Norme di lancio

I criteri di avvio sostituiscono le variabili dei metadati VM impostate dagli operatori dei workload per limitare le azioni dannose. L'autore di un workload può impostare criteri con un'etichetta durante la creazione dell'immagine container.

Ad esempio, in un Dockerfile:

LABEL "tee.launch_policy.allow_cmd_override"="true"

In un file BUILD di Bazel:

container_image(
    ...
    labels={"tee.launch_policy.allow_cmd_override":"true"}
    ...
)

Le norme di lancio disponibili sono riportate nella tabella seguente:

Norme Tipo Descrizione

tee.launch_policy.allow_capabilities

Interazione con:

 Booleano (il valore predefinito è false) Determina se l'operatore del carico di lavoro può aggiungere funzionalità Linux aggiuntive al container del carico di lavoro.

tee.launch_policy.allow_cgroups

Interazione con:

  • Operatore del carico di lavoro: la variabile di metadati tee-cgroup-ns.
 Booleano (il valore predefinito è false) Determina se il container del workload può includere un montaggio cgroup con spazio dei nomi in /sys/fs/cgroup.

tee.launch_policy.allow_cmd_override

Interazione con:

 Booleano (il valore predefinito è false) Determina se il valore di CMD specificato in Dockerfile del container del carico di lavoro può essere ignorato da un operatore del carico di lavoro con il valore dei metadati tee-cmd.

tee.launch_policy.allow_env_override

Interazione con:

 Stringa separata da virgole Una stringa separata da virgole di nomi di variabile di ambiente consentiti che possono essere impostati da un operatore del workload con tee-env-ENVIRONMENT_VARIABLE_NAME valori dei metadati.

tee.launch_policy.allow_mount_destinations

Interazione con:

  • Operatore del carico di lavoro: la variabile di metadati tee-mount.
 Stringa separata da due punti

Una stringa separata da due punti di directory di montaggio consentite che l'operatore del workload può montare utilizzando tee-mount.

Ad esempio: /run/tmp:/var/tmp:/tmp

tee.launch_policy.log_redirect

Interazione con:

 Stringa definita

Determina il funzionamento della registrazione se tee-container-log-redirect è impostato su true da un operatore del workload.

I valori validi sono:

  • debugonly (impostazione predefinita): consente solo i reindirizzamenti stdout e stderr quando si utilizza un'immagine di debug.
  • always: consenti sempre i reindirizzamenti stdout e stderr.
  • never: Non consentire mai i reindirizzamenti stdout e stderr.

tee.launch_policy.monitoring_memory_allow

Interazione con:

 Stringa definita

Determina il funzionamento del monitoraggio dell'utilizzo della memoria del workload se tee-memory-monitoring-enable è impostato su true da un operatore del workload.

I valori validi sono:

  • debugonly (impostazione predefinita): consente il monitoraggio dell'utilizzo della memoria solo quando si utilizza un'immagine di debug.
  • always: consente sempre il monitoraggio dell'utilizzo della memoria.
  • never: Non consentire mai il monitoraggio dell'utilizzo della memoria.