此页面由 Cloud Translation API 翻译。

启动政策

工作负载作者

启动政策会替换工作负载操作者设置的虚拟机元数据变量，以限制恶意操作。工作负载作者可以在构建容器映像时设置带有标签的政策。

例如，在 Dockerfile 中：

LABEL "tee.launch_policy.allow_cmd_override"="true"

在 Bazel BUILD 文件中：

container_image(
    ...
    labels={"tee.launch_policy.allow_cmd_override":"true"}
    ...
)

可用的启动政策如下表所示：

政策	类型	说明
`tee.launch_policy.allow_capabilities` 互动对象：工作负载运算符： `tee-added-capabilities` 元数据变量。	布尔值（默认值为 `false`）	确定工作负载操作员是否可以向工作负载容器添加其他 Linux 功能。
`tee.launch_policy.allow_cgroups` 互动对象：工作负载运算符： `tee-cgroup-ns` 元数据变量。	布尔值（默认值为 `false`）	确定工作负载容器是否允许在 `/sys/fs/cgroup` 处包含命名空间的 cgroup 装载。
`tee.launch_policy.allow_cmd_override` 互动对象：工作负载运算符： `tee-cmd` 元数据变量。数据协作者： `container.cmd_override` 断言。	布尔值（默认值为 `false`）	确定工作负载容器的 `Dockerfile` 中指定的 `CMD` 是否可被具有 `tee-cmd` 元数据值的工作负载运算符替换。
`tee.launch_policy.allow_env_override` 互动对象：工作负载运算符： `tee-env-ENVIRONMENT_VARIABLE_NAME` 元数据变量。数据协作者： `container.env` 和 `container.env_override` 断言。	以英文逗号分隔的字符串	允许被工作负载运算符使用 `tee-env-ENVIRONMENT_VARIABLE_NAME` 元数据值设置的允许的环境变量名称构成的字符串（以英文逗号分隔）。
`tee.launch_policy.allow_mount_destinations` 互动对象：工作负载运算符： `tee-mount` 元数据变量。	以英文冒号分隔的字符串	以英文冒号分隔的字符串，其中包含工作负载操作员可以使用 `tee-mount` 装载的许可装载目录。例如：`/run/tmp:/var/tmp:/tmp`
`tee.launch_policy.log_redirect` 互动对象：工作负载运算符： `tee-container-log-redirect` 元数据变量。	已定义的字符串	确定在工作负载操作器将 `tee-container-log-redirect` 设置为 `true` 时日志记录的工作方式。有效值包括： `debugonly`（默认）：仅在使用调试映像时允许 `stdout` 和 `stderr` 重定向。 `always`：始终允许 `stdout` 和 `stderr` 重定向。 `never`：一律不允许 `stdout` 和 `stderr` 重定向。
`tee.launch_policy.monitoring_memory_allow` 互动对象：数据协作者： `monitoring_enabled.memory` 断言。工作负载运算符： `tee-memory-monitoring-enable` 元数据变量。	已定义的字符串	确定在工作负载运算符将 `tee-memory-monitoring-enable` 设置为 `true` 时，工作负载内存使用情况监控的工作方式。有效值包括： `debugonly`（默认）：仅在使用调试映像时允许内存使用情况监控。 `always`：始终允许内存使用情况监控。 `never`：一律不允许内存使用情况监控。注意：如果您允许监控内存使用情况，工作负载运算符可以在 Cloud Logging 和 Metrics Explorer 中查看工作负载内存使用情况指标。如果您的工作负载的编写方式无法防止总内存用量泄露敏感信息，请在生产工作负载中屏蔽此功能。