共用方式為


az confcom

注意

此參考是 Azure CLI 的 confcom 擴充功能的一部分(2.26.2 版或更高版本)。 擴充功能會在您第一次執行 az confcom 命令時自動安裝。 深入了解擴充功能。

在 Azure 中產生機密容器安全策略的命令。

命令

名稱 Description 類型 狀態
az confcom acipolicygen

建立 ACI 的機密容器安全策略。

副檔名 GA
az confcom katapolicygen

建立 AKS 的機密容器安全策略。

副檔名 GA

az confcom acipolicygen

建立 ACI 的機密容器安全策略。

az confcom acipolicygen [--approve-wildcards]
                        [--debug-mode]
                        [--diff]
                        [--disable-stdio]
                        [--faster-hashing]
                        [--image]
                        [--infrastructure-svn]
                        [--input]
                        [--outraw]
                        [--outraw-pretty-print]
                        [--parameters]
                        [--print-existing-policy]
                        [--print-policy]
                        [--save-to-file]
                        [--tar]
                        [--template-file]
                        [--validate-sidecar]

範例

輸入 ARM 範本檔案,以將base64編碼的機密容器安全策略插入ARM範本

az confcom acipolicygen --template-file "./template.json"

輸入 ARM 範本檔案,以建立人類可讀取的機密容器安全策略

az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print

輸入 ARM 範本檔案,將機密容器安全策略儲存至檔案作為base64編碼文字

az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policy

輸入 ARM 範本檔案,並使用 tar 檔案作為映像來源,而不是 Docker 精靈

az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"

選擇性參數

--approve-wildcards -y

啟用時,會自動核准在環境變數中使用通配符的所有提示。

預設值: False
--debug-mode

啟用時,產生的安全策略會新增使用 /bin/sh 或 /bin/bash 偵錯容器的能力。 它也啟用 stdio 存取、傾印堆疊追蹤的能力,以及啟用運行時間記錄。 建議只使用此選項進行偵錯。

預設值: False
--diff -d

與輸入 ARM 範本結合時,確認 ARM 範本中存在 「ccePolicy」 下的原則,且 ARM 範本內的容器相容。 如果兩者不相容,則會提供原因清單,而結束狀態代碼會是 2。

預設值: False
--disable-stdio

啟用時,容器群組中的容器無法存取 stdio。

預設值: False
--faster-hashing

啟用時,用來產生原則的哈希演算法更快,但記憶體效率較低。

預設值: False
--image

輸入影像名稱。

--infrastructure-svn

基礎結構片段的最低允許軟體版本號碼。

--input -i

輸入 JSON 組態檔。

--outraw

純文本壓縮 JSON 的輸出原則,而不是預設 base64 格式。

預設值: False
--outraw-pretty-print

純文本和漂亮的列印格式輸出原則。

預設值: False
--parameters -p

輸入參數檔案,以選擇性地隨附 ARM 範本。

--print-existing-policy

啟用時,ARM 範本中現有的安全策略會列印到命令行,而且不會產生任何新的安全策略。

預設值: False
--print-policy

啟用時,產生的安全策略會列印至命令行,而不是插入輸入ARM範本。

預設值: False
--save-to-file -s

將輸出原則儲存至指定的檔案路徑。

--tar

包含影像圖層的 tarball 路徑,或 JSON 檔案,其中包含影像層 tarball 的路徑。

--template-file -a

輸入 ARM 範本檔案。

--validate-sidecar -v

驗證用來產生側車容器 CCE 原則的映像,將由其產生的原則所允許。

預設值: False
全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 az account set -s NAME_OR_ID 設定預設訂用帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。

az confcom katapolicygen

建立 AKS 的機密容器安全策略。

az confcom katapolicygen [--config-map-file]
                         [--containerd-pull]
                         [--containerd-socket-path]
                         [--outraw]
                         [--print-policy]
                         [--print-version]
                         [--rules-file-name]
                         [--settings-file-name]
                         [--use-cached-files]
                         [--yaml]

範例

輸入 Kubernetes YAML 檔案,以將base64編碼的機密容器安全策略插入YAML檔案

az confcom katapolicygen --yaml "./pod.json"

輸入 Kubernetes YAML 檔案,將base64編碼的機密容器安全策略列印至 stdout

az confcom katapolicygen --yaml "./pod.json" --print-policy

輸入 Kubernetes YAML 檔案和自訂配置檔,以將base64編碼的機密容器安全策略插入YAML檔案

az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"

輸入 Kubernetes YAML 檔案和外部組態對應檔案

az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"

輸入 Kubernetes YAML 檔案和自定義規則檔案

az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"

使用自定義容器套接字路徑輸入 Kubernetes YAML 檔案

az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"

選擇性參數

--config-map-file -c

組態對應檔案的路徑。

--containerd-pull -d

使用容器來提取映像。 只有在Linux上才支援此選項。

預設值: False
--containerd-socket-path

容器套接字的路徑。 只有在Linux上才支援此選項。

--outraw

純文本壓縮 JSON 的輸出原則,而不是預設 base64 格式。

預設值: False
--print-policy

在終端機中列印base64編碼產生的原則。

預設值: False
--print-version -v

列印 Genpolicy 工具的版本。

預設值: False
--rules-file-name -p

自訂規則檔案的路徑。

--settings-file-name -j

自訂配置檔的路徑。

--use-cached-files -u

使用快取的檔案節省計算時間。

預設值: False
--yaml -y

輸入 YAML Kubernetes 檔案。

全域參數
--debug

增加記錄詳細資訊,以顯示所有偵錯記錄。

--help -h

顯示此說明訊息並結束。

--only-show-errors

只顯示錯誤,隱藏警告。

--output -o

輸出格式。

接受的值: json, jsonc, none, table, tsv, yaml, yamlc
預設值: json
--query

JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/

--subscription

訂用帳戶的名稱或識別碼。 您可以使用 az account set -s NAME_OR_ID 設定預設訂用帳戶。

--verbose

增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。