Поделиться через

az confcom

  • Ссылка

Примечание.

Эта ссылка является частью расширения confcom для Azure CLI (версия 2.26.2 или более поздней). Расширение будет автоматически устанавливаться при первом запуске команды az confcom . Подробнее о расширениях.

Команды для создания политик безопасности для конфиденциальных контейнеров в Azure.

Команды

Имя Описание Тип Состояние
az confcom acifragmentgen

Создайте фрагмент политики конфиденциального контейнера для ACI.

 Расширение Общедоступная версия
az confcom acipolicygen

Создайте политику безопасности конфиденциального контейнера для ACI.

 Расширение Общедоступная версия
az confcom katapolicygen

Создайте политику безопасности конфиденциального контейнера для AKS.

 Расширение Общедоступная версия

az confcom acifragmentgen

Создайте фрагмент политики конфиденциального контейнера для ACI.

az confcom acifragmentgen [--algo]
                          [--chain]
                          [--debug-mode]
                          [--disable-stdio]
                          [--feed]
                          [--fragment-path]
                          [--fragments-json]
                          [--generate-import]
                          [--image]
                          [--image-target]
                          [--input]
                          [--key]
                          [--minimum-svn]
                          [--namespace]
                          [--no-print]
                          [--omit-id]
                          [--output-filename]
                          [--outraw]
                          [--svn]
                          [--tar]
                          [--upload-fragment]

Примеры

Ввод имени изображения для создания простого фрагмента

az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworld

Ввод файла конфигурации для создания фрагмента с включенным пользовательским пространством имен и режимом отладки

az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-mode

Создание инструкции импорта для подписанного локального фрагмента

az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1

Создание фрагмента и подписывания COSE с помощью ключа и цепочки

az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-print

Создание импорта фрагмента из имени образа

az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1

Присоединение фрагмента к указанному изображению

az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>

Необязательные параметры

--algo

Алгоритм, используемый для подписывания созданного фрагмента политики. Это необходимо использовать с --key и --chain. Поддерживаемые алгоритмы: ['PS256', PS384,PS512', 'ES256', 'ES384', 'ES512', 'EdDSA'].

Default value: ES384
--chain

Путь к файлу цепочки сертификатов в формате PEM для подписи созданного фрагмента политики. Это необходимо использовать с ключом --key.

--debug-mode

При включении созданная политика безопасности добавляет возможность использовать /bin/sh или /bin/bash для отладки контейнера. Он также включил доступ stdio, возможность дампа трассировок стека и включает ведение журнала среды выполнения. Этот параметр рекомендуется использовать только для отладки.

Default value: False
--disable-stdio

При включении контейнеры в группе контейнеров не имеют доступа к stdio.

Default value: False
--feed -f

Веб-канал, используемый для созданного фрагмента политики. Обычно это совпадает с именем образа при использовании фрагментов, подключенных к изображению. Это расположение в удаленном репозитории, где будет храниться фрагмент.

--fragment-path -p

Путь к существующему файлу фрагмента политики, который будет использоваться с --generate-import. Этот параметр позволяет создавать инструкции импорта для указанного фрагмента без необходимости извлекать его из реестра OCI.

--fragments-json -j

Путь к JSON-файлу, который будет хранить сведения импорта фрагмента, созданные при использовании --generate-import. Этот файл может быть переведен в команду создания политики (acipolicygen), чтобы включить фрагмент в новую или существующую политику. Если это не указано, инструкция импорта будет напечатана в консоли вместо сохранения в файле.

--generate-import -g

Создайте инструкцию импорта для фрагмента политики.

Default value: False
--image

Изображение, используемое для созданного фрагмента политики.

--image-target

Целевой объект изображения, в котором подключен созданный фрагмент политики.

--input -i

Путь к JSON-файлу с конфигурацией для созданного фрагмента политики.

--key -k

Путь к pem-файлу отформатированного ключа для подписи созданного фрагмента политики. Это необходимо использовать с цепочкой --chain.

--minimum-svn

Используется с параметром --generate-import для указания минимального SVN для инструкции импорта.

--namespace -n

Пространство имен, используемое для созданного фрагмента политики.

--no-print

Не печатайте созданный фрагмент политики в stdout.

Default value: False
--omit-id

Если эта политика включена, созданная политика не будет содержать поле идентификатора. При этом политика будет привязана к определенному имени изображения и тегу. Это полезно, если используемый образ будет присутствовать в нескольких реестрах и используется взаимозаменяемо.

Default value: False
--output-filename

Сохраните политику вывода в заданный путь к файлу.

--outraw

Политика вывода в виде четкого текста с компактным форматом JSON вместо формата печати по умолчанию.

Default value: False
--svn

Минимальный допустимый номер версии программного обеспечения для созданного фрагмента политики. Это должно быть монотонно увеличивающееся целое число.

--tar

Путь к тарболу, содержащей слои изображений или JSON-файл, содержащий пути к тарболам слоев изображений.

--upload-fragment -u

При включении созданный фрагмент политики будет отправлен в реестр используемого образа.

Default value: False
Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az confcom acipolicygen

Создайте политику безопасности конфиденциального контейнера для ACI.

az confcom acipolicygen [--approve-wildcards]
                        [--debug-mode]
                        [--diff]
                        [--disable-stdio]
                        [--exclude-default-fragments]
                        [--faster-hashing]
                        [--fragments-json]
                        [--image]
                        [--include-fragments]
                        [--infrastructure-svn]
                        [--input]
                        [--omit-id]
                        [--outraw]
                        [--outraw-pretty-print]
                        [--parameters]
                        [--print-existing-policy]
                        [--print-policy]
                        [--save-to-file]
                        [--tar]
                        [--template-file]
                        [--validate-sidecar]
                        [--virtual-node-yaml]

Примеры

Ввод файла шаблона ARM для внедрения в шаблон ARM политики безопасности конфиденциального контейнера в кодировке Base64

az confcom acipolicygen --template-file "./template.json"

Ввод файла шаблона ARM для создания политики безопасности конфиденциального контейнера, доступной для чтения пользователем

az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print

Ввод файла шаблона ARM для сохранения конфиденциальной политики безопасности контейнера в файл в виде текста в кодировке Base64

az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policy

Введите файл шаблона ARM и используйте tar-файл в качестве источника образа вместо управляющей программы Docker

az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"

Ввод файла шаблона ARM и использование фрагментов JSON-файла для создания политики

az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragments

Необязательные параметры

--approve-wildcards -y

При включении все запросы на использование подстановочных знаков в переменных среды автоматически утверждены.

Default value: False
--debug-mode

При включении созданная политика безопасности добавляет возможность использовать /bin/sh или /bin/bash для отладки контейнера. Он также включил доступ stdio, возможность дампа трассировок стека и включает ведение журнала среды выполнения. Этот параметр рекомендуется использовать только для отладки.

Default value: False
--diff -d

При сочетании с входным файлом шаблона ARM (или YAML-файлом для создания политики виртуального узла) проверяет политику, представленную в шаблоне ARM в разделе "ccePolicy", и контейнеры в файле совместимы. Если они несовместимы, указан список причин, и код состояния выхода будет 2.

Default value: False
--disable-stdio

При включении контейнеры в группе контейнеров не имеют доступа к stdio.

Default value: False
--exclude-default-fragments -e

При включении фрагменты по умолчанию не включаются в созданную политику. Сюда входят контейнеры, необходимые для подключения файлов Azure, подключения секретов, репозиториев git и других распространенных функций ACI.

Default value: False
--faster-hashing

При включении алгоритм хэширования, используемый для создания политики, быстрее, но меньше памяти.

Default value: False
--fragments-json -j

Путь к JSON-файлу, содержащий сведения о фрагментах, используемых для создания политики. Для этого требуется включить фрагменты --include-.

--image

Имя входного изображения.

--include-fragments -f

При включении путь, указанный в файле --fragments-json, будет использоваться для извлечения фрагментов из реестра OCI или локально и включения их в созданную политику.

Default value: False
--infrastructure-svn

Минимальный допустимый номер версии программного обеспечения для фрагмента инфраструктуры.

--input -i

Входной файл конфигурации JSON.

--omit-id

Если эта политика включена, созданная политика не будет содержать поле идентификатора. При этом политика будет привязана к определенному имени изображения и тегу. Это полезно, если используемый образ будет присутствовать в нескольких реестрах и используется взаимозаменяемо.

Default value: False
--outraw

Политика вывода в виде чистого текста с компактным форматом JSON вместо формата Base64 по умолчанию.

Default value: False
--outraw-pretty-print

Политика вывода в виде четкого текста и довольно формат печати.

Default value: False
--parameters -p

Файл входных параметров для дополнительного сопровождения шаблона ARM.

--print-existing-policy

При включении существующая политика безопасности, которая присутствует в шаблоне ARM, печатается в командной строке, и новая политика безопасности не создается.

Default value: False
--print-policy

При включении созданная политика безопасности выводится в командную строку вместо внедрения в входной шаблон ARM.

Default value: False
--save-to-file -s

Сохраните политику вывода в заданный путь к файлу.

--tar

Путь к тарболу, содержащей слои изображений или JSON-файл, содержащий пути к тарболам слоев изображений.

--template-file -a

Входной файл шаблона ARM.

--validate-sidecar -v

Убедитесь, что образ, используемый для создания политики CCE для контейнера бокового контейнера, будет разрешен с помощью созданной политики.

Default value: False
--virtual-node-yaml

Входной файл YAML для создания политики виртуального узла.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.

az confcom katapolicygen

Создайте политику безопасности конфиденциального контейнера для AKS.

az confcom katapolicygen [--config-map-file]
                         [--containerd-pull]
                         [--containerd-socket-path]
                         [--outraw]
                         [--print-policy]
                         [--print-version]
                         [--rules-file-name]
                         [--settings-file-name]
                         [--use-cached-files]
                         [--yaml]

Примеры

Ввод файла YAML Kubernetes для внедрения политики безопасности конфиденциального контейнера в YAML-файл в кодировке Base64

az confcom katapolicygen --yaml "./pod.json"

Ввод файла YAML Kubernetes для печати политики безопасности конфиденциального контейнера в кодировке Base64 в stdout

az confcom katapolicygen --yaml "./pod.json" --print-policy

Введите файл YAML Kubernetes и пользовательский файл параметров, чтобы внедрить в YAML-файл политику безопасности конфиденциального контейнера в кодировке Base64.

az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"

Ввод файла YAML Kubernetes и внешнего файла карты конфигурации

az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"

Ввод файла YAML Kubernetes и пользовательского файла правил

az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"

Ввод файла YAML Kubernetes с помощью пользовательского пути сокета контейнера

az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"

Необязательные параметры

--config-map-file -c

Путь к файлу карты конфигурации.

--containerd-pull -d

Используйте контейнер для извлечения изображения. Этот параметр поддерживается только в Linux.

Default value: False
--containerd-socket-path

Путь к контейнеру сокета. Этот параметр поддерживается только в Linux.

--outraw

Политика вывода в виде чистого текста с компактным форматом JSON вместо формата Base64 по умолчанию.

Default value: False
--print-policy

Печать созданной политики в кодировке Base64 в терминале.

Default value: False
--print-version -v

Печать версии инструментов genpolicy.

Default value: False
--rules-file-name -p

Путь к файлу пользовательских правил.

--settings-file-name -j

Путь к файлу пользовательских параметров.

--use-cached-files -u

Использование кэшированных файлов для экономии времени вычислений.

Default value: False
--yaml -y

Входной файл YAML Kubernetes.

Глобальные параметры
--debug

Повышение уровня детализации журнала для включения всех журналов отладки.

--help -h

Отображение этого справочного сообщения и выход.

--only-show-errors

Показывать только ошибки, блокируя предупреждения.

--output -o

Формат вывода.

Допустимые значения: json, jsonc, none, table, tsv, yaml, yamlc
Default value: json
--query

Строка запроса JMESPath. Дополнительные сведения и примеры см. в разделе http://jmespath.org/.

--subscription

Имя или идентификатор подписки Подписку по умолчанию можно настроить с помощью az account set -s NAME_OR_ID.

--verbose

Повышение уровня детализации журнала. Чтобы включить полные журналы отладки, используйте параметр --debug.