你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍如何为 AKS 群集上的 Defender for Containers 配置高级设置。 它还介绍了如何在初始部署后添加或删除组件。
配置计划组件
可以启用或禁用特定的 Defender for Containers 组件:
转到 Microsoft Defender for Cloud>环境设置。
选择 Azure 订阅。
选择 “设置” 以管理容器计划。
打开或关闭组件:
- Kubernetes 的无代理发现
- 无代理容器漏洞评估
- Defender DaemonSet
- 适用于 Kubernetes 的 Azure Policy
选择 “继续 ”并 保存。
添加或删除组件
初始部署后,可能需要添加跳过的组件或删除不必要的组件。
将 Defender 传感器部署到现有群集
如果最初未部署 Defender 传感器:
转到“Microsoft Defender for Cloud”>“建议”。
搜索“Azure Kubernetes 服务群集应启用 Defender 配置文件”。
选择缺少传感器的群集。
选择 “修复 ”以部署。
或使用 Azure CLI:
az aks update \
--name <cluster-name> \
--resource-group <resource-group> \
--enable-defender
添加 Azure Policy 扩展
若要为现有部署添加策略评估,请执行以下步骤:
az aks enable-addons \
--addons azure-policy \
--name <cluster-name> \
--resource-group <resource-group>
删除 Defender 传感器
若要在保留其他组件的同时删除 Defender 传感器:
az aks update \
--name <cluster-name> \
--resource-group <resource-group> \
--disable-defender
删除策略加载项
若要删除 Azure Policy 加载项,请执行以下作:
az aks disable-addons \
--addons azure-policy \
--name <cluster-name> \
--resource-group <resource-group>
最佳做法
- 定期评审:每月查看配置。
- 测试更改:首先在非生产环境中测试配置更改。
- 文档设置:维护自定义配置的文档。
- 监视影响:监视更改后的性能影响。
- 跟踪排除:记录下排除某些群集或组件的原因。