Bagikan melalui

az confcom

  • Referensi

Catatan

Referensi ini adalah bagian dari ekstensi confcom untuk Azure CLI (versi 2.26.2 atau yang lebih tinggi). Ekstensi akan secara otomatis menginstal pertama kali Anda menjalankan perintah az confcom . Pelajari lebih lanjut tentang ekstensi.

Perintah untuk menghasilkan kebijakan keamanan untuk kontainer rahasia di Azure.

Perintah

Nama Deskripsi Jenis Status
az confcom acifragmentgen

Buat Fragmen Kebijakan Kontainer Rahasia untuk ACI.

 Ekstensi GA
az confcom acipolicygen

Buat Kebijakan Keamanan Kontainer Rahasia untuk ACI.

 Ekstensi GA
az confcom katapolicygen

Buat Kebijakan Keamanan Kontainer Rahasia untuk AKS.

 Ekstensi GA

az confcom acifragmentgen

Buat Fragmen Kebijakan Kontainer Rahasia untuk ACI.

az confcom acifragmentgen [--algo]
                          [--chain]
                          [--debug-mode]
                          [--disable-stdio]
                          [--feed]
                          [--fragment-path]
                          [--fragments-json]
                          [--generate-import]
                          [--image]
                          [--image-target]
                          [--input]
                          [--key]
                          [--minimum-svn]
                          [--namespace]
                          [--no-print]
                          [--omit-id]
                          [--output-filename]
                          [--outraw]
                          [--svn]
                          [--tar]
                          [--upload-fragment]

Contoh

Masukkan nama gambar untuk menghasilkan fragmen sederhana

az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworld

Masukkan file konfigurasi untuk menghasilkan fragmen dengan namespace kustom dan mode debug diaktifkan

az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-mode

Membuat pernyataan impor untuk fragmen lokal yang ditandatangani

az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1

Membuat fragmen dan COSE menandatanganinya dengan kunci dan rantai

az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-print

Membuat impor fragmen dari nama gambar

az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1

Melampirkan fragmen ke gambar tertentu

az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>

Parameter Opsional

--algo

Algoritma yang digunakan untuk menandatangani fragmen kebijakan yang dihasilkan. Ini harus digunakan dengan --key dan --chain. Algoritma yang didukung adalah ['PS256', 'PS384', 'PS512', 'ES256', 'ES384', 'ES512', 'EdDSA'].

Nilai default: ES384
--chain

Jalur ke file rantai sertifikat berformat .pem untuk digunakan untuk menandatangani fragmen kebijakan yang dihasilkan. Ini harus digunakan dengan --key.

--debug-mode

Saat diaktifkan, kebijakan keamanan yang dihasilkan menambahkan kemampuan untuk menggunakan /bin/sh atau /bin/bash untuk men-debug kontainer. Ini juga mengaktifkan akses stdio, kemampuan untuk mencadangkan jejak tumpukan, dan memungkinkan pengelogan runtime. Disarankan untuk hanya menggunakan opsi ini untuk tujuan penelusuran kesalahan.

Nilai default: False
--disable-stdio

Saat diaktifkan, kontainer dalam grup kontainer tidak memiliki akses ke stdio.

Nilai default: False
--feed -f

Umpan yang digunakan untuk fragmen kebijakan yang dihasilkan. Ini biasanya sama dengan nama gambar saat menggunakan fragmen yang dilampirkan gambar. Ini adalah lokasi di repositori jarak jauh tempat fragmen akan disimpan.

--fragment-path -p

Jalur ke file fragmen kebijakan yang ada untuk digunakan dengan --generate-import. Opsi ini memungkinkan Anda membuat pernyataan impor untuk fragmen yang ditentukan tanpa perlu menariknya dari registri OCI.

--fragments-json -j

Jalur ke file JSON yang akan menyimpan informasi impor fragmen yang dihasilkan saat menggunakan --generate-import. File ini nantinya dapat diumpankan ke dalam perintah pembuatan kebijakan (acipolicygen) untuk menyertakan fragmen dalam kebijakan baru atau yang sudah ada. Jika tidak ditentukan, pernyataan impor akan dicetak ke konsol alih-alih disimpan ke file.

--generate-import -g

Buat pernyataan impor untuk fragmen kebijakan.

Nilai default: False
--image

Gambar yang akan digunakan untuk fragmen kebijakan yang dihasilkan.

--image-target

Target gambar tempat fragmen kebijakan yang dihasilkan dilampirkan.

--input -i

Jalur ke file JSON yang berisi konfigurasi untuk fragmen kebijakan yang dihasilkan.

--key -k

Jalur ke file kunci berformat .pem yang akan digunakan untuk menandatangani fragmen kebijakan yang dihasilkan. Ini harus digunakan dengan --chain.

--minimum-svn

Digunakan dengan --generate-import untuk menentukan SVN minimum untuk pernyataan impor.

--namespace -n

Namespace yang akan digunakan untuk fragmen kebijakan yang dihasilkan.

--no-print

Jangan mencetak fragmen kebijakan yang dihasilkan ke stdout.

Nilai default: False
--omit-id

Saat diaktifkan, kebijakan yang dihasilkan tidak akan berisi bidang ID. Ini akan menjaga kebijakan agar tidak terikat dengan nama dan tag gambar tertentu. Ini berguna jika gambar yang digunakan akan ada di beberapa registri dan digunakan secara bergantian.

Nilai default: False
--output-filename

Simpan kebijakan output ke jalur file yang diberikan.

--outraw

Kebijakan output dalam JSON ringkas teks yang jelas alih-alih format cetak cantik default.

Nilai default: False
--svn

Nomor Versi Perangkat Lunak minimum yang Diizinkan untuk fragmen kebijakan yang dihasilkan. Ini harus menjadi bilangan bulat yang meningkat secara monoton.

--tar

Jalur ke tarball yang berisi lapisan gambar atau file JSON yang berisi jalur ke tarball lapisan gambar.

--upload-fragment -u

Saat diaktifkan, fragmen kebijakan yang dihasilkan akan diunggah ke registri gambar yang digunakan.

Nilai default: False
Parameter Global
--debug

Meningkatkan verbositas pengelogan untuk menampilkan semua log debug.

--help -h

Menampilkan pesan bantuan ini dan keluar.

--only-show-errors

Hanya menampilkan kesalahan, menyembunyikan peringatan.

--output -o

Format output.

Nilai yang diterima: json, jsonc, none, table, tsv, yaml, yamlc
Nilai default: json
--query

String kueri JMESPath. Lihat http://jmespath.org/ untuk informasi selengkapnya beserta contohnya.

--subscription

Nama atau ID langganan. Anda dapat mengonfigurasi langganan default menggunakan az account set -s NAME_OR_ID.

--verbose

Meningkatkan verbositas pengelogan. Gunakan --debug untuk log waktu lengkap.

az confcom acipolicygen

Buat Kebijakan Keamanan Kontainer Rahasia untuk ACI.

az confcom acipolicygen [--approve-wildcards]
                        [--debug-mode]
                        [--diff]
                        [--disable-stdio]
                        [--exclude-default-fragments]
                        [--faster-hashing]
                        [--fragments-json]
                        [--image]
                        [--include-fragments]
                        [--infrastructure-svn]
                        [--input]
                        [--omit-id]
                        [--outraw]
                        [--outraw-pretty-print]
                        [--parameters]
                        [--print-existing-policy]
                        [--print-policy]
                        [--save-to-file]
                        [--tar]
                        [--template-file]
                        [--validate-sidecar]
                        [--virtual-node-yaml]

Contoh

Masukkan file Templat ARM untuk menyuntikkan Kebijakan Keamanan Kontainer Rahasia yang dikodekan base64 ke dalam Templat ARM

az confcom acipolicygen --template-file "./template.json"

Masukkan file Templat ARM untuk membuat Kebijakan Keamanan Kontainer Rahasia yang dapat dibaca manusia

az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print

Masukkan file Templat ARM untuk menyimpan Kebijakan Keamanan Kontainer Rahasia ke file sebagai teks yang dikodekan base64

az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policy

Masukkan file Templat ARM dan gunakan file tar sebagai sumber gambar alih-alih daemon Docker

az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"

Masukkan file Templat ARM dan gunakan file JSON fragmen untuk menghasilkan kebijakan

az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragments

Parameter Opsional

--approve-wildcards -y

Saat diaktifkan, semua permintaan untuk menggunakan kartubebas dalam variabel lingkungan secara otomatis disetujui.

Nilai default: False
--debug-mode

Saat diaktifkan, kebijakan keamanan yang dihasilkan menambahkan kemampuan untuk menggunakan /bin/sh atau /bin/bash untuk men-debug kontainer. Ini juga mengaktifkan akses stdio, kemampuan untuk mencadangkan jejak tumpukan, dan memungkinkan pengelogan runtime. Disarankan untuk hanya menggunakan opsi ini untuk tujuan penelusuran kesalahan.

Nilai default: False
--diff -d

Ketika dikombinasikan dengan file Templat ARM input (atau file YAML untuk pembuatan kebijakan Simpul Virtual), memverifikasi kebijakan yang ada di Templat ARM di bawah "ccePolicy" dan kontainer dalam file kompatibel. Jika tidak kompatibel, daftar alasan diberikan dan kode status keluar akan menjadi 2.

Nilai default: False
--disable-stdio

Saat diaktifkan, kontainer dalam grup kontainer tidak memiliki akses ke stdio.

Nilai default: False
--exclude-default-fragments -e

Saat diaktifkan, fragmen default tidak disertakan dalam kebijakan yang dihasilkan. Ini termasuk kontainer yang diperlukan untuk memasang file azure, memasang rahasia, memasang repositori git, dan fitur ACI umum lainnya.

Nilai default: False
--faster-hashing

Ketika diaktifkan, algoritma hashing yang digunakan untuk menghasilkan kebijakan lebih cepat tetapi lebih sedikit memori yang efisien.

Nilai default: False
--fragments-json -j

Jalur ke file JSON yang berisi informasi fragmen yang akan digunakan untuk menghasilkan kebijakan. Ini mengharuskan --include-fragments diaktifkan.

--image

Masukkan nama gambar.

--include-fragments -f

Ketika diaktifkan, jalur yang ditentukan oleh --fragments-json akan digunakan untuk menarik fragmen dari registri OCI atau secara lokal dan menyertakannya dalam kebijakan yang dihasilkan.

Nilai default: False
--infrastructure-svn

Nomor Versi Perangkat Lunak minimum yang Diizinkan untuk Fragmen Infrastruktur.

--input -i

Masukkan file konfigurasi JSON.

--omit-id

Saat diaktifkan, kebijakan yang dihasilkan tidak akan berisi bidang ID. Ini akan menjaga kebijakan agar tidak terikat dengan nama dan tag gambar tertentu. Ini berguna jika gambar yang digunakan akan ada di beberapa registri dan digunakan secara bergantian.

Nilai default: False
--outraw

Kebijakan output dalam JSON ringkas teks yang jelas alih-alih format base64 default.

Nilai default: False
--outraw-pretty-print

Kebijakan output dalam teks yang jelas dan format cetak yang cantik.

Nilai default: False
--parameters -p

File parameter input untuk secara opsional menyertai Templat ARM.

--print-existing-policy

Saat diaktifkan, kebijakan keamanan yang ada yang ada di Templat ARM dicetak ke baris perintah, dan tidak ada kebijakan keamanan baru yang dihasilkan.

Nilai default: False
--print-policy

Saat diaktifkan, kebijakan keamanan yang dihasilkan dicetak ke baris perintah alih-alih disuntikkan ke templat ARM input.

Nilai default: False
--save-to-file -s

Simpan kebijakan output ke jalur file yang diberikan.

--tar

Jalur ke tarball yang berisi lapisan gambar atau file JSON yang berisi jalur ke tarball lapisan gambar.

--template-file -a

Masukkan file Templat ARM.

--validate-sidecar -v

Validasi bahwa gambar yang digunakan untuk menghasilkan Kebijakan CCE untuk kontainer sidecar akan diizinkan oleh kebijakan yang dihasilkan.

Nilai default: False
--virtual-node-yaml

Masukkan file YAML untuk pembuatan kebijakan Simpul Virtual.

Parameter Global
--debug

Meningkatkan verbositas pengelogan untuk menampilkan semua log debug.

--help -h

Menampilkan pesan bantuan ini dan keluar.

--only-show-errors

Hanya menampilkan kesalahan, menyembunyikan peringatan.

--output -o

Format output.

Nilai yang diterima: json, jsonc, none, table, tsv, yaml, yamlc
Nilai default: json
--query

String kueri JMESPath. Lihat http://jmespath.org/ untuk informasi selengkapnya beserta contohnya.

--subscription

Nama atau ID langganan. Anda dapat mengonfigurasi langganan default menggunakan az account set -s NAME_OR_ID.

--verbose

Meningkatkan verbositas pengelogan. Gunakan --debug untuk log waktu lengkap.

az confcom katapolicygen

Buat Kebijakan Keamanan Kontainer Rahasia untuk AKS.

az confcom katapolicygen [--config-map-file]
                         [--containerd-pull]
                         [--containerd-socket-path]
                         [--outraw]
                         [--print-policy]
                         [--print-version]
                         [--rules-file-name]
                         [--settings-file-name]
                         [--use-cached-files]
                         [--yaml]

Contoh

Masukkan file YAML Kubernetes untuk menyuntikkan Kebijakan Keamanan Kontainer Rahasia yang dikodekan base64 ke dalam file YAML

az confcom katapolicygen --yaml "./pod.json"

Masukkan file YAML Kubernetes untuk mencetak Kebijakan Keamanan Kontainer Rahasia yang dikodekan base64 ke stdout

az confcom katapolicygen --yaml "./pod.json" --print-policy

Masukkan file YAML Kubernetes dan file pengaturan kustom untuk menyuntikkan Kebijakan Keamanan Kontainer Rahasia yang dikodekan base64 ke dalam file YAML

az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"

Masukkan file YAML Kubernetes dan file peta konfigurasi eksternal

az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"

Memasukkan file YAML Kubernetes dan file aturan kustom

az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"

Masukkan file YAML Kubernetes dengan jalur soket kontainer kustom

az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"

Parameter Opsional

--config-map-file -c

Jalur ke file peta konfigurasi.

--containerd-pull -d

Gunakan kontainer untuk menarik gambar. Opsi ini hanya didukung di Linux.

Nilai default: False
--containerd-socket-path

Jalur ke soket kontainer. Opsi ini hanya didukung di Linux.

--outraw

Kebijakan output dalam JSON ringkas teks yang jelas alih-alih format base64 default.

Nilai default: False
--print-policy

Cetak kebijakan yang dihasilkan yang dikodekan base64 di terminal.

Nilai default: False
--print-version -v

Cetak versi alat genpolicy.

Nilai default: False
--rules-file-name -p

Jalur ke file aturan kustom.

--settings-file-name -j

Jalur ke file pengaturan kustom.

--use-cached-files -u

Gunakan file yang di-cache untuk menghemat waktu komputasi.

Nilai default: False
--yaml -y

Masukkan file YAML Kubernetes.

Parameter Global
--debug

Meningkatkan verbositas pengelogan untuk menampilkan semua log debug.

--help -h

Menampilkan pesan bantuan ini dan keluar.

--only-show-errors

Hanya menampilkan kesalahan, menyembunyikan peringatan.

--output -o

Format output.

Nilai yang diterima: json, jsonc, none, table, tsv, yaml, yamlc
Nilai default: json
--query

String kueri JMESPath. Lihat http://jmespath.org/ untuk informasi selengkapnya beserta contohnya.

--subscription

Nama atau ID langganan. Anda dapat mengonfigurasi langganan default menggunakan az account set -s NAME_OR_ID.

--verbose

Meningkatkan verbositas pengelogan. Gunakan --debug untuk log waktu lengkap.