Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo explica como implementar componentes Defender for Containers nos seus clusters do Google Kubernetes Engine (GKE) utilizando ferramentas de linha de comandos e métodos de automação.
Sugestão
Para uma experiência guiada no portal, consulte Ativar todos os componentes através do portal.
Pré-requisitos
Requisitos de rede
Valide se os seguintes pontos de extremidade para implantações de nuvem pública estão configurados para acesso de saída. Configurá-los para acesso de saída ajuda a garantir que o sensor do Defender possa se conectar ao Microsoft Defender for Cloud para enviar dados e eventos de segurança.
Observação
Os domínios *.ods.opinsights.azure.com do Azure e *.oms.opinsights.azure.com não são mais necessários para acesso de saída. Para obter mais informações, consulte o anúncio de descontinuação.
| Domínio do Azure | Domínio do Azure Government | Azure operado pelo domínio 21Vianet | Port |
|---|---|---|---|
| *.cloud.defender.microsoft.com | N/A | N/A | 443 |
Você também precisa validar os requisitos de rede do Kubernetes habilitados para Azure Arc.
Ferramentas necessárias:
- Azure CLI (versão 2.40.0 ou posterior)
- CLI gcloud configurada com credenciais apropriadas
-
kubectlconfigurado para os seus clusters GKE
Ativar o Defender para Contêineres
Para ativar o plano Defender for Containers na sua subscrição, veja Ativar o Microsoft Defender para a Cloud. Pode ativar o plano através do portal Azure, API REST ou Azure Policy.
Conecte seu projeto GCP
Antes de implementar o sensor Defender, ligue o seu projeto GCP ao Microsoft Defender for Cloud. Para instruções, consulte Conecte o seu projeto GCP.
O assistente de ligação no portal Azure guia-o através de:
- Criação das contas de serviço GCP necessárias
- Configuração da federação de identidade de trabalho
- Configuração das permissões IAM necessárias
- Descarregar e executar os scripts de configuração
Ligue clusters GKE ao Azure Arc
Liga os teus clusters GKE ao Azure Arc para implantar o sensor Defender. Para instruções, consulte Ligar um cluster Kubernetes existente ao Azure Arc.
Implantar o sensor Defender
Depois de ligar o seu projeto GCP e os clusters GKE ao Azure Arc, implemente a extensão do sensor Defender:
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--configuration-settings \
logAnalyticsWorkspaceResourceID="/subscriptions/<subscription-id>/resourceGroups/<rg>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>"
Implementar a extensão Azure Policy
Implemente a extensão Azure Policy para permitir a aplicação de políticas nos seus clusters GKE:
az k8s-extension create \
--name azure-policy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>