az confcom
Nota
Questo riferimento fa parte dell'estensione confcom per l'interfaccia della riga di comando di Azure (versione 2.26.2 o successiva). L'estensione installerà automaticamente la prima volta che si esegue un comando az confcom . Altre informazioni sulle estensioni.
Comandi per generare criteri di sicurezza per i contenitori riservati in Azure.
Comandi
| Nome | Descrizione | Tipo | Status |
|---|---|---|---|
| az confcom acipolicygen |
Creare criteri di sicurezza per contenitori riservati per ACI. |
Estensione | Disponibilità generale |
| az confcom katapolicygen |
Creare criteri di sicurezza del contenitore riservato per il servizio Azure Kubernetes. |
Estensione | Disponibilità generale |
az confcom acipolicygen
Creare criteri di sicurezza per contenitori riservati per ACI.
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--faster-hashing]
[--image]
[--infrastructure-svn]
[--input]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]Esempio
Immettere un file modello di Resource Manager per inserire un criterio di sicurezza del contenitore riservato con codifica Base64 nel modello di Resource Manager
az confcom acipolicygen --template-file "./template.json"Immettere un file modello di Resource Manager per creare criteri di sicurezza dei contenitori riservati leggibili
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-printImmettere un file modello di Resource Manager per salvare un criterio di sicurezza del contenitore riservato in un file come testo con codifica Base64
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policyImmettere un file modello di Resource Manager e usare un file tar come origine dell'immagine invece del daemon Docker
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"Parametri facoltativi
Se abilitata, tutte le richieste di utilizzo dei caratteri jolly nelle variabili di ambiente vengono approvate automaticamente.
Se abilitata, i criteri di sicurezza generati aggiungono la possibilità di usare /bin/sh o /bin/bash per eseguire il debug del contenitore. Abilita anche l'accesso stdio, la possibilità di eseguire il dump delle tracce dello stack e abilita la registrazione in fase di esecuzione. È consigliabile usare questa opzione solo a scopo di debug.
Se combinato con un modello arm di input, verifica che i criteri presenti nel modello di Resource Manager in "ccePolicy" e i contenitori all'interno del modello di Resource Manager siano compatibili. Se sono incompatibili, viene fornito un elenco di motivi e il codice di stato di uscita sarà 2.
Se abilitata, i contenitori nel gruppo di contenitori non hanno accesso a stdio.
Se abilitata, l'algoritmo hash usato per generare i criteri è più veloce ma meno efficiente per la memoria.
Nome dell'immagine di input.
Numero di versione software minimo consentito per il frammento di infrastruttura.
File di configurazione JSON di input.
Criteri di output in formato JSON non crittografato compatto invece del formato base64 predefinito.
Criterio di output in testo non crittografato e formato di stampa abbastanza.
File di parametri di input per accompagnare facoltativamente un modello di Resource Manager.
Se abilitata, i criteri di sicurezza esistenti presenti nel modello di Resource Manager vengono stampati nella riga di comando e non viene generato alcun nuovo criterio di sicurezza.
Se abilitata, i criteri di sicurezza generati vengono stampati nella riga di comando anziché inseriti nel modello di Resource Manager di input.
Salvare i criteri di output in un percorso file specificato.
Percorso di un tarball contenente i livelli immagine o di un file JSON contenente percorsi a tarball di livelli di immagine.
File modello arm di input.
Verificare che l'immagine usata per generare i criteri CCE per un contenitore sidecar sia consentita dai criteri generati.
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
az confcom katapolicygen
Creare criteri di sicurezza del contenitore riservato per il servizio Azure Kubernetes.
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]Esempio
Immettere un file YAML kubernetes per inserire un criterio di sicurezza del contenitore riservato con codifica Base64 nel file YAML
az confcom katapolicygen --yaml "./pod.json"Immettere un file YAML kubernetes per stampare un criterio di sicurezza del contenitore riservato con codifica Base64 in stdout
az confcom katapolicygen --yaml "./pod.json" --print-policyImmettere un file YAML Kubernetes e un file di impostazioni personalizzate per inserire un criterio di sicurezza del contenitore riservato con codifica Base64 nel file YAML
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"Immettere un file YAML Kubernetes e un file di mapping di configurazione esterno
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"Immettere un file YAML Kubernetes e un file di regole personalizzate
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"Immettere un file YAML Kubernetes con un percorso socket in contenitori personalizzato
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"Parametri facoltativi
Percorso del file di mapping di configurazione.
Usare containerd per eseguire il pull dell'immagine. Questa opzione è supportata solo in Linux.
Percorso del socket in contenitori. Questa opzione è supportata solo in Linux.
Criteri di output in formato JSON non crittografato compatto invece del formato base64 predefinito.
Stampare i criteri generati con codifica Base64 nel terminale.
Stampare la versione degli strumenti di genpolicy.
Percorso del file di regole personalizzate.
Percorso del file di impostazioni personalizzate.
Usare i file memorizzati nella cache per risparmiare tempo di calcolo.
Input del file Kubernetes YAML.
Parametri globali
Aumenta il livello di dettaglio della registrazione per mostrare tutti i log di debug.
Visualizza questo messaggio della guida ed esce.
Mostra solo gli errori, eliminando gli avvisi.
Formato di output.
Stringa di query JMESPath. Per altre informazioni ed esempi, vedere http://jmespath.org/.
Nome o ID della sottoscrizione. È possibile configurare la posizione predefinito usando az account set -s NAME_OR_ID.
Aumenta il livello di dettaglio della registrazione. Usare --debug per log di debug completi.
