Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica como implantar componentes do Defender para Contêineres em seus clusters do Amazon EKS usando ferramentas de linha de comando e métodos de automação.
Dica
Para obter uma experiência de portal guiada, consulte Habilitar todos os componentes por meio do portal.
Pré-requisitos
Requisitos de rede
Valide se os pontos de extremidade a seguir para implantações de nuvem pública estão configurados para acesso de saída. Configurá-los para acesso de saída ajuda a garantir que o sensor do Defender possa se conectar ao Microsoft Defender para Nuvem para enviar dados e eventos de segurança.
Observação
Os domínios *.ods.opinsights.azure.com do Azure e *.oms.opinsights.azure.com não são mais necessários para acesso de saída. Para obter mais informações, consulte o anúncio de preterição.
| Domínio do Azure | Domínio do Azure Governamental | Domínio do Azure operado pelo 21Vianet | Porto |
|---|---|---|---|
| *.cloud.defender.microsoft.com | N/A | N/A | 443 |
Você também precisa validar os requisitos de rede do Kubernetes habilitado para Azure Arc.
Ferramentas necessárias:
- CLI do Azure (versão 2.40.0 ou posterior)
- CLI do AWS configurada com as credenciais apropriadas
-
kubectlconfigurado para seus clusters EKS
Habilitar o Defender para contêineres
Para habilitar o plano do Defender para Contêineres em sua assinatura, consulte Habilitar o Microsoft Defender para Nuvem. Você pode habilitar o plano por meio do portal do Azure, da API REST ou do Azure Policy.
Conecte sua conta AWS
Antes de implantar o sensor do Defender, conecte sua conta do AWS ao Microsoft Defender para Nuvem. Para obter instruções, consulte Conectar sua conta do AWS.
Conectar cluster de EKS ao Azure Arc
Conecte seus clusters EKS ao Azure Arc para implantar o sensor do Defender. Para obter instruções, consulte Conectar um cluster kubernetes existente ao Azure Arc.
Implantar o sensor do Defender
Depois de conectar sua conta do AWS e clusters EKS ao Azure Arc, implante a extensão do sensor do Defender.
Implantar usando o script de instalação
O script a seguir instala o sensor do Defender para Contêineres e remove qualquer implantação existente se houver:
Defina o contexto kubeconfig para o cluster de destino e execute o script:
install_defender_sensor_mc.sh <SECURITY_CONNECTOR_AZURE_RESOURCE_ID> <RELEASE_TRAIN> <VERSION> <DISTRIBUTION> [<ARC_CLUSTER_RESOURCE_ID>]
Substitua o texto do marcador de posição pelos seus próprios valores.
ARC_CLUSTER_RESOURCE_ID é um parâmetro opcional para clusters existentes que usam a extensão Arc do Defender para contêineres.
Obter a ID do recurso do conector de segurança
Para instalar o gráfico do Helm em um cluster de EKS, você precisa da ID do recurso do conector de segurança para a conta à qual o cluster pertence. Execute o seguinte comando da CLI do Azure para obter esse valor:
az resource show \
--name <connector-name> \
--resource-group <resource-group-name> \
--resource-type "Microsoft.Security/securityConnectors" \
--subscription <subscription-id> \
--query id -o tsv
Substitua o texto do espaço reservado <connector-name>, <resource-group-name> e <subscription-id> pelos seus valores.
Valores de parâmetro
- Para
<RELEASE_TRAIN>, utilizepublicnas versões de visualização pública (0.9.x) - Para
<VERSION>, usarlatestou uma versão semântica específica - Para
<DISTRIBUTION>, useeks
Observação
Esse script pode criar um workspace do Log Analytics em sua conta do Azure.
Implantar usando a CLI do Azure
Como alternativa, implante a extensão do sensor do Defender usando a CLI do Azure:
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--configuration-settings \
logAnalyticsWorkspaceResourceID="/subscriptions/<subscription-id>/resourceGroups/<rg>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>"
Depois de implantar o sensor do Defender, você pode definir configurações adicionais. Para obter mais informações, consulte Configurar o sensor do Defender para contêineres implantado com o Helm.
Implantar a extensão do Azure Policy
Implante a extensão do Azure Policy para habilitar a imposição de política em seus clusters EKS:
az k8s-extension create \
--name azure-policy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>