Esta página se ha traducido con Cloud Translation API.

Variables de metadatos de carga de trabajo

Puedes cambiar el comportamiento de la VM de carga de trabajo de Confidential Space pasando variables a la opción --metadata cuando crees la VM.

Para introducir varias variables, primero define el delimitador añadiendo el prefijo ^~^ al valor de --metadata. De esta forma, el delimitador se establece en ~, ya que , se usa en los valores de las variables.

Por ejemplo:

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

En la siguiente tabla se detallan las variables de metadatos que puede definir para su VM de carga de trabajo.

Clave de metadatos Tipo Descripción y valores

Clave de metadatos	Tipo	Descripción y valores
`tee-image-reference` Interactúa con: Colaboradores de datos: la `container.image_id` aserciones.	Cadena	Obligatorio. Apunta a la ubicación del contenedor de la carga de trabajo. Ejemplo `tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest`
`tee-added-capabilities` Interactúa con: Autor de la carga de trabajo: la `allow_capabilities` política de lanzamiento.	Matriz de cadenas JSON	Añade funciones de Linux adicionales al contenedor de la carga de trabajo. Ejemplo `tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"`
`tee-cgroup-ns` Interactúa con: Autor de la carga de trabajo: la `allow_cgroups` política de lanzamiento.	Booleano	El valor predeterminado es `false`. Si se le asigna el valor `true`, se habilita un montaje de cgroup con espacio de nombres en `/sys/fs/cgroup`. Ejemplo `tee-cgroup-ns=true`
`tee-cmd` Interactúa con: Autor de la carga de trabajo: la `allow_cmd_override` política de lanzamiento. Colaboradores de datos: la `container.cmd_override` aserciones.	Matriz de cadenas JSON	Anula las instrucciones de CMD especificadas en el `Dockerfile` del contenedor de la carga de trabajo. Ejemplo `tee-cmd="[\"params1\", \"params2\"]"`
`tee-container-log-redirect` Interactúa con: Autor de la carga de trabajo: la `log_redirect` política de lanzamiento.	Cadena definida	Genera las salidas `STDOUT` y `STDERR` del contenedor de carga de trabajo en Cloud Logging o en la consola serie, en el campo confidential-space-launcher. Los valores válidos son: `false` (predeterminado): no se registra nada. `true`: se envía a la consola serie y a Cloud Logging. `cloud_logging`: solo se envía a Cloud Logging. `serial`: solo se muestra en la consola serie. Un volumen de registros elevado en la consola serie podría afectar al rendimiento de la carga de trabajo. Ejemplo `tee-container-log-redirect=true`
`tee-dev-shm-size-kb`	Entero	Define el tamaño en kB del montaje de memoria compartida `/dev/shm`. Ejemplo `tee-dev-shm-size-kb=65536`
`tee-env-ENVIRONMENT_VARIABLE_NAME` Interactúa con: Colaboradores de datos: las aserciones `container.env` y `container.env_override` .	Cadena	Define variables de entorno en el contenedor de la carga de trabajo. El autor de la carga de trabajo también debe añadir los nombres de las variables de entorno a la política de lanzamiento `allow_env_override` para que se definan. Ejemplo `tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'`
`tee-impersonate-service-accounts` Interactúa con: Colaboradores de datos: la `google_service_accounts` aserciones.	Cadena	Lista de cuentas de servicio a las que puede suplantar el operador de la carga de trabajo. El operador de la carga de trabajo debe tener permiso para representar las cuentas de servicio. Se pueden indicar varias cuentas de servicio separadas por comas. Ejemplo `tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com`
`tee-install-gpu-driver` Interactúa con: Colaboradores de datos: la `nvidia_gpu.cc_mode` aserciones.	Booleano	Indica si se debe instalar el controlador de GPU de Confidential Computing de NVIDIA. Requiere un tipo de máquina que admita Confidential Computing de NVIDIA (vista previa). Ejemplo `tee-install-gpu-driver=true`
`tee-monitoring-memory-enable` Interactúa con: Colaboradores de datos: la `instance_memory_monitoring_enabled` afirmación. Autor de la carga de trabajo: la `monitoring_memory_allow` política de lanzamiento.	Booleano	El valor predeterminado es `false`. Si se define como `true`, se habilita la monitorización del uso de memoria. Las métricas recogidas por la VM confidencial son de tipo `guest/memory/bytes_used` y se pueden ver en Cloud Logging o en Explorador de métricas. Ejemplo `tee-monitoring-memory-enable=true`
`tee-mount` Interactúa con: Autor de la carga de trabajo: la `allow_mount_destinations` política de lanzamiento.	Cadena	Lista de definiciones de montaje separadas por punto y coma. Una definición de montaje consta de una lista de pares clave-valor separados por comas que requieren `type`, `source` y `destination`. `destination` debe ser una ruta absoluta y `type`/`source` debe ser `tmpfs`. Ejemplo `type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload`
`tee-restart-policy` Interactúa con: Colaboradores de datos: la `container.restart_policy` aserciones.	Cadena definida	La política de reinicio del lanzador de contenedores cuando la carga de trabajo se detiene Los valores válidos son: `Never` (predeterminado) `Always` `OnFailure` Esta variable solo se admite en la imagen de espacio confidencial de producción. Ejemplo `tee-restart-policy=OnFailure`
`tee-signed-image-repos` Interactúa con: Colaboradores de datos: la `container.image_signatures` aserciones.	Cadena	Lista de repositorios de contenedores separados por comas que almacenan las firmas generadas por Sigstore Cosign. Ejemplo `tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example`

tee-image-reference

Interactúa con:

Colaboradores de datos: la container.image_id aserciones.

Cadena

Obligatorio. Apunta a la ubicación del contenedor de la carga de trabajo.

Ejemplo

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

tee-added-capabilities

Interactúa con:

Autor de la carga de trabajo: la allow_capabilities política de lanzamiento.

Matriz de cadenas JSON

Añade funciones de Linux adicionales al contenedor de la carga de trabajo.

Ejemplo

tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"

tee-cgroup-ns

Interactúa con:

Autor de la carga de trabajo: la allow_cgroups política de lanzamiento.

Booleano

El valor predeterminado es false. Si se le asigna el valor true, se habilita un montaje de cgroup con espacio de nombres en /sys/fs/cgroup.

Ejemplo

tee-cgroup-ns=true

tee-cmd

Interactúa con:

Autor de la carga de trabajo: la allow_cmd_override política de lanzamiento.
Colaboradores de datos: la container.cmd_override aserciones.

Matriz de cadenas JSON

Anula las instrucciones de CMD especificadas en el Dockerfile del contenedor de la carga de trabajo.

Ejemplo

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

Interactúa con:

Autor de la carga de trabajo: la log_redirect política de lanzamiento.

Cadena definida

Genera las salidas STDOUT y STDERR del contenedor de carga de trabajo en Cloud Logging o en la consola serie, en el campo confidential-space-launcher.

Los valores válidos son:

false (predeterminado): no se registra nada.
true: se envía a la consola serie y a Cloud Logging.
cloud_logging: solo se envía a Cloud Logging.
serial: solo se muestra en la consola serie.

Un volumen de registros elevado en la consola serie podría afectar al rendimiento de la carga de trabajo.

Ejemplo

tee-container-log-redirect=true

tee-dev-shm-size-kb

Entero

Define el tamaño en kB del montaje de memoria compartida /dev/shm.

Ejemplo

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

Interactúa con:

Colaboradores de datos: las aserciones container.env y container.env_override .

Cadena

Define variables de entorno en el contenedor de la carga de trabajo. El autor de la carga de trabajo también debe añadir los nombres de las variables de entorno a la política de lanzamiento allow_env_override para que se definan.

Ejemplo

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

Interactúa con:

Colaboradores de datos: la google_service_accounts aserciones.

Cadena

Lista de cuentas de servicio a las que puede suplantar el operador de la carga de trabajo. El operador de la carga de trabajo debe tener permiso para representar las cuentas de servicio.

Se pueden indicar varias cuentas de servicio separadas por comas.

Ejemplo

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-install-gpu-driver

Interactúa con:

Colaboradores de datos: la nvidia_gpu.cc_mode aserciones.

Booleano

Indica si se debe instalar el controlador de GPU de Confidential Computing de NVIDIA. Requiere un tipo de máquina que admita Confidential Computing de NVIDIA (vista previa).

Ejemplo

tee-install-gpu-driver=true

tee-monitoring-memory-enable

Interactúa con:

Colaboradores de datos: la instance_memory_monitoring_enabled afirmación.
Autor de la carga de trabajo: la monitoring_memory_allow política de lanzamiento.

Booleano

El valor predeterminado es false. Si se define como true, se habilita la monitorización del uso de memoria. Las métricas recogidas por la VM confidencial son de tipo guest/memory/bytes_used y se pueden ver en Cloud Logging o en Explorador de métricas.

Ejemplo

tee-monitoring-memory-enable=true

tee-mount

Interactúa con:

Autor de la carga de trabajo: la allow_mount_destinations política de lanzamiento.

Cadena

Lista de definiciones de montaje separadas por punto y coma. Una definición de montaje consta de una lista de pares clave-valor separados por comas que requieren type, source y destination. destination debe ser una ruta absoluta y type/source debe ser tmpfs.

Ejemplo

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

Interactúa con:

Colaboradores de datos: la container.restart_policy aserciones.

Cadena definida

La política de reinicio del lanzador de contenedores cuando la carga de trabajo se detiene

Los valores válidos son:

Never (predeterminado)
Always
OnFailure

Esta variable solo se admite en la imagen de espacio confidencial de producción.

Ejemplo

tee-restart-policy=OnFailure

tee-signed-image-repos

Interactúa con:

Colaboradores de datos: la container.image_signatures aserciones.

Cadena

Lista de repositorios de contenedores separados por comas que almacenan las firmas generadas por Sigstore Cosign.

Ejemplo

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example

Variables de metadatos de carga de trabajo Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Ejemplo

Ejemplo

Ejemplo

Ejemplo

Ejemplo

Ejemplo

Ejemplo

Ejemplo

Ejemplo

Ejemplo

Ejemplo

Ejemplo

Ejemplo

Variables de metadatos de carga de trabajo