你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
az confcom
注意
此参考是 Azure CLI(版本 2.26.2 或更高版本)的 confcom 扩展的一部分。 该扩展将在首次运行 az confcom 命令时自动安装。 详细了解扩展。
用于为 Azure 中的机密容器生成安全策略的命令。
命令
| 名称 | 说明 | 类型 | Status |
|---|---|---|---|
| az confcom acipolicygen |
为 ACI 创建机密容器安全策略。 |
扩展 | GA |
| az confcom katapolicygen |
为 AKS 创建机密容器安全策略。 |
扩展 | GA |
az confcom acipolicygen
为 ACI 创建机密容器安全策略。
az confcom acipolicygen [--approve-wildcards]
[--debug-mode]
[--diff]
[--disable-stdio]
[--faster-hashing]
[--image]
[--infrastructure-svn]
[--input]
[--outraw]
[--outraw-pretty-print]
[--parameters]
[--print-existing-policy]
[--print-policy]
[--save-to-file]
[--tar]
[--template-file]
[--validate-sidecar]示例
输入 ARM 模板文件,将 base64 编码的机密容器安全策略注入 ARM 模板
az confcom acipolicygen --template-file "./template.json"输入 ARM 模板文件以创建人工可读的机密容器安全策略
az confcom acipolicygen --template-file "./template.json" --outraw-pretty-print输入 ARM 模板文件,将机密容器安全策略另存为 base64 编码文本的文件
az confcom acipolicygen --template-file "./template.json" -s "./output-file.txt" --print-policy输入 ARM 模板文件并使用 tar 文件作为映像源,而不是 Docker 守护程序
az confcom acipolicygen --template-file "./template.json" --tar "./image.tar"可选参数
启用后,会自动批准在环境变量中使用通配符的所有提示。
启用后,生成的安全策略增加了使用 /bin/sh 或 /bin/bash 调试容器的功能。 它还启用了 stdio 访问,能够转储堆栈跟踪,并启用运行时日志记录。 建议仅使用此选项进行调试。
与输入 ARM 模板结合使用时,验证 ARM 模板中的“ccePolicy”下存在的策略,并且 ARM 模板中的容器是兼容的。 如果它们不兼容,则会给出原因列表,退出状态代码将为 2。
启用后,容器组中的容器无权访问 stdio。
启用后,用于生成策略的哈希算法速度更快,但内存效率较低。
输入图像名称。
基础结构片段的最小允许软件版本号。
输入 JSON 配置文件。
明文压缩 JSON 而不是默认 base64 格式的输出策略。
以明文格式和漂亮的打印格式输出策略。
输入参数文件(可选)附带 ARM 模板。
启用后,ARM 模板中存在的现有安全策略将打印到命令行,并且不会生成新的安全策略。
启用后,生成的安全策略将打印到命令行,而不是注入输入 ARM 模板。
将输出策略保存到给定的文件路径。
包含图像层的 tarball 的路径,或者包含图像层 tarball 的路径的 JSON 文件。
输入 ARM 模板文件。
验证用于为 sidecar 容器生成 CCE 策略的映像是否受其生成的策略允许。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
az confcom katapolicygen
为 AKS 创建机密容器安全策略。
az confcom katapolicygen [--config-map-file]
[--containerd-pull]
[--containerd-socket-path]
[--outraw]
[--print-policy]
[--print-version]
[--rules-file-name]
[--settings-file-name]
[--use-cached-files]
[--yaml]示例
输入 Kubernetes YAML 文件,将 base64 编码的机密容器安全策略注入 YAML 文件
az confcom katapolicygen --yaml "./pod.json"输入 Kubernetes YAML 文件以将 base64 编码的机密容器安全策略输出到 stdout
az confcom katapolicygen --yaml "./pod.json" --print-policy输入 Kubernetes YAML 文件和自定义设置文件,将 base64 编码的机密容器安全策略注入 YAML 文件
az confcom katapolicygen --yaml "./pod.json" -j "./settings.json"输入 Kubernetes YAML 文件和外部配置文件
az confcom katapolicygen --yaml "./pod.json" --config-map-file "./configmap.json"输入 Kubernetes YAML 文件和自定义规则文件
az confcom katapolicygen --yaml "./pod.json" -p "./rules.rego"使用自定义容器套接字路径输入 Kubernetes YAML 文件
az confcom katapolicygen --yaml "./pod.json" --containerd-pull --containerd-socket-path "/my/custom/containerd.sock"可选参数
配置映射文件的路径。
使用容器提取映像。 此选项仅在 Linux 上受支持。
容器套接字的路径。 此选项仅在 Linux 上受支持。
明文压缩 JSON 而不是默认 base64 格式的输出策略。
在终端中打印 base64 编码生成的策略。
打印 genpolicy 工具的版本。
自定义规则文件的路径。
自定义设置文件的路径。
使用缓存文件节省计算时间。
输入 YAML Kubernetes 文件。
全局参数
提高日志记录详细程度以显示所有调试日志。
显示此帮助消息并退出。
只显示错误,取消显示警告。
输出格式。
JMESPath 查询字符串。 有关更多信息和示例,请参阅 http://jmespath.org/。
订阅的名称或 ID。 可以使用 az account set -s NAME_OR_ID 配置默认订阅。
提高日志记录详细程度。 使用 --debug 获取完整的调试日志。
