az confcom
Note
Deze verwijzing maakt deel uit van de confcom-extensie voor de Azure CLI (versie 2.26.2 of hoger). De extensie installeert automatisch de eerste keer dat u een az confcom-opdracht uitvoert. Meer informatie over uitbreidingen.
Opdrachten voor het genereren van beveiligingsbeleid voor vertrouwelijke containers in Azure.
Opdracht
| Name | Description | Type | Status |
|---|---|---|---|
| az confcom acifragmentgen |
Maak een vertrouwelijk containerbeleidsfragment voor ACI. |
Extension | GA |
| az confcom acipolicygen |
Maak een vertrouwelijk containerbeveiligingsbeleid voor ACI. |
Extension | GA |
| az confcom containers |
Opdrachten waarmee containerdefinities voor beveiligingsbeleid worden gegenereerd. |
Extension | GA |
| az confcom containers from_image |
Maak een containerdefinitie voor beveiligingsbeleid op basis van een afbeeldingsreferentie. |
Extension | GA |
| az confcom fragment |
Opdrachten voor het afhandelen van fragmenten van vertrouwelijk containerbeleid. |
Extension | GA |
| az confcom fragment attach |
Voeg een fragment van het vertrouwelijke containerbeleid toe aan een installatiekopieën in een ORAS-register. |
Extension | Voorvertoning |
| az confcom fragment push |
Push een fragment van het vertrouwelijke containerbeleid naar een ORAS-register. |
Extension | Voorvertoning |
| az confcom katapolicygen |
Maak een vertrouwelijk containerbeveiligingsbeleid voor AKS. |
Extension | GA |
az confcom acifragmentgen
Maak een vertrouwelijk containerbeleidsfragment voor ACI.
az confcom acifragmentgen [--algo]
[--chain]
[--debug-mode]
[--disable-stdio]
[--enable-stdio]
[--feed]
[--fragment-path]
[--fragments-json]
[--generate-import]
[--image]
[--image-target]
[--input]
[--key]
[--minimum-svn]
[--namespace]
[--no-print]
[--omit-id]
[--out-signed-fragment]
[--output-filename]
[--outraw]
[--svn]
[--tar]
[--upload-fragment]
[--with-containers]Voorbeelden
Voer een afbeeldingsnaam in om een eenvoudig fragment te genereren
az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworldVoer een configuratiebestand in om een fragment te genereren met een aangepaste naamruimte en foutopsporingsmodus ingeschakeld
az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-modeEen importinstructie genereren voor een ondertekend lokaal fragment
az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1Een fragment genereren en COSE ondertekenen met een sleutel en keten
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-printEen fragmentimport genereren op basis van een afbeeldingsnaam
az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1Een fragment koppelen aan een opgegeven afbeelding
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>Optionele parameters
De volgende parameters zijn optioneel, maar afhankelijk van de context kunnen een of meer parameters vereist zijn om de opdracht uit te voeren.
Algoritme dat wordt gebruikt voor het ondertekenen van het gegenereerde beleidsfragment. Dit moet worden gebruikt met --key en --chain. Ondersteunde algoritmen zijn ['PS256', 'PS384', 'PS512', 'ES256', 'ES384', 'ES512', 'EdDSA').
| Eigenschap | Waarde |
|---|---|
| Default value: | ES384 |
Pad naar het door PEM opgemaakte certificaatketenbestand dat moet worden gebruikt voor het ondertekenen van het gegenereerde beleidsfragment. Dit moet worden gebruikt met --key.
Wanneer dit is ingeschakeld, voegt het gegenereerde beveiligingsbeleid de mogelijkheid toe om /bin/sh of /bin/bash te gebruiken om fouten in de container op te sporen. Het heeft ook stdio-toegang ingeschakeld, de mogelijkheid om stacktraceringen te dumpen en runtimelogboekregistratie mogelijk te maken. Het wordt aanbevolen deze optie alleen te gebruiken voor foutopsporingsdoeleinden.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Wanneer deze optie is ingeschakeld, hebben de containers in de containergroep geen toegang tot stdio.
Schakel de standaard-Io-streams in om de container te verlaten.
Feed die moet worden gebruikt voor het gegenereerde beleidsfragment. Dit is doorgaans hetzelfde als de naam van de installatiekopieën bij het gebruik van fragmenten die zijn gekoppeld aan de installatiekopieën. Dit is de locatie in de externe opslagplaats waar het fragment wordt opgeslagen.
Pad naar een bestaand ondertekend beleidsfragmentbestand dat moet worden gebruikt met --generate-import. Met deze optie kunt u importinstructies voor het opgegeven fragment maken zonder dat u dit expliciet uit een OCI-register hoeft te halen. Dit kan een lokaal pad of een OCI-registerreferentie zijn. Voor lokale fragmenten blijft het bestand op dezelfde locatie. Voor externe fragmenten wordt het bestand gedownload en opgeschoond na verwerking.
Pad naar een JSON-bestand waarin de fragmentimportgegevens worden opgeslagen die worden gegenereerd bij het gebruik van --generate-import. Dit bestand kan later worden ingevoerd in de opdracht voor het genereren van beleid (acipolicygen) om het fragment op te nemen in een nieuw of bestaand beleid. Als dit niet is opgegeven, wordt de importinstructie afgedrukt naar de console in plaats van op te slaan in een bestand.
Genereer een importinstructie voor een beleidsfragment.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Afbeelding die moet worden gebruikt voor het gegenereerde beleidsfragment.
Afbeeldingsdoel waarbij het gegenereerde beleidsfragment is gekoppeld.
Pad naar een JSON-bestand met de configuratie voor het gegenereerde beleidsfragment.
Pad naar het .pem-indelingssleutelbestand dat moet worden gebruikt voor het ondertekenen van het gegenereerde beleidsfragment. Dit moet worden gebruikt met --chain.
Wordt gebruikt met --generate-import om de minimale SVN voor de importinstructie op te geven.
Naamruimte die moet worden gebruikt voor het gegenereerde beleidsfragment.
Druk het gegenereerde beleidsfragment niet af op stdout.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Wanneer dit is ingeschakeld, bevat het gegenereerde beleid niet het id-veld. Hierdoor blijft het beleid gekoppeld aan een specifieke installatiekopieënnaam en -tag. Dit is handig als de gebruikte installatiekopieën in meerdere registers aanwezig zijn en door elkaar worden gebruikt.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Alleen het ondertekende fragment bytes verzenden.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Sla uitvoerbeleid op in het opgegeven bestandspad.
Uitvoerbeleid in compacte JSON voor duidelijke tekst in plaats van de standaard mooie afdrukindeling.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Minimaal toegestaan softwareversienummer voor het gegenereerde beleidsfragment. Dit moet een monotonisch toenemend geheel getal zijn.
Pad naar een tarball met afbeeldingslagen of een JSON-bestand met paden naar tarballen van afbeeldingslagen.
Wanneer dit is ingeschakeld, wordt het gegenereerde beleidsfragment geüpload naar het register van de gebruikte installatiekopieën.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Containerdefinities die moeten worden opgenomen in het beleid.
Globale parameters
Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Dit Help-bericht weergeven en afsluiten.
Alleen fouten weergeven, waarschuwingen onderdrukken.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Uitvoerindeling.
| Eigenschap | Waarde |
|---|---|
| Default value: | json |
| Geaccepteerde waarden: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.
Naam of id van abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.
Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
az confcom acipolicygen
Maak een vertrouwelijk containerbeveiligingsbeleid voor ACI.
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--enable-stdio]
[--exclude-default-fragments]
[--faster-hashing]
[--fragments-json]
[--image]
[--include-fragments]
[--infrastructure-svn]
[--input]
[--omit-id]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]
[--virtual-node-yaml]
[--with-containers]Voorbeelden
Voer een ARM-sjabloonbestand in om een met Base64 gecodeerd vertrouwelijk containerbeveiligingsbeleid in de ARM-sjabloon in te voeren
az confcom acipolicygen --template-file "./template.json"Een ARM-sjabloonbestand invoeren om een door mensen leesbaar beveiligingsbeleid voor vertrouwelijke containers te maken
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-printVoer een ARM-sjabloonbestand in om een vertrouwelijk containerbeveiligingsbeleid op te slaan in een bestand als met base64 gecodeerde tekst
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policyVoer een ARM-sjabloonbestand in en gebruik een tar-bestand als de bron van de installatiekopieën in plaats van de Docker-daemon
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"Een ARM-sjabloonbestand invoeren en een JSON-fragmentbestand gebruiken om een beleid te genereren
az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragmentsOptionele parameters
De volgende parameters zijn optioneel, maar afhankelijk van de context kunnen een of meer parameters vereist zijn om de opdracht uit te voeren.
Wanneer deze optie is ingeschakeld, worden alle prompts voor het gebruik van jokertekens in omgevingsvariabelen automatisch goedgekeurd.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Wanneer dit is ingeschakeld, voegt het gegenereerde beveiligingsbeleid de mogelijkheid toe om /bin/sh of /bin/bash te gebruiken om fouten in de container op te sporen. Het heeft ook stdio-toegang ingeschakeld, de mogelijkheid om stacktraceringen te dumpen en runtimelogboekregistratie mogelijk te maken. Het wordt aanbevolen deze optie alleen te gebruiken voor foutopsporingsdoeleinden.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
In combinatie met een INVOER-ARM-sjabloonbestand (of YAML-bestand voor het genereren van beleid voor virtuele knooppunten), controleert u of het beleid dat aanwezig is in de ARM-sjabloon onder CCEPolicy en de containers in het bestand compatibel zijn. Als ze niet compatibel zijn, wordt een lijst met redenen gegeven en is de afsluitstatuscode 2.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Wanneer deze optie is ingeschakeld, hebben de containers in de containergroep geen toegang tot stdio.
Schakel de standaard-Io-streams in om de container te verlaten.
Wanneer deze optie is ingeschakeld, worden de standaardfragmenten niet opgenomen in het gegenereerde beleid. Dit omvat containers die nodig zijn voor het koppelen van Azure-bestanden, het koppelen van geheimen, het koppelen van Git-opslagplaatsen en andere algemene ACI-functies.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Wanneer dit is ingeschakeld, is het hash-algoritme dat wordt gebruikt om het beleid te genereren sneller, maar minder geheugenefficiënt.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Pad naar JSON-bestand met fragmentinformatie die moet worden gebruikt voor het genereren van een beleid. Hiervoor moeten --include-fragmenten zijn ingeschakeld.
Naam van invoerafbeelding.
Wanneer dit is ingeschakeld, wordt het pad dat is opgegeven door --fragments-json gebruikt om fragmenten uit een OCI-register of lokaal op te halen en op te nemen in het gegenereerde beleid.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Minimaal toegestaan softwareversienummer voor infrastructuurfragment.
JSON-configuratiebestand invoeren.
Wanneer dit is ingeschakeld, bevat het gegenereerde beleid niet het id-veld. Hierdoor blijft het beleid gekoppeld aan een specifieke installatiekopieënnaam en -tag. Dit is handig als de gebruikte installatiekopieën in meerdere registers aanwezig zijn en door elkaar worden gebruikt.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Uitvoerbeleid in compacte JSON voor duidelijke tekst in plaats van standaard base64-indeling.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Uitvoerbeleid in duidelijke tekst en vrij afdrukformaat.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Invoerparametersbestand voor optioneel bij een ARM-sjabloon.
Wanneer dit is ingeschakeld, wordt het bestaande beveiligingsbeleid dat aanwezig is in de ARM-sjabloon afgedrukt op de opdrachtregel en wordt er geen nieuw beveiligingsbeleid gegenereerd.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Wanneer dit is ingeschakeld, wordt het gegenereerde beveiligingsbeleid afgedrukt op de opdrachtregel in plaats van opgenomen in de ARM-invoersjabloon.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Sla uitvoerbeleid op in het opgegeven bestandspad.
Pad naar een tarball met afbeeldingslagen of een JSON-bestand met paden naar tarballen van afbeeldingslagen.
Arm-sjabloonbestand invoeren.
Controleer of de installatiekopieën die worden gebruikt voor het genereren van het CCE-beleid voor een sidecar-container, worden toegestaan door het gegenereerde beleid.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
YAML-bestand invoeren voor het genereren van beleid voor virtuele knooppunten.
Containerdefinities die moeten worden opgenomen in het beleid.
Globale parameters
Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Dit Help-bericht weergeven en afsluiten.
Alleen fouten weergeven, waarschuwingen onderdrukken.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Uitvoerindeling.
| Eigenschap | Waarde |
|---|---|
| Default value: | json |
| Geaccepteerde waarden: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.
Naam of id van abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.
Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
az confcom katapolicygen
Maak een vertrouwelijk containerbeveiligingsbeleid voor AKS.
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]Voorbeelden
Voer een Kubernetes YAML-bestand in om een met Base64 gecodeerd vertrouwelijk containerbeveiligingsbeleid in het YAML-bestand te injecteren
az confcom katapolicygen --yaml "./pod.json"Voer een Kubernetes YAML-bestand in om een met Base64 gecodeerd vertrouwelijk containerbeveiligingsbeleid af te drukken op stdout
az confcom katapolicygen --yaml "./pod.json" --print-policyVoer een Kubernetes YAML-bestand en aangepaste instellingenbestand in om een met Base64 gecodeerd vertrouwelijk containerbeveiligingsbeleid in het YAML-bestand in te voeren
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"Een Kubernetes YAML-bestand en een extern configuratietoewijzingsbestand invoeren
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"Een Kubernetes YAML-bestand en aangepaste regelsbestand invoeren
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"Een Kubernetes YAML-bestand invoeren met een aangepast socketpad in een container
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"Optionele parameters
De volgende parameters zijn optioneel, maar afhankelijk van de context kunnen een of meer parameters vereist zijn om de opdracht uit te voeren.
Pad naar configuratietoewijzingsbestand.
Gebruik containerd om de installatiekopie op te halen. Deze optie wordt alleen ondersteund in Linux.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Pad naar de container-socket. Deze optie wordt alleen ondersteund in Linux.
Uitvoerbeleid in compacte JSON voor duidelijke tekst in plaats van standaard base64-indeling.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Druk het met Base64 gecodeerde gegenereerde beleid af in de terminal.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Druk de versie van genpolicy-hulpprogramma's af.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Pad naar bestand met aangepaste regels.
Pad naar bestand met aangepaste instellingen.
Gebruik bestanden in de cache om de rekentijd te besparen.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
YAML Kubernetes-bestand invoeren.
Globale parameters
Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Dit Help-bericht weergeven en afsluiten.
Alleen fouten weergeven, waarschuwingen onderdrukken.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
Uitvoerindeling.
| Eigenschap | Waarde |
|---|---|
| Default value: | json |
| Geaccepteerde waarden: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.
Naam of id van abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.
Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.
| Eigenschap | Waarde |
|---|---|
| Default value: | False |
