Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Variabel metadata beban kerja

Operator workload

Anda dapat mengubah perilaku VM workload Confidential Space dengan meneruskan variabel ke opsi --metadata saat Anda membuat VM.

Untuk meneruskan beberapa variabel, tetapkan terlebih dahulu pembatas dengan menambahkan awalan --metadata nilai dengan ^~^. Tindakan ini menetapkan pembatas ke ~, karena , digunakan dalam nilai variabel.

Contoh:

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

Tabel berikut menjelaskan variabel metadata yang dapat Anda tetapkan untuk VM beban kerja.

Kunci metadata Jenis Deskripsi dan nilai

Kunci metadata	Jenis	Deskripsi dan nilai
`tee-image-reference` Berinteraksi dengan: Kolaborator data: Pernyataan `container.image_reference`.	String	Wajib. Ini menunjukkan lokasi container workload. Contoh `tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest`
`ita-api-key`	String	Hanya diperlukan jika Anda menggunakan Intel Trust Authority sebagai layanan pengesahan Anda. Tetapkan nilai ke kunci API Intel Trust Authority Anda. Lihat dokumentasi Intel untuk mengetahui cara membuat kunci API Intel Trust Authority. Intel Trust Authority hanya mendukung instance VM Intel TDX. Contoh `ita-api-key=API_KEY`
`ita-region`	String	Hanya diperlukan jika Anda menggunakan Intel Trust Authority sebagai layanan pengesahan Anda. Setel nilai ke wilayah tempat Anda ingin Intel Trust Authority berjalan. Region yang valid adalah: Amerika Serikat: `https://api.trustauthority.intel.com` Eropa: `https://api.eu.trustauthority.intel.com` Intel Trust Authority hanya mendukung instance VM Intel TDX. Contoh `ita-region=REGION_NAME`
`tee-added-capabilities` Berinteraksi dengan: Pembuat workload: Kebijakan peluncuran `allow_capabilities`.	Array string JSON	Menambahkan kemampuan Linux tambahan ke penampung workload. Contoh `tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"`
`tee-cgroup-ns` Berinteraksi dengan: Pembuat workload: Kebijakan peluncuran `allow_cgroups`.	Boolean	Nilai defaultnya adalah `false`. Jika disetel ke `true`, mengaktifkan pemasangan cgroup dengan namespace di `/sys/fs/cgroup`. Contoh `tee-cgroup-ns=true`
`tee-cmd` Berinteraksi dengan: Pembuat workload: Kebijakan peluncuran `allow_cmd_override`. Kolaborator data: Pernyataan `container.cmd_override`.	Array string JSON	Menggantikan CMD yang ditentukan dalam `Dockerfile` container workload. Contoh `tee-cmd="[\"params1\", \"params2\"]"`
`tee-container-log-redirect` Berinteraksi dengan: Pembuat workload: Kebijakan peluncuran `log_redirect`.	Enumerasi	Menampilkan `STDOUT` dan `STDERR` dari container workload ke Cloud Logging atau konsol serial, menggunakan kolom confidential-space-launcher. Nilai yang valid adalah: `false`: (default) tidak ada logging. `true`: output ke konsol serial dan Cloud Logging. `cloud_logging`: hanya menghasilkan output ke Cloud Logging. `serial`: output ke konsol serial saja. Volume log yang tinggi di konsol serial dapat memengaruhi performa workload. Contoh `tee-container-log-redirect=true`
`tee-dev-shm-size-kb`	Bilangan bulat	Menetapkan ukuran dalam kB dari pemasangan memori bersama `/dev/shm`. Contoh `tee-dev-shm-size-kb=65536`
`tee-env-ENVIRONMENT_VARIABLE_NAME` Berinteraksi dengan: Kolaborator data: Pernyataan `container.env` dan `container.env_override`.	String	Menetapkan variabel lingkungan dalam container beban kerja. Penulis beban kerja juga harus menambahkan nama variabel lingkungan ke kebijakan peluncuran `allow_env_override`, atau variabel tersebut tidak akan ditetapkan. Contoh `tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'`
`tee-impersonate-service-accounts` Berinteraksi dengan: Kolaborator data: Pernyataan `google_service_accounts`.	String	Daftar akun layanan yang dapat ditiru identitasnya oleh operator workload. Operator workload harus diizinkan untuk meniru identitas akun layanan. Beberapa akun layanan dapat dicantumkan, yang dipisahkan dengan koma. Contoh `tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com`
`tee-install-gpu-driver` Berinteraksi dengan: Kolaborator data: Pernyataan `nvidia_gpu.cc_feature`, `nvidia_gpu.cc_mode`, dan `nvidia_gpu.gpus`.	Boolean	Apakah akan menginstal driver GPU Confidential Computing NVIDIA. Memerlukan jenis mesin yang mendukung NVIDIA Confidential Computing. Contoh `tee-install-gpu-driver=true`
`tee-monitoring-memory-enable` Berinteraksi dengan: Kolaborator data: Pernyataan `instance_memory_monitoring_enabled`. Pembuat workload: Kebijakan peluncuran `monitoring_memory_allow`.	Boolean	Nilai defaultnya adalah `false`. Jika disetel ke `true`, mengaktifkan pemantauan penggunaan memori. Metrik yang dikumpulkan oleh Confidential VM berjenis `guest/memory/bytes_used`, dan dapat dilihat di Cloud Logging atau Metrics Explorer. Contoh `tee-monitoring-memory-enable=true`
`tee-mount` Berinteraksi dengan: Pembuat workload: Kebijakan peluncuran `allow_mount_destinations`.	String	Daftar definisi pemasangan yang dipisahkan dengan titik koma. Definisi pemasangan terdiri dari daftar pasangan nilai kunci yang dipisahkan koma, yang memerlukan `type`, `source`, dan `destination`. `destination` harus berupa jalur absolut dan `type`/`source` harus berupa `tmpfs`. Contoh `type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload`
`tee-restart-policy` Berinteraksi dengan: Kolaborator data: Pernyataan `container.restart_policy`.	Enumerasi	Kebijakan mulai ulang peluncur container saat workload berhenti. Nilai yang valid adalah: `Never` (default) `Always` `OnFailure` Variabel ini hanya didukung oleh image Confidential Space produksi. Contoh `tee-restart-policy=OnFailure`
`tee-signed-image-repos` Berinteraksi dengan: Kolaborator data: Pernyataan `container.image_signatures`.	String	Daftar repositori penampung yang dipisahkan koma yang menyimpan tanda tangan yang dibuat oleh Sigstore Cosign. Contoh `tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example`

tee-image-reference

Berinteraksi dengan:

Kolaborator data: Pernyataan container.image_reference.

String

Wajib. Ini menunjukkan lokasi container workload.

Contoh

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

ita-api-key

String

Hanya diperlukan jika Anda menggunakan Intel Trust Authority sebagai layanan pengesahan Anda. Tetapkan nilai ke kunci API Intel Trust Authority Anda.

Lihat dokumentasi Intel untuk mengetahui cara membuat kunci API Intel Trust Authority.

Intel Trust Authority hanya mendukung instance VM Intel TDX.

Contoh

ita-api-key=API_KEY

ita-region

String

Hanya diperlukan jika Anda menggunakan Intel Trust Authority sebagai layanan pengesahan Anda. Setel nilai ke wilayah tempat Anda ingin Intel Trust Authority berjalan. Region yang valid adalah:

Amerika Serikat: https://api.trustauthority.intel.com
Eropa: https://api.eu.trustauthority.intel.com

Intel Trust Authority hanya mendukung instance VM Intel TDX.

Contoh

ita-region=REGION_NAME

tee-added-capabilities

Berinteraksi dengan:

Pembuat workload: Kebijakan peluncuran allow_capabilities.

Array string JSON

Menambahkan kemampuan Linux tambahan ke penampung workload.

Contoh

tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"

tee-cgroup-ns

Berinteraksi dengan:

Pembuat workload: Kebijakan peluncuran allow_cgroups.

Boolean

Nilai defaultnya adalah false. Jika disetel ke true, mengaktifkan pemasangan cgroup dengan namespace di /sys/fs/cgroup.

Contoh

tee-cgroup-ns=true

tee-cmd

Berinteraksi dengan:

Pembuat workload: Kebijakan peluncuran allow_cmd_override.
Kolaborator data: Pernyataan container.cmd_override.

Array string JSON

Menggantikan CMD yang ditentukan dalam Dockerfile container workload.

Contoh

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

Berinteraksi dengan:

Pembuat workload: Kebijakan peluncuran log_redirect.

Enumerasi

Menampilkan STDOUT dan STDERR dari container workload ke Cloud Logging atau konsol serial, menggunakan kolom confidential-space-launcher.

Nilai yang valid adalah:

false: (default) tidak ada logging.
true: output ke konsol serial dan Cloud Logging.
cloud_logging: hanya menghasilkan output ke Cloud Logging.
serial: output ke konsol serial saja.

Volume log yang tinggi di konsol serial dapat memengaruhi performa workload.

Contoh

tee-container-log-redirect=true

tee-dev-shm-size-kb

Bilangan bulat

Menetapkan ukuran dalam kB dari pemasangan memori bersama /dev/shm.

Contoh

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

Berinteraksi dengan:

Kolaborator data: Pernyataan container.env dan container.env_override.

String

Menetapkan variabel lingkungan dalam container beban kerja. Penulis beban kerja juga harus menambahkan nama variabel lingkungan ke kebijakan peluncuran allow_env_override, atau variabel tersebut tidak akan ditetapkan.

Contoh

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

Berinteraksi dengan:

Kolaborator data: Pernyataan google_service_accounts.

String

Daftar akun layanan yang dapat ditiru identitasnya oleh operator workload. Operator workload harus diizinkan untuk meniru identitas akun layanan.

Beberapa akun layanan dapat dicantumkan, yang dipisahkan dengan koma.

Contoh

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-install-gpu-driver

Berinteraksi dengan:

Kolaborator data: Pernyataan nvidia_gpu.cc_feature, nvidia_gpu.cc_mode, dan nvidia_gpu.gpus.

Boolean

Apakah akan menginstal driver GPU Confidential Computing NVIDIA. Memerlukan jenis mesin yang mendukung NVIDIA Confidential Computing.

Contoh

tee-install-gpu-driver=true

tee-monitoring-memory-enable

Berinteraksi dengan:

Kolaborator data: Pernyataan instance_memory_monitoring_enabled.
Pembuat workload: Kebijakan peluncuran monitoring_memory_allow.

Boolean

Nilai defaultnya adalah false. Jika disetel ke true, mengaktifkan pemantauan penggunaan memori. Metrik yang dikumpulkan oleh Confidential VM berjenis guest/memory/bytes_used, dan dapat dilihat di Cloud Logging atau Metrics Explorer.

Contoh

tee-monitoring-memory-enable=true

tee-mount

Berinteraksi dengan:

Pembuat workload: Kebijakan peluncuran allow_mount_destinations.

String

Daftar definisi pemasangan yang dipisahkan dengan titik koma. Definisi pemasangan terdiri dari daftar pasangan nilai kunci yang dipisahkan koma, yang memerlukan type, source, dan destination. destination harus berupa jalur absolut dan type/source harus berupa tmpfs.

Contoh

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

Berinteraksi dengan:

Kolaborator data: Pernyataan container.restart_policy.

Enumerasi

Kebijakan mulai ulang peluncur container saat workload berhenti.

Nilai yang valid adalah:

Never (default)
Always
OnFailure

Variabel ini hanya didukung oleh image Confidential Space produksi.

Contoh

tee-restart-policy=OnFailure

tee-signed-image-repos

Berinteraksi dengan:

Kolaborator data: Pernyataan container.image_signatures.

String

Daftar repositori penampung yang dipisahkan koma yang menyimpan tanda tangan yang dibuat oleh Sigstore Cosign.

Contoh

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example

Variabel metadata beban kerja Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Variabel metadata beban kerja