Variabili dei metadati del carico di lavoro

Operatore del workload

Puoi modificare il comportamento della VM del workload Confidential Space passando le variabili all'opzione --metadata quando crei la VM.

Per inserire più variabili, imposta prima il delimitatore aggiungendo il prefisso ^~^ al valore --metadata. In questo modo, il delimitatore viene impostato su ~, poiché , viene utilizzato nei valori delle variabili.

Ad esempio:

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

La tabella seguente descrive in dettaglio le variabili di metadati che puoi impostare per la VM del carico di lavoro.

Chiave dei metadati Tipo Descrizione e valori

Chiave dei metadati	Tipo	Descrizione e valori
`tee-image-reference` Interazione con: Collaboratori dei dati: l'asserzione `container.image_reference`.	Stringa	Obbligatorio. Indica la posizione del container del workload. Esempio `tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest`
`tee-added-capabilities` Interazione con: Autore del workload: la policy di lancio `allow_capabilities`.	Array di stringhe JSON	Aggiunge ulteriori funzionalità Linux al contenitore del workload. Esempio `tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"`
`tee-cgroup-ns` Interazione con: Autore del workload: la policy di lancio `allow_cgroups`.	Booleano	Il valore predefinito è `false`. Se impostato su `true`, consente il montaggio di un cgroup con spazio dei nomi in `/sys/fs/cgroup`. Esempio `tee-cgroup-ns=true`
`tee-cmd` Interazione con: Autore del workload: la policy di lancio `allow_cmd_override`. Collaboratori dei dati: l'asserzione `container.cmd_override`.	Array di stringhe JSON	Esegue l'override delle istruzioni CMD specificate nel `Dockerfile` del container del carico di lavoro. Esempio `tee-cmd="[\"params1\", \"params2\"]"`
`tee-container-log-redirect` Interazione con: Autore del workload: la policy di lancio `log_redirect`.	Enumerazione	Output `STDOUT` e `STDERR` dal container del workload a Cloud Logging o alla console seriale, nel campo confidential-space-launcher. I valori validi sono: `false`: (predefinito) non viene eseguito alcun logging. `true`: output nella console seriale e Cloud Logging. `cloud_logging`: output solo in Cloud Logging. `serial`: output solo sulla console seriale. Un volume elevato di log nella console seriale potrebbe influire sulle prestazioni del workload. Esempio `tee-container-log-redirect=true`
`tee-dev-shm-size-kb`	Numero intero	Imposta le dimensioni in kB del punto di montaggio della memoria condivisa `/dev/shm`. Esempio `tee-dev-shm-size-kb=65536`
`tee-env-ENVIRONMENT_VARIABLE_NAME` Interazione con: Collaboratori dei dati: le `container.env` e `container.env_override`.	Stringa	Imposta le variabili di ambiente nel container del workload. L'autore del workload deve anche aggiungere i nomi variabile di ambiente alle norme di avvio `allow_env_override`, altrimenti non verranno impostate. Esempio `tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'`
`tee-impersonate-service-accounts` Interazione con: Collaboratori dei dati: l'asserzione `google_service_accounts`.	Stringa	Un elenco di service account che possono essere rappresentati dall'operatore del workload. L'operatore del carico di lavoro deve avere l'autorizzazione a impersonare i service account. È possibile elencare più service account separati da virgole. Esempio `tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com`
`tee-install-gpu-driver` Interazione con: Collaboratori dei dati: le `nvidia_gpu.cc_feature`, `nvidia_gpu.cc_mode` e `nvidia_gpu.gpus` asserzioni.	Booleano	Se installare il driver GPU Confidential Computing di NVIDIA. Richiede un tipo di macchina che supporti NVIDIA Confidential Computing. Esempio `tee-install-gpu-driver=true`
`tee-monitoring-memory-enable` Interazione con: Collaboratori dei dati: l'asserzione `instance_memory_monitoring_enabled`. Autore del workload: la policy di lancio `monitoring_memory_allow`.	Booleano	Il valore predefinito è `false`. Se impostato su `true`, attiva il monitoraggio dell'utilizzo della memoria. Le metriche raccolte dalla Confidential VM sono di tipo `guest/memory/bytes_used` e possono essere visualizzate in Cloud Logging o Esplora metriche. Esempio `tee-monitoring-memory-enable=true`
`tee-mount` Interazione con: Autore del workload: la policy di lancio `allow_mount_destinations`.	Stringa	Un elenco di definizioni di montaggio separate da punti e virgola. Una definizione di montaggio è costituita da un elenco separato da virgole di coppie chiave-valore, che richiedono `type`, `source` e `destination`. `destination` deve essere un percorso assoluto e `type`/`source` deve essere `tmpfs`. Esempio `type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload`
`tee-restart-policy` Interazione con: Collaboratori dei dati: l'asserzione `container.restart_policy`.	Enumerazione	La policy di riavvio del launcher del container quando il workload si arresta. I valori validi sono: `Never` (valore predefinito) `Always` `OnFailure` Questa variabile è supportata solo dall'immagine Confidential Space di produzione. Esempio `tee-restart-policy=OnFailure`
`tee-signed-image-repos` Interazione con: Collaboratori dei dati: l'asserzione `container.image_signatures`.	Stringa	Un elenco di repository di container separati da virgole che archiviano le firme generate da Sigstore Cosign. Esempio `tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example`

tee-image-reference

Interazione con:

Collaboratori dei dati: l'asserzione container.image_reference.

Stringa

Obbligatorio. Indica la posizione del container del workload.

Esempio

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

tee-added-capabilities

Interazione con:

Autore del workload: la policy di lancio allow_capabilities.

Array di stringhe JSON

Aggiunge ulteriori funzionalità Linux al contenitore del workload.

Esempio

tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"

tee-cgroup-ns

Interazione con:

Autore del workload: la policy di lancio allow_cgroups.

Booleano

Il valore predefinito è false. Se impostato su true, consente il montaggio di un cgroup con spazio dei nomi in /sys/fs/cgroup.

Esempio

tee-cgroup-ns=true

tee-cmd

Interazione con:

Autore del workload: la policy di lancio allow_cmd_override.
Collaboratori dei dati: l'asserzione container.cmd_override.

Array di stringhe JSON

Esegue l'override delle istruzioni CMD specificate nel Dockerfile del container del carico di lavoro.

Esempio

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

Interazione con:

Autore del workload: la policy di lancio log_redirect.

Enumerazione

Output STDOUT e STDERR dal container del workload a Cloud Logging o alla console seriale, nel campo confidential-space-launcher.

I valori validi sono:

false: (predefinito) non viene eseguito alcun logging.
true: output nella console seriale e Cloud Logging.
cloud_logging: output solo in Cloud Logging.
serial: output solo sulla console seriale.

Un volume elevato di log nella console seriale potrebbe influire sulle prestazioni del workload.

Esempio

tee-container-log-redirect=true

tee-dev-shm-size-kb

Numero intero

Imposta le dimensioni in kB del punto di montaggio della memoria condivisa /dev/shm.

Esempio

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

Interazione con:

Collaboratori dei dati: le container.env e container.env_override.

Stringa

Imposta le variabili di ambiente nel container del workload. L'autore del workload deve anche aggiungere i nomi variabile di ambiente alle norme di avvio allow_env_override, altrimenti non verranno impostate.

Esempio

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

Interazione con:

Collaboratori dei dati: l'asserzione google_service_accounts.

Stringa

Un elenco di service account che possono essere rappresentati dall'operatore del workload. L'operatore del carico di lavoro deve avere l'autorizzazione a impersonare i service account.

È possibile elencare più service account separati da virgole.

Esempio

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-install-gpu-driver

Interazione con:

Collaboratori dei dati: le nvidia_gpu.cc_feature, nvidia_gpu.cc_mode e nvidia_gpu.gpus asserzioni.

Booleano

Se installare il driver GPU Confidential Computing di NVIDIA. Richiede un tipo di macchina che supporti NVIDIA Confidential Computing.

Esempio

tee-install-gpu-driver=true

tee-monitoring-memory-enable

Interazione con:

Collaboratori dei dati: l'asserzione instance_memory_monitoring_enabled.
Autore del workload: la policy di lancio monitoring_memory_allow.

Booleano

Il valore predefinito è false. Se impostato su true, attiva il monitoraggio dell'utilizzo della memoria. Le metriche raccolte dalla Confidential VM sono di tipo guest/memory/bytes_used e possono essere visualizzate in Cloud Logging o Esplora metriche.

Esempio

tee-monitoring-memory-enable=true

tee-mount

Interazione con:

Autore del workload: la policy di lancio allow_mount_destinations.

Stringa

Un elenco di definizioni di montaggio separate da punti e virgola. Una definizione di montaggio è costituita da un elenco separato da virgole di coppie chiave-valore, che richiedono type, source e destination. destination deve essere un percorso assoluto e type/source deve essere tmpfs.

Esempio

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

Interazione con:

Collaboratori dei dati: l'asserzione container.restart_policy.

Enumerazione

La policy di riavvio del launcher del container quando il workload si arresta.

I valori validi sono:

Never (valore predefinito)
Always
OnFailure

Questa variabile è supportata solo dall'immagine Confidential Space di produzione.

Esempio

tee-restart-policy=OnFailure

tee-signed-image-repos

Interazione con:

Collaboratori dei dati: l'asserzione container.image_signatures.

Stringa

Un elenco di repository di container separati da virgole che archiviano le firme generate da Sigstore Cosign.

Esempio

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example

Variabili dei metadati del carico di lavoro Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Esempio

Esempio

Esempio

Esempio

Esempio

Esempio

Esempio

Esempio

Esempio

Esempio

Esempio

Esempio

Esempio

Variabili dei metadati del carico di lavoro