az confcom
Note
Tento odkaz je součástí rozšíření confcom pro Azure CLI (verze 2.26.2 nebo vyšší). Rozšíření se automaticky nainstaluje při prvním spuštění příkazu az confcom . Přečtěte si další informace o rozšířeních.
Příkazy pro generování zásad zabezpečení pro důvěrné kontejnery v Azure
Příkazy
| Name | Description | Typ | Stav |
|---|---|---|---|
| az confcom acifragmentgen |
Vytvoření fragmentu důvěrných zásad kontejneru pro ACI |
Extension | GA |
| az confcom acipolicygen |
Vytvořte důvěrné zásady zabezpečení kontejneru pro ACI. |
Extension | GA |
| az confcom containers |
Příkazy, které generují definice kontejneru zásad zabezpečení |
Extension | GA |
| az confcom containers from_image |
Vytvořte definici kontejneru zásad zabezpečení na základě odkazu na image. |
Extension | GA |
| az confcom containers from_vn2 |
Vytvořte definice kontejneru zásad zabezpečení na základě šablony VN2. |
Extension | GA |
| az confcom fragment |
Příkazy pro zpracování fragmentů důvěrných zásad kontejneru |
Extension | GA |
| az confcom fragment attach |
Připojte fragment důvěrných zásad kontejneru k imagi v registru ORAS. |
Extension | Preview |
| az confcom fragment push |
Nasdílení fragmentu důvěrných zásad kontejneru do registru ORAS |
Extension | Preview |
| az confcom katapolicygen |
Vytvořte důvěrné zásady zabezpečení kontejneru pro AKS. |
Extension | GA |
az confcom acifragmentgen
Vytvoření fragmentu důvěrných zásad kontejneru pro ACI
az confcom acifragmentgen [--algo]
[--chain]
[--debug-mode]
[--disable-stdio]
[--enable-stdio]
[--feed]
[--fragment-path]
[--fragments-json]
[--generate-import]
[--image]
[--image-target]
[--input]
[--key]
[--minimum-svn]
[--namespace]
[--no-print]
[--omit-id]
[--out-signed-fragment]
[--output-filename]
[--outraw]
[--svn]
[--tar]
[--upload-fragment]
[--with-containers]Příklady
Zadání názvu obrázku pro vygenerování jednoduchého fragmentu
az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworldZadání konfiguračního souboru pro vygenerování fragmentu s vlastním oborem názvů a povoleným režimem ladění
az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-modeVygenerování příkazu importu pro podepsaný místní fragment
az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1Vygenerování fragmentu a podepsání COSE pomocí klíče a řetězu
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-printVygenerování importu fragmentu z názvu image
az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1Připojení fragmentu k zadanému obrázku
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>Volitelné parametry
Následující parametry jsou volitelné, ale v závislosti na kontextu se může stát, že se jeden nebo více vyžaduje, aby se příkaz úspěšně spustil.
Algoritmus používaný k podepisování fragmentu vygenerovaných zásad Musí se použít s řetězcem --key a --chain. Podporované algoritmy jsou ['PS256', 'PS384', 'PS512', 'ES256', 'ES384', 'ES512', 'EdDSA'].
| Vlastnost | Hodnota |
|---|---|
| Default value: | ES384 |
Cesta k souboru řetězu certifikátů ve formátu .pem, který se má použít k podepisování fragmentu vygenerované zásady. Musí se použít s --key.
Pokud je tato možnost povolená, vygenerovaná zásada zabezpečení přidá možnost k ladění kontejneru použít /bin/sh nebo /bin/bash. Povolil také přístup stdio, možnost výpisu trasování zásobníku a povolil protokolování za běhu. Tuto možnost doporučujeme použít pouze pro účely ladění.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Pokud je tato možnost povolená, kontejnery ve skupině kontejnerů nemají přístup ke stdio.
Povolte standardní vstupně-výstupní streamy, aby kontejner opustil.
Informační kanál, který se má použít pro vygenerovaný fragment zásad. To je obvykle stejné jako název image při použití fragmentů připojených k obrázku. Je to umístění ve vzdáleném úložišti, kde se fragment uloží.
Cesta k existujícímu souboru fragmentu podepsané zásady, který se má použít s --generate-import. Tato možnost umožňuje vytvořit příkazy importu pro zadaný fragment, aniž byste je museli explicitně načíst z registru OCI. Může se jednat o místní cestu nebo odkaz na registr OCI. U místních fragmentů zůstane soubor ve stejném umístění. U vzdálených fragmentů se soubor po zpracování stáhne a vyčistí.
Cesta k souboru JSON, který uloží informace o importu fragmentu vygenerované při použití příkazu --generate-import. Tento soubor lze později přenést do příkazu generování zásad (acipolicygen), který bude zahrnovat fragment do nové nebo existující zásady. Pokud není zadaný, příkaz importu se vytiskne do konzoly místo uložení do souboru.
Vygenerujte příkaz importu pro fragment zásady.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Obrázek, který se má použít pro vygenerovaný fragment zásad
Cíl image, ve kterém je připojený vygenerovaný fragment zásad.
Cesta k souboru JSON obsahujícímu konfiguraci pro vygenerovaný fragment zásad
Cesta k souboru klíče ve formátu .pem, který se má použít k podepisování fragmentu vygenerované zásady. Musí se použít s řetězcem --chain.
Používá se s parametrem --generate-import k určení minimální hodnoty SVN pro příkaz import.
Obor názvů, který se má použít pro vygenerovaný fragment zásad.
Nevytiskněte vygenerovaný fragment zásad do souboru stdout.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Pokud je tato možnost povolená, vygenerovaná zásada nebude obsahovat pole ID. Zásady tak nebudou svázané s konkrétním názvem a značkou image. To je užitečné, pokud se použitá image bude vyskytovat ve více registrech a bude se používat zaměnitelně.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Vygenerujte pouze podepsané bajty fragmentu.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Uložte výstupní zásady do dané cesty k souboru.
Výstupní zásady v kompaktním formátu JSON s prostým textem místo výchozího poměrně tiskového formátu.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Minimální povolené číslo verze softwaru pro vygenerovaný fragment zásad. To by mělo být monotonicky rostoucí celé číslo.
Cesta k tarballu obsahující vrstvy obrázků nebo k souboru JSON, který obsahuje cesty k tarballům vrstev obrázků.
Pokud je tato možnost povolená, nahraje se fragment vygenerované zásady do registru použité image.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Definice kontejnerů, které se mají zahrnout do zásad.
Globální parametry
Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Zobrazte tuto zprávu nápovědy a ukončete ji.
Zobrazit pouze chyby, potlačit upozornění.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Výstupní formát
| Vlastnost | Hodnota |
|---|---|
| Default value: | json |
| Přípustné hodnoty: | json, jsonc, none, table, tsv, yaml, yamlc |
Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.
Název nebo ID předplatného Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.
Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
az confcom acipolicygen
Vytvořte důvěrné zásady zabezpečení kontejneru pro ACI.
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--enable-stdio]
[--exclude-default-fragments]
[--faster-hashing]
[--fragments-json]
[--image]
[--include-fragments]
[--infrastructure-svn]
[--input]
[--omit-id]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]
[--virtual-node-yaml]
[--with-containers]Příklady
Zadání souboru šablony ARM pro vložení důvěrných zásad zabezpečení kontejneru s kódováním Base64 do šablony ARM
az confcom acipolicygen --template-file "./template.json"Zadání souboru šablony ARM pro vytvoření důvěrných zásad zabezpečení kontejneru čitelné pro člověka
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-printZadání souboru šablony ARM pro uložení důvěrných zásad zabezpečení kontejneru do souboru jako text s kódováním base64
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policyZadejte soubor šablony ARM a místo démona Dockeru použijte soubor tar jako zdroj image.
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"Zadejte soubor šablony ARM a k vygenerování zásad použijte soubor JSON fragmentů.
az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragmentsVolitelné parametry
Následující parametry jsou volitelné, ale v závislosti na kontextu se může stát, že se jeden nebo více vyžaduje, aby se příkaz úspěšně spustil.
Pokud je tato možnost povolená, všechny výzvy k použití zástupných znaků v proměnných prostředí se automaticky schválí.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Pokud je tato možnost povolená, vygenerovaná zásada zabezpečení přidá možnost k ladění kontejneru použít /bin/sh nebo /bin/bash. Povolil také přístup stdio, možnost výpisu trasování zásobníku a povolil protokolování za běhu. Tuto možnost doporučujeme použít pouze pro účely ladění.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
V kombinaci se vstupním souborem šablony ARM (nebo souborem YAML pro generování zásad virtuálního uzlu) ověří zásady uvedené v šabloně ARM v části ccePolicy a kontejnery v souboru jsou kompatibilní. Pokud nejsou kompatibilní, zobrazí se seznam důvodů a stavový kód ukončení bude 2.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Pokud je tato možnost povolená, kontejnery ve skupině kontejnerů nemají přístup ke stdio.
Povolte standardní vstupně-výstupní streamy, aby kontejner opustil.
Pokud je tato možnost povolená, výchozí fragmenty se do vygenerovaných zásad nezahrnou. To zahrnuje kontejnery potřebné k připojení souborů Azure, připojení tajných kódů, připojení úložišť Git a dalších běžných funkcí ACI.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Pokud je tato možnost povolená, algoritmus hash použitý k vygenerování zásad je rychlejší, ale méně efektivní paměť.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Cesta k souboru JSON obsahujícímu informace o fragmentu, které se mají použít k vygenerování zásad To vyžaduje povolení fragmentů zahrnutí.
Název vstupního obrázku
Pokud je tato možnost povolená, cesta zadaná parametrem --fragments-json se použije k načtení fragmentů z registru OCI nebo místně a zahrnout je do vygenerovaných zásad.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Minimální povolené číslo verze softwaru pro fragment infrastruktury
Vstupní konfigurační soubor JSON
Pokud je tato možnost povolená, vygenerovaná zásada nebude obsahovat pole ID. Zásady tak nebudou svázané s konkrétním názvem a značkou image. To je užitečné, pokud se použitá image bude vyskytovat ve více registrech a bude se používat zaměnitelně.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Výstupní zásady v kompaktním formátu JSON s prostým textem místo výchozího formátu base64.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Výstupní zásady ve formátu prostého textu a v poměrně tiskovém formátu.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Vstupní soubor parametrů, který volitelně doprovází šablonu ARM.
Pokud je tato možnost povolená, existující zásady zabezpečení, které jsou přítomné v šabloně ARM, se vytisknou na příkazový řádek a nevygenerují se žádné nové zásady zabezpečení.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Pokud je tato možnost povolená, vygenerovaná zásada zabezpečení se místo vložení do vstupní šablony ARM vytiskne na příkazový řádek.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Uložte výstupní zásady do dané cesty k souboru.
Cesta k tarballu obsahující vrstvy obrázků nebo k souboru JSON, který obsahuje cesty k tarballům vrstev obrázků.
Vstupní soubor šablony ARM
Ověřte, že image použitá k vygenerování zásad CCE pro kontejner sajdkáře bude povolena jeho vygenerovanými zásadami.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Vstupní soubor YAML pro generování zásad virtuálního uzlu
Definice kontejnerů, které se mají zahrnout do zásad.
Globální parametry
Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Zobrazte tuto zprávu nápovědy a ukončete ji.
Zobrazit pouze chyby, potlačit upozornění.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Výstupní formát
| Vlastnost | Hodnota |
|---|---|
| Default value: | json |
| Přípustné hodnoty: | json, jsonc, none, table, tsv, yaml, yamlc |
Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.
Název nebo ID předplatného Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.
Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
az confcom katapolicygen
Vytvořte důvěrné zásady zabezpečení kontejneru pro AKS.
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]Příklady
Zadání souboru YAML Kubernetes pro vložení důvěrných zásad zabezpečení kontejneru s kódováním Base64 do souboru YAML
az confcom katapolicygen --yaml "./pod.json"Zadání souboru YAML Kubernetes pro tisk důvěrných zásad zabezpečení kontejneru s kódováním Base64 do stdout
az confcom katapolicygen --yaml "./pod.json" --print-policyZadejte soubor YAML Kubernetes a soubor vlastního nastavení pro vložení důvěrných zásad zabezpečení kontejneru s kódováním Base64 do souboru YAML.
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"Zadání souboru YAML Kubernetes a souboru mapování externí konfigurace
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"Zadání souboru YAML Kubernetes a souboru vlastních pravidel
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"Zadání souboru YAML Kubernetes s vlastní cestou kontejnerového soketu
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"Volitelné parametry
Následující parametry jsou volitelné, ale v závislosti na kontextu se může stát, že se jeden nebo více vyžaduje, aby se příkaz úspěšně spustil.
Cesta ke konfiguračnímu souboru mapování
K načtení image použijte kontejner. Tato možnost je podporována pouze v Linuxu.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Cesta ke kontejnerovanému soketu. Tato možnost je podporována pouze v Linuxu.
Výstupní zásady v kompaktním formátu JSON s prostým textem místo výchozího formátu base64.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Vytiskněte v terminálu vygenerovanou zásadu s kódováním Base64.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Vytiskněte verzi nástrojů genpolicy.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Cesta k souboru vlastních pravidel
Cesta k souboru vlastního nastavení
Pomocí souborů uložených v mezipaměti můžete ušetřit čas výpočtu.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Vstupní soubor YAML Kubernetes
Globální parametry
Zvyšte úroveň podrobností protokolování, aby se zobrazily všechny protokoly ladění.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Zobrazte tuto zprávu nápovědy a ukončete ji.
Zobrazit pouze chyby, potlačit upozornění.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
Výstupní formát
| Vlastnost | Hodnota |
|---|---|
| Default value: | json |
| Přípustné hodnoty: | json, jsonc, none, table, tsv, yaml, yamlc |
Řetězec dotazu JMESPath Další http://jmespath.org/ informace a příklady najdete v tématu.
Název nebo ID předplatného Výchozí předplatné můžete nakonfigurovat pomocí az account set -s NAME_OR_ID.
Zvyšte úroveň podrobností protokolování. K úplnému ladění protokolů použijte příkaz --debug.
| Vlastnost | Hodnota |
|---|---|
| Default value: | False |
