工作負載中繼資料變數

建立 VM 時,您可以將變數傳遞至 --metadata 選項,變更 Confidential Space 工作負載 VM 的行為。

如要傳遞多個變數,請先在 --metadata 值加上 ^~^ 前置字元,設定分隔符號。這會將分隔符號設為 ~,因為變數值中會使用 ,

例如:

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

下表詳細列出可為工作負載 VM 設定的中繼資料變數。

中繼資料鍵 類型 說明和值

tee-image-reference

互動對象:

 字串

這是必要旗標,這會指向工作負載容器的位置。

範例
tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

tee-added-capabilities

互動對象:

 JSON 字串陣列

為工作負載容器新增其他 Linux 功能

範例
tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"

tee-cgroup-ns

互動對象:

 布林值

預設值為 false。設為 true 時,會在 /sys/fs/cgroup 啟用命名空間 cgroup 掛接。

範例
tee-cgroup-ns=true

tee-cmd

互動對象:

 JSON 字串陣列

覆寫工作負載容器 Dockerfile 中指定的 CMD 指令。

範例
tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

互動對象:

 定義的字串

將工作負載容器的輸出內容 STDOUTSTDERR 傳送至 Cloud Logging 或序列埠主控台,位於 confidential-space-launcher 欄位下方。

有效值如下:

  • false:(預設) 不會記錄任何內容。
  • true:輸出至序列埠主控台和 Cloud Logging。
  • cloud_logging:僅輸出至 Cloud Logging。
  • serial:僅輸出至序列主控台。

序列主控台中的記錄量過高可能會影響工作負載效能。

範例
tee-container-log-redirect=true

tee-dev-shm-size-kb

 整數

設定 /dev/shm 共用記憶體掛接的大小 (以 kB 為單位)。

範例
tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

互動對象:

 字串

設定工作負載容器中的環境變數。工作負載作者也必須將環境變數名稱新增至 allow_env_override 啟動政策,否則系統不會設定這些變數。

範例
tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

互動對象:

 字串

工作負載運算子可模擬的服務帳戶清單。工作負載運算子必須 獲准模擬服務帳戶

您可以列出多個服務帳戶,並以半形逗號分隔。

範例
tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-install-gpu-driver

互動對象:

 布林值

是否要安裝 NVIDIA 的機密運算 GPU 驅動程式。 需要支援 NVIDIA 機密運算的機器類型 (搶先版)。

範例
tee-install-gpu-driver=true

tee-monitoring-memory-enable

互動對象:

 布林值

預設值為 false。設為 true 時,會啟用記憶體用量監控功能。機密 VM 收集的指標屬於 guest/memory/bytes_used 類型,可在 Cloud LoggingMetrics Explorer 中查看。

範例
tee-monitoring-memory-enable=true

tee-mount

互動對象:

 字串

以半形分號分隔的掛接定義清單。掛接定義是由以半形逗號分隔的鍵/值組合清單組成,需要 typesourcedestinationdestination 必須是絕對路徑,且 type/source 必須是 tmpfs

範例
type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

互動對象:

 定義的字串

工作負載停止時,容器啟動器的重新啟動政策

有效值如下:

  • Never (預設)
  • Always
  • OnFailure

這個變數僅適用於正式版機密空間映像檔。

範例
tee-restart-policy=OnFailure

tee-signed-image-repos

互動對象:

 字串

以半形逗號分隔的容器存放區清單,用於儲存 Sigstore Cosign 產生的簽章。

範例
tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example