在 Azure 上配置 Defender for Containers （AKS）

本文介绍如何为 AKS 群集上的 Defender for Containers 配置高级设置。 它还介绍了如何在初始部署后添加或删除组件。

配置计划组件

可以启用或禁用特定的 Defender for Containers 组件：

1. 转到 Microsoft Defender for Cloud>环境设置。

2. 选择 Azure 订阅。

3. 选择 “设置” 以管理容器计划。

4. 打开或关闭组件：

   • Defender 传感器
   • Azure Policy

5. 选择 “继续 ”并 保存。

添加或删除组件

初始部署后，可能需要添加跳过的组件或删除不必要的组件。

将 Defender 传感器部署到现有群集

如果最初未部署 Defender 传感器：

1. 转到“Microsoft Defender for Cloud”>“建议”。

2. 搜索“Azure Kubernetes 服务群集应启用了 Defender 配置文件”。

3. 选择缺少传感器的群集。

4. 选择 “修复 ”以部署。

或使用 Azure CLI：

az aks update \
    --name <cluster-name> \
    --resource-group <resource-group> \
    --enable-defender

添加 Azure Policy 扩展

若要为现有部署添加策略评估，请执行以下步骤：

az aks enable-addons \
    --addons azure-policy \
    --name <cluster-name> \
    --resource-group <resource-group>

删除 Defender 传感器

若要在保留其他组件的同时删除 Defender 传感器：

az aks update \
    --name <cluster-name> \
    --resource-group <resource-group> \
    --disable-defender

删除策略加载项

若要删除 Azure Policy 加载项，请执行以下作：

az aks disable-addons \
    --addons azure-policy \
    --name <cluster-name> \
    --resource-group <resource-group>

最佳做法

1. 定期评审：每月查看配置。
2. 测试更改：首先在非生产环境中测试配置更改。
3. 文档设置：维护自定义配置的文档。
4. 监视影响：监视更改后的性能影响。
5. 跟踪排除：记录下排除某些群集或组件的原因。

相关内容

• 验证配置
• 删除 Defender for Containers