Variabel metadata beban kerja

Operator workload

Anda dapat mengubah perilaku VM workload Confidential Space dengan meneruskan variabel ke opsi --metadata saat Anda membuat VM.

Untuk meneruskan beberapa variabel, tetapkan terlebih dahulu pembatas dengan menambahkan awalan nilai --metadata dengan ^~^. Tindakan ini menetapkan pembatas ke ~, karena , digunakan dalam nilai variabel.

Contoh:

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

Tabel berikut menjelaskan variabel metadata yang dapat Anda tetapkan untuk VM beban kerja.

Kunci metadata Jenis Deskripsi dan nilai

Kunci metadata	Jenis	Deskripsi dan nilai
`tee-image-reference` Berinteraksi dengan: Kolaborator data: Pernyataan `container.image_id` .	String	Wajib. Ini mengarah ke lokasi container workload. Contoh `tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest`
`tee-added-capabilities` Berinteraksi dengan: Pembuat workload: `allow_capabilities` kebijakan peluncuran.	Array string JSON	Menambahkan kemampuan Linux tambahan ke penampung workload. Contoh `tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"`
`tee-cgroup-ns` Berinteraksi dengan: Pembuat workload: `allow_cgroups` kebijakan peluncuran.	Boolean	Nilai defaultnya adalah `false`. Jika disetel ke `true`, mengaktifkan pemasangan cgroup dengan namespace di `/sys/fs/cgroup`. Contoh `tee-cgroup-ns=true`
`tee-cmd` Berinteraksi dengan: Pembuat workload: `allow_cmd_override` kebijakan peluncuran. Kolaborator data: Pernyataan `container.cmd_override` .	Array string JSON	Menggantikan petunjuk CMD yang ditentukan dalam `Dockerfile` container workload. Contoh `tee-cmd="[\"params1\", \"params2\"]"`
`tee-container-log-redirect` Berinteraksi dengan: Pembuat workload: `log_redirect` kebijakan peluncuran.	String yang ditentukan	Menampilkan output `STDOUT` dan `STDERR` dari container workload ke Cloud Logging atau konsol serial, di kolom confidential-space-launcher. Nilai yang valid adalah: `false`: (default) tidak ada logging. `true`: output ke konsol serial dan Cloud Logging. `cloud_logging`: hanya menghasilkan output ke Cloud Logging. `serial`: output ke konsol serial saja. Volume log yang tinggi di konsol serial dapat memengaruhi performa workload. Contoh `tee-container-log-redirect=true`
`tee-dev-shm-size-kb`	Bilangan bulat	Menetapkan ukuran dalam kB dari pemasangan memori bersama `/dev/shm`. Contoh `tee-dev-shm-size-kb=65536`
`tee-env-ENVIRONMENT_VARIABLE_NAME` Berinteraksi dengan: Kolaborator data: Pernyataan `container.env` dan `container.env_override` .	String	Menetapkan variabel lingkungan dalam container beban kerja. Penulis beban kerja juga harus menambahkan nama variabel lingkungan ke kebijakan peluncuran `allow_env_override` , atau variabel tersebut tidak akan ditetapkan. Contoh `tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'`
`tee-impersonate-service-accounts` Berinteraksi dengan: Kolaborator data: Pernyataan `google_service_accounts` .	String	Daftar akun layanan yang dapat ditiru identitasnya oleh operator workload. Operator workload harus diizinkan untuk meniru identitas akun layanan. Beberapa akun layanan dapat dicantumkan, yang dipisahkan dengan koma. Contoh `tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com`
`tee-install-gpu-driver` Berinteraksi dengan: Kolaborator data: Pernyataan `nvidia_gpu.cc_mode` .	Boolean	Apakah akan menginstal driver GPU Confidential Computing NVIDIA. Memerlukan jenis mesin yang mendukung NVIDIA Confidential Computing (Pratinjau). Contoh `tee-install-gpu-driver=true`
`tee-monitoring-memory-enable` Berinteraksi dengan: Kolaborator data: Pernyataan `instance_memory_monitoring_enabled` . Pembuat workload: `monitoring_memory_allow` kebijakan peluncuran.	Boolean	Nilai defaultnya adalah `false`. Jika disetel ke `true`, mengaktifkan pemantauan penggunaan memori. Metrik yang dikumpulkan oleh Confidential VM berjenis `guest/memory/bytes_used` , dan dapat dilihat di Cloud Logging atau Metrics Explorer. Contoh `tee-monitoring-memory-enable=true`
`tee-mount` Berinteraksi dengan: Pembuat workload: `allow_mount_destinations` kebijakan peluncuran.	String	Daftar definisi pemasangan yang dipisahkan dengan titik koma. Definisi pemasangan terdiri dari daftar pasangan nilai kunci yang dipisahkan koma, yang memerlukan `type`, `source`, dan `destination`. `destination` harus berupa jalur absolut dan `type`/`source` harus berupa `tmpfs`. Contoh `type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload`
`tee-restart-policy` Berinteraksi dengan: Kolaborator data: Pernyataan `container.restart_policy` .	String yang ditentukan	Kebijakan mulai ulang peluncur container saat workload berhenti Nilai yang valid adalah: `Never` (default) `Always` `OnFailure` Variabel ini hanya didukung oleh image Confidential Space produksi. Contoh `tee-restart-policy=OnFailure`
`tee-signed-image-repos` Berinteraksi dengan: Kolaborator data: Pernyataan `container.image_signatures` .	String	Daftar repositori penampung yang dipisahkan koma yang menyimpan tanda tangan yang dihasilkan oleh Sigstore Cosign. Contoh `tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example`

tee-image-reference

Berinteraksi dengan:

Kolaborator data: Pernyataan container.image_id .

String

Wajib. Ini mengarah ke lokasi container workload.

Contoh

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

tee-added-capabilities

Berinteraksi dengan:

Pembuat workload: allow_capabilities kebijakan peluncuran.

Array string JSON

Menambahkan kemampuan Linux tambahan ke penampung workload.

Contoh

tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"

tee-cgroup-ns

Berinteraksi dengan:

Pembuat workload: allow_cgroups kebijakan peluncuran.

Boolean

Nilai defaultnya adalah false. Jika disetel ke true, mengaktifkan pemasangan cgroup dengan namespace di /sys/fs/cgroup.

Contoh

tee-cgroup-ns=true

tee-cmd

Berinteraksi dengan:

Pembuat workload: allow_cmd_override kebijakan peluncuran.
Kolaborator data: Pernyataan container.cmd_override .

Array string JSON

Menggantikan petunjuk CMD yang ditentukan dalam Dockerfile container workload.

Contoh

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

Berinteraksi dengan:

Pembuat workload: log_redirect kebijakan peluncuran.

String yang ditentukan

Menampilkan output STDOUT dan STDERR dari container workload ke Cloud Logging atau konsol serial, di kolom confidential-space-launcher.

Nilai yang valid adalah:

false: (default) tidak ada logging.
true: output ke konsol serial dan Cloud Logging.
cloud_logging: hanya menghasilkan output ke Cloud Logging.
serial: output ke konsol serial saja.

Volume log yang tinggi di konsol serial dapat memengaruhi performa workload.

Contoh

tee-container-log-redirect=true

tee-dev-shm-size-kb

Bilangan bulat

Menetapkan ukuran dalam kB dari pemasangan memori bersama /dev/shm.

Contoh

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

Berinteraksi dengan:

Kolaborator data: Pernyataan container.env dan container.env_override .

String

Menetapkan variabel lingkungan dalam container beban kerja. Penulis beban kerja juga harus menambahkan nama variabel lingkungan ke kebijakan peluncuran allow_env_override , atau variabel tersebut tidak akan ditetapkan.

Contoh

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

Berinteraksi dengan:

Kolaborator data: Pernyataan google_service_accounts .

String

Daftar akun layanan yang dapat ditiru identitasnya oleh operator workload. Operator workload harus diizinkan untuk meniru identitas akun layanan.

Beberapa akun layanan dapat dicantumkan, yang dipisahkan dengan koma.

Contoh

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-install-gpu-driver

Berinteraksi dengan:

Kolaborator data: Pernyataan nvidia_gpu.cc_mode .

Boolean

Apakah akan menginstal driver GPU Confidential Computing NVIDIA. Memerlukan jenis mesin yang mendukung NVIDIA Confidential Computing (Pratinjau).

Contoh

tee-install-gpu-driver=true

tee-monitoring-memory-enable

Berinteraksi dengan:

Kolaborator data: Pernyataan instance_memory_monitoring_enabled .
Pembuat workload: monitoring_memory_allow kebijakan peluncuran.

Boolean

Nilai defaultnya adalah false. Jika disetel ke true, mengaktifkan pemantauan penggunaan memori. Metrik yang dikumpulkan oleh Confidential VM berjenis guest/memory/bytes_used , dan dapat dilihat di Cloud Logging atau Metrics Explorer.

Contoh

tee-monitoring-memory-enable=true

tee-mount

Berinteraksi dengan:

Pembuat workload: allow_mount_destinations kebijakan peluncuran.

String

Daftar definisi pemasangan yang dipisahkan dengan titik koma. Definisi pemasangan terdiri dari daftar pasangan nilai kunci yang dipisahkan koma, yang memerlukan type, source, dan destination. destination harus berupa jalur absolut dan type/source harus berupa tmpfs.

Contoh

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

Berinteraksi dengan:

Kolaborator data: Pernyataan container.restart_policy .

String yang ditentukan

Kebijakan mulai ulang peluncur container saat workload berhenti

Nilai yang valid adalah:

Never (default)
Always
OnFailure

Variabel ini hanya didukung oleh image Confidential Space produksi.

Contoh

tee-restart-policy=OnFailure

tee-signed-image-repos

Berinteraksi dengan:

Kolaborator data: Pernyataan container.image_signatures .

String

Daftar repositori penampung yang dipisahkan koma yang menyimpan tanda tangan yang dihasilkan oleh Sigstore Cosign.

Contoh

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example

Variabel metadata beban kerja Tetap teratur dengan koleksi Simpan dan kategorikan konten berdasarkan preferensi Anda.

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Contoh

Variabel metadata beban kerja