Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica cómo implementar componentes de Defender for Containers en los clústeres de Amazon EKS mediante herramientas de línea de comandos y métodos de automatización.
Sugerencia
Para obtener una experiencia del portal guiado, consulte Habilitación de todos los componentes a través del portal.
Prerrequisitos
Requisitos de red
Compruebe que los siguientes puntos de conexión para las implementaciones en la nube pública estén configurados para el acceso de salida. Configurarlos para el acceso de salida ayuda a garantizar que el sensor de Defender pueda conectarse a Microsoft Defender for Cloud para enviar eventos y datos de seguridad.
Nota:
Los dominios *.ods.opinsights.azure.com de Azure y *.oms.opinsights.azure.com ya no son necesarios para el acceso saliente. Para más información, vea el anuncio de desuso.
| Dominio de Azure | Dominio de Azure Government | Azure operado por el dominio 21Vianet | Puerto |
|---|---|---|---|
| *.cloud.defender.microsoft.com | N/A | N/A | 443 |
También deberá validar los requisitos de red de Kubernetes habilitados para Azure Arc.
Herramientas necesarias:
- CLI de Azure (versión 2.40.0 o posterior)
- CLI de AWS configurada con credenciales adecuadas
-
kubectlestá configurado para sus clústeres de EKS
Habilitar Defender para contenedores
Para habilitar el plan de Defender for Containers en la suscripción, consulte Habilitación de Microsoft Defender for Cloud. Puede habilitar el plan a través de Azure Portal, la API REST o Azure Policy.
Conecte una cuenta de AWS
Antes de implementar el sensor de Defender, conecte su cuenta de AWS a Microsoft Defender for Cloud. Para obtener instrucciones, consulte Conexión de su cuenta de AWS.
Conexión de clústeres de EKS a Azure Arc
Conecte los clústeres de EKS a Azure Arc para implementar el sensor de Defender. Para obtener instrucciones, consulte Conexión de un clúster de Kubernetes existente a Azure Arc.
Implementa el sensor de Defender
Después de conectar la cuenta de AWS y los clústeres EKS a Azure Arc, implemente la extensión del sensor de Defender.
Implementación mediante el script de instalación
El siguiente script instala el sensor de Defender for Containers y quita cualquier implementación existente si existe:
Establezca el contexto kubeconfig en el clúster de destino y ejecute el script:
install_defender_sensor_mc.sh <SECURITY_CONNECTOR_AZURE_RESOURCE_ID> <RELEASE_TRAIN> <VERSION> <DISTRIBUTION> [<ARC_CLUSTER_RESOURCE_ID>]
Reemplace el texto del marcador de posición por sus propios valores.
ARC_CLUSTER_RESOURCE_ID es un parámetro opcional para los clústeres existentes que usan la extensión de Arc de Defender for Containers.
Obtener el identificador de recurso del conector de seguridad
Para instalar el gráfico de Helm en un clúster de EKS, necesita el identificador de recurso del conector de seguridad para la cuenta a la que pertenece el clúster. Ejecute el siguiente comando de la CLI de Azure para obtener este valor:
az resource show \
--name <connector-name> \
--resource-group <resource-group-name> \
--resource-type "Microsoft.Security/securityConnectors" \
--subscription <subscription-id> \
--query id -o tsv
Reemplace el texto de marcador de posición <connector-name>, <resource-group-name> y <subscription-id> con sus valores.
Valores de parámetro
- Para
<RELEASE_TRAIN>, utilicepublicpara las versiones preliminares públicas (0.9.x) - Para
<VERSION>, utilizalatesto una versión semántica específica. - Para
<DISTRIBUTION>, utiliceeks
Nota:
Este script puede crear un área de trabajo de Log Analytics en la cuenta de Azure.
Implementación con la CLI de Azure
Como alternativa, implemente la extensión del sensor de Defender mediante la CLI de Azure:
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--configuration-settings \
logAnalyticsWorkspaceResourceID="/subscriptions/<subscription-id>/resourceGroups/<rg>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>"
Después de implementar el sensor de Defender, puede configurar opciones adicionales. Para obtener más información, consulte Configuración del sensor de Defender for Containers implementado con Helm.
Implementación de la extensión de Azure Policy
Implemente la extensión de Azure Policy para habilitar la aplicación de directivas en los clústeres de EKS:
az k8s-extension create \
--name azure-policy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>