Variables de metadatos de la carga de trabajo

Operador de cargas de trabajo

Puedes cambiar el comportamiento de la VM de carga de trabajo de Confidential Space pasando variables a la opción --metadata cuando creas la VM.

Para pasar varias variables, primero establece el delimitador agregando el prefijo ^~^ al valor --metadata. Esto establece el delimitador en ~, ya que , se usa en los valores de las variables.

Por ejemplo:

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

En la siguiente tabla, se detallan las variables de metadatos que puedes configurar para la VM de tu carga de trabajo.

Clave de metadatos Tipo Descripción y valores

Clave de metadatos	Tipo	Descripción y valores
`tee-image-reference` Interactúa con: Colaboradores de datos: Es la aserción `container.image_reference`.	String	Obligatorio. Apunta a la ubicación del contenedor de la carga de trabajo. Ejemplo `tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest`
`tee-added-capabilities` Interactúa con: Autor de la carga de trabajo: La política de lanzamiento de `allow_capabilities`.	Array de cadenas JSON	Agrega capacidades de Linux adicionales al contenedor de la carga de trabajo. Ejemplo `tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"`
`tee-cgroup-ns` Interactúa con: Autor de la carga de trabajo: La política de lanzamiento de `allow_cgroups`.	Booleano	La configuración predeterminada es `false`. Cuando se establece en `true`, habilita un montaje de cgroup con espacio de nombres en `/sys/fs/cgroup`. Ejemplo `tee-cgroup-ns=true`
`tee-cmd` Interactúa con: Autor de la carga de trabajo: La política de lanzamiento de `allow_cmd_override`. Colaboradores de datos: Es la aserción `container.cmd_override`.	Array de cadenas JSON	Anula las instrucciones CMD especificadas en el `Dockerfile` del contenedor de la carga de trabajo. Ejemplo `tee-cmd="[\"params1\", \"params2\"]"`
`tee-container-log-redirect` Interactúa con: Autor de la carga de trabajo: La política de lanzamiento de `log_redirect`.	Enumeration	Envía `STDOUT` y `STDERR` del contenedor de la carga de trabajo a Cloud Logging o a la consola en serie, en el campo confidential-space-launcher. Los valores válidos son los siguientes: `false`: (predeterminado) No se realiza ningún registro. `true`: Se genera en la consola serie y en Cloud Logging. `cloud_logging`: Solo se genera en Cloud Logging. `serial`: Solo se generan resultados en la consola en serie. Un volumen alto de registros en la consola en serie puede afectar el rendimiento de la carga de trabajo. Ejemplo `tee-container-log-redirect=true`
`tee-dev-shm-size-kb`	Número entero	Establece el tamaño en kB de la activación de la memoria compartida `/dev/shm`. Ejemplo `tee-dev-shm-size-kb=65536`
`tee-env-ENVIRONMENT_VARIABLE_NAME` Interactúa con: Colaboradores de datos: Son las aserciones `container.env` y `container.env_override`.	String	Configura las variables de entorno en el contenedor de carga de trabajo. El autor de la carga de trabajo también debe agregar los nombres de variable de entorno a la política de lanzamiento `allow_env_override`, de lo contrario, no se establecerán. Ejemplo `tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'`
`tee-impersonate-service-accounts` Interactúa con: Colaboradores de datos: Es la aserción `google_service_accounts`.	String	Es una lista de cuentas de servicio que el operador de carga de trabajo puede suplantar. El operador de carga de trabajo debe tener la identidad de las cuentas de servicio. Se pueden enumerar varias cuentas de servicio, separadas por comas. Ejemplo `tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com`
`tee-install-gpu-driver` Interactúa con: Colaboradores de datos: Es la aserción `nvidia_gpu.cc_mode`.	Booleano	Indica si se debe instalar el controlador de GPU de Confidential Computing de NVIDIA. Requiere un tipo de máquina que admita Confidential Computing de NVIDIA (vista previa). Ejemplo `tee-install-gpu-driver=true`
`tee-monitoring-memory-enable` Interactúa con: Colaboradores de datos: Es la aserción `instance_memory_monitoring_enabled`. Autor de la carga de trabajo: La política de lanzamiento de `monitoring_memory_allow`.	Booleano	La configuración predeterminada es `false`. Cuando se establece en `true`, se habilita la supervisión del uso de memoria. Las métricas recopiladas por la VM confidencial son del tipo `guest/memory/bytes_used` y se pueden ver en Cloud Logging o en el Explorador de métricas. Ejemplo `tee-monitoring-memory-enable=true`
`tee-mount` Interactúa con: Autor de la carga de trabajo: La política de lanzamiento de `allow_mount_destinations`.	String	Es una lista de definiciones de montaje separadas por punto y coma. Una definición de montaje consta de una lista separada por comas de pares clave-valor, que requiere `type`, `source` y `destination`. `destination` debe ser una ruta de acceso absoluta, y `type`/`source` debe ser `tmpfs`. Ejemplo `type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload`
`tee-restart-policy` Interactúa con: Colaboradores de datos: Es la aserción `container.restart_policy`.	Enumeration	Es la política de reinicio del iniciador de contenedores cuando se detiene la carga de trabajo. Los valores válidos son los siguientes: `Never` (predeterminada) `Always` `OnFailure` Esta variable solo es compatible con la imagen de Confidential Space de producción. Ejemplo `tee-restart-policy=OnFailure`
`tee-signed-image-repos` Interactúa con: Colaboradores de datos: Es la aserción `container.image_signatures`.	String	Una lista de repositorios de contenedores separados por comas que almacenan las firmas generadas por Sigstore Cosign. Ejemplo `tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example`

tee-image-reference

Interactúa con:

Colaboradores de datos: Es la aserción container.image_reference.

String

Obligatorio. Apunta a la ubicación del contenedor de la carga de trabajo.

Ejemplo

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

tee-added-capabilities

Interactúa con:

Autor de la carga de trabajo: La política de lanzamiento de allow_capabilities.

Array de cadenas JSON

Agrega capacidades de Linux adicionales al contenedor de la carga de trabajo.

Ejemplo

tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"

tee-cgroup-ns

Interactúa con:

Autor de la carga de trabajo: La política de lanzamiento de allow_cgroups.

Booleano

La configuración predeterminada es false. Cuando se establece en true, habilita un montaje de cgroup con espacio de nombres en /sys/fs/cgroup.

Ejemplo

tee-cgroup-ns=true

tee-cmd

Interactúa con:

Autor de la carga de trabajo: La política de lanzamiento de allow_cmd_override.
Colaboradores de datos: Es la aserción container.cmd_override.

Array de cadenas JSON

Anula las instrucciones CMD especificadas en el Dockerfile del contenedor de la carga de trabajo.

Ejemplo

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

Interactúa con:

Autor de la carga de trabajo: La política de lanzamiento de log_redirect.

Enumeration

Envía STDOUT y STDERR del contenedor de la carga de trabajo a Cloud Logging o a la consola en serie, en el campo confidential-space-launcher.

Los valores válidos son los siguientes:

false: (predeterminado) No se realiza ningún registro.
true: Se genera en la consola serie y en Cloud Logging.
cloud_logging: Solo se genera en Cloud Logging.
serial: Solo se generan resultados en la consola en serie.

Un volumen alto de registros en la consola en serie puede afectar el rendimiento de la carga de trabajo.

Ejemplo

tee-container-log-redirect=true

tee-dev-shm-size-kb

Número entero

Establece el tamaño en kB de la activación de la memoria compartida /dev/shm.

Ejemplo

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

Interactúa con:

Colaboradores de datos: Son las aserciones container.env y container.env_override.

String

Configura las variables de entorno en el contenedor de carga de trabajo. El autor de la carga de trabajo también debe agregar los nombres de variable de entorno a la política de lanzamiento allow_env_override, de lo contrario, no se establecerán.

Ejemplo

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

Interactúa con:

Colaboradores de datos: Es la aserción google_service_accounts.

String

Es una lista de cuentas de servicio que el operador de carga de trabajo puede suplantar. El operador de carga de trabajo debe tener la identidad de las cuentas de servicio.

Se pueden enumerar varias cuentas de servicio, separadas por comas.

Ejemplo

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-install-gpu-driver

Interactúa con:

Colaboradores de datos: Es la aserción nvidia_gpu.cc_mode.

Booleano

Indica si se debe instalar el controlador de GPU de Confidential Computing de NVIDIA. Requiere un tipo de máquina que admita Confidential Computing de NVIDIA (vista previa).

Ejemplo

tee-install-gpu-driver=true

tee-monitoring-memory-enable

Interactúa con:

Colaboradores de datos: Es la aserción instance_memory_monitoring_enabled.
Autor de la carga de trabajo: La política de lanzamiento de monitoring_memory_allow.

Booleano

La configuración predeterminada es false. Cuando se establece en true, se habilita la supervisión del uso de memoria. Las métricas recopiladas por la VM confidencial son del tipo guest/memory/bytes_used y se pueden ver en Cloud Logging o en el Explorador de métricas.

Ejemplo

tee-monitoring-memory-enable=true

tee-mount

Interactúa con:

Autor de la carga de trabajo: La política de lanzamiento de allow_mount_destinations.

String

Es una lista de definiciones de montaje separadas por punto y coma. Una definición de montaje consta de una lista separada por comas de pares clave-valor, que requiere type, source y destination. destination debe ser una ruta de acceso absoluta, y type/source debe ser tmpfs.

Ejemplo

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

Interactúa con:

Colaboradores de datos: Es la aserción container.restart_policy.

Enumeration

Es la política de reinicio del iniciador de contenedores cuando se detiene la carga de trabajo.

Los valores válidos son los siguientes:

Never (predeterminada)
Always
OnFailure

Esta variable solo es compatible con la imagen de Confidential Space de producción.

Ejemplo

tee-restart-policy=OnFailure

tee-signed-image-repos

Interactúa con:

Colaboradores de datos: Es la aserción container.image_signatures.

String

Una lista de repositorios de contenedores separados por comas que almacenan las firmas generadas por Sigstore Cosign.

Ejemplo

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example

Variables de metadatos de la carga de trabajo Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Ejemplo

Ejemplo

Ejemplo

Ejemplo

Ejemplo

Ejemplo

Ejemplo

Ejemplo

Ejemplo

Ejemplo

Ejemplo

Ejemplo

Ejemplo

Variables de metadatos de la carga de trabajo