在 Azure （AKS）上以程式方式部署容器防禦者（Defender for Containers）

本文說明如何在你的 Azure Kubernetes Service（AKS）叢集上以程式方式部署 Microsoft Defender for Containers 的方法。

小提示

欲體驗導引式入口網站，請參閱透過入口網站啟用容器防禦者。

先決條件

網路需求

Defender 感測器必須連接到 Microsoft Defender for Cloud，才能傳送安全資料和事件。確保所需的端點已設定為外站存取。

連線需求

Defender 感測器需要連接以下功能：

Microsoft Defender for Cloud（用於傳送安全資料與事件）

根據預設，AKS 叢集具有不受限制的輸出 (連出) 網際網路存取。

對於有限制出口的叢集，你必須允許特定的 FQDN 讓 Microsoft Defender for Containers 正常運作。請參閱 AKS 外站網路文件中的 Microsoft Defender for Containers - 必須的 FQDN/應用規則以了解相關端點。

私人連結設定

如果叢集的事件輸出需要使用 Azure 監視器私人連結範圍 (AMPLS)，您必須：

以容器洞察與日誌分析工作區定義叢集
在 AMPLS 中將叢集的日誌分析工作空間定義為資源
在 AMPLS 中建立虛擬網路私人端點，介於：
- 叢集的虛擬網路
- 日誌分析資源
虛擬網路私人端點會與私人 DNS 區域整合。

相關說明請參見「建立 Azure Monitor 私有連結範圍」。

此外，請確保您具備：

Azure CLI version 2.40.0 或更後版本
適當的 RBAC 權限（貢獻者或安全管理員）

啟用 Defender for Containers 計畫

若要在您的訂閱中啟用 Defender for Containers 方案，請參閱啟用 Microsoft Defender for Cloud。你可以透過 Azure 入口網站、REST API 或 Azure Policy 啟用該計畫。

部署 Defender 感應器

當你啟用 Defender for Containers 方案時，Defender 感測器會自動部署到你的 AKS 叢集上。

如果自動配置被停用，或需要手動部署感測器，請使用以下其中一種方法。

Azure CLI
ARM 範本

要將 Defender 感測器部署到特定的 AKS 叢集：

az aks update \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --enable-defender

如果要使用自訂 Log Analytics 工作區進行部署：

az aks update \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --enable-defender \
    --defender-config logAnalyticsWorkspaceResourceId=/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}

部署以下 ARM 範本，啟用 AKS 叢集上的 Defender 感測器：

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string"
    },
    "location": {
      "type": "string"
    },
    "workspaceResourceId": {
      "type": "string"
    }
  },
  "resources": [
    {
      "type": "Microsoft.ContainerService/managedClusters",
      "apiVersion": "2023-01-01",
      "name": "[parameters('clusterName')]",
      "location": "[parameters('location')]",
      "properties": {
        "securityProfile": {
          "defender": {
            "logAnalyticsWorkspaceResourceId": "[parameters('workspaceResourceId')]",
            "securityMonitoring": {
              "enabled": true
            }
          }
        }
      }
    }
  ]
}

使用 Azure CLI 部署範本：

az deployment group create \
    --resource-group myResourceGroup \
    --template-file defender-aks.json \
    --parameters clusterName=myAKSCluster location=eastus workspaceResourceId=/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}

部署 Azure Policy 附加元件

AKS 的 Azure Policy 外掛讓你能以集中且一致的方式，對叢集施加大規模的強制執行與防護措施。

要啟用 Azure Policy 外掛：

az aks enable-addons \
    --addons azure-policy \
    --name myAKSCluster \
    --resource-group myResourceGroup

透過使用建議部署元件

您也可以透過使用 Defender for Cloud 推薦，手動部署功能：

感測器	Recommendation
適用於 Kubernetes 的 Defender 感應器	Azure Kubernetes Service 叢集應已啟用 Defender 設定檔
適用於已啟用 Azure Arc 的 Kubernetes 的 Defender 感應器	已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Defender 擴充功能
適用於 Kubernetes 的 Azure 原則代理程式	Azure Kubernetes Service 叢集應該已安裝適用於 Kubernetes 的 Azure 原則附加元件
適用於已啟用 Azure Arc 的 Kubernetes 的 Azure 原則代理程式	已啟用 Azure Arc 的 Kubernetes 叢集應該已安裝 Azure 原則擴充功能

後續步驟

意見反應

此頁面對您有幫助嗎？

Last updated on 2025-12-04