Halaman ini diterjemahkan oleh Cloud Translation API.

Kebijakan peluncuran

Penulis beban kerja

Kebijakan peluncuran mengganti variabel metadata VM yang ditetapkan oleh operator beban kerja untuk membatasi tindakan berbahaya. Penulis workload dapat menetapkan kebijakan dengan label sebagai bagian dari mem-build image container.

Misalnya, dalam Dockerfile:

LABEL "tee.launch_policy.allow_cmd_override"="true"

Dalam file BUILD Bazel:

container_image(
    ...
    labels={"tee.launch_policy.allow_cmd_override":"true"}
    ...
)

Kebijakan peluncuran yang tersedia ada dalam tabel berikut:

Kebijakan	Jenis	Deskripsi
`tee.launch_policy.allow_cmd_override` Berinteraksi dengan: Operator beban kerja: Variabel metadata `tee-cmd`. Kolaborator data: Pernyataan `container.cmd_override`.	Boolean (defaultnya adalah `false`)	Menentukan apakah `CMD` yang ditentukan dalam `Dockerfile` penampung workload dapat diganti oleh operator workload dengan nilai metadata `tee-cmd`.
`tee.launch_policy.allow_env_override` Berinteraksi dengan: Operator beban kerja: Variabel metadata `tee-env-ENVIRONMENT_VARIABLE_NAME`. Kolaborator data: Afirmasi `container.env` dan `container.env_override`.	String yang dipisahkan koma	String yang dipisahkan koma dari nama variabel lingkungan yang diizinkan yang diizinkan untuk ditetapkan oleh operator beban kerja dengan nilai metadata `tee-env-ENVIRONMENT_VARIABLE_NAME`.
`tee.launch_policy.allow_mount_destinations` Berinteraksi dengan: Operator beban kerja: Variabel metadata `tee-mount`.	String yang dipisahkan titik dua	String yang dipisahkan titik dua dari direktori pemasangan yang diizinkan yang diizinkan untuk dipasang oleh operator beban kerja menggunakan `tee-mount`. Contoh: `/run/tmp:/var/tmp:/tmp`
`tee.launch_policy.log_redirect` Berinteraksi dengan: Operator beban kerja: Variabel metadata `tee-container-log-redirect`.	String yang ditentukan	Menentukan cara kerja logging jika `tee-container-log-redirect` ditetapkan ke `true` oleh operator beban kerja. Nilai yang valid adalah: `debugonly` (default): Hanya izinkan pengalihan `stdout` dan `stderr` saat menggunakan image debug. `always`: Selalu izinkan pengalihan `stdout` dan `stderr`. `never`: Jangan pernah mengizinkan pengalihan `stdout` dan `stderr`.
`tee.launch_policy.monitoring_memory_allow` Berinteraksi dengan: Kolaborator data: Pernyataan `monitoring_enabled.memory` . Operator beban kerja: Variabel metadata `tee-memory-monitoring-enable`.	String yang ditentukan	Menentukan cara kerja pemantauan penggunaan memori beban kerja jika `tee-memory-monitoring-enable` ditetapkan ke `true` oleh operator beban kerja. Nilai yang valid adalah: `debugonly` (default): Hanya izinkan pemantauan penggunaan memori saat menggunakan image debug. `always`: Selalu izinkan pemantauan penggunaan memori. `never`: Jangan pernah mengizinkan pemantauan penggunaan memori. Perhatian: Jika Anda mengizinkan pemantauan penggunaan memori, operator beban kerja dapat melihat metrik penggunaan memori beban kerja di Cloud Logging dan Metrics Explorer. Jika beban kerja Anda tidak ditulis dengan cara yang mencegah penggunaan memori total membocorkan informasi sensitif, blokir fitur ini di beban kerja produksi.