Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln hjälper dig att planera hur du distribuerar Microsoft Defender för containrar i Kubernetes-miljöer. Den här texten fokuserar på komponenterna i Defender för containrar som distribueras till Kubernetes-kluster, inklusive Defender-sensorn och "Azure Policy för Kubernetes".
Andra funktioner, till exempel registeråtkomst, Kubernetes API-åtkomst och agentlöst skydd mot hot, aktiveras via Defender för containerplan eller anslutningsinställningar.
Anslut miljön
Innan Defender för containrar kan distribuera klusterkomponenter måste Kubernetes-miljön vara ansluten till Microsoft Defender för molnet.
| Environment | Introduktionsväg |
|---|---|
| AKS | Ingen ytterligare anslutning krävs. AKS-kluster är inbyggda Azure resurser. |
| EKS | Integrera AWS med Defender för molnet |
| GKE | Onboard GCP med Defender för molnet. |
| Lokala och andra Arc-aktiverade Kubernetes-kluster | Anslut ditt befintliga Kubernetes-kluster till Azure Arc. |
Implementeringsalternativ
| Distributionsmetod | Beskrivning |
|---|---|
| Automatisk tilldelning | Komponenter som stöds distribueras automatiskt efter att planen Defender för containrar eller relevanta inställningar har aktiverats. |
| Manuell distribution | Automateringen är avstängd och de stödde komponenterna installeras manuellt. |
| Blandad distribution | Automatisk tillhandahållande har aktiverats, men specifika AKS-, EKS- eller GKE-kluster har exkluderats och distribueras manuellt. Blandad distribution stöds inte för lokala eller andra Kubernetes-kluster som är anslutna direkt till Azure Arc. |
Automatisk försörjning
När automatisk etablering är aktiverad Microsoft Defender för molnet installerar klusterkomponenter som stöds efter att planen för Defender för containrar och de relevanta inställningarna har aktiverats.
För AKS-kluster använder Defender sensordistribution Defender AKS-tillägget. För EKS- och GKE-kluster använder distributionen Azure Arc Kubernetes-tillägg på de Arc-aktiverade Kubernetes-resurser som skapats via AWS- eller GCP-anslutningsflödet.
För lokala och andra Kubernetes-kluster som är anslutna direkt till Azure Arc måste klustret först anslutas till Azure Arc. Distributionen använder sedan Azure Arc Kubernetes-tillägg när relevanta Defender för containrar har aktiverats.
Du kan anpassa automatisk Defender sensoretablering genom att exkludera specifika kluster med hjälp av taggar innan du aktiverar planen Defender för containrar och sedan distribuerar sensorn manuellt.
Note
Undantagstaggar gäller för automatisk Defender sensordistribution. De gäller inte för lokala eller andra Kubernetes-kluster som är direkt anslutna till Azure Arc.
Med automatisk tillhandahållande installeras Defender-sensorn efter att klustret har identifierats och installationen kan ta flera timmar att slutföra.
Använd manuell distribution eller exkludera specifika kluster från automatisk Defender sensoretablering och distribuera sensorn manuellt för att installera Defender sensorn omedelbart.
Manuell driftsättning
Om automatisk etablering är inaktiverad distribueras inte klusterkomponenter som stöds automatiskt. Du kan distribuera komponenter som stöds manuellt.
Manuell distribution kan också användas för Defender sensordistribution på kluster som undantas från automatisk Defender sensoretablering.
Du kan distribuera komponenter manuellt med någon av följande metoder:
Distribuera Defender sensor och Azure Policy till kluster med hjälp av Azure CLI
Installera Defender for Containers-sensorn med hjälp av Helm
Åtgärder efter distributionen
Efter distributionen kontrollerar du att Defender komponenter körs korrekt och åtgärdar eventuella problem.