I criteri di avvio sostituiscono le variabili dei metadati VM
impostate dagli operatori dei workload per limitare le azioni dannose. L'autore di un workload può
impostare criteri con un'etichetta
durante la creazione dell'immagine container.
Determina se il valore di
CMD
specificato in Dockerfile del container del carico di lavoro può essere
ignorato da un operatore del carico di lavoro con il valore dei metadati
tee-cmd.
Una stringa separata da virgole di nomi di variabile di ambiente consentiti che
possono essere impostati da un operatore del workload con
tee-env-ENVIRONMENT_VARIABLE_NAME
valori dei metadati.
tee.launch_policy.allow_mount_destinations
Interazione con:
Operatore del carico di lavoro: la variabile di metadati
tee-mount.
Stringa separata da due punti
Una stringa separata da due punti di directory di montaggio consentite che l'operatore del workload può montare utilizzando tee-mount.
Determina il funzionamento del monitoraggio dell'utilizzo della memoria del workload se
tee-memory-monitoring-enable
è impostato su true da un operatore del workload.
I valori validi sono:
debugonly (impostazione predefinita): consente il monitoraggio dell'utilizzo della memoria
solo quando si utilizza un'immagine di debug.
always: consente sempre il monitoraggio dell'utilizzo della memoria.
never: Non consentire mai il monitoraggio dell'utilizzo della memoria.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-07-11 UTC."],[[["Launch policies, set by workload authors, override VM metadata variables to prevent malicious actions, using labels in `Dockerfile` or Bazel BUILD files."],["The `tee.launch_policy.allow_cmd_override` policy determines if the `CMD` in a container's `Dockerfile` can be overridden by a workload operator via the `tee-cmd` metadata variable."],["The `tee.launch_policy.allow_env_override` policy allows workload operators to set specific environment variables using `tee-env-` metadata variables, with a comma-separated list of permitted names."],["The `tee.launch_policy.allow_mount_destinations` policy defines a colon-separated string of allowed mount directories for workload operators using the `tee-mount` variable."],["The `tee.launch_policy.monitoring_memory_allow` policy controls workload memory usage monitoring when the `tee-memory-monitoring-enable` variable is true, offering options like `debugonly`, `always`, or `never`."]]],[]]
