使用 Defender for Containers 保护本地 Kubernetes 群集
Microsoft Defender for Cloud 中的 Defender for Containers 是一款用于保护容器的云原生解决方案,可用于改进、监视和维护群集、容器及其应用程序的安全性。
有关详细信息,请参阅 Microsoft Defender for Containers 概述。
你可以在定价页上了解有关 Defender for Containers 定价的更多信息。
先决条件
需要一个 Azure 订阅。 如果没有 Azure 订阅,可以注册试用版订阅。
必须在 Azure 订阅上启用 Microsoft Defender for Cloud。
确保已验证以下已启用 Azure Arc 的 Kubernetes 的网络要求,并将 Kubernetes 群集连接到 Azure Arc。
验证以下终结点是否已配置为进行出站访问,以便 Defender 传感器可以连接到 Microsoft Defender for Cloud 以发送安全数据和事件:
域 端口 *.ods.opinsights.azure.cn 443 *.oms.opinsights.azure.cn 443 login.partner.microsoftonline.cn 443
启用 Defender for Containers 计划
默认情况下,通过 Azure 门户启用计划时,Microsoft Defender for Containers 配置为自动安装所需组件以提供计划所提供的保护,包括分配默认工作区。
如果更倾向于分配自定义工作区,可以通过 Azure Policy 分配一个。
若要在订阅上启用 Defender for Containers 计划,请执行以下操作:
登录 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
在 Defender for Cloud 菜单中,选择“环境设置”。
选择相关订阅。
在“Defender 计划”页上,将“容器计划”切换为“开”。
选择“保存”。
注意
若要启用或禁用单个 Defender for Containers 功能(全局或针对特定资源),请参阅如何启用 Microsoft Defender for Containers 组件。
在已启用 Arc 的 Kubernetes 群集上部署 Defender 传感器
可以启用 Defender for Containers 计划,并采用不同方式部署所有相关组件。 我们将引导你完成使用 Azure 门户完成此操作。 了解如何使用 REST API、Azure CLI 或资源管理器模板部署 Defender 传感器。
要在 Azure 中部署 Defender 传感器,请执行以下操作:
登录 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
导航到“建议”页面。
搜索并选择
Azure Arc-enabled Kubernetes clusters should have the Defender extension installed
建议。选择所有相关受影响的资源。
选择“修复”。
后续步骤
有关 Defender for Containers 的高级启用功能,请参阅启用 Microsoft Defender for Containers 页面。