このページは Cloud Translation API によって翻訳されました。

ワークロードのメタデータ変数

VM の作成時に --metadata オプションに変数を渡すことで、Confidential Space ワークロード VM の動作を変更できます。

複数の変数を渡すには、まず --metadata 値の前に ^~^ を付けて区切り文字を設定します。これにより、変数値で , が使用されているため、区切り文字が ~ に設定されます。

次に例を示します。

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

次の表に、ワークロード VM に設定できるメタデータ変数を示します。

メタデータキー Type 説明と値

メタデータキー	Type	説明と値
`tee-image-reference` 連携するサービス: データコラボレーター: `container.image_id` アサーション。	文字列	必須。これは、ワークロードコンテナの場所を指します。例 `tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest`
`tee-added-capabilities` 連携するサービス: ワークロード作成者: `allow_capabilities` 起動ポリシー。	JSON 文字列配列	ワークロードコンテナに Linux 機能を追加します。例 `tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"`
`tee-cgroup-ns` 連携するサービス: ワークロード作成者: `allow_cgroups` 起動ポリシー。	ブール値	デフォルトは `false` です。`true` に設定すると、`/sys/fs/cgroup` で名前空間付き cgroup マウントが有効になります。例 `tee-cgroup-ns=true`
`tee-cmd` 連携するサービス: ワークロード作成者: `allow_cmd_override` 起動ポリシー。データコラボレーター: `container.cmd_override` アサーション。	JSON 文字列配列	ワークロードコンテナの `Dockerfile` で指定された CMD 命令をオーバーライドします。例 `tee-cmd="[\"params1\", \"params2\"]"`
`tee-container-log-redirect` 連携するサービス: ワークロード作成者: `log_redirect` 起動ポリシー。	定義された文字列	ワークロードコンテナの confidential-space-launcher フィールドで `STDOUT` と `STDERR` を Cloud Logging またはシリアルコンソールに出力します。有効な値は次のとおりです。 `false`: （デフォルト）ロギングは行われません。 `true`: シリアルコンソールと Cloud Logging に出力します。 `cloud_logging`: Cloud Logging にのみ出力します。 `serial`: シリアルコンソールにのみ出力します。シリアルコンソールのログ量が多いと、ワークロードのパフォーマンスに影響する可能性があります。例 `tee-container-log-redirect=true`
`tee-dev-shm-size-kb`	Integer	`/dev/shm` 共有メモリマウントのサイズを kB 単位で設定します。例 `tee-dev-shm-size-kb=65536`
`tee-env-ENVIRONMENT_VARIABLE_NAME` 連携するサービス: データコラボレーター: `container.env` アサーションと `container.env_override` アサーション。	文字列	ワークロードコンテナの環境変数を設定します。ワークロード作成者は、環境変数名を `allow_env_override` 起動ポリシーに追加する必要があります。そうしないと、環境変数が設定されません。例 `tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'`
`tee-impersonate-service-accounts` 連携するサービス: データコラボレーター: `google_service_accounts` アサーション。	文字列	ワークロードオペレーターによって権限を借用できるサービスアカウントのリスト。ワークロードオペレーターが、サービスアカウントの権限借用を許可されている必要があります。複数のサービスアカウントをカンマで区切って指定できます。例 `tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com`
`tee-install-gpu-driver` 連携するサービス: データコラボレーター: `nvidia_gpu.cc_mode` アサーション。	ブール値	NVIDIA の Confidential Computing GPU ドライバをインストールするかどうか。NVIDIA Confidential Computing（プレビュー）をサポートするマシンタイプが必要です。例 `tee-install-gpu-driver=true`
`tee-monitoring-memory-enable` 連携するサービス: データコラボレーター: `instance_memory_monitoring_enabled` アサーション。ワークロード作成者: `monitoring_memory_allow` 起動ポリシー。	ブール値	デフォルトは `false` です。`true` に設定すると、メモリ使用量のモニタリングが有効になります。Confidential VM によって収集された指標は `guest/memory/bytes_used` タイプで、Cloud Logging または Metrics Explorer で表示できます。例 `tee-monitoring-memory-enable=true`
`tee-mount` 連携するサービス: ワークロード作成者: `allow_mount_destinations` 起動ポリシー。	文字列	セミコロンで区切られたマウント定義のリスト。マウント定義は、Key-Value ペアのカンマ区切りリストで構成され、`type`、`source`、`destination` が必要です。`destination` は絶対パスで、`type`/`source` は `tmpfs` である必要があります。例 `type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload`
`tee-restart-policy` 連携するサービス: データコラボレーター: `container.restart_policy` アサーション。	定義された文字列	ワークロードが停止したときのコンテナランチャーの再起動ポリシー有効な値は次のとおりです。 `Never`（デフォルト） `Always` `OnFailure` この変数は、本番環境の Confidential Space イメージでのみサポートされています。例 `tee-restart-policy=OnFailure`
`tee-signed-image-repos` 連携するサービス: データコラボレーター: `container.image_signatures` アサーション。	文字列	Sigstore Cosign によって生成された署名を保存するコンテナリポジトリのカンマ区切りのリスト。例 `tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example`

tee-image-reference

連携するサービス:

データコラボレーター: container.image_id アサーション。

文字列

必須。これは、ワークロードコンテナの場所を指します。

例

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

tee-added-capabilities

連携するサービス:

ワークロード作成者: allow_capabilities 起動ポリシー。

JSON 文字列配列

ワークロードコンテナに Linux 機能を追加します。

例

tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"

tee-cgroup-ns

連携するサービス:

ワークロード作成者: allow_cgroups 起動ポリシー。

ブール値

デフォルトは false です。true に設定すると、/sys/fs/cgroup で名前空間付き cgroup マウントが有効になります。

例

tee-cgroup-ns=true

tee-cmd

連携するサービス:

ワークロード作成者: allow_cmd_override 起動ポリシー。
データコラボレーター: container.cmd_override アサーション。

JSON 文字列配列

ワークロードコンテナの Dockerfile で指定された CMD 命令をオーバーライドします。

例

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

連携するサービス:

ワークロード作成者: log_redirect 起動ポリシー。

定義された文字列

ワークロードコンテナの confidential-space-launcher フィールドで STDOUT と STDERR を Cloud Logging またはシリアルコンソールに出力します。

有効な値は次のとおりです。

false: （デフォルト）ロギングは行われません。
true: シリアルコンソールと Cloud Logging に出力します。
cloud_logging: Cloud Logging にのみ出力します。
serial: シリアルコンソールにのみ出力します。

シリアルコンソールのログ量が多いと、ワークロードのパフォーマンスに影響する可能性があります。

例

tee-container-log-redirect=true

tee-dev-shm-size-kb

Integer

/dev/shm 共有メモリマウントのサイズを kB 単位で設定します。

例

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

連携するサービス:

データコラボレーター: container.env アサーションと container.env_override アサーション。

文字列

ワークロードコンテナの環境変数を設定します。ワークロード作成者は、環境変数名を allow_env_override 起動ポリシーに追加する必要があります。そうしないと、環境変数が設定されません。

例

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

連携するサービス:

データコラボレーター: google_service_accounts アサーション。

文字列

ワークロードオペレーターによって権限を借用できるサービスアカウントのリスト。ワークロードオペレーターが、サービスアカウントの権限借用を許可されている必要があります。

複数のサービスアカウントをカンマで区切って指定できます。

例

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-install-gpu-driver

連携するサービス:

データコラボレーター: nvidia_gpu.cc_mode アサーション。

ブール値

NVIDIA の Confidential Computing GPU ドライバをインストールするかどうか。NVIDIA Confidential Computing（プレビュー）をサポートするマシンタイプが必要です。

例

tee-install-gpu-driver=true

tee-monitoring-memory-enable

連携するサービス:

データコラボレーター: instance_memory_monitoring_enabled アサーション。
ワークロード作成者: monitoring_memory_allow 起動ポリシー。

ブール値

デフォルトは false です。true に設定すると、メモリ使用量のモニタリングが有効になります。Confidential VM によって収集された指標は guest/memory/bytes_used タイプで、Cloud Logging または Metrics Explorer で表示できます。

例

tee-monitoring-memory-enable=true

tee-mount

連携するサービス:

ワークロード作成者: allow_mount_destinations 起動ポリシー。

文字列

セミコロンで区切られたマウント定義のリスト。マウント定義は、Key-Value ペアのカンマ区切りリストで構成され、type、source、destination が必要です。destination は絶対パスで、type/source は tmpfs である必要があります。

例

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

連携するサービス:

データコラボレーター: container.restart_policy アサーション。

定義された文字列

ワークロードが停止したときのコンテナランチャーの再起動ポリシー

有効な値は次のとおりです。

Never（デフォルト）
Always
OnFailure

この変数は、本番環境の Confidential Space イメージでのみサポートされています。

例

tee-restart-policy=OnFailure

tee-signed-image-repos

連携するサービス:

データコラボレーター: container.image_signatures アサーション。

文字列

Sigstore Cosign によって生成された署名を保存するコンテナリポジトリのカンマ区切りのリスト。

例

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example