이 페이지는 Cloud Translation API를 통해 번역되었습니다.

워크로드 메타데이터 변수

워크로드 운영자

VM을 만들 때 --metadata 옵션에 변수를 전달하여 Confidential Space 워크로드 VM 동작을 변경할 수 있습니다.

여러 변수를 전달하려면 먼저 --metadata 값에 ^~^ 프리픽스를 지정하여 구분 기호를 설정합니다. 그러면 ,가 변수 값에 사용되기 때문에 구분 기호가 ~로 설정됩니다.

예를 들면 다음과 같습니다.

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

다음 표에는 워크로드 VM에 설정할 수 있는 메타데이터 변수가 자세히 나와 있습니다.

메타데이터 키 유형 설명 및 값

메타데이터 키	유형	설명 및 값
`tee-image-reference` 다음과 상호작용: 데이터 공동작업자: `container.image_id` 어설션입니다.	문자열	필수 항목입니다. 워크로드 컨테이너의 위치를 가리킵니다. 예시 `tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest`
`tee-cmd` 다음과 상호작용: 워크로드 작성자: `allow_cmd_override` 실행 정책입니다. 데이터 공동작업자: `container.cmd_override` 어설션입니다.	JSON 문자열 배열	워크로드 컨테이너의 `Dockerfile`에 지정된 CMD 안내를 재정의합니다. 예시 `tee-cmd="[\"params1\", \"params2\"]"`
`tee-container-log-redirect` 다음과 상호작용: 워크로드 작성자: `log_redirect` 실행 정책입니다.	정의된 문자열	confidential-space-launcher 필드 아래에서 워크로드 컨테이너의 `STDOUT` 및 `STDERR`을 Cloud Logging 또는 시리얼 콘솔로 출력합니다. 유효한 값은 다음과 같습니다. `false`: (기본값) 로깅이 발생하지 않습니다. `true`: 직렬 콘솔 및 Cloud Logging에 출력합니다. `cloud_logging`: Cloud Logging에만 출력합니다. `serial`: 직렬 콘솔에만 출력합니다. 직렬 콘솔의 로그 양이 많으면 워크로드 성능에 영향을 줄 수 있습니다. 예시 `tee-container-log-redirect=true`
`tee-dev-shm-size-kb`	정수	`/dev/shm` 공유 메모리 마운트의 크기(KB)를 설정합니다. 예시 `tee-dev-shm-size-kb=65536`
`tee-env-ENVIRONMENT_VARIABLE_NAME` 다음과 상호작용: 데이터 공동작업자: `container.env` 및 `container.env_override` assert	문자열	워크로드 컨테이너에서 환경 변수를 설정합니다. 워크로드 작성자는 `allow_env_override` 출시 정책에 환경 변수 이름을 추가해야 합니다. 그렇지 않으면 환경 변수가 설정되지 않습니다. 예시 `tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'`
`tee-impersonate-service-accounts` 다음과 상호작용: 데이터 공동작업자: `google_service_accounts` 어설션입니다.	문자열	워크로드 운영자가 가장할 수 있는 서비스 계정 목록입니다. 워크로드 운영자가 서비스 계정을 가장하도록 허용해야 합니다. 쉼표로 구분하여 여러 서비스 계정을 나열할 수 있습니다. 예시 `tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com`
`tee-monitoring-memory-enable` 다음과 상호작용: 데이터 공동작업자: `instance_memory_monitoring_enabled` 어설션입니다. 워크로드 작성자: `monitoring_memory_allow` 실행 정책입니다.	불리언	기본값은 `false`입니다. `true`로 설정하면 메모리 사용량 모니터링이 사용 설정됩니다. 컨피덴셜 VM에서 수집한 측정항목은 `guest/memory/bytes_used` 유형이며 Cloud Logging 또는 측정항목 탐색기에서 볼 수 있습니다. 예시 `tee-monitoring-memory-enable=true`
`tee-mount` 다음과 상호작용: 워크로드 작성자: `allow_mount_destinations` 실행 정책입니다.	문자열	세미콜론으로 구분된 마운트 정의 목록입니다. 마운트 정의는 쉼표로 구분된 키-값 쌍 목록으로 구성되며 `type`, `source`, `destination`가 필요합니다. `destination`는 절대 경로여야 하고 `type`/`source`는 `tmpfs`여야 합니다. 예시 `type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload`
`tee-restart-policy` 다음과 상호작용: 데이터 공동작업자: `container.restart_policy` 어설션입니다.	정의된 문자열	워크로드가 중지될 때 컨테이너 런처의 다시 시작 정책 유효한 값은 다음과 같습니다. `Never`(기본) `Always` `OnFailure` 이 변수는 프로덕션 Confidential Space 이미지에서만 지원됩니다. 예시 `tee-restart-policy=OnFailure`
`tee-signed-image-repos` 다음과 상호작용: 데이터 공동작업자: `container.image_signatures` 어설션입니다.	문자열	Sigstore Cosign에서 생성된 서명을 저장하는 쉼표로 구분된 컨테이너 저장소 목록입니다. 예시 `tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example`

tee-image-reference

다음과 상호작용:

데이터 공동작업자: container.image_id 어설션입니다.

문자열

필수 항목입니다. 워크로드 컨테이너의 위치를 가리킵니다.

예시

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

tee-cmd

다음과 상호작용:

워크로드 작성자: allow_cmd_override 실행 정책입니다.
데이터 공동작업자: container.cmd_override 어설션입니다.

JSON 문자열 배열

워크로드 컨테이너의 Dockerfile에 지정된 CMD 안내를 재정의합니다.

예시

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

다음과 상호작용:

워크로드 작성자: log_redirect 실행 정책입니다.

정의된 문자열

confidential-space-launcher 필드 아래에서 워크로드 컨테이너의 STDOUT 및 STDERR을 Cloud Logging 또는 시리얼 콘솔로 출력합니다.

유효한 값은 다음과 같습니다.

false: (기본값) 로깅이 발생하지 않습니다.
true: 직렬 콘솔 및 Cloud Logging에 출력합니다.
cloud_logging: Cloud Logging에만 출력합니다.
serial: 직렬 콘솔에만 출력합니다.

직렬 콘솔의 로그 양이 많으면 워크로드 성능에 영향을 줄 수 있습니다.

예시

tee-container-log-redirect=true

tee-dev-shm-size-kb

정수

/dev/shm 공유 메모리 마운트의 크기(KB)를 설정합니다.

예시

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

다음과 상호작용:

데이터 공동작업자: container.env 및 container.env_override assert

문자열

워크로드 컨테이너에서 환경 변수를 설정합니다. 워크로드 작성자는 allow_env_override 출시 정책에 환경 변수 이름을 추가해야 합니다. 그렇지 않으면 환경 변수가 설정되지 않습니다.

예시

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

다음과 상호작용:

데이터 공동작업자: google_service_accounts 어설션입니다.

문자열

워크로드 운영자가 가장할 수 있는 서비스 계정 목록입니다. 워크로드 운영자가 서비스 계정을 가장하도록 허용해야 합니다.

쉼표로 구분하여 여러 서비스 계정을 나열할 수 있습니다.

예시

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-monitoring-memory-enable

다음과 상호작용:

데이터 공동작업자: instance_memory_monitoring_enabled 어설션입니다.
워크로드 작성자: monitoring_memory_allow 실행 정책입니다.

불리언

기본값은 false입니다. true로 설정하면 메모리 사용량 모니터링이 사용 설정됩니다. 컨피덴셜 VM에서 수집한 측정항목은 guest/memory/bytes_used 유형이며 Cloud Logging 또는 측정항목 탐색기에서 볼 수 있습니다.

예시

tee-monitoring-memory-enable=true

tee-mount

다음과 상호작용:

워크로드 작성자: allow_mount_destinations 실행 정책입니다.

문자열

세미콜론으로 구분된 마운트 정의 목록입니다. 마운트 정의는 쉼표로 구분된 키-값 쌍 목록으로 구성되며 type, source, destination가 필요합니다. destination는 절대 경로여야 하고 type/source는 tmpfs여야 합니다.

예시

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

다음과 상호작용:

데이터 공동작업자: container.restart_policy 어설션입니다.

정의된 문자열

워크로드가 중지될 때 컨테이너 런처의 다시 시작 정책

유효한 값은 다음과 같습니다.

Never(기본)
Always
OnFailure

이 변수는 프로덕션 Confidential Space 이미지에서만 지원됩니다.

예시

tee-restart-policy=OnFailure

tee-signed-image-repos

다음과 상호작용:

데이터 공동작업자: container.image_signatures 어설션입니다.

문자열

Sigstore Cosign에서 생성된 서명을 저장하는 쉼표로 구분된 컨테이너 저장소 목록입니다.

예시

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example