Políticas de lançamento

As políticas de lançamento substituem as variáveis de metadados da VM definidas pelos operadores de cargas de trabalho para restringir ações maliciosas. Um autor de carga de trabalho pode definir políticas com uma etiqueta como parte da criação da respetiva imagem do contentor.

Por exemplo, num Dockerfile:

LABEL "tee.launch_policy.allow_cmd_override"="true"

Num ficheiro BUILD do Bazel:

container_image(
    ...
    labels={"tee.launch_policy.allow_cmd_override":"true"}
    ...
)

As políticas de lançamento disponíveis estão na tabela seguinte:

Política Tipo Descrição

tee.launch_policy.allow_capabilities

Interage com:

 Booleano (a predefinição é false) Determina se o operador da carga de trabalho pode adicionar capacidades do Linux adicionais ao contentor da carga de trabalho.

tee.launch_policy.allow_cgroups

Interage com:

  • Operador de carga de trabalho: a variável de metadados tee-cgroup-ns.
 Booleano (a predefinição é false) Determina se o contentor de carga de trabalho pode incluir uma montagem de cgroup com espaço de nomes em /sys/fs/cgroup.

tee.launch_policy.allow_cmd_override

Interage com:

 Booleano (a predefinição é false) Determina se o CMD especificado no Dockerfile do contentor de carga de trabalho pode ser substituído por um operador de carga de trabalho com o valor de metadados tee-cmd.

tee.launch_policy.allow_env_override

Interage com:

 String separada por vírgulas Uma string separada por vírgulas de nomes de variáveis de ambiente permitidos que podem ser definidos por um operador de carga de trabalho com tee-env-ENVIRONMENT_VARIABLE_NAME valores de metadados.

tee.launch_policy.allow_mount_destinations

Interage com:

  • Operador de carga de trabalho: a variável de metadados tee-mount.
 String separada por dois pontos

Uma string separada por dois pontos dos diretórios de montagem permitidos que o operador da carga de trabalho pode montar usando tee-mount.

Por exemplo: /run/tmp:/var/tmp:/tmp

tee.launch_policy.log_redirect

Interage com:

 String definida

Determina como o registo funciona se tee-container-log-redirect estiver definido como true por um operador de carga de trabalho.

Os valores válidos são:

  • debugonly (predefinição): só permite redirecionamentos stdout e stderr quando usa uma imagem de depuração.
  • always: permitir sempre os redirecionamentos de stdout e stderr.
  • never: nunca permitir redirecionamentos stdout e stderr.

tee.launch_policy.monitoring_memory_allow

Interage com:

 String definida

Determina como funciona a monitorização da utilização da memória da carga de trabalho se tee-memory-monitoring-enable for definido como true por um operador de carga de trabalho.

Os valores válidos são:

  • debugonly (predefinição): só permite a monitorização da utilização da memória quando usa uma imagem de depuração.
  • always: permitir sempre a monitorização da utilização de memória.
  • never: nunca permitir a monitorização da utilização de memória.