Kebijakan peluncuran mengganti variabel metadata VM yang ditetapkan oleh operator beban kerja untuk membatasi tindakan berbahaya. Penulis workload dapat
menetapkan kebijakan dengan label
sebagai bagian dari mem-build image container.
String yang dipisahkan koma dari nama variabel lingkungan yang diizinkan yang
diizinkan untuk ditetapkan oleh operator beban kerja dengan
nilai metadata tee-env-ENVIRONMENT_VARIABLE_NAME.
tee.launch_policy.allow_mount_destinations
Berinteraksi dengan:
Operator beban kerja: Variabel metadata
tee-mount.
String yang dipisahkan titik dua
String yang dipisahkan titik dua dari direktori pemasangan yang diizinkan yang dapat dipasang oleh operator beban kerja menggunakan tee-mount.
[[["Mudah dipahami","easyToUnderstand","thumb-up"],["Memecahkan masalah saya","solvedMyProblem","thumb-up"],["Lainnya","otherUp","thumb-up"]],[["Sulit dipahami","hardToUnderstand","thumb-down"],["Informasi atau kode contoh salah","incorrectInformationOrSampleCode","thumb-down"],["Informasi/contoh yang saya butuhkan tidak ada","missingTheInformationSamplesINeed","thumb-down"],["Masalah terjemahan","translationIssue","thumb-down"],["Lainnya","otherDown","thumb-down"]],["Terakhir diperbarui pada 2025-04-22 UTC."],[[["Launch policies, set by workload authors, override VM metadata variables to prevent malicious actions, using labels in `Dockerfile` or Bazel BUILD files."],["The `tee.launch_policy.allow_cmd_override` policy determines if the `CMD` in a container's `Dockerfile` can be overridden by a workload operator via the `tee-cmd` metadata variable."],["The `tee.launch_policy.allow_env_override` policy allows workload operators to set specific environment variables using `tee-env-` metadata variables, with a comma-separated list of permitted names."],["The `tee.launch_policy.allow_mount_destinations` policy defines a colon-separated string of allowed mount directories for workload operators using the `tee-mount` variable."],["The `tee.launch_policy.monitoring_memory_allow` policy controls workload memory usage monitoring when the `tee-memory-monitoring-enable` variable is true, offering options like `debugonly`, `always`, or `never`."]]],[]]
