Metadatenvariablen für Arbeitslasten

Workload-Operator

Sie können das Verhalten der Confidential Space-Arbeitslast-VM ändern, indem Sie beim Erstellen der VM Variablen an die Option --metadata übergeben.

Wenn Sie mehrere Variablen übergeben möchten, legen Sie zuerst das Trennzeichen fest, indem Sie dem --metadata-Wert ^~^ voranstellen. Dadurch wird das Trennzeichen auf ~ festgelegt, da , in Variablenwerten verwendet wird.

Beispiel:

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

In der folgenden Tabelle sind die Metadatavariablen aufgeführt, die Sie für Ihre Arbeitslast-VM festlegen können.

Metadatenschlüssel Typ Beschreibung und Werte

Metadatenschlüssel	Typ	Beschreibung und Werte
`tee-image-reference` Interagiert mit: Mitwirkende: Die `container.image_id` Behauptung.	String	Erforderlich. Dies verweist auf den Speicherort des Arbeitslastcontainers. Beispiel `tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest`
`tee-added-capabilities` Interagiert mit: Autor der Arbeitslast: Der `allow_capabilities` Startrichtlinie.	JSON-String-Array	Fügt dem Arbeitslastcontainer zusätzliche Linux-Berechtigungen hinzu. Beispiel `tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"`
`tee-cgroup-ns` Interagiert mit: Autor der Arbeitslast: Der `allow_cgroups` Startrichtlinie.	Boolesch	Die Standardeinstellung ist `false`. Wenn dieser Parameter auf `true` gesetzt ist, wird eine Namespaced-Cgroup-Bereitstellung unter `/sys/fs/cgroup` aktiviert. Beispiel `tee-cgroup-ns=true`
`tee-cmd` Interagiert mit: Autor der Arbeitslast: Der `allow_cmd_override` Startrichtlinie. Mitwirkende: Die `container.cmd_override` Behauptung.	JSON-String-Array	Überschreibt die CMD-Anweisungen, die im `Dockerfile` des Arbeitslastcontainers angegeben sind. Beispiel `tee-cmd="[\"params1\", \"params2\"]"`
`tee-container-log-redirect` Interagiert mit: Autor der Arbeitslast: Der `log_redirect` Startrichtlinie.	Definierter String	Gibt `STDOUT` und `STDERR` aus dem Arbeitslastcontainer in Cloud Logging oder der seriellen Konsole aus, unter dem Feld confidential-space-launcher. Die gültigen Werte sind: `false`: (Standard) Es erfolgt kein Logging. `true`: Ausgaben an die serielle Konsole und Cloud Logging. `cloud_logging`: Ausgabe nur in Cloud Logging. `serial`: Nur Ausgaben an die serielle Konsole. Ein hohes Logvolumen in der seriellen Konsole kann sich auf die Leistung der Arbeitslast auswirken. Beispiel `tee-container-log-redirect=true`
`tee-dev-shm-size-kb`	Ganzzahl	Legt die Größe des `/dev/shm`-Mounts für den gemeinsam genutzten Arbeitsspeicher in kB fest. Beispiel `tee-dev-shm-size-kb=65536`
`tee-env-ENVIRONMENT_VARIABLE_NAME` Interagiert mit: Datenmitbearbeiter: Die `container.env` und `container.env_override` Behauptungen.	String	Legt Umgebungsvariablen im Arbeitslastcontainer fest. Der Autor der Arbeitslast muss die Namen der Umgebungsvariablen auch der `allow_env_override` -Startrichtlinie hinzufügen, da sie sonst nicht festgelegt werden. Beispiel `tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'`
`tee-impersonate-service-accounts` Interagiert mit: Datenmitbearbeiter: Die `google_service_accounts` Behauptung.	String	Eine Liste der Dienstkonten, für die der Arbeitslastoperator die Identität übernehmen kann. Der Arbeitslastoperator muss die Identität der Dienstkonten übernehmen dürfen. Es können mehrere Dienstkonten durch Kommas getrennt aufgeführt werden. Beispiel `tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com`
`tee-install-gpu-driver` Interagiert mit: Datenmitbearbeiter: Die `nvidia_gpu.cc_mode` Behauptung.	Boolesch	Gibt an, ob der Confidential Computing-GPU-Treiber von NVIDIA installiert werden soll. Erfordert einen Maschinentyp, der NVIDIA Confidential Computing unterstützt (Vorschau). Beispiel `tee-install-gpu-driver=true`
`tee-monitoring-memory-enable` Interagiert mit: Datenmitbearbeiter: Die `instance_memory_monitoring_enabled` Assertion. Autor der Arbeitslast: Der `monitoring_memory_allow` Startrichtlinie.	Boolesch	Die Standardeinstellung ist `false`. Wenn `true` festgelegt ist, wird die Überwachung der Speichernutzung aktiviert. Die von der Confidential VM erfassten Messwerte haben den Typ `guest/memory/bytes_used` und können in Cloud Logging oder im Metrics Explorer aufgerufen werden. Beispiel `tee-monitoring-memory-enable=true`
`tee-mount` Interagiert mit: Autor der Arbeitslast: Der `allow_mount_destinations` Startrichtlinie.	String	Eine durch Semikolons getrennte Liste von Mount-Definitionen. Eine Mount-Definition besteht aus einer durch Kommas getrennten Liste von Schlüssel/Wert-Paaren, für die `type`, `source` und `destination` erforderlich sind. `destination` muss ein absoluter Pfad sein und `type`/`source` muss `tmpfs` sein. Beispiel `type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload`
`tee-restart-policy` Interagiert mit: Mitwirkende: Die `container.restart_policy` Behauptung.	Definierter String	Die Neustart-Richtlinie des Container-Launchers, wenn die Arbeitslast beendet wird. Die gültigen Werte sind: `Never` (Standard) `Always` `OnFailure` Diese Variable wird nur vom Confidential Space-Produktions-Image unterstützt. Beispiel `tee-restart-policy=OnFailure`
`tee-signed-image-repos` Interagiert mit: Mitwirkende: Die `container.image_signatures` Behauptung.	String	Eine Liste durch Kommas getrennter Container-Repositories, in denen die von Sigstore Cosign generierten Signaturen gespeichert werden. Beispiel `tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example`

tee-image-reference

Interagiert mit:

Mitwirkende: Die container.image_id Behauptung.

String

Erforderlich. Dies verweist auf den Speicherort des Arbeitslastcontainers.

Beispiel

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

tee-added-capabilities

Interagiert mit:

Autor der Arbeitslast: Der allow_capabilities Startrichtlinie.

JSON-String-Array

Fügt dem Arbeitslastcontainer zusätzliche Linux-Berechtigungen hinzu.

Beispiel

tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"

tee-cgroup-ns

Interagiert mit:

Autor der Arbeitslast: Der allow_cgroups Startrichtlinie.

Boolesch

Die Standardeinstellung ist false. Wenn dieser Parameter auf true gesetzt ist, wird eine Namespaced-Cgroup-Bereitstellung unter /sys/fs/cgroup aktiviert.

Beispiel

tee-cgroup-ns=true

tee-cmd

Interagiert mit:

Autor der Arbeitslast: Der allow_cmd_override Startrichtlinie.
Mitwirkende: Die container.cmd_override Behauptung.

JSON-String-Array

Überschreibt die CMD-Anweisungen, die im Dockerfile des Arbeitslastcontainers angegeben sind.

Beispiel

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

Interagiert mit:

Autor der Arbeitslast: Der log_redirect Startrichtlinie.

Definierter String

Gibt STDOUT und STDERR aus dem Arbeitslastcontainer in Cloud Logging oder der seriellen Konsole aus, unter dem Feld confidential-space-launcher.

Die gültigen Werte sind:

false: (Standard) Es erfolgt kein Logging.
true: Ausgaben an die serielle Konsole und Cloud Logging.
cloud_logging: Ausgabe nur in Cloud Logging.
serial: Nur Ausgaben an die serielle Konsole.

Ein hohes Logvolumen in der seriellen Konsole kann sich auf die Leistung der Arbeitslast auswirken.

Beispiel

tee-container-log-redirect=true

tee-dev-shm-size-kb

Ganzzahl

Legt die Größe des /dev/shm-Mounts für den gemeinsam genutzten Arbeitsspeicher in kB fest.

Beispiel

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

Interagiert mit:

Datenmitbearbeiter: Die container.env und container.env_override Behauptungen.

String

Legt Umgebungsvariablen im Arbeitslastcontainer fest. Der Autor der Arbeitslast muss die Namen der Umgebungsvariablen auch der allow_env_override -Startrichtlinie hinzufügen, da sie sonst nicht festgelegt werden.

Beispiel

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

Interagiert mit:

Datenmitbearbeiter: Die google_service_accounts Behauptung.

String

Eine Liste der Dienstkonten, für die der Arbeitslastoperator die Identität übernehmen kann. Der Arbeitslastoperator muss die Identität der Dienstkonten übernehmen dürfen.

Es können mehrere Dienstkonten durch Kommas getrennt aufgeführt werden.

Beispiel

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-install-gpu-driver

Interagiert mit:

Datenmitbearbeiter: Die nvidia_gpu.cc_mode Behauptung.

Boolesch

Gibt an, ob der Confidential Computing-GPU-Treiber von NVIDIA installiert werden soll. Erfordert einen Maschinentyp, der NVIDIA Confidential Computing unterstützt (Vorschau).

Beispiel

tee-install-gpu-driver=true

tee-monitoring-memory-enable

Interagiert mit:

Datenmitbearbeiter: Die instance_memory_monitoring_enabled Assertion.
Autor der Arbeitslast: Der monitoring_memory_allow Startrichtlinie.

Boolesch

Die Standardeinstellung ist false. Wenn true festgelegt ist, wird die Überwachung der Speichernutzung aktiviert. Die von der Confidential VM erfassten Messwerte haben den Typ guest/memory/bytes_used und können in Cloud Logging oder im Metrics Explorer aufgerufen werden.

Beispiel

tee-monitoring-memory-enable=true

tee-mount

Interagiert mit:

Autor der Arbeitslast: Der allow_mount_destinations Startrichtlinie.

String

Eine durch Semikolons getrennte Liste von Mount-Definitionen. Eine Mount-Definition besteht aus einer durch Kommas getrennten Liste von Schlüssel/Wert-Paaren, für die type, source und destination erforderlich sind. destination muss ein absoluter Pfad sein und type/source muss tmpfs sein.

Beispiel

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

Interagiert mit:

Mitwirkende: Die container.restart_policy Behauptung.

Definierter String

Die Neustart-Richtlinie des Container-Launchers, wenn die Arbeitslast beendet wird.

Die gültigen Werte sind:

Never (Standard)
Always
OnFailure

Diese Variable wird nur vom Confidential Space-Produktions-Image unterstützt.

Beispiel

tee-restart-policy=OnFailure

tee-signed-image-repos

Interagiert mit:

Mitwirkende: Die container.image_signatures Behauptung.

String

Eine Liste durch Kommas getrennter Container-Repositories, in denen die von Sigstore Cosign generierten Signaturen gespeichert werden.

Beispiel

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example

Metadatenvariablen für Arbeitslasten Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Beispiel

Beispiel

Beispiel

Beispiel

Beispiel

Beispiel

Beispiel

Beispiel

Beispiel

Beispiel

Beispiel

Beispiel

Beispiel

Metadatenvariablen für Arbeitslasten