Ochrona lokalnych klastrów Kubernetes za pomocą usługi Defender for Containers

Usługa Defender for Containers w usłudze Microsoft Defender dla Chmury to rozwiązanie natywne dla chmury, które służy do zabezpieczania kontenerów, co umożliwia ulepszanie, monitorowanie i utrzymywanie zabezpieczeń klastrów, kontenerów i aplikacji.

Dowiedz się więcej o omówieniu usługi Microsoft Defender for Containers.

Więcej informacji na temat cennika usługi Defender for Container można znaleźć na stronie cennika.

Wymagania wstępne

• Potrzebna jest subskrypcja platformy Microsoft Azure. Jeśli nie masz subskrypcji platformy Azure, możesz zarejestrować się w celu uzyskania bezpłatnej subskrypcji.

• Musisz włączyć Microsoft Defender dla Chmury w ramach subskrypcji platformy Azure.

• Upewnij się, że następujące wymagania sieciowe platformy Kubernetes z włączoną obsługą usługi Azure Arc są weryfikowane i łączą klaster Kubernetes z usługą Azure Arc.

• Sprawdź, czy następujące punkty końcowe są skonfigurowane pod kątem dostępu wychodzącego, aby czujnik usługi Defender mógł nawiązać połączenie z Microsoft Defender dla Chmury w celu wysyłania danych i zdarzeń zabezpieczeń:

  Domain	Port
  *.ods.opinsights.azure.com	443
  *.oms.opinsights.azure.com	443
  login.microsoftonline.com	443

• Łączenie klastra Kubernetes z usługą Azure Arc

Włączanie planu usługi Defender for Containers

Domyślnie podczas włączania planu za pośrednictwem witryny Azure Portal usługa Microsoft Defender for Containers jest skonfigurowana do automatycznego instalowania wymaganych składników w celu zapewnienia ochrony oferowanych przez plan, w tym przypisania domyślnego obszaru roboczego.

Jeśli wolisz przypisać niestandardowy obszar roboczy, można go przypisać za pośrednictwem usługi Azure Policy.

Aby włączyć plan usługi Defender for Containers w ramach subskrypcji:

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.

3. W menu Defender dla Chmury wybierz pozycję Ustawienia środowiska.

4. Wybierz odpowiednią subskrypcję.

5. Na stronie Plany usługi Defender przełącz plan usługi Kontenerów na wartość Włączone.

   

6. Wybierz pozycję Zapisz.

Uwaga

Aby włączyć lub wyłączyć poszczególne funkcje usługi Defender for Containers, globalnie lub dla określonych zasobów, zobacz Jak włączyć składniki usługi Microsoft Defender for Containers.

Wdrażanie czujnika usługi Defender w klastrach Kubernetes z obsługą usługi Arc

Możesz włączyć plan usługi Defender for Containers i wdrożyć wszystkie odpowiednie składniki na różne sposoby. Przeprowadzimy Cię przez kroki, które należy wykonać za pomocą witryny Azure Portal. Dowiedz się, jak wdrożyć czujnik usługi Defender za pomocą interfejsu API REST, interfejsu wiersza polecenia platformy Azure lub szablonu usługi Resource Manager.

Aby wdrożyć czujnik usługi Defender na platformie Azure:

1. Zaloguj się w witrynie Azure Portal.

2. Wyszukaj i wybierz pozycję Microsoft Defender dla Chmury.

3. Przejdź do strony Zalecenia.

4. Wyszukaj i wybierz Azure Arc-enabled Kubernetes clusters should have the Defender extension installed zalecenie.

   

5. Wybierz wszystkie odpowiednie zasoby, których dotyczy problem.

6. Wybierz pozycję Napraw.

Następne kroki

• Aby uzyskać zaawansowane funkcje włączania dla usługi Defender for Containers, zobacz stronę Włączanie usługi Microsoft Defender for Containers .

• Omówienie usługi Microsoft Defender for Containers.