你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

以编程方式在 Azure 上部署 Defender for Containers （AKS）

本文介绍在 Azure Kubernetes 服务（AKS）群集上以编程方式部署 Microsoft Defender for Containers 的方法。

小窍门

有关引导式门户体验，请参阅通过门户启用 Defender for Containers。

先决条件

网络要求

Defender 传感器必须连接到 Microsoft Defender for Cloud 才能发送安全数据和事件。确保所需的终结点已配置为支持出站访问。

连接要求

Defender 传感器需要连接到：

Microsoft Defender for Cloud （用于发送安全数据和事件）

默认情况下，AKS 群集具有不受限制的出站（出口）Internet 访问权限。

对于具有受限的流出量的群集，必须允许 Microsoft Defender for Containers 的特定 FQDN 才能正常运行。有关所需的终结点，请参阅 AKS 出站网络文档中的 Microsoft Defender for Containers - 所需的 FQDN/应用程序规则。

专用链接配置

如果群集中的事件传出需要使用 Azure Monitor 专用链接范围 (AMPLS)，则必须：

使用容器监控和日志分析工作区定义群集
将群集的 Log Analytics 工作区定义为 AMPLS 中的资源
在 AMPLS 中创建虚拟网络专用终结点：
- 群集的虚拟网络
- Log Analytics 资源
虚拟网络专用终结点与专用 DNS 区域集成。

有关说明，请参阅创建 Azure Monitor 专用链接范围。

此外，请确保具备：

Azure CLI 2.40.0 或更高版本
适当的 RBAC 权限（贡献者或安全管理员）

启用 Defender for Containers 计划

若要在订阅上启用 Defender for Containers 计划，请参阅 “启用 Microsoft Defender for Cloud”。可以通过 Azure 门户、REST API 或 Azure Policy 启用计划。

部署 Defender 传感器

启用 Defender for Containers 计划时，Defender 传感器默认会自动部署在 AKS 群集上。

如果禁用自动预配，或者需要手动部署传感器，请使用以下方法之一。

Azure CLI
ARM 模板

将 Defender 传感器部署到特定的 AKS 群集：

az aks update \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --enable-defender

若要使用自定义 Log Analytics 工作区进行部署，请执行以下作：

az aks update \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --enable-defender \
    --defender-config logAnalyticsWorkspaceResourceId=/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}

部署以下 ARM 模板，在 AKS 群集上启用 Defender 传感器：

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string"
    },
    "location": {
      "type": "string"
    },
    "workspaceResourceId": {
      "type": "string"
    }
  },
  "resources": [
    {
      "type": "Microsoft.ContainerService/managedClusters",
      "apiVersion": "2023-01-01",
      "name": "[parameters('clusterName')]",
      "location": "[parameters('location')]",
      "properties": {
        "securityProfile": {
          "defender": {
            "logAnalyticsWorkspaceResourceId": "[parameters('workspaceResourceId')]",
            "securityMonitoring": {
              "enabled": true
            }
          }
        }
      }
    }
  ]
}

使用 Azure CLI 部署模板：

az deployment group create \
    --resource-group myResourceGroup \
    --template-file defender-aks.json \
    --parameters clusterName=myAKSCluster location=eastus workspaceResourceId=/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}

部署 Azure Policy 加载项

使用适用于 AKS 的 Azure Policy 加载项，可以集中、一致的方式在群集上应用大规模强制措施和安全措施。

若要启用 Azure Policy 加载项，请执行以下作：

az aks enable-addons \
    --addons azure-policy \
    --name myAKSCluster \
    --resource-group myResourceGroup

使用建议部署组件

还可以使用 Defender for Cloud 建议手动部署功能：

传感器	建议
适用于 Kubernetes 的 Defender 传感器	Azure Kubernetes 服务群集应启用 Defender 配置文件
适用于已启用 Azure Arc 的 Kubernetes 的 Defender 传感器	已启用 Azure Arc 的 Kubernetes 群集应安装 Defender 扩展
适用于 Kubernetes 的 Azure Policy 代理	Azure Kubernetes 服务群集应安装适用于 Kubernetes 的 Azure Policy 加载项
适用于已启用 Azure Arc 的 Kubernetes 的 Azure Policy 代理	已启用 Azure Arc 的 Kubernetes 群集应已安装 Azure Policy 扩展

后续步骤

反馈

此页面是否有帮助？

Last updated on 2025-12-08