Cette page a été traduite par l'API Cloud Translation.

Variables de métadonnées de charge de travail

Operator de charge de travail

Vous pouvez modifier le comportement de la VM de charge de travail Confidential Space en transmettant des variables à l'option --metadata lorsque vous créez la VM.

Pour transmettre plusieurs variables, commencez par définir le délimiteur en préfixant la valeur --metadata avec ^~^. Cela définit le délimiteur sur ~, car , est utilisé dans les valeurs de variables.

Exemple :

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

Le tableau suivant détaille les variables de métadonnées que vous pouvez définir pour votre VM de charge de travail.

Clé de métadonnée Type Description et valeurs

Clé de métadonnée	Type	Description et valeurs
`tee-image-reference` Interagit avec: Collaborateurs de données: affirmation `container.image_id` .	Chaîne	Obligatoire. Il pointe vers l'emplacement du conteneur de la charge de travail. Exemple `tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest`
`tee-cmd` Interagit avec: Auteur de la charge de travail: règle de lancement `allow_cmd_override` . Collaborateurs de données: affirmation `container.cmd_override` .	Tableau de chaînes JSON	Remplace les instructions CMD spécifiées dans le `Dockerfile` du conteneur de charge de travail. Exemple `tee-cmd="[\"params1\", \"params2\"]"`
`tee-container-log-redirect` Interagit avec: Auteur de la charge de travail: règle de lancement `log_redirect` .	Chaîne définie	affiche `STDOUT` et `STDERR` du conteneur de charge de travail vers Cloud Logging ou la console série, dans le champ confidential-space-launcher. Les valeurs valides sont les suivantes: `false`: (valeur par défaut) aucune journalisation n'est effectuée. `true`: sorties vers la console série et Cloud Logging. `cloud_logging`: les sorties sont uniquement destinées à Cloud Logging. `serial`: les sorties sont envoyées à la console série uniquement. Un volume de journaux élevé dans la console série peut avoir un impact sur les performances de la charge de travail. Exemple `tee-container-log-redirect=true`
`tee-dev-shm-size-kb`	Integer	Définit la taille en ko du montage de la mémoire partagée `/dev/shm`. Exemple `tee-dev-shm-size-kb=65536`
`tee-env-ENVIRONMENT_VARIABLE_NAME` Interagit avec: Collaborateurs pour les données: les assertions `container.env` et `container.env_override` .	Chaîne	Définit les variables d'environnement dans le conteneur de charge de travail. L'auteur de la charge de travail doit également ajouter les noms des variables d'environnement à la règle de lancement `allow_env_override` . Sinon, elles ne seront pas définies. Exemple `tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'`
`tee-impersonate-service-accounts` Interagit avec: Collaborateurs de données: affirmation `google_service_accounts` .	Chaîne	Liste des comptes de service dont l'identité peut être empruntée par l'opérateur de charge de travail. L'opérateur de charge de travail doit être autorisé à emprunter l'identité des comptes de service. Plusieurs comptes de service peuvent être répertoriés, séparés par une virgule. Exemple `tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com`
`tee-monitoring-memory-enable` Interagit avec: Collaborateurs de données: affirmation `instance_memory_monitoring_enabled` . Auteur de la charge de travail: règle de lancement `monitoring_memory_allow` .	Booléen	La valeur par défaut est `false`. Si ce paramètre est défini sur `true`, la surveillance de l'utilisation de la mémoire est activée. Les métriques collectées par la VM Confidential sont de type `guest/memory/bytes_used` et peuvent être consultées dans Cloud Logging ou dans l'explorateur de métriques. Exemple `tee-monitoring-memory-enable=true`
`tee-mount` Interagit avec: Auteur de la charge de travail: règle de lancement `allow_mount_destinations` .	Chaîne	Liste des définitions de montage séparées par un point-virgule. Une définition de montage se compose d'une liste de paires clé-valeur séparées par une virgule, qui nécessite `type`, `source` et `destination`. `destination` doit être un chemin d'accès absolu, et `type`/`source` doit être `tmpfs`. Exemple `type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload`
`tee-restart-policy` Interagit avec: Collaborateurs de données: affirmation `container.restart_policy` .	Chaîne définie	Règle de redémarrage du lanceur de conteneurs lorsque la charge de travail s'arrête Les valeurs valides sont les suivantes: `Never` (par défaut) `Always` `OnFailure` Cette variable n'est compatible qu'avec l'image de production Confidential Space. Exemple `tee-restart-policy=OnFailure`
`tee-signed-image-repos` Interagit avec: Collaborateurs de données: affirmation `container.image_signatures` .	Chaîne	Liste de dépôts de conteneurs séparés par une virgule qui stockent les signatures générées par Cosign Sigstore. Exemple `tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example`

tee-image-reference

Interagit avec:

Collaborateurs de données: affirmation container.image_id .

Chaîne

Obligatoire. Il pointe vers l'emplacement du conteneur de la charge de travail.

Exemple

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

tee-cmd

Interagit avec:

Auteur de la charge de travail: règle de lancement allow_cmd_override .
Collaborateurs de données: affirmation container.cmd_override .

Tableau de chaînes JSON

Remplace les instructions CMD spécifiées dans le Dockerfile du conteneur de charge de travail.

Exemple

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

Interagit avec:

Auteur de la charge de travail: règle de lancement log_redirect .

Chaîne définie

affiche STDOUT et STDERR du conteneur de charge de travail vers Cloud Logging ou la console série, dans le champ confidential-space-launcher.

Les valeurs valides sont les suivantes:

false: (valeur par défaut) aucune journalisation n'est effectuée.
true: sorties vers la console série et Cloud Logging.
cloud_logging: les sorties sont uniquement destinées à Cloud Logging.
serial: les sorties sont envoyées à la console série uniquement.

Un volume de journaux élevé dans la console série peut avoir un impact sur les performances de la charge de travail.

Exemple

tee-container-log-redirect=true

tee-dev-shm-size-kb

Integer

Définit la taille en ko du montage de la mémoire partagée /dev/shm.

Exemple

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

Interagit avec:

Collaborateurs pour les données: les assertions container.env et container.env_override .

Chaîne

Définit les variables d'environnement dans le conteneur de charge de travail. L'auteur de la charge de travail doit également ajouter les noms des variables d'environnement à la règle de lancement allow_env_override . Sinon, elles ne seront pas définies.

Exemple

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

Interagit avec:

Collaborateurs de données: affirmation google_service_accounts .

Chaîne

Liste des comptes de service dont l'identité peut être empruntée par l'opérateur de charge de travail. L'opérateur de charge de travail doit être autorisé à emprunter l'identité des comptes de service.

Plusieurs comptes de service peuvent être répertoriés, séparés par une virgule.

Exemple

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-monitoring-memory-enable

Interagit avec:

Collaborateurs de données: affirmation instance_memory_monitoring_enabled .
Auteur de la charge de travail: règle de lancement monitoring_memory_allow .

Booléen

La valeur par défaut est false. Si ce paramètre est défini sur true, la surveillance de l'utilisation de la mémoire est activée. Les métriques collectées par la VM Confidential sont de type guest/memory/bytes_used et peuvent être consultées dans Cloud Logging ou dans l'explorateur de métriques.

Exemple

tee-monitoring-memory-enable=true

tee-mount

Interagit avec:

Auteur de la charge de travail: règle de lancement allow_mount_destinations .

Chaîne

Liste des définitions de montage séparées par un point-virgule. Une définition de montage se compose d'une liste de paires clé-valeur séparées par une virgule, qui nécessite type, source et destination. destination doit être un chemin d'accès absolu, et type/source doit être tmpfs.

Exemple

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

Interagit avec:

Collaborateurs de données: affirmation container.restart_policy .

Chaîne définie

Règle de redémarrage du lanceur de conteneurs lorsque la charge de travail s'arrête

Les valeurs valides sont les suivantes:

Never (par défaut)
Always
OnFailure

Cette variable n'est compatible qu'avec l'image de production Confidential Space.

Exemple

tee-restart-policy=OnFailure

tee-signed-image-repos

Interagit avec:

Collaborateurs de données: affirmation container.image_signatures .

Chaîne

Liste de dépôts de conteneurs séparés par une virgule qui stockent les signatures générées par Cosign Sigstore.

Exemple

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example