Metadatenvariablen für Arbeitslasten

Sie können das Verhalten der Confidential Space-Arbeitslast-VM ändern, indem Sie beim Erstellen der VM Variablen an die Option --metadata übergeben.

Wenn Sie mehrere Variablen übergeben möchten, legen Sie zuerst das Trennzeichen fest, indem Sie dem Wert von --metadata das Präfix ^~^ voranstellen. Dadurch wird das Trennzeichen auf ~ gesetzt, da , in Variablenwerten verwendet wird.

Beispiel:

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

In der folgenden Tabelle sind die Metadatavariablen aufgeführt, die Sie für Ihre Arbeitslast-VM festlegen können.

Metadatenschlüssel Typ Beschreibung und Werte

tee-image-reference

Interagiert mit :

 String

Erforderlich. Verweist auf den Speicherort des Arbeitslastcontainers.

Beispiel
tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

ita-api-key

 String

Nur erforderlich, wenn Sie Intel Trust Authority als Ihr Attestierungsdienst verwenden. Legen Sie den Wert auf Ihren Intel Trust Authority-API Schlüssel fest.

Informationen zum Erstellen eines Intel Trust Authority-API-Schlüssels finden Sie in der Dokumentation von Intel.

Intel Trust Authority unterstützt nur Intel TDX-VM-Instanzen.

Beispiel
ita-api-key=API_KEY

ita-region

 String

Nur erforderlich, wenn Sie Intel Trust Authority als Ihr Attestierungsdienst verwenden. Legen Sie den Wert auf die Region fest, in der Intel Trust Authority ausgeführt werden soll. Die gültigen Regionen sind:

  • USA: https://api.trustauthority.intel.com
  • Europa: https://api.eu.trustauthority.intel.com

Intel Trust Authority unterstützt nur Intel TDX-VM-Instanzen.

Beispiel
ita-region=REGION_NAME

tee-added-capabilities

Interagiert mit :

 JSON-String-Array

Fügt dem Arbeitslastcontainer zusätzliche Linux-Berechtigungen hinzu.

Beispiel
tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"

tee-cgroup-ns

Interagiert mit :

 Boolesch

Die Standardeinstellung ist false. Wenn der Wert auf true gesetzt ist, wird eine Namespaced-Cgroup-Bereitstellung unter /sys/fs/cgroup aktiviert.

Beispiel
tee-cgroup-ns=true

tee-cmd

Interagiert mit :

 JSON-String-Array

Überschreibt die CMD-Anweisungen, die im `Dockerfile` des Arbeitslastcontainers angegeben sind. Dockerfile.

Beispiel
tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

Interagiert mit :

 Aufzählung

Gibt STDOUT und STDERR aus dem Arbeitslastcontainer in Cloud Logging oder die serielle Konsole aus. Dabei wird das Feld confidential-space-launcher verwendet.

Die gültigen Werte sind:

  • false: (Standard) Es erfolgt keine Protokollierung.
  • true: Ausgabe an die serielle Konsole und Cloud Logging.
  • cloud_logging: Ausgabe nur an Cloud Logging.
  • serial: Ausgabe nur an die serielle Konsole.

Ein hohes Logvolumen in der seriellen Konsole kann sich auf die Arbeitslast leistung auswirken.

Beispiel
tee-container-log-redirect=true

tee-dev-shm-size-kb

 Ganzzahl

Legt die Größe der Bereitstellung des gemeinsam genutzten Arbeitsspeichers /dev/shm in KB fest.

Beispiel
tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

Interagiert mit :

 String

Legt Umgebungsvariablen im Arbeitslastcontainer fest. Der Arbeitslast autor muss die Namen der Umgebungsvariablen auch der allow_env_override Startrichtlinie hinzufügen, sonst werden sie nicht festgelegt.

Beispiel
tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

Interagiert mit :

 String

Eine Liste von Dienstkonten, deren Identität vom Arbeitslast operator übernommen werden kann. Der Arbeitslastoperator muss die Identität der Dienstkonten übernehmen dürfen.

Es können mehrere Dienstkonten durch Kommas getrennt aufgeführt werden.

Beispiel
tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-install-gpu-driver

Interagiert mit :

 Boolesch

Gibt an, ob der Confidential Computing-GPU-Treiber von NVIDIA installiert werden soll. Erfordert einen Maschinentyp, der NVIDIA Confidential Computing unterstützt.

Beispiel
tee-install-gpu-driver=true

tee-monitoring-memory-enable

Interagiert mit :

 Boolesch

Die Standardeinstellung ist false. Wenn der Wert auf true gesetzt ist, wird die Überwachung der Speichernutzung aktiviert. Die von der Confidential VM erfassten Messwerte haben den guest/memory/bytes_used Typ und können in Cloud Logging oder im Metrics Explorer aufgerufen werden.

Beispiel
tee-monitoring-memory-enable=true

tee-mount

Interagiert mit :

 String

Eine Liste von durch Semikolons getrennten Bereitstellungsdefinitionen. Eine Bereitstellungsdefinition besteht aus einer durch Kommas getrennten Liste von Schlüssel/Wert-Paaren, die type, source, und destination erfordern. destination muss ein absoluter Pfad sein und type/source muss tmpfs sein.

Beispiel
type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

Interagiert mit :

 Aufzählung

Die Neustartrichtlinie des Container-Launchers, wenn die Arbeitslast beendet wird.

Die gültigen Werte sind:

  • Never (Standard)
  • Always
  • OnFailure

Diese Variable wird nur vom Confidential Space Image unterstützt.

Beispiel
tee-restart-policy=OnFailure

tee-signed-image-repos

Interagiert mit :

 String

Eine Liste von kommagetrennten Container-Repositories, in denen die Signaturen gespeichert werden, die von Sigstore Cosign generiert werden.

Beispiel
tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example