Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du installerar och konfigurerar Microsoft Defender for Containers-sensorn på AKS-, EKS- och GKE-kluster med hjälp av Helm.
Defender for Containers stöder flera distributionsmodeller för distribution av sensorn, inklusive automatisk etablering och Helm-baserad installation. Helm-baserad distribution ger större kontroll över sensorversions- och uppgraderingstidpunkten, men det förskjuter ett visst driftansvar till dig. När du använder Helm-baserad distribution bör du tänka på:
Sensoruppgraderingar: Genom att använda Helm-baserad distribution hanterar du sensoruppgraderingar och uppgraderingstidpunkt. Automatisk tilldelning följer Microsoft-hanterade distributionsscheman.
Automatiska installationsflöden: När du distribuerar sensorn med hjälp av Helm hoppar du över automatiska installationsprompter och rekommendationer i Azure-portalen för att undvika konflikter med den befintliga distributionen.
Förutsättningar
Innan du installerar sensorn med hjälp av Helm kontrollerar du att:
Du implementerar alla krav för sensorn Defender för containrar enligt beskrivningen i Defender sensornätverkskrav.
Defender för Containers är aktiverad i målprenumerationen eller säkerhetskopplaren.
- Azure-prenumeration: Aktivera Defender för containrar på AKS via portalen
- Amazon Web Services (AWS): Aktivera Defender för containrar på AWS (EKS) via portalen
- Google Cloud Project (GCP): Aktivera Defender för containrar på GCP (GKE) via portalen
- Arc-aktiverade Kubernetes: Aktivera Defender för Containers för Arc-aktiverade Kubernetes via portalen
Följande komponenter i planen Defender för containrar är aktiverade:
- Defender-sensor
- Åtkomst till Kubernetes API
För AWS- och GCP-miljöer: kontrollera att automatisk provisionering av Defenders sensor för Azure Arc växlingsknapp är inaktiverad.
Om du vill aktivera automatisk etablering för andra Arc-aktiverade kluster i AWS-kontot eller GCP-projektet använder du taggen
ms_defender_e2e_discovery_exclude=truepå kluster där du tänker distribuera sensorn med hjälp av Helm.Din miljö har inte motstridiga policytilldelningar som kan distribuera den allmänt tillgängliga versionen av sensorn.
Granska principtilldelningar som använder följande principdefinitions-ID och ta bort eventuella tilldelningar som är i konflikt:
64def556-fbad-4622-930e-72d1d5589bf5Om du vill granska principdefinitioner går du till Policy-definitioner i Azure-portalen och söker efter principdefinitions-ID:t.
Installera Helm-diagrammet
Defender for Containers Helm-diagram publiceras till mcr.microsoft.com/azuredefender/microsoft-defender-for-containers.
Diagrammet kräver klusteridentifierarvärden under global.cloudIdentifiers. Du kan ange dessa värden infogade med --set, som du ser i följande exempel, eller med hjälp av en värdefil.
För att installera den senaste versionen av diagrammet använder du Helm-installationskommandot. Ange de nödvändiga värdena global.cloudIdentifiers med hjälp av en värdefil eller direkt inbäddat med --set, enligt de miljöspecifika exemplen.
helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers
Du kan visa en lista över publicerade versioner genom att köra följande kommando:
curl https://mcr.microsoft.com/v2/azuredefender/microsoft-defender-for-containers/tags/list
Om du vill installera en viss version inkluderar du versionstaggen:
helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers:<tag>
Om du vill granska konfigurerbara diagramvärden, till exempel funktionsflaggor eller poddresursgränser, hämtar du diagrammet och granskar values.yaml filen:
helm pull oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers
Så här installerar du sensorn för din miljö:
För standard AKS-kluster, använd mdc namnområde.
För AKS-automatiska kluster använder du kube-system namnområdet.
Om AKS-klustret redan har en befintlig distribution av Defender för containrar inaktiverar du den befintliga distributionen enligt beskrivningen i Konfigurera Defender för containrar för Azure och tar bort eventuella överblivna resurser genom att köra följande kommandon:
kubectl delete crd/policies.defender.microsoft.com || true
kubectl delete crd/runtimepolicies.defender.microsoft.com || true
kubectl delete crd/securityartifactpolicies.defender.microsoft.com || true
kubectl delete ClusterRole defender-admission-controller-cluster-role || true
kubectl delete ClusterRole defender-admission-controller-resource-cluster-role || true
kubectl delete ClusterRoleBinding defender-admission-controller-cluster-role-binding || true
kubectl delete ClusterRoleBinding defender-admission-controller-cluster-resource-role-binding || true
Installera sensorn:
helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers \
--create-namespace --namespace <namespace> \
--set global.cloudIdentifiers.Azure.subscriptionId="<cluster-subscription-id>" \
--set global.cloudIdentifiers.Azure.resourceGroupName="<cluster-resource-group>" \
--set global.cloudIdentifiers.Azure.clusterName="<cluster-name>" \
--set global.cloudIdentifiers.Azure.region="<cluster-region>"
Ersätt <namespace> med:
-
mdcför AKS-standardkluster. -
kube-systemför automatiska AKS-kluster.
Kontrollera installationen
Kontrollera att installationen lyckades med hjälp av det namnområde som du använde under installationen.
helm list --namespace mdc
Installationen lyckas om fältet STATUS visar deployed.
Konfigurera säkerhetsregler för gated deployment
Anmärkning
Kubernetes gated deployment stöds endast på AKS Automatic-kluster när sensorn installeras med Helm i kube-system namnrymden. Tilläggsdistribution stöds inte för det här scenariot.
Viktigt!
När du skapar regler kan den valda prenumerationen visas som not supported for Gated deployment. Den här statusen beror på att du har installerat Defender for Containers-komponenterna med hjälp av Helm i stället för via instrumentpanelens automatiska installation.
Definiera säkerhetsregler för att styra vad du kan distribuera till dina Kubernetes-kluster. De här reglerna hjälper dig att blockera eller granska containeravbildningar baserat på säkerhetskriterier, till exempel bilder med för många säkerhetsrisker.
Logga in på Azure-portalen.
Gå till Defender för molnet>Miljöinställningar.
Välj Säkerhetsregler.
Välj Gated deployment>Sårbarhetsbedömning (Vulnerability assessment).
Välj en regel för att redigera den eller välj + Lägg till regel för att skapa en ny.
Hantera befintliga rekommendationer
Viktigt!
Om du installerar sensorn med hjälp av Helm ska du inte använda befintliga Defender för molnet rekommendationer för att installera Defender-profilen eller Arc-tillägget för samma kluster. Om du åtgärdar de här rekommendationerna kan det leda till en utplacering som leder till konflikter.
Beroende på distributionstyp kan följande rekommendationer fortfarande visas i Defender för molnet:
Azure: Azure Kubernetes Service-kluster bör ha Defender-profil aktiverad – Microsoft Azure
Arc-aktiverade Kubernetes-kluster: Azure Arc aktiverade Kubernetes-kluster bör ha Defender-tillägget installerat – Microsoft Azure
Uppgradera en befintlig Helm-baserad distribution
Med Helm-baserad distribution hanterar du sensoruppgraderingar. Defender för molnet tillämpar dem inte automatiskt.
Kör följande kommando för att uppdatera en befintlig Helm-baserad distribution. Använd det namnområde som du använde under installationen.
helm upgrade defender-k8s \
oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers \
--namespace <namespace> \
--reuse-values
För <namespace>använder du:
-
mdcför AKS-, EKS- och GKE-standardkluster. -
kube-systemför automatiska AKS-kluster.
Om uppgraderingen misslyckas på grund av resurskonflikter lägger du till följande alternativ i uppgraderingskommandot:
--server-side=true --resolve-conflicts