你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍如何使用编程方法在已启用 Arc 的 Kubernetes 群集上启用 Microsoft Defender for Containers。
小窍门
有关 Azure 门户部署说明,请参阅 使用 Azure 门户在已启用 Arc 的 Kubernetes 上部署 Defender for Containers。
先决条件
网络要求
验证是否为公有云部署配置了以下终结点以进行出站访问。 配置它们以用于出站访问有助于确保 Defender 传感器可以连接到 Microsoft Defender for Cloud 以发送安全数据和事件。
注释
Azure 域 *.ods.opinsights.azure.com 和 *.oms.opinsights.azure.com 不再需要用于出站访问。 有关详细信息,请查看弃用通知。
| Azure 域 | Azure 政府域 | 由世纪互联运营的 Azure 域 | 港口 |
|---|---|---|---|
| *.cloud.defender.microsoft.com | N/A | N/A | 443 |
还需要验证启用了 Azure Arc 的 Kubernetes 网络要求。
此外,还需要:
- 含有
k8s-extension扩展的 Azure CLI -
kubectl已配置为访问群集
将群集连接到 Azure Arc
在部署 Defender 传感器之前,请确保 Kubernetes 群集已连接到 Azure Arc。有关说明,请参阅 将现有 Kubernetes 群集连接到 Azure Arc。
启用 Defender for Containers
若要在订阅上启用 Defender for Containers 计划,请参阅 “启用 Microsoft Defender for Cloud”。 可以通过 Azure 门户、REST API 或 Azure Policy 启用计划。
部署 Defender 传感器
启用计划并将群集连接到 Azure Arc 后,部署 Defender 传感器扩展:
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--extension-type microsoft.azuredefender.kubernetes \
--configuration-settings \
logAnalyticsWorkspaceResourceID="/subscriptions/<subscription-id>/resourceGroups/<rg>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>" \
auditLogPath="/var/log/kube-apiserver/audit.log"
部署 Azure Policy 扩展
若要在已启用 Arc 的群集上为 Kubernetes 启用 Azure Policy,请执行以下作:
az k8s-extension create \
--name azure-policy \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--extension-type Microsoft.PolicyInsights