Variabili dei metadati del carico di lavoro

tee-image-reference

Interagisce con:

• Collaboratori dei dati: l' container.image_reference asserzione.

Obbligatorio. Indica la posizione del container del workload.

Esempio

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

ita-api-key

Obbligatorio solo se utilizzi Intel Trust Authority come tuo servizio di attestazione. Imposta il valore sulla chiave API di Intel Trust Authority.

Consulta la documentazione di Intel per scoprire come creare una chiave API di Intel Trust Authority.

Intel Trust Authority supporta solo le istanze VM Intel TDX.

Esempio

ita-api-key=API_KEY

ita-region

Obbligatorio solo se utilizzi Intel Trust Authority come tuo servizio di attestazione. Imposta il valore sulla regione in cui vuoi che venga eseguito Intel Trust Authority. Le regioni valide sono:

• Stati Uniti: https://api.trustauthority.intel.com
• Europa: https://api.eu.trustauthority.intel.com

Intel Trust Authority supporta solo le istanze VM Intel TDX.

Esempio

ita-region=REGION_NAME

tee-added-capabilities

Interagisce con:

• Autore del workload: la allow_capabilities policy di avvio.

Aggiunge funzionalità Linux aggiuntive al container del workload.

Esempio

tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"

tee-cgroup-ns

Interagisce con:

• Autore del workload: la allow_cgroups policy di avvio.

Il valore predefinito è false. Se impostato su true, abilita un mount cgroup con spazio dei nomi in /sys/fs/cgroup.

Esempio

tee-cgroup-ns=true

tee-cmd

Interagisce con:

• Autore del workload: la allow_cmd_override policy di avvio.
• Collaboratori dei dati: l' container.cmd_override asserzione.

Esegue l'override delle istruzioni CMD specificate nel `Dockerfile` del container del workload. Dockerfile.

Esempio

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

Interagisce con:

• Autore del workload: la log_redirect policy di avvio.

Esegue l'output di STDOUT e STDERR dal container del workload a Cloud Logging o alla console seriale, utilizzando il campo confidential-space-launcher.

I valori validi sono:

• false: (valore predefinito) non viene eseguito alcun logging.
• true: esegue l'output nella console seriale e in Cloud Logging.
• cloud_logging: esegue l'output solo in Cloud Logging.
• serial: esegue l'output solo nella console seriale.

Un volume elevato di log nella console seriale potrebbe influire sulle prestazioni del workload

Esempio

tee-container-log-redirect=true

tee-dev-shm-size-kb

Imposta la dimensione in kB del /dev/shm mount della memoria condivisa.

Esempio

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

Interagisce con:

• Collaboratori dei dati: le asserzioni container.env e container.env_override.

Imposta le variabili di ambiente nel container del workload. L'autore del workload deve anche aggiungere i nomi variabile di ambiente alla allow_env_override policy di avvio, altrimenti non verranno impostate.

Esempio

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

Interagisce con:

• Collaboratori dei dati: l' google_service_accounts asserzione.

Un elenco di service account che possono essere rappresentati dall'operatore del workload operator. L'operatore del workload deve essere autorizzato a rappresentare i service account.

È possibile elencare più service account, separati da virgole.

Esempio

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-install-gpu-driver

Interagisce con:

• Collaboratori dei dati: le asserzioni nvidia_gpu.cc_feature, nvidia_gpu.cc_mode e nvidia_gpu.gpus.

Indica se installare il driver GPU di Confidential Computing di NVIDIA. Richiede un tipo di macchina che supporti NVIDIA Confidential Computing.

Esempio

tee-install-gpu-driver=true

tee-monitoring-memory-enable

Interagisce con:

• Collaboratori dei dati: l' instance_memory_monitoring_enabled asserzione.
• Autore del workload: la monitoring_memory_allow policy di avvio.

Il valore predefinito è false. Se impostato su true, abilita il monitoraggio dell'utilizzo della memoria. Le metriche raccolte dalla Confidential VM sono di tipo guest/memory/bytes_used e possono essere visualizzate in Cloud Logging o Esplora metriche.

Esempio

tee-monitoring-memory-enable=true

tee-mount

Interagisce con:

• Autore del workload: la allow_mount_destinations policy di avvio.

Un elenco di definizioni di mount separate da punti e virgola. Una definizione di mount è costituita da un elenco separato da virgole di coppie chiave-valore, che richiedono type, source, e destination. destination deve essere un percorso assoluto e type/source deve essere tmpfs.

Esempio

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

Interagisce con:

• Collaboratori dei dati: l' container.restart_policy asserzione.

La policy di riavvio del launcher del container quando il workload si arresta.

I valori validi sono:

• Never (valore predefinito)
• Always
• OnFailure

Questa variabile è supportata solo dall'immagine di produzione di Confidential Space immagine.

Esempio

tee-restart-policy=OnFailure

tee-signed-image-repos

Interagisce con:

• Collaboratori dei dati: l' container.image_signatures asserzione.

Un elenco di repository di container separati da virgole che memorizzano le firme generate da Sigstore Cosign.

Esempio

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example