Helm を使用して Defender for Containers センサーをインストールする

[前提条件]

AKS 自動のみ: AKS Automatic に対して次のコマンドを実行します。

# Update Azure CLI to the latest version 
az upgrade 
  
# If you don't have the AKS preview extension installed yet 
az extension add --name aks-preview 
  
# Update the AKS extension specifically 
az extension update --name aks-preview

AKS と AKS オートマティック:

• Helm バージョン 3.8 以降 (使用可能なバージョンでは OCI がサポートされています)

• Azure CLI を インストール し、ターゲット クラスターのリソース グループ所有者ロールを持つアカウントに ログイン する必要があります。

• ターゲット クラスターの Azure リソース ID

  注

  AKS クラスターの Azure リソース ID の一覧を生成するには、 <SUBSCRIPTION_ID> と <RESOURCE_GROUP>で次のコマンドを使用します。

  az aks list \
  --subscription <SUBSCRIPTION_ID> \
  --resource-group <RESOURCE_GROUP> \
  --query "[].id" \
  -o tsv
  

• 環境にポリシーの割り当てがあり、一般公開バージョンの Sensor がデプロイされる可能性があります。 インストールを続行する前に、競合するポリシーを確認して削除することをお勧めします。

  ポリシー割り当て ID が 64def556-fbad-4622-930e-72d1d5589bf5。

  サブスクリプションのポリシー定義の一覧を確認し、このポリシー割り当てを検索して削除します。

  または、次のコマンドを使用して delete_conflicting_policies.sh スクリプトを実行します。

  delete_conflicting_policies.sh <CLUSTER_AZURE_RESOURCE_ID>
  

  このコマンドは、一般公開 (GA) バージョンの Defender for Containers を設定するためのリソース グループとサブスクリプション レベルのポリシーを削除します。 これは、構成しているクラスター以外のクラスターに影響する可能性があります。

Installation

install_defender_sensor_aks.sh スクリプトを使用して Defender for Containers センサーをインストールし、既存の展開を削除します。

次のコマンドを使用してスクリプトを実行します。

install_defender_sensor_aks.sh --id <CLUSTER_AZURE_RESOURCE_ID> --version <VERSION> [--release_train <RELEASE_TRAIN>] [--namespace <NAMESPACE>] [--antimalware]

プレースホルダーテキストの <CLUSTER_AZURE_RESOURCE_ID>、 <RELEASE_TRAIN>、 <NAMESPACE>、 <VERSION> を独自の値に置き換えます。

• <VERSION>を次のように置き換えます。

  • latest 最新バージョンの場合は〘。
  • 特定のセマンティックバージョン。

• <RELEASE_TRAIN>を次のように置き換えます。

  • stable (既定値)。
  • public プレビュー バージョンの場合は。

• AKS Automatic にデプロイする場合は、 <NAMESPACE> を kube-system に置き換えます。

• --antimalware フラグを使用して、マルウェア対策スキャンを有効にします。

[前提条件]

• Helm バージョン 3.8 以降 (使用可能なバージョンでは OCI がサポートされています)

• Azure CLI を インストール し、セキュリティ コネクタのリソース グループ所有者ロールを持つアカウントに ログイン する必要があります。

• クラスター アカウントが Microsoft Defender for Cloud に接続されていることを確認します。 AWS アカウントを接続する方法、または GCP プロジェクトを Defender for Cloud に接続する方法について説明します。

• az resource show CLI コマンドを実行して、クラスターが属しているアカウントのセキュリティ コネクタ リソース ID を取得します。

  例えば次が挙げられます。

     az resource show \
     --name <connector-name> \
     --resource-group <resource-group-name> \
     --resource-type "Microsoft.Security/securityConnectors" \
     --subscription <subscription-id> \
     --query id -o tsv
  

  この例では、プレースホルダーテキストの <connector-name>、 <resource-group-name>、 <subscription-id> を実際の値に置き換えます。

Installation

1. install_defender_sensor_mc.sh スクリプトを使用して Defender for Containers センサーをインストールし、既存の展開を削除します。

2. 次のコマンドを使用して、 kubeconfig コンテキストをターゲット クラスターに設定します。

   install_defender_sensor_mc.sh --id <SECURITY_CONNECTOR_AZURE_RESOURCE_ID> --version <VERSION> --distribution <DISTRIBUTION> [--release_train <RELEASE_TRAIN>] [--antimalware]
   

   プレースホルダーテキスト <SECURITY_CONNECTOR_AZURE_RESOURCE_ID>、 <RELEASE_TRAIN>、 <VERSION>、および <DISTRIBUTION> を独自の値に置き換えます。

• <SECURITY_CONNECTOR_AZURE_RESOURCE_ID>をセキュリティ コネクタの Azure リソース ID に置き換えます。

  注

  このスクリプトは、Azure アカウントに Log Analytics ワークスペースを作成する場合があります。

  このスクリプトは、Defender for Containers センサーの Arc マネージドデプロイをテストします。 存在する場合は、Helm を使用してセンサーをデプロイする前にスクリプトによって削除されます。

• <VERSION>を次のように置き換えます。

  • latest 最新バージョンの場合は〘。
  • 特定のセマンティックバージョン。

• <DISTRIBUTION>を次のように置き換えます。

  • eks
  • gke
  • eksautomode。

• <RELEASE_TRAIN>を次のように置き換えます。

  • stable (既定値)。
  • public プレビュー バージョンの場合は。

• --antimalware フラグを使用して、マルウェア対策スキャンを有効にします。