az confcom
Note
Bu başvuru, Azure CLI (sürüm 2.26.2 veya üzeri) için confcom uzantısının bir parçasıdır. Uzantı, az confcom komutunu ilk kez çalıştırdığınızda otomatik olarak yüklenir. Uzantılar hakkında daha fazla bilgi edinin.
Azure'da gizli kapsayıcılar için güvenlik ilkeleri oluşturmaya yönelik komutlar.
Komutlar
| Name | Description | Tür | Durum |
|---|---|---|---|
| az confcom acifragmentgen |
ACI için Gizli Kapsayıcı İlkesi Parçası oluşturun. |
Extension | GA |
| az confcom acipolicygen |
ACI için Gizli Kapsayıcı Güvenlik İlkesi oluşturun. |
Extension | GA |
| az confcom containers |
Güvenlik İlkesi Kapsayıcı Tanımları oluşturan komutlar. |
Extension | GA |
| az confcom containers from_image |
Görüntü başvurusuna dayalı bir Güvenlik İlkesi Kapsayıcı Tanımı oluşturun. |
Extension | GA |
| az confcom fragment |
Gizli Kapsayıcı İlkesi Parçalarını işlemek için komutlar. |
Extension | GA |
| az confcom fragment attach |
ORAS kayıt defterindeki bir görüntüye Gizli Kapsayıcı İlkesi Parçası ekleme. |
Extension | Preview |
| az confcom fragment push |
OrAS kayıt defterine Gizli Kapsayıcı İlkesi Parçası gönderme. |
Extension | Preview |
| az confcom katapolicygen |
AKS için Gizli Kapsayıcı Güvenlik İlkesi oluşturun. |
Extension | GA |
az confcom acifragmentgen
ACI için Gizli Kapsayıcı İlkesi Parçası oluşturun.
az confcom acifragmentgen [--algo]
[--chain]
[--debug-mode]
[--disable-stdio]
[--enable-stdio]
[--feed]
[--fragment-path]
[--fragments-json]
[--generate-import]
[--image]
[--image-target]
[--input]
[--key]
[--minimum-svn]
[--namespace]
[--no-print]
[--omit-id]
[--out-signed-fragment]
[--output-filename]
[--outraw]
[--svn]
[--tar]
[--upload-fragment]
[--with-containers]Örnekler
Basit bir parça oluşturmak için bir görüntü adı girin
az confcom acifragmentgen --image mcr.microsoft.com/azuredocs/aci-helloworldÖzel ad alanı ve hata ayıklama modu etkin bir parça oluşturmak için bir yapılandırma dosyası giriş
az confcom acifragmentgen --input "./config.json" --namespace "my-namespace" --debug-modeİmzalı yerel parça için içeri aktarma deyimi oluşturma
az confcom acifragmentgen --fragment-path "./fragment.rego.cose" --generate-import --minimum-svn 1Bir parça oluşturun ve COSE bunu bir anahtar ve zincirle imzalayın
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --no-printGörüntü adından parça içeri aktarma oluşturma
az confcom acifragmentgen --image <my-image> --generate-import --minimum-svn 1Belirtilen görüntüye parça ekleme
az confcom acifragmentgen --input "./config.json" --key "./key.pem" --chain "./chain.pem" --svn 1 --namespace contoso --upload-fragment --image-target <my-image>İsteğe Bağlı Parametreler
Aşağıdaki parametreler isteğe bağlıdır, ancak bağlama bağlı olarak komutun başarıyla yürütülmesi için bir veya daha fazla parametre gerekli olabilir.
Oluşturulan ilke parçasını imzalamak için kullanılan algoritma. Bu, --key ve --chain ile kullanılmalıdır. Desteklenen algoritmalar şunlardır: ['PS256', 'PS384', 'PS512', 'ES256', 'ES384', 'ES512', 'EdDSA'].
| Özellik | Değer |
|---|---|
| Default value: | ES384 |
Oluşturulan ilke parçasını imzalamak için kullanılacak .pem biçimli sertifika zinciri dosyasının yolu. Bu, --key ile kullanılmalıdır.
Etkinleştirildiğinde, oluşturulan güvenlik ilkesi kapsayıcıda hata ayıklamak için /bin/sh veya /bin/bash kullanma özelliğini ekler. Ayrıca stdio erişimini, yığın izlemelerini döküm etme özelliğini etkinleştirdi ve çalışma zamanı günlüğünü etkinleştirir. Bu seçeneği yalnızca hata ayıklama amacıyla kullanmanız önerilir.
| Özellik | Değer |
|---|---|
| Default value: | False |
Etkinleştirildiğinde, kapsayıcı grubundaki kapsayıcıların stdio'ya erişimi yoktur.
Kapsayıcıdan çıkmak için standart io akışlarını etkinleştirin.
Oluşturulan ilke parçası için kullanılacak akış. Bu genellikle görüntüye bağlı parçalar kullanılırken görüntü adıyla aynıdır. Parçanın depolanacağı uzak depodaki konumdur.
--generate-import ile kullanılacak mevcut imzalı ilke parçası dosyasının yolu. Bu seçenek, belirli bir OCI kayıt defterinden açıkça çekmenize gerek kalmadan belirtilen parça için içeri aktarma deyimleri oluşturmanıza olanak tanır. Bu bir yerel yol veya OCI kayıt defteri başvurusu olabilir. Yerel parçalar için dosya aynı konumda kalır. Uzak parçalar için dosya indirilir ve işlendikten sonra temizlenir.
--generate-import kullanılırken oluşturulan parça içeri aktarma bilgilerini depolayacak bir JSON dosyasının yolu. Bu dosya daha sonra yeni veya var olan bir ilkeye parça eklemek için ilke oluşturma komutuna (acipolicygen) beslenebilir. Belirtilmezse, içeri aktarma deyimi bir dosyaya kaydedilmek yerine konsola yazdırılır.
İlke parçası için içeri aktarma deyimi oluşturun.
| Özellik | Değer |
|---|---|
| Default value: | False |
Oluşturulan ilke parçası için kullanılacak görüntü.
Oluşturulan ilke parçasının eklendiği görüntü hedefi.
Oluşturulan ilke parçasının yapılandırmasını içeren bir JSON dosyasının yolu.
Oluşturulan ilke parçasını imzalamak için kullanılacak .pem biçimli anahtar dosyasının yolu. Bu , --chain ile kullanılmalıdır.
İçeri aktarma deyimi için en düşük SVN'yi belirtmek üzere --generate-import ile kullanılır.
Oluşturulan ilke parçası için kullanılacak ad alanı.
Oluşturulan ilke parçasını stdout'a yazdırmayın.
| Özellik | Değer |
|---|---|
| Default value: | False |
Etkinleştirildiğinde, oluşturulan ilke kimlik alanını içermez. Bu, ilkenin belirli bir görüntü adına ve etiketine bağlı olmasını engeller. Kullanılan görüntü birden çok kayıt defteri içinde bulunup birbirinin yerine kullanılacaksa bu yararlı olur.
| Özellik | Değer |
|---|---|
| Default value: | False |
Yalnızca imzalı parça baytlarını yayar.
| Özellik | Değer |
|---|---|
| Default value: | False |
Çıkış ilkesini verilen dosya yoluna kaydedin.
Varsayılan güzel yazdırma biçimi yerine düz metin sıkıştırmalı JSON çıkış ilkesi.
| Özellik | Değer |
|---|---|
| Default value: | False |
Oluşturulan ilke parçası için İzin Verilen En Düşük Yazılım Sürüm Numarası. Bu, monoton olarak artan bir tamsayı olmalıdır.
Görüntü katmanlarını içeren bir tarball veya görüntü katmanlarının tarball yollarını içeren bir JSON dosyasının yolu.
Etkinleştirildiğinde, oluşturulan ilke parçası kullanılan görüntünün kayıt defterine yüklenir.
| Özellik | Değer |
|---|---|
| Default value: | False |
İlkeye eklenecek kapsayıcı tanımları.
Global Parametreler
Tüm hata ayıklama günlüklerini göstermek için günlük ayrıntı düzeyini artırın.
| Özellik | Değer |
|---|---|
| Default value: | False |
Bu yardım iletisini göster ve çık.
Yalnızca hataları gösterir ve uyarıları gizler.
| Özellik | Değer |
|---|---|
| Default value: | False |
Çıkış biçimi.
| Özellik | Değer |
|---|---|
| Default value: | json |
| Kabul edilen değerler: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath sorgu dizesi. Daha fazla bilgi ve örnek için bkz. http://jmespath.org/.
Aboneliğin adı veya kimliği.
az account set -s NAME_OR_IDkullanarak varsayılan aboneliği yapılandırabilirsiniz.
Günlük ayrıntı düzeyini artırın. Tam hata ayıklama günlükleri için --debug komutunu kullanın.
| Özellik | Değer |
|---|---|
| Default value: | False |
az confcom acipolicygen
ACI için Gizli Kapsayıcı Güvenlik İlkesi oluşturun.
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--enable-stdio]
[--exclude-default-fragments]
[--faster-hashing]
[--fragments-json]
[--image]
[--include-fragments]
[--infrastructure-svn]
[--input]
[--omit-id]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]
[--virtual-node-yaml]
[--with-containers]Örnekler
ARM Şablonuna base64 kodlu Gizli Kapsayıcı Güvenlik İlkesi eklemek için ARM Şablonu dosyası girin
az confcom acipolicygen --template-file "./template.json"İnsan tarafından okunabilir bir Gizli Kapsayıcı Güvenlik İlkesi oluşturmak için arm şablonu dosyası girin
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-printGizli Kapsayıcı Güvenlik İlkesini base64 ile kodlanmış metin olarak bir dosyaya kaydetmek için ARM Şablonu dosyası girin
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policyBir ARM Şablonu dosyası girip Docker daemon'ı yerine görüntü kaynağı olarak tar dosyası kullanın
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"BIR ARM Şablonu dosyası girin ve bir ilke oluşturmak için parçalanmış JSON dosyası kullanın
az confcom acipolicygen --template-file "./template.json" --fragments-json "./fragments.json" --include-fragmentsİsteğe Bağlı Parametreler
Aşağıdaki parametreler isteğe bağlıdır, ancak bağlama bağlı olarak komutun başarıyla yürütülmesi için bir veya daha fazla parametre gerekli olabilir.
Etkinleştirildiğinde, ortam değişkenlerinde joker karakter kullanmayla ilgili tüm istemler otomatik olarak onaylanmıştır.
| Özellik | Değer |
|---|---|
| Default value: | False |
Etkinleştirildiğinde, oluşturulan güvenlik ilkesi kapsayıcıda hata ayıklamak için /bin/sh veya /bin/bash kullanma özelliğini ekler. Ayrıca stdio erişimini, yığın izlemelerini döküm etme özelliğini etkinleştirdi ve çalışma zamanı günlüğünü etkinleştirir. Bu seçeneği yalnızca hata ayıklama amacıyla kullanmanız önerilir.
| Özellik | Değer |
|---|---|
| Default value: | False |
Giriş ARM Şablonu dosyası (veya Sanal Düğüm ilkesi oluşturma için YAML dosyası) ile birleştirildiğinde, ARM Şablonunda "ccePolicy" altında bulunan ilkeyi doğrular ve dosyadaki kapsayıcılar uyumludur. Uyumsuzsa, bir neden listesi verilir ve çıkış durum kodu 2 olur.
| Özellik | Değer |
|---|---|
| Default value: | False |
Etkinleştirildiğinde, kapsayıcı grubundaki kapsayıcıların stdio'ya erişimi yoktur.
Kapsayıcıdan çıkmak için standart io akışlarını etkinleştirin.
Etkinleştirildiğinde, varsayılan parçalar oluşturulan ilkeye dahil değildir. Buna azure dosyalarını bağlamak, gizli dizileri bağlamak, git depolarını bağlamak ve diğer yaygın ACI özellikleri için gereken kapsayıcılar dahildir.
| Özellik | Değer |
|---|---|
| Default value: | False |
Etkinleştirildiğinde, ilkeyi oluşturmak için kullanılan karma algoritması daha hızlıdır ancak bellek açısından daha az verimlidir.
| Özellik | Değer |
|---|---|
| Default value: | False |
İlke oluşturmak için kullanılacak parça bilgilerini içeren JSON dosyasının yolu. Bunun için --include-fragments öğesinin etkinleştirilmesi gerekir.
Giriş görüntüsü adı.
Etkinleştirildiğinde, --fragments-json tarafından belirtilen yol, bir OCI kayıt defterinden veya yerel olarak parçaları çekmek ve oluşturulan ilkeye eklemek için kullanılır.
| Özellik | Değer |
|---|---|
| Default value: | False |
Altyapı Parçası için İzin Verilen En Düşük Yazılım Sürüm Numarası.
Giriş JSON yapılandırma dosyası.
Etkinleştirildiğinde, oluşturulan ilke kimlik alanını içermez. Bu, ilkenin belirli bir görüntü adına ve etiketine bağlı olmasını engeller. Kullanılan görüntü birden çok kayıt defteri içinde bulunup birbirinin yerine kullanılacaksa bu yararlı olur.
| Özellik | Değer |
|---|---|
| Default value: | False |
Varsayılan base64 biçimi yerine düz metin sıkıştırmalı JSON'da çıkış ilkesi.
| Özellik | Değer |
|---|---|
| Default value: | False |
Düz metin ve güzel yazdırma biçiminde çıkış ilkesi.
| Özellik | Değer |
|---|---|
| Default value: | False |
İsteğe bağlı olarak arm şablonuna eşlik edecek giriş parametreleri dosyası.
Etkinleştirildiğinde, ARM Şablonunda bulunan mevcut güvenlik ilkesi komut satırına yazdırılır ve yeni bir güvenlik ilkesi oluşturulmaz.
| Özellik | Değer |
|---|---|
| Default value: | False |
Etkinleştirildiğinde, oluşturulan güvenlik ilkesi giriş ARM Şablonuna eklemek yerine komut satırına yazdırılır.
| Özellik | Değer |
|---|---|
| Default value: | False |
Çıkış ilkesini verilen dosya yoluna kaydedin.
Görüntü katmanlarını içeren bir tarball veya görüntü katmanlarının tarball yollarını içeren bir JSON dosyasının yolu.
ARM Şablonu dosyasını girdi.
Sepet kapsayıcısı için CCE İlkesi oluşturmak için kullanılan görüntüye, oluşturulan ilkesi tarafından izin verileceğini doğrulayın.
| Özellik | Değer |
|---|---|
| Default value: | False |
Sanal Düğüm ilkesi oluşturma için YAML dosyasını girin.
İlkeye eklenecek kapsayıcı tanımları.
Global Parametreler
Tüm hata ayıklama günlüklerini göstermek için günlük ayrıntı düzeyini artırın.
| Özellik | Değer |
|---|---|
| Default value: | False |
Bu yardım iletisini göster ve çık.
Yalnızca hataları gösterir ve uyarıları gizler.
| Özellik | Değer |
|---|---|
| Default value: | False |
Çıkış biçimi.
| Özellik | Değer |
|---|---|
| Default value: | json |
| Kabul edilen değerler: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath sorgu dizesi. Daha fazla bilgi ve örnek için bkz. http://jmespath.org/.
Aboneliğin adı veya kimliği.
az account set -s NAME_OR_IDkullanarak varsayılan aboneliği yapılandırabilirsiniz.
Günlük ayrıntı düzeyini artırın. Tam hata ayıklama günlükleri için --debug komutunu kullanın.
| Özellik | Değer |
|---|---|
| Default value: | False |
az confcom katapolicygen
AKS için Gizli Kapsayıcı Güvenlik İlkesi oluşturun.
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]Örnekler
YAML dosyasına base64 kodlanmış bir Gizli Kapsayıcı Güvenlik İlkesi eklemek için kubernetes YAML dosyası girin
az confcom katapolicygen --yaml "./pod.json"Base64 kodlu Gizli Kapsayıcı Güvenlik İlkesini stdout'a yazdırmak için kubernetes YAML dosyası girin
az confcom katapolicygen --yaml "./pod.json" --print-policyYAML dosyasına base64 kodlanmış Gizli Kapsayıcı Güvenlik İlkesi eklemek için kubernetes YAML dosyası ve özel ayarlar dosyası girin
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"Kubernetes YAML dosyası ve dış yapılandırma eşleme dosyası girin
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"Kubernetes YAML dosyası ve özel kurallar dosyası giriş
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"Özel kapsayıcılı yuva yolu ile kubernetes YAML dosyası girin
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"İsteğe Bağlı Parametreler
Aşağıdaki parametreler isteğe bağlıdır, ancak bağlama bağlı olarak komutun başarıyla yürütülmesi için bir veya daha fazla parametre gerekli olabilir.
Yapılandırma eşleme dosyasının yolu.
Görüntüyü çekmek için containerd kullanın. Bu seçenek yalnızca Linux'ta desteklenir.
| Özellik | Değer |
|---|---|
| Default value: | False |
Kapsayıcılı yuvanın yolu. Bu seçenek yalnızca Linux'ta desteklenir.
Varsayılan base64 biçimi yerine düz metin sıkıştırmalı JSON'da çıkış ilkesi.
| Özellik | Değer |
|---|---|
| Default value: | False |
Base64 kodlanmış oluşturulan ilkeyi terminale yazdırın.
| Özellik | Değer |
|---|---|
| Default value: | False |
Genpolicy araçlarının sürümünü yazdırın.
| Özellik | Değer |
|---|---|
| Default value: | False |
Özel kurallar dosyasının yolu.
Özel ayarlar dosyasının yolu.
Hesaplama süresinde tasarruf etmek için önbelleğe alınmış dosyaları kullanın.
| Özellik | Değer |
|---|---|
| Default value: | False |
YAML Kubernetes dosyasını girdi.
Global Parametreler
Tüm hata ayıklama günlüklerini göstermek için günlük ayrıntı düzeyini artırın.
| Özellik | Değer |
|---|---|
| Default value: | False |
Bu yardım iletisini göster ve çık.
Yalnızca hataları gösterir ve uyarıları gizler.
| Özellik | Değer |
|---|---|
| Default value: | False |
Çıkış biçimi.
| Özellik | Değer |
|---|---|
| Default value: | json |
| Kabul edilen değerler: | json, jsonc, none, table, tsv, yaml, yamlc |
JMESPath sorgu dizesi. Daha fazla bilgi ve örnek için bkz. http://jmespath.org/.
Aboneliğin adı veya kimliği.
az account set -s NAME_OR_IDkullanarak varsayılan aboneliği yapılandırabilirsiniz.
Günlük ayrıntı düzeyini artırın. Tam hata ayıklama günlükleri için --debug komutunu kullanın.
| Özellik | Değer |
|---|---|
| Default value: | False |
