출시 정책

시작 정책은 워크로드 운영자가 설정한 VM 메타데이터 변수를 재정의하여 악의적인 작업을 제한합니다. 워크로드 작성자는 컨테이너 이미지 빌드의 일부로 라벨이 있는 정책을 설정할 수 있습니다.

예를 들어 Dockerfile의 경우:

LABEL "tee.launch_policy.allow_cmd_override"="true"

Bazel BUILD 파일의 경우:

container_image(
    ...
    labels={"tee.launch_policy.allow_cmd_override":"true"}
    ...
)

사용 가능한 출시 정책은 다음 표에 나와 있습니다.

정책 유형 설명

tee.launch_policy.allow_capabilities

다음과 상호작용:

 부울(기본값: false) 워크로드 운영자가 워크로드 컨테이너에 Linux 기능을 추가할 수 있는지 확인합니다.

tee.launch_policy.allow_cgroups

다음과 상호작용:

  • 워크로드 운영자: tee-cgroup-ns 메타데이터 변수입니다.
 부울(기본값: false) 워크로드 컨테이너가 /sys/fs/cgroup에 네임스페이스화된 cgroup 마운트를 포함할 수 있는지 결정합니다.

tee.launch_policy.allow_cmd_override

다음과 상호작용:

 부울(기본값: false) 워크로드 컨테이너의 Dockerfile에 지정된 CMD를 워크로드 연산자가 tee-cmd 메타데이터 값으로 재정의할 수 있는지 결정합니다.

tee.launch_policy.allow_env_override

다음과 상호작용:

 쉼표로 구분된 문자열 워크로드 운영자가 tee-env-ENVIRONMENT_VARIABLE_NAME 메타데이터 값으로 설정할 수 있는 허용된 환경 변수 이름의 쉼표로 구분된 문자열입니다.

tee.launch_policy.allow_mount_destinations

다음과 상호작용:

  • 워크로드 운영자: tee-mount 메타데이터 변수입니다.
 콜론으로 구분된 문자열

워크로드 운영자가 tee-mount를 사용하여 마운트할 수 있는 허용된 마운트 디렉터리의 콜론으로 구분된 문자열입니다.

예: /run/tmp:/var/tmp:/tmp

tee.launch_policy.log_redirect

다음과 상호작용:

 정의된 문자열

워크로드 운영자가 tee-container-log-redirect true로 설정하는 경우 로깅이 작동하는 방식을 결정합니다.

유효한 값은 다음과 같습니다.

  • debugonly (기본값): 디버그 이미지를 사용할 때만 stdoutstderr 리디렉션을 허용합니다.
  • always: 항상 stdoutstderr 리디렉션을 허용합니다.
  • never: stdoutstderr 리디렉션을 허용하지 않습니다.

tee.launch_policy.monitoring_memory_allow

다음과 상호작용:

 정의된 문자열

워크로드 운영자가 tee-memory-monitoring-enable true로 설정하는 경우 워크로드 메모리 사용량 모니터링이 작동하는 방식을 결정합니다.

유효한 값은 다음과 같습니다.

  • debugonly (기본값): 디버그 이미지를 사용할 때만 메모리 사용량 모니터링을 허용합니다.
  • always: 항상 메모리 사용량 모니터링을 허용합니다.
  • never: 메모리 사용량 모니터링을 허용하지 않습니다.