Startrichtlinien überschreiben die von Arbeitslastbearbeitern festgelegten VM-Metadatenvariablen, um schädliche Aktionen einzuschränken. Ein Arbeitslastautor kann beim Erstellen seines Container-Images Richtlinien mit einem Label festlegen.
Bestimmt, ob das im Dockerfile des Arbeitslastcontainers angegebene CMD durch einen Arbeitslastoperator mit dem Metadatenwert tee-cmd überschrieben werden kann.
Ein kommagetrennter String mit zulässigen Umgebungsvariablennamen, die von einem Workload-Betreiber mit tee-env-ENVIRONMENT_VARIABLE_NAME-Metadatenwerten festgelegt werden dürfen.
tee.launch_policy.allow_mount_destinations
Interagiert mit:
Arbeitslastoperator: Die Metadatenvariable tee-mount.
Durch Doppelpunkte getrennter String
Ein durch Doppelpunkte getrennter String zulässiger Bereitstellungsverzeichnisse, die der Arbeitslastoperator mit tee-mount bereitstellen darf.
Bestimmt, wie die Überwachung der Arbeitsspeichernutzung funktioniert, wenn tee-memory-monitoring-enable von einem Arbeitslastbearbeiter auf true gesetzt wird.
Gültige Werte:
debugonly (Standardeinstellung): Die Überwachung der Speichernutzung wird nur bei Verwendung eines Debug-Images zugelassen.
always: Überwachung der Arbeitsspeichernutzung immer zulassen.
never: Die Überwachung der Arbeitsspeichernutzung darf niemals zugelassen werden.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-03-06 (UTC)."],[[["Launch policies, set by workload authors, override VM metadata variables to prevent malicious actions, using labels in `Dockerfile` or Bazel BUILD files."],["The `tee.launch_policy.allow_cmd_override` policy determines if the `CMD` in a container's `Dockerfile` can be overridden by a workload operator via the `tee-cmd` metadata variable."],["The `tee.launch_policy.allow_env_override` policy allows workload operators to set specific environment variables using `tee-env-` metadata variables, with a comma-separated list of permitted names."],["The `tee.launch_policy.allow_mount_destinations` policy defines a colon-separated string of allowed mount directories for workload operators using the `tee-mount` variable."],["The `tee.launch_policy.monitoring_memory_allow` policy controls workload memory usage monitoring when the `tee-memory-monitoring-enable` variable is true, offering options like `debugonly`, `always`, or `never`."]]],[]]
