Cette page a été traduite par l'API Cloud Translation.

Variables de métadonnées de charge de travail

Vous pouvez modifier le comportement de la VM de charge de travail Confidential Space en transmettant des variables à l'option --metadata lorsque vous créez la VM.

Pour transmettre plusieurs variables, commencez par définir le délimiteur en préfixant la valeur --metadata avec ^~^. Cela définit le délimiteur sur ~, car , est utilisé dans les valeurs de variables.

Exemple :

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

Le tableau suivant détaille les variables de métadonnées que vous pouvez définir pour la VM de votre charge de travail.

Clé de métadonnée Type Description et valeurs

Clé de métadonnée	Type	Description et valeurs
`tee-image-reference` Interagit avec : Collaborateurs de données : assertion `container.image_id` .	Chaîne	Obligatoire. Cette valeur pointe vers l'emplacement du conteneur de la charge de travail. Exemple `tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest`
`tee-added-capabilities` Interagit avec : Auteur de la charge de travail : règle de lancement `allow_capabilities` .	Tableau de chaînes JSON	Ajoute des capacités Linux supplémentaires au conteneur de charge de travail. Exemple `tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"`
`tee-cgroup-ns` Interagit avec : Auteur de la charge de travail : règle de lancement `allow_cgroups` .	Booléen	La valeur par défaut est `false`. Si la valeur est définie sur `true`, un montage cgroup avec espace de noms est activé sur `/sys/fs/cgroup`. Exemple `tee-cgroup-ns=true`
`tee-cmd` Interagit avec : Auteur de la charge de travail : règle de lancement `allow_cmd_override` . Collaborateurs de données : assertion `container.cmd_override` .	Tableau de chaînes JSON	Remplace les instructions CMD spécifiées dans le `Dockerfile` du conteneur de charge de travail. Exemple `tee-cmd="[\"params1\", \"params2\"]"`
`tee-container-log-redirect` Interagit avec : Auteur de la charge de travail : règle de lancement `log_redirect` .	Chaîne définie	affiche `STDOUT` et `STDERR` du conteneur de charge de travail vers Cloud Logging ou la console série, dans le champ confidential-space-launcher. Les valeurs valides sont les suivantes : `false` : (par défaut) aucune journalisation n'a lieu. `true` : sorties vers la console série et Cloud Logging. `cloud_logging` : les journaux sont écrits dans Cloud Logging uniquement. `serial` : sorties vers la console série uniquement. Un volume de journaux élevé dans la console série peut avoir un impact sur les performances de la charge de travail. Exemple `tee-container-log-redirect=true`
`tee-dev-shm-size-kb`	Integer	Définit la taille en Ko du point de montage de la mémoire partagée `/dev/shm`. Exemple `tee-dev-shm-size-kb=65536`
`tee-env-ENVIRONMENT_VARIABLE_NAME` Interagit avec : Collaborateurs pour les données : assertions `container.env` et `container.env_override` .	Chaîne	Définit les variables d'environnement dans le conteneur de charge de travail. L'auteur de la charge de travail doit également ajouter les noms des variables d'environnement aux règles de lancement `allow_env_override` . Sinon, elles ne seront pas définies. Exemple `tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'`
`tee-impersonate-service-accounts` Interagit avec : Collaborateurs de données : assertion `google_service_accounts` .	Chaîne	Liste des comptes de service dont l'identité peut être empruntée par l'opérateur de charge de travail. L'opérateur de charge de travail doit être autorisé à emprunter l'identité des comptes de service. Plusieurs comptes de service peuvent être répertoriés, séparés par une virgule. Exemple `tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com`
`tee-install-gpu-driver` Interagit avec : Collaborateurs de données : assertion `nvidia_gpu.cc_mode` .	Booléen	Indique si le pilote de GPU NVIDIA pour le Confidential Computing doit être installé. Nécessite un type de machine compatible avec l'informatique confidentielle NVIDIA (aperçu). Exemple `tee-install-gpu-driver=true`
`tee-monitoring-memory-enable` Interagit avec : Collaborateurs de données : assertion `instance_memory_monitoring_enabled` . Auteur de la charge de travail : la règle de lancement `monitoring_memory_allow` .	Booléen	La valeur par défaut est `false`. Si la valeur est définie sur `true`, la surveillance de l'utilisation de la mémoire est activée. Les métriques collectées par la VM confidentielle sont de type `guest/memory/bytes_used` et peuvent être consultées dans Cloud Logging ou l'explorateur de métriques. Exemple `tee-monitoring-memory-enable=true`
`tee-mount` Interagit avec : Auteur de la charge de travail : la règle de lancement `allow_mount_destinations` .	Chaîne	Liste des définitions de montage séparées par un point-virgule. Une définition de montage se compose d'une liste de paires clé/valeur séparées par une virgule, nécessitant `type`, `source` et `destination`. `destination` doit être un chemin absolu, et `type`/`source` doit être `tmpfs`. Exemple `type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload`
`tee-restart-policy` Interagit avec : Collaborateurs de données : assertion `container.restart_policy` .	Chaîne définie	Règle de redémarrage du lanceur de conteneurs lorsque la charge de travail s'arrête Les valeurs valides sont les suivantes : `Never` (par défaut) `Always` `OnFailure` Cette variable n'est compatible qu'avec l'image de production Confidential Space. Exemple `tee-restart-policy=OnFailure`
`tee-signed-image-repos` Interagit avec : Collaborateurs de données : assertion `container.image_signatures` .	Chaîne	Liste de dépôts de conteneurs séparés par une virgule qui stockent les signatures générées par Sigstore Cosign. Exemple `tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example`

tee-image-reference

Interagit avec :

Collaborateurs de données : assertion container.image_id .

Chaîne

Obligatoire. Cette valeur pointe vers l'emplacement du conteneur de la charge de travail.

Exemple

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

tee-added-capabilities

Interagit avec :

Auteur de la charge de travail : règle de lancement allow_capabilities .

Tableau de chaînes JSON

Ajoute des capacités Linux supplémentaires au conteneur de charge de travail.

Exemple

tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"

tee-cgroup-ns

Interagit avec :

Auteur de la charge de travail : règle de lancement allow_cgroups .

Booléen

La valeur par défaut est false. Si la valeur est définie sur true, un montage cgroup avec espace de noms est activé sur /sys/fs/cgroup.

Exemple

tee-cgroup-ns=true

tee-cmd

Interagit avec :

Auteur de la charge de travail : règle de lancement allow_cmd_override .
Collaborateurs de données : assertion container.cmd_override .

Tableau de chaînes JSON

Remplace les instructions CMD spécifiées dans le Dockerfile du conteneur de charge de travail.

Exemple

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

Interagit avec :

Auteur de la charge de travail : règle de lancement log_redirect .

Chaîne définie

affiche STDOUT et STDERR du conteneur de charge de travail vers Cloud Logging ou la console série, dans le champ confidential-space-launcher.

Les valeurs valides sont les suivantes :

false : (par défaut) aucune journalisation n'a lieu.
true : sorties vers la console série et Cloud Logging.
cloud_logging : les journaux sont écrits dans Cloud Logging uniquement.
serial : sorties vers la console série uniquement.

Un volume de journaux élevé dans la console série peut avoir un impact sur les performances de la charge de travail.

Exemple

tee-container-log-redirect=true

tee-dev-shm-size-kb

Integer

Définit la taille en Ko du point de montage de la mémoire partagée /dev/shm.

Exemple

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

Interagit avec :

Collaborateurs pour les données : assertions container.env et container.env_override .

Chaîne

Définit les variables d'environnement dans le conteneur de charge de travail. L'auteur de la charge de travail doit également ajouter les noms des variables d'environnement aux règles de lancement allow_env_override . Sinon, elles ne seront pas définies.

Exemple

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

Interagit avec :

Collaborateurs de données : assertion google_service_accounts .

Chaîne

Liste des comptes de service dont l'identité peut être empruntée par l'opérateur de charge de travail. L'opérateur de charge de travail doit être autorisé à emprunter l'identité des comptes de service.

Plusieurs comptes de service peuvent être répertoriés, séparés par une virgule.

Exemple

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-install-gpu-driver

Interagit avec :

Collaborateurs de données : assertion nvidia_gpu.cc_mode .

Booléen

Indique si le pilote de GPU NVIDIA pour le Confidential Computing doit être installé. Nécessite un type de machine compatible avec l'informatique confidentielle NVIDIA (aperçu).

Exemple

tee-install-gpu-driver=true

tee-monitoring-memory-enable

Interagit avec :

Collaborateurs de données : assertion instance_memory_monitoring_enabled .
Auteur de la charge de travail : la règle de lancement monitoring_memory_allow .

Booléen

La valeur par défaut est false. Si la valeur est définie sur true, la surveillance de l'utilisation de la mémoire est activée. Les métriques collectées par la VM confidentielle sont de type guest/memory/bytes_used et peuvent être consultées dans Cloud Logging ou l'explorateur de métriques.

Exemple

tee-monitoring-memory-enable=true

tee-mount

Interagit avec :

Auteur de la charge de travail : la règle de lancement allow_mount_destinations .

Chaîne

Liste des définitions de montage séparées par un point-virgule. Une définition de montage se compose d'une liste de paires clé/valeur séparées par une virgule, nécessitant type, source et destination. destination doit être un chemin absolu, et type/source doit être tmpfs.

Exemple

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

Interagit avec :

Collaborateurs de données : assertion container.restart_policy .

Chaîne définie

Règle de redémarrage du lanceur de conteneurs lorsque la charge de travail s'arrête

Les valeurs valides sont les suivantes :

Never (par défaut)
Always
OnFailure

Cette variable n'est compatible qu'avec l'image de production Confidential Space.

Exemple

tee-restart-policy=OnFailure

tee-signed-image-repos

Interagit avec :

Collaborateurs de données : assertion container.image_signatures .

Chaîne

Liste de dépôts de conteneurs séparés par une virgule qui stockent les signatures générées par Sigstore Cosign.

Exemple

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example