使用適用於容器的 Defender 保護您的內部部署 Kubernetes 叢集
適用於容器的Defender適用於雲端的 Microsoft Defender是雲端原生解決方案,可用來保護您的容器,以便改善、監視和維護叢集、容器及其應用程式的安全性。
深入瞭解 適用於容器的 Microsoft Defender 概觀。
您可以在定價頁面上深入瞭解適用於容器的Defender定價。
必要條件
您需要 Microsoft Azure 訂用帳戶。 如果您沒有 Azure 訂用帳戶,您可以註冊免費訂用帳戶。
您必須在 Azure 訂用帳戶上啟用適用於雲端的 Microsoft Defender。
請確定已驗證下列 已啟用 Azure Arc 的 Kubernetes 網路需求 ,並將 Kubernetes 叢集連線至 Azure Arc。
驗證下列端點已設定為輸出存取,讓 Defender 感測器可以連線到 適用於雲端的 Microsoft Defender 以傳送安全性資料和事件:
網域 連接埠 *.ods.opinsights.azure.com 443 *.oms.opinsights.azure.com 443 login.microsoftonline.com 443
啟用適用於容器的 Defender 方案
根據預設,透過 Azure 入口網站 啟用方案時,適用於容器的 Microsoft Defender 會設定為自動安裝必要的元件,以提供方案所提供的保護,包括指派預設工作區。
如果您想要指派自定義工作區,可以透過 Azure 原則 指派一個工作區。
若要在您的訂用帳戶上啟用適用於容器的Defender方案:
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
在適用於雲端的 Microsoft Defender 功能表,選取 [環境設定]。
選取相關的訂用帳戶。
在 [Defender 方案] 頁面上,將 [容器計劃] 切換為 [ 開啟]。
選取 [儲存]。
注意
若要啟用或停用適用於容器的個別 Defender 功能,請全域或針對特定資源啟用,請參閱 如何啟用適用於容器的 Microsoft Defender 元件。
在已啟用 Arc 的 Kubernetes 叢集上部署 Defender 感測器
您可以啟用適用於容器的 Defender 方案,並以不同的方式部署所有相關元件。 我們會逐步引導您使用 Azure 入口網站 來完成此作業的步驟。 瞭解如何 使用 REST API、Azure CLI 或 Resource Manager 範本來部署 Defender 感測器 。
若要在 Azure 中部署 Defender 感測器:
登入 Azure 入口網站。
搜尋並選取 [適用於雲端的 Microsoft Defender]。
流覽至 [建議] 頁面。
搜尋並選取
Azure Arc-enabled Kubernetes clusters should have the Defender extension installed
建議。選取所有相關受影響的資源。
選取 [ 修正]。