Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie Microsoft Defender für Container in Kubernetes-Umgebungen bereitstellen. Sie konzentriert sich auf die Defender für Containerkomponenten, die in Kubernetes-Clustern bereitgestellt werden, einschließlich des Defender Sensor und Azure Policy für Kubernetes.
Andere Funktionen, z. B. Registrierungszugriff, Kubernetes-API-Zugriff und agentloser Bedrohungsschutz, werden über Defender für Containerplan- oder Connectoreinstellungen aktiviert.
Einrichtung der Umgebung
Bevor Defender für Container Clusterkomponenten bereitstellen können, muss die Kubernetes-Umgebung mit Microsoft Defender for Cloud verbunden sein.
| Umwelt | Onboardingpfad |
|---|---|
| AKS | Es ist kein zusätzlicher Verbinder erforderlich. AKS-Cluster sind systemeigene Azure Ressourcen. |
| EKS | AWS bei Defender for Cloud integrieren |
| GKE | GCP in Defender for Cloud einbinden. |
| Lokale und andere arcfähige Kubernetes-Cluster | Verbinden Sie Ihren vorhandenen Kubernetes-Cluster mit Azure Arc. |
Bereitstellungsoptionen
| Bereitstellungsansatz | Beschreibung |
|---|---|
| Automatische Bereitstellung | Unterstützte Komponenten werden automatisch bereitgestellt, nachdem der Defender für Container-Plan oder relevante Einstellungen aktiviert wurden. |
| Manuelle Bereitstellung | Die automatische Bereitstellung ist deaktiviert, und unterstützte Komponenten werden manuell installiert. |
| Gemischte Bereitstellung | Die automatische Bereitstellung ist aktiviert, aber bestimmte AKS-, EKS- oder GKE-Cluster werden ausgeschlossen und manuell bereitgestellt. Die gemischte Bereitstellung wird für lokale oder andere Kubernetes-Cluster, die direkt mit Azure Arc verbunden sind, nicht unterstützt. |
Automatische Bereitstellung
Wenn die automatische Bereitstellung aktiviert ist, installiert Microsoft Defender for Cloud unterstützte Clusterkomponenten, nachdem der Defender für container-Plan und die relevanten Einstellungen aktiviert wurden.
Für AKS-Cluster verwendet die Defender-Sensorinstallation das Defender AKS-Add-On. Für EKS- und GKE-Cluster verwendet die Bereitstellung Azure Arc Kubernetes-Erweiterungen für die Arc-fähigen Kubernetes-Ressourcen, die über den AWS- oder GCP-Connectorfluss erstellt wurden.
Für lokale und andere Kubernetes-Cluster, die direkt mit Azure Arc verbunden sind, muss der Cluster zuerst mit Azure Arc verbunden sein. Die Bereitstellung verwendet dann Azure Arc Kubernetes-Erweiterungen, nachdem die relevanten Defender für Containereinstellungen aktiviert sind.
Bevor Sie den Defender für Container-Plan aktivieren, können Sie die automatische Bereitstellung des Defender-Sensors anpassen, indem Sie bestimmte Cluster durch Ausschluss anhand von Tags kennzeichnen und dann den Sensor manuell bereitstellen.
Hinweis
Ausschlusstags gelten für die automatische Defender Sensorbereitstellung. Sie gelten nicht für lokale oder andere Kubernetes-Cluster, die direkt mit Azure Arc verbunden sind.
Bei der automatischen Bereitstellung wird der Defender Sensor installiert, nachdem der Cluster erkannt wurde. Der Vorgang kann mehrere Stunden in Anspruch nehmen.
Verwenden Sie die manuelle Bereitstellung oder schließen Sie bestimmte Cluster von der automatischen Defender Sensorbereitstellung aus, und stellen Sie den Sensor manuell bereit, um den Defender Sensor sofort zu installieren.
Manuelle Bereitstellung
Wenn die automatische Bereitstellung deaktiviert ist, werden unterstützte Clusterkomponenten nicht automatisch bereitgestellt. Sie können unterstützte Komponenten manuell bereitstellen.
Die manuelle Bereitstellung kann auch für die Bereitstellung von Defender-Sensoren auf Clustern genutzt werden, die von der automatischen Bereitstellung von Defender-Sensoren ausgeschlossen sind.
Sie können Komponenten mithilfe einer der folgenden Methoden manuell bereitstellen:
Bereitstellen von Defender-Sensor und Azure-Richtlinie auf Clustern mithilfe der Azure CLI
Installieren Sie den Defender-für-Containers-Sensor mithilfe von Helm
Schritte nach der Bereitstellung
Überprüfen Sie nach der Bereitstellung, ob die Defender-Komponenten ordnungsgemäß funktionieren, und beheben Sie alle Probleme.