你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Defender for Containers 是一种云原生解决方案,用于改进、监视和维护容器化资产(Kubernetes 群集、Kubernetes 节点、Kubernetes 工作负载、容器注册表、容器映像等),以及跨多云和本地环境的应用程序。
有关详细信息,请参阅 Microsoft Defender for Containers 概述。
你可以在定价页上了解有关 Defender for Containers 定价的更多信息。 还可以 使用 Defender for Cloud 成本计算器估算成本。
先决条件
需要 Microsoft Azure 订阅。 如果没有 Azure 订阅,可以 注册免费订阅。
必须在 Azure 订阅上 启用 Microsoft Defender for Cloud 。
确保为出站访问配置所需的完全限定的域名 (FQDN)/应用程序终结点,以便 Defender 传感器可以连接到 Microsoft Defender for Cloud 以发送安全数据和事件。
注释
默认情况下,AKS 群集具有不受限制的出站(出口)Internet 访问权限。
启用 Defender for Containers 计划
默认情况下,通过 Azure 门户启用计划时,Microsoft Defender for Containers 将配置为自动启用所有功能并安装必需的组件以提供计划提供的保护,包括分配默认工作区。
如果更倾向于分配自定义工作区,可以通过 Azure Policy 分配一个。
若要在订阅上启用 Defender for Containers 计划,请执行以下操作:
登录到 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
在 Defender for Cloud 菜单中,选择“环境设置”。
选择相关 Azure 订阅。
在“Defender 计划”页上,将“容器计划”切换为“开”。
选择“保存”。
在 Azure 中部署 Defender 传感器
注释
若要启用或禁用单个 Defender for Containers 功能(全局或针对特定资源),请参阅如何启用 Microsoft Defender for Containers 组件。
可以启用 Defender for Containers 计划,并采用不同方式部署所有相关组件。 我们将引导你完成使用 Azure 门户完成此操作。 了解如何使用 REST API、Azure CLI 或资源管理器模板部署 Defender 传感器。
重要
使用 Helm 部署 Defender 传感器:与自动预配和更新的其他选项不同,Helm 允许灵活部署 Defender 传感器。 此方法在 DevOps 和基础结构即代码方案中特别有用。 使用 Helm,可以将部署集成到 CI/CD 管道中,并控制所有传感器更新。 还可以选择接收预览版和 GA 版本。 有关使用 Helm 安装 Defender 传感器的说明,请参阅 使用 Helm 安装 Defender for Containers 传感器。
要在 Azure 中部署 Defender 传感器,请执行以下操作:
登录到 Azure 门户。
搜索并选择“Microsoft Defender for Cloud”。
导航到“建议”页面。
搜索并选择
Azure Kubernetes Service clusters should have Defender profile enabled建议。
选择所有相关受影响的资源。
选择“修复”。
后续步骤
有关 Defender for Containers 的高级启用功能,请参阅启用 Microsoft Defender for Containers 页面。