以编程方式在 Azure 上部署 Defender for Containers （AKS）

本文介绍在 Azure Kubernetes 服务（AKS）群集上以编程方式部署 Microsoft Defender for Containers 的方法。

小窍门

有关引导式门户体验，请参阅通过门户启用 Defender for Containers。

先决条件

网络要求

Defender 传感器必须连接到 Microsoft Defender for Cloud 才能发送安全数据和事件。确保所需的终结点已配置为支持出站访问。

连接要求

Defender 传感器需要连接到：

Microsoft Defender for Cloud （用于发送安全数据和事件）

默认情况下，AKS 群集具有不受限制的出站（出口）Internet 访问权限。

对于具有受限出口的群集，必须允许特定的 FQDN 以便 Microsoft Defender for Containers 能够正常工作。请参阅 AKS 出站网络文档中有关所需端点的 Microsoft Defender for Containers - 必需的 FQDN/应用程序规则。

此外，请确保具备：

Azure CLI 2.40.0 或更高版本
适当的 RBAC 权限（贡献者或安全管理员）

启用 Defender for Containers 计划

若要在订阅上启用 Defender for Containers 计划，请参阅 “启用 Microsoft Defender for Cloud”。可以通过 Azure 门户、REST API 或 Azure Policy 启用计划。

部署 Defender 传感器

启用 Defender for Containers 计划时，Defender 传感器默认会自动部署在 AKS 群集上。

如果禁用自动预配，或者需要手动部署传感器，请使用以下方法之一。

Azure CLI
ARM 模板

将 Defender 传感器部署到特定的 AKS 群集：

az aks update \
    --resource-group myResourceGroup \
    --name myAKSCluster \
    --enable-defender

部署以下 ARM 模板，在 AKS 群集上启用 Defender 传感器：

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "clusterName": {
      "type": "string"
    },
    "location": {
      "type": "string"
    },
    "workspaceResourceId": {
      "type": "string"
    }
  },
  "resources": [
    {
      "type": "Microsoft.ContainerService/managedClusters",
      "apiVersion": "2023-01-01",
      "name": "[parameters('clusterName')]",
      "location": "[parameters('location')]",
      "properties": {
        "securityProfile": {
          "defender": {
            "logAnalyticsWorkspaceResourceId": "[parameters('workspaceResourceId')]",
            "securityMonitoring": {
              "enabled": true
            }
          }
        }
      }
    }
  ]
}

使用 Azure CLI 部署模板：

az deployment group create \
    --resource-group myResourceGroup \
    --template-file defender-aks.json \
    --parameters clusterName=myAKSCluster location=chinanorth workspaceResourceId=/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}

部署 Azure Policy 加载项

使用适用于 AKS 的 Azure Policy 加载项，可以集中、一致的方式在群集上应用大规模强制措施和安全措施。

若要启用 Azure Policy 加载项，请执行以下作：

az aks enable-addons \
    --addons azure-policy \
    --name myAKSCluster \
    --resource-group myResourceGroup

使用建议部署组件

还可以使用 Defender for Cloud 建议手动部署功能：

传感器	建议
适用于 Kubernetes 的 Defender 传感器	Azure Kubernetes 服务群集应启用 Defender 配置文件
适用于 Kubernetes 的 Azure Policy 代理	Azure Kubernetes 服务群集应安装适用于 Kubernetes 的 Azure Policy 加载项
适用于已启用 Azure Arc 的 Kubernetes 的 Azure Policy 代理	已启用 Azure Arc 的 Kubernetes 群集应已安装 Azure Policy 扩展

后续步骤

Last updated on 2026-04-02

Partager via