Esta página foi traduzida pela API Cloud Translation.

Políticas de lançamento

As políticas de lançamento substituem as variáveis de metadados da VM definidas pelos operadores de cargas de trabalho para restringir ações maliciosas. Um autor de carga de trabalho pode definir políticas com uma etiqueta como parte da criação da respetiva imagem do contentor.

Por exemplo, num Dockerfile:

LABEL "tee.launch_policy.allow_cmd_override"="true"

Num ficheiro BUILD do Bazel:

container_image(
    ...
    labels={"tee.launch_policy.allow_cmd_override":"true"}
    ...
)

As políticas de lançamento disponíveis estão na tabela seguinte:

Política	Tipo	Descrição
`tee.launch_policy.allow_capabilities` Interage com: Operador de carga de trabalho: a variável de metadados `tee-added-capabilities`.	Booleano (a predefinição é `false`)	Determina se o operador da carga de trabalho pode adicionar capacidades do Linux adicionais ao contentor da carga de trabalho.
`tee.launch_policy.allow_cgroups` Interage com: Operador de carga de trabalho: a variável de metadados `tee-cgroup-ns`.	Booleano (a predefinição é `false`)	Determina se o contentor de carga de trabalho pode incluir uma montagem de cgroup com espaço de nomes em `/sys/fs/cgroup`.
`tee.launch_policy.allow_cmd_override` Interage com: Operador de carga de trabalho: a variável de metadados `tee-cmd`. Colaboradores de dados: a declaração `container.cmd_override`.	Booleano (a predefinição é `false`)	Determina se o `CMD` especificado no `Dockerfile` do contentor de carga de trabalho pode ser substituído por um operador de carga de trabalho com o valor de metadados `tee-cmd`.
`tee.launch_policy.allow_env_override` Interage com: Operador de carga de trabalho: a variável de metadados `tee-env-ENVIRONMENT_VARIABLE_NAME`. Colaboradores de dados: as declarações `container.env` e `container.env_override`.	String separada por vírgulas	Uma string separada por vírgulas de nomes de variáveis de ambiente permitidos que podem ser definidos por um operador de carga de trabalho com `tee-env-ENVIRONMENT_VARIABLE_NAME` valores de metadados.
`tee.launch_policy.allow_mount_destinations` Interage com: Operador de carga de trabalho: a variável de metadados `tee-mount`.	String separada por dois pontos	Uma string separada por dois pontos dos diretórios de montagem permitidos que o operador da carga de trabalho pode montar usando `tee-mount`. Por exemplo: `/run/tmp:/var/tmp:/tmp`
`tee.launch_policy.log_redirect` Interage com: Operador de carga de trabalho: a variável de metadados `tee-container-log-redirect`.	String definida	Determina como o registo funciona se `tee-container-log-redirect` estiver definido como `true` por um operador de carga de trabalho. Os valores válidos são: `debugonly` (predefinição): só permite redirecionamentos `stdout` e `stderr` quando usa uma imagem de depuração. `always`: permitir sempre os redirecionamentos de `stdout` e `stderr`. `never`: nunca permitir redirecionamentos `stdout` e `stderr`.
`tee.launch_policy.monitoring_memory_allow` Interage com: Colaboradores de dados: a declaração `monitoring_enabled.memory` . Operador de carga de trabalho: a variável de metadados `tee-memory-monitoring-enable`.	String definida	Determina como funciona a monitorização da utilização da memória da carga de trabalho se `tee-memory-monitoring-enable` for definido como `true` por um operador de carga de trabalho. Os valores válidos são: `debugonly` (predefinição): só permite a monitorização da utilização da memória quando usa uma imagem de depuração. `always`: permitir sempre a monitorização da utilização de memória. `never`: nunca permitir a monitorização da utilização de memória. Aviso: se permitir a monitorização da utilização da memória, o operador da carga de trabalho pode ver as métricas de utilização da memória da carga de trabalho no Cloud Logging e no Metrics Explorer. Se a sua carga de trabalho não estiver escrita de forma a impedir que a utilização total de memória divulgue informações confidenciais, bloqueie esta funcionalidade em cargas de trabalho de produção.