Halaman ini diterjemahkan oleh Cloud Translation API.

Kebijakan peluncuran

Penulis beban kerja

Kebijakan peluncuran menggantikan variabel metadata VM yang ditetapkan oleh operator workload untuk membatasi tindakan berbahaya. Penulis workload dapat menetapkan kebijakan dengan label sebagai bagian dari pembuatan image container mereka.

Misalnya, dalam Dockerfile:

LABEL "tee.launch_policy.allow_cmd_override"="true"

Dalam file BUILD Bazel:

container_image(
    ...
    labels={"tee.launch_policy.allow_cmd_override":"true"}
    ...
)

Kebijakan peluncuran yang tersedia ada dalam tabel berikut:

Kebijakan	Jenis	Deskripsi
`tee.launch_policy.allow_capabilities` Berinteraksi dengan: Operator beban kerja: Variabel `tee-added-capabilities` metadata.	Boolean (defaultnya adalah `false`)	Menentukan apakah operator workload dapat menambahkan kemampuan Linux tambahan ke container workload.
`tee.launch_policy.allow_cgroups` Berinteraksi dengan: Operator beban kerja: Variabel `tee-cgroup-ns` metadata.	Boolean (defaultnya adalah `false`)	Menentukan apakah penampung workload diizinkan untuk menyertakan pemasangan cgroup namespace di `/sys/fs/cgroup`.
`tee.launch_policy.allow_cmd_override` Berinteraksi dengan: Operator beban kerja: Variabel `tee-cmd` metadata. Kolaborator data: Pernyataan `container.cmd_override`.	Boolean (defaultnya adalah `false`)	Menentukan apakah `CMD` yang ditentukan dalam `Dockerfile` container workload dapat diganti oleh operator workload dengan nilai metadata `tee-cmd`.
`tee.launch_policy.allow_env_override` Berinteraksi dengan: Operator beban kerja: Variabel `tee-env-ENVIRONMENT_VARIABLE_NAME` metadata. Kolaborator data: Pernyataan `container.env` dan `container.env_override`.	String yang dipisahkan koma	String nama variabel lingkungan yang diizinkan dan dipisahkan koma yang diizinkan untuk ditetapkan oleh operator workload dengan nilai metadata `tee-env-ENVIRONMENT_VARIABLE_NAME`.
`tee.launch_policy.allow_mount_destinations` Berinteraksi dengan: Operator beban kerja: Variabel `tee-mount` metadata.	String yang dipisahkan titik dua	String direktori pemasangan yang diizinkan dan dipisahkan dengan titik dua yang dapat dipasang oleh operator beban kerja menggunakan `tee-mount`. Contoh: `/run/tmp:/var/tmp:/tmp`
`tee.launch_policy.log_redirect` Berinteraksi dengan: Operator beban kerja: Variabel `tee-container-log-redirect` metadata.	String yang ditentukan	Menentukan cara kerja logging jika `tee-container-log-redirect` disetel ke `true` oleh operator workload. Nilai yang valid adalah: `debugonly` (default): Hanya mengizinkan pengalihan `stdout` dan `stderr` saat menggunakan image debug. `always`: Selalu izinkan pengalihan `stdout` dan `stderr`. `never`: Jangan pernah mengizinkan pengalihan `stdout` dan `stderr`.
`tee.launch_policy.monitoring_memory_allow` Berinteraksi dengan: Kolaborator data: Pernyataan `monitoring_enabled.memory` . Operator beban kerja: Variabel `tee-memory-monitoring-enable` metadata.	String yang ditentukan	Menentukan cara kerja pemantauan penggunaan memori workload jika `tee-memory-monitoring-enable` disetel ke `true` oleh operator workload. Nilai yang valid adalah: `debugonly` (default): Hanya izinkan pemantauan penggunaan memori saat menggunakan image debug. `always`: Selalu izinkan pemantauan penggunaan memori. `never`: Jangan pernah mengizinkan pemantauan penggunaan memori. Perhatian: Jika Anda mengizinkan pemantauan penggunaan memori, operator beban kerja dapat melihat metrik penggunaan memori beban kerja di Cloud Logging dan Metrics Explorer. Jika workload Anda tidak ditulis dengan cara yang mencegah kebocoran informasi sensitif dari penggunaan memori total, blokir fitur ini pada workload produksi.