Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica como implantar componentes do Defender para Contêineres em seus clusters do Mecanismo de Kubernetes do Google (GKE) usando ferramentas de linha de comando e métodos de automação.
Dica
Para obter uma experiência de portal guiada, consulte Habilitar todos os componentes por meio do portal.
Pré-requisitos
Requisitos de rede
Valide se os pontos de extremidade a seguir para implantações de nuvem pública estão configurados para acesso de saída. Configurá-los para acesso de saída ajuda a garantir que o sensor do Defender possa se conectar ao Microsoft Defender para Nuvem para enviar dados e eventos de segurança.
Observação
Os domínios *.ods.opinsights.azure.com do Azure e *.oms.opinsights.azure.com não são mais necessários para acesso de saída. Para obter mais informações, consulte o anúncio de preterição.
| Domínio do Azure | Domínio do Azure Governamental | Domínio do Azure operado pelo 21Vianet | Porto |
|---|---|---|---|
| *.cloud.defender.microsoft.com | N/A | N/A | 443 |
Você também precisa validar os requisitos de rede do Kubernetes habilitado para Azure Arc.
Ferramentas necessárias:
- CLI do Azure (versão 2.40.0 ou posterior)
- CLI do gcloud configurada com as credenciais apropriadas
-
kubectlconfigurado para seus clusters GKE
Habilitar o Defender para contêineres
Para habilitar o plano do Defender para Contêineres em sua assinatura, consulte Habilitar o Microsoft Defender para Nuvem. Você pode habilitar o plano por meio do portal do Azure, da API REST ou do Azure Policy.
Conecte seu projeto do GCP
Antes de implantar o sensor do Defender, conecte seu projeto GCP ao Microsoft Defender para Nuvem. Para obter instruções, consulte Conectar seu projeto GCP.
O assistente de conexão no portal do Azure orienta você a seguir:
- Criando as contas de serviço GCP necessárias
- Configurando a federação de identidade da carga de trabalho
- Configurando as permissões de IAM necessárias
- Baixar e executar os scripts de instalação
Conectar clusters GKE ao Azure Arc
Conecte seus clusters GKE ao Azure Arc para implantar o sensor do Defender. Para obter instruções, consulte Conectar um cluster kubernetes existente ao Azure Arc.
Implantar o sensor do Defender
Depois de conectar seu projeto GCP e clusters GKE ao Azure Arc, implante a extensão do sensor do Defender:
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--configuration-settings \
logAnalyticsWorkspaceResourceID="/subscriptions/<subscription-id>/resourceGroups/<rg>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>"
Implantar a extensão do Azure Policy
Implante a extensão do Azure Policy para habilitar a imposição de políticas em seus clusters GKE:
az k8s-extension create \
--name azure-policy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>