启动政策

启动政策会替换工作负载操作者设置的虚拟机元数据变量,以限制恶意操作。工作负载作者可以在构建容器映像时设置带有标签的政策。

例如,在 Dockerfile 中:

LABEL "tee.launch_policy.allow_cmd_override"="true"

在 Bazel BUILD 文件中:

container_image(
    ...
    labels={"tee.launch_policy.allow_cmd_override":"true"}
    ...
)

可用的启动政策如下表所示:

政策 类型 说明

tee.launch_policy.allow_capabilities

互动对象

 布尔值(默认值为 false 确定工作负载操作员是否可以向工作负载容器添加其他 Linux 功能

tee.launch_policy.allow_cgroups

互动对象

 布尔值(默认值为 false 确定工作负载容器是否允许在 /sys/fs/cgroup 处包含命名空间的 cgroup 装载。

tee.launch_policy.allow_cmd_override

互动对象

 布尔值(默认值为 false 确定工作负载容器的 Dockerfile 中指定的 CMD 是否可被具有 tee-cmd 元数据值的工作负载运算符替换。

tee.launch_policy.allow_env_override

互动对象

 以英文逗号分隔的字符串 允许被工作负载运算符通过 tee-env-ENVIRONMENT_VARIABLE_NAME 元数据值设置的允许的环境变量名称构成的字符串(以英文逗号分隔)。

tee.launch_policy.allow_mount_destinations

互动对象

  • 工作负载运算符 tee-mount 元数据变量。
 以英文冒号分隔的字符串

以英文冒号分隔的字符串,其中包含工作负载操作员可以使用 tee-mount 装载的许可装载目录。

例如:/run/tmp:/var/tmp:/tmp

tee.launch_policy.log_redirect

互动对象

 已定义的字符串

确定在工作负载操作器将 tee-container-log-redirect 设置为 true 时日志记录的工作方式。

有效值包括:

  • debugonly(默认):仅在使用调试映像时允许 stdoutstderr 重定向。
  • always:始终允许 stdoutstderr 重定向。
  • never:一律不允许 stdoutstderr 重定向。

tee.launch_policy.monitoring_memory_allow

互动对象

 已定义的字符串

确定在工作负载运算符将 tee-memory-monitoring-enable 设置为 true 时,工作负载内存用量监控的工作方式。

有效值包括:

  • debugonly(默认):仅在使用调试映像时允许内存使用情况监控。
  • always:始终允许内存使用情况监控。
  • never:一律不允许内存使用情况监控。