このページは Cloud Translation API によって翻訳されました。

ワークロードのメタデータ変数

VM を作成するときに変数を --metadata オプションに渡すことで、Confidential Space ワークロード VM の動作を変更できます。

複数の変数を渡すには、まず --metadata 値の前に ^~^ を追加して区切り文字を設定します。変数値で , が使用されるため、区切り文字は ~ に設定されます。

次に例を示します。

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

次の表に、ワークロード VM に設定できるメタデータ変数を示します。

メタデータキー Type 説明と値

メタデータキー	Type	説明と値
`tee-image-reference` 関連する項目: データコラボレータ: `container.image_id` アサーション。	文字列	必須。これは、ワークロードコンテナの場所を指します。例 `tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest`
`tee-cmd` 関連する項目: ワークロード作成者: `allow_cmd_override` 起動ポリシー。データコラボレータ: `container.cmd_override` アサーション。	JSON 文字列配列	ワークロードコンテナの `Dockerfile` で指定された CMD 命令をオーバーライドします。例 `tee-cmd="[\"params1\", \"params2\"]"`
`tee-container-log-redirect` 関連する項目: ワークロード作成者: `log_redirect` 起動ポリシー。	定義された文字列	ワークロードコンテナの confidential-space-launcher フィールドで `STDOUT` と `STDERR` を Cloud Logging またはシリアルコンソールに出力します。有効な値は次のとおりです。 `false`: （デフォルト）ロギングは行われません。 `true`: シリアルコンソールと Cloud Logging に出力します。 `cloud_logging`: Cloud Logging にのみ出力します。 `serial`: シリアルコンソールにのみ出力します。シリアルコンソールのログ量が多いと、ワークロードのパフォーマンスに影響する可能性があります。例 `tee-container-log-redirect=true`
`tee-dev-shm-size-kb`	Integer	`/dev/shm` 共有メモリマウントのサイズを KB 単位で設定します。例 `tee-dev-shm-size-kb=65536`
`tee-env-ENVIRONMENT_VARIABLE_NAME` 関連する項目: データコラボレータ: `container.env` アサーションと `container.env_override` アサーション。	文字列	ワークロードコンテナに環境変数を設定します。ワークロード作成者は、環境変数名を `allow_env_override` 起動ポリシーに追加する必要があります。そうしないと、環境変数は設定されません。例 `tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'`
`tee-impersonate-service-accounts` 関連する項目: データコラボレータ: `google_service_accounts` アサーション。	文字列	ワークロードオペレーターによって権限を借用できるサービスアカウントのリスト。ワークロードオペレーターが、サービスアカウントの権限借用を許可されている必要があります。複数のサービスアカウントをカンマで区切って指定できます。例 `tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com`
`tee-monitoring-memory-enable` 関連する項目: データコラボレータ: `instance_memory_monitoring_enabled` アサーション。ワークロード作成者: `monitoring_memory_allow` 起動ポリシー。	ブール値	デフォルトは `false` です。`true` に設定すると、メモリ使用量のモニタリングが有効になります。Confidential VM によって収集された指標は `guest/memory/bytes_used` 型であり、Cloud Logging または Metrics Explorer で表示できます。例 `tee-monitoring-memory-enable=true`
`tee-mount` 関連する項目: ワークロード作成者: `allow_mount_destinations` 起動ポリシー。	文字列	セミコロンで区切ったマウント定義のリスト。マウントの定義は、Key-Value ペアのカンマ区切りのリストで構成され、`type`、`source`、`destination` が必要です。`destination` は絶対パスにする必要があります。`type`/`source` は `tmpfs` にする必要があります。例 `type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload`
`tee-restart-policy` 関連する項目: データコラボレータ: `container.restart_policy` アサーション。	定義された文字列	ワークロードが停止したときのコンタナランチャーの再起動ポリシー有効な値は次のとおりです。 `Never`（デフォルト） `Always` `OnFailure` この変数は、本番環境の Confidential Space イメージでのみサポートされます。例 `tee-restart-policy=OnFailure`
`tee-signed-image-repos` 関連する項目: データコラボレータ: `container.image_signatures` アサーション。	文字列	Sigstore Cosign によって生成された署名を保存する、カンマ区切りのコンテナリポジトリのリスト。例 `tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example`

tee-image-reference

関連する項目:

データコラボレータ: container.image_id アサーション。

文字列

必須。これは、ワークロードコンテナの場所を指します。

例

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

tee-cmd

関連する項目:

ワークロード作成者: allow_cmd_override 起動ポリシー。
データコラボレータ: container.cmd_override アサーション。

JSON 文字列配列

ワークロードコンテナの Dockerfile で指定された CMD 命令をオーバーライドします。

例

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

関連する項目:

ワークロード作成者: log_redirect 起動ポリシー。

定義された文字列

ワークロードコンテナの confidential-space-launcher フィールドで STDOUT と STDERR を Cloud Logging またはシリアルコンソールに出力します。

有効な値は次のとおりです。

false: （デフォルト）ロギングは行われません。
true: シリアルコンソールと Cloud Logging に出力します。
cloud_logging: Cloud Logging にのみ出力します。
serial: シリアルコンソールにのみ出力します。

シリアルコンソールのログ量が多いと、ワークロードのパフォーマンスに影響する可能性があります。

例

tee-container-log-redirect=true

tee-dev-shm-size-kb

Integer

/dev/shm 共有メモリマウントのサイズを KB 単位で設定します。

例

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

関連する項目:

データコラボレータ: container.env アサーションと container.env_override アサーション。

文字列

ワークロードコンテナに環境変数を設定します。ワークロード作成者は、環境変数名を allow_env_override 起動ポリシーに追加する必要があります。そうしないと、環境変数は設定されません。

例

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

関連する項目:

データコラボレータ: google_service_accounts アサーション。

文字列

ワークロードオペレーターによって権限を借用できるサービスアカウントのリスト。ワークロードオペレーターが、サービスアカウントの権限借用を許可されている必要があります。

複数のサービスアカウントをカンマで区切って指定できます。

例

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-monitoring-memory-enable

関連する項目:

データコラボレータ: instance_memory_monitoring_enabled アサーション。
ワークロード作成者: monitoring_memory_allow 起動ポリシー。

ブール値

デフォルトは false です。true に設定すると、メモリ使用量のモニタリングが有効になります。Confidential VM によって収集された指標は guest/memory/bytes_used 型であり、Cloud Logging または Metrics Explorer で表示できます。

例

tee-monitoring-memory-enable=true

tee-mount

関連する項目:

ワークロード作成者: allow_mount_destinations 起動ポリシー。

文字列

セミコロンで区切ったマウント定義のリスト。マウントの定義は、Key-Value ペアのカンマ区切りのリストで構成され、type、source、destination が必要です。destination は絶対パスにする必要があります。type/source は tmpfs にする必要があります。

例

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

関連する項目:

データコラボレータ: container.restart_policy アサーション。

定義された文字列

ワークロードが停止したときのコンタナランチャーの再起動ポリシー

有効な値は次のとおりです。

Never（デフォルト）
Always
OnFailure

この変数は、本番環境の Confidential Space イメージでのみサポートされます。

例

tee-restart-policy=OnFailure

tee-signed-image-repos

関連する項目:

データコラボレータ: container.image_signatures アサーション。

文字列

Sigstore Cosign によって生成された署名を保存する、カンマ区切りのコンテナリポジトリのリスト。

例

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example