起動ポリシー

起動ポリシーは、ワークロード オペレーターが設定した VM メタデータ変数をオーバーライドして、悪意のあるアクションを制限します。ワークロード作成者は、コンテナ イメージのビルドの一環として、ラベルを使用してポリシーを設定できます。

たとえば、Dockerfile では:

LABEL "tee.launch_policy.allow_cmd_override"="true"

Bazel BUILD ファイルでは:

container_image(
    ...
    labels={"tee.launch_policy.allow_cmd_override":"true"}
    ...
)

次の表に、利用可能な起動ポリシーを示します。

ポリシー タイプ 説明

tee.launch_policy.allow_capabilities

関連する項目:

 ブール値(デフォルトは false ワークロード オペレーターがワークロード コンテナに追加の Linux 機能を追加できるかどうかを判断します。

tee.launch_policy.allow_cgroups

関連する項目:

  • ワークロード オペレーター: tee-cgroup-ns メタデータ変数。
 ブール値(デフォルトは false ワークロード コンテナが /sys/fs/cgroup に名前空間方式の cgroup マウントを含めることを許可するかどうかを決定します。

tee.launch_policy.allow_cmd_override

関連する項目:

 ブール値(デフォルトは false ワークロード コンテナの Dockerfile で指定された CMD が、ワークロード演算子によって tee-cmd メタデータ値でオーバーライドされるかどうかを決定します。

tee.launch_policy.allow_env_override

関連する項目:

 カンマ区切りの文字列 tee-env-ENVIRONMENT_VARIABLE_NAME メタデータ値を使用してワークロード オペレーターが設定できる、許可された環境変数名のカンマ区切り文字列。

tee.launch_policy.allow_mount_destinations

関連する項目:

  • ワークロード オペレーター: tee-mount メタデータ変数。
 コロンで区切られた文字列

ワークロード オペレーターが tee-mount を使用してマウントできる、許可されたマウント ディレクトリのコロンで区切られた文字列。

例: /run/tmp:/var/tmp:/tmp

tee.launch_policy.log_redirect

関連する項目:

 定義された文字列

ワークロード オペレーターによって tee-container-log-redirect true に設定されている場合、ロギングの動作を決定します。

有効な値は次のとおりです。

  • debugonly(デフォルト): デバッグ イメージを使用する場合、stdout リダイレクトと stderr リダイレクトのみを許可します。
  • always: stdout リダイレクトと stderr リダイレクトを常に許可します。
  • never: stdout リダイレクトと stderr リダイレクトは許可しません。

tee.launch_policy.monitoring_memory_allow

関連する項目:

 定義された文字列

ワークロード オペレーターによって tee-memory-monitoring-enable true に設定されている場合、ワークロードのメモリ使用量モニタリングの動作を決定します。

有効な値は次のとおりです。

  • debugonly(デフォルト): デバッグ イメージを使用する場合にのみ、メモリ使用量のモニタリングを許可します。
  • always: メモリ使用量のモニタリングを常に許可します。
  • never: メモリ使用量のモニタリングを許可しない。