Variables de metadatos de la carga de trabajo

Puedes cambiar el comportamiento de la VM de carga de trabajo de Confidential Space pasando variables a la opción --metadata cuando creas la VM.

Para pasar varias variables, primero establece el delimitador agregando el prefijo ^~^ al valor --metadata. Esto establece el delimitador en ~, ya que , se usa en los valores de las variables.

Por ejemplo:

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

En la siguiente tabla, se detallan las variables de metadatos que puedes configurar para la VM de tu carga de trabajo.

Clave de metadatos Tipo Descripción y valores

tee-image-reference

Interactúa con:

 String

Obligatorio. Apunta a la ubicación del contenedor de la carga de trabajo.

Ejemplo
tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

ita-api-key

 String

Solo se requiere si usas Intel Trust Authority como tu servicio de atestación. Establece el valor en tu clave de la API de Intel Trust Authority.

Consulta la documentación de Intel para obtener información sobre cómo crear una clave de API de la autoridad de confianza de Intel.

Intel Trust Authority solo admite instancias de VM Intel TDX.

Ejemplo
ita-api-key=API_KEY

ita-region

 String

Solo se requiere si usas Intel Trust Authority como tu servicio de atestación. Establece el valor en la región en la que deseas que se ejecute Intel Trust Authority. Las regiones válidas son las siguientes:

  • EE.UU.: https://api.trustauthority.intel.com
  • Europa: https://api.eu.trustauthority.intel.com

Intel Trust Authority solo admite instancias de VM Intel TDX.

Ejemplo
ita-region=REGION_NAME

tee-added-capabilities

Interactúa con:

 Array de cadenas JSON

Agrega capacidades de Linux adicionales al contenedor de la carga de trabajo.

Ejemplo
tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"

tee-cgroup-ns

Interactúa con:

  • Autor de la carga de trabajo: La política de lanzamiento de allow_cgroups.
Booleano

La configuración predeterminada es false. Cuando se establece en true, habilita un montaje de cgroup con espacio de nombres en /sys/fs/cgroup.

Ejemplo
tee-cgroup-ns=true

tee-cmd

Interactúa con:

 Array de cadenas JSON

Anula las instrucciones CMD especificadas en el Dockerfile del contenedor de la carga de trabajo.

Ejemplo
tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

Interactúa con:

  • Autor de la carga de trabajo: La política de lanzamiento de log_redirect.
Enumeration

Envía STDOUT y STDERR del contenedor de la carga de trabajo a Cloud Logging o a la consola en serie, con el campo confidential-space-launcher.

Los valores válidos son los siguientes:

  • false: (predeterminado) No se realiza ningún registro.
  • true: Se genera en la consola serie y en Cloud Logging.
  • cloud_logging: Solo se genera en Cloud Logging.
  • serial: Solo se generan resultados en la consola en serie.

Un volumen alto de registros en la consola en serie puede afectar el rendimiento de la carga de trabajo.

Ejemplo
tee-container-log-redirect=true

tee-dev-shm-size-kb

 Número entero

Establece el tamaño en kB de la activación de memoria compartida /dev/shm.

Ejemplo
tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

Interactúa con:

 String

Configura las variables de entorno en el contenedor de carga de trabajo. El autor de la carga de trabajo también debe agregar los nombres de variable de entorno a la política de lanzamiento allow_env_override, de lo contrario, no se establecerán.

Ejemplo
tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

Interactúa con:

 String

Es una lista de cuentas de servicio que el operador de carga de trabajo puede suplantar. El operador de carga de trabajo debe tener la identidad de las cuentas de servicio.

Se pueden enumerar varias cuentas de servicio, separadas por comas.

Ejemplo
tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-install-gpu-driver

Interactúa con:

 Booleano

Indica si se debe instalar el controlador de GPU de Confidential Computing de NVIDIA. Requiere un tipo de máquina que admita Confidential Computing de NVIDIA.

Ejemplo
tee-install-gpu-driver=true

tee-monitoring-memory-enable

Interactúa con:

 Booleano

La configuración predeterminada es false. Cuando se establece en true, se habilita la supervisión del uso de memoria. Las métricas recopiladas por la VM confidencial son del tipo guest/memory/bytes_used y se pueden ver en Cloud Logging o en el Explorador de métricas.

Ejemplo
tee-monitoring-memory-enable=true

tee-mount

Interactúa con:

 String

Una lista de definiciones de montaje separadas por punto y coma. Una definición de montaje consta de una lista separada por comas de pares clave-valor, que requieren type, source y destination. destination debe ser una ruta de acceso absoluta, y type/source debe ser tmpfs.

Ejemplo
type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

Interactúa con:

 Enumeration

Es la política de reinicio del iniciador de contenedores cuando se detiene la carga de trabajo.

Los valores válidos son los siguientes:

  • Never (predeterminada)
  • Always
  • OnFailure

Esta variable solo es compatible con la imagen de Confidential Space de producción.

Ejemplo
tee-restart-policy=OnFailure

tee-signed-image-repos

Interactúa con:

 String

Una lista de repositorios de contenedores separados por comas que almacenan las firmas que genera Sigstore Cosign.

Ejemplo
tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example