Esta página foi traduzida pela API Cloud Translation.

Variáveis de metadados da carga de trabalho

Pode alterar o comportamento da VM da carga de trabalho do Confidential Space transmitindo variáveis para a opção --metadata quando cria a VM.

Para transmitir várias variáveis, defina primeiro o delimitador prefixando o valor --metadata com ^~^. Isto define o delimitador como ~, uma vez que , é usado em valores variáveis.

Por exemplo:

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

A tabela seguinte detalha as variáveis de metadados que pode definir para a VM de carga de trabalho.

Chave de metadados Tipo Descrição e valores

Chave de metadados	Tipo	Descrição e valores
`tee-image-reference` Interage com: Colaboradores de dados: a declaração `container.image_id` .	String	Obrigatório. Isto aponta para a localização do contentor da carga de trabalho. Exemplo `tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest`
`tee-added-capabilities` Interage com: Autor da carga de trabalho: a `allow_capabilities` política de lançamento.	Matriz de strings JSON	Adiciona capacidades do Linux adicionais ao contentor de carga de trabalho. Exemplo `tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"`
`tee-cgroup-ns` Interage com: Autor da carga de trabalho: a `allow_cgroups` política de lançamento.	Booleano	A predefinição é `false`. Quando está definida como `true`, ativa uma montagem de cgroup com espaço de nomes em `/sys/fs/cgroup`. Exemplo `tee-cgroup-ns=true`
`tee-cmd` Interage com: Autor da carga de trabalho: a `allow_cmd_override` política de lançamento. Colaboradores de dados: a declaração `container.cmd_override` .	Matriz de strings JSON	Substitui as instruções CMD especificadas no `Dockerfile` do contentor da carga de trabalho. Exemplo `tee-cmd="[\"params1\", \"params2\"]"`
`tee-container-log-redirect` Interage com: Autor da carga de trabalho: a `log_redirect` política de lançamento.	String definida	Envia `STDOUT` e `STDERR` do contentor de carga de trabalho para o Cloud Logging ou a consola série, no campo confidential-space-launcher. Os valores válidos são: `false`: (predefinição) não ocorre nenhum registo. `true`: envia para a consola série e para o Cloud Logging. `cloud_logging`: envia resultados apenas para o Cloud Logging. `serial`: envia a saída apenas para a consola de série. Um volume de registos elevado na consola série pode afetar o desempenho da carga de trabalho. Exemplo `tee-container-log-redirect=true`
`tee-dev-shm-size-kb`	Número inteiro	Define o tamanho em kB da montagem de `/dev/shm` memória partilhada. Exemplo `tee-dev-shm-size-kb=65536`
`tee-env-ENVIRONMENT_VARIABLE_NAME` Interage com: Colaboradores de dados: as declarações `container.env` e `container.env_override` .	String	Define variáveis de ambiente no contentor de carga de trabalho. O autor da carga de trabalho também tem de adicionar os nomes das variáveis de ambiente à política de lançamento, caso contrário, não são definidos. `allow_env_override` Exemplo `tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'`
`tee-impersonate-service-accounts` Interage com: Colaboradores de dados: a declaração `google_service_accounts` .	String	Uma lista de contas de serviço que podem ser representadas pelo operador da carga de trabalho. O operador da carga de trabalho tem de ter autorização para se fazer passar pelas contas de serviço. Podem ser indicadas várias contas de serviço, separadas por vírgulas. Exemplo `tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com`
`tee-install-gpu-driver` Interage com: Colaboradores de dados: a declaração `nvidia_gpu.cc_mode` .	Booleano	Se deve instalar o controlador de GPU de computação confidencial da NVIDIA. Requer um tipo de máquina que suporte a computação confidencial da NVIDIA (pré-visualização). Exemplo `tee-install-gpu-driver=true`
`tee-monitoring-memory-enable` Interage com: Colaboradores de dados: a declaração `instance_memory_monitoring_enabled` . Autor da carga de trabalho: o `monitoring_memory_allow` política de lançamento.	Booleano	A predefinição é `false`. Quando definida como `true`, ativa a monitorização da utilização de memória. As métricas recolhidas pela VM confidencial são do tipo � `guest/memory/bytes_used` Exemplo `tee-monitoring-memory-enable=true`
`tee-mount` Interage com: Autor da carga de trabalho: o `allow_mount_destinations` política de lançamento.	String	Uma lista de definições de montagem separadas por pontos e vírgulas. Uma definição de montagem consiste numa lista separada por vírgulas de pares de chave-valor, que requer `type`, `source` e `destination`. `destination` tem de ser um caminho absoluto e `type`/`source` tem de ser `tmpfs`. Exemplo `type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload`
`tee-restart-policy` Interage com: Colaboradores de dados: a declaração `container.restart_policy` .	String definida	A política de reinício do iniciador de contentores quando a carga de trabalho para Os valores válidos são: `Never` (predefinição) `Always` `OnFailure` Esta variável só é suportada pela imagem do espaço confidencial de produção. Exemplo `tee-restart-policy=OnFailure`
`tee-signed-image-repos` Interage com: Colaboradores de dados: a declaração `container.image_signatures` .	String	Uma lista de repositórios de contentores separados por vírgulas que armazenam as assinaturas geradas por Sigstore Cosign. Exemplo `tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example`

tee-image-reference

Interage com:

Colaboradores de dados: a declaração container.image_id .

String

Obrigatório. Isto aponta para a localização do contentor da carga de trabalho.

Exemplo

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

tee-added-capabilities

Interage com:

Autor da carga de trabalho: a allow_capabilities política de lançamento.

Matriz de strings JSON

Adiciona capacidades do Linux adicionais ao contentor de carga de trabalho.

Exemplo

tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"

tee-cgroup-ns

Interage com:

Autor da carga de trabalho: a allow_cgroups política de lançamento.

Booleano

A predefinição é false. Quando está definida como true, ativa uma montagem de cgroup com espaço de nomes em /sys/fs/cgroup.

Exemplo

tee-cgroup-ns=true

tee-cmd

Interage com:

Autor da carga de trabalho: a allow_cmd_override política de lançamento.
Colaboradores de dados: a declaração container.cmd_override .

Matriz de strings JSON

Substitui as instruções CMD especificadas no Dockerfile do contentor da carga de trabalho.

Exemplo

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

Interage com:

Autor da carga de trabalho: a log_redirect política de lançamento.

String definida

Envia STDOUT e STDERR do contentor de carga de trabalho para o Cloud Logging ou a consola série, no campo confidential-space-launcher.

Os valores válidos são:

false: (predefinição) não ocorre nenhum registo.
true: envia para a consola série e para o Cloud Logging.
cloud_logging: envia resultados apenas para o Cloud Logging.
serial: envia a saída apenas para a consola de série.

Um volume de registos elevado na consola série pode afetar o desempenho da carga de trabalho.

Exemplo

tee-container-log-redirect=true

tee-dev-shm-size-kb

Número inteiro

Define o tamanho em kB da montagem de /dev/shm memória partilhada.

Exemplo

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

Interage com:

Colaboradores de dados: as declarações container.env e container.env_override .

String

Define variáveis de ambiente no contentor de carga de trabalho. O autor da carga de trabalho também tem de adicionar os nomes das variáveis de ambiente à política de lançamento, caso contrário, não são definidos. allow_env_override

Exemplo

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

Interage com:

Colaboradores de dados: a declaração google_service_accounts .

String

Uma lista de contas de serviço que podem ser representadas pelo operador da carga de trabalho. O operador da carga de trabalho tem de ter autorização para se fazer passar pelas contas de serviço.

Podem ser indicadas várias contas de serviço, separadas por vírgulas.

Exemplo

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-install-gpu-driver

Interage com:

Colaboradores de dados: a declaração nvidia_gpu.cc_mode .

Booleano

Se deve instalar o controlador de GPU de computação confidencial da NVIDIA. Requer um tipo de máquina que suporte a computação confidencial da NVIDIA (pré-visualização).

Exemplo

tee-install-gpu-driver=true

tee-monitoring-memory-enable

Interage com:

Colaboradores de dados: a declaração instance_memory_monitoring_enabled .
Autor da carga de trabalho: o monitoring_memory_allow política de lançamento.

Booleano

A predefinição é false. Quando definida como true, ativa a monitorização da utilização de memória. As métricas recolhidas pela VM confidencial são do tipo � guest/memory/bytes_used

Exemplo

tee-monitoring-memory-enable=true

tee-mount

Interage com:

Autor da carga de trabalho: o allow_mount_destinations política de lançamento.

String

Uma lista de definições de montagem separadas por pontos e vírgulas. Uma definição de montagem consiste numa lista separada por vírgulas de pares de chave-valor, que requer type, source e destination. destination tem de ser um caminho absoluto e type/source tem de ser tmpfs.

Exemplo

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

Interage com:

Colaboradores de dados: a declaração container.restart_policy .

String definida

A política de reinício do iniciador de contentores quando a carga de trabalho para

Os valores válidos são:

Never (predefinição)
Always
OnFailure

Esta variável só é suportada pela imagem do espaço confidencial de produção.

Exemplo

tee-restart-policy=OnFailure

tee-signed-image-repos

Interage com:

Colaboradores de dados: a declaração container.image_signatures .

String

Uma lista de repositórios de contentores separados por vírgulas que armazenam as assinaturas geradas por Sigstore Cosign.

Exemplo

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example