Defender for Containers-sensor installeren met behulp van Helm

In dit artikel wordt beschreven hoe u de Microsoft Defender for Containers-sensor installeert en configureert op AKS-, EKS- en GKE-clusters met behulp van Helm.

Defender for Containers ondersteunt meerdere implementatiemodellen voor het implementeren van de sensor, waaronder automatische inrichting en Helm-gebaseerde installatie. Implementatie op basis van Helm biedt meer controle over het versiebeheer en de timing van upgrades voor sensoren, maar uw operationele verantwoordelijkheden verschuiven enigszins. Overweeg het volgende bij het gebruik van implementatie op basis van Helm:

Sensorupgrades: Met behulp van implementatie op basis van Helm beheert u sensorupgrades en tijdsinstellingen voor upgrades. Automatische voorzieningen volgen de door Microsoft beheerde implementatieschema's.
Automatische installatiestromen: bij het implementeren van de sensor met behulp van Helm kunt u automatische installatieprompts en aanbevelingen in Azure Portal overslaan om conflicten met de bestaande implementatie te voorkomen.

Vereiste voorwaarden

Voordat u de sensor installeert met behulp van Helm, moet u ervoor zorgen dat:

U implementeert alle vereisten voor de sensor Defender voor Containers, zoals beschreven in de vereisten voor het Defender sensornetwerk.
Defender voor containers is ingeschakeld in het doelabonnement of de beveiligingsconnector:
- Azure-abonnement: Defender for Containers inschakelen op AKS via de portal
- Amazon Web Services (AWS): Defender for Containers inschakelen op AWS (EKS) via de portal
- Google Cloud Project (GCP): Defender for Containers inschakelen op GCP (GKE) via de portal
- Kubernetes met Arc: Schakel Defender voor Containers in op Kubernetes met Arc via het portaal
De volgende onderdelen van het plan Defender for Containers zijn ingeschakeld:
- Defender-sensor
- Kubernetes-API-toegang
Voor AWS- en GCP-omgevingen: controleert u of de Auto provision Defender sensor voor Azure Arc wisselknop is uitgeschakeld.

Als u automatische inrichting ingeschakeld wilt houden voor andere Arc-clusters in het AWS-account of GCP-project, moet u de tag ms_defender_e2e_discovery_exclude=true toepassen op clusters waar u de sensor wilt uitrollen door gebruik te maken van Helm.
Uw omgeving heeft geen conflicterende beleidstoewijzingen waarmee de algemeen beschikbare versie van de sensor kan worden geïmplementeerd.

Controleer beleidstoewijzingen die gebruikmaken van de volgende beleidsdefinitie-id en verwijder conflicterende toewijzingen:

64def556-fbad-4622-930e-72d1d5589bf5

Als u beleidsdefinities wilt bekijken, gaat u naar Policy-definities in de Azure-portal en zoekt u naar de beleidsdefinitie-id.

De Helm-grafiek installeren

Defender voor Helm-grafieken voor containers worden gepubliceerd naar mcr.microsoft.com/azuredefender/microsoft-defender-for-containers.

Voor de grafiek zijn cluster-id-waarden vereist onder global.cloudIdentifiers. U kunt deze waarden inline --setopgeven, zoals wordt weergegeven in de volgende voorbeelden of met behulp van een waardenbestand.

Om de nieuwste versie van de Helm chart te installeren, gebruikt u het basis Helm install-commando. Geef de vereiste global.cloudIdentifiers waarden op met behulp van een waardenbestand of inline met --set, zoals wordt weergegeven in de omgevingsspecifieke voorbeelden:

helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers

U kunt de gepubliceerde versies weergeven door de volgende opdracht uit te voeren:

curl https://mcr.microsoft.com/v2/azuredefender/microsoft-defender-for-containers/tags/list

Als u een specifieke versie wilt installeren, neemt u de versietag op:

helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers:<tag>

Als u configureerbare grafiekwaarden wilt inspecteren, zoals functievlagmen of resourcelimieten voor pods, haalt u de grafiek op en controleert u het values.yaml bestand:

helm pull oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers

De sensor voor uw omgeving installeren:

Gebruik de mdc naamruimte voor standaard AKS-clusters.

Gebruik de kube-system naamruimte voor automatische AKS-clusters.

Als uw AKS-cluster al een bestaande Defender voor Containers-installatie heeft, schakelt u de bestaande installatie uit, zoals beschreven in Configure Defender for Containers for Azure en verwijdert u eventueel overgebleven bronnen door de volgende opdrachten uit te voeren:

kubectl delete crd/policies.defender.microsoft.com || true
kubectl delete crd/runtimepolicies.defender.microsoft.com || true
kubectl delete crd/securityartifactpolicies.defender.microsoft.com || true
kubectl delete ClusterRole defender-admission-controller-cluster-role || true
kubectl delete ClusterRole defender-admission-controller-resource-cluster-role || true
kubectl delete ClusterRoleBinding defender-admission-controller-cluster-role-binding || true
kubectl delete ClusterRoleBinding defender-admission-controller-cluster-resource-role-binding || true

Installeer de sensor:

helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers \
    --create-namespace --namespace <namespace> \
    --set global.cloudIdentifiers.Azure.subscriptionId="<cluster-subscription-id>" \
    --set global.cloudIdentifiers.Azure.resourceGroupName="<cluster-resource-group>" \
    --set global.cloudIdentifiers.Azure.clusterName="<cluster-name>" \
    --set global.cloudIdentifiers.Azure.region="<cluster-region>"

Vervangen <namespace> door:

mdc voor AKS-standaardclusters.
kube-system voor geautomatiseerde AKS-clusters.

Installeer de sensor:

helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers \
    --create-namespace --namespace mdc \
    --set global.cloudIdentifiers.AWS.accountId="<aws-account-id>" \
    --set global.cloudIdentifiers.AWS.region="<cluster-region>" \
    --set global.cloudIdentifiers.AWS.clusterName="<cluster-name>"

Installeer de sensor:

helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers \
    --create-namespace --namespace mdc \
    --set global.cloudIdentifiers.GCP.projectId="<gcp-project-id>" \
    --set global.cloudIdentifiers.GCP.location="<cluster-location>" \
    --set global.cloudIdentifiers.GCP.clusterName="<cluster-name>"

De installatie controleren

Controleer of de installatie is geslaagd met behulp van de naamruimte die u tijdens de installatie hebt gebruikt.

Standaard AKS, EKS en GKE
AKS Automatisch

helm list --namespace mdc

helm list --namespace kube-system

De installatie is geslaagd als het veld STATUSdeployed weergeeft.

Beveiligingsregels voor gated-implementatie configureren

Opmerking

Kubernetes-gated implementatie wordt alleen ondersteund op AKS Automatische clusters wanneer de sensor wordt geïnstalleerd met behulp van Helm in de kube-system naamruimte. Implementatie van invoegtoepassingen wordt niet ondersteund voor dit scenario.

Belangrijk

Wanneer u regels maakt, kan het geselecteerde abonnement worden weergegeven als not supported for Gated deployment. Deze status treedt op omdat u de onderdelen van Defender for Containers hebt geïnstalleerd met behulp van Helm in plaats van via de automatische installatie van het dashboard.

Definieer beveiligingsregels om te bepalen wat u in uw Kubernetes-clusters kunt implementeren. Met deze regels kunt u containerinstallatiekopieën blokkeren of controleren op basis van beveiligingscriteria, zoals installatiekopieën met te veel beveiligingsproblemen.

Meld u aan bij het Azure-portaal.
Ga naar Defender voor Cloud>Omgevingsinstellingen.
Selecteer Beveiligingsregels.
Selecteer Evaluatie vanbeveiligingsproblemen met >.
Selecteer een regel om deze te bewerken of selecteer + Regel toevoegen om een nieuwe regel te maken.

Bestaande aanbevelingen afhandelen

Belangrijk

Als u de sensor installeert met behulp van Helm, gebruikt u geen bestaande Defender voor Cloud aanbevelingen om het Defender-profiel of de Arc-extensie voor hetzelfde cluster te installeren. Door deze aanbevelingen aan te pakken, kan er een conflicterende implementatie ontstaan.

Afhankelijk van uw implementatietype worden de volgende aanbevelingen mogelijk nog steeds weergegeven in Defender voor Cloud:

Azure: Voor Azure Kubernetes Service-clusters moet Defender-profiel zijn ingeschakeld - Microsoft Azure
Arc-ingeschakelde Kubernetes-clusters: Azure Arc-ingeschakelde Kubernetes-clusters moeten de Defender-extensie geïnstalleerd hebben - Microsoft Azure

Een bestaande Helm-gebaseerde implementatie upgraden

Met Helm-gebaseerde implementatie beheert u de sensorupgrades. Defender voor Cloud past ze niet automatisch toe.

Voer de volgende opdracht uit om een bestaande Helm-implementatie bij te werken. Gebruik de naamruimte die u tijdens de installatie hebt gebruikt.

helm upgrade defender-k8s \
    oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers \
    --namespace <namespace> \
    --reuse-values

Voor <namespace>, gebruik:

mdc voor standaard AKS-, EKS- en GKE-clusters.
kube-system voor AKS-automatische clusters.

Als de upgrade mislukt vanwege resourceconflicten, voegt u de volgende opties toe aan de upgradeopdracht:

--server-side=true --resolve-conflicts

Veelgestelde vragen over het beveiligen van containers

Feedback

Is deze pagina nuttig?

Last updated on 2026-05-06

Defender for Containers-sensor installeren met behulp van Helm

Vereiste voorwaarden

De Helm-grafiek installeren

De installatie controleren

Beveiligingsregels voor gated-implementatie configureren

Bestaande aanbevelingen afhandelen

Een bestaande Helm-gebaseerde implementatie upgraden

Verwante inhoud

Feedback

Aanvullende resources