Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wyjaśniono, jak wdrożyć składniki usługi Defender for Containers w klastrach Amazon EKS przy użyciu narzędzi wiersza polecenia i metod automatyzacji.
Wskazówka
Aby uzyskać informacje na temat środowiska portalu z przewodnikiem, zobacz Włączanie wszystkich składników za pośrednictwem portalu.
Wymagania wstępne
Wymagania dotyczące sieci
Sprawdź, czy następujące punkty końcowe dla wdrożeń chmury publicznej są skonfigurowane pod kątem dostępu wychodzącego. Skonfigurowanie ich pod kątem dostępu wychodzącego pomaga zapewnić, że czujnik usługi Defender może nawiązać połączenie z Microsoft Defender dla Chmury w celu wysyłania danych i zdarzeń zabezpieczeń.
Uwaga / Notatka
Domeny platformy *.ods.opinsights.azure.com Azure i *.oms.opinsights.azure.com nie są już wymagane do uzyskiwania dostępu wychodzącego. Aby uzyskać więcej informacji, zobacz ogłoszenie o wycofaniu.
| Domena platformy Azure | Domena platformy Azure Government | Platforma Azure obsługiwana przez domenę 21Vianet | Port |
|---|---|---|---|
| *.cloud.defender.microsoft.com | N/A | N/A | 443 |
Należy również zweryfikować wymagania sieciowe platformy Kubernetes z obsługą usługi Azure Arc.
Wymagane narzędzia:
- Azure CLI (wersja 2.40.0 lub nowsza)
- Interfejs wiersza polecenia platformy AWS skonfigurowany z odpowiednimi poświadczeniami
-
kubectlskonfigurowane dla twoich klastrów EKS
Włączanie usługi Defender for Containers
Aby włączyć plan usługi Defender for Containers w ramach subskrypcji, zobacz Włączanie usługi Microsoft Defender for Cloud. Plan można włączyć za pomocą witryny Azure Portal, interfejsu API REST lub usługi Azure Policy.
Łączenie z kontem platformy AWS
Przed wdrożeniem czujnika usługi Defender połącz konto platformy AWS z usługą Microsoft Defender for Cloud. Aby uzyskać instrukcje, zobacz Łączenie konta platformy AWS.
Łączenie klastrów EKS z usługą Azure Arc
Połącz klastry EKS z usługą Azure Arc, aby wdrożyć sensor Defender. Aby uzyskać instrukcje, zobacz Łączenie istniejącego klastra Kubernetes z usługą Azure Arc.
Wdrażanie czujnika usługi Defender
Po połączeniu konta platformy AWS i klastrów EKS z usługą Azure Arc wdróż rozszerzenie czujnika defender.
Wdrażanie przy użyciu skryptu instalacji
Poniższy skrypt instaluje czujnik usługi Defender for Containers i usuwa istniejące wdrożenie, jeśli istnieje:
Ustaw kontekst kubeconfig na klaster docelowy i uruchom skrypt:
install_defender_sensor_mc.sh <SECURITY_CONNECTOR_AZURE_RESOURCE_ID> <RELEASE_TRAIN> <VERSION> <DISTRIBUTION> [<ARC_CLUSTER_RESOURCE_ID>]
Zastąp tekst zastępczy własnymi wartościami.
ARC_CLUSTER_RESOURCE_ID jest opcjonalnym parametrem dla istniejących klastrów korzystających z rozszerzenia Defender for Containers Arc.
Uzyskaj identyfikator zasobu łącznika zabezpieczeń
Aby zainstalować pakiet Helm w klastrze EKS, potrzebny jest identyfikator zasobu łącznika zabezpieczeń dla konta, do którego należy klaster. Uruchom następujące polecenie interfejsu wiersza polecenia platformy Azure, aby uzyskać tę wartość:
az resource show \
--name <connector-name> \
--resource-group <resource-group-name> \
--resource-type "Microsoft.Security/securityConnectors" \
--subscription <subscription-id> \
--query id -o tsv
Zastąp zastępczy tekst <connector-name>, <resource-group-name>, i <subscription-id> swoimi wartościami.
Wartości parametrów
- W przypadku
<RELEASE_TRAIN>, użyjpublicdla publicznych wersji zapoznawczych (0.9.x) - Dla
<VERSION>użyjlatestlub określonej wersji semantycznej - W przypadku
<DISTRIBUTION>użyjeks
Uwaga / Notatka
Ten skrypt może utworzyć obszar roboczy usługi Log Analytics na koncie platformy Azure.
Wdrażanie przy użyciu interfejsu wiersza polecenia platformy Azure
Możesz też wdrożyć rozszerzenie czujnika programu Defender przy użyciu interfejsu wiersza polecenia platformy Azure.
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--configuration-settings \
logAnalyticsWorkspaceResourceID="/subscriptions/<subscription-id>/resourceGroups/<rg>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>"
Po wdrożeniu czujnika usługi Defender można skonfigurować dodatkowe ustawienia. Aby uzyskać więcej informacji, zobacz Configure Defender for Containers sensor deployed with Helm (Konfigurowanie czujnika usługi Defender for Containers wdrożonego za pomocą programu Helm).
Wdrażanie rozszerzenia usługi Azure Policy
Wdróż rozszerzenie usługi Azure Policy, aby włączyć wymuszanie zasad w klastrach EKS:
az k8s-extension create \
--name azure-policy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>