출시 정책


시작 정책은 워크로드 운영자가 설정한 VM 메타데이터 변수를 재정의하여 악의적인 작업을 제한합니다. 워크로드 작성자는 컨테이너 이미지를 빌드하는 과정에서 라벨을 사용하여 정책을 설정할 수 있습니다.

예를 들어 Dockerfile의 경우:

LABEL "tee.launch_policy.allow_cmd_override"="true"

Bazel BUILD 파일의 경우:

container_image(
    ...
    labels={"tee.launch_policy.allow_cmd_override":"true"}
    ...
)

사용 가능한 출시 정책은 다음 표에 나와 있습니다.

정책 유형 설명

tee.launch_policy.allow_capabilities

상호작용:

부울(기본값: false) 워크로드 운영자가 워크로드 컨테이너에 추가 Linux 기능을 추가할 수 있는지 여부를 결정합니다.

tee.launch_policy.allow_cgroups

상호작용:

  • 워크로드 연산자: tee-cgroup-ns 메타데이터 변수입니다.
부울(기본값: false) 워크로드 컨테이너가 /sys/fs/cgroup에 네임스페이스 cgroup 마운트를 포함할 수 있는지 확인합니다.

tee.launch_policy.allow_cmd_override

상호작용:

부울(기본값: false) 워크로드 컨테이너의 Dockerfile에 지정된 CMD tee-cmd 메타데이터 값을 사용하여 워크로드 운영자가 재정의할 수 있는지 결정합니다.

tee.launch_policy.allow_env_override

상호작용:

쉼표로 구분된 문자열 tee-env-ENVIRONMENT_VARIABLE_NAME 메타데이터 값을 사용하여 워크로드 운영자가 설정할 수 있는 허용된 환경 변수 이름의 쉼표로 구분된 문자열입니다.

tee.launch_policy.allow_mount_destinations

상호작용:

  • 워크로드 연산자: tee-mount 메타데이터 변수입니다.
콜론으로 구분된 문자열

워크로드 운영자가 tee-mount을 사용하여 마운트할 수 있는 허용된 마운트 디렉터리의 콜론으로 구분된 문자열입니다.

예: /run/tmp:/var/tmp:/tmp

tee.launch_policy.log_redirect

상호작용:

정의된 문자열

tee-container-log-redirect 이 워크로드 운영자에 의해 true로 설정된 경우 로깅이 작동하는 방식을 결정합니다.

유효한 값은 다음과 같습니다.

  • debugonly (기본값): 디버그 이미지를 사용할 때만 stdoutstderr 리디렉션을 허용합니다.
  • always: stdoutstderr 리디렉션을 항상 허용합니다.
  • never: stdoutstderr 리디렉션을 허용하지 않습니다.

tee.launch_policy.monitoring_memory_allow

상호작용:

정의된 문자열

tee-memory-monitoring-enable 이 워크로드 운영자에 의해 true로 설정된 경우 워크로드 메모리 사용량 모니터링이 작동하는 방식을 결정합니다.

유효한 값은 다음과 같습니다.

  • debugonly (기본값): 디버그 이미지를 사용하는 경우에만 메모리 사용량 모니터링을 허용합니다.
  • always: 항상 메모리 사용량 모니터링을 허용합니다.
  • never: 메모리 사용량 모니터링을 허용하지 않습니다.