目录
设置Microsoft Defender for Clound
启用Microsoft Defender
安装Microsoft Defender for Kubernetes Cluster Extension
设置Azure Monitor
启用Azure监视器的先决条件
启用Azure Monitor
后续步骤
在这里,我们将介绍Azure安全中心并演示如何将其添加到群集,演示如何通过安全中心启用Azure Defender,介绍Azure Sentinel并演示如何将其添加到群集,并展示Azure Sentinel可以为已启用Arc的Kubernetes群集记录的安全事件类型的示例。
在这个由三部分组成的系列的第一篇文章中,我们探讨了如何将Azure Arc连接到云中托管的Kubernetes群集并应用策略。我们现在可以从一个方便的位置管理我们的Kubernetes集群(以及我们稍后添加的任何其他集群和服务器)。
我们将在上一篇文章的基础上,向现在使用Azure Arc管理的外部群集添加安全性和监视。
设置Microsoft Defender for Clound
Microsoft Defender for Cloud(以前称为Azure Security Center和Azure Defender)是Azure的仪表板,用于与安全相关的所有内容。它与Azure Monitor及其Log Analytics工具协同工作。安全中心使用Azure策略为其已注册的订阅创建默认安全策略。
使用安全中心,我们可以应用策略并启用高级安全功能来保护我们的资源。我们还可以针对可能遇到的任何安全威胁采取行动。有两个定价层:具有基本功能的免费层和具有增强安全性Microsoft Azure Defender(Defender的一部分)。
默认情况下,免费安全层处于启用状态,提供对安全策略、评估和建议的访问权限。但是,它不会应用任何建议或保护我们的资源免受威胁。我们需要Microsoft Defender的高级功能。
Microsoft Defender for Cloud提供法规遵从性、实时(JIT)虚拟机(VM)访问、自适应应用程序控制以及基础结构即服务(IaaS)和平台即服务(PaaS)的威胁防护等功能,帮助我们应对任何威胁。
启用Microsoft Defender
若要启用Microsoft Defender for Cloud,我们首先登录到Azure门户并转到安全中心。
此选项会将我们带到“Microsoft Defender for Cloud概述”页,以选择所需的Azure订阅。
此操作会将我们定向到“环境设置”页。我们扩展租户根组。
然后,Azure会列出分配给我们帐户的订阅。我们选择要启用Microsoft Defender的订阅。在本例中,它是即用即付订阅。
第一个选项“增强安全性关闭”是默认值。我们选择选项启用所有Microsoft Defender for Cloud计划。
此操作将启用切换列表,我们可以在其中指定Microsoft Defender计划需要保护的资源类型。默认情况下,所有资源类型都为“On”。
选择要启用的资源类型后,我们单击当前页面左上角的保存以保存我们的设置。
然后,我们会收到一条通知,指出我们已成功保存Microsoft Defender计划。
现在我们已经启用了Microsoft Defender,我们可以将这些安全功能扩展到启用了Azure Arc的Kubernetes群集。
安装Microsoft Defender for Kubernetes Cluster Extension
在安装Defender之前,我们必须具备一些先决条件Microsoft。
我们需要确保Kubernetes群集和Azure Arc之间的连接。我们还必须安装连接的k8s和k8s扩展。阅读本系列的上一篇文章,了解如何实现此目的。
az extension add --name connectedk8s
az extension add --name k8s-extension
我们还必须在以下终结点上配置端口443以进行出站访问。
对于Azure政府云上的群集:
- *.ods.opinsights.azure.us
- *.oms.opinsights.azure.us
- Login.microsoftonline.us
对于其他Azure云部署上的群集:
- *.ods.opinsights.azure.com
- *.oms.opinsights.azure.com
- Login.microsoftonline.com
我们将使用Azure CLI将Microsoft Defender扩展部署到已启用Azure Arc的群集。我们必须登录到Azure,并将帐户设置为要在其中部署Microsoft Defender扩展的订阅。这是链接到Kubernetes集群的订阅。
az login
az account set --subscription <your-subscription-id>
然后,我们运行以下命令,在已启用Azure Arc的Kubernetes群集上部署扩展:
az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name k8s-1-21-5-do-0-ams3-azure-arc --resource-group AzureArc --extension-type microsoft.azuredefender.kubernetes
我们的部署成功,但我们可以通过运行以下命令来验证它以确保:
kubectl get pods -n azuredefender
我们可以使用此命令确认我们的 azuredefender pod正在运行:
或者,我们可以在Azure门户上确认部署。我们转到Microsoft Defender for Cloud 的建议页面,然后打开“为云安全控制启用Microsoft Defender”。我们选择名为 Azure Arc已启用Kubernetes群集的建议,该群集应安装Microsoft Defender for Cloud的扩展。
我们确保已启用Arc的Kubernetes群集显示在“正常资源”下。
我们现在可以访问Kubernetes集群的安全功能。
设置Azure Monitor
在本部分中,我们将使用Azure Monitor(也称为Microsoft Monitor)启用对已启用 Azure Arc的Kubernetes群集进行监视。设置Azure监视器后,我们将能够查看控制器、节点和容器的内存和CPU使用情况指标。我们还可以使用容器见解直接从启用了Azure Arc的群集中检索日志。
启用Azure监视器的先决条件
- 已安装Connectedk8s和k8s扩展扩展
- 日志分析工作区。
- Azure订阅上的参与者角色分配
- 日志分析工作区上的参与者和读者角色分配
- 从投影群集到Microsoft监视终结点的出站访问
启用Azure Monitor
若要载入已启用Azure Arc的Kubernetes群集,请登录到Azure门户并直接转到群集。在我们的集群中,我们可以在“监视”部分中选择一个选项。
由于我们尚未将群集载入到Azure监视器,因此Azure会将我们重定向到载入页面。在此处,我们选择“配置Azure监视器”。
“为Kubernetes配置Azure监视器”窗口会提示我们选择要使用的日志分析工作区。我们从列出的所有可用工作区中选择它,然后单击配置。如果没有日志分析工作区,请创建一个。
载入可能需要几秒钟才能完成。Azure会在准备就绪时通知我们。
载入完成后,我们可以在已启用Azure Arc的Kubernetes群集的导航窗格中访问监视选项。例如,见解显示有关群集的所有信息。
或者,我们可以浏览和查询日志。
Azure Monitor的功能:
- 监控Kubernetes集群及其节点的性能
- 识别节点上运行的容器及其平均处理器和内存使用情况
- 识别容器在控制器或Pod中的位置
- 了解集群在平均负载和最重负载下的行为
- 与Prometheus和Grafana等工具集成,使用查询查看它们从节点和Kubernetes收集的应用程序工作负载指标
后续步骤
在本教程中,我们将Microsoft Defender扩展安装到启用了Azure Arc的Kubernetes群集,并讨论了为什么我们应该启用Microsoft Defender。我们还将Azure Monitor添加到群集,并探索了其功能和见解。
注册以亲自试用Azure Arc或在你的组织中试用,或继续阅读本系列的第三篇(也是最后一篇)文章,了解如何使用 Azure Arc 将容器部署到Kubernetes群集。
若要详细了解如何开始使用已启用Azure Arc的Kubernetes,或者启用Azure Arc的Kubernetes如何允许你附加和配置在任何地方运行的Kubernetes群集,请查看有关已启用Azure Arc的Kubernetes的资源页面。
https://www.codeproject.com/Articles/5334363/Azure-Arc-Enabled-Kubernetes-Part-2-Adding-Securit