Installera Defender for Containers-sensorn med Helm

Om du vill styra distributions- och uppgraderingstidpunkten för dina Azure Kubernetes Service (AKS), Amazon Elastic Kubernetes Service (EKS) och Google Kubernetes Engine-kluster (GKE) installerar och konfigurerar du sensorn Microsoft Defender för containrar med hjälp av Helm.

Defender for Containers stöder flera sensordistributionsmodeller, inklusive automatisk etablering och Helm-baserad installation. Helm-baserad distribution ger dig mer kontroll över versionshantering och uppgraderingstid, men du hanterar en del av det operativa arbetet. När du använder Helm-baserad distribution bör du tänka på följande:

Sensoruppgraderingar: Med Helm-baserad distribution hanterar du sensoruppgraderingar och tidsinställningar. Automatisk tilldelning följer Microsoft-hanterade distributionsscheman.
Automatiska installationsflöden: När du distribuerar sensorn med Helm hoppar du över automatiska uppmaningar och rekommendationer i Azure portalen för att undvika konflikter med den befintliga distributionen.

Förutsättningar

Innan du installerar sensorn med hjälp av Helm måste du uppfylla följande krav:

Implementera alla krav för Defender for Containers-sensorn enligt beskrivningen i kraven för Defender-sensornätverket.
Aktivera Defender för containrar i målprenumerationen eller säkerhetsanslutningen:
- Azure-prenumeration: Aktivera Defender för containrar på AKS via portalen
- Amazon Web Services (AWS): Aktivera Defender för containrar på AWS (EKS) via portalen
- Google Cloud Project (GCP): Aktivera Defender för containrar på GCP (GKE) via portalen
- Arc-aktiverade Kubernetes: Aktivera Defender för Containers för Arc-aktiverade Kubernetes via portalen
Aktivera följande komponenter i planen Defender för containrar:
- Defender-sensor
- Åtkomst till Kubernetes API
För miljöer i Amazon Web Services (AWS) och Google Cloud Platform (GCP): inaktivera reglaget Etablera automatiskt Defenders sensor för Azure Arc.

Om du vill aktivera automatisk etablering för andra Arc-aktiverade kluster i AWS-kontot eller GCP-projektet använder du taggen ms_defender_e2e_discovery_exclude=true på kluster där du tänker distribuera sensorn med hjälp av Helm.
Se till att din miljö inte har motstridiga principtilldelningar som kan distribuera den allmänt tillgängliga versionen av sensorn.

Granska principtilldelningar som använder följande principdefinitions-ID och ta bort eventuella tilldelningar som är i konflikt:

64def556-fbad-4622-930e-72d1d5589bf5

Om du vill granska principdefinitioner går du till Policy-definitioner i Azure-portalen och söker efter principdefinitions-ID:t.

Installera Helm-diagrammet

Defender for Containers Helm-diagram publiceras till mcr.microsoft.com/azuredefender/microsoft-defender-for-containers.

Diagrammet kräver klusteridentifierarvärden under global.cloudIdentifiers. Du kan ange dessa värden infogade med --set, som du ser i följande exempel, eller med hjälp av en värdefil.

För att installera den senaste versionen av diagrammet använder du Helm-installationskommandot. Ange de nödvändiga värdena global.cloudIdentifiers med hjälp av en värdefil eller direkt inbäddat med --set, enligt de miljöspecifika exemplen.

helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers

Du kan visa en lista över publicerade versioner genom att köra följande kommando:

curl https://mcr.microsoft.com/v2/azuredefender/microsoft-defender-for-containers/tags/list

Om du vill installera en viss version inkluderar du versionstaggen:

helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers:<tag>

Om du vill granska konfigurerbara diagramvärden, till exempel funktionsflaggor eller poddresursgränser, hämtar du diagrammet och granskar values.yaml filen:

helm pull oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers

Så här installerar du sensorn för din miljö:

För standard AKS-kluster, använd mdc namnområde.

För AKS-automatiska kluster använder du kube-system namnområdet.

Om AKS-klustret redan har en befintlig distribution av Defender för containrar inaktiverar du den befintliga distributionen enligt beskrivningen i Konfigurera Defender för containrar för Azure och tar bort eventuella överblivna resurser genom att köra följande kommandon:

kubectl delete crd/policies.defender.microsoft.com || true
kubectl delete crd/policytemplates.defender.microsoft.com || true
kubectl delete crd/runtimepolicies.defender.microsoft.com || true
kubectl delete crd/securityartifactpolicies.defender.microsoft.com || true
kubectl delete ClusterRole defender-admission-controller-cluster-role || true
kubectl delete ClusterRole defender-admission-controller-resource-cluster-role || true
kubectl delete ClusterRoleBinding defender-admission-controller-cluster-role-binding || true
kubectl delete ClusterRoleBinding defender-admission-controller-cluster-resource-role-binding || true

Installera sensorn:

helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers \
    --create-namespace --namespace <namespace> \
    --set global.cloudIdentifiers.Azure.subscriptionId="<cluster-subscription-id>" \
    --set global.cloudIdentifiers.Azure.resourceGroupName="<cluster-resource-group>" \
    --set global.cloudIdentifiers.Azure.clusterName="<cluster-name>" \
    --set global.cloudIdentifiers.Azure.region="<cluster-region>"

Ersätt <namespace> med:

mdc för AKS-standardkluster.
kube-system för automatiska AKS-kluster.

Installera sensorn:

helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers \
    --create-namespace --namespace mdc \
    --set global.cloudIdentifiers.AWS.accountId="<aws-account-id>" \
    --set global.cloudIdentifiers.AWS.region="<cluster-region>" \
    --set global.cloudIdentifiers.AWS.clusterName="<cluster-name>"

Installera sensorn:

helm install defender-k8s oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers \
    --create-namespace --namespace mdc \
    --set global.cloudIdentifiers.GCP.projectId="<gcp-project-id>" \
    --set global.cloudIdentifiers.GCP.location="<cluster-location>" \
    --set global.cloudIdentifiers.GCP.clusterName="<cluster-name>"

Kontrollera installationen

Kontrollera installationen med samma namnområde som du använde för att installera diagrammet.

Standard AKS, EKS och GKE
AKS Automatiskt

helm list --namespace mdc

helm list --namespace kube-system

Installationen lyckades om fältet STATUS visar deployed.

Konfigurera säkerhetsregler för gated deployment

Anmärkning

Kubernetes gated deployment stöds endast på AKS Automatic-kluster när sensorn installeras med Helm i kube-system namnrymden. Tilläggsdistribution stöds inte för det här scenariot.

Viktigt!

När du skapar regler kan den valda prenumerationen visas som not supported for Gated deployment. Den här statusen beror på att du har installerat Defender for Containers-komponenterna med hjälp av Helm i stället för via instrumentpanelens automatiska installation.

Definiera säkerhetsregler för att styra vad du kan distribuera till dina Kubernetes-kluster. Dessa regler kan blockera eller granska containeravbildningar som inte uppfyller dina säkerhetskriterier.

Logga in på Azure-portalen.
Gå till Defender för molnet>Miljöinställningar.
Välj Säkerhetsregler.
Välj Gated deployment>Sårbarhetsbedömning (Vulnerability assessment).
Välj en regel för att redigera den eller välj + Lägg till regel för att skapa en ny.

Hantera befintliga rekommendationer

Viktigt!

Om du installerar sensorn med hjälp av Helm ska du inte använda befintliga Defender för molnet rekommendationer för att installera Defender-profilen eller Arc-tillägget för samma kluster. Om du åtgärdar de här rekommendationerna kan det leda till en utplacering som leder till konflikter.

Beroende på din distributionstyp kan följande rekommendationer fortfarande visas i Defender för molnet. Granska dem för att bekräfta att de refererar till automatiska distributionsflöden och ignorera dem sedan för kluster där du distribuerade med Helm.

Azure: Azure Kubernetes Service-kluster bör ha Defender-profil aktiverad – Microsoft Azure
Arc-aktiverade Kubernetes-kluster: Azure Arc aktiverade Kubernetes-kluster bör ha Defender-tillägget installerat – Microsoft Azure

Uppgradera en befintlig Helm-baserad distribution

Med Helm-baserad distribution hanterar du sensoruppgraderingar. Defender för molnet tillämpar dem inte automatiskt.

Kör följande kommando för att uppdatera en befintlig Helm-baserad distribution. Använd det namnområde som du använde under installationen.

helm upgrade defender-k8s \
    oci://mcr.microsoft.com/azuredefender/microsoft-defender-for-containers \
    --namespace <namespace> \
    --reuse-values

Ersätt <namespace> med det namnområde som du använde under installationen.

Parametern --reuse-values behåller dina befintliga anpassade värden under uppgraderingen.

För <namespace>använder du:

mdc för AKS-, EKS- och GKE-standardkluster.
kube-system för automatiska AKS-kluster.

Om uppgraderingen misslyckas på grund av resurskonflikter lägger du till följande alternativ i uppgraderingskommandot:

--server-side=true --resolve-conflicts

Vanliga frågor om att skydda containrar

Feedback

Var den här sidan till hjälp?

Last updated on 2026-05-31

Installera Defender for Containers-sensorn med Helm

Förutsättningar

Installera Helm-diagrammet

Kontrollera installationen

Konfigurera säkerhetsregler för gated deployment

Hantera befintliga rekommendationer

Uppgradera en befintlig Helm-baserad distribution

Relaterat innehåll

Feedback

Ytterligare resurser