你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

在 Azure 运营商关系 Kubernetes 群集上安装 Microsoft Defender for Containers

本文介绍如何在 Nexus Kubernetes 群集中安装 Microsoft Defender for Containers。 Microsoft Defender 可用于监视 Kubernetes API Server 审核日志，并在适当时触发警报。 审核日志将发送到 Defender 后端，并且无法直接访问。 无法通过 Kusto 或在与已安装的 Defender 扩展关联的 Log Analytics 工作区中查询它们。 访问容器警报 - Kubernetes 群集，获取当前为 Kubernetes 群集定义的警报列表。

先决条件

在继续执行本操作指南之前，建议：

• 有关全面概述和步骤，请参阅 Operator Nexus Kubernetes 群集快速入门指南。
• 确保满足快速入门中概述的先决条件，以确保指南的顺利实施。

注意

本指南假定你已有的运营商关系 Kubernetes 群集是使用快速入门指南创建的，并且你有权访问 Azure CLI。 此外，除了 networkcloud Azure CLI 扩展外，还需要安装 k8s 扩展 Azure CLI 扩展：

az extension add --name k8s-extension

使用 Azure CLI 在 Nexus Kubernetes 群集中安装 Microsoft Defender for Containers

参考 Microsoft Defender for Containers 文档，在 Nexus Kubernetes 群集上安装 Defender。

请参阅 Azure CLI 命令，在提供的链接中安装扩展：

az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name <cluster-name> --resource-group <resource-group> --extension-type microsoft.azuredefender.kubernetes

在 Azure CLI 命令中，群集名称是指 ARC 连接的群集，类型为 Kubernetes - Azure ARC，表示 Nexus Kubernetes 群集。 如 Microsoft Defender for Containers 文档中所述，默认情况下，Kubernetes API 服务器审核日志应存在于 /var/log/kube-apiserver/audit.log 中，否则必须使用 --auditLogPath 标志安装 Defender for Containers 时指定审核日志的路径。 参考之前链接的 Microsoft Defender for Containers 文档，获取更详细的安装信息和安装替代方法。

Microsoft Defender for Containers 安全警报模拟

请参阅此处的文档，了解如何为 Microsoft Defender for Containers 模拟安全警报。 此模拟已在 Nexus Kubernetes 群集上执行，相应的警报会显示在 Azure 门户的 Microsoft Defender for Cloud Dashboard 中：