Instalar o sensor do Defender para Contêineres usando o Helm

Para controlar o tempo de implantação e atualização em seu AKS (Serviço de Kubernetes do Azure), o Amazon Elastic Kubernetes Service (EKS) e os clusters do Mecanismo de Kubernetes do Google (GKE), instale e configure o sensor Microsoft Defender para Contêineres usando o Helm.

O Defender para Contêineres oferece suporte a vários modelos de implantação de sensores, incluindo provisionamento automático e instalação baseada em Helm. A implantação baseada no Helm oferece mais controle sobre o tempo de versão e atualização, mas você gerencia parte do trabalho operacional. Ao usar a implantação baseada no Helm, considere:

Atualizações de sensor: com a implantação com base em Helm, você gerencia as atualizações de sensor e o cronograma. O provisionamento automático segue os agendamentos de distribuição gerenciados pela Microsoft.
Fluxos de instalaçãoautomáticos: ao implantar o sensor usando o Helm, ignore as solicitações e recomendações automáticas no portal Azure para evitar conflitos com a implantação existente.

Pré-requisitos

Antes de instalar o sensor usando o Helm, conclua os seguintes pré-requisitos:

Implemente todos os pré-requisitos para o sensor do Defender para Contêineres, conforme descrito nos requisitos de rede do sensor do Defender.
Habilite o Defender para Contêineres na assinatura de destino ou no conector de segurança:
- Assinatura do Azure: Habilitar o Defender para Contêineres no AKS por meio do portal
- Amazon Web Services (AWS): Habilitar o Defender para Contêineres no AWS (EKS) por meio do portal
- Projeto do Google Cloud (GCP): Habilitar o Defender para Contêineres no GCP (GKE) por meio do portal
- Kubernetes habilitado para Arc: Habilitar o Defender para contêineres no Kubernetes habilitado para Arc por meio do portal
Habilite os seguintes componentes do plano Defender para Contêineres:
- Sensor do Defender
- Acesso à API do Kubernetes
Para ambientes do Amazon Web Services (AWS) e do Google Cloud Platform (GCP): desative a opção Provisionar automaticamente o sensor do Defender para Azure Arc.

Se você quiser manter o provisionamento automático habilitado para outros clusters habilitados para Arc na conta do AWS ou no projeto GCP, aplique a ms_defender_e2e_discovery_exclude=true marca a clusters nos quais você pretende implantar o sensor usando o Helm.
Verifique se o seu ambiente não tem atribuições de políticas conflitantes que possam implantar a versão do sensor de disponibilidade geral.

Examine as atribuições de política que usam a seguinte ID de definição de política e remova as atribuições conflitantes:

64def556-fbad-4622-930e-72d1d5589bf5

Para examinar as definições de política, vá para Definições de Política no portal do Azure e pesquise a ID de definição de política.

Instalar o gráfico Helm

Gráficos do Defender para contêineres Helm são publicados em mcr.microsoft.com/azuredefender/microsoft-defender-for-containers.

O gráfico requer valores de identificador de cluster em global.cloudIdentifiers. Você pode fornecer esses valores embutidos com --set, conforme mostrado nos exemplos a seguir, ou usando um arquivo de valores.

Para instalar a versão mais recente do gráfico, use o comando de instalação base do Helm. Forneça os valores necessários global.cloudIdentifiers usando um arquivo de valores ou embutido com --set, conforme demonstrado nos exemplos específicos para o ambiente.

helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers

Você pode listar as versões publicadas executando o seguinte comando:

curl https://mcr.microsoft.com/v2/azuredefender/microsoft-defender-for-containers/tags/list

Para instalar uma versão específica, inclua a marca de versão:

helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers:<tag>

Para inspecionar valores de gráfico configuráveis, como sinalizadores de recursos ou limites de recursos de pod, execute pull do gráfico e examine o arquivo values.yaml:

helm pull oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers

Para instalar o sensor para seu ambiente:

Para clusters padrão do AKS, use o mdc namespace.

Para clusters automáticos do AKS, use o kube-system namespace.

Se o cluster do AKS já tiver uma Defender existente para implantação de contêineres, desabilite a implantação existente conforme descrito em Configurar Defender para Contêineres para Azure e remova os recursos restantes executando os seguintes comandos:

kubectl delete crd/policies.defender.microsoft.com || true
kubectl delete crd/policytemplates.defender.microsoft.com || true
kubectl delete crd/runtimepolicies.defender.microsoft.com || true
kubectl delete crd/securityartifactpolicies.defender.microsoft.com || true
kubectl delete ClusterRole defender-admission-controller-cluster-role || true
kubectl delete ClusterRole defender-admission-controller-resource-cluster-role || true
kubectl delete ClusterRoleBinding defender-admission-controller-cluster-role-binding || true
kubectl delete ClusterRoleBinding defender-admission-controller-cluster-resource-role-binding || true

Instale o sensor:

helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers \
    --create-namespace --namespace <namespace> \
    --set global.cloudIdentifiers.Azure.subscriptionId="<cluster-subscription-id>" \
    --set global.cloudIdentifiers.Azure.resourceGroupName="<cluster-resource-group>" \
    --set global.cloudIdentifiers.Azure.clusterName="<cluster-name>" \
    --set global.cloudIdentifiers.Azure.region="<cluster-region>"

Substitua por <namespace> :

mdc para clusters padrão do AKS.
kube-system para clusters automáticos do AKS.

Instale o sensor:

helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers \
    --create-namespace --namespace mdc \
    --set global.cloudIdentifiers.AWS.accountId="<aws-account-id>" \
    --set global.cloudIdentifiers.AWS.region="<cluster-region>" \
    --set global.cloudIdentifiers.AWS.clusterName="<cluster-name>"

Instale o sensor:

helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers \
    --create-namespace --namespace mdc \
    --set global.cloudIdentifiers.GCP.projectId="<gcp-project-id>" \
    --set global.cloudIdentifiers.GCP.location="<cluster-location>" \
    --set global.cloudIdentifiers.GCP.clusterName="<cluster-name>"

Verificar a instalação

Verifique a instalação usando o mesmo namespace usado para instalar o gráfico.

AKS padrão, EKS e GKE
AKS Automático

helm list --namespace mdc

helm list --namespace kube-system

A instalação foi bem-sucedida se o campo STATUS mostrar deployed.

Configurar regras de segurança para implantação fechada

Observação

A implantação com restrição do Kubernetes tem suporte em clusters automáticos do AKS somente quando o sensor é instalado usando o Helm no namespace kube-system. O suporte à implantação de complementos não é oferecido para esse cenário.

Importante

Quando você cria regras, a assinatura selecionada pode ser mostrada como not supported for Gated deployment. Esse status ocorre porque você instalou os componentes do Defender para Contêineres usando o Helm e não por meio da instalação automática do painel.

Defina regras de segurança para controlar o que você pode implantar em seus clusters do Kubernetes. Essas regras podem bloquear ou auditar imagens de contêiner que não atendem aos critérios de segurança.

Entre no portal do Azure.
Vá para Defender para Nuvem>Configurações do ambiente.
Selecione regras de segurança.
Selecione Implantação fechada>Avaliação de vulnerabilidade.
Selecione uma regra para editá-la ou selecione + Adicionar regra para criar uma nova.

Gerenciar recomendações existentes

Importante

Se você instalar o sensor usando o Helm, não use recomendações de Defender para Nuvem existentes para instalar o perfil Defender ou a extensão Arc para o mesmo cluster. Corrigir essas recomendações pode criar uma implantação conflitante.

Dependendo do tipo de implantação, as recomendações a seguir ainda podem aparecer em Defender para Nuvem. Revise-os para confirmar que se referem a fluxos de implantação automática e, em seguida, ignore-os nos clusters em que a implantação foi feita com Helm.

Azure: os clusters do Serviço de Kubernetes do Azure devem ter o perfil do Defender habilitado – Microsoft Azure
Clusters Kubernetes habilitados para Arc: Os Clusters Kubernetes habilitados para Azure Arc devem ter a extensão Defender instalada - Microsoft Azure

Atualize uma implantação existente baseada em Helm

Com a implantação baseada no Helm, você gerencia as atualizações de sensores. O Defender para Nuvem não os aplica automaticamente.

Execute o comando a seguir para atualizar uma implantação baseada no Helm existente. Use o namespace usado durante a instalação.

helm upgrade defender-k8s \
    oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers \
    --namespace <namespace> \
    --reuse-values

Substitua <namespace> pelo namespace usado durante a instalação.

O --reuse-values parâmetro mantém seus valores personalizados existentes durante a atualização.

Para <namespace>, use:

mdc para clusters padrão AKS, EKS e GKE.
kube-system para clusters automáticos do AKS.

Se a atualização falhar devido a conflitos de recursos, adicione as seguintes opções ao comando de atualização:

--server-side=true --resolve-conflicts

Perguntas comuns sobre como proteger contêineres

Comentários

Esta página foi útil?

Last updated on 2026-05-31

Instalar o sensor do Defender para Contêineres usando o Helm

Pré-requisitos

Instalar o gráfico Helm

Verificar a instalação

Configurar regras de segurança para implantação fechada

Gerenciar recomendações existentes

Atualize uma implantação existente baseada em Helm

Conteúdo relacionado

Comentários

Recursos adicionais