az confcom
참고 항목
이 참조는 Azure CLI(버전 2.26.2 이상)에 대한 confcom 확장의 일부입니다. az confcom 명령을 처음 실행할 때 확장이 자동으로 설치됩니다. 확장 프로그램에 대해 자세히 알아보세요.
Azure에서 기밀 컨테이너에 대한 보안 정책을 생성하는 명령입니다.
명령
| Name | Description | 형식 | 상태 |
|---|---|---|---|
| az confcom acifragmentgen |
ACI에 대한 기밀 컨테이너 정책 조각을 만듭니다. |
내선 번호 | GA |
| az confcom acipolicygen |
ACI에 대한 기밀 컨테이너 보안 정책을 만듭니다. |
내선 번호 | GA |
| az confcom katapolicygen |
AKS에 대한 기밀 컨테이너 보안 정책을 만듭니다. |
내선 번호 | GA |
az confcom acifragmentgen
ACI에 대한 기밀 컨테이너 정책 조각을 만듭니다.
az confcom acifragmentgen [--algo]
[--chain]
[--debug-mode]
[--disable-stdio]
[--feed]
[--fragment-path]
[--fragments-json]
[--generate-import]
[--image]
[--input]
[--key]
[--minimum-svn]
[--namespace]
[--no-print]
[--output-filename]
[--outraw]
[--svn]
[--tar]
[--upload-fragment]예제
이미지 이름을 입력하여 간단한 조각 생성
az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworld구성 파일을 입력하여 사용자 지정 네임스페이스 및 디버그 모드를 사용하도록 설정된 조각을 생성합니다.
az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-mode서명된 로컬 조각에 대한 import 문 생성
az confcom acifragmentgen --fragment-path "./fragment.json" --generate-import --minimum-svn 1조각을 생성하고 키 및 체인을 사용하여 COSE 서명
az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworld --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-print선택적 매개 변수
생성된 정책 조각에 서명하는 데 사용되는 알고리즘입니다. --key 및 --chain과 함께 사용해야 합니다. 지원되는 알고리즘은 ['PS256', 'PS384', 'PS512', 'ES256', 'ES384', 'ES512', 'EdDSA'입니다.
생성된 정책 조각에 서명하는 데 사용할 .pem 형식의 인증서 체인 파일 경로입니다. --key와 함께 사용해야 합니다.
사용하도록 설정하면 생성된 보안 정책은 /bin/sh 또는 /bin/bash를 사용하여 컨테이너를 디버그하는 기능을 추가합니다. 또한 stdio 액세스를 사용하도록 설정하고 스택 추적을 덤프하는 기능을 사용하며 런타임 로깅을 사용하도록 설정합니다. 디버깅 목적으로만 이 옵션을 사용하는 것이 좋습니다.
사용하도록 설정하면 컨테이너 그룹의 컨테이너에 stdio에 대한 액세스 권한이 없습니다.
생성된 정책 조각에 사용할 피드입니다. 이는 일반적으로 이미지 연결 조각을 사용할 때 이미지 이름과 동일합니다. 조각이 저장될 원격 리포지토리 위치입니다.
--generate-import와 함께 사용할 기존 정책 조각 파일의 경로입니다. 이 옵션을 사용하면 OCI 레지스트리에서 끌어올 필요 없이 지정된 조각에 대한 import 문을 만들 수 있습니다.
--generate-import를 사용할 때 생성된 조각 가져오기 정보를 저장할 JSON 파일의 경로입니다. 이 파일은 나중에 새 정책 또는 기존 정책에 조각을 포함하도록 정책 생성 명령(acipolicygen)에 공급될 수 있습니다. 지정하지 않으면 가져오기 문이 파일에 저장되는 대신 콘솔에 출력됩니다.
정책 조각에 대한 import 문을 생성합니다.
생성된 정책 조각에 사용할 이미지입니다.
생성된 정책 조각에 대한 구성을 포함하는 JSON 파일의 경로입니다.
생성된 정책 조각에 서명하는 데 사용할 .pem 형식의 키 파일 경로입니다. --chain과 함께 사용해야 합니다.
--generate-import와 함께 사용하여 import 문의 최소 SVN을 지정합니다.
생성된 정책 조각에 사용할 네임스페이스입니다.
생성된 정책 조각을 stdout에 인쇄하지 마세요.
출력 정책을 지정된 파일 경로에 저장합니다.
기본 인쇄 형식 대신 텍스트 압축 JSON의 출력 정책입니다.
생성된 정책 조각에 대해 허용되는 최소 소프트웨어 버전 번호입니다. 단조로 증가하는 정수여야 합니다.
이미지 계층이 포함된 tarball 또는 이미지 계층의 tarball에 대한 경로를 포함하는 JSON 파일의 경로입니다.
사용하도록 설정하면 생성된 정책 조각이 사용 중인 이미지의 레지스트리에 업로드됩니다.
전역 매개 변수
로깅의 자세한 정도를 늘려 모든 디버그 로그를 표시합니다.
이 도움말 메시지를 표시하고 종료합니다.
오류만 표시하고, 경고를 표시하지 않습니다.
출력 형식입니다.
JMESPath 쿼리 문자열입니다. 자세한 내용과 예제는 http://jmespath.org/를 참조하세요.
구독의 이름 또는 ID입니다. az account set -s NAME_OR_ID를 사용하여 기본 위치를 구성할 수 있습니다.
로깅의 자세한 정도를 늘립니다. 전체 디버그 로그를 표시하려면 --debug를 사용합니다.
az confcom acipolicygen
ACI에 대한 기밀 컨테이너 보안 정책을 만듭니다.
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--exclude-default-fragments]
[--faster-hashing]
[--fragments-json]
[--image]
[--include-fragments]
[--infrastructure-svn]
[--input]
[--omit-id]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]
[--virtual-node-yaml]예제
ARM 템플릿 파일을 입력하여 ARM 템플릿에 base64로 인코딩된 기밀 컨테이너 보안 정책을 삽입합니다.
az confcom acipolicygen --template-file "./template.json"ARM 템플릿 파일을 입력하여 사람이 읽을 수 있는 기밀 컨테이너 보안 정책 만들기
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-printARM 템플릿 파일을 입력하여 기밀 컨테이너 보안 정책을 base64로 인코딩된 텍스트로 파일에 저장
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policyARM 템플릿 파일을 입력하고 Docker 디먼 대신 tar 파일을 이미지 원본으로 사용합니다.
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"ARM 템플릿 파일을 입력하고 조각 JSON 파일을 사용하여 정책 생성
az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragments선택적 매개 변수
사용하도록 설정하면 환경 변수에서 와일드카드를 사용하기 위한 모든 프롬프트가 자동으로 승인됩니다.
사용하도록 설정하면 생성된 보안 정책은 /bin/sh 또는 /bin/bash를 사용하여 컨테이너를 디버그하는 기능을 추가합니다. 또한 stdio 액세스를 사용하도록 설정하고 스택 추적을 덤프하는 기능을 사용하며 런타임 로깅을 사용하도록 설정합니다. 디버깅 목적으로만 이 옵션을 사용하는 것이 좋습니다.
입력 ARM 템플릿 파일(또는 가상 노드 정책 생성을 위한 YAML 파일)과 결합된 경우 ARM 템플릿의 "ccePolicy" 아래에 있는 정책을 확인하고 파일 내의 컨테이너가 호환되는지 확인합니다. 호환되지 않는 경우 이유 목록이 지정되고 종료 상태 코드는 2가 됩니다.
사용하도록 설정하면 컨테이너 그룹의 컨테이너에 stdio에 대한 액세스 권한이 없습니다.
사용하도록 설정하면 기본 조각이 생성된 정책에 포함되지 않습니다. 여기에는 Azure 파일을 탑재하고, 비밀을 탑재하고, git 리포지토리를 탑재하는 데 필요한 컨테이너 및 기타 일반적인 ACI 기능이 포함됩니다.
사용하도록 설정하면 정책을 생성하는 데 사용되는 해시 알고리즘이 더 빠르지만 메모리 효율이 떨어집니다.
정책 생성에 사용할 조각 정보가 포함된 JSON 파일의 경로입니다. 이렇게 하려면 --include-fragments를 사용하도록 설정해야 합니다.
입력 이미지 이름입니다.
사용하도록 설정하면 --fragments-json으로 지정된 경로가 OCI 레지스트리 또는 로컬에서 조각을 끌어와 생성된 정책에 포함하는 데 사용됩니다.
인프라 조각에 허용되는 최소 소프트웨어 버전 번호입니다.
입력 JSON 구성 파일입니다.
사용하도록 설정하면 생성된 정책에 ID 필드가 포함되지 않습니다. 이렇게 하면 정책이 특정 이미지 이름 및 태그에 연결되지 않습니다.
기본 base64 형식 대신 텍스트 압축 JSON의 출력 정책입니다.
명확한 텍스트 및 예쁜 인쇄 형식의 출력 정책입니다.
선택적으로 ARM 템플릿과 함께 사용할 입력 매개 변수 파일입니다.
사용하도록 설정하면 ARM 템플릿에 있는 기존 보안 정책이 명령줄에 인쇄되고 새 보안 정책이 생성되지 않습니다.
사용하도록 설정하면 생성된 보안 정책이 입력 ARM 템플릿에 삽입되는 대신 명령줄에 출력됩니다.
출력 정책을 지정된 파일 경로에 저장합니다.
이미지 계층이 포함된 tarball 또는 이미지 계층의 tarball에 대한 경로를 포함하는 JSON 파일의 경로입니다.
입력 ARM 템플릿 파일입니다.
사이드카 컨테이너에 대한 CCE 정책을 생성하는 데 사용되는 이미지가 생성된 정책에서 허용되는지 확인합니다.
가상 노드 정책 생성을 위한 입력 YAML 파일입니다.
전역 매개 변수
로깅의 자세한 정도를 늘려 모든 디버그 로그를 표시합니다.
이 도움말 메시지를 표시하고 종료합니다.
오류만 표시하고, 경고를 표시하지 않습니다.
출력 형식입니다.
JMESPath 쿼리 문자열입니다. 자세한 내용과 예제는 http://jmespath.org/를 참조하세요.
구독의 이름 또는 ID입니다. az account set -s NAME_OR_ID를 사용하여 기본 위치를 구성할 수 있습니다.
로깅의 자세한 정도를 늘립니다. 전체 디버그 로그를 표시하려면 --debug를 사용합니다.
az confcom katapolicygen
AKS에 대한 기밀 컨테이너 보안 정책을 만듭니다.
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]예제
Kubernetes YAML 파일을 입력하여 BASE64로 인코딩된 기밀 컨테이너 보안 정책을 YAML 파일에 삽입합니다.
az confcom katapolicygen --yaml "./pod.json"Kubernetes YAML 파일을 입력하여 base64로 인코딩된 기밀 컨테이너 보안 정책을 stdout에 인쇄합니다.
az confcom katapolicygen --yaml "./pod.json" --print-policyKubernetes YAML 파일 및 사용자 지정 설정 파일을 입력하여 BASE64로 인코딩된 기밀 컨테이너 보안 정책을 YAML 파일에 삽입합니다.
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"Kubernetes YAML 파일 및 외부 구성 맵 파일 입력
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"Kubernetes YAML 파일 및 사용자 지정 규칙 파일 입력
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"사용자 지정 컨테이너 소켓 경로를 사용하여 Kubernetes YAML 파일 입력
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"선택적 매개 변수
구성 맵 파일의 경로입니다.
컨테이너를 사용하여 이미지를 끌어오세요. 이 옵션은 Linux에서만 지원됩니다.
컨테이너된 소켓의 경로입니다. 이 옵션은 Linux에서만 지원됩니다.
기본 base64 형식 대신 텍스트 압축 JSON의 출력 정책입니다.
터미널에서 base64로 인코딩된 생성된 정책을 인쇄합니다.
Genpolicy 도구 버전을 인쇄합니다.
사용자 지정 규칙 파일의 경로입니다.
사용자 지정 설정 파일의 경로입니다.
캐시된 파일을 사용하여 계산 시간을 절약합니다.
입력 YAML Kubernetes 파일입니다.
전역 매개 변수
로깅의 자세한 정도를 늘려 모든 디버그 로그를 표시합니다.
이 도움말 메시지를 표시하고 종료합니다.
오류만 표시하고, 경고를 표시하지 않습니다.
출력 형식입니다.
JMESPath 쿼리 문자열입니다. 자세한 내용과 예제는 http://jmespath.org/를 참조하세요.
구독의 이름 또는 ID입니다. az account set -s NAME_OR_ID를 사용하여 기본 위치를 구성할 수 있습니다.
로깅의 자세한 정도를 늘립니다. 전체 디버그 로그를 표시하려면 --debug를 사용합니다.
Azure CLI