Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se explica cómo implementar componentes de Defender for Containers en los clústeres de Google Kubernetes Engine (GKE) mediante herramientas de línea de comandos y métodos de automatización.
Sugerencia
Para obtener una experiencia del portal guiado, consulte Habilitación de todos los componentes a través del portal.
Prerrequisitos
Requisitos de red
Compruebe que los siguientes puntos de conexión para las implementaciones en la nube pública estén configurados para el acceso de salida. Configurarlos para el acceso de salida ayuda a garantizar que el sensor de Defender pueda conectarse a Microsoft Defender for Cloud para enviar eventos y datos de seguridad.
Nota:
Los dominios *.ods.opinsights.azure.com de Azure y *.oms.opinsights.azure.com ya no son necesarios para el acceso saliente. Para más información, vea el anuncio de desuso.
| Dominio de Azure | Dominio de Azure Government | Azure operado por el dominio 21Vianet | Puerto |
|---|---|---|---|
| *.cloud.defender.microsoft.com | N/A | N/A | 443 |
También deberá validar los requisitos de red de Kubernetes habilitados para Azure Arc.
Herramientas necesarias:
- CLI de Azure (versión 2.40.0 o posterior)
- CLI de gcloud configurada con las credenciales adecuadas
-
kubectlestá configurado para sus clústeres de GKE
Habilitar Defender para contenedores
Para habilitar el plan de Defender for Containers en la suscripción, consulte Habilitación de Microsoft Defender for Cloud. Puede habilitar el plan a través de Azure Portal, la API REST o Azure Policy.
Conexión del proyecto de GCP
Antes de implementar el sensor de Defender, conecte el proyecto de GCP a Microsoft Defender for Cloud. Para obtener instrucciones, consulte Conexión del proyecto de GCP.
El asistente para conexiones en Azure Portal le guía a través de:
- Creación de las cuentas de servicio de GCP necesarias
- Configuración de la federación de identidades de carga de trabajo
- Configuración de los permisos de IAM necesarios
- Descarga y ejecución de los scripts de instalación
Conexión de clústeres de GKE a Azure Arc
Conecte los clústeres de GKE a Azure Arc para implementar el sensor de Defender. Para obtener instrucciones, consulte Conexión de un clúster de Kubernetes existente a Azure Arc.
Implementa el sensor de Defender
Después de conectar el proyecto de GCP y los clústeres de GKE a Azure Arc, implemente la extensión del sensor de Defender:
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--configuration-settings \
logAnalyticsWorkspaceResourceID="/subscriptions/<subscription-id>/resourceGroups/<rg>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>"
Implementación de la extensión de Azure Policy
Implemente la extensión de Azure Policy para habilitar la aplicación de directivas en los clústeres de GKE:
az k8s-extension create \
--name azure-policy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>