启动政策
使用集合让一切井井有条
根据您的偏好保存内容并对其进行分类。
启动政策会替换工作负载运维者设置的虚拟机元数据变量,以限制恶意操作。在构建容器映像的过程中,工作负载作者可以使用标签设置政策。
例如,在 Dockerfile 中:
LABEL "tee.launch_policy.allow_cmd_override"="true"
在 Bazel BUILD 文件中:
container_image(
...
labels={"tee.launch_policy.allow_cmd_override":"true"}
...
)
可用的启动政策如下表所示:
| 政策 |
类型 |
说明 |
|
tee.launch_policy.allow_cmd_override
与以下各项互动:
|
布尔值(默认值为 false) |
确定工作负载容器的 Dockerfile 中指定的
CMD 是否可被使用
tee-cmd 元数据值的工作负载运算符替换。 |
|
tee.launch_policy.allow_env_override
与以下各项互动:
|
以英文逗号分隔的字符串 |
允许的工作负载运维者使用
tee-env-ENVIRONMENT_VARIABLE_NAME 元数据值设置的允许环境变量名称构成的字符串(以英文逗号分隔)。
|
|
tee.launch_policy.allow_mount_destinations
与以下各项互动:
|
以英文冒号分隔的字符串 |
以英文冒号分隔的字符串,其中包含允许的工作负载运维者使用 tee-mount 挂载到的允许挂载目录。
例如:/run/tmp:/var/tmp:/tmp
|
|
tee.launch_policy.log_redirect
与以下各项互动:
|
已定义的字符串 |
确定在工作负载运维方将
tee-container-log-redirect
设置为 true 时日志记录的工作方式。
有效值包括:
-
debugonly(默认):仅在使用调试映像时允许 stdout 和 stderr 重定向。
-
always:始终允许 stdout 和 stderr 重定向。
-
never:一律不允许 stdout 和 stderr 重定向。
|
|
tee.launch_policy.monitoring_memory_allow
与以下各项互动:
|
已定义的字符串 |
确定在工作负载操作员将
tee-memory-monitoring-enable
设置为 true 时,工作负载内存用量监控的工作原理。
有效值包括:
-
debugonly(默认):仅在使用调试映像时允许内存用量监控。
-
always:始终允许监控内存用量。
-
never:绝不允许监控内存用量。
|
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2025-01-31。
[[["易于理解","easyToUnderstand","thumb-up"],["解决了我的问题","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["很难理解","hardToUnderstand","thumb-down"],["信息或示例代码不正确","incorrectInformationOrSampleCode","thumb-down"],["没有我需要的信息/示例","missingTheInformationSamplesINeed","thumb-down"],["翻译问题","translationIssue","thumb-down"],["其他","otherDown","thumb-down"]],["最后更新时间 (UTC):2025-01-31。"],[],[]]
