Olvasás angol nyelven

Megosztás a következőn keresztül:


az confcom

Megjegyzés

Ez a hivatkozás az Azure CLI confcom bővítményének része (2.26.2-es vagy újabb verzió). A bővítmény automatikusan telepíti az az confcom parancs első futtatásakor. További információ a bővítményekről.

Parancsok a bizalmas tárolók biztonsági szabályzatainak létrehozásához az Azure-ban.

Parancsok

Name Description Típus Állapot
az confcom acifragmentgen

Hozzon létre egy bizalmas tárolóházirend-töredéket az ACI-hez.

Mellék FE
az confcom acipolicygen

Hozzon létre egy bizalmas tárolóbiztonsági szabályzatot az ACI-hez.

Mellék FE
az confcom katapolicygen

Hozzon létre egy bizalmas tárolóbiztonsági szabályzatot az AKS-hez.

Mellék FE

az confcom acifragmentgen

Hozzon létre egy bizalmas tárolóházirend-töredéket az ACI-hez.

az confcom acifragmentgen [--algo]
                          [--chain]
                          [--debug-mode]
                          [--disable-stdio]
                          [--feed]
                          [--fragment-path]
                          [--fragments-json]
                          [--generate-import]
                          [--image]
                          [--image-target]
                          [--input]
                          [--key]
                          [--minimum-svn]
                          [--namespace]
                          [--no-print]
                          [--omit-id]
                          [--output-filename]
                          [--outraw]
                          [--svn]
                          [--tar]
                          [--upload-fragment]

Példák

Képnév bevitele egyszerű töredék létrehozásához

az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworld

Konfigurációs fájl bemenete egy töredék létrehozásához, amely engedélyezve van egy egyéni névtérrel és hibakeresési móddal

az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-mode

Importálási utasítás létrehozása aláírt helyi töredékhez

az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1

Töredék létrehozása és COSE aláírása egy kulccsal és lánccal

az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-print

Töredék importálásának létrehozása képnévből

az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1

Töredék csatolása egy megadott képhez

az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>

Opcionális paraméterek

--algo

A létrehozott szabályzattöredék aláírásához használt algoritmus. Ezt a --key és a --chain billentyűvel kell használni. A támogatott algoritmusok a következők: "PS256", "PS384", "PS512", "ES256", "ES384", "ES512", "EdDSA".

Alapértelmezett érték: ES384
--chain

A létrehozott szabályzattöredék aláírásához használandó .pem formátumú tanúsítványláncfájl elérési útja. Ezt a --key billentyűvel kell használni.

--debug-mode

Ha engedélyezve van, a létrehozott biztonsági szabályzat lehetővé teszi a /bin/sh vagy a /bin/bash használatát a tároló hibakereséséhez. Emellett lehetővé tette az stdio-hozzáférést, a verem nyomkövetésének memóriaképét, és lehetővé teszi a futtatókörnyezet naplózását. Javasoljuk, hogy ezt a lehetőséget csak hibakeresési célokra használja.

Alapértelmezett érték: False
--disable-stdio

Ha engedélyezve van, a tárolócsoport tárolói nem férnek hozzá az stdiohoz.

Alapértelmezett érték: False
--feed -f

A létrehozott szabályzattöredékhez használandó hírcsatorna. Ez általában megegyezik a kép nevével a képhez csatolt töredékek használatakor. Ez a hely a távoli adattárban, ahol a töredék lesz tárolva.

--fragment-path -p

A --generate-import használatával használandó meglévő szabályzattöredékfájl elérési útja. Ezzel a beállítással anélkül hozhat létre importálási utasításokat a megadott töredékhez, hogy le kellene kérnie egy OCI-beállításjegyzékből.

--fragments-json -j

Egy JSON-fájl elérési útja, amely tárolja a --generate-import használatakor létrehozott töredékimportálási információkat. Ez a fájl később a szabályzatgenerálási parancsba (acipolicygen) is betáplálható, hogy a töredék bekerüljön egy új vagy meglévő szabályzatba. Ha nincs megadva, az importálási utasítás a fájlba mentés helyett a konzolra lesz nyomtatva.

--generate-import -g

Hozzon létre egy importálási utasítást egy szabályzattöredékhez.

Alapértelmezett érték: False
--image

A létrehozott szabályzattöredékhez használandó kép.

--image-target

A rendszerkép célja, ahol a létrehozott szabályzattöredék csatolva van.

--input -i

A létrehozott szabályzattöredék konfigurációját tartalmazó JSON-fájl elérési útja.

--key -k

A létrehozott szabályzattöredék aláírásához használandó .pem formátumú kulcsfájl elérési útja. Ezt a --chain használatával kell használni.

--minimum-svn

A --generate-import használatával adja meg az importálási utasítás minimális SVN-jének megadását.

--namespace -n

A létrehozott szabályzattöredékhez használandó névtér.

--no-print

Ne nyomtassa ki a létrehozott szabályzatrészletet a stdout fájlba.

Alapértelmezett érték: False
--omit-id

Ha engedélyezve van, a létrehozott szabályzat nem tartalmazza az azonosító mezőt. Így a szabályzat nem lesz egy adott képnévhez és címkéhez kötve. Ez akkor hasznos, ha a használt rendszerkép több adatbázisban is jelen lesz, és felcserélhetően lesz használva.

Alapértelmezett érték: False
--output-filename

Mentse a kimeneti házirendet a megadott fájl elérési útjára.

--outraw

Kimeneti házirend világos szöveges kompakt JSON-ban az alapértelmezett szép nyomtatási formátum helyett.

Alapértelmezett érték: False
--svn

A létrehozott szabályzattöredék minimális engedélyezett szoftververziószáma. Ennek monoton módon növekvő egész számnak kell lennie.

--tar

A képrétegeket tartalmazó tarball elérési útja, vagy egy JSON-fájl, amely a képrétegek tarballjainak elérési útját tartalmazza.

--upload-fragment -u

Ha engedélyezve van, a létrehozott szabályzatrészlet fel lesz töltve a használt rendszerkép beállításjegyzékére.

Alapértelmezett érték: False
Globális paraméterek
--debug

Növelje a naplózás részletességét az összes hibakeresési napló megjelenítéséhez.

--help -h

Jelenítse meg ezt a súgóüzenetet, és lépjen ki.

--only-show-errors

Csak a hibák megjelenítése, a figyelmeztetések mellőzése.

--output -o

Kimeneti formátum.

Elfogadott értékek: json, jsonc, none, table, tsv, yaml, yamlc
Alapértelmezett érték: json
--query

JMESPath lekérdezési sztring. További információkért és példákért lásd http://jmespath.org/ .

--subscription

Az előfizetés neve vagy azonosítója. Az alapértelmezett előfizetést konfigurálhatja a következővel az account set -s NAME_OR_ID: .

--verbose

A naplózás részletességének növelése. Használja a --debug parancsot a teljes hibakeresési naplókhoz.

az confcom acipolicygen

Hozzon létre egy bizalmas tárolóbiztonsági szabályzatot az ACI-hez.

az confcom acipolicygen [--approve-wildcards]
                        [--debug-mode]
                        [--diff]
                        [--disable-stdio]
                        [--exclude-default-fragments]
                        [--faster-hashing]
                        [--fragments-json]
                        [--image]
                        [--include-fragments]
                        [--infrastructure-svn]
                        [--input]
                        [--omit-id]
                        [--outraw]
                        [--outraw-pretty-print]
                        [--parameters]
                        [--print-existing-policy]
                        [--print-policy]
                        [--save-to-file]
                        [--tar]
                        [--template-file]
                        [--validate-sidecar]
                        [--virtual-node-yaml]

Példák

ARM-sablonfájl bevitele base64 kódolású bizalmas tároló biztonsági szabályzatának az ARM-sablonba való beszúrásához

az confcom acipolicygen --template-file "./template.json"

ARM-sablonfájl bevitele emberi olvasásra alkalmas bizalmas tároló biztonsági szabályzat létrehozásához

az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print

Arm-sablonfájl bevitele a bizalmas tároló biztonsági házirendjének base64 kódolású szövegként való mentéséhez

az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policy

ARM-sablonfájl bevitele, és a Docker-démon helyett egy kátrányfájl használata képforrásként

az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"

ARM-sablonfájl bevitele és egy töredék JSON-fájl használata szabályzat létrehozásához

az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragments

Opcionális paraméterek

--approve-wildcards -y

Ha engedélyezve van, a rendszer automatikusan jóváhagyja a helyettesítő karakterek környezeti változókban való használatát.

Alapértelmezett érték: False
--debug-mode

Ha engedélyezve van, a létrehozott biztonsági szabályzat lehetővé teszi a /bin/sh vagy a /bin/bash használatát a tároló hibakereséséhez. Emellett lehetővé tette az stdio-hozzáférést, a verem nyomkövetésének memóriaképét, és lehetővé teszi a futtatókörnyezet naplózását. Javasoljuk, hogy ezt a lehetőséget csak hibakeresési célokra használja.

Alapértelmezett érték: False
--diff -d

Ha egy bemeneti ARM-sablonfájllal (vagy a virtuáliscsomópont-házirend létrehozásához használható YAML-fájllal) kombinálva ellenőrzi, hogy az ARM-sablonban található szabályzat a "ccePolicy" alatt található-e, és a fájlban lévő tárolók kompatibilisek-e. Ha nem kompatibilisek, megjelenik az okok listája, és a kilépési állapot kódja 2 lesz.

Alapértelmezett érték: False
--disable-stdio

Ha engedélyezve van, a tárolócsoport tárolói nem férnek hozzá az stdiohoz.

Alapértelmezett érték: False
--exclude-default-fragments -e

Ha engedélyezve van, az alapértelmezett töredékek nem szerepelnek a létrehozott szabályzatban. Ide tartoznak az Azure-fájlok csatlakoztatásához, a titkos kódok csatlakoztatásához, a Git-adattárak csatlakoztatásához és más gyakori ACI-funkciókhoz szükséges tárolók.

Alapértelmezett érték: False
--faster-hashing

Ha engedélyezve van, a szabályzat létrehozásához használt kivonatoló algoritmus gyorsabb, de kevésbé memóriahatékony.

Alapértelmezett érték: False
--fragments-json -j

A szabályzat létrehozásához használandó töredékadatokat tartalmazó JSON-fájl elérési útja. Ehhez engedélyezni kell a --include-fragments elemet.

--image

Bemeneti kép neve.

--include-fragments -f

Ha engedélyezve van, a --fragments-json által megadott elérési út használatával lekérheti a töredékeket egy OCI-beállításjegyzékből vagy helyileg, és belefoglalja őket a létrehozott szabályzatba.

Alapértelmezett érték: False
--infrastructure-svn

Az infrastruktúratöredék minimális engedélyezett szoftververziószáma.

--input -i

Bemeneti JSON-konfigurációs fájl.

--omit-id

Ha engedélyezve van, a létrehozott szabályzat nem tartalmazza az azonosító mezőt. Így a szabályzat nem lesz egy adott képnévhez és címkéhez kötve. Ez akkor hasznos, ha a használt rendszerkép több adatbázisban is jelen lesz, és felcserélhetően lesz használva.

Alapértelmezett érték: False
--outraw

Kimeneti házirend az alapértelmezett base64 formátum helyett tiszta szöveges kompakt JSON-formátumban.

Alapértelmezett érték: False
--outraw-pretty-print

Kimeneti szabályzat világos szövegben és szép nyomtatási formátumban.

Alapértelmezett érték: False
--parameters -p

Bemeneti paraméterek fájlja, amely opcionálisan csatol egy ARM-sablont.

--print-existing-policy

Ha engedélyezve van, az ARM-sablonban található meglévő biztonsági szabályzat a parancssorba lesz nyomtatva, és nem jön létre új biztonsági szabályzat.

Alapértelmezett érték: False
--print-policy

Ha engedélyezve van, a rendszer a létrehozott biztonsági szabályzatot a parancssorba nyomtatja ahelyett, hogy a bemeneti ARM-sablonba injektálná.

Alapértelmezett érték: False
--save-to-file -s

Mentse a kimeneti házirendet a megadott fájl elérési útjára.

--tar

A képrétegeket tartalmazó tarball elérési útja, vagy egy JSON-fájl, amely a képrétegek tarballjainak elérési útját tartalmazza.

--template-file -a

Bemeneti ARM-sablonfájl.

--validate-sidecar -v

Ellenőrizze, hogy az oldalkocsis tárolók CCE-szabályzatának létrehozásához használt rendszerképet a létrehozott szabályzat engedélyezi-e.

Alapértelmezett érték: False
--virtual-node-yaml

Bemeneti YAML-fájl a virtuális csomópont házirendjének létrehozásához.

Globális paraméterek
--debug

Növelje a naplózás részletességét az összes hibakeresési napló megjelenítéséhez.

--help -h

Jelenítse meg ezt a súgóüzenetet, és lépjen ki.

--only-show-errors

Csak a hibák megjelenítése, a figyelmeztetések mellőzése.

--output -o

Kimeneti formátum.

Elfogadott értékek: json, jsonc, none, table, tsv, yaml, yamlc
Alapértelmezett érték: json
--query

JMESPath lekérdezési sztring. További információkért és példákért lásd http://jmespath.org/ .

--subscription

Az előfizetés neve vagy azonosítója. Az alapértelmezett előfizetést konfigurálhatja a következővel az account set -s NAME_OR_ID: .

--verbose

A naplózás részletességének növelése. Használja a --debug parancsot a teljes hibakeresési naplókhoz.

az confcom katapolicygen

Hozzon létre egy bizalmas tárolóbiztonsági szabályzatot az AKS-hez.

az confcom katapolicygen [--config-map-file]
                         [--containerd-pull]
                         [--containerd-socket-path]
                         [--outraw]
                         [--print-policy]
                         [--print-version]
                         [--rules-file-name]
                         [--settings-file-name]
                         [--use-cached-files]
                         [--yaml]

Példák

Kubernetes YAML-fájl bevitele base64 kódolású bizalmas tároló biztonsági szabályzatának a YAML-fájlba való beszúrásához

az confcom katapolicygen --yaml "./pod.json"

Kubernetes YAML-fájl bemenete base64 kódolású bizalmas tároló biztonsági szabályzatának nyomtatásához

az confcom katapolicygen --yaml "./pod.json" --print-policy

Kubernetes YAML-fájl és egyéni beállításfájl bevitele base64 kódolású bizalmas tároló biztonsági szabályzatának a YAML-fájlba való beszúrásához

az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"

Kubernetes YAML-fájl és külső konfigurációtérképfájl bemenete

az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"

Kubernetes YAML-fájl és egyéni szabályfájl bevitele

az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"

Kubernetes YAML-fájl bemenete egyéni tárolócsatorna-elérési úttal

az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"

Opcionális paraméterek

--config-map-file -c

A konfigurációs térképfájl elérési útja.

--containerd-pull -d

A rendszerkép lekérése tárolóval. Ez a beállítás csak Linuxon támogatott.

Alapértelmezett érték: False
--containerd-socket-path

A tárolócsatorna elérési útja. Ez a beállítás csak Linuxon támogatott.

--outraw

Kimeneti házirend az alapértelmezett base64 formátum helyett tiszta szöveges kompakt JSON-formátumban.

Alapértelmezett érték: False
--print-policy

A base64 kódolású generált szabályzat nyomtatása a terminálon.

Alapértelmezett érték: False
--print-version -v

Nyomtassa ki a genpolicy eszközkészlet verzióját.

Alapértelmezett érték: False
--rules-file-name -p

Egyéni szabályfájl elérési útja.

--settings-file-name -j

Az egyéni beállításfájl elérési útja.

--use-cached-files -u

Gyorsítótárazott fájlok használatával időt takaríthat meg.

Alapértelmezett érték: False
--yaml -y

Bemeneti YAML Kubernetes-fájl.

Globális paraméterek
--debug

Növelje a naplózás részletességét az összes hibakeresési napló megjelenítéséhez.

--help -h

Jelenítse meg ezt a súgóüzenetet, és lépjen ki.

--only-show-errors

Csak a hibák megjelenítése, a figyelmeztetések mellőzése.

--output -o

Kimeneti formátum.

Elfogadott értékek: json, jsonc, none, table, tsv, yaml, yamlc
Alapértelmezett érték: json
--query

JMESPath lekérdezési sztring. További információkért és példákért lásd http://jmespath.org/ .

--subscription

Az előfizetés neve vagy azonosítója. Az alapértelmezett előfizetést konfigurálhatja a következővel az account set -s NAME_OR_ID: .

--verbose

A naplózás részletességének növelése. Használja a --debug parancsot a teljes hibakeresési naplókhoz.