Questa pagina è stata tradotta dall'API Cloud Translation.

Variabili dei metadati del carico di lavoro

Operatore del workload

Puoi modificare il comportamento della VM del workload Confidential Space passando le variabili nell'opzione --metadata quando crei la VM.

Per inserire più variabili, imposta prima il delimitatore aggiungendo il prefisso --metadata al valore ^~^. Il delimitatore viene impostato su ~, poiché , viene utilizzato nei valori delle variabili.

Ad esempio:

metadata="^~^tee-restart-policy=Always~tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest"

La tabella seguente descrive in dettaglio le variabili di metadati che puoi impostare per la VM del carico di lavoro.

Chiave dei metadati Tipo Descrizione e valori

Chiave dei metadati	Tipo	Descrizione e valori
`tee-image-reference` Interazione con: Collaboratori dei dati: l'affermazione `container.image_id` .	Stringa	Obbligatorio. Indica la posizione del container del workload. Esempio `tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest`
`tee-added-capabilities` Interazione con: Autore del workload: l' `allow_capabilities` policy di avvio.	Array di stringhe JSON	Aggiunge funzionalità Linux aggiuntive al container del workload. Esempio `tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"`
`tee-cgroup-ns` Interazione con: Autore del workload: l' `allow_cgroups` policy di avvio.	Booleano	Il valore predefinito è `false`. Se impostato su `true`, consente il montaggio di un cgroup con spazio dei nomi in `/sys/fs/cgroup`. Esempio `tee-cgroup-ns=true`
`tee-cmd` Interazione con: Autore del workload: l' `allow_cmd_override` policy di avvio. Collaboratori dei dati: l'affermazione `container.cmd_override` .	Array di stringhe JSON	Esegue l'override delle istruzioni CMD specificate nel `Dockerfile` del container del carico di lavoro. Esempio `tee-cmd="[\"params1\", \"params2\"]"`
`tee-container-log-redirect` Interazione con: Autore del workload: l' `log_redirect` policy di avvio.	Stringa definita	Output `STDOUT` e `STDERR` dal container del workload a Cloud Logging o alla console seriale, nel campo confidential-space-launcher. I valori validi sono: `false`: (predefinito) non viene eseguito alcun logging. `true`: output nella console seriale e Cloud Logging. `cloud_logging`: output solo in Cloud Logging. `serial`: output solo sulla console seriale. Un volume elevato di log nella console seriale potrebbe influire sulle prestazioni del workload. Esempio `tee-container-log-redirect=true`
`tee-dev-shm-size-kb`	Numero intero	Imposta le dimensioni in kB del punto di montaggio della memoria condivisa `/dev/shm`. Esempio `tee-dev-shm-size-kb=65536`
`tee-env-ENVIRONMENT_VARIABLE_NAME` Interazione con: Collaboratori dei dati: le `container.env` e `container.env_override` asserzioni.	Stringa	Imposta le variabili di ambiente nel container del workload. L'autore del workload deve anche aggiungere i nomi variabile di ambiente alle norme di avvio `allow_env_override` , altrimenti non verranno impostate. Esempio `tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'`
`tee-impersonate-service-accounts` Interazione con: Collaboratori dei dati: l'affermazione `google_service_accounts` .	Stringa	Un elenco di service account che possono essere rappresentati dall'operatore del workload. L'operatore del carico di lavoro deve avere l'autorizzazione per impersonare i service account. È possibile elencare più service account separati da virgole. Esempio `tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com`
`tee-install-gpu-driver` Interazione con: Collaboratori dei dati: l'affermazione `nvidia_gpu.cc_mode` .	Booleano	Indica se installare il driver GPU Confidential Computing di NVIDIA. Richiede un tipo di macchina che supporti NVIDIA Confidential Computing (anteprima). Esempio `tee-install-gpu-driver=true`
`tee-monitoring-memory-enable` Interazione con: Collaboratori dei dati: l'affermazione `instance_memory_monitoring_enabled` . Autore del workload: l'autore `monitoring_memory_allow` norme di avvio.	Booleano	Il valore predefinito è `false`. Se impostato su `true`, attiva il monitoraggio dell'utilizzo della memoria. Le metriche raccolte da Confidential VM sono di tipo `guest/memory/bytes_used` e possono essere visualizzate in Cloud Logging o Metrics Explorer. Esempio `tee-monitoring-memory-enable=true`
`tee-mount` Interazione con: Autore del workload: l'autore `allow_mount_destinations` norme di avvio.	Stringa	Un elenco di definizioni di montaggio separate da punto e virgola. Una definizione di montaggio è costituita da un elenco di coppie chiave-valore separate da virgole, che richiedono `type`, `source` e `destination`. `destination` deve essere un percorso assoluto e `type`/`source` deve essere `tmpfs`. Esempio `type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload`
`tee-restart-policy` Interazione con: Collaboratori dei dati: l'affermazione `container.restart_policy` .	Stringa definita	La policy di riavvio del launcher del container quando il workload si arresta I valori validi sono: `Never` (valore predefinito) `Always` `OnFailure` Questa variabile è supportata solo dall'immagine Confidential Space di produzione. Esempio `tee-restart-policy=OnFailure`
`tee-signed-image-repos` Interazione con: Collaboratori dei dati: l'affermazione `container.image_signatures` .	Stringa	Un elenco di repository di container separati da virgole che archiviano le firme generate da Sigstore Cosign. Esempio `tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example`

tee-image-reference

Interazione con:

Collaboratori dei dati: l'affermazione container.image_id .

Stringa

Obbligatorio. Indica la posizione del container del workload.

Esempio

tee-image-reference=us-docker.pkg.dev/WORKLOAD_AUTHOR_PROJECT_ID/REPOSITORY_NAME/WORKLOAD_CONTAINER_NAME:latest

tee-added-capabilities

Interazione con:

Autore del workload: l' allow_capabilities policy di avvio.

Array di stringhe JSON

Aggiunge funzionalità Linux aggiuntive al container del workload.

Esempio

tee-added-capabilities="[\"CAP_SYS_ADMIN\", \"CAP_SYS_CHROOT\"]"

tee-cgroup-ns

Interazione con:

Autore del workload: l' allow_cgroups policy di avvio.

Booleano

Il valore predefinito è false. Se impostato su true, consente il montaggio di un cgroup con spazio dei nomi in /sys/fs/cgroup.

Esempio

tee-cgroup-ns=true

tee-cmd

Interazione con:

Autore del workload: l' allow_cmd_override policy di avvio.
Collaboratori dei dati: l'affermazione container.cmd_override .

Array di stringhe JSON

Esegue l'override delle istruzioni CMD specificate nel Dockerfile del container del carico di lavoro.

Esempio

tee-cmd="[\"params1\", \"params2\"]"

tee-container-log-redirect

Interazione con:

Autore del workload: l' log_redirect policy di avvio.

Stringa definita

Output STDOUT e STDERR dal container del workload a Cloud Logging o alla console seriale, nel campo confidential-space-launcher.

I valori validi sono:

false: (predefinito) non viene eseguito alcun logging.
true: output nella console seriale e Cloud Logging.
cloud_logging: output solo in Cloud Logging.
serial: output solo sulla console seriale.

Un volume elevato di log nella console seriale potrebbe influire sulle prestazioni del workload.

Esempio

tee-container-log-redirect=true

tee-dev-shm-size-kb

Numero intero

Imposta le dimensioni in kB del punto di montaggio della memoria condivisa /dev/shm.

Esempio

tee-dev-shm-size-kb=65536

tee-env-ENVIRONMENT_VARIABLE_NAME

Interazione con:

Collaboratori dei dati: le container.env e container.env_override asserzioni.

Stringa

Imposta le variabili di ambiente nel container del workload. L'autore del workload deve anche aggiungere i nomi variabile di ambiente alle norme di avvio allow_env_override , altrimenti non verranno impostate.

Esempio

tee-env-example-env-1='value-1'~tee-env-example-env-2='value-2'

tee-impersonate-service-accounts

Interazione con:

Collaboratori dei dati: l'affermazione google_service_accounts .

Stringa

Un elenco di service account che possono essere rappresentati dall'operatore del workload. L'operatore del carico di lavoro deve avere l'autorizzazione per impersonare i service account.

È possibile elencare più service account separati da virgole.

Esempio

tee-impersonate-service-accounts=SERVICE_ACCOUNT_NAME_1@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com,SERVICE_ACCOUNT_NAME_2@WORKLOAD_OPERATOR_PROJECT_ID.iam.gserviceaccount.com

tee-install-gpu-driver

Interazione con:

Collaboratori dei dati: l'affermazione nvidia_gpu.cc_mode .

Booleano

Indica se installare il driver GPU Confidential Computing di NVIDIA. Richiede un tipo di macchina che supporti NVIDIA Confidential Computing (anteprima).

Esempio

tee-install-gpu-driver=true

tee-monitoring-memory-enable

Interazione con:

Collaboratori dei dati: l'affermazione instance_memory_monitoring_enabled .
Autore del workload: l'autore monitoring_memory_allow norme di avvio.

Booleano

Il valore predefinito è false. Se impostato su true, attiva il monitoraggio dell'utilizzo della memoria. Le metriche raccolte da Confidential VM sono di tipo guest/memory/bytes_used e possono essere visualizzate in Cloud Logging o Metrics Explorer.

Esempio

tee-monitoring-memory-enable=true

tee-mount

Interazione con:

Autore del workload: l'autore allow_mount_destinations norme di avvio.

Stringa

Un elenco di definizioni di montaggio separate da punto e virgola. Una definizione di montaggio è costituita da un elenco di coppie chiave-valore separate da virgole, che richiedono type, source e destination. destination deve essere un percorso assoluto e type/source deve essere tmpfs.

Esempio

type=tmpfs,source=tmpfs,destination=/tmp/tmpfs,size=12345;type=tmpfs,source=tmpfs,destination=/run/workload

tee-restart-policy

Interazione con:

Collaboratori dei dati: l'affermazione container.restart_policy .

Stringa definita

La policy di riavvio del launcher del container quando il workload si arresta

I valori validi sono:

Never (valore predefinito)
Always
OnFailure

Questa variabile è supportata solo dall'immagine Confidential Space di produzione.

Esempio

tee-restart-policy=OnFailure

tee-signed-image-repos

Interazione con:

Collaboratori dei dati: l'affermazione container.image_signatures .

Stringa

Un elenco di repository di container separati da virgole che archiviano le firme generate da Sigstore Cosign.

Esempio

tee-signed-image-repos=us-docker.pkg.dev/projectA/repo/example,us-docker.pkg.dev/projectB/repo/example,us-docker.pkg.dev/projectC/repo/example

Variabili dei metadati del carico di lavoro Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Esempio

Esempio

Esempio

Esempio

Esempio

Esempio

Esempio

Esempio

Esempio

Esempio

Esempio

Esempio

Esempio

Variabili dei metadati del carico di lavoro