启动政策

启动政策会替换工作负载运维者设置的虚拟机元数据变量,以限制恶意操作。在构建容器映像的过程中,工作负载作者可以使用标签设置政策。

例如,在 Dockerfile 中:

LABEL "tee.launch_policy.allow_cmd_override"="true"

在 Bazel BUILD 文件中:

container_image(
    ...
    labels={"tee.launch_policy.allow_cmd_override":"true"}
    ...
)

可用的启动政策如下表所示:

政策 类型 说明

tee.launch_policy.allow_capabilities

与以下各项互动

 布尔值(默认值为 false 确定工作负载运维者是否可以向工作负载容器添加其他 Linux 功能

tee.launch_policy.allow_cgroups

与以下各项互动

 布尔值(默认值为 false 确定是否允许工作负载容器在 /sys/fs/cgroup 处包含命名空间型 cgroup 挂载。

tee.launch_policy.allow_cmd_override

与以下各项互动

 布尔值(默认值为 false 确定工作负载容器的 Dockerfile 中指定的 CMD 是否可被使用 tee-cmd 元数据值的工作负载运算符替换。

tee.launch_policy.allow_env_override

与以下各项互动

 以英文逗号分隔的字符串 允许的工作负载运维者使用 tee-env-ENVIRONMENT_VARIABLE_NAME 元数据值设置的环境变量名称构成的字符串(以英文逗号分隔)。

tee.launch_policy.allow_mount_destinations

与以下各项互动

  • 工作负载运算符 tee-mount 元数据变量。
 以英文冒号分隔的字符串

以英文冒号分隔的字符串,其中包含允许的工作负载运维者使用 tee-mount 挂载到的允许挂载目录。

例如:/run/tmp:/var/tmp:/tmp

tee.launch_policy.log_redirect

与以下各项互动

 已定义的字符串

确定在工作负载运维方将 tee-container-log-redirect 设置为 true 时日志记录的工作方式。

有效值包括:

  • debugonly(默认):仅在使用调试映像时允许 stdoutstderr 重定向。
  • always:始终允许 stdoutstderr 重定向。
  • never:一律不允许 stdoutstderr 重定向。

tee.launch_policy.monitoring_memory_allow

与以下各项互动

 已定义的字符串

确定在工作负载操作员将 tee-memory-monitoring-enable 设置为 true 时,工作负载内存用量监控的工作原理。

有效值包括:

  • debugonly(默认):仅在使用调试映像时允许内存用量监控。
  • always:始终允许监控内存用量。
  • never:绝不允许监控内存用量。