az confcom
注意
此參考是 Azure CLI 的 confcom 擴充功能的一部分(2.26.2 版或更高版本)。 擴充功能會在您第一次執行 az confcom 命令時自動安裝。 深入了解擴充功能。
在 Azure 中產生機密容器安全策略的命令。
命令
名稱 | Description | 類型 | 狀態 |
---|---|---|---|
az confcom acipolicygen |
建立 ACI 的機密容器安全策略。 |
副檔名 | GA |
az confcom katapolicygen |
建立 AKS 的機密容器安全策略。 |
副檔名 | GA |
az confcom acipolicygen
建立 ACI 的機密容器安全策略。
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--faster-hashing]
[--image]
[--infrastructure-svn]
[--input]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]
範例
輸入 ARM 範本檔案,以將base64編碼的機密容器安全策略插入ARM範本
az confcom acipolicygen --template-file "./template.json"
輸入 ARM 範本檔案,以建立人類可讀取的機密容器安全策略
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print
輸入 ARM 範本檔案,將機密容器安全策略儲存至檔案作為base64編碼文字
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policy
輸入 ARM 範本檔案,並使用 tar 檔案作為映像來源,而不是 Docker 精靈
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"
選擇性參數
啟用時,會自動核准在環境變數中使用通配符的所有提示。
啟用時,產生的安全策略會新增使用 /bin/sh 或 /bin/bash 偵錯容器的能力。 它也啟用 stdio 存取、傾印堆疊追蹤的能力,以及啟用運行時間記錄。 建議只使用此選項進行偵錯。
與輸入 ARM 範本結合時,確認 ARM 範本中存在 「ccePolicy」 下的原則,且 ARM 範本內的容器相容。 如果兩者不相容,則會提供原因清單,而結束狀態代碼會是 2。
啟用時,容器群組中的容器無法存取 stdio。
啟用時,用來產生原則的哈希演算法更快,但記憶體效率較低。
輸入影像名稱。
基礎結構片段的最低允許軟體版本號碼。
輸入 JSON 組態檔。
純文本壓縮 JSON 的輸出原則,而不是預設 base64 格式。
純文本和漂亮的列印格式輸出原則。
輸入參數檔案,以選擇性地隨附 ARM 範本。
啟用時,ARM 範本中現有的安全策略會列印到命令行,而且不會產生任何新的安全策略。
啟用時,產生的安全策略會列印至命令行,而不是插入輸入ARM範本。
將輸出原則儲存至指定的檔案路徑。
包含影像圖層的 tarball 路徑,或 JSON 檔案,其中包含影像層 tarball 的路徑。
輸入 ARM 範本檔案。
驗證用來產生側車容器 CCE 原則的映像,將由其產生的原則所允許。
全域參數
增加記錄詳細資訊,以顯示所有偵錯記錄。
顯示此說明訊息並結束。
只顯示錯誤,隱藏警告。
輸出格式。
JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/。
訂用帳戶的名稱或識別碼。 您可以使用 az account set -s NAME_OR_ID
設定預設訂用帳戶。
增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。
az confcom katapolicygen
建立 AKS 的機密容器安全策略。
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]
範例
輸入 Kubernetes YAML 檔案,以將base64編碼的機密容器安全策略插入YAML檔案
az confcom katapolicygen --yaml "./pod.json"
輸入 Kubernetes YAML 檔案,將base64編碼的機密容器安全策略列印至 stdout
az confcom katapolicygen --yaml "./pod.json" --print-policy
輸入 Kubernetes YAML 檔案和自訂配置檔,以將base64編碼的機密容器安全策略插入YAML檔案
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"
輸入 Kubernetes YAML 檔案和外部組態對應檔案
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"
輸入 Kubernetes YAML 檔案和自定義規則檔案
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"
使用自定義容器套接字路徑輸入 Kubernetes YAML 檔案
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"
選擇性參數
組態對應檔案的路徑。
使用容器來提取映像。 只有在Linux上才支援此選項。
容器套接字的路徑。 只有在Linux上才支援此選項。
純文本壓縮 JSON 的輸出原則,而不是預設 base64 格式。
在終端機中列印base64編碼產生的原則。
列印 Genpolicy 工具的版本。
自訂規則檔案的路徑。
自訂配置檔的路徑。
使用快取的檔案節省計算時間。
輸入 YAML Kubernetes 檔案。
全域參數
增加記錄詳細資訊,以顯示所有偵錯記錄。
顯示此說明訊息並結束。
只顯示錯誤,隱藏警告。
輸出格式。
JMESPath 查詢字串。 如需詳細資訊和範例,請參閱 http://jmespath.org/。
訂用帳戶的名稱或識別碼。 您可以使用 az account set -s NAME_OR_ID
設定預設訂用帳戶。
增加記錄詳細資訊。 使用 --debug 來取得完整偵錯記錄。