az confcom

Poznámka:

Tento odkaz je součástí rozšíření confcom pro Azure CLI (verze 2.26.2 nebo vyšší). Rozšíření se automaticky nainstaluje při prvním spuštění příkazu az confcom . Přečtěte si další informace o rozšířeních.

Příkazy pro generování zásad zabezpečení pro důvěrné kontejnery v Azure

Příkazy

Name	Description	Typ	Stav
az confcom acifragmentgen	Vytvoření fragmentu důvěrných zásad kontejneru pro ACI	Rozšíření	GA
az confcom acipolicygen	Vytvořte důvěrné zásady zabezpečení kontejneru pro ACI.	Rozšíření	GA
az confcom katapolicygen	Vytvořte důvěrné zásady zabezpečení kontejneru pro AKS.	Rozšíření	GA

az confcom acifragmentgen

Vytvoření fragmentu důvěrných zásad kontejneru pro ACI

az confcom acifragmentgen [--algo]
                          [--chain]
                          [--debug-mode]
                          [--disable-stdio]
                          [--feed]
                          [--fragment-path]
                          [--fragments-json]
                          [--generate-import]
                          [--image]
                          [--image-target]
                          [--input]
                          [--key]
                          [--minimum-svn]
                          [--namespace]
                          [--no-print]
                          [--omit-id]
                          [--output-filename]
                          [--outraw]
                          [--svn]
                          [--tar]
                          [--upload-fragment]

Příklady

Zadání názvu obrázku pro vygenerování jednoduchého fragmentu

az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworld

Zadání konfiguračního souboru pro vygenerování fragmentu s vlastním oborem názvů a povoleným režimem ladění

az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-mode

Vygenerování příkazu importu pro podepsaný místní fragment

az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1

Vygenerování fragmentu a podepsání COSE pomocí klíče a řetězu

az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-print

Vygenerování importu fragmentu z názvu image

az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1

Připojení fragmentu k zadanému obrázku

az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>

Volitelné parametry

--algo

Algoritmus používaný k podepisování fragmentu vygenerovaných zásad Musí se použít s řetězcem --key a --chain. Podporované algoritmy jsou ['PS256', 'PS384', 'PS512', 'ES256', 'ES384', 'ES512', 'EdDSA'].

Default value: ES384

--chain

Cesta k souboru řetězu certifikátů ve formátu .pem, který se má použít k podepisování fragmentu vygenerované zásady. Musí se použít s --key.

--debug-mode

Pokud je tato možnost povolená, vygenerovaná zásada zabezpečení přidá možnost k ladění kontejneru použít /bin/sh nebo /bin/bash. Povolil také přístup stdio, možnost výpisu trasování zásobníku a povolil protokolování za běhu. Tuto možnost doporučujeme použít pouze pro účely ladění.

Default value: False

--disable-stdio

Pokud je tato možnost povolená, kontejnery ve skupině kontejnerů nemají přístup ke stdio.

Default value: False

--feed -f

Informační kanál, který se má použít pro vygenerovaný fragment zásad. To je obvykle stejné jako název image při použití fragmentů připojených k obrázku. Je to umístění ve vzdáleném úložišti, kde se fragment uloží.

--fragment-path -p

Cesta k existujícímu souboru fragmentu zásad, který se má použít s --generate-import. Tato možnost umožňuje vytvořit příkazy importu pro zadaný fragment, aniž byste je museli načíst z registru OCI.

--fragments-json -j

Cesta k souboru JSON, který uloží informace o importu fragmentu vygenerované při použití příkazu --generate-import. Tento soubor lze později přenést do příkazu generování zásad (acipolicygen), který bude zahrnovat fragment do nové nebo existující zásady. Pokud není zadaný, příkaz importu se vytiskne do konzoly místo uložení do souboru.

--generate-import -g

Vygenerujte příkaz importu pro fragment zásady.

Default value: False

--image

Obrázek, který se má použít pro vygenerovaný fragment zásad

--image-target

Cíl image, ve kterém je připojený vygenerovaný fragment zásad.

--input -i

Cesta k souboru JSON obsahujícímu konfiguraci pro vygenerovaný fragment zásad

--key -k

Cesta k souboru klíče ve formátu .pem, který se má použít k podepisování fragmentu vygenerované zásady. Musí se použít s řetězcem --chain.

--minimum-svn

Používá se s parametrem --generate-import k určení minimální hodnoty SVN pro příkaz import.

--namespace -n

Obor názvů, který se má použít pro vygenerovaný fragment zásad.

--no-print

Nevytiskněte vygenerovaný fragment zásad do souboru stdout.

Default value: False

--omit-id

Pokud je tato možnost povolená, vygenerovaná zásada nebude obsahovat pole ID. Zásady tak nebudou svázané s konkrétním názvem a značkou image. To je užitečné, pokud se použitá image bude vyskytovat ve více registrech a bude se používat zaměnitelně.

Default value: False

--output-filename

Uložte výstupní zásady do dané cesty k souboru.

--outraw

Výstupní zásady v kompaktním formátu JSON s prostým textem místo výchozího poměrně tiskového formátu.

Default value: False

--svn

Minimální povolené číslo verze softwaru pro vygenerovaný fragment zásad. To by mělo být monotonicky rostoucí celé číslo.

--tar

Cesta k tarballu obsahující vrstvy obrázků nebo k souboru JSON, který obsahuje cesty k tarballům vrstev obrázků.

--upload-fragment -u

Pokud je tato možnost povolená, nahraje se fragment vygenerované zásady do registru použité image.

Default value: False

Globální parametry

--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazují se pouze chyby, potlačení upozornění.

--output -o

Výstupní formát

Přípustné hodnoty: json, jsonc, none, table, tsv, yaml, yamlc

Default value: json

--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--subscription

Název nebo ID předplatného. Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.

az confcom acipolicygen

Vytvořte důvěrné zásady zabezpečení kontejneru pro ACI.

az confcom acipolicygen [--approve-wildcards]
                        [--debug-mode]
                        [--diff]
                        [--disable-stdio]
                        [--exclude-default-fragments]
                        [--faster-hashing]
                        [--fragments-json]
                        [--image]
                        [--include-fragments]
                        [--infrastructure-svn]
                        [--input]
                        [--omit-id]
                        [--outraw]
                        [--outraw-pretty-print]
                        [--parameters]
                        [--print-existing-policy]
                        [--print-policy]
                        [--save-to-file]
                        [--tar]
                        [--template-file]
                        [--validate-sidecar]
                        [--virtual-node-yaml]

Příklady

Zadání souboru šablony ARM pro vložení důvěrných zásad zabezpečení kontejneru s kódováním Base64 do šablony ARM

az confcom acipolicygen --template-file "./template.json"

Zadání souboru šablony ARM pro vytvoření důvěrných zásad zabezpečení kontejneru čitelné pro člověka

az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print

Zadání souboru šablony ARM pro uložení důvěrných zásad zabezpečení kontejneru do souboru jako text s kódováním base64

az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policy

Zadejte soubor šablony ARM a místo démona Dockeru použijte soubor tar jako zdroj image.

az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"

Zadejte soubor šablony ARM a k vygenerování zásad použijte soubor JSON fragmentů.

az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragments

Volitelné parametry

--approve-wildcards -y

Pokud je tato možnost povolená, všechny výzvy k použití zástupných znaků v proměnných prostředí se automaticky schválí.

Default value: False

--debug-mode

Pokud je tato možnost povolená, vygenerovaná zásada zabezpečení přidá možnost k ladění kontejneru použít /bin/sh nebo /bin/bash. Povolil také přístup stdio, možnost výpisu trasování zásobníku a povolil protokolování za běhu. Tuto možnost doporučujeme použít pouze pro účely ladění.

Default value: False

--diff -d

V kombinaci se vstupním souborem šablony ARM (nebo souborem YAML pro generování zásad virtuálního uzlu) ověří zásady uvedené v šabloně ARM v části ccePolicy a kontejnery v souboru jsou kompatibilní. Pokud nejsou kompatibilní, zobrazí se seznam důvodů a stavový kód ukončení bude 2.

Default value: False

--disable-stdio

Pokud je tato možnost povolená, kontejnery ve skupině kontejnerů nemají přístup ke stdio.

Default value: False

--exclude-default-fragments -e

Pokud je tato možnost povolená, výchozí fragmenty se do vygenerovaných zásad nezahrnou. To zahrnuje kontejnery potřebné k připojení souborů Azure, připojení tajných kódů, připojení úložišť Git a dalších běžných funkcí ACI.

Default value: False

--faster-hashing

Pokud je tato možnost povolená, algoritmus hash použitý k vygenerování zásad je rychlejší, ale méně efektivní paměť.

Default value: False

--fragments-json -j

Cesta k souboru JSON obsahujícímu informace o fragmentu, které se mají použít k vygenerování zásad To vyžaduje povolení fragmentů zahrnutí.

--image

Název vstupního obrázku

--include-fragments -f

Pokud je tato možnost povolená, cesta zadaná parametrem --fragments-json se použije k načtení fragmentů z registru OCI nebo místně a zahrnout je do vygenerovaných zásad.

Default value: False

--infrastructure-svn

Minimální povolené číslo verze softwaru pro fragment infrastruktury

--input -i

Vstupní konfigurační soubor JSON

--omit-id

Pokud je tato možnost povolená, vygenerovaná zásada nebude obsahovat pole ID. Zásady tak nebudou svázané s konkrétním názvem a značkou image. To je užitečné, pokud se použitá image bude vyskytovat ve více registrech a bude se používat zaměnitelně.

Default value: False

--outraw

Výstupní zásady v kompaktním formátu JSON s prostým textem místo výchozího formátu base64.

Default value: False

--outraw-pretty-print

Výstupní zásady ve formátu prostého textu a v poměrně tiskovém formátu.

Default value: False

--parameters -p

Vstupní soubor parametrů, který volitelně doprovází šablonu ARM.

--print-existing-policy

Pokud je tato možnost povolená, existující zásady zabezpečení, které jsou přítomné v šabloně ARM, se vytisknou na příkazový řádek a nevygenerují se žádné nové zásady zabezpečení.

Default value: False

--print-policy

Pokud je tato možnost povolená, vygenerovaná zásada zabezpečení se místo vložení do vstupní šablony ARM vytiskne na příkazový řádek.

Default value: False

--save-to-file -s

Uložte výstupní zásady do dané cesty k souboru.

--tar

Cesta k tarballu obsahující vrstvy obrázků nebo k souboru JSON, který obsahuje cesty k tarballům vrstev obrázků.

--template-file -a

Vstupní soubor šablony ARM

--validate-sidecar -v

Ověřte, že image použitá k vygenerování zásad CCE pro kontejner sajdkáře bude povolena jeho vygenerovanými zásadami.

Default value: False

--virtual-node-yaml

Vstupní soubor YAML pro generování zásad virtuálního uzlu

Globální parametry

--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazují se pouze chyby, potlačení upozornění.

--output -o

Výstupní formát

Přípustné hodnoty: json, jsonc, none, table, tsv, yaml, yamlc

Default value: json

--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--subscription

Název nebo ID předplatného. Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.

az confcom katapolicygen

Vytvořte důvěrné zásady zabezpečení kontejneru pro AKS.

az confcom katapolicygen [--config-map-file]
                         [--containerd-pull]
                         [--containerd-socket-path]
                         [--outraw]
                         [--print-policy]
                         [--print-version]
                         [--rules-file-name]
                         [--settings-file-name]
                         [--use-cached-files]
                         [--yaml]

Příklady

Zadání souboru YAML Kubernetes pro vložení důvěrných zásad zabezpečení kontejneru s kódováním Base64 do souboru YAML

az confcom katapolicygen --yaml "./pod.json"

Zadání souboru YAML Kubernetes pro tisk důvěrných zásad zabezpečení kontejneru s kódováním Base64 do stdout

az confcom katapolicygen --yaml "./pod.json" --print-policy

Zadejte soubor YAML Kubernetes a soubor vlastního nastavení pro vložení důvěrných zásad zabezpečení kontejneru s kódováním Base64 do souboru YAML.

az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"

Zadání souboru YAML Kubernetes a souboru mapování externí konfigurace

az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"

Zadání souboru YAML Kubernetes a souboru vlastních pravidel

az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"

Zadání souboru YAML Kubernetes s vlastní cestou kontejnerového soketu

az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"

Volitelné parametry

--config-map-file -c

Cesta ke konfiguračnímu souboru mapování

--containerd-pull -d

K načtení image použijte kontejner. Tato možnost je podporována pouze v Linuxu.

Default value: False

--containerd-socket-path

Cesta ke kontejnerovanému soketu. Tato možnost je podporována pouze v Linuxu.

--outraw

Výstupní zásady v kompaktním formátu JSON s prostým textem místo výchozího formátu base64.

Default value: False

--print-policy

Vytiskněte v terminálu vygenerovanou zásadu s kódováním Base64.

Default value: False

--print-version -v

Vytiskněte verzi nástrojů genpolicy.

Default value: False

--rules-file-name -p

Cesta k souboru vlastních pravidel

--settings-file-name -j

Cesta k souboru vlastního nastavení

--use-cached-files -u

Pomocí souborů uložených v mezipaměti můžete ušetřit čas výpočtu.

Default value: False

--yaml -y

Vstupní soubor YAML Kubernetes

Globální parametry

--debug

Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.

--help -h

Zobrazte tuto zprávu nápovědy a ukončete ji.

--only-show-errors

Zobrazují se pouze chyby, potlačení upozornění.

--output -o

Výstupní formát

Přípustné hodnoty: json, jsonc, none, table, tsv, yaml, yamlc

Default value: json

--query

Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.

--subscription

Název nebo ID předplatného. Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.

--verbose

Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.