你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍如何从 AKS 环境中禁用和删除 Defender for Containers。
启用使用自动预配的 Defender for Containers 功能,或使用建议在特定资源上手动部署容器功能时,可以在环境中安装 Defender 组件和扩展。 为了帮助你跟踪这些组件,以下部分提供了显示 Defender for Clouds 功能及其已安装的 Defender for Container 组件、扩展和角色的表。
如果决定停止使用这些功能,可能还需要从环境中删除这些组件。 本文帮助你了解可以采取的行动来删除它们。
组件和角色分为两类移除类型:
- 安全删除 - 专用于“容器防护”的资源和设置。 如果不再使用关联的功能,则可以安全地删除这些资源。
- 共享组件 - 非 Defender for Cloud 解决方案或目标云环境中的其他 Defender for Cloud 解决方案可能使用的资源。 如果禁用共享资源,其他解决方案可能会受到负面影响。 在删除这些资源之前,请查看该云环境中的其他解决方案是否需要该资源。
重要
禁用 Defender for Containers 会从 AKS 群集中删除安全保护。 在继续作之前,请确保已准备好替代安全措施。
在订阅上启用 Defender for Containers 后自动创建的资源的 Azure 应用场景
| 产品/服务 | Resource | 手动登出 | “删除”信息 |
|---|---|---|---|
| 工作负荷运行时威胁防护 | Defender 传感器(项目内每个群集)+ Arc for Kubernetes | Defender 传感器删除 | 可安全删除 |
| Kubernetes 数据平面强化 | 适用于 Kubernetes 的 Azure Policy | 删除已启用 Arc 的资源 | 可安全删除 |
禁用 Defender for Containers 计划
使用 Azure 门户
- 转到 Microsoft Defender for Cloud>环境设置。
- 选择包含 AKS 群集的订阅。
- 在“Defender 计划方案”页中,将 容器 切换为 关闭。
- 选择“保存”。
从群集中删除 Defender 组件
移除 Defender 传感器
若要从 AKS 群集中删除 Defender 传感器,请执行以下作:
az aks update \
--name <cluster-name> \
--resource-group <resource-group> \
--disable-defender
禁用 Azure Policy 加载项
az aks disable-addons \
--addons azure-policy \
--name <cluster-name> \
--resource-group <resource-group>
验证删除
检查组件移除
kubectl get ds microsoft-defender-collector-ds -n kube-system
成功移除后不应返回任何 Pod。
验证计划状态
az security pricing show --name 'Containers'
输出应将 pricingTier 显示为 Free。
删除后注意事项
安全监控漏洞
删除 Defender for Containers 时,安全状况会显著变化:
- 运行时威胁检测会立即停止
- ACR 中的容器映像漏洞扫描停止
- 安全建议不再更新
- 针对 CIS Kubernetes 基准等标准的合规性报告停止
替代安全解决方案
若要维护 AKS 群集的保护,请考虑实施替代的安全措施,例如 Azure Policy 以进行基本控制、Azure Monitor 以增强可观测性,或使用第三方容器安全平台。
重新启用 Defender for Containers
要重新启用容器防护 (Defender for Containers):
- 遵循部署指南: 在 Azure 上启用所有 Defender for Containers 组件(AKS)
- 还原所有安全功能。