你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Defender for Containers 功能可用性

以下选项卡按环境显示了可用于 Microsoft Defender for Containers 的功能。

环境支持的功能

功能 支持的资源 Linux 版本状态 1 Windows 版本状态 1 无代理/基于代理 定价层 Azure 云可用性
合规性 Docker CIS VM、虚拟机规模集 GA - Log Analytics 代理 Defender for Servers 计划 2 商业云

国家云:Azure 政府、Azure 中国世纪互联
漏洞评估2 注册表扫描 - OS 包 ACR、专用 ACR GA 预览 无代理 Defender for Containers 商业云

国家云:Azure 政府、Azure 中国世纪互联
漏洞评估3 注册表扫描 - 特定于语言的包 ACR、专用 ACR 预览 - 无代理 Defender for Containers 商业云
漏洞评估 查看运行映像的漏洞 AKS 预览 预览 Defender 配置文件 Defender for Containers 商业云
强化 控制平面建议 ACR、AKS GA GA 无代理 免费 商业云

国家云:Azure 政府、Azure 中国世纪互联
强化 Kubernetes 数据平面建议 AKS GA - Azure Policy 免费 商业云

国家云:Azure 政府、Azure 中国世纪互联
运行时保护 威胁检测(控制平面) AKS GA GA 无代理 Defender for Containers 商业云

国家云:Azure 政府、Azure 中国世纪互联
运行时保护 威胁检测(工作负载) AKS GA - Defender 配置文件 Defender for Containers 商业云
发现和预配 发现未受保护的群集 AKS GA GA 无代理 免费 商业云

国家云:Azure 政府、Azure 中国世纪互联
发现和预配 收集控制平面威胁数据 AKS GA GA 无代理 Defender for Containers 商业云

国家云:Azure 政府、Azure 中国世纪互联
发现和预配 自动预配 Defender 配置文件 AKS GA - 无代理 Defender for Containers 商业云

国家云:Azure 政府、Azure 中国世纪互联
发现和预配 自动预配 Azure 策略加载项 AKS GA - 无代理 免费 商业云

国家云:Azure 政府、Azure 中国世纪互联

1 特定功能处于预览阶段。 Azure 预览版补充条款包含适用于 beta 版本、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

2 VA 可以检测这些 OS 包的漏洞。

3 VA 可以检测这些特定于语言的包的漏洞。

其他环境信息

注册表和映像

方面 详细信息
注册表和映像 支持
受 Azure 专用链接保护的 ACR 注册表(专用注册表需要访问受信任的服务)
• 使用 Windows OS 版本 1709 及更高版本(预览版)的 Windows 映像。 此功能在预览版中免费,正式发布后会产生费用(基于 Defender for Containers 计划)。

不支持
• 超级简单的映像,例如 Docker 暂存映像
• 仅包含应用程序及其运行时依赖项而无包管理器、shell 或 OS 的“无分发版”映像
• 包含开放容器计划 (OCI) 映像格式规范的映像
•目前不支持提供多体系结构映像的映像标记信息
OS 包 支持
• Alpine Linux 3.12-3.16
• Red Hat Enterprise Linux 6、7、8
• CentOS 6、7
• Oracle Linux 6、7、8
• Amazon Linux 1、2
• openSUSE Leap 42、15
• SUSE Enterprise Linux 11、12、15
• Debian GNU/Linux wheezy、jessie、stretch、buster、bullseye
• Ubuntu 10.10-22.04
• FreeBSD 11.1-13.1
• Fedora 32、33、34、35
特定于语言的包(预览版)

(仅支持 Linux 映像)
支持
• Python
• Node.js
• .NET
• JAVA
• Go

Kubernetes 发行版和配置

方面 详细信息
Kubernetes 发行版和配置 支持
• 任何经云原生计算基础 (CNCF) 认证的 Kubernetes 群集
Azure Kubernetes 服务 (AKS)Kubernetes RBAC
Amazon Elastic Kubernetes Service (EKS)
Google Kubernetes 引擎 (GKE) 标准

通过已启用 Arc 的 Kubernetes 支持12
Azure Stack HCI 上的 Azure Kubernetes 服务
Kubernetes
AKS 引擎
Azure Red Hat OpenShift
Red Hat OpenShift(4.6 或更高版本)
VMware Tanzu Kubernetes 网格
Rancher Kubernetes 引擎

1 应支持任何经云原生计算基础 (CNCF) 认证的 Kubernetes 群集,但仅测试了指定的群集。

2 若要为你的环境获得 Microsoft Defender for Containers 保护,你需要加入已启用 Azure Arc 的 Kubernetes,并启用 Defender for Containers 作为 Arc 扩展。

注意

有关 Kuberenetes 工作负载保护的其他要求,请参阅现有限制

网络限制

Defender for Containers 依赖于 Defender 配置文件/扩展来实现多个功能。 Defender 配置文件/扩展不支持通过专用链接引入数据的功能。 可以禁用用于引入的公共访问,使得只有配置为通过 Azure Monitor 专用链接发送流量的计算机才能将数据发送到该工作站。 可以通过导航到 your workspace>“网络隔离”并将“虚拟网络访问配置”设置为“否”来配置专用链接。

屏幕截图显示关闭数据引入的位置。

仅允许通过工作区网络隔离设置上的专用链接范围进行数据引入,可能会导致通信失败和 Defender for Containers 功能集的部分收敛。

了解如何使用 Azure 专用链接将网络连接到 Azure Monitor

后续步骤