Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Variables de métadonnées de charge de travail

Vous pouvez modifier le comportement de la VM de charge de travail Confidential Space en transmettant des variables à l'option --metadata lorsque vous créez la VM.

Pour transmettre plusieurs variables, commencez par définir le délimiteur en préfixant la valeur --metadata avec ^~^. Cela définit le délimiteur sur ~, car , est utilisé dans les valeurs de variables.

Exemple :

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

Le tableau suivant détaille les variables de métadonnées que vous pouvez définir pour votre VM de charge de travail.

Clé de métadonnée Type Description et valeurs

Clé de métadonnée	Type	Description et valeurs
`tee-image-reference` Interagit avec : Collaborateurs de données : assertion `container.image_reference`.	Chaîne	Obligatoire. Cette valeur pointe vers l'emplacement du conteneur de la charge de travail. Exemple `tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest`
`ita-api-key`	Chaîne	Obligatoire uniquement si vous utilisez Intel Trust Authority comme service d'attestation. Définissez la valeur sur votre clé API Intel Trust Authority. Pour savoir comment créer une clé API Intel Trust Authority, consultez la documentation d'Intel. Intel Trust Authority n'est compatible qu'avec les instances de VM Intel TDX. Exemple `ita-api-key=API_KEY`
`ita-region`	Chaîne	Obligatoire uniquement si vous utilisez Intel Trust Authority comme service d'attestation. Définissez la valeur sur la région dans laquelle vous souhaitez exécuter Intel Trust Authority. Les régions valides sont les suivantes : États-Unis : `https://api.trustauthority.intel.com` Europe : `https://api.eu.trustauthority.intel.com` Intel Trust Authority n'est compatible qu'avec les instances de VM Intel TDX. Exemple `ita-region=REGION_NAME`
`tee-added-capabilities` Interagit avec : Auteur de la charge de travail : la règle de lancement `allow_capabilities`.	Tableau de chaînes JSON	Ajoute des capacités Linux supplémentaires au conteneur de charge de travail. Exemple `tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"`
`tee-cgroup-ns` Interagit avec : Auteur de la charge de travail : la règle de lancement `allow_cgroups`.	Booléen	La valeur par défaut est `false`. Si la valeur est définie sur `true`, un montage cgroup avec espace de noms est activé sur `/sys/fs/cgroup`. Exemple `tee-cgroup-ns=true`
`tee-cmd` Interagit avec : Auteur de la charge de travail : la règle de lancement `allow_cmd_override`. Collaborateurs de données : assertion `container.cmd_override`.	Tableau de chaînes JSON	Remplace les instructions CMD spécifiées dans le `Dockerfile` du conteneur de charge de travail. Exemple `tee-cmd="[\"params1\", \"params2\"]"`
`tee-container-log-redirect` Interagit avec : Auteur de la charge de travail : la règle de lancement `log_redirect`.	Enumeration	affiche `STDOUT` et `STDERR` du conteneur de charge de travail vers Cloud Logging ou la console série, à l'aide du champ confidential-space-launcher. Les valeurs valides sont les suivantes : `false` : (par défaut) aucune journalisation n'a lieu. `true` : sorties vers la console série et Cloud Logging. `cloud_logging` : sorties vers Cloud Logging uniquement. `serial` : sorties vers la console série uniquement. Un volume de journaux élevé dans la console série peut avoir un impact sur les performances de la charge de travail. Exemple `tee-container-log-redirect=true`
`tee-dev-shm-size-kb`	Integer	Définit la taille en ko du point de montage de la mémoire partagée `/dev/shm`. Exemple `tee-dev-shm-size-kb=65536`
`tee-env-ENVIRONMENT_VARIABLE_NAME` Interagit avec : Collaborateurs pour les données : assertions `container.env` et `container.env_override`.	Chaîne	Définit les variables d'environnement dans le conteneur de charge de travail. L'auteur de la charge de travail doit également ajouter les noms des variables d'environnement à la règle de lancement `allow_env_override`. Sinon, elles ne seront pas définies. Exemple `tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'`
`tee-impersonate-service-accounts` Interagit avec : Collaborateurs de données : assertion `google_service_accounts`.	Chaîne	Liste des comptes de service dont l'identité peut être empruntée par l'opérateur de charge de travail. L'opérateur de charge de travail doit être autorisé à emprunter l'identité des comptes de service. Plusieurs comptes de service peuvent être répertoriés, séparés par une virgule. Exemple `tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com`
`tee-install-gpu-driver` Interagit avec : Collaborateurs de données : assertions `nvidia_gpu.cc_feature`, `nvidia_gpu.cc_mode` et `nvidia_gpu.gpus`.	Booléen	Indique si le pilote de GPU Confidential Computing de NVIDIA doit être installé. Nécessite un type de machine compatible avec l'informatique confidentielle NVIDIA. Exemple `tee-install-gpu-driver=true`
`tee-monitoring-memory-enable` Interagit avec : Collaborateurs de données : assertion `instance_memory_monitoring_enabled`. Auteur de la charge de travail : la règle de lancement `monitoring_memory_allow`.	Booléen	La valeur par défaut est `false`. Si la valeur est définie sur `true`, la surveillance de l'utilisation de la mémoire est activée. Les métriques collectées par la Confidential VM sont de type `guest/memory/bytes_used` et peuvent être consultées dans Cloud Logging ou dans l' explorateur de métriques. Exemple `tee-monitoring-memory-enable=true`
`tee-mount` Interagit avec : Auteur de la charge de travail : la règle de lancement `allow_mount_destinations`.	Chaîne	Liste des définitions de montage séparées par un point-virgule. Une définition de montage se compose d'une liste de paires clé/valeur séparées par une virgule, nécessitant `type`, `source` et `destination`. `destination` doit être un chemin d'accès absolu, et `type`/`source` doit être `tmpfs`. Exemple `type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload`
`tee-restart-policy` Interagit avec : Collaborateurs de données : assertion `container.restart_policy`.	Enumeration	Règle de redémarrage du lanceur de conteneurs lorsque la charge de travail s'arrête. Les valeurs valides sont les suivantes : `Never` (par défaut) `Always` `OnFailure` Cette variable n'est compatible qu'avec l'image de production Confidential Space. Exemple `tee-restart-policy=OnFailure`
`tee-signed-image-repos` Interagit avec : Collaborateurs de données : assertion `container.image_signatures`.	Chaîne	Liste de dépôts de conteneurs séparés par une virgule qui stockent les signatures générées par Sigstore Cosign. Exemple `tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example`

tee-image-reference

Interagit avec :

Collaborateurs de données : assertion container.image_reference.

Chaîne

Obligatoire. Cette valeur pointe vers l'emplacement du conteneur de la charge de travail.

Exemple

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

ita-api-key

Chaîne

Obligatoire uniquement si vous utilisez Intel Trust Authority comme service d'attestation. Définissez la valeur sur votre clé API Intel Trust Authority.

Pour savoir comment créer une clé API Intel Trust Authority, consultez la documentation d'Intel.

Intel Trust Authority n'est compatible qu'avec les instances de VM Intel TDX.

Exemple

ita-api-key=API_KEY

ita-region

Chaîne

Obligatoire uniquement si vous utilisez Intel Trust Authority comme service d'attestation. Définissez la valeur sur la région dans laquelle vous souhaitez exécuter Intel Trust Authority. Les régions valides sont les suivantes :

États-Unis : https://api.trustauthority.intel.com
Europe : https://api.eu.trustauthority.intel.com

Intel Trust Authority n'est compatible qu'avec les instances de VM Intel TDX.

Exemple

ita-region=REGION_NAME

tee-added-capabilities

Interagit avec :

Auteur de la charge de travail : la règle de lancement allow_capabilities.

Tableau de chaînes JSON

Ajoute des capacités Linux supplémentaires au conteneur de charge de travail.

Exemple

tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"

tee-cgroup-ns

Interagit avec :

Auteur de la charge de travail : la règle de lancement allow_cgroups.

Booléen

La valeur par défaut est false. Si la valeur est définie sur true, un montage cgroup avec espace de noms est activé sur /sys/fs/cgroup.

Exemple

tee-cgroup-ns=true

tee-cmd

Interagit avec :

Auteur de la charge de travail : la règle de lancement allow_cmd_override.
Collaborateurs de données : assertion container.cmd_override.

Tableau de chaînes JSON

Remplace les instructions CMD spécifiées dans le Dockerfile du conteneur de charge de travail.

Exemple

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

Interagit avec :

Auteur de la charge de travail : la règle de lancement log_redirect.

Enumeration

affiche STDOUT et STDERR du conteneur de charge de travail vers Cloud Logging ou la console série, à l'aide du champ confidential-space-launcher.

Les valeurs valides sont les suivantes :

false : (par défaut) aucune journalisation n'a lieu.
true : sorties vers la console série et Cloud Logging.
cloud_logging : sorties vers Cloud Logging uniquement.
serial : sorties vers la console série uniquement.

Un volume de journaux élevé dans la console série peut avoir un impact sur les performances de la charge de travail.

Exemple

tee-container-log-redirect=true

tee-dev-shm-size-kb

Integer

Définit la taille en ko du point de montage de la mémoire partagée /dev/shm.

Exemple

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

Interagit avec :

Collaborateurs pour les données : assertions container.env et container.env_override.

Chaîne

Définit les variables d'environnement dans le conteneur de charge de travail. L'auteur de la charge de travail doit également ajouter les noms des variables d'environnement à la règle de lancement allow_env_override. Sinon, elles ne seront pas définies.

Exemple

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

Interagit avec :

Collaborateurs de données : assertion google_service_accounts.

Chaîne

Liste des comptes de service dont l'identité peut être empruntée par l'opérateur de charge de travail. L'opérateur de charge de travail doit être autorisé à emprunter l'identité des comptes de service.

Plusieurs comptes de service peuvent être répertoriés, séparés par une virgule.

Exemple

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-install-gpu-driver

Interagit avec :

Collaborateurs de données : assertions nvidia_gpu.cc_feature, nvidia_gpu.cc_mode et nvidia_gpu.gpus.

Booléen

Indique si le pilote de GPU Confidential Computing de NVIDIA doit être installé. Nécessite un type de machine compatible avec l'informatique confidentielle NVIDIA.

Exemple

tee-install-gpu-driver=true

tee-monitoring-memory-enable

Interagit avec :

Collaborateurs de données : assertion instance_memory_monitoring_enabled.
Auteur de la charge de travail : la règle de lancement monitoring_memory_allow.

Booléen

La valeur par défaut est false. Si la valeur est définie sur true, la surveillance de l'utilisation de la mémoire est activée. Les métriques collectées par la Confidential VM sont de type guest/memory/bytes_used et peuvent être consultées dans Cloud Logging ou dans l' explorateur de métriques.

Exemple

tee-monitoring-memory-enable=true

tee-mount

Interagit avec :

Auteur de la charge de travail : la règle de lancement allow_mount_destinations.

Chaîne

Liste des définitions de montage séparées par un point-virgule. Une définition de montage se compose d'une liste de paires clé/valeur séparées par une virgule, nécessitant type, source et destination. destination doit être un chemin d'accès absolu, et type/source doit être tmpfs.

Exemple

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

Interagit avec :

Collaborateurs de données : assertion container.restart_policy.

Enumeration

Règle de redémarrage du lanceur de conteneurs lorsque la charge de travail s'arrête.

Les valeurs valides sont les suivantes :

Never (par défaut)
Always
OnFailure

Cette variable n'est compatible qu'avec l'image de production Confidential Space.

Exemple

tee-restart-policy=OnFailure

tee-signed-image-repos

Interagit avec :

Collaborateurs de données : assertion container.image_signatures.

Chaîne

Liste de dépôts de conteneurs séparés par une virgule qui stockent les signatures générées par Sigstore Cosign.

Exemple

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example

Variables de métadonnées de charge de travail Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Exemple

Exemple

Exemple

Exemple

Exemple

Exemple

Exemple

Exemple

Exemple

Exemple

Exemple

Exemple

Exemple

Exemple

Exemple

Variables de métadonnées de charge de travail