이 문서에서는 명령줄 도구 및 자동화 방법을 사용하여 GKE(Google Kubernetes Engine) 클러스터에 Defender for Containers 구성 요소를 배포하는 방법을 설명합니다.
팁 (조언)
포털에서 안내를 원하시면 포털을 통해 모든 구성 요소 사용을 참고하세요.
필수 조건
네트워크 요구 사항
퍼블릭 클라우드 배포에 대한 다음 엔드포인트가 아웃바운드 액세스를 위해 구성되었는지 확인합니다. 아웃바운드 액세스를 위해 구성하면 Defender 센서가 클라우드용 Microsoft Defender에 연결하여 보안 데이터 및 이벤트를 보낼 수 있습니다.
비고
Azure 도메인 및 *.ods.opinsights.azure.com*.oms.opinsights.azure.com 더 이상 아웃바운드 액세스에 필요하지 않습니다. 자세한 내용은 사용 중단 공지 사항을 참조하세요.
| Azure 도메인 | Azure Government 도메인 | 21Vianet 도메인에서 운영하는 Azure | 항구 |
|---|---|---|---|
| *.cloud.defender.microsoft.com | N/A | N/A | 443 |
Azure Arc 사용 Kubernetes 네트워크 요구 사항의 유효성도 검사해야 합니다.
필수 도구:
- Azure CLI(버전 2.40.0 이상)
- 적절한 자격 증명으로 구성된 gcloud CLI
-
kubectlGKE 클러스터에 대해 구성됨
컨테이너용 Defender 활성화
구독에서 Defender for Containers 계획을 사용하도록 설정하려면 클라우드용 Microsoft Defender 사용을 참조하세요. Azure Portal, REST API 또는 Azure Policy를 통해 계획을 사용하도록 설정할 수 있습니다.
GCP 프로젝트 연결
Defender 센서를 배포하기 전에 GCP 프로젝트를 Microsoft Defender for Cloud에 연결합니다. 자세한 내용은 GCP 프로젝트 연결을 참조하세요.
Azure Portal의 연결 마법사는 다음을 안내합니다.
- 필요한 GCP 서비스 계정 만들기
- 워크로드 ID 페더레이션 구성
- 필요한 IAM 권한 설정
- 설치 스크립트 다운로드 및 실행
Azure Arc에 GKE 클러스터 연결
GKE 클러스터를 Azure Arc에 연결하여 Defender 센서를 배포합니다. 자세한 내용은 Azure Arc에 기존 Kubernetes 클러스터 연결을 참조하세요.
Defender 센서 배포
GCP 프로젝트 및 GKE 클러스터를 Azure Arc에 연결한 후 Defender 센서 확장을 배포합니다.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--configuration-settings \
logAnalyticsWorkspaceResourceID="/subscriptions/<subscription-id>/resourceGroups/<rg>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>"
Azure Policy 확장 배포
Azure Policy 확장을 배포하여 GKE 클러스터에서 정책 적용을 사용하도록 설정합니다.
az k8s-extension create \
--name azure-policy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>