切りの文字列

ワークロード オペレーターが tee-mount を使用してマウントできる、許可されたマウント ディレクトリをコロンで区切った文字列。

例: /run/tmp:/var/tmp:/tmp

tee.launch_policy.log_redirect

連携する要素:

 定義済みの文字列

ワークロード オペレーターが tee-container-log-redirect true に設定した場合のロギングの動作を決定します。

有効な値は次のとおりです。

  • debugonly(デフォルト): デバッグ イメージを使用する場合、stdoutstderr リダイレクトのみを許可します。
  • always: stdoutstderr リダイレクトを常に許可します。
  • never: stdoutstderr リダイレクトは許可しません。

tee.launch_policy.monitoring_memory_allow

連携する要素:

 定義済みの文字列

ワークロード オペレーターが tee-monitoring-memory-enable true に設定した場合のワークロード メモリ使用量のモニタリングの動作を決定します。

有効な値は次のとおりです。

  • debugonly(デフォルト): デバッグ イメージを使用する場合にのみ、メモリ使用量のモニタリングを許可します。
  • always: メモリ使用量のモニタリングを常に許可します。
  • never: メモリ使用量のモニタリングは許可しません。