Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

ワークロードのメタデータ変数

VM の作成時に --metadata オプションに変数を渡すことで、Confidential Space ワークロード VM の動作を変更できます。

複数の変数を渡すには、まず --metadata 値の前に ^~^ を付けて区切り文字を設定します。これにより、, が変数で使用されているため、区切り文字が ~ に設定されます。

次に例を示します。

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

次の表に、ワークロード VM に設定できるメタデータ変数を示します。

メタデータキー Type 説明と値

メタデータキー	Type	説明と値
`tee-image-reference` 連携するサービス: データコラボレーター: `container.image_reference` アサーション。	文字列	必須。これは、ワークロードコンテナの場所を指します。例 `tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest`
`ita-api-key`	文字列	Intel Trust Authority を構成証明サービスとして使用している場合にのみ必要です。値を Intel Trust Authority API キーに設定します。 Intel Trust Authority API キーの作成方法については、 Intel のドキュメントをご覧ください。 Intel Trust Authority は、Intel TDX VM インスタンスのみをサポートします。例 `ita-api-key=API_KEY`
`ita-region`	文字列	Intel Trust Authority を構成証明サービスとして使用している場合にのみ必要です。値を、Intel Trust Authority を実行するリージョンに設定します。有効なリージョンは次のとおりです。米国: `https://api.trustauthority.intel.com` ヨーロッパ: `https://api.eu.trustauthority.intel.com` Intel Trust Authority は、Intel TDX VM インスタンスのみをサポートします。例 `ita-region=REGION_NAME`
`tee-added-capabilities` 連携するサービス: ワークロード作成者: `allow_capabilities` 起動ポリシー。	JSON 文字列配列	ワークロードコンテナに Linux 機能を追加します。例 `tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"`
`tee-cgroup-ns` 連携するサービス: ワークロード作成者: `allow_cgroups` 起動ポリシー。	ブール値	デフォルトは `false` です。`true` に設定すると、`/sys/fs/cgroup` で名前空間の cgroup マウントが有効になります。例 `tee-cgroup-ns=true`
`tee-cmd` 連携するサービス: ワークロード作成者: `allow_cmd_override` 起動ポリシー。データコラボレーター: `container.cmd_override` アサーション。	JSON 文字列配列	ワークロードコンテナの `Dockerfile` で指定された CMD 命令をオーバーライドします。例 `tee-cmd="[\"params1\", \"params2\"]"`
`tee-container-log-redirect` 連携するサービス: ワークロード作成者: `log_redirect` 起動ポリシー。	列挙	confidential-space-launcher フィールドを使用して、ワークロードコンテナの `STDOUT` と `STDERR` を Cloud Logging またはシリアルコンソールに出力します。有効な値は次のとおりです。 `false`: （デフォルト）ロギングは行われません。 `true`: シリアルコンソールと Cloud Logging に出力します。 `cloud_logging`: Cloud Logging にのみ出力します。 `serial`: シリアルコンソールにのみ出力します。シリアルコンソールのログ量が多いと、ワークロードのパフォーマンスに影響する可能性があります。例 `tee-container-log-redirect=true`
`tee-dev-shm-size-kb`	Integer	`/dev/shm` 共有メモリマウントのサイズを kB 単位で設定します。例 `tee-dev-shm-size-kb=65536`
`tee-env-ENVIRONMENT_VARIABLE_NAME` 連携するサービス: データコラボレーター: `container.env` アサーションと `container.env_override` アサーション。	文字列	ワークロードコンテナの環境変数を設定します。ワークロード作成者は、環境変数名を `allow_env_override` 起動ポリシーに追加する必要があります。そうしないと、設定されません。例 `tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'`
`tee-impersonate-service-accounts` 連携するサービス: データコラボレーター: `google_service_accounts` アサーション。	文字列	ワークロードオペレーターによって権限を借用できるサービスアカウントのリスト。ワークロードオペレーターが、サービスアカウントの権限借用を許可されている必要があります。複数のサービスアカウントをカンマで区切って指定できます。例 `tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com`
`tee-install-gpu-driver` 連携するサービス: データ共同編集者: `nvidia_gpu.cc_feature`、 `nvidia_gpu.cc_mode`、 `nvidia_gpu.gpus` アサーション。	ブール値	NVIDIA の Confidential Computing GPU ドライバをインストールするかどうか。NVIDIA Confidential Computing をサポートするマシンタイプが必要です。例 `tee-install-gpu-driver=true`
`tee-monitoring-memory-enable` 連携するサービス: データコラボレーター: `instance_memory_monitoring_enabled` アサーション。ワークロード作成者: `monitoring_memory_allow` 起動ポリシー。	ブール値	デフォルトは `false` です。`true` に設定すると、メモリ使用量のモニタリングが有効になります。Confidential VM によって収集された指標は `guest/memory/bytes_used` タイプで、Cloud Logging または Metrics Explorer で表示できます。例 `tee-monitoring-memory-enable=true`
`tee-mount` 連携するサービス: ワークロード作成者: `allow_mount_destinations` 起動ポリシー。	文字列	セミコロンで区切られたマウント定義のリスト。マウント定義は、Key-Value ペアのカンマ区切りのリストで構成され、`type`、`source`、`destination` が必要です。`destination` は絶対パスでなければならず、`type`/`source` は `tmpfs` でなければなりません。例 `type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload`
`tee-restart-policy` 連携するサービス: データコラボレーター: `container.restart_policy` アサーション。	列挙	ワークロードが停止したときのコンテナランチャーの再起動ポリシー。有効な値は次のとおりです。 `Never`（デフォルト） `Always` `OnFailure` この変数は、本番環境の Confidential Space イメージでのみサポートされています。例 `tee-restart-policy=OnFailure`
`tee-signed-image-repos` 連携するサービス: データコラボレーター: `container.image_signatures` アサーション。	文字列	Sigstore Cosign によって生成された署名を保存するコンテナリポジトリのカンマ区切りのリスト。例 `tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example`

tee-image-reference

連携するサービス:

データコラボレーター: container.image_reference アサーション。

文字列

必須。これは、ワークロードコンテナの場所を指します。

例

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

ita-api-key

文字列

Intel Trust Authority を構成証明サービスとして使用している場合にのみ必要です。値を Intel Trust Authority API キーに設定します。

Intel Trust Authority API キーの作成方法については、 Intel のドキュメントをご覧ください。

Intel Trust Authority は、Intel TDX VM インスタンスのみをサポートします。

例

ita-api-key=API_KEY

ita-region

文字列

Intel Trust Authority を構成証明サービスとして使用している場合にのみ必要です。値を、Intel Trust Authority を実行するリージョンに設定します。有効なリージョンは次のとおりです。

米国: https://api.trustauthority.intel.com
ヨーロッパ: https://api.eu.trustauthority.intel.com

Intel Trust Authority は、Intel TDX VM インスタンスのみをサポートします。

例

ita-region=REGION_NAME

tee-added-capabilities

連携するサービス:

ワークロード作成者: allow_capabilities 起動ポリシー。

JSON 文字列配列

ワークロードコンテナに Linux 機能を追加します。

例

tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"

tee-cgroup-ns

連携するサービス:

ワークロード作成者: allow_cgroups 起動ポリシー。

ブール値

デフォルトは false です。true に設定すると、/sys/fs/cgroup で名前空間の cgroup マウントが有効になります。

例

tee-cgroup-ns=true

tee-cmd

連携するサービス:

ワークロード作成者: allow_cmd_override 起動ポリシー。
データコラボレーター: container.cmd_override アサーション。

JSON 文字列配列

ワークロードコンテナの Dockerfile で指定された CMD 命令をオーバーライドします。

例

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

連携するサービス:

ワークロード作成者: log_redirect 起動ポリシー。

列挙

confidential-space-launcher フィールドを使用して、ワークロードコンテナの STDOUT と STDERR を Cloud Logging またはシリアルコンソールに出力します。

有効な値は次のとおりです。

false: （デフォルト）ロギングは行われません。
true: シリアルコンソールと Cloud Logging に出力します。
cloud_logging: Cloud Logging にのみ出力します。
serial: シリアルコンソールにのみ出力します。

シリアルコンソールのログ量が多いと、ワークロードのパフォーマンスに影響する可能性があります。

例

tee-container-log-redirect=true

tee-dev-shm-size-kb

Integer

/dev/shm 共有メモリマウントのサイズを kB 単位で設定します。

例

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

連携するサービス:

データコラボレーター: container.env アサーションと container.env_override アサーション。

文字列

ワークロードコンテナの環境変数を設定します。ワークロード作成者は、環境変数名を allow_env_override 起動ポリシーに追加する必要があります。そうしないと、設定されません。

例

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

連携するサービス:

データコラボレーター: google_service_accounts アサーション。

文字列

ワークロードオペレーターによって権限を借用できるサービスアカウントのリスト。ワークロードオペレーターが、サービスアカウントの権限借用を許可されている必要があります。

複数のサービスアカウントをカンマで区切って指定できます。

例

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-install-gpu-driver

連携するサービス:

データ共同編集者: nvidia_gpu.cc_feature、 nvidia_gpu.cc_mode、 nvidia_gpu.gpus アサーション。

ブール値

NVIDIA の Confidential Computing GPU ドライバをインストールするかどうか。NVIDIA Confidential Computing をサポートするマシンタイプが必要です。

例

tee-install-gpu-driver=true

tee-monitoring-memory-enable

連携するサービス:

データコラボレーター: instance_memory_monitoring_enabled アサーション。
ワークロード作成者: monitoring_memory_allow 起動ポリシー。

ブール値

デフォルトは false です。true に設定すると、メモリ使用量のモニタリングが有効になります。Confidential VM によって収集された指標は guest/memory/bytes_used タイプで、Cloud Logging または Metrics Explorer で表示できます。

例

tee-monitoring-memory-enable=true

tee-mount

連携するサービス:

ワークロード作成者: allow_mount_destinations 起動ポリシー。

文字列

セミコロンで区切られたマウント定義のリスト。マウント定義は、Key-Value ペアのカンマ区切りのリストで構成され、type、source、destination が必要です。destination は絶対パスでなければならず、type/source は tmpfs でなければなりません。

例

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

連携するサービス:

データコラボレーター: container.restart_policy アサーション。

列挙

ワークロードが停止したときのコンテナランチャーの再起動ポリシー。

有効な値は次のとおりです。

Never（デフォルト）
Always
OnFailure

この変数は、本番環境の Confidential Space イメージでのみサポートされています。

例

tee-restart-policy=OnFailure

tee-signed-image-repos

連携するサービス:

データコラボレーター: container.image_signatures アサーション。

文字列

Sigstore Cosign によって生成された署名を保存するコンテナリポジトリのカンマ区切りのリスト。

例

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example

ワークロードのメタデータ変数 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。

例

例

例

例

例

例

例

例

例

例

例

例

例

例

例

ワークロードのメタデータ変数