Políticas de lanzamiento

Las políticas de lanzamiento anulan las variables de metadatos de la VM definidas por los operadores de cargas de trabajo para restringir las acciones maliciosas. El autor de una carga de trabajo puede definir políticas con una etiqueta como parte de la creación de su imagen de contenedor.

Por ejemplo, en una Dockerfile:

LABEL "tee.launch_policy.allow_cmd_override"="true"

En un archivo BUILD de Bazel:

container_image(
    ...
    labels={"tee.launch_policy.allow_cmd_override":"true"}
    ...
)

En la siguiente tabla se muestran las políticas de lanzamiento disponibles:

Política Tipo Descripción

tee.launch_policy.allow_capabilities

Interactúa con:

 Booleano (el valor predeterminado es false) Determina si el operador de carga de trabajo puede añadir capacidades de Linux adicionales al contenedor de carga de trabajo.

tee.launch_policy.allow_cgroups

Interactúa con:

  • Operador de carga de trabajo: la variable de metadatos tee-cgroup-ns.
 Booleano (el valor predeterminado es false) Determina si el contenedor de carga de trabajo puede incluir un montaje de cgroup con espacio de nombres en /sys/fs/cgroup.

tee.launch_policy.allow_cmd_override

Interactúa con:

 Booleano (el valor predeterminado es false) Determina si el valor de CMD especificado en el campo Dockerfile del contenedor de la carga de trabajo se puede sustituir por un operador de carga de trabajo con el valor de metadatos de tee-cmd.

tee.launch_policy.allow_env_override

Interactúa con:

 Cadena separada por comas Cadena separada por comas de nombres de variables de entorno permitidos que puede definir un operador de carga de trabajo con valores de metadatos tee-env-ENVIRONMENT_VARIABLE_NAME.

tee.launch_policy.allow_mount_destinations

Interactúa con:

  • Operador de carga de trabajo: la variable de metadatos tee-mount.
 Cadena separada por dos puntos

Cadena separada por dos puntos de los directorios de montaje permitidos en los que el operador de la carga de trabajo puede montar con tee-mount.

Por ejemplo: /run/tmp:/var/tmp:/tmp

tee.launch_policy.log_redirect

Interactúa con:

 Cadena definida

Determina cómo funciona el registro si tee-container-log-redirect se define como true por un operador de carga de trabajo.

Los valores válidos son:

  • debugonly (predeterminado): solo permite redirecciones stdout y stderr cuando se usa una imagen de depuración.
  • always: permite siempre las redirecciones stdout y stderr.
  • never: no permitir nunca las redirecciones stdout y stderr.

tee.launch_policy.monitoring_memory_allow

Interactúa con:

 Cadena definida

Determina cómo funciona la monitorización del uso de memoria de la carga de trabajo si un operador de carga de trabajo asigna el valor true a tee-memory-monitoring-enable .

Los valores válidos son:

  • debugonly (predeterminado): solo permite monitorizar el uso de memoria cuando se usa una imagen de depuración.
  • always: permite siempre la monitorización del uso de memoria.
  • never: no permitir nunca la monitorización del uso de memoria.