![](/img/trans.png)
[英]Kubernetes network policy deny-all policy not blocking basic communication
[英]Azure Policy - Deny New Network interfaces in vnets that doesn't have an specific tag
當 vnic 未連接到特定的 .net\su.nets(允許 .nets 具有特定標記)時,我很難創建一個策略來拒絕創建 .network 接口
看起來我可以限制基於.network 接口字段的創建。 在這種情況下,我想到的唯一想法是使用允許的 su.net id 列表配置一個參數,並根據此參數拒絕。 在這種情況下,我需要構建一個單獨的機制來更新此策略定義(可能是一個 powershell 腳本)。
只是想問一下這是否是完成它的好方法並尋求建議,
謝謝羅布
能夠使用它完成它:
"policyRule": {
"if": {
"allOf": [
{
"field": "type",
"equals": "Microsoft.Network/networkInterfaces"
},
{
"count": {
"field": "Microsoft.Network/networkInterfaces/ipconfigurations[*]",
"where": {
"value": "[substring(current('Microsoft.Network/networkInterfaces/ipconfigurations[*].subnet.id'),0,lastIndexOf(current('Microsoft.Network/networkInterfaces/ipconfigurations[*].subnet.id'),'/'))]",
"notIn": "[parameters('subnetId')]"
}
},
"greater": 0
}
]
},
"then": {
"effect": "deny"
}
},
我將使用 Set-AzPolicyAssignment 將參數與我的 vnet 結合起來以更新參數。
我創建了一個以 su.net 作為參數的策略,並將使用 Set-AzPolicyAssignment 更新策略分配參數中允許的 su.net 列表 – TheRob
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.