![](/img/trans.png)
[英]Kubernetes network policy deny-all policy not blocking basic communication
[英]Azure Policy - Deny New Network interfaces in vnets that doesn't have an specific tag
当 vnic 未连接到特定的 .net\su.nets(允许 .nets 具有特定标记)时,我很难创建一个策略来拒绝创建 .network 接口
看起来我可以限制基于.network 接口字段的创建。 在这种情况下,我想到的唯一想法是使用允许的 su.net id 列表配置一个参数,并根据此参数拒绝。 在这种情况下,我需要构建一个单独的机制来更新此策略定义(可能是一个 powershell 脚本)。
只是想问一下这是否是完成它的好方法并寻求建议,
谢谢罗布
能够使用它完成它:
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Network/networkInterfaces"
},
{
"count": {
"field": "Microsoft.Network/networkInterfaces/ipconfigurations[*]",
"where": {
"value": "[substring(current('Microsoft.Network/networkInterfaces/ipconfigurations[*].subnet.id'),0,lastIndexOf(current('Microsoft.Network/networkInterfaces/ipconfigurations[*].subnet.id'),'/'))]",
"notIn": "[parameters('subnetId')]"
}
},
"greater": 0
}
]
},
"then": {
"effect": "deny"
}
},
我将使用 Set-AzPolicyAssignment 将参数与我的 vnet 结合起来以更新参数。
我创建了一个以 su.net 作为参数的策略,并将使用 Set-AzPolicyAssignment 更新策略分配参数中允许的 su.net 列表 – TheRob
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.