Se usó la API de Cloud Translation para traducir esta página.

Políticas de inicio

Autor de la carga de trabajo

Las políticas de lanzamiento anulan las variables de metadatos de VM que establecen los operadores de cargas de trabajo para restringir las acciones maliciosas. El autor de una carga de trabajo puede configurar políticas con una etiqueta como parte de la compilación de su imagen de contenedor.

Por ejemplo, en un Dockerfile:

LABEL "tee.launch_policy.allow_cmd_override"="true"

En un archivo BUILD de Bazel, haz lo siguiente:

container_image(
    ...
    labels={"tee.launch_policy.allow_cmd_override":"true"}
    ...
)

Las políticas de lanzamiento disponibles se encuentran en la siguiente tabla:

Política	Tipo	Descripción
`tee.launch_policy.allow_cmd_override` Interactúa con lo siguiente: Operador de carga de trabajo: Es la variable de metadatos `tee-cmd`. Colaboradores de datos: La afirmación `container.cmd_override`.	Booleano (el valor predeterminado es `false`)	Determina si un operador de carga de trabajo puede anular el `CMD` especificado en el `Dockerfile` del contenedor de carga de trabajo con el valor de metadatos `tee-cmd`.
`tee.launch_policy.allow_env_override` Interactúa con lo siguiente: Operador de carga de trabajo: Es la variable de metadatos `tee-env-ENVIRONMENT_VARIABLE_NAME`. Colaboradores de datos: Las afirmaciones `container.env` y `container.env_override`.	Cadena separada por comas	Es una cadena separada por comas de nombres de variable de entorno permitidos que un operador de cargas de trabajo puede establecer con valores de metadatos `tee-env-ENVIRONMENT_VARIABLE_NAME`.
`tee.launch_policy.allow_mount_destinations` Interactúa con lo siguiente: Operador de carga de trabajo: Es la variable de metadatos `tee-mount`.	Cadena separada por dos puntos	Es una cadena separada por dos puntos de directorios de activación permitidos a los que el operador de carga de trabajo puede activar con `tee-mount`. Por ejemplo: `/run/tmp:/var/tmp:/tmp`
`tee.launch_policy.log_redirect` Interactúa con lo siguiente: Operador de carga de trabajo: Es la variable de metadatos `tee-container-log-redirect`.	Cadena definida	Determina cómo funciona el registro si un operador de carga de trabajo establece `tee-container-log-redirect` en `true`. Los valores válidos son los siguientes: `debugonly` (predeterminado): Solo permite redireccionamientos `stdout` y `stderr` cuando se usa una imagen de depuración. `always`: Permite siempre los redireccionamientos `stdout` y `stderr`. `never`: Nunca permite los redireccionamientos `stdout` y `stderr`.
`tee.launch_policy.monitoring_memory_allow` Interactúa con lo siguiente: Colaboradores de datos: La afirmación `monitoring_enabled.memory` Operador de carga de trabajo: Es la variable de metadatos `tee-memory-monitoring-enable`.	Cadena definida	Determina cómo funciona la supervisión del uso de memoria de la carga de trabajo si un operador de carga de trabajo establece `tee-memory-monitoring-enable` en `true`. Los valores válidos son los siguientes: `debugonly` (predeterminado): Solo permite la supervisión del uso de la memoria cuando se usa una imagen de depuración. `always`: Permite siempre la supervisión del uso de la memoria. `never`: Nunca permitas la supervisión del uso de memoria. Precaución: Si permites la supervisión del uso de la memoria, el operador de la carga de trabajo puede ver las métricas de uso de la memoria de la carga de trabajo en Cloud Logging y Explorador de métricas. Si tu carga de trabajo no está escrita de una manera que evite que el uso total de la memoria filtre información sensible, bloquea esta función en las cargas de trabajo de producción.