Halaman ini diterjemahkan oleh Cloud Translation API.

Variabel metadata beban kerja

Operator workload

Anda dapat mengubah perilaku VM workload Confidential Space dengan meneruskan variabel ke opsi --metadata saat membuat VM.

Untuk meneruskan beberapa variabel, tetapkan pembatas terlebih dahulu dengan menambahkan awalan nilai --metadata dengan ^~^. Tindakan ini akan menetapkan pemisah ke ~, karena , digunakan dalam nilai variabel.

Contoh:

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

Tabel berikut menjelaskan variabel metadata yang dapat Anda tetapkan untuk VM beban kerja.

Kunci metadata Jenis Deskripsi dan nilai

Kunci metadata	Jenis	Deskripsi dan nilai
`tee-image-reference` Berinteraksi dengan: Kolaborator data: Pernyataan `container.image_id` .	String	Wajib. Ini mengarah ke lokasi penampung beban kerja. Contoh `tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest`
`tee-cmd` Berinteraksi dengan: Penulis beban kerja: Kebijakan peluncuran `allow_cmd_override` . Kolaborator data: Pernyataan `container.cmd_override` .	Array string JSON	Mengganti petunjuk CMD yang ditentukan dalam `Dockerfile` penampung beban kerja. Contoh `tee-cmd="[\"params1\", \"params2\"]"`
`tee-container-log-redirect` Berinteraksi dengan: Penulis beban kerja: Kebijakan peluncuran `log_redirect` .	String yang ditentukan	Output `STDOUT` dan `STDERR` dari penampung beban kerja ke Cloud Logging atau konsol serial, di bagian kolom confidential-space-launcher. Nilai yang valid adalah: `false`: (default) tidak ada logging yang terjadi. `true`: output ke konsol serial dan Cloud Logging. `cloud_logging`: output hanya ke Cloud Logging. `serial`: output hanya ke konsol serial. Volume log yang tinggi di konsol serial dapat memengaruhi performa beban kerja. Contoh `tee-container-log-redirect=true`
`tee-dev-shm-size-kb`	Bilangan bulat	Menetapkan ukuran dalam kB untuk pemasangan memori bersama `/dev/shm`. Contoh `tee-dev-shm-size-kb=65536`
`tee-env-ENVIRONMENT_VARIABLE_NAME` Berinteraksi dengan: Kolaborator data: Pernyataan `container.env` dan `container.env_override` .	String	Menetapkan variabel lingkungan dalam penampung beban kerja. Penulis beban kerja juga harus menambahkan nama variabel lingkungan ke kebijakan peluncuran `allow_env_override` , atau nama tersebut tidak akan ditetapkan. Contoh `tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'`
`tee-impersonate-service-accounts` Berinteraksi dengan: Kolaborator data: Pernyataan `google_service_accounts` .	String	Daftar akun layanan yang dapat ditiru identitasnya oleh operator workload. Operator beban kerja harus diizinkan untuk meniru identitas akun layanan. Beberapa akun layanan dapat dicantumkan, yang dipisahkan dengan koma. Contoh `tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com`
`tee-monitoring-memory-enable` Berinteraksi dengan: Kolaborator data: Pernyataan `instance_memory_monitoring_enabled` . Penulis beban kerja: Kebijakan peluncuran `monitoring_memory_allow` .	Boolean	Nilai defaultnya adalah `false`. Jika ditetapkan ke `true`, pemantauan penggunaan memori akan diaktifkan. Metrik yang dikumpulkan oleh VM Rahasia adalah jenis `guest/memory/bytes_used` , dan dapat dilihat di Cloud Logging atau Metrics Explorer. Contoh `tee-monitoring-memory-enable=true`
`tee-mount` Berinteraksi dengan: Penulis beban kerja: Kebijakan peluncuran `allow_mount_destinations` .	String	Daftar definisi pemasangan yang dipisahkan titik koma. Definisi mount terdiri dari daftar pasangan nilai kunci yang dipisahkan koma, yang memerlukan `type`, `source`, dan `destination`. `destination` harus berupa jalur absolut dan `type`/`source` harus berupa `tmpfs`. Contoh `type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload`
`tee-restart-policy` Berinteraksi dengan: Kolaborator data: Pernyataan `container.restart_policy` .	String yang ditentukan	Kebijakan mulai ulang peluncur penampung saat beban kerja berhenti Nilai yang valid adalah: `Never` (default) `Always` `OnFailure` Variabel ini hanya didukung oleh image Confidential Space produksi. Contoh `tee-restart-policy=OnFailure`
`tee-signed-image-repos` Berinteraksi dengan: Kolaborator data: Pernyataan `container.image_signatures` .	String	Daftar repositori penampung yang dipisahkan koma yang menyimpan tanda tangan yang dihasilkan oleh Sigstore Cosign. Contoh `tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example`

tee-image-reference

Berinteraksi dengan:

Kolaborator data: Pernyataan container.image_id .

String

Wajib. Ini mengarah ke lokasi penampung beban kerja.

Contoh

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

tee-cmd

Berinteraksi dengan:

Penulis beban kerja: Kebijakan peluncuran allow_cmd_override .
Kolaborator data: Pernyataan container.cmd_override .

Array string JSON

Mengganti petunjuk CMD yang ditentukan dalam Dockerfile penampung beban kerja.

Contoh

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

Berinteraksi dengan:

Penulis beban kerja: Kebijakan peluncuran log_redirect .

String yang ditentukan

Output STDOUT dan STDERR dari penampung beban kerja ke Cloud Logging atau konsol serial, di bagian kolom confidential-space-launcher.

Nilai yang valid adalah:

false: (default) tidak ada logging yang terjadi.
true: output ke konsol serial dan Cloud Logging.
cloud_logging: output hanya ke Cloud Logging.
serial: output hanya ke konsol serial.

Volume log yang tinggi di konsol serial dapat memengaruhi performa beban kerja.

Contoh

tee-container-log-redirect=true

tee-dev-shm-size-kb

Bilangan bulat

Menetapkan ukuran dalam kB untuk pemasangan memori bersama /dev/shm.

Contoh

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

Berinteraksi dengan:

Kolaborator data: Pernyataan container.env dan container.env_override .

String

Menetapkan variabel lingkungan dalam penampung beban kerja. Penulis beban kerja juga harus menambahkan nama variabel lingkungan ke kebijakan peluncuran allow_env_override , atau nama tersebut tidak akan ditetapkan.

Contoh

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

Berinteraksi dengan:

Kolaborator data: Pernyataan google_service_accounts .

String

Daftar akun layanan yang dapat ditiru identitasnya oleh operator workload. Operator beban kerja harus diizinkan untuk meniru identitas akun layanan.

Beberapa akun layanan dapat dicantumkan, yang dipisahkan dengan koma.

Contoh

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-monitoring-memory-enable

Berinteraksi dengan:

Kolaborator data: Pernyataan instance_memory_monitoring_enabled .
Penulis beban kerja: Kebijakan peluncuran monitoring_memory_allow .

Boolean

Nilai defaultnya adalah false. Jika ditetapkan ke true, pemantauan penggunaan memori akan diaktifkan. Metrik yang dikumpulkan oleh VM Rahasia adalah jenis guest/memory/bytes_used , dan dapat dilihat di Cloud Logging atau Metrics Explorer.

Contoh

tee-monitoring-memory-enable=true

tee-mount

Berinteraksi dengan:

Penulis beban kerja: Kebijakan peluncuran allow_mount_destinations .

String

Daftar definisi pemasangan yang dipisahkan titik koma. Definisi mount terdiri dari daftar pasangan nilai kunci yang dipisahkan koma, yang memerlukan type, source, dan destination. destination harus berupa jalur absolut dan type/source harus berupa tmpfs.

Contoh

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

Berinteraksi dengan:

Kolaborator data: Pernyataan container.restart_policy .

String yang ditentukan

Kebijakan mulai ulang peluncur penampung saat beban kerja berhenti

Nilai yang valid adalah:

Never (default)
Always
OnFailure

Variabel ini hanya didukung oleh image Confidential Space produksi.

Contoh

tee-restart-policy=OnFailure

tee-signed-image-repos

Berinteraksi dengan:

Kolaborator data: Pernyataan container.image_signatures .

String

Daftar repositori penampung yang dipisahkan koma yang menyimpan tanda tangan yang dihasilkan oleh Sigstore Cosign.

Contoh

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example