As políticas de inicialização substituem as variáveis de metadados da VM definidas pelos operadores de carga de trabalho para restringir ações maliciosas. Um autor de carga de trabalho pode definir políticas com um rótulo como parte da criação da imagem do contêiner.
Por exemplo, em um Dockerfile:
LABEL "tee.launch_policy.allow_cmd_override"="true"
Em um arquivo BUILD do Bazel:
container_image(
...
labels={"tee.launch_policy.allow_cmd_override":"true"}
...
)
As políticas de lançamento disponíveis estão na seguinte tabela:
| Política | Tipo | Descrição |
|---|---|---|
|
Interage com:
|
Booleano (o padrão é false) |
Determina se o operador de carga de trabalho pode adicionar outros recursos do Linux ao contêiner de carga de trabalho. |
|
Interage com:
|
Booleano (o padrão é false) |
Determina se o contêiner de carga de trabalho pode incluir uma montagem de cgroup com namespace em
/sys/fs/cgroup.
|
|
Interage com:
|
Booleano (o padrão é false) |
Determina se o
CMD
especificado no Dockerfile do contêiner de carga de trabalho pode ser
substituído por um operador de carga de trabalho com o
valor de metadados
tee-cmd.
|
|
Interage com:
|
String separada por vírgulas |
Uma string separada por vírgulas de nomes de variável de ambiente permitidas que
podem ser definidas por um operador de carga de trabalho com valores de metadados
tee-env-ENVIRONMENT_VARIABLE_NAME.
|
|
Interage com:
|
String separada por dois-pontos |
Uma string separada por dois pontos de diretórios de montagem permitidos que o operador de carga de trabalho pode montar usando Por exemplo: |
|
Interage com:
|
String definida |
Determina como a geração de registros funciona se
Os valores válidos são:
|
|
Interage com:
|
String definida |
Determina como o monitoramento do uso de memória da carga de trabalho funciona se
Os valores válidos são:
|