在 GCP 上配置 Defender for Containers （GKE）

在 GKE 群集上部署 Defender for Containers 后，配置各种设置以自定义安全覆盖范围以满足你的需求。 本文还介绍了如何在初始部署后添加或删除组件。

配置区域

跳转到所需的配置：

组件管理

• 添加或删除组件
• 有选择地部署组件

核心设置

• 启用或禁用计划组件

添加或删除组件

初始部署后，可能需要添加跳过的组件或删除不必要的组件。

检查组件部署状态

1. 转到 清单 并按 GCP 资源进行筛选。

2. 检查每个 GKE 群集，了解以下情况：

   • Arc 连接状态
   • Defender 扩展状态
   • 策略扩展状态

添加缺少的组件

将 GKE 群集连接到 Azure Arc

如果未将群集连接到 Arc：

1. 转到“Microsoft Defender for Cloud”>“建议”。

2. 查找有关需要 Arc 连接的 GKE 群集的建议。

3. 按照建议连接群集。

4. 使用提供的脚本将每个群集连接到 Azure Arc。

或使用 CLI：

# Connect cluster to Arc
az connectedk8s connect \
    --name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP \
    --location $REGION

将 Defender 传感器部署到现有群集

将 GKE 群集连接到 Azure Arc 后：

1. 转到“Microsoft Defender for Cloud”>“建议”。

2. 搜索“GKE 群集应已安装 Microsoft Defender 的 Azure Arc 扩展”。

3. 选择建议并按照补救步骤进行操作。

或使用 CLI 进行部署：

# Install Defender extension
az k8s-extension create \
    --name microsoft-defender \
    --extension-type microsoft.azuredefender.kubernetes \
    --cluster-type connectedClusters \
    --cluster-name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP

添加 Azure Policy 扩展

若要为现有部署添加策略评估，请执行以下步骤：

1. 转到“Microsoft Defender for Cloud”>“建议”。

2. 搜索“GKE 群集应已安装 Azure Policy 扩展”。

3. 选择建议并按照补救步骤进行操作。

或使用 CLI：

# Install Azure Policy extension
az k8s-extension create \
    --name azurepolicy \
    --extension-type Microsoft.PolicyInsights \
    --cluster-type connectedClusters \
    --cluster-name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP

删除特定组件

若要删除组件，但请保留其他组件：

1. 请在 Azure 门户中直接转到已启用 Arc 的 Kubernetes 群集。

2. 在 “设置”下，选择“ 扩展”。

3. 选择要删除的扩展（Microsoft Defender 或 Azure Policy）。

4. 选择卸载。

或使用 CLI：

# Remove Defender sensor only
az k8s-extension delete \
    --name microsoft-defender \
    --cluster-type connectedClusters \
    --cluster-name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP

# Remove Policy extension only
az k8s-extension delete \
    --name azurepolicy \
    --cluster-type connectedClusters \
    --cluster-name $CLUSTER_NAME \
    --resource-group $RESOURCE_GROUP

有选择地部署组件

仅部署到特定群集

仅将传感器部署到选定的 GKE 群集：

1. 将特定群集连接到 Azure Arc（并非所有群集）。

2. 转到 “建议 ”，找到“GKE 群集应已安装 Microsoft Defender 的 Azure Arc 扩展”。

3. 仅选择您希望放置传感器的群集。

4. 按照所选群集的修正步骤进行操作。

配置计划组件

可以启用或禁用特定的 Defender for Containers 组件：

1. 转到 Microsoft Defender for Cloud>环境设置。

2. 选择 GCP 连接器。

3. 选择 “设置” 以管理容器计划。

4. 打开或关闭组件：

   • Kubernetes 的无代理发现
   • 无代理容器漏洞评估
   • Defender DaemonSet
   • 适用于 Kubernetes 的 Azure Policy

   

5. 选择 “继续 ”并 保存。

组件问题疑难解答

修复 Arc 连接问题

对于显示为断开连接的群集：

1. 重新运行 Arc 连接脚本。

2. 验证从群集到 Azure 的网络连接。

3. 检查 Arc 代理日志： kubectl logs -n azure-arc -l app.kubernetes.io/component=cluster-agent

修复传感器部署问题

对于缺少 Defender 传感器的群集：

1. 验证 Arc 连接是否正常。

2. 检查是否存在冲突的策略或准入控制器。

3. 如果需要，请手动部署：使用建议中的补救措施。

传感器 Pod 未启动

# Check pod status
kubectl describe pods -n mdc -l app=microsoft-defender

# Common issues:
# - Image pull errors: Check network connectivity
# - Permission denied: Verify RBAC settings
# - Resource constraints: Check node resources

最佳做法

1. 定期评审：每月查看配置。
2. 测试更改：首先在非生产环境中测试配置更改。
3. 文档设置：维护自定义配置的文档。
4. 监视影响：监视更改后的性能影响。
5. 备份设置：在重大更改之前导出配置。
6. 跟踪排除：记录下排除某些群集或组件的原因。

相关内容

• 验证配置
• 删除 Defender for Containers
• 使用 Helm 部署传感器