Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article vous aide à planifier le déploiement de Microsoft Defender pour les conteneurs dans les environnements Kubernetes. Il se concentre sur les composants Defender pour conteneurs déployés sur des clusters Kubernetes, y compris le capteur Defender et les politiques Azure pour Kubernetes.
D’autres fonctionnalités, telles que l’accès au Registre, l’accès à l’API Kubernetes et la protection contre les menaces sans agent, sont activées par le biais de Defender pour les paramètres du plan de conteneurs ou du connecteur.
Configurer l’environnement
Avant que Defender pour conteneurs puisse déployer des composants de cluster, l’environnement Kubernetes doit être connecté à Microsoft Defender for Cloud.
| Environnement | Chemin d’intégration |
|---|---|
| AKS | Aucun connecteur supplémentaire n’est requis. Les clusters AKS sont des ressources Azure natives. |
| EKS | Intégrer AWS à Defender for Cloud |
| GKE | Intégrez GCP à Defender for Cloud. |
| Clusters Kubernetes sur site et autres clusters Kubernetes avec Arc | Connectez votre cluster Kubernetes existant à Azure Arc. |
Options de déploiement
| Approche de déploiement | Description |
|---|---|
| Approvisionnement automatique | Les composants pris en charge sont déployés automatiquement une fois le Defender pour le plan Conteneurs ou les paramètres pertinents activés. |
| déploiement manuel | L’approvisionnement automatique est désactivé et les composants pris en charge sont installés manuellement. |
| Déploiement mixte | L’approvisionnement automatique est activé, mais des clusters AKS, EKS ou GKE spécifiques sont exclus et déployés manuellement. Le déploiement mixte n'est pas pris en charge pour les clusters Kubernetes locaux ou d'autres clusters Kubernetes connectés directement à Azure Arc. |
Provisionnement automatique
Une fois l’approvisionnement automatique activé, Microsoft Defender for Cloud installe les composants de cluster pris en charge après le plan Defender pour conteneurs et les paramètres appropriés sont activés.
Pour les clusters AKS, le déploiement du capteur Defender utilise le module complémentaire Defender AKS. Pour les clusters EKS et GKE, le déploiement utilise Azure Arc extensions Kubernetes sur les ressources Kubernetes avec Arc créées via le flux de connecteur AWS ou GCP.
Pour les clusters Kubernetes locaux et autres connectés directement à Azure Arc, le cluster doit d’abord être connecté à Azure Arc. Le déploiement utilise ensuite Azure Arc extensions Kubernetes une fois les Defender pertinentes pour les paramètres conteneurs activés.
Vous pouvez personnaliser l'approvisionnement automatique du capteur Defender en excluant des clusters spécifiques à l'aide de balises, avant d'activer le plan Defender pour conteneurs, puis de déployer le capteur manuellement.
Note
Les balises d’exclusion s’appliquent au déploiement automatique de capteurs Defender. Ils ne s'appliquent pas à des clusters Kubernetes locaux ou à d'autres clusters Kubernetes connectés directement à Azure Arc.
Avec l’approvisionnement automatique, le capteur Defender est installé après que le cluster est découvert et l'installation peut prendre plusieurs heures pour se terminer.
Utilisez le déploiement manuel ou excluez des clusters spécifiques de l’approvisionnement automatique de capteurs Defender et déployez le capteur manuellement pour installer immédiatement le capteur Defender.
Déploiement manuel
Si l’approvisionnement automatique est désactivé, les composants de cluster pris en charge ne sont pas déployés automatiquement. Vous pouvez déployer manuellement des composants pris en charge.
Le déploiement manuel peut également être utilisé pour le déploiement de capteurs Defender dans des clusters exclus de l’approvisionnement automatique de capteurs Defender.
Vous pouvez déployer manuellement des composants à l’aide de l’une des méthodes suivantes :
Déployer le capteur Defender et Azure Policy des clusters à l’aide d’Azure CLI
Installer Defender pour le capteur Conteneurs à l’aide de Helm
Étapes de post-déploiement
Après le déploiement, vérifiez que Defender composants s’exécutent correctement et résolvent les problèmes.