Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird erläutert, wie Sie Defender for Containers-Komponenten in Ihren Google Kubernetes Engine (GKE)-Clustern mithilfe von Befehlszeilentools und Automatisierungsmethoden bereitstellen.
Tipp
Eine geführte Portalerfahrung finden Sie unter "Aktivieren aller Komponenten über das Portal".
Voraussetzungen
Netzwerkanforderungen
Überprüfen Sie, ob die folgenden Endpunkte für öffentliche Cloudbereitstellungen für ausgehenden Zugriff konfiguriert sind. Wenn Sie diese konfigurieren, können Sie sicherstellen, dass der Defender-Sensor eine Verbindung mit Microsoft Defender for Cloud herstellen kann, um Sicherheitsdaten und -ereignisse zu senden.
Hinweis
Für den ausgehenden Zugriff sind die Azure-Domänen *.ods.opinsights.azure.com und *.oms.opinsights.azure.com nicht mehr erforderlich. Weitere Informationen finden Sie in der Ankündigung zur Einstellung.
| Azure Domain | Azure Government Domain | Domain für das von 21Vianet betriebene Azure | Hafen |
|---|---|---|---|
| *.cloud.defender.microsoft.com | N/A | N/A | 443 |
Sie müssen auch die Netzwerkanforderungen für Kubernetes mit Azure Arc-Unterstützung validieren.
Erforderliche Tools:
- Azure CLI (Version 2.40.0 oder höher)
- gcloud CLI mit entsprechenden Anmeldeinformationen konfiguriert
-
kubectl, konfiguriert für Ihre GKE-Cluster
Aktivieren von Defender für Container
Informationen zum Aktivieren des Defender for Containers-Plans für Ihr Abonnement finden Sie unter "Aktivieren von Microsoft Defender für Cloud". Sie können den Plan über das Azure-Portal, die REST-API oder azure-Richtlinie aktivieren.
Verbinden Ihres GKP-Projekts
Verbinden Sie vor der Bereitstellung des Defender-Sensors das GCP-Projekt mit Microsoft Defender für Cloud. Anweisungen finden Sie unter Verbinden Ihres GCP-Projekts.
Der Verbindungs-Assistent im Azure-Portal führt Sie durch:
- Erstellen der erforderlichen GCP-Dienstkonten
- Konfigurieren der Workload-Identitäts-Föderation
- Einrichten der erforderlichen IAM-Berechtigungen
- Herunterladen und Ausführen der Setupskripts
Verbinden von GKE-Clustern mit Azure Arc
Verbinden Sie Ihre GKE-Cluster mit Azure Arc, um den Defender-Sensor bereitzustellen. Anweisungen finden Sie unter Verbinden eines vorhandenen Kubernetes-Clusters mit Azure Arc.
Bereitstellen des Defender-Sensors
Nachdem Sie Ihr GCP-Projekt und GKE-Cluster mit Azure Arc verbunden haben, stellen Sie die Defender-Sensorerweiterung bereit:
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--configuration-settings \
logAnalyticsWorkspaceResourceID="/subscriptions/<subscription-id>/resourceGroups/<rg>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>"
Bereitstellen der Azure-Richtlinienerweiterung
Stellen Sie die Azure-Richtlinienerweiterung bereit, um die Richtlinienerzwingung für Ihre GKE-Cluster zu aktivieren:
az k8s-extension create \
--name azure-policy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>