Diese Seite wurde von der Cloud Translation API übersetzt.

Startrichtlinien

Autor der Arbeitslast

Startrichtlinien überschreiben die von Arbeitslastbearbeitern festgelegten VM-Metadatenvariablen, um schädliche Aktionen einzuschränken. Ein Arbeitslastautor kann beim Erstellen seines Container-Images Richtlinien mit einem Label festlegen.

Beispielsweise in einem Dockerfile:

LABEL "tee.launch_policy.allow_cmd_override"="true"

In einer Bazel-BUILD-Datei:

container_image(
    ...
    labels={"tee.launch_policy.allow_cmd_override":"true"}
    ...
)

Die verfügbaren Startrichtlinien finden Sie in der folgenden Tabelle:

Policy	Typ	Beschreibung
`tee.launch_policy.allow_cmd_override` Interagiert mit: Arbeitslastoperator: Die Metadatenvariable `tee-cmd`. Datenbearbeiter: Die `container.cmd_override` Behauptung.	Boolesch (Standardwert: `false`)	Bestimmt, ob das im `Dockerfile` des Arbeitslastcontainers angegebene `CMD` durch einen Arbeitslastoperator mit dem Metadatenwert `tee-cmd` überschrieben werden kann.
`tee.launch_policy.allow_env_override` Interagiert mit: Arbeitslastoperator: Die Metadatenvariable `tee-env-ENVIRONMENT_VARIABLE_NAME`. Datenmitbearbeiter: Die `container.env`- und `container.env_override`-Behauptungen.	Kommagetrennter String	Ein kommagetrennter String mit zulässigen Umgebungsvariablennamen, die von einem Workload-Betreiber mit `tee-env-ENVIRONMENT_VARIABLE_NAME`-Metadatenwerten festgelegt werden dürfen.
`tee.launch_policy.allow_mount_destinations` Interagiert mit: Arbeitslastoperator: Die Metadatenvariable `tee-mount`.	Durch Doppelpunkte getrennter String	Ein durch Doppelpunkte getrennter String zulässiger Bereitstellungsverzeichnisse, die der Arbeitslastoperator mit `tee-mount` bereitstellen darf. Beispiel: `/run/tmp:/var/tmp:/tmp`
`tee.launch_policy.log_redirect` Interagiert mit: Arbeitslastoperator: Die Metadatenvariable `tee-container-log-redirect`.	Definierter String	Bestimmt, wie das Logging funktioniert, wenn `tee-container-log-redirect` von einem Arbeitslast-Operator auf `true` gesetzt wird. Gültige Werte: `debugonly` (Standardeinstellung): `stdout`- und `stderr`-Weiterleitungen nur bei Verwendung eines Debug-Bilds zulassen. `always`: Lässt immer `stdout`- und `stderr`-Weiterleitungen zu. `never`: Lässt niemals `stdout`- und `stderr`-Weiterleitungen zu.
`tee.launch_policy.monitoring_memory_allow` Interagiert mit: Datenbearbeiter: Die `monitoring_enabled.memory` Behauptung. Arbeitslastoperator: Die Metadatenvariable `tee-memory-monitoring-enable`.	Definierter String	Bestimmt, wie die Überwachung der Arbeitsspeichernutzung funktioniert, wenn `tee-memory-monitoring-enable` von einem Arbeitslastbearbeiter auf `true` gesetzt wird. Gültige Werte: `debugonly` (Standardeinstellung): Die Überwachung der Speichernutzung wird nur bei Verwendung eines Debug-Images zugelassen. `always`: Überwachung der Arbeitsspeichernutzung immer zulassen. `never`: Die Überwachung der Arbeitsspeichernutzung darf niemals zugelassen werden. Warnung: Wenn Sie die Überwachung der Arbeitsspeichernutzung zulassen, kann der Arbeitslastbearbeiter Messwerte zur Arbeitsspeichernutzung in Cloud Logging und im Metrics Explorer sehen. Wenn Ihre Arbeitslast nicht so geschrieben ist, dass durch die Gesamtspeichernutzung keine vertraulichen Informationen preisgegeben werden, blockieren Sie diese Funktion für Produktionsarbeitslasten.