ワークロードのメタデータ変数
コレクションでコンテンツを整理
必要に応じて、コンテンツの保存と分類を行います。
VM の作成時に --metadata オプションに変数を渡すことで、Confidential Space ワークロード VM の動作を変更できます。
複数の変数を渡すには、まず --metadata 値の先頭に ^~^ を付けて区切り文字を設定します。これにより、区切り文字が ~ に設定されます。これは、, が変数で使用されるためです。
次に例を示します。
metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"
次の表に、ワークロード VM に設定できるメタデータ変数の詳細を示します。
| メタデータキー |
Type |
説明と値 |
|
tee-image-reference
連携:
|
文字列 |
必須。ワークロード コンテナの場所を示します。
例
tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest
|
|
tee-added-capabilities
連携:
-
ワークロード作成者:
allow_capabilities 起動ポリシー。
|
JSON 文字列配列 |
ワークロード コンテナに
Linux 機能を追加します。
例
tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"
|
|
tee-cgroup-ns
連携:
-
ワークロード作成者:
allow_cgroups 起動ポリシー。
|
ブール値 |
デフォルトは false です。true に設定すると、/sys/fs/cgroup に名前空間付きの cgroup マウントが有効になります。
例
tee-cgroup-ns=true
|
|
tee-cmd
連携:
-
ワークロード作成者:
allow_cmd_override 起動ポリシー。
-
データ コラボレーター:
container.cmd_override アサーション。
|
JSON 文字列配列 |
ワークロード コンテナの
Dockerfileで指定された
CMD 命令をオーバーライドします。
例
tee-cmd="[\"params1\", \"params2\"]"
|
|
tee-container-log-redirect
連携:
-
ワークロード作成者:
log_redirect 起動ポリシー。
|
列挙 |
ワークロード コンテナの STDOUT と STDERR を confidential-space-launcher フィールドの Cloud Logging またはシリアル コンソールに出力します。
有効な値は次のとおりです。
false: (デフォルト)ロギングは行われません。true: シリアル コンソールと
Cloud Logging に出力します。-
cloud_logging: Cloud Logging のみに出力します。
serial: シリアル コンソールのみに出力します。
シリアル コンソールのログ量が多いと、ワークロード パフォーマンスに影響する可能性があります。
例
tee-container-log-redirect=true
|
|
tee-dev-shm-size-kb
|
Integer |
/dev/shm 共有メモリ マウントのサイズを kB 単位で設定します。
例
tee-dev-shm-size-kb=65536
|
|
tee-env-ENVIRONMENT_VARIABLE_NAME
連携:
|
文字列 |
ワークロード コンテナに環境変数を設定します。ワークロード
作成者は、環境変数名を
allow_env_override起動ポリシーに追加する必要があります。追加しないと、
設定されません。
例
tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'
|
|
tee-impersonate-service-accounts
連携:
|
文字列 |
ワークロード
オペレーターによって権限を借用できるサービス アカウントのリスト。ワークロード オペレーターが、
サービス アカウントの権限借用を許可されている必要があります。
複数のサービス アカウントをカンマ区切りで指定できます。
例
tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com
|
|
tee-install-gpu-driver
連携:
-
データ コラボレーター:
nvidia_gpu.cc_mode アサーション。
|
ブール値 |
NVIDIA の Confidential Computing GPU ドライバをインストールするかどうか。
NVIDIA Confidential Computing(プレビュー)をサポートするマシンタイプが必要です。
例
tee-install-gpu-driver=true
|
|
tee-monitoring-memory-enable
連携:
|
ブール値 |
デフォルトは false です。true に設定すると、
メモリ使用量のモニタリングが有効になります。Confidential VM によって収集される指標は
guest/memory/bytes_used タイプで、Cloud Logging または
Metrics Explorer で確認できます。
例
tee-monitoring-memory-enable=true
|
|
tee-mount
連携:
|
文字列 |
セミコロンで区切られたマウント定義のリスト。マウント定義は、Key-Value ペアのカンマ区切りのリストで構成され、type、source、およびdestination が必要です。destination は絶対パスにする必要があり、type/source は tmpfs にする必要があります。
例
type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload
|
|
tee-restart-policy
連携:
|
列挙 |
ワークロードが停止したときのコンテナ ランチャーの再起動ポリシー。
有効な値は次のとおりです。
Never(デフォルト)AlwaysOnFailure
この変数は、本番環境の Confidential Space
イメージでのみサポートされています。
例
tee-restart-policy=OnFailure
|
|
tee-signed-image-repos
連携:
|
文字列 |
Sigstore Cosign によって生成された署名を保存する、コンテナ リポジトリのカンマ区切りリスト。
例
tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example
|
特に記載のない限り、このページのコンテンツはクリエイティブ・コモンズの表示 4.0 ライセンスにより使用許諾されます。コードサンプルは Apache 2.0 ライセンスにより使用許諾されます。詳しくは、Google Developers サイトのポリシーをご覧ください。Java は Oracle および関連会社の登録商標です。
最終更新日 2026-04-11 UTC。
[[["わかりやすい","easyToUnderstand","thumb-up"],["問題の解決に役立った","solvedMyProblem","thumb-up"],["その他","otherUp","thumb-up"]],[["わかりにくい","hardToUnderstand","thumb-down"],["情報またはサンプルコードが不正確","incorrectInformationOrSampleCode","thumb-down"],["必要な情報 / サンプルがない","missingTheInformationSamplesINeed","thumb-down"],["翻訳に関する問題","translationIssue","thumb-down"],["その他","otherDown","thumb-down"]],["最終更新日 2026-04-11 UTC。"],[],[]]
