通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

通过门户在已启用 Arc 的 Kubernetes 上启用 Defender for Containers

本文介绍如何通过 Azure 门户在已启用 Arc 的 Kubernetes 群集上启用 Microsoft Defender for Containers。 可以选择一次性启用所有安全功能以实现全面的保护,或根据要求有选择地部署特定组件。

何时使用本指南

如果您想要使用本指南,请:

  • 第一次在已启用 Arc 的集群上配置容器防护器
  • 启用所有安全功能以实现全面保护
  • 有选择地部署特定组件
  • 修复或向现有部署添加缺少的组件
  • 使用受控选择性方法进行部署
  • 从保护中排除某些群集

先决条件

网络要求

验证是否为公有云部署配置了以下终结点以进行出站访问。 配置它们以用于出站访问有助于确保 Defender 传感器可以连接到 Microsoft Defender for Cloud 以发送安全数据和事件。

注释

Azure 域 *.ods.opinsights.azure.com*.oms.opinsights.azure.com 不再需要用于出站访问。 有关详细信息,请查看弃用通知

Azure 域 Azure 政府域 由世纪互联运营的 Azure 域 港口
*.cloud.defender.microsoft.com N/A N/A 443

还需要验证启用了 Azure Arc 的 Kubernetes 网络要求

针对 Arc 的附加要求:

  • 经NCF 认证的 Kubernetes 群集(本地或 IaaS)
  • 群集版本 1.19 或更高版本
  • 与 Azure 端点的出站 HTTPS 连接
  • 本地安装的 Azure CLI 或 Azure Cloud Shell

将群集连接到 Azure Arc

如果 Kubernetes 群集尚未连接到 Azure Arc,请执行以下步骤:

  1. 登录到 Azure 门户

  2. 在 Azure 门户中转到 Azure Arc

  3. 从左侧菜单中选择 Kubernetes 群集

  4. 选择 并添加

  5. 选择 “使用 Azure Arc 添加 Kubernetes 群集”。

  6. 遵循连接说明操作

    1. 选择或创建资源组
    2. 输入群集名称
    3. 选择区域
    4. 添加标记(选填)

  7. “群集详细信息 ”选项卡中,复制并运行群集上的注册脚本:

    # The portal will generate a script similar to this
az connectedk8s connect --name <cluster-name> \
    --resource-group <resource-group> \
    --location <region>

  8. 等待连接完成,并验证群集显示为 “已连接”。

启用 Defender for Containers 计划

  1. 转到 Microsoft Defender for Cloud

  2. 从左侧菜单中选择 “环境设置 ”。

  3. 选择包含已启用 Arc 的群集的订阅。

  4. 启用 容器 计划。

    显示用于切换容器计划状态的开关位置的 Defender 计划页面的屏幕截图。

配置计划组件

  1. 选择容器计划旁边的 “设置 ”。

  2. 选择部署方法:

    • 启用所有组件 (建议):启用所有功能以实现全面保护
    • 启用特定组件:仅选择所需的组件

    显示打开组件的屏幕截图。

    注释

    若要在载入过程中禁用组件的自动安装,请选择“容器计划编辑配置”。 “高级”选项会随即显示,你可禁用每个组件的自动安装。

    可用组件:

    • Kubernetes 的无代理发现 - 发现所有 Kubernetes 群集
    • 无代理容器漏洞评估 - 扫描容器映像
    • Defender DaemonSet - 运行时威胁检测
    • 适用于 Kubernetes 的 Azure Policy - 安全建议

  3. 选择 “继续 ”,然后选择 “保存”。

部署所有组件

按照以下步骤为所有已启用 Arc 的群集启用全面保护。

将扩展部署到已启用 Arc 的群集

  1. 转到“Microsoft Defender for Cloud”>“建议”。

  2. 搜索“已启用 Azure Arc 的 Kubernetes 群集应已安装 Defender 扩展”。

    Microsoft Defender for Cloud 建议为已启用 Azure Arc 的 Kubernetes 群集部署 Defender 传感器的屏幕截图。

  3. 选择建议。

  4. 选择已启用 Arc 的群集。

    重要

    选中群集名称旁边的复选框,而不是超链接名称本身。

  5. 选择 “修复” 以自动部署扩展。

    动画屏幕截图,显示使用 Defender for Cloud 中的修正为 Azure Arc 部署 Defender 传感器。

选项 2:手动部署

  1. 转到已启用 Arc 的 Kubernetes 群集。

  2. “设置”下,选择“ 扩展”。

  3. 选择 + 添加

  4. 安装 Microsoft Defender for Containers 扩展:

    1. 搜索“Microsoft Defender”
    2. 选择扩展
    3. 配置 Log Analytics 工作区
    4. 完成安装

  5. 根据需要重复安装 Azure Policy for Kubernetes 扩展。

部署 Defender 传感器

安装扩展后,将 Defender 传感器部署到已启用 Arc 的群集:

选项 1:通过建议进行部署

  1. 转到“Microsoft Defender for Cloud”>“建议”。

  2. 搜索“已启用 Azure Arc 的 Kubernetes 群集应已安装 Defender 扩展”。

  3. 选择建议。

  4. 选择要在其中部署传感器的已启用 Arc 的群集。

  5. 选择“修复”。

  6. 查看部署配置:

    • Log Analytics 工作区分配
    • 资源分配设置
    • 命名空间配置

  7. 选择 “修复要部署的 X 资源 ”。

选项 2:通过 Arc 群集进行部署

  1. 转到已启用 Arc 的 Kubernetes 群集。

  2. “设置”下,选择“ 扩展”。

  3. 验证 Microsoft Defender 扩展显示为 “成功”。

  4. 如果传感器设备模块未运行,请选择扩展并选择“管理”。

  5. 配置部署设置:

    • 启用运行时保护
    • 根据需要设置资源限制
    • 配置命名空间排除项

  6. 选择应用

验证传感器部署

部署后,验证传感器是否正在运行:

# Check sensor pods
kubectl get pods -n kube-system -l app=microsoft-defender

# Check DaemonSet status
kubectl get ds microsoft-defender-collector-ds -n kube-system

所有节点的传感器 Pod 在 5-10 分钟内运行。

配置 Log Analytics 工作区

在扩展部署期间,可以:

  1. 选择现有的 Log Analytics 工作区或创建新工作区。

  2. 使用默认工作区:DefaultWorkspace-[subscription-id]-[region]。

  3. 或选择 受支持区域中的自定义工作区。

启用漏洞扫描

对于已启用 Arc 的群集,请配置注册表扫描:

  1. 如果使用 Azure 容器注册表:

    • 自动启用漏洞扫描
    • 确保 Azure 容器注册表处于同一订阅中或已连接

  2. 对于专用注册表:

    # Create registry credentials
kubectl create secret docker-registry regcred \
    --namespace mdc \
    --docker-server=<registry-url> \
    --docker-username=<username> \
    --docker-password=<password>

  3. 更新扩展配置以使用凭据。

后续步骤

  • Last updated on