Delen via

az confcom

  • Referentie

Notitie

Deze verwijzing maakt deel uit van de confcom-extensie voor de Azure CLI (versie 2.26.2 of hoger). De extensie installeert automatisch de eerste keer dat u een az confcom-opdracht uitvoert. Meer informatie over extensies.

Opdrachten voor het genereren van beveiligingsbeleid voor vertrouwelijke containers in Azure.

Opdracht

Name Description Type Status
az confcom acifragmentgen

Maak een vertrouwelijk containerbeleidsfragment voor ACI.

 Toestel GA
az confcom acipolicygen

Maak een vertrouwelijk containerbeveiligingsbeleid voor ACI.

 Toestel GA
az confcom katapolicygen

Maak een vertrouwelijk containerbeveiligingsbeleid voor AKS.

 Toestel GA

az confcom acifragmentgen

Maak een vertrouwelijk containerbeleidsfragment voor ACI.

az confcom acifragmentgen [--algo]
                          [--chain]
                          [--debug-mode]
                          [--disable-stdio]
                          [--feed]
                          [--fragment-path]
                          [--fragments-json]
                          [--generate-import]
                          [--image]
                          [--image-target]
                          [--input]
                          [--key]
                          [--minimum-svn]
                          [--namespace]
                          [--no-print]
                          [--omit-id]
                          [--output-filename]
                          [--outraw]
                          [--svn]
                          [--tar]
                          [--upload-fragment]

Voorbeelden

Voer een afbeeldingsnaam in om een eenvoudig fragment te genereren

az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworld

Voer een configuratiebestand in om een fragment te genereren met een aangepaste naamruimte en foutopsporingsmodus ingeschakeld

az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-mode

Een importinstructie genereren voor een ondertekend lokaal fragment

az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1

Een fragment genereren en COSE ondertekenen met een sleutel en keten

az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-print

Een fragmentimport genereren op basis van een afbeeldingsnaam

az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1

Een fragment koppelen aan een opgegeven afbeelding

az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>

Optionele parameters

--algo

Algoritme dat wordt gebruikt voor het ondertekenen van het gegenereerde beleidsfragment. Dit moet worden gebruikt met --key en --chain. Ondersteunde algoritmen zijn ['PS256', 'PS384', 'PS512', 'ES256', 'ES384', 'ES512', 'EdDSA').

Default value: ES384
--chain

Pad naar het door PEM opgemaakte certificaatketenbestand dat moet worden gebruikt voor het ondertekenen van het gegenereerde beleidsfragment. Dit moet worden gebruikt met --key.

--debug-mode

Wanneer dit is ingeschakeld, voegt het gegenereerde beveiligingsbeleid de mogelijkheid toe om /bin/sh of /bin/bash te gebruiken om fouten in de container op te sporen. Het heeft ook stdio-toegang ingeschakeld, de mogelijkheid om stacktraceringen te dumpen en runtimelogboekregistratie mogelijk te maken. Het wordt aanbevolen deze optie alleen te gebruiken voor foutopsporingsdoeleinden.

Default value: False
--disable-stdio

Wanneer deze optie is ingeschakeld, hebben de containers in de containergroep geen toegang tot stdio.

Default value: False
--feed -f

Feed die moet worden gebruikt voor het gegenereerde beleidsfragment. Dit is doorgaans hetzelfde als de naam van de installatiekopieën bij het gebruik van fragmenten die zijn gekoppeld aan de installatiekopieën. Dit is de locatie in de externe opslagplaats waar het fragment wordt opgeslagen.

--fragment-path -p

Pad naar een bestaand beleidsfragmentbestand dat moet worden gebruikt met --generate-import. Met deze optie kunt u importinstructies voor het opgegeven fragment maken zonder dat u dit uit een OCI-register hoeft te halen.

--fragments-json -j

Pad naar een JSON-bestand waarin de fragmentimportgegevens worden opgeslagen die worden gegenereerd bij het gebruik van --generate-import. Dit bestand kan later worden ingevoerd in de opdracht voor het genereren van beleid (acipolicygen) om het fragment op te nemen in een nieuw of bestaand beleid. Als dit niet is opgegeven, wordt de importinstructie afgedrukt naar de console in plaats van op te slaan in een bestand.

--generate-import -g

Genereer een importinstructie voor een beleidsfragment.

Default value: False
--image

Afbeelding die moet worden gebruikt voor het gegenereerde beleidsfragment.

--image-target

Afbeeldingsdoel waarbij het gegenereerde beleidsfragment is gekoppeld.

--input -i

Pad naar een JSON-bestand met de configuratie voor het gegenereerde beleidsfragment.

--key -k

Pad naar het .pem-indelingssleutelbestand dat moet worden gebruikt voor het ondertekenen van het gegenereerde beleidsfragment. Dit moet worden gebruikt met --chain.

--minimum-svn

Wordt gebruikt met --generate-import om de minimale SVN voor de importinstructie op te geven.

--namespace -n

Naamruimte die moet worden gebruikt voor het gegenereerde beleidsfragment.

--no-print

Druk het gegenereerde beleidsfragment niet af op stdout.

Default value: False
--omit-id

Wanneer dit is ingeschakeld, bevat het gegenereerde beleid niet het id-veld. Hierdoor blijft het beleid gekoppeld aan een specifieke installatiekopieënnaam en -tag. Dit is handig als de gebruikte installatiekopieën in meerdere registers aanwezig zijn en door elkaar worden gebruikt.

Default value: False
--output-filename

Sla uitvoerbeleid op in het opgegeven bestandspad.

--outraw

Uitvoerbeleid in compacte JSON voor duidelijke tekst in plaats van de standaard mooie afdrukindeling.

Default value: False
--svn

Minimaal toegestaan softwareversienummer voor het gegenereerde beleidsfragment. Dit moet een monotonisch toenemend geheel getal zijn.

--tar

Pad naar een tarball met afbeeldingslagen of een JSON-bestand met paden naar tarballen van afbeeldingslagen.

--upload-fragment -u

Wanneer dit is ingeschakeld, wordt het gegenereerde beleidsfragment geüpload naar het register van de gebruikte installatiekopieën.

Default value: False
Globale parameters
--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

--output -o

Uitvoerindeling.

Geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.

az confcom acipolicygen

Maak een vertrouwelijk containerbeveiligingsbeleid voor ACI.

az confcom acipolicygen [--approve-wildcards]
                        [--debug-mode]
                        [--diff]
                        [--disable-stdio]
                        [--exclude-default-fragments]
                        [--faster-hashing]
                        [--fragments-json]
                        [--image]
                        [--include-fragments]
                        [--infrastructure-svn]
                        [--input]
                        [--omit-id]
                        [--outraw]
                        [--outraw-pretty-print]
                        [--parameters]
                        [--print-existing-policy]
                        [--print-policy]
                        [--save-to-file]
                        [--tar]
                        [--template-file]
                        [--validate-sidecar]
                        [--virtual-node-yaml]

Voorbeelden

Voer een ARM-sjabloonbestand in om een met Base64 gecodeerd vertrouwelijk containerbeveiligingsbeleid in de ARM-sjabloon in te voeren

az confcom acipolicygen --template-file "./template.json"

Een ARM-sjabloonbestand invoeren om een door mensen leesbaar beveiligingsbeleid voor vertrouwelijke containers te maken

az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print

Voer een ARM-sjabloonbestand in om een vertrouwelijk containerbeveiligingsbeleid op te slaan in een bestand als met base64 gecodeerde tekst

az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policy

Voer een ARM-sjabloonbestand in en gebruik een tar-bestand als de bron van de installatiekopieën in plaats van de Docker-daemon

az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"

Een ARM-sjabloonbestand invoeren en een JSON-fragmentbestand gebruiken om een beleid te genereren

az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragments

Optionele parameters

--approve-wildcards -y

Wanneer deze optie is ingeschakeld, worden alle prompts voor het gebruik van jokertekens in omgevingsvariabelen automatisch goedgekeurd.

Default value: False
--debug-mode

Wanneer dit is ingeschakeld, voegt het gegenereerde beveiligingsbeleid de mogelijkheid toe om /bin/sh of /bin/bash te gebruiken om fouten in de container op te sporen. Het heeft ook stdio-toegang ingeschakeld, de mogelijkheid om stacktraceringen te dumpen en runtimelogboekregistratie mogelijk te maken. Het wordt aanbevolen deze optie alleen te gebruiken voor foutopsporingsdoeleinden.

Default value: False
--diff -d

In combinatie met een INVOER-ARM-sjabloonbestand (of YAML-bestand voor het genereren van beleid voor virtuele knooppunten), controleert u of het beleid dat aanwezig is in de ARM-sjabloon onder CCEPolicy en de containers in het bestand compatibel zijn. Als ze niet compatibel zijn, wordt een lijst met redenen gegeven en is de afsluitstatuscode 2.

Default value: False
--disable-stdio

Wanneer deze optie is ingeschakeld, hebben de containers in de containergroep geen toegang tot stdio.

Default value: False
--exclude-default-fragments -e

Wanneer deze optie is ingeschakeld, worden de standaardfragmenten niet opgenomen in het gegenereerde beleid. Dit omvat containers die nodig zijn voor het koppelen van Azure-bestanden, het koppelen van geheimen, het koppelen van Git-opslagplaatsen en andere algemene ACI-functies.

Default value: False
--faster-hashing

Wanneer dit is ingeschakeld, is het hash-algoritme dat wordt gebruikt om het beleid te genereren sneller, maar minder geheugenefficiënt.

Default value: False
--fragments-json -j

Pad naar JSON-bestand met fragmentinformatie die moet worden gebruikt voor het genereren van een beleid. Hiervoor moeten --include-fragmenten zijn ingeschakeld.

--image

Naam van invoerafbeelding.

--include-fragments -f

Wanneer dit is ingeschakeld, wordt het pad dat is opgegeven door --fragments-json gebruikt om fragmenten uit een OCI-register of lokaal op te halen en op te nemen in het gegenereerde beleid.

Default value: False
--infrastructure-svn

Minimaal toegestaan softwareversienummer voor infrastructuurfragment.

--input -i

JSON-configuratiebestand invoeren.

--omit-id

Wanneer dit is ingeschakeld, bevat het gegenereerde beleid niet het id-veld. Hierdoor blijft het beleid gekoppeld aan een specifieke installatiekopieënnaam en -tag. Dit is handig als de gebruikte installatiekopieën in meerdere registers aanwezig zijn en door elkaar worden gebruikt.

Default value: False
--outraw

Uitvoerbeleid in compacte JSON voor duidelijke tekst in plaats van standaard base64-indeling.

Default value: False
--outraw-pretty-print

Uitvoerbeleid in duidelijke tekst en vrij afdrukformaat.

Default value: False
--parameters -p

Invoerparametersbestand voor optioneel bij een ARM-sjabloon.

--print-existing-policy

Wanneer dit is ingeschakeld, wordt het bestaande beveiligingsbeleid dat aanwezig is in de ARM-sjabloon afgedrukt op de opdrachtregel en wordt er geen nieuw beveiligingsbeleid gegenereerd.

Default value: False
--print-policy

Wanneer dit is ingeschakeld, wordt het gegenereerde beveiligingsbeleid afgedrukt op de opdrachtregel in plaats van opgenomen in de ARM-invoersjabloon.

Default value: False
--save-to-file -s

Sla uitvoerbeleid op in het opgegeven bestandspad.

--tar

Pad naar een tarball met afbeeldingslagen of een JSON-bestand met paden naar tarballen van afbeeldingslagen.

--template-file -a

Arm-sjabloonbestand invoeren.

--validate-sidecar -v

Controleer of de installatiekopieën die worden gebruikt voor het genereren van het CCE-beleid voor een sidecar-container, worden toegestaan door het gegenereerde beleid.

Default value: False
--virtual-node-yaml

YAML-bestand invoeren voor het genereren van beleid voor virtuele knooppunten.

Globale parameters
--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

--output -o

Uitvoerindeling.

Geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.

az confcom katapolicygen

Maak een vertrouwelijk containerbeveiligingsbeleid voor AKS.

az confcom katapolicygen [--config-map-file]
                         [--containerd-pull]
                         [--containerd-socket-path]
                         [--outraw]
                         [--print-policy]
                         [--print-version]
                         [--rules-file-name]
                         [--settings-file-name]
                         [--use-cached-files]
                         [--yaml]

Voorbeelden

Voer een Kubernetes YAML-bestand in om een met Base64 gecodeerd vertrouwelijk containerbeveiligingsbeleid in het YAML-bestand te injecteren

az confcom katapolicygen --yaml "./pod.json"

Voer een Kubernetes YAML-bestand in om een met Base64 gecodeerd vertrouwelijk containerbeveiligingsbeleid af te drukken op stdout

az confcom katapolicygen --yaml "./pod.json" --print-policy

Voer een Kubernetes YAML-bestand en aangepaste instellingenbestand in om een met Base64 gecodeerd vertrouwelijk containerbeveiligingsbeleid in het YAML-bestand in te voeren

az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"

Een Kubernetes YAML-bestand en een extern configuratietoewijzingsbestand invoeren

az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"

Een Kubernetes YAML-bestand en aangepaste regelsbestand invoeren

az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"

Een Kubernetes YAML-bestand invoeren met een aangepast socketpad in een container

az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"

Optionele parameters

--config-map-file -c

Pad naar configuratietoewijzingsbestand.

--containerd-pull -d

Gebruik containerd om de installatiekopie op te halen. Deze optie wordt alleen ondersteund in Linux.

Default value: False
--containerd-socket-path

Pad naar de container-socket. Deze optie wordt alleen ondersteund in Linux.

--outraw

Uitvoerbeleid in compacte JSON voor duidelijke tekst in plaats van standaard base64-indeling.

Default value: False
--print-policy

Druk het met Base64 gecodeerde gegenereerde beleid af in de terminal.

Default value: False
--print-version -v

Druk de versie van genpolicy-hulpprogramma's af.

Default value: False
--rules-file-name -p

Pad naar bestand met aangepaste regels.

--settings-file-name -j

Pad naar bestand met aangepaste instellingen.

--use-cached-files -u

Gebruik bestanden in de cache om de rekentijd te besparen.

Default value: False
--yaml -y

YAML Kubernetes-bestand invoeren.

Globale parameters
--debug

Vergroot de uitgebreidheid van logboekregistratie om alle logboeken voor foutopsporing weer te geven.

--help -h

Dit Help-bericht weergeven en afsluiten.

--only-show-errors

Alleen fouten weergeven, waarschuwingen onderdrukken.

--output -o

Uitvoerindeling.

Geaccepteerde waarden: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

JMESPath-queryreeks. Zie http://jmespath.org/ voor meer informatie en voorbeelden.

--subscription

Naam of id van het abonnement. U kunt het standaardabonnement configureren met behulp van az account set -s NAME_OR_ID.

--verbose

Vergroot de uitgebreidheid van logboekregistratie. Gebruik --debug voor volledige foutopsporingslogboeken.