Azure Arc 启用的 Kubernetes(第二部分):添加安全性和监控
0/5 (0投票)
在本文中,我们将基于上一篇文章,为我们现在通过 Azure Arc 管理的外部集群添加额外的服务。
在本三部分系列的**第一篇文章**中,我们探讨了如何将 Azure Arc 连接到托管在云中的 Kubernetes 集群并应用策略。现在,我们可以从一个方便的位置管理我们的 Kubernetes 集群(以及我们稍后添加的任何其他集群和服务器)。
我们将基于上一篇文章,为我们现在通过 Azure Arc 管理的外部集群添加安全性和监视。
设置 Microsoft Defender for Cloud
Microsoft Defender for Cloud(以前称为 Azure Security Center 和 Azure Defender)是 Azure 的安全相关仪表板。它与 Azure Monitor 及其 Log Analytics 工具协同工作。Security Center 使用 Azure Policy 为其注册的订阅创建默认安全策略。
使用 Security Center,我们可以应用策略并启用高级安全功能来保护我们的资源。我们还可以针对遇到的任何安全威胁采取行动。有两种定价层:包含基本功能的免费层,以及包含增强安全性的 Azure Defender(Microsoft Defender 的一部分)。
免费安全层默认启用,提供对安全策略、评估和建议的访问。但是,它不应用任何建议,也不保护我们的资源免受威胁。我们需要 Microsoft Defender 的高级功能。
Microsoft Defender for Cloud 提供诸如法规遵从性、即时 (JIT) 虚拟机 (VM) 访问、自适应应用程序控件以及针对基础设施即服务 (IaaS) 和平台即服务 (PaaS) 的威胁防护等功能,帮助我们应对任何威胁。
启用 Microsoft Defender
要启用 Microsoft Defender for Cloud,我们首先登录 Azure 门户并转到 **Security Center**。
此选项将我们带到 **Microsoft Defender for Cloud Overview** 页面,以选择所需的 Azure 订阅。
此操作将我们引导至 **Environment settings** 页面。我们展开我们的 **Tenant Root Group**。
Azure 然后列出分配给我们的帐户的订阅。我们选择我们要启用 Microsoft Defender 的订阅。在这种情况下,它是 **Pay-As-You-Go** 订阅。
第一个选项 **Enhanced security off** 是默认选项。我们选择 **Enable all Microsoft Defender for Cloud plans** 选项。
此操作将启用切换列表,我们可以在其中指定 Microsoft Defender 计划需要保护的资源类型。默认情况下,所有资源类型都设置为 **On**。
选择要启用的资源类型后,我们单击当前页面左上角的 **Save** 以保存我们的设置。
然后,我们收到一条通知,声明我们已成功保存 Microsoft Defender 计划。
现在我们已经启用了 Microsoft Defender,我们可以将这些安全功能扩展到我们的 Azure Arc 启用 Kubernetes 集群。
安装 Microsoft Defender for Kubernetes Cluster Extension
在安装 Microsoft Defender 之前,我们必须具备一些先决条件。
我们需要确保 Kubernetes 集群与 Azure Arc 之间存在连接。我们还必须安装 connectedk8s 和 k8s-extension。请阅读本系列**上一篇文章**,了解如何实现这一点。
az extension add --name connectedk8s
az extension add --name k8s-extension
我们还必须配置以下终结点的端口 443 以允许出站访问。
适用于 Azure Government 云上的集群
- *.ods.opinsights.azure.us
- *.oms.opinsights.azure.us
- Login.microsoftonline.us
适用于其他 Azure 云部署上的集群
- *.ods.opinsights.azure.com
- *.oms.opinsights.azure.com
- Login.microsoftonline.com
我们将使用 Azure CLI 将 Microsoft Defender 扩展部署到我们的 Azure Arc 启用集群。我们必须登录到 Azure,并将帐户设置为我们要部署 Microsoft Defender 扩展的订阅。这是与 Kubernetes 集群关联的订阅。
az login
az account set --subscription <your-subscription-id>
然后,我们运行以下命令将扩展部署到我们的 Azure Arc 启用 Kubernetes 集群顶部
az k8s-extension create --name microsoft.azuredefender.kubernetes --cluster-type connectedClusters --cluster-name k8s-1-21-5-do-0-ams3-azure-arc --resource-group AzureArc --extension-type microsoft.azuredefender.kubernetes
我们的部署成功了,但我们可以通过运行此命令来验证它,以确保这一点
kubectl get pods -n azuredefender
我们可以使用此命令确认我们的 **azuredefender** pod 正在运行
或者,我们可以在 Azure 门户上确认部署。我们转到 Microsoft Defender for Cloud 的 **Recommendations** 页面,然后打开 **Enable Microsoft Defender for Cloud** 安全控件。我们选择名为 **Azure Arc-enabled Kubernetes clusters should have Microsoft Defender for Cloud's extension installed** 的建议。
我们确保我们的 Arc 启用 Kubernetes 集群显示在 **Healthy resources** 下。
现在我们可以访问我们 Kubernetes 集群的安全功能了。
设置 Azure Monitor
在本节中,我们将使用 Azure Monitor(也称为 Microsoft Monitor)启用对我们的 Azure Arc 启用 Kubernetes 集群的监视。设置 Azure Monitor 后,我们将能够查看控制器、节点和容器的内存和 CPU 使用率指标。我们还可以使用 Container Insights 直接从我们的 Azure Arc 启用集群检索日志。
启用 Azure Monitor 的先决条件
- 已安装 connectedk8s 和 k8s-extension 扩展
- 一个 Log Analytics 工作区。
- Azure 订阅上的 Contributor 角色分配
- Log Analytics 工作区上的 Contributor 和 Reader 角色分配
- 从投影的集群到 Microsoft 监视终结点的出站访问
启用 Azure Monitor
为了让我们的 Azure Arc 启用 Kubernetes 集群入站,我们登录到 Azure 门户并直接转到我们的集群。在集群内部,我们可以选择 **Monitoring** 部分中的一个选项。
由于我们尚未将集群入站到 Azure Monitor,Azure 会将我们重定向到 **Onboarding** 页面。从那里,我们选择 **Configure azure monitor**。
**Configure Azure Monitor for Kubernetes** 窗口会提示我们选择要使用的 **Log analytics workspace**。我们从所有可用的工作区列表中选择它,然后单击 **Configure**。如果您没有 Log Analytics 工作区,请创建一个。
入站过程可能需要几秒钟才能完成。Azure 会在准备就绪时通知我们。
入站完成后,我们就可以在 Azure Arc 启用 Kubernetes 集群的导航窗格中访问监视选项。例如,**Insights** 显示有关我们集群的所有信息。
或者,我们可以探索和查询 **Logs**。
Azure Monitor 的功能
- 监视 Kubernetes 集群及其节点的性能
- 识别节点上运行的容器及其平均处理器和内存使用情况
- 确定容器在控制器或 pod 中的位置
- 了解集群在平均负载和最重负载下的行为
- 与 Prometheus 和 Grafana 等工具集成,使用查询查看它们从节点和 Kubernetes 收集的应用程序工作负载指标
后续步骤
在本教程中,我们已将 Microsoft Defender 扩展安装到我们的 Azure Arc 启用 Kubernetes 集群,并讨论了为什么要启用 Microsoft Defender。我们还向集群添加了 Azure Monitor,并探索了它的功能和见解。
注册以试用 Azure Arc,在您自己或您的组织中使用,或者继续本系列的第三(也是最后一篇)文章,了解如何使用 Azure Arc 将容器部署到您的 Kubernetes 集群。
要详细了解如何开始使用 Azure Arc 启用 Kubernetes,或者 Azure Arc 启用 Kubernetes 如何允许您附加和配置在任何地方运行的 Kubernetes 集群,请查看我们关于 Azure Arc 启用 Kubernetes 的资源页面。