Questa pagina è stata tradotta dall'API Cloud Translation.

Variabili dei metadati del carico di lavoro

Operatore dei carichi di lavoro

Puoi modificare il comportamento della VM del workload Confidential Space passando variabili all'opzione --metadata quando crei la VM.

Per passare più variabili, imposta prima il delimitatore anteponendo il valore --metadata a ^~^. Il delimitatore viene impostato su ~, poiché , viene utilizzato nei valori delle variabili.

Ad esempio:

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

La tabella seguente illustra le variabili di metadati che puoi impostare per la VM del carico di lavoro.

Chiave dei metadati Tipo Descrizione e valori

Chiave dei metadati	Tipo	Descrizione e valori
`tee-image-reference` Interazione con: Collaboratori dei dati: l'affermazione `container.image_id` .	Stringa	Obbligatorio. Indica la posizione del contenitore del carico di lavoro. Esempio `tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest`
`tee-cmd` Interazione con: Autore del carico di lavoro: le norme di lancio `allow_cmd_override` . Collaboratori dei dati: l'affermazione `container.cmd_override` .	Array di stringhe JSON	Esegue l'override delle istruzioni CMD specificate nel `Dockerfile` del container del carico di lavoro. Esempio `tee-cmd="[\"params1\", \"params2\"]"`
`tee-container-log-redirect` Interazione con: Autore del carico di lavoro: le norme di lancio `log_redirect` .	Stringa definita	Output `STDOUT` e `STDERR` dal contenitore del carico di lavoro a Cloud Logging o alla console seriale, nel campo confidential-space-launcher. I valori validi sono: `false`: (valore predefinito) non viene eseguito alcun logging. `true`: viene visualizzato nella console seriale e in Cloud Logging. `cloud_logging`: le uscite sono solo in Cloud Logging. `serial`: viene visualizzato solo nella console seriale. Un volume elevato di log nella console seriale potrebbe influire sulle prestazioni del workload. Esempio `tee-container-log-redirect=true`
`tee-dev-shm-size-kb`	Numero intero	Imposta le dimensioni in kB del montaggio della memoria condivisa `/dev/shm`. Esempio `tee-dev-shm-size-kb=65536`
`tee-env-ENVIRONMENT_VARIABLE_NAME` Interazione con: Collaboratori dei dati: le affermazioni `container.env` e `container.env_override` .	Stringa	Imposta le variabili di ambiente nel contenitore del carico di lavoro. L'autore del workload deve anche aggiungere i nomi variabile di ambiente al criterio di lancio `allow_env_override` , altrimenti non verranno impostati. Esempio `tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'`
`tee-impersonate-service-accounts` Interazione con: Collaboratori dei dati: l'affermazione `google_service_accounts` .	Stringa	Un elenco di account di servizio che possono essere rappresentati dall'operatore del workload. L'operatore del carico di lavoro deve essere autorizzato a simulare l'identità degli account di servizio. È possibile elencare più account di servizio, separati da virgole. Esempio `tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com`
`tee-monitoring-memory-enable` Interazione con: Collaboratori dei dati: l'affermazione `instance_memory_monitoring_enabled` . Autore del carico di lavoro: le norme di lancio `monitoring_memory_allow` .	Booleano	Il valore predefinito è `false`. Se impostato su `true`, attiva il monitoraggio dell'utilizzo della memoria. Le metriche raccolte dalla VM con accesso riservato sono di tipo `guest/memory/bytes_used` e possono essere visualizzate in Cloud Logging o Metrics Explorer. Esempio `tee-monitoring-memory-enable=true`
`tee-mount` Interazione con: Autore del carico di lavoro: le norme di lancio `allow_mount_destinations` .	Stringa	Un elenco di definizioni di montaggio separate da punto e virgola. Una definizione di montaggio è costituita da un elenco di coppie chiave/valore separate da virgola, che richiedono `type`, `source` e `destination`. `destination` deve essere un percorso assoluto e `type`/`source` deve essere `tmpfs`. Esempio `type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload`
`tee-restart-policy` Interazione con: Collaboratori dei dati: l'affermazione `container.restart_policy` .	Stringa definita	Il criterio di riavvio del programma di avvio del container quando il workload si interrompe I valori validi sono: `Never` (valore predefinito) `Always` `OnFailure` Questa variabile è supportata solo dall'immagine di produzione di Confidential Space. Esempio `tee-restart-policy=OnFailure`
`tee-signed-image-repos` Interazione con: Collaboratori dei dati: l'affermazione `container.image_signatures` .	Stringa	Un elenco di repository di contenitori separati da virgole che memorizzano le firme generate da Sigstore Cosign. Esempio `tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example`

tee-image-reference

Interazione con:

Collaboratori dei dati: l'affermazione container.image_id .

Stringa

Obbligatorio. Indica la posizione del contenitore del carico di lavoro.

Esempio

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

tee-cmd

Interazione con:

Autore del carico di lavoro: le norme di lancio allow_cmd_override .
Collaboratori dei dati: l'affermazione container.cmd_override .

Array di stringhe JSON

Esegue l'override delle istruzioni CMD specificate nel Dockerfile del container del carico di lavoro.

Esempio

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

Interazione con:

Autore del carico di lavoro: le norme di lancio log_redirect .

Stringa definita

Output STDOUT e STDERR dal contenitore del carico di lavoro a Cloud Logging o alla console seriale, nel campo confidential-space-launcher.

I valori validi sono:

false: (valore predefinito) non viene eseguito alcun logging.
true: viene visualizzato nella console seriale e in Cloud Logging.
cloud_logging: le uscite sono solo in Cloud Logging.
serial: viene visualizzato solo nella console seriale.

Un volume elevato di log nella console seriale potrebbe influire sulle prestazioni del workload.

Esempio

tee-container-log-redirect=true

tee-dev-shm-size-kb

Numero intero

Imposta le dimensioni in kB del montaggio della memoria condivisa /dev/shm.

Esempio

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

Interazione con:

Collaboratori dei dati: le affermazioni container.env e container.env_override .

Stringa

Imposta le variabili di ambiente nel contenitore del carico di lavoro. L'autore del workload deve anche aggiungere i nomi variabile di ambiente al criterio di lancio allow_env_override , altrimenti non verranno impostati.

Esempio

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

Interazione con:

Collaboratori dei dati: l'affermazione google_service_accounts .

Stringa

Un elenco di account di servizio che possono essere rappresentati dall'operatore del workload. L'operatore del carico di lavoro deve essere autorizzato a simulare l'identità degli account di servizio.

È possibile elencare più account di servizio, separati da virgole.

Esempio

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-monitoring-memory-enable

Interazione con:

Collaboratori dei dati: l'affermazione instance_memory_monitoring_enabled .
Autore del carico di lavoro: le norme di lancio monitoring_memory_allow .

Booleano

Il valore predefinito è false. Se impostato su true, attiva il monitoraggio dell'utilizzo della memoria. Le metriche raccolte dalla VM con accesso riservato sono di tipo guest/memory/bytes_used e possono essere visualizzate in Cloud Logging o Metrics Explorer.

Esempio

tee-monitoring-memory-enable=true

tee-mount

Interazione con:

Autore del carico di lavoro: le norme di lancio allow_mount_destinations .

Stringa

Un elenco di definizioni di montaggio separate da punto e virgola. Una definizione di montaggio è costituita da un elenco di coppie chiave/valore separate da virgola, che richiedono type, source e destination. destination deve essere un percorso assoluto e type/source deve essere tmpfs.

Esempio

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

Interazione con:

Collaboratori dei dati: l'affermazione container.restart_policy .

Stringa definita

Il criterio di riavvio del programma di avvio del container quando il workload si interrompe

I valori validi sono:

Never (valore predefinito)
Always
OnFailure

Questa variabile è supportata solo dall'immagine di produzione di Confidential Space.

Esempio

tee-restart-policy=OnFailure

tee-signed-image-repos

Interazione con:

Collaboratori dei dati: l'affermazione container.image_signatures .

Stringa

Un elenco di repository di contenitori separati da virgole che memorizzano le firme generate da Sigstore Cosign.

Esempio

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example