Se usó la API de Cloud Translation para traducir esta página.

Variables de metadatos de la carga de trabajo

Operador de cargas de trabajo

Puedes cambiar el comportamiento de la VM de la carga de trabajo de Confidential Space pasando variables a la opción --metadata cuando creas la VM.

Para pasar varias variables, primero establece el delimitador anteponiendo el valor --metadata con ^~^. Esto establece el delimitador en ~, ya que , se usa en los valores de las variables.

Por ejemplo:

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

En la siguiente tabla, se detallan las variables de metadatos que puedes configurar para la VM de tu carga de trabajo.

Clave de metadatos Tipo Descripción y valores

Clave de metadatos	Tipo	Descripción y valores
`tee-image-reference` Interactúa con lo siguiente: Colaboradores de datos: La afirmación `container.image_id` .	String	Obligatorio. Esto apunta a la ubicación del contenedor de la carga de trabajo. Ejemplo `tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest`
`tee-cmd` Interactúa con lo siguiente: Autor de la carga de trabajo: La `allow_cmd_override` política de lanzamiento. Colaboradores de datos: La afirmación `container.cmd_override` .	Array de cadenas JSON	Anula las instrucciones de CMD especificadas en el `Dockerfile` del contenedor de la carga de trabajo. Ejemplo `tee-cmd="[\"params1\", \"params2\"]"`
`tee-container-log-redirect` Interactúa con lo siguiente: Autor de la carga de trabajo: La `log_redirect` política de lanzamiento.	Cadena definida	Envía `STDOUT` y `STDERR` del contenedor de la carga de trabajo a Cloud Logging o a la consola en serie, en el campo confidential-space-launcher. Los valores válidos son los siguientes: `false`: (configuración predeterminada) No se realiza ningún registro. `true`: Se envía a la consola en serie y a Cloud Logging. `cloud_logging`: Solo se envían resultados a Cloud Logging. `serial`: Solo se envía a la consola en serie. Un volumen de registro alto en la consola en serie podría afectar el rendimiento de la carga de trabajo. Ejemplo `tee-container-log-redirect=true`
`tee-dev-shm-size-kb`	Número entero	Establece el tamaño en KB de la activación de la memoria compartida de `/dev/shm`. Ejemplo `tee-dev-shm-size-kb=65536`
`tee-env-ENVIRONMENT_VARIABLE_NAME` Interactúa con lo siguiente: Colaboradores de datos: Las afirmaciones `container.env` y `container.env_override` .	String	Configura las variables de entorno en el contenedor de carga de trabajo. El autor de la carga de trabajo también debe agregar los nombres de las variables de entorno a la política de lanzamiento de `allow_env_override` , de lo contrario, no se establecerán. Ejemplo `tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'`
`tee-impersonate-service-accounts` Interactúa con lo siguiente: Colaboradores de datos: La afirmación `google_service_accounts` .	String	Es una lista de cuentas de servicio que el operador de carga de trabajo puede usurpar. El operador de carga de trabajo debe tener la identidad de las cuentas de servicio. Se pueden enumerar varias cuentas de servicio, separadas por comas. Ejemplo `tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com`
`tee-monitoring-memory-enable` Interactúa con lo siguiente: Colaboradores de datos: La afirmación `instance_memory_monitoring_enabled` Autor de la carga de trabajo: La `monitoring_memory_allow` política de lanzamiento.	Booleano	La configuración predeterminada es `false`. Cuando se establece en `true`, habilita la supervisión del uso de memoria. Las métricas recopiladas por la VM confidencial son del tipo `guest/memory/bytes_used` y se pueden ver en Cloud Logging o en el Explorador de métricas. Ejemplo `tee-monitoring-memory-enable=true`
`tee-mount` Interactúa con lo siguiente: Autor de la carga de trabajo: La `allow_mount_destinations` política de lanzamiento.	String	Es una lista de definiciones de activación separadas por punto y coma. Una definición de activación consiste en una lista de pares clave-valor separados por comas que requieren `type`, `source` y `destination`. `destination` debe ser una ruta de acceso absoluta y `type`/`source` debe ser `tmpfs`. Ejemplo `type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload`
`tee-restart-policy` Interactúa con lo siguiente: Colaboradores de datos: La afirmación `container.restart_policy` .	Cadena definida	La política de reinicio del selector de contenedores cuando se detiene la carga de trabajo Los valores válidos son los siguientes: `Never` (predeterminada) `Always` `OnFailure` Esta variable solo es compatible con la imagen de Confidential Space de producción. Ejemplo `tee-restart-policy=OnFailure`
`tee-signed-image-repos` Interactúa con lo siguiente: Colaboradores de datos: La afirmación `container.image_signatures` .	String	Es una lista de repositorios de contenedores separados por comas que almacenan las firmas que genera Sigstore Cosign. Ejemplo `tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example`

tee-image-reference

Interactúa con lo siguiente:

Colaboradores de datos: La afirmación container.image_id .

String

Obligatorio. Esto apunta a la ubicación del contenedor de la carga de trabajo.

Ejemplo

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

tee-cmd

Interactúa con lo siguiente:

Autor de la carga de trabajo: La allow_cmd_override política de lanzamiento.
Colaboradores de datos: La afirmación container.cmd_override .

Array de cadenas JSON

Anula las instrucciones de CMD especificadas en el Dockerfile del contenedor de la carga de trabajo.

Ejemplo

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

Interactúa con lo siguiente:

Autor de la carga de trabajo: La log_redirect política de lanzamiento.

Cadena definida

Envía STDOUT y STDERR del contenedor de la carga de trabajo a Cloud Logging o a la consola en serie, en el campo confidential-space-launcher.

Los valores válidos son los siguientes:

false: (configuración predeterminada) No se realiza ningún registro.
true: Se envía a la consola en serie y a Cloud Logging.
cloud_logging: Solo se envían resultados a Cloud Logging.
serial: Solo se envía a la consola en serie.

Un volumen de registro alto en la consola en serie podría afectar el rendimiento de la carga de trabajo.

Ejemplo

tee-container-log-redirect=true

tee-dev-shm-size-kb

Número entero

Establece el tamaño en KB de la activación de la memoria compartida de /dev/shm.

Ejemplo

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

Interactúa con lo siguiente:

Colaboradores de datos: Las afirmaciones container.env y container.env_override .

String

Configura las variables de entorno en el contenedor de carga de trabajo. El autor de la carga de trabajo también debe agregar los nombres de las variables de entorno a la política de lanzamiento de allow_env_override , de lo contrario, no se establecerán.

Ejemplo

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

Interactúa con lo siguiente:

Colaboradores de datos: La afirmación google_service_accounts .

String

Es una lista de cuentas de servicio que el operador de carga de trabajo puede usurpar. El operador de carga de trabajo debe tener la identidad de las cuentas de servicio.

Se pueden enumerar varias cuentas de servicio, separadas por comas.

Ejemplo

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-monitoring-memory-enable

Interactúa con lo siguiente:

Colaboradores de datos: La afirmación instance_memory_monitoring_enabled
Autor de la carga de trabajo: La monitoring_memory_allow política de lanzamiento.

Booleano

La configuración predeterminada es false. Cuando se establece en true, habilita la supervisión del uso de memoria. Las métricas recopiladas por la VM confidencial son del tipo guest/memory/bytes_used y se pueden ver en Cloud Logging o en el Explorador de métricas.

Ejemplo

tee-monitoring-memory-enable=true

tee-mount

Interactúa con lo siguiente:

Autor de la carga de trabajo: La allow_mount_destinations política de lanzamiento.

String

Es una lista de definiciones de activación separadas por punto y coma. Una definición de activación consiste en una lista de pares clave-valor separados por comas que requieren type, source y destination. destination debe ser una ruta de acceso absoluta y type/source debe ser tmpfs.

Ejemplo

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

Interactúa con lo siguiente:

Colaboradores de datos: La afirmación container.restart_policy .

Cadena definida

La política de reinicio del selector de contenedores cuando se detiene la carga de trabajo

Los valores válidos son los siguientes:

Never (predeterminada)
Always
OnFailure

Esta variable solo es compatible con la imagen de Confidential Space de producción.

Ejemplo

tee-restart-policy=OnFailure

tee-signed-image-repos

Interactúa con lo siguiente:

Colaboradores de datos: La afirmación container.image_signatures .

String

Es una lista de repositorios de contenedores separados por comas que almacenan las firmas que genera Sigstore Cosign.

Ejemplo

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example