이 페이지는 Cloud Translation API를 통해 번역되었습니다.

워크로드 메타데이터 변수

워크로드 운영자

VM을 만들 때 변수를 --metadata 옵션에 전달하여 Confidential Space 워크로드 VM 동작을 변경할 수 있습니다.

여러 변수를 전달하려면 먼저 --metadata 값에 ^~^ 프리픽스를 지정하여 구분 기호를 설정합니다. 그러면 ,가 변수 값에 사용되기 때문에 구분 기호가 ~로 설정됩니다.

예를 들면 다음과 같습니다.

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

다음 표에는 워크로드 VM에 설정할 수 있는 메타데이터 변수가 자세히 나와 있습니다.

메타데이터 키 유형 설명 및 값

메타데이터 키	유형	설명 및 값
`tee-image-reference` 상호작용: 데이터 공동작업자: `container.image_id` 어설션입니다.	문자열	필수 항목입니다. 워크로드 컨테이너의 위치를 가리킵니다. 예 `tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest`
`tee-added-capabilities` 상호작용: 워크로드 작성자: `allow_capabilities` 실행 정책입니다.	JSON 문자열 배열	워크로드 컨테이너에 추가 Linux 기능을 추가합니다. 예 `tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"`
`tee-cgroup-ns` 상호작용: 워크로드 작성자: `allow_cgroups` 실행 정책입니다.	불리언	기본값은 `false`입니다. `true`로 설정하면 `/sys/fs/cgroup`에서 네임스페이스 cgroup 마운트를 사용 설정합니다. 예 `tee-cgroup-ns=true`
`tee-cmd` 상호작용: 워크로드 작성자: `allow_cmd_override` 실행 정책입니다. 데이터 공동작업자: `container.cmd_override` 어설션입니다.	JSON 문자열 배열	워크로드 컨테이너의 `Dockerfile`에 지정된 CMD 명령어를 재정의합니다. 예 `tee-cmd="[\"params1\", \"params2\"]"`
`tee-container-log-redirect` 상호작용: 워크로드 작성자: `log_redirect` 실행 정책입니다.	정의된 문자열	confidential-space-launcher 필드 아래에서 워크로드 컨테이너의 `STDOUT` 및 `STDERR`을 Cloud Logging 또는 직렬 콘솔로 출력합니다. 유효한 값은 다음과 같습니다. `false`: (기본값) 로깅이 발생하지 않습니다. `true`: 직렬 콘솔 및 Cloud Logging에 출력합니다. `cloud_logging`: Cloud Logging에만 출력합니다. `serial`: 직렬 콘솔에만 출력됩니다. 직렬 콘솔의 로그 볼륨이 높으면 워크로드 성능에 영향을 줄 수 있습니다. 예 `tee-container-log-redirect=true`
`tee-dev-shm-size-kb`	정수	`/dev/shm` 공유 메모리 마운트의 크기를 kB 단위로 설정합니다. 예 `tee-dev-shm-size-kb=65536`
`tee-env-ENVIRONMENT_VARIABLE_NAME` 상호작용: 데이터 공동작업자: `container.env` 및 `container.env_override` 어설션입니다.	문자열	워크로드 컨테이너에서 환경 변수를 설정합니다. 워크로드 작성자는 환경 변수 이름을 `allow_env_override` 출시 정책에도 추가해야 합니다. 그렇지 않으면 설정되지 않습니다. 예 `tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'`
`tee-impersonate-service-accounts` 상호작용: 데이터 공동작업자: `google_service_accounts` 어설션입니다.	문자열	워크로드 운영자가 가장할 수 있는 서비스 계정 목록입니다. 워크로드 운영자가 서비스 계정을 가장하도록 허용해야 합니다. 쉼표로 구분하여 여러 서비스 계정을 나열할 수 있습니다. 예 `tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com`
`tee-install-gpu-driver` 상호작용: 데이터 공동작업자: `nvidia_gpu.cc_mode` 어설션입니다.	불리언	NVIDIA의 컨피덴셜 컴퓨팅 GPU 드라이버를 설치할지 여부입니다. NVIDIA 컨피덴셜 컴퓨팅 (미리보기)을 지원하는 머신 유형이 필요합니다. 예 `tee-install-gpu-driver=true`
`tee-monitoring-memory-enable` 상호작용: 데이터 공동작업자: `instance_memory_monitoring_enabled` 어설션입니다. 워크로드 작성자: `monitoring_memory_allow` 실행 정책입니다.	불리언	기본값은 `false`입니다. `true`로 설정하면 메모리 사용량 모니터링이 사용 설정됩니다. 컨피덴셜 VM에서 수집한 측정항목은 `guest/memory/bytes_used` 유형이며 Cloud Logging 또는 측정항목 탐색기에서 볼 수 있습니다. 예 `tee-monitoring-memory-enable=true`
`tee-mount` 상호작용: 워크로드 작성자: `allow_mount_destinations` 실행 정책입니다.	문자열	세미콜론으로 구분된 마운트 정의 목록입니다. 마운트 정의는 `type`, `source`, `destination`가 필요한 쉼표로 구분된 키-값 쌍 목록으로 구성됩니다. `destination`은 절대 경로여야 하고 `type`/`source`은 `tmpfs`여야 합니다. 예 `type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload`
`tee-restart-policy` 상호작용: 데이터 공동작업자: `container.restart_policy` 어설션입니다.	정의된 문자열	워크로드가 중지될 때 컨테이너 런처의 다시 시작 정책 유효한 값은 다음과 같습니다. `Never`(기본) `Always` `OnFailure` 이 변수는 프로덕션 Confidential Space 이미지에서만 지원됩니다. 예 `tee-restart-policy=OnFailure`
`tee-signed-image-repos` 상호작용: 데이터 공동작업자: `container.image_signatures` 어설션입니다.	문자열	Sigstore Cosign에서 생성된 서명을 저장하는 쉼표로 구분된 컨테이너 저장소 목록입니다. 예 `tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example`

tee-image-reference

상호작용:

데이터 공동작업자: container.image_id 어설션입니다.

문자열

필수 항목입니다. 워크로드 컨테이너의 위치를 가리킵니다.

예

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

tee-added-capabilities

상호작용:

워크로드 작성자: allow_capabilities 실행 정책입니다.

JSON 문자열 배열

워크로드 컨테이너에 추가 Linux 기능을 추가합니다.

예

tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"

tee-cgroup-ns

상호작용:

워크로드 작성자: allow_cgroups 실행 정책입니다.

불리언

기본값은 false입니다. true로 설정하면 /sys/fs/cgroup에서 네임스페이스 cgroup 마운트를 사용 설정합니다.

예

tee-cgroup-ns=true

tee-cmd

상호작용:

워크로드 작성자: allow_cmd_override 실행 정책입니다.
데이터 공동작업자: container.cmd_override 어설션입니다.

JSON 문자열 배열

워크로드 컨테이너의 Dockerfile에 지정된 CMD 명령어를 재정의합니다.

예

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

상호작용:

워크로드 작성자: log_redirect 실행 정책입니다.

정의된 문자열

confidential-space-launcher 필드 아래에서 워크로드 컨테이너의 STDOUT 및 STDERR을 Cloud Logging 또는 직렬 콘솔로 출력합니다.

유효한 값은 다음과 같습니다.

false: (기본값) 로깅이 발생하지 않습니다.
true: 직렬 콘솔 및 Cloud Logging에 출력합니다.
cloud_logging: Cloud Logging에만 출력합니다.
serial: 직렬 콘솔에만 출력됩니다.

직렬 콘솔의 로그 볼륨이 높으면 워크로드 성능에 영향을 줄 수 있습니다.

예

tee-container-log-redirect=true

tee-dev-shm-size-kb

정수

/dev/shm 공유 메모리 마운트의 크기를 kB 단위로 설정합니다.

예

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

상호작용:

데이터 공동작업자: container.env 및 container.env_override 어설션입니다.

문자열

워크로드 컨테이너에서 환경 변수를 설정합니다. 워크로드 작성자는 환경 변수 이름을 allow_env_override 출시 정책에도 추가해야 합니다. 그렇지 않으면 설정되지 않습니다.

예

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

상호작용:

데이터 공동작업자: google_service_accounts 어설션입니다.

문자열

워크로드 운영자가 가장할 수 있는 서비스 계정 목록입니다. 워크로드 운영자가 서비스 계정을 가장하도록 허용해야 합니다.

쉼표로 구분하여 여러 서비스 계정을 나열할 수 있습니다.

예

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-install-gpu-driver

상호작용:

데이터 공동작업자: nvidia_gpu.cc_mode 어설션입니다.

불리언

NVIDIA의 컨피덴셜 컴퓨팅 GPU 드라이버를 설치할지 여부입니다. NVIDIA 컨피덴셜 컴퓨팅 (미리보기)을 지원하는 머신 유형이 필요합니다.

예

tee-install-gpu-driver=true

tee-monitoring-memory-enable

상호작용:

데이터 공동작업자: instance_memory_monitoring_enabled 어설션입니다.
워크로드 작성자: monitoring_memory_allow 실행 정책입니다.

불리언

기본값은 false입니다. true로 설정하면 메모리 사용량 모니터링이 사용 설정됩니다. 컨피덴셜 VM에서 수집한 측정항목은 guest/memory/bytes_used 유형이며 Cloud Logging 또는 측정항목 탐색기에서 볼 수 있습니다.

예

tee-monitoring-memory-enable=true

tee-mount

상호작용:

워크로드 작성자: allow_mount_destinations 실행 정책입니다.

문자열

세미콜론으로 구분된 마운트 정의 목록입니다. 마운트 정의는 type, source, destination가 필요한 쉼표로 구분된 키-값 쌍 목록으로 구성됩니다. destination은 절대 경로여야 하고 type/source은 tmpfs여야 합니다.

예

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

상호작용:

데이터 공동작업자: container.restart_policy 어설션입니다.

정의된 문자열

워크로드가 중지될 때 컨테이너 런처의 다시 시작 정책

유효한 값은 다음과 같습니다.

Never(기본)
Always
OnFailure

이 변수는 프로덕션 Confidential Space 이미지에서만 지원됩니다.

예

tee-restart-policy=OnFailure

tee-signed-image-repos

상호작용:

데이터 공동작업자: container.image_signatures 어설션입니다.

문자열

Sigstore Cosign에서 생성된 서명을 저장하는 쉼표로 구분된 컨테이너 저장소 목록입니다.

예

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example

워크로드 메타데이터 변수 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

예

예

예

예

예

예

예

예

예

예

예

예

예

워크로드 메타데이터 변수