發布政策

啟動政策會覆寫工作負載運算子設定的 VM 中繼資料變數,以限制惡意動作。工作負載作者可以在建構容器映像檔時,使用標籤設定政策。

例如,在 Dockerfile 中:

LABEL "tee.launch_policy.allow_cmd_override"="true"

在 Bazel BUILD 檔案中:

container_image(
    ...
    labels={"tee.launch_policy.allow_cmd_override":"true"}
    ...
)

下表列出可用的啟動政策:

政策 類型 說明

tee.launch_policy.allow_capabilities

互動對象:

 布林值 (預設值為 false) 決定工作負載運算子是否能將其他 Linux 功能新增至工作負載容器。

tee.launch_policy.allow_cgroups

互動對象:

 布林值 (預設值為 false) 決定是否允許工作負載容器在 /sys/fs/cgroup 包含命名空間 cgroup 掛接點。

tee.launch_policy.allow_cmd_override

互動對象:

 布林值 (預設值為 false) 判斷工作負載容器的 Dockerfile 中指定的 CMD 是否可由工作負載運算子以 tee-cmd 中繼資料值覆寫。

tee.launch_policy.allow_env_override

互動對象:

 以半形逗號分隔的字串 以半形逗號分隔的允許環境變數名稱字串,工作負載運算子可使用 tee-env-ENVIRONMENT_VARIABLE_NAME 中繼資料值設定這些變數。

tee.launch_policy.allow_mount_destinations

互動對象:

  • 工作負載運算子 tee-mount 中繼資料變數。
 以半形冒號分隔的字串

以半形冒號分隔的字串,列出工作負載運算子可使用 tee-mount 掛接的目錄。

例如:/run/tmp:/var/tmp:/tmp

tee.launch_policy.log_redirect

互動對象:

 定義的字串

如果工作負載運算子將 tee-container-log-redirect 設為 true,則決定記錄作業的運作方式。

有效值如下:

  • debugonly (預設):使用偵錯圖片時,只允許 stdoutstderr 重新導向。
  • always:一律允許 stdoutstderr 重新導向。
  • never:一律不允許 stdoutstderr 重新導向。

tee.launch_policy.monitoring_memory_allow

互動對象:

 定義的字串

如果工作負載運算子將 tee-monitoring-memory-enable 設為 true,系統會根據這個值判斷工作負載記憶體用量監控機制。

有效值如下:

  • debugonly (預設):僅在使用偵錯映像檔時,才允許監控記憶體用量。
  • always:一律允許監控記憶體用量。
  • never:一律不允許監控記憶體用量。