이 페이지는 Cloud Translation API를 통해 번역되었습니다.

출시 정책

워크로드 작성자

시작 정책은 워크로드 운영자가 설정한 VM 메타데이터 변수를 재정의하여 악의적인 작업을 제한합니다. 워크로드 작성자는 컨테이너 이미지를 빌드하는 과정에서 라벨이 있는 정책을 설정할 수 있습니다.

예를 들어 Dockerfile의 경우:

LABEL "tee.launch_policy.allow_cmd_override"="true"

Bazel BUILD 파일의 경우:

container_image(
    ...
    labels={"tee.launch_policy.allow_cmd_override":"true"}
    ...
)

사용 가능한 출시 정책은 다음 표에 나와 있습니다.

정책	유형	설명
`tee.launch_policy.allow_cmd_override` 다음과 상호작용: 워크로드 운영자: `tee-cmd` 메타데이터 변수입니다. 데이터 공동작업자: `container.cmd_override` 확인입니다.	부울(기본값: `false`)	워크로드 컨테이너의 `Dockerfile`에 지정된 `CMD`를 워크로드 연산자가 `tee-cmd` 메타데이터 값으로 재정의할 수 있는지 결정합니다.
`tee.launch_policy.allow_env_override` 다음과 상호작용: 워크로드 운영자: `tee-env-ENVIRONMENT_VARIABLE_NAME` 메타데이터 변수입니다. 데이터 공동작업자: `container.env` 및 `container.env_override` 어설션	쉼표로 구분된 문자열	워크로드 운영자가 `tee-env-ENVIRONMENT_VARIABLE_NAME` 메타데이터 값으로 설정할 수 있는 허용된 환경 변수 이름의 쉼표로 구분된 문자열입니다.
`tee.launch_policy.allow_mount_destinations` 다음과 상호작용: 워크로드 운영자: `tee-mount` 메타데이터 변수입니다.	콜론으로 구분된 문자열	워크로드 운영자가 `tee-mount`를 사용하여 마운트할 수 있는 허용된 마운트 디렉터리의 콜론으로 구분된 문자열입니다. 예: `/run/tmp:/var/tmp:/tmp`
`tee.launch_policy.log_redirect` 다음과 상호작용: 워크로드 운영자: `tee-container-log-redirect` 메타데이터 변수입니다.	정의된 문자열	워크로드 운영자가 `tee-container-log-redirect` 를 `true`로 설정하는 경우 로깅이 작동하는 방식을 결정합니다. 유효한 값은 다음과 같습니다. `debugonly` (기본값): 디버그 이미지를 사용할 때만 `stdout` 및 `stderr` 리디렉션을 허용합니다. `always`: 항상 `stdout` 및 `stderr` 리디렉션을 허용합니다. `never`: `stdout` 및 `stderr` 리디렉션을 허용하지 않습니다.
`tee.launch_policy.monitoring_memory_allow` 다음과 상호작용: 데이터 공동작업자: `monitoring_enabled.memory` 어설션입니다. 워크로드 운영자: `tee-memory-monitoring-enable` 메타데이터 변수입니다.	정의된 문자열	워크로드 운영자가 `tee-memory-monitoring-enable` 를 `true`로 설정하는 경우 워크로드 메모리 사용량 모니터링이 작동하는 방식을 결정합니다. 유효한 값은 다음과 같습니다. `debugonly` (기본값): 디버그 이미지를 사용할 때만 메모리 사용량 모니터링을 허용합니다. `always`: 항상 메모리 사용량 모니터링을 허용합니다. `never`: 메모리 사용량 모니터링을 허용하지 않습니다. 주의: 메모리 사용량 모니터링을 허용하면 워크로드 운영자가 Cloud Logging 및 측정항목 탐색기에서 워크로드 메모리 사용량 측정항목을 볼 수 있습니다. 총 메모리 사용량이 민감한 정보를 유출하지 못하도록 워크로드가 작성되지 않은 경우 프로덕션 워크로드에서 이 기능을 차단하세요.