此页面由 Cloud Translation API 翻译。

工作负载元数据变量

工作负载运算符

您可以在创建 Confidential Space 工作负载虚拟机时，通过将变量传递到 --metadata 选项来更改其行为。

如需传入多个变量，请首先在 --metadata 值前面添加 ^~^ 来设置分隔符。这会将分隔符设置为 ~，因为变量值中使用了 ,。

例如：

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

下表详细介绍了您可以为工作负载虚拟机设置的元数据变量。

元数据键类型说明和值

元数据键	类型	说明和值
`tee-image-reference` 互动对象：数据协作者： `container.image_id` 断言。	字符串	必需。指向工作负载容器的位置。示例 `tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest`
`tee-added-capabilities` 互动对象：工作负载作者： `allow_capabilities` 启动政策。	JSON 字符串数组	向工作负载容器添加额外的 Linux 功能。示例 `tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"`
`tee-cgroup-ns` 互动对象：工作负载作者： `allow_cgroups` 启动政策。	布尔值	默认为 `false`。设置为 `true` 时，会在 `/sys/fs/cgroup` 处启用命名空间 cgroup 装载。示例 `tee-cgroup-ns=true`
`tee-cmd` 互动对象：工作负载作者： `allow_cmd_override` 启动政策。数据协作者： `container.cmd_override` 断言。	JSON 字符串数组	替换工作负载容器的 `Dockerfile` 中指定的 CMD 指令。示例 `tee-cmd="[\"params1\", \"params2\"]"`
`tee-container-log-redirect` 互动对象：工作负载作者： `log_redirect` 启动政策。	已定义的字符串	将 `STDOUT` 和 `STDERR` 从工作负载容器输出到 Cloud Logging 或串行控制台中的 confidential-space-launcher 字段下。有效值包括： `false`：（默认）不进行任何日志记录。 `true`：输出到串行控制台和 Cloud Logging。 `cloud_logging`：仅输出到 Cloud Logging。 `serial`：仅输出到串行控制台。串行控制台中的日志量过大可能会影响工作负载性能。示例 `tee-container-log-redirect=true`
`tee-dev-shm-size-kb`	整数	设置 `/dev/shm` 共享内存装载的大小（以 kB 为单位）。示例 `tee-dev-shm-size-kb=65536`
`tee-env-ENVIRONMENT_VARIABLE_NAME` 互动对象：数据协作者： `container.env` 和 `container.env_override` 断言。	字符串	在工作负载容器中设置环境变量。工作负载作者还必须将环境变量名称添加到 `allow_env_override` 启动政策中，否则无法设置这些变量。示例 `tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'`
`tee-impersonate-service-accounts` 互动对象：数据协作者： `google_service_accounts` 断言。	字符串	工作负载操作员可以模拟的服务账号列表。工作负载操作员必须能够模拟服务账号。可以列出多个服务账号（以英文逗号分隔）。示例 `tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com`
`tee-install-gpu-driver` 互动对象：数据协作者： `nvidia_gpu.cc_mode` 断言。	布尔值	是否安装 NVIDIA 的机密计算 GPU 驱动程序。需要支持 NVIDIA 机密计算（预览版）的机器类型。示例 `tee-install-gpu-driver=true`
`tee-monitoring-memory-enable` 互动对象：数据协作者： `instance_memory_monitoring_enabled` 断言。工作负载作者： `monitoring_memory_allow` 启动政策。	布尔值	默认为 `false`。如果设置为 `true`，则启用内存用量监控。机密虚拟机收集的指标属于 `guest/memory/bytes_used` 类型，可以在 Cloud Logging 或 Metrics Explorer 中查看。示例 `tee-monitoring-memory-enable=true`
`tee-mount` 互动对象：工作负载作者： `allow_mount_destinations` 启动政策。	字符串	以英文分号分隔的装载定义列表。挂载定义由以英文逗号分隔的键值对列表组成，需要 `type`、`source` 和 `destination`。`destination` 必须是绝对路径，`type`/`source` 必须是 `tmpfs`。示例 `type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload`
`tee-restart-policy` 互动对象：数据协作者： `container.restart_policy` 断言。	已定义的字符串	工作负载停止时容器启动器的重启政策有效值包括： `Never`（默认） `Always` `OnFailure` 此变量仅受生产 Confidential Space 映像支持。示例 `tee-restart-policy=OnFailure`
`tee-signed-image-repos` 互动对象：数据协作者： `container.image_signatures` 断言。	字符串	一个以英文逗号分隔的容器代码库列表，用于存储由 Sigstore Cosign 生成的签名。示例 `tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example`

tee-image-reference

互动对象：

数据协作者： container.image_id 断言。

字符串

必需。指向工作负载容器的位置。

示例

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

tee-added-capabilities

互动对象：

工作负载作者： allow_capabilities 启动政策。

JSON 字符串数组

向工作负载容器添加额外的 Linux 功能。

示例

tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"

tee-cgroup-ns

互动对象：

工作负载作者： allow_cgroups 启动政策。

布尔值

默认为 false。设置为 true 时，会在 /sys/fs/cgroup 处启用命名空间 cgroup 装载。

示例

tee-cgroup-ns=true

tee-cmd

互动对象：

工作负载作者： allow_cmd_override 启动政策。
数据协作者： container.cmd_override 断言。

JSON 字符串数组

替换工作负载容器的 Dockerfile 中指定的 CMD 指令。

示例

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

互动对象：

工作负载作者： log_redirect 启动政策。

已定义的字符串

将 STDOUT 和 STDERR 从工作负载容器输出到 Cloud Logging 或串行控制台中的 confidential-space-launcher 字段下。

有效值包括：

false：（默认）不进行任何日志记录。
true：输出到串行控制台和 Cloud Logging。
cloud_logging：仅输出到 Cloud Logging。
serial：仅输出到串行控制台。

串行控制台中的日志量过大可能会影响工作负载性能。

示例

tee-container-log-redirect=true

tee-dev-shm-size-kb

整数

设置 /dev/shm 共享内存装载的大小（以 kB 为单位）。

示例

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

互动对象：

数据协作者： container.env 和 container.env_override 断言。

字符串

在工作负载容器中设置环境变量。工作负载作者还必须将环境变量名称添加到 allow_env_override 启动政策中，否则无法设置这些变量。

示例

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

互动对象：

数据协作者： google_service_accounts 断言。

字符串

工作负载操作员可以模拟的服务账号列表。工作负载操作员必须能够模拟服务账号。

可以列出多个服务账号（以英文逗号分隔）。

示例

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-install-gpu-driver

互动对象：

数据协作者： nvidia_gpu.cc_mode 断言。

布尔值

是否安装 NVIDIA 的机密计算 GPU 驱动程序。需要支持 NVIDIA 机密计算（预览版）的机器类型。

示例

tee-install-gpu-driver=true

tee-monitoring-memory-enable

互动对象：

数据协作者： instance_memory_monitoring_enabled 断言。
工作负载作者： monitoring_memory_allow 启动政策。

布尔值

默认为 false。如果设置为 true，则启用内存用量监控。机密虚拟机收集的指标属于 guest/memory/bytes_used 类型，可以在 Cloud Logging 或 Metrics Explorer 中查看。

示例

tee-monitoring-memory-enable=true

tee-mount

互动对象：

工作负载作者： allow_mount_destinations 启动政策。

字符串

以英文分号分隔的装载定义列表。挂载定义由以英文逗号分隔的键值对列表组成，需要 type、source 和 destination。destination 必须是绝对路径，type/source 必须是 tmpfs。

示例

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

互动对象：

数据协作者： container.restart_policy 断言。

已定义的字符串

工作负载停止时容器启动器的重启政策

有效值包括：

Never（默认）
Always
OnFailure

此变量仅受生产 Confidential Space 映像支持。

示例

tee-restart-policy=OnFailure

tee-signed-image-repos

互动对象：

数据协作者： container.image_signatures 断言。

字符串

一个以英文逗号分隔的容器代码库列表，用于存储由 Sigstore Cosign 生成的签名。

示例

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example