验证 GCP (GKE) 上的 Defender for Containers 部署

启用 Defender for Containers 后，请使用本文验证所有组件是否在 GKE 群集上正常运行。

验证清单

按顺序完成以下验证步骤：

1. GCP 连接器显示为已连接
2. 连接到 Arc 的 GKE 群集
3. Defender 传感器 Pod 运行中
4. 警报显示

验证连接器状态

使用 Azure 门户

1. 转到 Microsoft Defender for Cloud>环境设置。
2. 选择 GCP 连接器。
3. 验证以下值：
   • 连接状态显示为 “已连接”。
   • 上次同步时间是最近的（在 15 分钟内）。
   • 容器计划显示为开。

验证 Arc 连接

检查 Arc 中的 GKE 集群

az connectedk8s show \
    --name <cluster-name> \
    --resource-group <resource-group> \
    --query connectivityStatus

输出应显示 Connected。

验证传感器部署

检查 Defender 传感器 Pod 是否正在运行：

kubectl get pods -n kube-system -l app=microsoft-defender

所有 Pod 的状态应该显示为 Running。

查看 GKE 集群的警报

若要查看特定于 GKE 群集的安全警报，请执行以下操作：

1. 登录到 Azure 门户。

2. 转到“Microsoft Defender for Cloud”>“安全警报”。

3. 选择 按钮。

4. 在“筛选器”下拉菜单中，选择“资源类型”。

5. 在“值”下拉菜单中，选择“GCP GKE 群集”。

6. 选择“确定”。

现在应仅看到与 GKE 群集相关的警报，以便更轻松地专注于特定于 GCP 的安全问题。

安全检测测试

若要验证 Defender for Containers 部署是否正常工作，请模拟安全警报。 这些模拟会触发实际警报，而不会对群集造成损害。

有关生成测试警报和模拟各种威胁方案的详细说明，请参阅 Kubernetes 警报模拟工具。

常见验证问题

连接器显示断开连接

1. 验证 GCP 中的服务帐户权限。
2. 检查是否在 GCP 中启用了所需的 API。

无安全警报

如果未看到安全警报：

1. 确保在 GKE 群集上启用审核日志记录。
2. 验证 Defender 传感器 Pod 是否正在运行。
3. 检查连接器设置中是否启用了运行时保护。
4. 在生成测试事件后等待 5-10 分钟。

缺少漏洞扫描

对于未进行漏洞扫描：

1. 验证是否已配置注册表权限。
2. 检查你最近推送的映像。
3. 请确保在 Artifact Registry 中启用了漏洞扫描。
4. 等待最多四个小时进行初始扫描。

群集未显示

如果未显示 GKE 集群：

1. 验证是否已在连接器中启用 K8S API 访问。
2. 检查服务帐户是否具有 container.viewer 角色。
3. 确保群集位于连接的 GCP 项目中。
4. 等待 15-30 分钟进行发现。

相关内容

• 配置高级设置
• 删除 Defender for Containers