Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

משתני מטא-נתונים של עומס עבודה

אפשר לשנות את ההתנהגות של המכונה הווירטואלית של עומס העבודה ב-Confidential Space על ידי העברת משתנים לאפשרות --metadata כשיוצרים את המכונה הווירטואלית.

כדי להעביר כמה משתנים, קודם צריך להגדיר את התו המפריד על ידי הוספת הקידומת ^~^ לערך --metadata. ההגדרה הזו קובעת את התו המפריד כ-~, כי נעשה שימוש ב-, בערכי המשתנים.

לדוגמה:

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

בטבלה הבאה מפורטים משתני המטא-נתונים שאפשר להגדיר עבור מכונת ה-VM של עומס העבודה.

מפתח מטא-נתונים סוג תיאור וערכים

מפתח מטא-נתונים	סוג	תיאור וערכים
`tee-image-reference` אינטראקציה עם: שותפי עריכה של נתונים: הטענה `container.image_reference`.	String	חובה. הנתיב הזה מצביע על המיקום של מאגר עומס העבודה. דוגמה `tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest`
`ita-api-key`	String	חובה רק אם משתמשים ב-Intel Trust Authority כשירות האימות. מגדירים את הערך למפתח ה-API של Intel Trust Authority. ב מסמכי התיעוד של Intel מוסבר איך ליצור מפתח API של Intel Trust Authority. ‫Intel Trust Authority תומך רק במכונות וירטואליות מסוג Intel TDX. דוגמה `ita-api-key=API_KEY`
`ita-region`	String	חובה רק אם משתמשים ב-Intel Trust Authority כשירות האימות. מגדירים את הערך לאזור שבו רוצים להפעיל את Intel Trust Authority. האזורים התקפים הם: ארה"ב: `https://api.trustauthority.intel.com` אירופה: `https://api.eu.trustauthority.intel.com` ‫Intel Trust Authority תומך רק במכונות וירטואליות מסוג Intel TDX. דוגמה `ita-region=REGION_NAME`
`tee-added-capabilities` אינטראקציה עם: יוצר עומס העבודה: מדיניות ההפעלה של `allow_capabilities`.	מערך מחרוזות JSON	מוסיף יכולות Linux נוספות לקונטיינר של עומס העבודה. דוגמה `tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"`
`tee-cgroup-ns` אינטראקציה עם: יוצר עומס העבודה: מדיניות ההפעלה של `allow_cgroups`.	בוליאני	ברירת המחדל היא `false`. אם המדיניות מוגדרת לערך `true`, מופעלת נקודת טעינה של cgroup עם מרחב שמות ב-`/sys/fs/cgroup`. דוגמה `tee-cgroup-ns=true`
`tee-cmd` אינטראקציה עם: יוצר עומס העבודה: מדיניות ההפעלה של `allow_cmd_override`. שותפי עריכה של נתונים: הטענה `container.cmd_override`.	מערך מחרוזות JSON	מחליף את ההוראות CMD שצוינו ב-`Dockerfile` של מאגר התגים של עומס העבודה. דוגמה `tee-cmd="[\"params1\", \"params2\"]"`
`tee-container-log-redirect` אינטראקציה עם: יוצר עומס העבודה: מדיניות ההפעלה של `log_redirect`.	ספירה	הפלט של `STDOUT` ו-`STDERR` ממכולת עומס העבודה מועבר אל Cloud Logging או אל המסוף הטורי, באמצעות השדה confidential-space-launcher. הערכים התקינים הם: ‫`false`: (ברירת מחדל) לא מתבצע רישום ביומן. ‫`true`: הפלט מועבר למסוף הטורי ול-Cloud Logging. ‫`cloud_logging`: הפלט הוא רק ב-Cloud Logging. ‫`serial`: הפלט מוצג רק במסוף הטורי. נפח גדול של יומנים במסוף הטורי עלול להשפיע על ביצועי עומס העבודה. דוגמה `tee-container-log-redirect=true`
`tee-dev-shm-size-kb`	מספר שלם	מגדיר את הגודל ב-kB של נקודת הטעינה של `/dev/shm` הזיכרון המשותף. דוגמה `tee-dev-shm-size-kb=65536`
`tee-env-ENVIRONMENT_VARIABLE_NAME` אינטראקציה עם: שותפי נתונים: טענות ו `container.env_override`.`container.env`	String	הגדרת משתני סביבה בקונטיינר של עומס העבודה. יוצר עומס העבודה צריך גם להוסיף את שמות משתני הסביבה למדיניות ההפעלה `allow_env_override`, אחרת הם לא יוגדרו. דוגמה `tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'`
`tee-impersonate-service-accounts` אינטראקציה עם: שותפי עריכה של נתונים: הטענה `google_service_accounts`.	String	רשימה של חשבונות שירות שאפשר להתחזות אליהם באמצעות האופרטור של עומס העבודה. למפעיל עומס העבודה צריכה להיות הרשאה להתחזות לחשבונות השירות. אפשר לציין כמה חשבונות שירות ולהפריד ביניהם באמצעות פסיקים. דוגמה `tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com`
`tee-install-gpu-driver` אינטראקציה עם: שותפי עריכה של נתונים: הטענות `nvidia_gpu.cc_feature`, `nvidia_gpu.cc_mode` ו- `nvidia_gpu.gpus`.	בוליאני	האם להתקין את דרייבר ה-GPU של NVIDIA ל-Confidential Computing. נדרש סוג מכונה שתומך ב-NVIDIA Confidential Computing. דוגמה `tee-install-gpu-driver=true`
`tee-monitoring-memory-enable` אינטראקציה עם: שותפי עריכה של נתונים: הטענה `instance_memory_monitoring_enabled`. יוצר עומס העבודה: מדיניות ההפעלה של `monitoring_memory_allow`.	בוליאני	ברירת המחדל היא `false`. כשההגדרה היא `true`, המעקב אחרי השימוש בזיכרון מופעל. המדדים שנאספים על ידי Confidential VM הם מסוג `guest/memory/bytes_used`, ואפשר לראות אותם ב-Cloud Logging או ב- Metrics Explorer. דוגמה `tee-monitoring-memory-enable=true`
`tee-mount` אינטראקציה עם: יוצר עומס העבודה: מדיניות ההפעלה של `allow_mount_destinations`.	String	רשימה של הגדרות של נקודות חיבור שמופרדות באמצעות נקודה-פסיק. הגדרת הנפח מורכבת מרשימה מופרדת בפסיקים של צמדי מפתח/ערך, שכוללת את `type`, `source` ו-`destination`. הערך של `destination` צריך להיות נתיב מוחלט, והערך של `type`/`source` צריך להיות `tmpfs`. דוגמה `type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload`
`tee-restart-policy` אינטראקציה עם: שותפי עריכה של נתונים: הטענה `container.restart_policy`.	ספירה	מדיניות ההפעלה מחדש של מפעיל הקונטיינר כשהעומס מופסק. הערכים התקינים הם: `Never` (ברירת מחדל) `Always` `OnFailure` המשתנה הזה נתמך רק בתמונה של Confidential Space בסביבת הייצור. דוגמה `tee-restart-policy=OnFailure`
`tee-signed-image-repos` אינטראקציה עם: שותפי עריכה של נתונים: הטענה `container.image_signatures`.	String	רשימה של מאגרי מאגרי תגים מופרדים בפסיקים שמאחסנים את החתימות שנוצרות על ידי Sigstore Cosign. דוגמה `tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example`

tee-image-reference

אינטראקציה עם:

שותפי עריכה של נתונים: הטענה container.image_reference.

String

חובה. הנתיב הזה מצביע על המיקום של מאגר עומס העבודה.

דוגמה

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

ita-api-key

String

חובה רק אם משתמשים ב-Intel Trust Authority כשירות האימות. מגדירים את הערך למפתח ה-API של Intel Trust Authority.

ב מסמכי התיעוד של Intel מוסבר איך ליצור מפתח API של Intel Trust Authority.

‫Intel Trust Authority תומך רק במכונות וירטואליות מסוג Intel TDX.

דוגמה

ita-api-key=API_KEY

ita-region

String

חובה רק אם משתמשים ב-Intel Trust Authority כשירות האימות. מגדירים את הערך לאזור שבו רוצים להפעיל את Intel Trust Authority. האזורים התקפים הם:

ארה"ב: https://api.trustauthority.intel.com
אירופה: https://api.eu.trustauthority.intel.com

‫Intel Trust Authority תומך רק במכונות וירטואליות מסוג Intel TDX.

דוגמה

ita-region=REGION_NAME

tee-added-capabilities

אינטראקציה עם:

יוצר עומס העבודה: מדיניות ההפעלה של allow_capabilities.

מערך מחרוזות JSON

מוסיף יכולות Linux נוספות לקונטיינר של עומס העבודה.

דוגמה

tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"

tee-cgroup-ns

אינטראקציה עם:

יוצר עומס העבודה: מדיניות ההפעלה של allow_cgroups.

בוליאני

ברירת המחדל היא false. אם המדיניות מוגדרת לערך true, מופעלת נקודת טעינה של cgroup עם מרחב שמות ב-/sys/fs/cgroup.

דוגמה

tee-cgroup-ns=true

tee-cmd

אינטראקציה עם:

יוצר עומס העבודה: מדיניות ההפעלה של allow_cmd_override.
שותפי עריכה של נתונים: הטענה container.cmd_override.

מערך מחרוזות JSON

מחליף את ההוראות CMD שצוינו ב-Dockerfile של מאגר התגים של עומס העבודה.

דוגמה

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

אינטראקציה עם:

יוצר עומס העבודה: מדיניות ההפעלה של log_redirect.

ספירה

הפלט של STDOUT ו-STDERR ממכולת עומס העבודה מועבר אל Cloud Logging או אל המסוף הטורי, באמצעות השדה confidential-space-launcher.

הערכים התקינים הם:

‫false: (ברירת מחדל) לא מתבצע רישום ביומן.
‫true: הפלט מועבר למסוף הטורי ול-Cloud Logging.
‫cloud_logging: הפלט הוא רק ב-Cloud Logging.
‫serial: הפלט מוצג רק במסוף הטורי.

נפח גדול של יומנים במסוף הטורי עלול להשפיע על ביצועי עומס העבודה.

דוגמה

tee-container-log-redirect=true

tee-dev-shm-size-kb

מספר שלם

מגדיר את הגודל ב-kB של נקודת הטעינה של /dev/shm הזיכרון המשותף.

דוגמה

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

אינטראקציה עם:

שותפי נתונים: טענות ו container.env_override.container.env

String

הגדרת משתני סביבה בקונטיינר של עומס העבודה. יוצר עומס העבודה צריך גם להוסיף את שמות משתני הסביבה למדיניות ההפעלה allow_env_override, אחרת הם לא יוגדרו.

דוגמה

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

אינטראקציה עם:

שותפי עריכה של נתונים: הטענה google_service_accounts.

String

רשימה של חשבונות שירות שאפשר להתחזות אליהם באמצעות האופרטור של עומס העבודה. למפעיל עומס העבודה צריכה להיות הרשאה להתחזות לחשבונות השירות.

אפשר לציין כמה חשבונות שירות ולהפריד ביניהם באמצעות פסיקים.

דוגמה

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-install-gpu-driver

אינטראקציה עם:

שותפי עריכה של נתונים: הטענות nvidia_gpu.cc_feature, nvidia_gpu.cc_mode ו- nvidia_gpu.gpus.

בוליאני

האם להתקין את דרייבר ה-GPU של NVIDIA ל-Confidential Computing. נדרש סוג מכונה שתומך ב-NVIDIA Confidential Computing.

דוגמה

tee-install-gpu-driver=true

tee-monitoring-memory-enable

אינטראקציה עם:

שותפי עריכה של נתונים: הטענה instance_memory_monitoring_enabled.
יוצר עומס העבודה: מדיניות ההפעלה של monitoring_memory_allow.

בוליאני

ברירת המחדל היא false. כשההגדרה היא true, המעקב אחרי השימוש בזיכרון מופעל. המדדים שנאספים על ידי Confidential VM הם מסוג guest/memory/bytes_used, ואפשר לראות אותם ב-Cloud Logging או ב- Metrics Explorer.

דוגמה

tee-monitoring-memory-enable=true

tee-mount

אינטראקציה עם:

יוצר עומס העבודה: מדיניות ההפעלה של allow_mount_destinations.

String

רשימה של הגדרות של נקודות חיבור שמופרדות באמצעות נקודה-פסיק. הגדרת הנפח מורכבת מרשימה מופרדת בפסיקים של צמדי מפתח/ערך, שכוללת את type, source ו-destination. הערך של destination צריך להיות נתיב מוחלט, והערך של type/source צריך להיות tmpfs.

דוגמה

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

אינטראקציה עם:

שותפי עריכה של נתונים: הטענה container.restart_policy.

ספירה

מדיניות ההפעלה מחדש של מפעיל הקונטיינר כשהעומס מופסק.

הערכים התקינים הם:

Never (ברירת מחדל)
Always
OnFailure

המשתנה הזה נתמך רק בתמונה של Confidential Space בסביבת הייצור.

דוגמה

tee-restart-policy=OnFailure

tee-signed-image-repos

אינטראקציה עם:

שותפי עריכה של נתונים: הטענה container.image_signatures.

String

רשימה של מאגרי מאגרי תגים מופרדים בפסיקים שמאחסנים את החתימות שנוצרות על ידי Sigstore Cosign.

דוגמה

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example

משתני מטא-נתונים של עומס עבודה קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

דוגמה

דוגמה

דוגמה

דוגמה

דוגמה

דוגמה

דוגמה

דוגמה

דוגמה

דוגמה

דוגמה

דוגמה

דוגמה

דוגמה

דוגמה

משתני מטא-נתונים של עומס עבודה