az confcom
Notitie
Deze verwijzing maakt deel uit van de confcom-extensie voor de Azure CLI (versie 2.26.2 of hoger). De extensie installeert automatisch de eerste keer dat u een az confcom-opdracht uitvoert. Meer informatie over extensies.
Opdrachten voor het genereren van beveiligingsbeleid voor vertrouwelijke containers in Azure.
Opdracht
| Name | Description | Type | Status |
|---|---|---|---|
| az confcom acipolicygen |
Maak een vertrouwelijk containerbeveiligingsbeleid voor ACI. |
Toestel | GA |
| az confcom katapolicygen |
Maak een vertrouwelijk containerbeveiligingsbeleid voor AKS. |
Toestel | GA |
az confcom acipolicygen
Maak een vertrouwelijk containerbeveiligingsbeleid voor ACI.
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--faster-hashing]
[--image]
[--infrastructure-svn]
[--input]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]Voorbeelden
Voer een ARM-sjabloonbestand in om een met Base64 gecodeerd vertrouwelijk containerbeveiligingsbeleid in de ARM-sjabloon in te voeren
az confcom acipolicygen --template-file "./template.json"Een ARM-sjabloonbestand invoeren om een door mensen leesbaar beveiligingsbeleid voor vertrouwelijke containers te maken
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-printVoer een ARM-sjabloonbestand in om een vertrouwelijk containerbeveiligingsbeleid op te slaan in een bestand als met base64 gecodeerde tekst
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policyVoer een ARM-sjabloonbestand in en gebruik een tar-bestand als de bron van de installatiekopieƫn in plaats van de Docker-daemon
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"Optionele parameters
Wanneer deze optie is ingeschakeld, worden alle prompts voor het gebruik van jokertekens in omgevingsvariabelen automatisch goedgekeurd.
Wanneer dit is ingeschakeld, voegt het gegenereerde beveiligingsbeleid de mogelijkheid toe om /bin/sh of /bin/bash te gebruiken om fouten in de container op te sporen. Het heeft ook stdio-toegang ingeschakeld, de mogelijkheid om stacktraceringen te dumpen en runtimelogboekregistratie mogelijk te maken. Het wordt aanbevolen deze optie alleen te gebruiken voor foutopsporingsdoeleinden.
In combinatie met een INVOER-ARM-sjabloon controleert u het beleid dat aanwezig is in de ARM-sjabloon onder CCEPolicy en zijn de containers in de ARM-sjabloon compatibel. Als ze niet compatibel zijn, wordt een lijst met redenen gegeven en is de afsluitstatuscode 2.
Wanneer deze optie is ingeschakeld, hebben de containers in de containergroep geen toegang tot stdio.
Wanneer dit is ingeschakeld, is het hash-algoritme dat wordt gebruikt om het beleid te genereren sneller, maar minder geheugenefficiƫnt.
Naam van invoerafbeelding.
Minimaal toegestaan softwareversienummer voor infrastructuurfragment.
JSON-configuratiebestand invoeren.
Uitvoerbeleid in compacte JSON voor duidelijke tekst in plaats van standaard base64-indeling.
Uitvoerbeleid in duidelijke tekst en vrij afdrukformaat.
Invoerparametersbestand voor optioneel bij een ARM-sjabloon.
Wanneer dit is ingeschakeld, wordt het bestaande beveiligingsbeleid dat aanwezig is in de ARM-sjabloon afgedrukt op de opdrachtregel en wordt er geen nieuw beveiligingsbeleid gegenereerd.
Wanneer dit is ingeschakeld, wordt het gegenereerde beveiligingsbeleid afgedrukt op de opdrachtregel in plaats van opgenomen in de ARM-invoersjabloon.
Sla uitvoerbeleid op in het opgegeven bestandspad.
Pad naar een tarball met afbeeldingslagen of een JSON-bestand met paden naar tarballen van afbeeldingslagen.
Arm-sjabloonbestand invoeren.
Controleer of de installatiekopieƫn die worden gebruikt voor het genereren van het CCE-beleid voor een sidecar-container, worden toegestaan door het gegenereerde beleid.
Globale parameters
Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.
Dit Help-bericht weergeven en afsluiten.
Alleen fouten weergeven, waarschuwingen onderdrukken.
Uitvoerindeling.
JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.
Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.
Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.
az confcom katapolicygen
Maak een vertrouwelijk containerbeveiligingsbeleid voor AKS.
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]Voorbeelden
Voer een Kubernetes YAML-bestand in om een met Base64 gecodeerd vertrouwelijk containerbeveiligingsbeleid in het YAML-bestand te injecteren
az confcom katapolicygen --yaml "./pod.json"Voer een Kubernetes YAML-bestand in om een met Base64 gecodeerd vertrouwelijk containerbeveiligingsbeleid af te drukken op stdout
az confcom katapolicygen --yaml "./pod.json" --print-policyVoer een Kubernetes YAML-bestand en aangepaste instellingenbestand in om een met Base64 gecodeerd vertrouwelijk containerbeveiligingsbeleid in het YAML-bestand in te voeren
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"Een Kubernetes YAML-bestand en een extern configuratietoewijzingsbestand invoeren
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"Een Kubernetes YAML-bestand en aangepaste regelsbestand invoeren
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"Een Kubernetes YAML-bestand invoeren met een aangepast socketpad in een container
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"Optionele parameters
Pad naar configuratietoewijzingsbestand.
Gebruik containerd om de installatiekopie op te halen. Deze optie wordt alleen ondersteund in Linux.
Pad naar de container-socket. Deze optie wordt alleen ondersteund in Linux.
Uitvoerbeleid in compacte JSON voor duidelijke tekst in plaats van standaard base64-indeling.
Druk het met Base64 gecodeerde gegenereerde beleid af in de terminal.
Druk de versie van genpolicy-hulpprogramma's af.
Pad naar bestand met aangepaste regels.
Pad naar bestand met aangepaste instellingen.
Gebruik bestanden in de cache om de rekentijd te besparen.
YAML Kubernetes-bestand invoeren.
Globale parameters
Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.
Dit Help-bericht weergeven en afsluiten.
Alleen fouten weergeven, waarschuwingen onderdrukken.
Uitvoerindeling.
JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.
Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.
Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.
