你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍如何使用命令行工具和自动化方法在 Google Kubernetes 引擎 (GKE) 群集上部署 Defender for Containers 组件。
小窍门
有关引导式门户体验,请参阅 通过门户启用所有组件。
先决条件
网络要求
验证是否为公有云部署配置了以下终结点以进行出站访问。 配置它们以用于出站访问有助于确保 Defender 传感器可以连接到 Microsoft Defender for Cloud 以发送安全数据和事件。
注释
Azure 域 *.ods.opinsights.azure.com 和 *.oms.opinsights.azure.com 不再需要用于出站访问。 有关详细信息,请查看弃用通知。
| Azure 域 | Azure 政府域 | 由世纪互联运营的 Azure 域 | 港口 |
|---|---|---|---|
| *.cloud.defender.microsoft.com | N/A | N/A | 443 |
还需要验证启用了 Azure Arc 的 Kubernetes 网络要求。
所需工具:
- Azure CLI (版本 2.40.0 或更高版本)
- gcloud CLI 配置了适当的凭据
- 已为 GKE 群集配置
kubectl
启用 Defender for Containers
若要在订阅上启用 Defender for Containers 计划,请参阅 “启用 Microsoft Defender for Cloud”。 可以通过 Azure 门户、REST API 或 Azure Policy 启用计划。
连接 GCP 项目
在部署 Defender 传感器之前,请将 GCP 项目连接到 Microsoft Defender for Cloud。 有关说明,请参阅 连接 GCP 项目。
Azure 门户中的连接向导将引导你完成以下步骤:
- 创建必要的 GCP 服务帐户
- 配置工作负载联合身份验证
- 设置所需的 IAM 权限
- 下载并运行安装脚本
将 GKE 群集连接到 Azure Arc
将 GKE 群集连接到 Azure Arc 以部署 Defender 传感器。 有关说明,请参阅 将现有 Kubernetes 群集连接到 Azure Arc。
部署 Defender 传感器
将 GCP 项目和 GKE 群集连接到 Azure Arc 后,部署 Defender 传感器扩展:
az k8s-extension create \
--name microsoft.azuredefender.kubernetes \
--extension-type microsoft.azuredefender.kubernetes \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group> \
--configuration-settings \
logAnalyticsWorkspaceResourceID="/subscriptions/<subscription-id>/resourceGroups/<rg>/providers/Microsoft.OperationalInsights/workspaces/<workspace-name>"
部署 Azure Policy 扩展
部署 Azure Policy 扩展以在 GKE 群集上启用策略强制:
az k8s-extension create \
--name azure-policy \
--extension-type Microsoft.PolicyInsights \
--cluster-type connectedClusters \
--cluster-name <cluster-name> \
--resource-group <resource-group>