As políticas de inicialização substituem as variáveis de metadados da VM
definidas pelos operadores de carga de trabalho para restringir ações maliciosas. Um autor de carga de trabalho pode
definir políticas com um rótulo
como parte da criação da imagem do contêiner.
Determina se o
CMD
especificado no Dockerfile do contêiner de carga de trabalho pode ser
substituído por um operador de carga de trabalho com o
valor de metadados tee-cmd.
Uma string separada por vírgulas de nomes de variável de ambiente permitidas que
podem ser definidas por um operador de carga de trabalho com valores de metadados
tee-env-ENVIRONMENT_VARIABLE_NAME.
tee.launch_policy.allow_mount_destinations
Interage com:
Operador de carga de trabalho: a variável de metadados tee-mount.
String separada por dois-pontos
Uma string separada por dois pontos de diretórios de montagem permitidos que o operador de carga de trabalho pode montar usando tee-mount.
Determina como o monitoramento do uso de memória da carga de trabalho funciona se
tee-memory-monitoring-enable
for definido como true por um operador de carga de trabalho.
Os valores válidos são:
debugonly (padrão): só permite o monitoramento do uso de memória
ao usar uma imagem de depuração.
always: sempre permitir o monitoramento do uso da memória.
never: nunca permitir o monitoramento do uso de memória.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-07-11 UTC."],[[["Launch policies, set by workload authors, override VM metadata variables to prevent malicious actions, using labels in `Dockerfile` or Bazel BUILD files."],["The `tee.launch_policy.allow_cmd_override` policy determines if the `CMD` in a container's `Dockerfile` can be overridden by a workload operator via the `tee-cmd` metadata variable."],["The `tee.launch_policy.allow_env_override` policy allows workload operators to set specific environment variables using `tee-env-` metadata variables, with a comma-separated list of permitted names."],["The `tee.launch_policy.allow_mount_destinations` policy defines a colon-separated string of allowed mount directories for workload operators using the `tee-mount` variable."],["The `tee.launch_policy.monitoring_memory_allow` policy controls workload memory usage monitoring when the `tee-memory-monitoring-enable` variable is true, offering options like `debugonly`, `always`, or `never`."]]],[]]
