Políticas de inicio

Las políticas de lanzamiento anulan las variables de metadatos de VM que establecen los operadores de cargas de trabajo para restringir las acciones maliciosas. El autor de una carga de trabajo puede establecer políticas con una etiqueta como parte de la compilación de su imagen de contenedor.

Por ejemplo, en un Dockerfile:

LABEL "tee.launch_policy.allow_cmd_override"="true"

En un archivo BUILD de Bazel, haz lo siguiente:

container_image(
    ...
    labels={"tee.launch_policy.allow_cmd_override":"true"}
    ...
)

Las políticas de lanzamiento disponibles se encuentran en la siguiente tabla:

Política Tipo Descripción

tee.launch_policy.allow_capabilities

Interactúa con:

 Booleano (el valor predeterminado es false) Determina si el operador de carga de trabajo puede agregar capacidades de Linux adicionales al contenedor de carga de trabajo.

tee.launch_policy.allow_cgroups

Interactúa con:

  • Operador de carga de trabajo: Es la variable de metadatos tee-cgroup-ns.
 Booleano (el valor predeterminado es false) Determina si se permite que el contenedor de la carga de trabajo incluya un montaje de cgroup con espacio de nombres en /sys/fs/cgroup.

tee.launch_policy.allow_cmd_override

Interactúa con:

 Booleano (el valor predeterminado es false) Determina si un operador de carga de trabajo puede anular el CMD especificado en el Dockerfile del contenedor de carga de trabajo con el valor de metadatos tee-cmd.

tee.launch_policy.allow_env_override

Interactúa con:

 Cadena separada por comas Es una cadena separada por comas de nombres de variable de entorno permitidos que un operador de cargas de trabajo puede establecer con valores de metadatos de tee-env-ENVIRONMENT_VARIABLE_NAME.

tee.launch_policy.allow_mount_destinations

Interactúa con:

  • Operador de carga de trabajo: Es la variable de metadatos tee-mount.
 Cadena separada por dos puntos

Es una cadena separada por dos puntos de los directorios de activación permitidos a los que el operador de carga de trabajo puede activar con tee-mount.

Por ejemplo: /run/tmp:/var/tmp:/tmp

tee.launch_policy.log_redirect

Interactúa con:

 Cadena definida

Determina cómo funciona el registro si un operador de carga de trabajo establece tee-container-log-redirect en true.

Los valores válidos son los siguientes:

  • debugonly (predeterminado): Solo permite redireccionamientos stdout y stderr cuando se usa una imagen de depuración.
  • always: Siempre permite los redireccionamientos stdout y stderr.
  • never: Nunca permite los redireccionamientos stdout y stderr.

tee.launch_policy.monitoring_memory_allow

Interactúa con:

 Cadena definida

Determina cómo funciona la supervisión del uso de memoria de la carga de trabajo si un operador de carga de trabajo establece tee-memory-monitoring-enable en true.

Los valores válidos son los siguientes:

  • debugonly (predeterminado): Solo permite la supervisión del uso de la memoria cuando se usa una imagen de depuración.
  • always: Siempre permite la supervisión del uso de memoria.
  • never: Nunca permitir la supervisión del uso de memoria.