Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment déployer des composants Defender pour conteneurs sur vos clusters Google Kubernetes Engine (GKE) à l’aide d’outils en ligne de commande et de méthodes d’automatisation.
Conseil / Astuce
Pour une expérience de portail guidé, consultez Activer tous les composants via le portail.
Prerequisites
Configuration réseau requise
Vérifiez que les points de terminaison suivants pour les déploiements de cloud public sont configurés pour l’accès sortant. La configuration de ces derniers pour l’accès sortant permet de s’assurer que le capteur Defender peut se connecter à Microsoft Defender pour le cloud afin d’envoyer des données et des événements de sécurité.
Note
Domaines Azure *.ods.opinsights.azure.com et *.oms.opinsights.azure.com non requis pour l’accès sortant. Pour plus d’informations, consultez Annonce de dépréciation.
| Domaine Azure | Domaine Azure Government | Domaine Azure exploité par 21Vianet | Port |
|---|---|---|---|
| *.cloud.defender.microsoft.com | N/A | N/A | 443 |
Vous devez également valider la configuration réseau nécessaire pour le réseau Kubernetes avec Azure Arc.
Outils requis :
- Azure CLI (version 2.40.0 ou ultérieure)
- interface CLI gcloud configurée avec les informations d’identification appropriées
-
kubectlconfiguré pour vos clusters GKE
Activer Defender pour les conteneurs
Pour activer le plan Defender pour conteneurs sur votre abonnement, consultez Activer Microsoft Defender pour cloud. Vous pouvez activer le plan via le portail Azure, l’API REST ou Azure Policy.
Connecter votre projet GCP
Avant de déployer le capteur Defender, connectez votre projet GCP à Microsoft Defender for Cloud. Pour obtenir des instructions, consultez Connecter votre projet GCP.
L’Assistant Connexion dans le portail Azure vous guide tout au long des étapes suivantes :
- Création des comptes de service GCP nécessaires
- Configuration de la fédération d’identités de charge de travail
- Configuration des autorisations IAM requises
- Téléchargement et exécution des scripts d’installation
Connecter des clusters GKE à Azure Arc
Connectez vos clusters GKE à Azure Arc pour déployer le capteur Defender. Pour obtenir des instructions, consultez Connecter un cluster Kubernetes existant à Azure Arc.
Déployer le capteur Defender
Après avoir connecté votre projet GCP et vos clusters GKE à Azure Arc, déployez l’extension de capteur Defender :
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--configuration-settings \
logAnalyticsWorkspaceResourceID="/subscriptions/<subscription-id>/resourceGroups/<rg>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>"
Déployer l’extension Azure Policy
Déployez l’extension Azure Policy pour activer l’application des stratégies sur vos clusters GKE :
az k8s-extension create \
--name azure-policy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>