Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo ajuda você a planejar como implantar Microsoft Defender para contêineres em ambientes do Kubernetes. Ele se concentra nos componentes do Defender para Containers que são implantados em clusters Kubernetes, incluindo o sensor Defender e Azure Policy para Kubernetes.
Outros recursos, como acesso ao registro, acesso à API do Kubernetes e proteção contra ameaças sem agente, são habilitados por meio do plano Defender para Contêineres ou das configurações de conector.
Integrar o ambiente
Antes que Defender para contêineres possa implantar componentes de cluster, o ambiente do Kubernetes deve estar conectado ao Microsoft Defender para Nuvem.
| Ambiente | Caminho de integração |
|---|---|
| AKS | Nenhum conector adicional é necessário. Os clusters do AKS são recursos nativos de Azure. |
| EKS | Integrar AWS ao Defender para Nuvem. |
| GKE | Integrar o GCP ao Defender para Nuvem. |
| Os clusters Kubernetes locais e outros clusters Kubernetes habilitados para Arc | Conecte o cluster kubernetes existente para Azure Arc. |
Opções de implantação
| Abordagem de implantação | Descrição |
|---|---|
| Provisionamento automático | Os componentes com suporte são implantados automaticamente depois que o plano Defender para Contêineres ou as configurações relevantes são habilitados. |
| Implantação manual | O provisionamento automático está desativado e os componentes com suporte são instalados manualmente. |
| Implantação mista | O provisionamento automático está habilitado, mas clusters específicos do AKS, EKS ou GKE são excluídos e implantados manualmente. Não há suporte para a implantação mista no local ou em outros clusters do Kubernetes conectados diretamente ao Azure Arc. |
Provisionamento automático
Com o provisionamento automático habilitado, Microsoft Defender para Nuvem instala componentes de cluster com suporte após o plano Defender para Contêineres e as configurações relevantes estão habilitadas.
Para clusters AKS, a implantação do sensor Defender usa o complemento Defender AKS. Para clusters EKS e GKE, a implantação usa extensões do Azure Arc para Kubernetes nos recursos de Kubernetes habilitados com Arc criados por meio do conector do fluxo AWS ou GCP.
Para clusters locais e outros clusters do Kubernetes conectados diretamente ao Azure Arc, o cluster deve primeiro ser conectado ao Azure Arc. Em seguida, a implantação usa extensões do Azure Arc Kubernetes, depois que as configurações relevantes do Defender para Contêineres estiverem habilitadas.
Você pode personalizar o provisionamento automático de sensor Defender excluindo clusters específicos usando marcas antes de habilitar o plano Defender para Contêineres e, em seguida, implantar o sensor manualmente.
Observação
As tags de exclusão se aplicam à implantação automática do sensor Defender. Eles não se aplicam a clusters locais nem a outros clusters do Kubernetes conectados diretamente ao Azure Arc.
Com o provisionamento automático, o sensor Defender é instalado depois que o cluster é descoberto e pode levar várias horas para ser concluído.
Use a implantação manual ou exclua clusters específicos do provisionamento automático de sensor Defender e implante o sensor manualmente para instalar o sensor Defender imediatamente.
Implantação manual
Se o provisionamento automático estiver desabilitado, os componentes de cluster com suporte não serão implantados automaticamente. Você pode implantar componentes com suporte manualmente.
A implantação manual também pode ser usada para a implantação do sensor do Defender em clusters excluídos do provisionamento automático do sensor do Defender.
Você pode implantar componentes manualmente usando um dos seguintes métodos:
Etapas de pós-implantação
Após a implantação, verifique se Defender componentes estão sendo executados corretamente e resolva quaisquer problemas.