az confcom
注意
此參考是 Azure CLI 的 confcom 擴充功能的一部分(2.26.2 版或更高版本)。 擴充功能會在您第一次執行 az confcom 命令時自動安裝。 深入了解擴充功能。
在 Azure 中產生機密容器安全策略的命令。
命令
| 名稱 | Description | 類型 | 狀態 |
|---|---|---|---|
| az confcom acifragmentgen |
建立 ACI 的機密容器原則片段。 |
副檔名 | GA |
| az confcom acipolicygen |
建立 ACI 的機密容器安全策略。 |
副檔名 | GA |
| az confcom katapolicygen |
建立 AKS 的機密容器安全策略。 |
副檔名 | GA |
az confcom acifragmentgen
建立 ACI 的機密容器原則片段。
az confcom acifragmentgen [--algo]
[--chain]
[--debug-mode]
[--disable-stdio]
[--feed]
[--fragment-path]
[--fragments-json]
[--generate-import]
[--image]
[--image-target]
[--input]
[--key]
[--minimum-svn]
[--namespace]
[--no-print]
[--omit-id]
[--output-filename]
[--outraw]
[--svn]
[--tar]
[--upload-fragment]範例
輸入影像名稱以產生簡單的片段
az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworld輸入組態檔以產生已啟用自定義命名空間和偵錯模式的片段
az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-mode產生已簽署本機片段的匯入語句
az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1產生片段,並使用金鑰和鏈結簽署它
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-print從映像名稱產生片段匯入
az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1將片段附加至指定的影像
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>選擇性參數
用於簽署所產生原則片段的演算法。 這必須與 --key 和 --chain 搭配使用。 支持的演算法包括 ['PS256'、'PS384'、'PS512'、'ES256'、'ES384'、'ES512'、'EdDSA']。
要用來簽署所產生原則片段的 .pem 格式化憑證鏈結檔案路徑。 這必須與 --key 搭配使用。
啟用時,產生的安全策略會新增使用 /bin/sh 或 /bin/bash 偵錯容器的能力。 它也啟用 stdio 存取、傾印堆疊追蹤的能力,以及啟用運行時間記錄。 建議只使用此選項進行偵錯。
啟用時,容器群組中的容器無法存取 stdio。
要用於所產生原則片段的摘要。 使用影像附加片段時,這通常與映像名稱相同。 這是將儲存片段的遠端存放庫中的位置。
要與 --generate-import 搭配使用之現有原則片段檔案的路徑。 此選項可讓您為指定的片段建立匯入語句,而不需要從 OCI 登錄提取它。
JSON 檔案的路徑,該檔案會儲存使用 --generate-import 時產生的片段匯入資訊。 此檔案稍後可饋送至原則產生命令 (acipolicygen),以將片段包含在新的或現有的原則中。 如果未指定,匯入語句將會列印到主控台,而不是儲存至檔案。
產生原則片段的匯入語句。
要用於所產生原則片段的影像。
附加所產生原則片段的影像目標。
JSON 檔案的路徑,其中包含所產生原則片段的組態。
用來簽署所產生原則片段的 .pem 格式化密鑰檔案路徑。 這必須與 --chain 搭配使用。
與 --generate-import 搭配使用,以指定 import 語句的最小 SVN。
要用於所產生原則片段的命名空間。
請勿將產生的原則片段列印至 stdout。
啟用時,產生的原則將不會包含 [標識符] 欄位。 這會讓原則無法系結至特定的映像名稱和標籤。 如果使用的映像將會存在於多個登錄中,並交替使用,這會很有説明。
將輸出原則儲存至指定的檔案路徑。
純文本壓縮 JSON 的輸出原則,而不是預設漂亮的列印格式。
所產生原則片段的最小允許軟體版本號碼。 這應該是單調遞增整數。
包含影像圖層的 tarball 路徑,或 JSON 檔案,其中包含影像層 tarball 的路徑。
啟用時,產生的原則片段將會上傳至所使用映像的登錄。
全域參數
增加記錄詳細資訊,以顯示所有偵錯記錄。
顯示此說明訊息並結束。
只顯示錯誤,隱藏警告。
輸出格式。
JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/。
訂用帳戶的名稱或識別碼。 您可以使用 az account set -s NAME_OR_ID 設定預設訂用帳戶。
增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。
az confcom acipolicygen
建立 ACI 的機密容器安全策略。
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--exclude-default-fragments]
[--faster-hashing]
[--fragments-json]
[--image]
[--include-fragments]
[--infrastructure-svn]
[--input]
[--omit-id]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]
[--virtual-node-yaml]範例
輸入 ARM 範本檔案,以將base64編碼的機密容器安全策略插入ARM範本
az confcom acipolicygen --template-file "./template.json"輸入 ARM 範本檔案,以建立人類可讀取的機密容器安全策略
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print輸入 ARM 範本檔案,將機密容器安全策略儲存至檔案作為base64編碼文字
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policy輸入 ARM 範本檔案,並使用 tar 檔案作為映像來源,而不是 Docker 精靈
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"輸入 ARM 範本檔案,並使用片段 JSON 檔案來產生原則
az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragments選擇性參數
啟用時,會自動核准在環境變數中使用通配符的所有提示。
啟用時,產生的安全策略會新增使用 /bin/sh 或 /bin/bash 偵錯容器的能力。 它也啟用 stdio 存取、傾印堆疊追蹤的能力,以及啟用運行時間記錄。 建議只使用此選項進行偵錯。
結合輸入 ARM 範本檔案 (或產生虛擬節點原則的 YAML 檔案)時,驗證 ARM 範本中存在 「ccePolicy」 下的原則,且檔案內的容器相容。 如果兩者不相容,則會提供原因清單,而結束狀態代碼會是 2。
啟用時,容器群組中的容器無法存取 stdio。
啟用時,產生的原則中不會包含預設片段。 這包括掛接 Azure 檔案、掛接秘密、掛接 git 存放庫和其他常見 ACI 功能所需的容器。
啟用時,用來產生原則的哈希演算法更快,但記憶體效率較低。
JSON 檔案的路徑,其中包含用來產生原則的片段資訊。 這需要啟用 --include-fragments。
輸入影像名稱。
啟用時,--fragments-json 指定的路徑將用來從 OCI 登錄或本機提取片段,並將其包含在產生的原則中。
基礎結構片段的最低允許軟體版本號碼。
輸入 JSON 組態檔。
啟用時,產生的原則將不會包含 [標識符] 欄位。 這會讓原則無法系結至特定的映像名稱和標籤。 如果使用的映像將會存在於多個登錄中,並交替使用,這會很有説明。
純文本壓縮 JSON 的輸出原則,而不是預設 base64 格式。
純文本和漂亮的列印格式輸出原則。
輸入參數檔案,以選擇性地隨附 ARM 範本。
啟用時,ARM 範本中現有的安全策略會列印到命令行,而且不會產生任何新的安全策略。
啟用時,產生的安全策略會列印至命令行,而不是插入輸入ARM範本。
將輸出原則儲存至指定的檔案路徑。
包含影像圖層的 tarball 路徑,或 JSON 檔案,其中包含影像層 tarball 的路徑。
輸入 ARM 範本檔案。
驗證用來產生側車容器 CCE 原則的映像,將由其產生的原則所允許。
輸入 YAML 檔案以進行虛擬節點原則產生。
全域參數
增加記錄詳細資訊,以顯示所有偵錯記錄。
顯示此說明訊息並結束。
只顯示錯誤,隱藏警告。
輸出格式。
JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/。
訂用帳戶的名稱或識別碼。 您可以使用 az account set -s NAME_OR_ID 設定預設訂用帳戶。
增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。
az confcom katapolicygen
建立 AKS 的機密容器安全策略。
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]範例
輸入 Kubernetes YAML 檔案,以將base64編碼的機密容器安全策略插入YAML檔案
az confcom katapolicygen --yaml "./pod.json"輸入 Kubernetes YAML 檔案,將base64編碼的機密容器安全策略列印至 stdout
az confcom katapolicygen --yaml "./pod.json" --print-policy輸入 Kubernetes YAML 檔案和自訂配置檔,以將base64編碼的機密容器安全策略插入YAML檔案
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"輸入 Kubernetes YAML 檔案和外部組態對應檔案
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"輸入 Kubernetes YAML 檔案和自定義規則檔案
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"使用自定義容器套接字路徑輸入 Kubernetes YAML 檔案
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"選擇性參數
組態對應檔案的路徑。
使用容器來提取映像。 只有在Linux上才支援此選項。
容器套接字的路徑。 只有在Linux上才支援此選項。
純文本壓縮 JSON 的輸出原則,而不是預設 base64 格式。
在終端機中列印base64編碼產生的原則。
列印 Genpolicy 工具的版本。
自訂規則檔案的路徑。
自訂配置檔的路徑。
使用快取的檔案節省計算時間。
輸入 YAML Kubernetes 檔案。
全域參數
增加記錄詳細資訊,以顯示所有偵錯記錄。
顯示此說明訊息並結束。
只顯示錯誤,隱藏警告。
輸出格式。
JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/。
訂用帳戶的名稱或識別碼。 您可以使用 az account set -s NAME_OR_ID 設定預設訂用帳戶。
增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。
