Distribuera Defender sensor och Azure Policy till kluster med hjälp av Azure CLI

Den här artikeln beskriver hur du distribuerar sensorn Microsoft Defender för Containers och Azure Policy för Kubernetes till kluster med hjälp av Azure CLI efter att ha aktiverat planen för Defender för Containers i Microsoft Defender för molnet.

För kluster som inte körs i Azure Kubernetes Service (AKS) använder Defender för molnet Azure Arc-aktiverade Kubernetes för att distribuera de tillägg som krävs.

Förutsättningar

Defender för containrar aktiverat i din Azure-prenumeration.
Azure CLI version 2.40.0 eller senare.
Lämpliga RBAC-behörigheter (deltagare eller säkerhetsadministratör).
AKS-kluster som stöds av Defender för containrar. Se supportmatrisen.
En OpenId Connect-utfärdare (OIDC) aktiverad i klustret.

Nätverkskrav

Defender-sensorn måste ansluta till Microsoft Defender för molnet för att skicka säkerhetsdata och händelser. Kontrollera att de nödvändiga slutpunkterna är konfigurerade för utgående åtkomst.

Anslutningskrav

Defender-sensorn behöver anslutning till:

Microsoft Defender för molnet (för att skicka säkerhetsdata och händelser)

Som standard har AKS-kluster obegränsad utgående Internetåtkomst.

För kluster med begränsad utgående trafik måste du tillåta att specifika FQDN:er för Microsoft Defender för containrar fungerar korrekt. Se Microsoft Defender för containrar – Nödvändiga FQDN/programregler i dokumentationen om AKS-utgående nätverk för de nödvändiga slutpunkterna.

Private Link-konfiguration

Anvisningar finns i Microsoft Security Private Link för Microsoft Defender för molnet.

Distribuera Defender-sensorn

Om automatisk tilldelning aktiverades när du aktiverade planen för Defender för containrar, kan Defender-sensorn redan vara installerad. Kontrollera distributionen innan du kör det här kommandot.

Så här distribuerar du Defender-sensorn till ett specifikt AKS-kluster:

az aks update \
  --resource-group <resource-group> \
  --name <aks-cluster-name> \
  --enable-defender

Distribuera Azure Policy-tillägget

Aktivera Azure Policy för Kubernetes för att utvärdera och tillämpa metodtips för konfiguration:

az aks enable-addons \
  --addons azure-policy \
  --name <aks-cluster-name> \
  --resource-group <resource-group>

Förutsättningar

Defender för containrar aktiverad på din AWS-anslutning.
Azure CLI version 2.40.0 eller senare.
kubectl konfigurerat för åtkomst till DITT EKS-kluster.
EKS-klustret är anslutet till Azure Arc.

Nätverkskrav

Kontrollera att följande slutpunkter för offentliga molndistributioner har konfigurerats för utgående åtkomst. Genom att konfigurera dem för utgående åtkomst ser du till att Defender-sensorn kan ansluta till Microsoft Defender för molnet för att skicka säkerhetsdata och händelser.

Note

De Azure domänerna *.ods.opinsights.azure.com och *.oms.opinsights.azure.com krävs inte längre för utgående åtkomst. Mer information finns i utfasningsmeddelandet.

Azure-domän	Azure Government-domän	Azure drivs av 21Vianet-domän	Port
*.cloud.defender.microsoft.com	N/A	N/A	443

Du måste också verifiera de Azure Arc-aktiverade Kubernetes-nätverkskraven.

Distribuera Defender-sensorn

För EKS-kluster distribueras Defender komponenter som Azure Arc Kubernetes-tillägg när du distribuerar dem manuellt med Azure CLI.

Om automatisk etablering aktiverades när du aktiverade Defender för containrar-planen kanske Defender-sensorn redan är installerad. Kontrollera distributionen innan du kör det här kommandot.

az k8s-extension create \
  --name microsoft.azuredefender.kubernetes \
  --extension-type microsoft.azuredefender.kubernetes \
  --cluster-type connectedClusters \
  --cluster-name <cluster-name> \
  --resource-group <resource-group> \

Distribuera Azure Policy-tillägget

az k8s-extension create \
  --name azurepolicy \
  --extension-type Microsoft.PolicyInsights \
  --cluster-type connectedClusters \
  --cluster-name <cluster-name> \
  --resource-group <resource-group>

Förutsättningar

Defender för containrar aktiverade i GCP-anslutningsappen.
Azure CLI version 2.40.0 eller senare.
kubectl konfigurerat för åtkomst till ditt GKE-kluster.
GKE-klustret är anslutet till Azure Arc.

Nätverkskrav

Note

De Azure domänerna *.ods.opinsights.azure.com och *.oms.opinsights.azure.com krävs inte längre för utgående åtkomst. Mer information finns i utfasningsmeddelandet.

Azure-domän	Azure Government-domän	Azure drivs av 21Vianet-domän	Port
*.cloud.defender.microsoft.com	N/A	N/A	443

Du måste också verifiera de Azure Arc-aktiverade Kubernetes-nätverkskraven.

Privata GKE-kluster

Privata GKE-kluster måste tillåta utgående HTTPS-åtkomst (TCP 443) till Microsoft Defender för molnet slutpunkter.

Om det behövs konfigurerar du brandväggsregler för att tillåta utgående trafik från klusternoder:

gcloud compute firewall-rules create allow-azure-defender \
    --allow tcp:443 \
    --source-ranges <cluster-cidr> \
    --target-tags <node-tags>

Klusterspecifika överväganden

GKE-standardkluster

Ingen särskild konfiguration krävs. Följ standarddistributionsstegen.

GKE Autopilot-kluster

För Autopilot-kluster:

Defender-sensorn justerar automatiskt resursbegäranden.
Ingen manuell konfiguration krävs för resursgränser.

Important

I GKE Autopilot-kluster kan resursbegäranden och gränser för Defender sensor inte konfigureras manuellt. Resurshantering styrs av GKE Autopilot och kan inte åsidosättas.

Distribuera Defender-sensorn

För GKE-kluster distribueras Defender komponenter som Azure Arc Kubernetes-tillägg när du distribuerar dem manuellt med Azure CLI.

Om automatisk etablering aktiverades när du aktiverade Defender för containers-planen kanske Defender-sensorn redan är installerad. Kontrollera distributionen innan du kör det här kommandot.

az k8s-extension create \
  --name microsoft.azuredefender.kubernetes \
  --extension-type microsoft.azuredefender.kubernetes \
  --cluster-type connectedClusters \
  --cluster-name <cluster-name> \
  --resource-group <resource-group> \

Distribuera Azure Policy-tillägget

az k8s-extension create \
  --name azurepolicy \
  --extension-type Microsoft.PolicyInsights \
  --cluster-type connectedClusters \
  --cluster-name <cluster-name> \
  --resource-group <resource-group>

Förutsättningar

Defender för containrar aktiverat i din Azure-prenumeration.
Azure CLI version 2.40.0 eller senare.
kubectl konfigurerat för att komma åt ditt Arc-aktiverade Kubernetes-kluster.
Klustret är anslutet till Azure Arc.

Nätverkskrav

Note

De Azure domänerna *.ods.opinsights.azure.com och *.oms.opinsights.azure.com krävs inte längre för utgående åtkomst. Mer information finns i utfasningsmeddelandet.

Azure-domän	Azure Government-domän	Azure drivs av 21Vianet-domän	Port
*.cloud.defender.microsoft.com	N/A	N/A	443

Du måste också verifiera de Azure Arc-aktiverade Kubernetes-nätverkskraven.

Distribuera Defender-sensorn

För Arc-aktiverade Kubernetes-kluster distribueras Defender komponenter som Azure Arc Kubernetes-tillägg.

Om automatisk etablering aktiverades när du aktiverade planen Defender för containrar kanske den Defender sensorn redan är installerad. Kontrollera distributionen innan du kör det här kommandot.

az k8s-extension create \
  --name microsoft.azuredefender.kubernetes \
  --extension-type microsoft.azuredefender.kubernetes \
  --cluster-type connectedClusters \
  --cluster-name <cluster-name> \
  --resource-group <resource-group> \

Distribuera Azure Policy-tillägget

az k8s-extension create \
  --name azurepolicy \
  --extension-type Microsoft.PolicyInsights \
  --cluster-type connectedClusters \
  --cluster-name <cluster-name> \
  --resource-group <resource-group>

Nästa steg

Feedback

Var den här sidan till hjälp?

Last updated on 2026-05-06

Distribuera Defender sensor och Azure Policy till kluster med hjälp av Azure CLI

Förutsättningar

Nätverkskrav

Anslutningskrav

Private Link-konfiguration

Distribuera Defender-sensorn

Distribuera Azure Policy-tillägget

Nästa steg

Feedback

Ytterligare resurser