Startrichtlinien überschreiben die von Arbeitslastoperatoren festgelegten VM-Metadatavariablen, um schädliche Aktionen einzuschränken. Ein Arbeitslastautor kann beim Erstellen seines Container-Images Richtlinien mit einem Label festlegen.
Bestimmt, ob das im Dockerfile des Arbeitslastcontainers angegebene CMD durch einen Arbeitslastoperator mit dem Metadatenwert tee-cmd überschrieben werden kann.
Ein durch Kommas getrennter String mit zulässigen Umgebungsvariablennamen, die von einem Arbeitslastoperator mit tee-env-ENVIRONMENT_VARIABLE_NAME-Metadatenwerten festgelegt werden dürfen.
tee.launch_policy.allow_mount_destinations
Interagiert mit:
Arbeitslastoperator: Die Metadatenvariable tee-mount.
Durch Doppelpunkte getrennter String
Ein durch Doppelpunkte getrennter String mit zulässigen Bereitstellungsverzeichnissen, in die der Arbeitslastoperator mit tee-mount einbinden darf.
Bestimmt, wie die Überwachung der Speichernutzung von Arbeitslasten funktioniert, wenn tee-memory-monitoring-enable
von einem Arbeitslastoperator auf true gesetzt wird.
Die gültigen Werte sind:
debugonly (Standard): Die Überwachung der Speichernutzung ist nur bei Verwendung eines Debug-Images zulässig.
always: Überwachung der Speichernutzung immer zulassen.
never: Die Überwachung der Speichernutzung ist nie zulässig.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-07-11 (UTC)."],[[["Launch policies, set by workload authors, override VM metadata variables to prevent malicious actions, using labels in `Dockerfile` or Bazel BUILD files."],["The `tee.launch_policy.allow_cmd_override` policy determines if the `CMD` in a container's `Dockerfile` can be overridden by a workload operator via the `tee-cmd` metadata variable."],["The `tee.launch_policy.allow_env_override` policy allows workload operators to set specific environment variables using `tee-env-` metadata variables, with a comma-separated list of permitted names."],["The `tee.launch_policy.allow_mount_destinations` policy defines a colon-separated string of allowed mount directories for workload operators using the `tee-mount` variable."],["The `tee.launch_policy.monitoring_memory_allow` policy controls workload memory usage monitoring when the `tee-memory-monitoring-enable` variable is true, offering options like `debugonly`, `always`, or `never`."]]],[]]
