az confcom
Hinweis
Diese Referenz ist Teil der Confcom-Erweiterung für die Azure CLI (Version 2.26.2 oder höher). Die Erweiterung wird automatisch installiert, wenn Sie einen az confcom-Befehl zum ersten Mal ausführen. Weitere Informationen zu Erweiterungen
Befehle zum Generieren von Sicherheitsrichtlinien für vertrauliche Container in Azure.
Befehle
| Name | Beschreibung | Typ | Status |
|---|---|---|---|
| az confcom acifragmentgen |
Erstellen Sie ein Fragment für vertrauliche Containerrichtlinien für ACI. |
Erweiterung | Allgemein verfügbar |
| az confcom acipolicygen |
Erstellen Sie eine Sicherheitsrichtlinie für vertrauliche Container für ACI. |
Erweiterung | Allgemein verfügbar |
| az confcom katapolicygen |
Erstellen Sie eine Sicherheitsrichtlinie für vertrauliche Container für AKS. |
Erweiterung | Allgemein verfügbar |
az confcom acifragmentgen
Erstellen Sie ein Fragment für vertrauliche Containerrichtlinien für ACI.
az confcom acifragmentgen [--algo]
[--chain]
[--debug-mode]
[--disable-stdio]
[--feed]
[--fragment-path]
[--fragments-json]
[--generate-import]
[--image]
[--input]
[--key]
[--minimum-svn]
[--namespace]
[--no-print]
[--output-filename]
[--outraw]
[--svn]
[--tar]
[--upload-fragment]Beispiele
Eingeben eines Bildnamens zum Generieren eines einfachen Fragments
az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworldEingeben einer Konfigurationsdatei zum Generieren eines Fragments mit einem benutzerdefinierten Namespace und aktiviertem Debugmodus
az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-modeGenerieren einer Import-Anweisung für ein signiertes lokales Fragment
az confcom acifragmentgen --fragment-path "./fragment.json" --generate-import --minimum-svn 1Generieren eines Fragments und COSE-Zeichens mit einem Schlüssel und einer Kette
az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworld --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-printOptionale Parameter
Algorithmus, der zum Signieren des generierten Richtlinienfragments verwendet wird. Dies muss mit --key und --chain verwendet werden. Unterstützte Algorithmen sind ['PS256', 'PS384', 'PS512', 'ES256', 'ES384', 'ES512', 'EdDSA'].
Pfad zur formatierten ZERTIFIKATkettendatei, die zum Signieren des generierten Richtlinienfragments verwendet werden soll. Dies muss mit --key verwendet werden.
Wenn diese Option aktiviert ist, bietet die generierte Sicherheitsrichtlinie die Möglichkeit, den Container mithilfe von "/bin/sh" oder "/bin/bash" zu debuggen. Außerdem wurde der Stdiozugriff aktiviert, die Möglichkeit, Stapelablaufverfolgungen abzubilden und die Laufzeitprotokollierung zu ermöglichen. Es wird empfohlen, diese Option nur für Debuggingzwecke zu verwenden.
Wenn diese Option aktiviert ist, haben die Container in der Containergruppe keinen Zugriff auf Stdio.
Feed, der für das generierte Richtlinienfragment verwendet werden soll. Dies entspricht in der Regel dem Bildnamen bei Verwendung von Bildfragmenten. Es ist die Position im Remoterepository, an der das Fragment gespeichert wird.
Pfad zu einer vorhandenen Richtlinienfragmentdatei, die mit "--generate-import" verwendet werden soll. Mit dieser Option können Sie Importanweisungen für das angegebene Fragment erstellen, ohne sie aus einer OCI-Registrierung abrufen zu müssen.
Pfad zu einer JSON-Datei, die die Fragmentimportinformationen speichert, die bei Verwendung von --generate-import generiert werden. Diese Datei kann später in den Befehl für die Richtliniengenerierung (acipolicygen) eingespeist werden, um das Fragment in eine neue oder vorhandene Richtlinie einzuschließen. Wenn nicht angegeben, wird die Import-Anweisung in die Konsole gedruckt, anstatt in einer Datei gespeichert zu werden.
Generieren Sie eine Importanweisungen für ein Richtlinienfragment.
Bild, das für das generierte Richtlinienfragment verwendet werden soll.
Pfad zu einer JSON-Datei, die die Konfiguration für das generierte Richtlinienfragment enthält.
Pfad zur formatierten PEM-Schlüsseldatei, die zum Signieren des generierten Richtlinienfragments verwendet werden soll. Dies muss mit --chain verwendet werden.
Wird mit "--generate-import" verwendet, um den minimalen SVN für die Import-Anweisung anzugeben.
Namespace, der für das generierte Richtlinienfragment verwendet werden soll.
Drucken Sie das generierte Richtlinienfragment nicht in "stdout".
Speichern Sie die Ausgaberichtlinie in einem bestimmten Dateipfad.
Ausgaberichtlinie im klartextkomprimen JSON anstelle des standardmäßigen ziemlichen Druckformats.
Mindestens zulässige Softwareversionsnummer für das generierte Richtlinienfragment. Dies sollte eine monoton zunehmende ganze Zahl sein.
Pfad zu einem Tarball, der Bildebenen enthält, oder einer JSON-Datei, die Pfade zu Tarballen von Bildebenen enthält.
Wenn diese Option aktiviert ist, wird das generierte Richtlinienfragment in die Registrierung des verwendeten Bilds hochgeladen.
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az confcom acipolicygen
Erstellen Sie eine Sicherheitsrichtlinie für vertrauliche Container für ACI.
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--exclude-default-fragments]
[--faster-hashing]
[--fragments-json]
[--image]
[--include-fragments]
[--infrastructure-svn]
[--input]
[--omit-id]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]
[--virtual-node-yaml]Beispiele
Geben Sie eine ARM-Vorlagendatei ein, um eine base64-codierte Sicherheitsrichtlinie für vertrauliche Container in die ARM-Vorlage einzufügen.
az confcom acipolicygen --template-file "./template.json"Eingeben einer ARM-Vorlagendatei zum Erstellen einer lesbaren Vertraulichen Containersicherheitsrichtlinie
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-printEingeben einer ARM-Vorlagendatei zum Speichern einer Vertraulichen Containersicherheitsrichtlinie in einer Datei als base64-codierter Text
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policyGeben Sie eine ARM-Vorlagendatei ein und verwenden Sie eine Tar-Datei als Imagequelle anstelle des Docker-Daemons.
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"Eingeben einer ARM-Vorlagendatei und Verwenden einer JSON-Fragmentdatei zum Generieren einer Richtlinie
az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragmentsOptionale Parameter
Wenn diese Option aktiviert ist, werden alle Aufforderungen zur Verwendung von Wildcards in Umgebungsvariablen automatisch genehmigt.
Wenn diese Option aktiviert ist, bietet die generierte Sicherheitsrichtlinie die Möglichkeit, den Container mithilfe von "/bin/sh" oder "/bin/bash" zu debuggen. Außerdem wurde der Stdiozugriff aktiviert, die Möglichkeit, Stapelablaufverfolgungen abzubilden und die Laufzeitprotokollierung zu ermöglichen. Es wird empfohlen, diese Option nur für Debuggingzwecke zu verwenden.
In Kombination mit einer Eingabe-ARM-Vorlagendatei (oder YAML-Datei für die Generierung virtueller Knotenrichtlinien) überprüft die Richtlinie, die in der ARM-Vorlage unter "ccePolicy" vorhanden ist, und die Container in der Datei sind kompatibel. Wenn sie nicht kompatibel sind, wird eine Liste der Gründe angegeben, und der Beendigungsstatuscode ist 2.
Wenn diese Option aktiviert ist, haben die Container in der Containergruppe keinen Zugriff auf Stdio.
Wenn diese Option aktiviert ist, sind die Standardfragmente nicht in der generierten Richtlinie enthalten. Dazu gehören Container, die zum Bereitstellen von Azure-Dateien, Zum Bereitstellen von Geheimschlüsseln, zum Bereitstellen von Git-Repositorys und anderen allgemeinen ACI-Features erforderlich sind.
Wenn diese Option aktiviert ist, ist der zum Generieren der Richtlinie verwendete Hashingalgorithmus schneller, aber weniger arbeitsspeichereffizient.
Pfad zur JSON-Datei, die Fragmentinformationen enthält, die zum Generieren einer Richtlinie verwendet werden sollen. Dies erfordert die Aktivierung von "-include-fragments".
Eingabebildname.
Wenn diese Option aktiviert ist, wird der durch "--fragments-json" angegebene Pfad verwendet, um Fragmente aus einer OCI-Registrierung oder lokal abzurufen und in die generierte Richtlinie einzuschließen.
Mindestens zulässige Softwareversionsnummer für Infrastrukturfragment.
Eingabe-JSON-Konfigurationsdatei.
Wenn diese Option aktiviert ist, enthält die generierte Richtlinie nicht das ID-Feld. Dadurch wird verhindert, dass die Richtlinie mit einem bestimmten Bildnamen und -tag verknüpft ist.
Ausgaberichtlinie im klartextkomprimen JSON anstelle des Standardmäßigen Base64-Formats.
Ausgaberichtlinie im Klartext- und ziemlichen Druckformat.
Eingabeparameterdatei zur optionalen Begleitung einer ARM-Vorlage.
Wenn diese Option aktiviert ist, wird die vorhandene Sicherheitsrichtlinie, die in der ARM-Vorlage vorhanden ist, in die Befehlszeile gedruckt, und es wird keine neue Sicherheitsrichtlinie generiert.
Wenn diese Option aktiviert ist, wird die generierte Sicherheitsrichtlinie in die Befehlszeile gedruckt, anstatt sie in die Eingabe-ARM-Vorlage einzufügen.
Speichern Sie die Ausgaberichtlinie in einem bestimmten Dateipfad.
Pfad zu einem Tarball, der Bildebenen enthält, oder einer JSON-Datei, die Pfade zu Tarballen von Bildebenen enthält.
Eingabe-ARM-Vorlagendatei.
Überprüfen Sie, ob das Zum Generieren der CCE-Richtlinie für einen Sidecar-Container verwendete Image von der generierten Richtlinie zugelassen wird.
Eingabe-YAML-Datei für die Generierung virtueller Knotenrichtlinien.
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
az confcom katapolicygen
Erstellen Sie eine Sicherheitsrichtlinie für vertrauliche Container für AKS.
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]Beispiele
Eingeben einer Kubernetes-YAML-Datei zum Einfügen einer base64-codierten Vertraulichen Containersicherheitsrichtlinie in die YAML-Datei
az confcom katapolicygen --yaml "./pod.json"Eingeben einer Kubernetes-YAML-Datei zum Drucken einer base64-codierten vertraulichen Containersicherheitsrichtlinie in Stdout
az confcom katapolicygen --yaml "./pod.json" --print-policyEingeben einer Kubernetes-YAML-Datei und einer benutzerdefinierten Einstellungsdatei zum Einfügen einer base64-codierten Vertraulichen Containersicherheitsrichtlinie in die YAML-Datei
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"Eingeben einer Kubernetes-YAML-Datei und einer externen Konfigurationszuordnungsdatei
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"Eingeben einer Kubernetes-YAML-Datei und einer benutzerdefinierten Regeldatei
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"Eingeben einer Kubernetes-YAML-Datei mit einem benutzerdefinierten Container-Socketpfad
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"Optionale Parameter
Pfad zur Konfigurationszuordnungsdatei.
Verwenden Sie containerd, um das Image abzurufen. Diese Option wird nur unter Linux unterstützt.
Pfad zum containerierten Socket. Diese Option wird nur unter Linux unterstützt.
Ausgaberichtlinie im klartextkomprimen JSON anstelle des Standardmäßigen Base64-Formats.
Drucken Sie die base64-codierte generierte Richtlinie im Terminal.
Drucken Sie die Version der Genpolicy-Tools.
Pfad zur benutzerdefinierten Regeldatei.
Pfad zur benutzerdefinierten Einstellungsdatei.
Verwenden Sie zwischengespeicherte Dateien, um die Berechnungszeit zu speichern.
Eingabe-YAML Kubernetes-Datei.
Globale Parameter
Ausführlichkeit der Protokollierung erhöhen, um alle Debugprotokolle anzuzeigen.
Zeigen Sie diese Hilfemeldung an, und schließen Sie sie.
Nur Fehler anzeigen und Warnungen unterdrücken.
Ausgabeformat.
JMESPath-Abfragezeichenfolge. Weitere Informationen und Beispiele finden Sie unter http://jmespath.org/.
Der Name oder die ID des Abonnements. Sie können das standardmäßig verwendete Abonnement mittels az account set -s NAME_OR_ID konfigurieren.
Ausführlichkeit der Protokollierung erhöhen. „--debug“ für vollständige Debugprotokolle verwenden.
