Diese Seite wurde von der Cloud Translation API übersetzt.

Startrichtlinien

Autor der Arbeitslast

Startrichtlinien überschreiben die von Arbeitslastoperatoren festgelegten VM-Metadatavariablen, um schädliche Aktionen einzuschränken. Ein Arbeitslastautor kann beim Erstellen seines Container-Images Richtlinien mit einem Label festlegen.

Beispiel: Dockerfile

LABEL "tee.launch_policy.allow_cmd_override"="true"

In einer Bazel-BUILD-Datei:

container_image(
    ...
    labels={"tee.launch_policy.allow_cmd_override":"true"}
    ...
)

Die verfügbaren Startrichtlinien finden Sie in der folgenden Tabelle:

Richtlinie	Typ	Beschreibung
`tee.launch_policy.allow_capabilities` Interagiert mit: Arbeitslastoperator: Die Metadatenvariable `tee-added-capabilities`.	Boolesch (Standardwert ist `false`)	Gibt an, ob der Arbeitslastoperator dem Arbeitslastcontainer zusätzliche Linux-Funktionen hinzufügen kann.
`tee.launch_policy.allow_cgroups` Interagiert mit: Arbeitslastoperator: Die Metadatenvariable `tee-cgroup-ns`.	Boolesch (Standardwert ist `false`)	Bestimmt, ob der Arbeitslastcontainer eine Namespaced-Cgroup-Bereitstellung unter `/sys/fs/cgroup` enthalten darf.
`tee.launch_policy.allow_cmd_override` Interagiert mit: Arbeitslastoperator: Die Metadatenvariable `tee-cmd`. Datenmitarbeiter: Die `container.cmd_override` Behauptung.	Boolesch (Standardwert ist `false`)	Bestimmt, ob das im `Dockerfile` des Arbeitslastcontainers angegebene `CMD` durch einen Arbeitslastoperator mit dem Metadatenwert `tee-cmd` überschrieben werden kann.
`tee.launch_policy.allow_env_override` Interagiert mit: Arbeitslastoperator: Die Metadatenvariable `tee-env-ENVIRONMENT_VARIABLE_NAME`. Datenmitbearbeiter: Die Zusicherungen `container.env` und `container.env_override`.	Durch Kommas getrennter String	Ein durch Kommas getrennter String mit zulässigen Umgebungsvariablennamen, die von einem Arbeitslastoperator mit `tee-env-ENVIRONMENT_VARIABLE_NAME`-Metadatenwerten festgelegt werden dürfen.
`tee.launch_policy.allow_mount_destinations` Interagiert mit: Arbeitslastoperator: Die Metadatenvariable `tee-mount`.	Durch Doppelpunkte getrennter String	Ein durch Doppelpunkte getrennter String mit zulässigen Bereitstellungsverzeichnissen, in die der Arbeitslastoperator mit `tee-mount` einbinden darf. Beispiel: `/run/tmp:/var/tmp:/tmp`
`tee.launch_policy.log_redirect` Interagiert mit: Arbeitslastoperator: Die Metadatenvariable `tee-container-log-redirect`.	Definierter String	Bestimmt, wie das Logging funktioniert, wenn `tee-container-log-redirect` von einem Arbeitslastoperator auf `true` gesetzt wird. Die gültigen Werte sind: `debugonly` (Standard): Nur `stdout`- und `stderr`-Weiterleitungen zulassen, wenn ein Debug-Image verwendet wird. `always`: Lässt immer `stdout`- und `stderr`-Weiterleitungen zu. `never`: Lässt niemals `stdout`- und `stderr`-Weiterleitungen zu.
`tee.launch_policy.monitoring_memory_allow` Interagiert mit: Datenmitbearbeiter: Die `monitoring_enabled.memory` Assertion. Arbeitslastoperator: Die Metadatenvariable `tee-memory-monitoring-enable`.	Definierter String	Bestimmt, wie die Überwachung der Speichernutzung von Arbeitslasten funktioniert, wenn `tee-memory-monitoring-enable` von einem Arbeitslastoperator auf `true` gesetzt wird. Die gültigen Werte sind: `debugonly` (Standard): Die Überwachung der Speichernutzung ist nur bei Verwendung eines Debug-Images zulässig. `always`: Überwachung der Speichernutzung immer zulassen. `never`: Die Überwachung der Speichernutzung ist nie zulässig. Achtung: Wenn Sie die Überwachung der Arbeitsspeichernutzung zulassen, kann der Arbeitslastoperator Messwerte zur Arbeitsspeichernutzung der Arbeitslast in Cloud Logging und im Metrics Explorer sehen. Wenn Ihre Arbeitslast nicht so geschrieben ist, dass die Gesamtspeichernutzung keine vertraulichen Informationen preisgibt, blockieren Sie diese Funktion für Produktionsarbeitslasten.