本頁面由 Cloud Translation API 翻譯而成。

工作負載中繼資料變數

工作負載運算子

建立 VM 時，您可以將變數傳遞至 --metadata 選項，變更 Confidential Space 工作負載 VM 的行為。

如要傳遞多個變數，請先在 --metadata 值加上 ^~^ 前置字元，設定分隔符號。這會將分隔符號設為 ~，因為變數值中會使用 ,。

例如：

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

下表詳細列出可為工作負載 VM 設定的中繼資料變數。

中繼資料鍵類型說明和值

中繼資料鍵	類型	說明和值
`tee-image-reference` 互動對象：資料協作者： `container.image_id` 聲明。	字串	這是必要旗標，這會指向工作負載容器的位置。範例 `tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest`
`tee-added-capabilities` 互動對象：工作負載作者： `allow_capabilities` 啟動政策。	JSON 字串陣列	為工作負載容器新增其他 Linux 功能。範例 `tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"`
`tee-cgroup-ns` 互動對象：工作負載作者： `allow_cgroups` 啟動政策。	布林值	預設值為 `false`。設為 `true` 時，會在 `/sys/fs/cgroup` 啟用命名空間 cgroup 掛接。範例 `tee-cgroup-ns=true`
`tee-cmd` 互動對象：工作負載作者： `allow_cmd_override` 啟動政策。資料協作者： `container.cmd_override` 聲明。	JSON 字串陣列	覆寫工作負載容器 `Dockerfile` 中指定的 CMD 指令。範例 `tee-cmd="[\"params1\", \"params2\"]"`
`tee-container-log-redirect` 互動對象：工作負載作者： `log_redirect` 啟動政策。	定義的字串	工作負載容器的輸出內容 `STDOUT` 和 `STDERR` 會傳送至 Cloud Logging 或序列埠主控台，位於 confidential-space-launcher 欄位下方。有效值如下： `false`：(預設) 不會記錄任何內容。 `true`：輸出至序列埠主控台和 Cloud Logging。 `cloud_logging`：僅輸出至 Cloud Logging。 `serial`：僅輸出至序列主控台。序列主控台中的記錄量過高可能會影響工作負載效能。範例 `tee-container-log-redirect=true`
`tee-dev-shm-size-kb`	整數	設定 `/dev/shm` 共用記憶體掛接的大小 (以 kB 為單位)。範例 `tee-dev-shm-size-kb=65536`
`tee-env-ENVIRONMENT_VARIABLE_NAME` 互動對象：資料協作者： `container.env` 和 `container.env_override` 聲明。	字串	設定工作負載容器中的環境變數。工作負載作者也必須將環境變數名稱新增至 `allow_env_override` 啟動政策，否則系統不會設定這些變數。範例 `tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'`
`tee-impersonate-service-accounts` 互動對象：資料協作者： `google_service_accounts` 聲明。	字串	工作負載運算子可模擬的服務帳戶清單。工作負載運算子必須獲准模擬服務帳戶。您可以列出多個服務帳戶，並以半形逗號分隔。範例 `tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com`
`tee-install-gpu-driver` 互動對象：資料協作者： `nvidia_gpu.cc_mode` 聲明。	布林值	是否要安裝 NVIDIA 的機密運算 GPU 驅動程式。需要支援 NVIDIA 機密運算 (搶先版) 的機器類型。範例 `tee-install-gpu-driver=true`
`tee-monitoring-memory-enable` 互動對象：資料協作者： `instance_memory_monitoring_enabled` 聲明。工作負載作者： `monitoring_memory_allow` 啟動政策。	布林值	預設值為 `false`。設為 `true` 時，會啟用記憶體用量監控功能。機密 VM 收集的指標屬於 `guest/memory/bytes_used` 類型，可在 Cloud Logging 或 Metrics Explorer 中查看。範例 `tee-monitoring-memory-enable=true`
`tee-mount` 互動對象：工作負載作者： `allow_mount_destinations` 啟動政策。	字串	以半形分號分隔的掛接定義清單。掛接定義是由以半形逗號分隔的鍵/值組合清單組成，需要 `type`、`source` 和 `destination`。`destination` 必須是絕對路徑，且 `type`/`source` 必須是 `tmpfs`。範例 `type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload`
`tee-restart-policy` 互動對象：資料協作者： `container.restart_policy` 聲明。	定義的字串	工作負載停止時，容器啟動器的重新啟動政策有效值如下： `Never` (預設) `Always` `OnFailure` 這個變數僅適用於正式版機密空間映像檔。範例 `tee-restart-policy=OnFailure`
`tee-signed-image-repos` 互動對象：資料協作者： `container.image_signatures` 聲明。	字串	以半形逗號分隔的容器存放區清單，用於儲存 Sigstore Cosign 產生的簽章。範例 `tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example`

tee-image-reference

互動對象：

資料協作者： container.image_id 聲明。

字串

這是必要旗標，這會指向工作負載容器的位置。

範例

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

tee-added-capabilities

互動對象：

工作負載作者： allow_capabilities 啟動政策。

JSON 字串陣列

為工作負載容器新增其他 Linux 功能。

範例

tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"

tee-cgroup-ns

互動對象：

工作負載作者： allow_cgroups 啟動政策。

布林值

預設值為 false。設為 true 時，會在 /sys/fs/cgroup 啟用命名空間 cgroup 掛接。

範例

tee-cgroup-ns=true

tee-cmd

互動對象：

工作負載作者： allow_cmd_override 啟動政策。
資料協作者： container.cmd_override 聲明。

JSON 字串陣列

覆寫工作負載容器 Dockerfile 中指定的 CMD 指令。

範例

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

互動對象：

工作負載作者： log_redirect 啟動政策。

定義的字串

工作負載容器的輸出內容 STDOUT 和 STDERR 會傳送至 Cloud Logging 或序列埠主控台，位於 confidential-space-launcher 欄位下方。

有效值如下：

false：(預設) 不會記錄任何內容。
true：輸出至序列埠主控台和 Cloud Logging。
cloud_logging：僅輸出至 Cloud Logging。
serial：僅輸出至序列主控台。

序列主控台中的記錄量過高可能會影響工作負載效能。

範例

tee-container-log-redirect=true

tee-dev-shm-size-kb

整數

設定 /dev/shm 共用記憶體掛接的大小 (以 kB 為單位)。

範例

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

互動對象：

資料協作者： container.env 和 container.env_override 聲明。

字串

設定工作負載容器中的環境變數。工作負載作者也必須將環境變數名稱新增至 allow_env_override 啟動政策，否則系統不會設定這些變數。

範例

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

互動對象：

資料協作者： google_service_accounts 聲明。

字串

工作負載運算子可模擬的服務帳戶清單。工作負載運算子必須獲准模擬服務帳戶。

您可以列出多個服務帳戶，並以半形逗號分隔。

範例

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-install-gpu-driver

互動對象：

資料協作者： nvidia_gpu.cc_mode 聲明。

布林值

是否要安裝 NVIDIA 的機密運算 GPU 驅動程式。需要支援 NVIDIA 機密運算 (搶先版) 的機器類型。

範例

tee-install-gpu-driver=true

tee-monitoring-memory-enable

互動對象：

資料協作者： instance_memory_monitoring_enabled 聲明。
工作負載作者： monitoring_memory_allow 啟動政策。

布林值

預設值為 false。設為 true 時，會啟用記憶體用量監控功能。機密 VM 收集的指標屬於 guest/memory/bytes_used 類型，可在 Cloud Logging 或 Metrics Explorer 中查看。

範例

tee-monitoring-memory-enable=true

tee-mount

互動對象：

工作負載作者： allow_mount_destinations 啟動政策。

字串

以半形分號分隔的掛接定義清單。掛接定義是由以半形逗號分隔的鍵/值組合清單組成，需要 type、source 和 destination。destination 必須是絕對路徑，且 type/source 必須是 tmpfs。

範例

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

互動對象：

資料協作者： container.restart_policy 聲明。

定義的字串

工作負載停止時，容器啟動器的重新啟動政策

有效值如下：

Never (預設)
Always
OnFailure

這個變數僅適用於正式版機密空間映像檔。

範例

tee-restart-policy=OnFailure

tee-signed-image-repos

互動對象：

資料協作者： container.image_signatures 聲明。

字串

以半形逗號分隔的容器存放區清單，用於儲存 Sigstore Cosign 產生的簽章。

範例

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example