Kebijakan peluncuran

Kebijakan peluncuran menggantikan variabel metadata VM yang ditetapkan oleh operator workload untuk membatasi tindakan berbahaya. Penulis workload dapat menetapkan kebijakan dengan label sebagai bagian dari pembuatan image container mereka.

Misalnya, dalam Dockerfile:

LABEL "tee.launch_policy.allow_cmd_override"="true"

Dalam file BUILD Bazel:

container_image(
    ...
    labels={"tee.launch_policy.allow_cmd_override":"true"}
    ...
)

Kebijakan peluncuran yang tersedia ada dalam tabel berikut:

Kebijakan Jenis Deskripsi

tee.launch_policy.allow_capabilities

Berinteraksi dengan:

 Boolean (defaultnya adalah false) Menentukan apakah operator workload dapat menambahkan kemampuan Linux tambahan ke container workload.

tee.launch_policy.allow_cgroups

Berinteraksi dengan:

 Boolean (defaultnya adalah false) Menentukan apakah penampung workload diizinkan untuk menyertakan pemasangan cgroup namespace di /sys/fs/cgroup.

tee.launch_policy.allow_cmd_override

Berinteraksi dengan:

 Boolean (defaultnya adalah false) Menentukan apakah CMD yang ditentukan dalam Dockerfile container workload dapat diganti oleh operator workload dengan nilai metadata tee-cmd.

tee.launch_policy.allow_env_override

Berinteraksi dengan:

 String yang dipisahkan koma String nama variabel lingkungan yang diizinkan dan dipisahkan koma yang diizinkan untuk ditetapkan oleh operator workload dengan nilai metadata tee-env-ENVIRONMENT_VARIABLE_NAME.

tee.launch_policy.allow_mount_destinations

Berinteraksi dengan:

  • Operator beban kerja: Variabel tee-mount metadata.
 String yang dipisahkan dengan titik dua

String direktori pemasangan yang diizinkan dan dipisahkan dengan titik dua yang dapat dipasang oleh operator beban kerja menggunakan tee-mount.

Contoh: /run/tmp:/var/tmp:/tmp

tee.launch_policy.log_redirect

Berinteraksi dengan:

 String yang ditentukan

Menentukan cara kerja logging jika tee-container-log-redirect disetel ke true oleh operator workload.

Nilai yang valid adalah:

  • debugonly (default): Hanya mengizinkan pengalihan stdout dan stderr saat menggunakan image debug.
  • always: Selalu izinkan pengalihan stdout dan stderr.
  • never: Jangan pernah mengizinkan pengalihan stdout dan stderr.

tee.launch_policy.monitoring_memory_allow

Berinteraksi dengan:

 String yang ditentukan

Menentukan cara kerja pemantauan penggunaan memori workload jika tee-memory-monitoring-enable disetel ke true oleh operator workload.

Nilai yang valid adalah:

  • debugonly (default): Hanya izinkan pemantauan penggunaan memori saat menggunakan image debug.
  • always: Selalu izinkan pemantauan penggunaan memori.
  • never: Jangan pernah mengizinkan pemantauan penggunaan memori.