Udostępnij za pośrednictwem

az confcom

  • Odwołanie

Uwaga

Ta dokumentacja jest częścią rozszerzenia confcom dla interfejsu wiersza polecenia platformy Azure (wersja 2.26.2 lub nowsza). Rozszerzenie zostanie automatycznie zainstalowane przy pierwszym uruchomieniu polecenia az confcom . Dowiedz się więcej o rozszerzeniach.

Polecenia służące do generowania zasad zabezpieczeń dla kontenerów poufnych na platformie Azure.

Polecenia

Nazwa Opis Typ Stan
az confcom acifragmentgen

Utwórz poufny fragment zasad kontenera dla usługi ACI.

 Numer wewnętrzny Ogólna dostępność
az confcom acipolicygen

Utwórz poufne zasady zabezpieczeń kontenera dla usługi ACI.

 Numer wewnętrzny Ogólna dostępność
az confcom katapolicygen

Utwórz poufne zasady zabezpieczeń kontenera dla usługi AKS.

 Numer wewnętrzny Ogólna dostępność

az confcom acifragmentgen

Utwórz poufny fragment zasad kontenera dla usługi ACI.

az confcom acifragmentgen [--algo]
                          [--chain]
                          [--debug-mode]
                          [--disable-stdio]
                          [--feed]
                          [--fragment-path]
                          [--fragments-json]
                          [--generate-import]
                          [--image]
                          [--image-target]
                          [--input]
                          [--key]
                          [--minimum-svn]
                          [--namespace]
                          [--no-print]
                          [--omit-id]
                          [--output-filename]
                          [--outraw]
                          [--svn]
                          [--tar]
                          [--upload-fragment]

Przykłady

Wprowadzanie nazwy obrazu w celu wygenerowania prostego fragmentu

az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworld

Wprowadzanie pliku konfiguracji w celu wygenerowania fragmentu z niestandardową przestrzenią nazw i włączonym trybem debugowania

az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-mode

Generowanie instrukcji importu dla podpisanego fragmentu lokalnego

az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1

Generowanie fragmentu i znak COSE za pomocą klucza i łańcucha

az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-print

Generowanie importu fragmentu na podstawie nazwy obrazu

az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1

Dołączanie fragmentu do określonego obrazu

az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>

Parametry opcjonalne

--algo

Algorytm używany do podpisywania wygenerowanego fragmentu zasad. Musi być używany z --key i --chain. Obsługiwane algorytmy to ["PS256", "PS384", "PS512", "ES256", "ES384", "ES512", "EdDSA".

Domyślna wartość: ES384
--chain

Ścieżka do pliku łańcucha certyfikatów sformatowanego pem do użycia do podpisywania wygenerowanego fragmentu zasad. Musi być używany z --key.

--debug-mode

Po włączeniu wygenerowane zasady zabezpieczeń dodają możliwość używania /bin/sh lub /bin/bash do debugowania kontenera. Włączono również dostęp stdio, możliwość zrzutu śladów stosu i umożliwia rejestrowanie środowiska uruchomieniowego. Zaleca się używanie tej opcji tylko do celów debugowania.

Domyślna wartość: False
--disable-stdio

Po włączeniu kontenery w grupie kontenerów nie mają dostępu do narzędzia stdio.

Domyślna wartość: False
--feed -f

Źródło danych do użycia dla wygenerowanego fragmentu zasad. Jest to zwykle takie samo jak nazwa obrazu podczas używania fragmentów dołączonych do obrazu. Jest to lokalizacja w repozytorium zdalnym, w którym będzie przechowywany fragment.

--fragment-path -p

Ścieżka do istniejącego pliku fragmentu zasad, który ma być używany z parametrem --generate-import. Ta opcja umożliwia tworzenie instrukcji importu dla określonego fragmentu bez konieczności ściągania go z rejestru OCI.

--fragments-json -j

Ścieżka do pliku JSON, który będzie przechowywać informacje importowania fragmentu wygenerowane podczas korzystania z polecenia --generate-import. Ten plik można później wprowadzić do polecenia generowania zasad (acipolicygen), aby uwzględnić fragment w nowych lub istniejących zasadach. Jeśli nie zostanie określona, instrukcja import zostanie wydrukowana w konsoli zamiast zapisywać w pliku.

--generate-import -g

Generowanie instrukcji importu dla fragmentu zasad.

Domyślna wartość: False
--image

Obraz do użycia dla wygenerowanego fragmentu zasad.

--image-target

Obiekt docelowy obrazu, w którym jest dołączony wygenerowany fragment zasad.

--input -i

Ścieżka do pliku JSON zawierającego konfigurację wygenerowanego fragmentu zasad.

--key -k

Ścieżka do pliku klucza sformatowanego pem do użycia do podpisywania wygenerowanego fragmentu zasad. Musi być używany z --chain.

--minimum-svn

Używany z --generate-import, aby określić minimalną nazwę SVN dla instrukcji import.

--namespace -n

Przestrzeń nazw do użycia dla wygenerowanego fragmentu zasad.

--no-print

Nie drukuj wygenerowanego fragmentu zasad do stdout.

Domyślna wartość: False
--omit-id

Po włączeniu wygenerowane zasady nie będą zawierać pola identyfikatora. Dzięki temu zasady nie będą powiązane z określoną nazwą obrazu i tagiem. Jest to przydatne, jeśli używany obraz będzie obecny w wielu rejestrach i używany zamiennie.

Domyślna wartość: False
--output-filename

Zapisz zasady danych wyjściowych dla danej ścieżki pliku.

--outraw

Zasady danych wyjściowych w formacie JSON kompaktowym w postaci zwykłego tekstu zamiast domyślnego formatu drukowania.

Domyślna wartość: False
--svn

Minimalny dozwolony numer wersji oprogramowania dla wygenerowanego fragmentu zasad. Powinna to być monotonicznie rosnąca liczba całkowita.

--tar

Ścieżka do tarballa zawierającego warstwy obrazu lub plik JSON zawierający ścieżki do warstw obrazu.

--upload-fragment -u

Po włączeniu wygenerowany fragment zasad zostanie przekazany do rejestru używanego obrazu.

Domyślna wartość: False
Parametry globalne
--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

Dopuszczalne wartości: json, jsonc, none, table, tsv, yaml, yamlc
Domyślna wartość: json
--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.

--subscription

Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.

az confcom acipolicygen

Utwórz poufne zasady zabezpieczeń kontenera dla usługi ACI.

az confcom acipolicygen [--approve-wildcards]
                        [--debug-mode]
                        [--diff]
                        [--disable-stdio]
                        [--exclude-default-fragments]
                        [--faster-hashing]
                        [--fragments-json]
                        [--image]
                        [--include-fragments]
                        [--infrastructure-svn]
                        [--input]
                        [--omit-id]
                        [--outraw]
                        [--outraw-pretty-print]
                        [--parameters]
                        [--print-existing-policy]
                        [--print-policy]
                        [--save-to-file]
                        [--tar]
                        [--template-file]
                        [--validate-sidecar]
                        [--virtual-node-yaml]

Przykłady

Wprowadzanie pliku szablonu usługi ARM w celu wstrzyknięcia zakodowanych w formacie base64 poufnych zasad zabezpieczeń kontenera do szablonu usługi ARM

az confcom acipolicygen --template-file "./template.json"

Wprowadzanie pliku szablonu usługi ARM w celu utworzenia czytelnych dla człowieka poufnych zasad zabezpieczeń kontenera

az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print

Wprowadzanie pliku szablonu usługi ARM w celu zapisania poufnych zasad zabezpieczeń kontenera w pliku jako tekstu zakodowanego w formacie base64

az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policy

Wprowadzanie pliku szablonu usługi ARM i używanie pliku tar jako źródła obrazu zamiast demona platformy Docker

az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"

Wprowadzanie pliku szablonu usługi ARM i używanie pliku JSON fragmentów do generowania zasad

az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragments

Parametry opcjonalne

--approve-wildcards -y

Po włączeniu wszystkie monity dotyczące używania symboli wieloznacznych w zmiennych środowiskowych są automatycznie zatwierdzane.

Domyślna wartość: False
--debug-mode

Po włączeniu wygenerowane zasady zabezpieczeń dodają możliwość używania /bin/sh lub /bin/bash do debugowania kontenera. Włączono również dostęp stdio, możliwość zrzutu śladów stosu i umożliwia rejestrowanie środowiska uruchomieniowego. Zaleca się używanie tej opcji tylko do celów debugowania.

Domyślna wartość: False
--diff -d

W połączeniu z wejściowym plikiem szablonu usługi ARM (lub plikiem YAML dla generowania zasad węzła wirtualnego) sprawdza, czy zasady znajdują się w szablonie usługi ARM w obszarze "ccePolicy", a kontenery w pliku są zgodne. Jeśli są one niezgodne, zostanie podana lista przyczyn, a kod stanu zakończenia będzie wynosić 2.

Domyślna wartość: False
--disable-stdio

Po włączeniu kontenery w grupie kontenerów nie mają dostępu do narzędzia stdio.

Domyślna wartość: False
--exclude-default-fragments -e

Po włączeniu domyślne fragmenty nie są uwzględniane w wygenerowanych zasadach. Obejmuje to kontenery potrzebne do zainstalowania plików platformy Azure, zainstalowania wpisów tajnych, zainstalowania repozytoriów git i innych typowych funkcji usługi ACI.

Domyślna wartość: False
--faster-hashing

Po włączeniu algorytm tworzenia skrótów używany do generowania zasad jest szybszy, ale mniej wydajny w pamięci.

Domyślna wartość: False
--fragments-json -j

Ścieżka do pliku JSON zawierającego informacje o fragmentach do użycia do generowania zasad. Wymaga to włączenia fragmentów --include-.

--image

Nazwa obrazu wejściowego.

--include-fragments -f

Po włączeniu tej opcji ścieżka określona przez plik --fragments-json będzie używana do ściągania fragmentów z rejestru OCI lub lokalnie i dołączania ich do wygenerowanych zasad.

Domyślna wartość: False
--infrastructure-svn

Minimalny dozwolony numer wersji oprogramowania dla fragmentu infrastruktury.

--input -i

Wejściowy plik konfiguracji JSON.

--omit-id

Po włączeniu wygenerowane zasady nie będą zawierać pola identyfikatora. Dzięki temu zasady nie będą powiązane z określoną nazwą obrazu i tagiem. Jest to przydatne, jeśli używany obraz będzie obecny w wielu rejestrach i używany zamiennie.

Domyślna wartość: False
--outraw

Zasady danych wyjściowych w formacie kompaktowym JSON zwykłego tekstu zamiast domyślnego formatu base64.

Domyślna wartość: False
--outraw-pretty-print

Zasady danych wyjściowych w formacie zwykłego tekstu i dość wydruku.

Domyślna wartość: False
--parameters -p

Plik parametrów wejściowych, który opcjonalnie towarzyszy szablonowi usługi ARM.

--print-existing-policy

Po włączeniu istniejące zasady zabezpieczeń obecne w szablonie usługi ARM są drukowane w wierszu polecenia i nie są generowane żadne nowe zasady zabezpieczeń.

Domyślna wartość: False
--print-policy

Po włączeniu wygenerowane zasady zabezpieczeń są drukowane w wierszu polecenia zamiast wstrzykiwać do wejściowego szablonu usługi ARM.

Domyślna wartość: False
--save-to-file -s

Zapisz zasady danych wyjściowych dla danej ścieżki pliku.

--tar

Ścieżka do tarballa zawierającego warstwy obrazu lub plik JSON zawierający ścieżki do warstw obrazu.

--template-file -a

Wejściowy plik szablonu usługi ARM.

--validate-sidecar -v

Sprawdź, czy obraz użyty do wygenerowania zasad CCE dla kontenera przyczepki będzie dozwolony przez wygenerowane zasady.

Domyślna wartość: False
--virtual-node-yaml

Wejściowy plik YAML na potrzeby generowania zasad węzła wirtualnego.

Parametry globalne
--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

Dopuszczalne wartości: json, jsonc, none, table, tsv, yaml, yamlc
Domyślna wartość: json
--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.

--subscription

Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.

az confcom katapolicygen

Utwórz poufne zasady zabezpieczeń kontenera dla usługi AKS.

az confcom katapolicygen [--config-map-file]
                         [--containerd-pull]
                         [--containerd-socket-path]
                         [--outraw]
                         [--print-policy]
                         [--print-version]
                         [--rules-file-name]
                         [--settings-file-name]
                         [--use-cached-files]
                         [--yaml]

Przykłady

Wprowadzanie pliku YAML kubernetes w celu wstrzyknięcia zakodowanych w formacie base64 poufnych zasad zabezpieczeń kontenera do pliku YAML

az confcom katapolicygen --yaml "./pod.json"

Wprowadzanie pliku YAML kubernetes w celu wydrukowania zakodowanych w formacie base64 poufnych zasad zabezpieczeń kontenera do elementu stdout

az confcom katapolicygen --yaml "./pod.json" --print-policy

Wprowadzanie pliku YAML kubernetes i pliku ustawień niestandardowych w celu wstrzyknięcia zakodowanych w formacie base64 poufnych zasad zabezpieczeń kontenera do pliku YAML

az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"

Wprowadzanie pliku YAML kubernetes i zewnętrznego pliku mapy konfiguracji

az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"

Wprowadzanie pliku YAML kubernetes i pliku reguł niestandardowych

az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"

Wprowadzanie pliku YAML kubernetes z niestandardową ścieżką gniazda kontenera

az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"

Parametry opcjonalne

--config-map-file -c

Ścieżka do pliku mapy konfiguracji.

--containerd-pull -d

Użyj kontenera, aby ściągnąć obraz. Ta opcja jest obsługiwana tylko w systemie Linux.

Domyślna wartość: False
--containerd-socket-path

Ścieżka do gniazda kontenera. Ta opcja jest obsługiwana tylko w systemie Linux.

--outraw

Zasady danych wyjściowych w formacie kompaktowym JSON zwykłego tekstu zamiast domyślnego formatu base64.

Domyślna wartość: False
--print-policy

Wydrukuj wygenerowane zasady zakodowane w formacie base64 w terminalu.

Domyślna wartość: False
--print-version -v

Wyświetl wersję narzędzi genpolicy.

Domyślna wartość: False
--rules-file-name -p

Ścieżka do pliku reguł niestandardowych.

--settings-file-name -j

Ścieżka do pliku ustawień niestandardowych.

--use-cached-files -u

Użyj buforowanych plików, aby zaoszczędzić czas obliczeń.

Domyślna wartość: False
--yaml -y

Wejściowy plik Kubernetes YAML.

Parametry globalne
--debug

Zwiększ szczegółowość rejestrowania, aby wyświetlić wszystkie dzienniki debugowania.

--help -h

Pokaż ten komunikat pomocy i zakończ pracę.

--only-show-errors

Pokaż tylko błędy, pomijając ostrzeżenia.

--output -o

Format danych wyjściowych.

Dopuszczalne wartości: json, jsonc, none, table, tsv, yaml, yamlc
Domyślna wartość: json
--query

Ciąg zapytania JMESPath. Zobacz http://jmespath.org/ , aby uzyskać więcej informacji i przykładów.

--subscription

Nazwa lub identyfikator subskrypcji. Subskrypcję domyślną można skonfigurować przy użyciu polecenia az account set -s NAME_OR_ID.

--verbose

Zwiększ szczegółowość rejestrowania. Użyj --debuguj, aby uzyskać pełne dzienniki debugowania.