起動ポリシー

起動ポリシーは、ワークロード オペレーターが設定した VM メタデータ変数をオーバーライドして、悪意のあるアクションを制限します。ワークロード作成者は、コンテナ イメージのビルドの一環として、ラベルを使用してポリシーを設定できます。

たとえば、Dockerfile では:

LABEL "tee.launch_policy.allow_cmd_override"="true"

Bazel BUILD ファイルでは:

container_image(
    ...
    labels={"tee.launch_policy.allow_cmd_override":"true"}
    ...
)

次の表に、利用可能な起動ポリシーを示します。

ポリシー タイプ 説明

tee.launch_policy.allow_capabilities

連携するサービス:

 ブール値(デフォルトは false ワークロード オペレータがワークロード コンテナに Linux 機能を追加できるかどうかを決定します。

tee.launch_policy.allow_cgroups

連携するサービス:

  • ワークロード オペレーター: tee-cgroup-ns メタデータ変数。
 ブール値(デフォルトは false ワークロード コンテナが /sys/fs/cgroup に名前空間 cgroup マウントを含めることを許可するかどうかを決定します。

tee.launch_policy.allow_cmd_override

連携するサービス:

 ブール値(デフォルトは false ワークロード コンテナの Dockerfile で指定された CMD が、 tee-cmd メタデータ値を持つワークロード オペレータによってオーバーライドされるかどうかを決定します。

tee.launch_policy.allow_env_override

連携するサービス:

 カンマ区切りの文字列 tee-env-ENVIRONMENT_VARIABLE_NAME メタデータ値を使用してワークロード オペレーターが設定できる、許可された環境変数名のカンマ区切り文字列。

tee.launch_policy.allow_mount_destinations

連携するサービス:

  • ワークロード オペレーター: tee-mount メタデータ変数。
 コロン区切りの文字列

ワークロード オペレーターが tee-mount を使用してマウントできるマウント ディレクトリをコロンで区切った文字列。

例: /run/tmp:/var/tmp:/tmp

tee.launch_policy.log_redirect

連携するサービス:

 定義された文字列

ワークロード オペレーターによって tee-container-log-redirect true に設定されている場合のロギングの動作を決定します。

有効な値は次のとおりです。

  • debugonly(デフォルト): デバッグ イメージを使用する場合、stdout リダイレクトと stderr リダイレクトのみを許可します。
  • always: stdout リダイレクトと stderr リダイレクトを常に許可します。
  • never: stdout リダイレクトと stderr リダイレクトは許可しません。

tee.launch_policy.monitoring_memory_allow

連携するサービス:

 定義された文字列

tee-memory-monitoring-enable がワークロード オペレーターによって true に設定されている場合、ワークロードのメモリ使用量のモニタリングの仕組みを決定します。

有効な値は次のとおりです。

  • debugonly(デフォルト): デバッグ イメージを使用する場合のみ、メモリ使用量のモニタリングを許可します。
  • always: メモリ使用量のモニタリングを常に許可します。
  • never: メモリ使用量のモニタリングを許可しません。