你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Kubernetes 节点的 Defender for Cloud 保护概览

除了保护 Kubernetes 群集控制平面和工作负载外，Defender for Cloud 还通过客户的多云 Kubernetes 服务中的 Kubernetes 节点扩展了安全性和合规性。

针对 Kubernetes 节点的保护

Kubernetes 节点是由云环境的 Kubernetes 服务创建的 VM，用于运行 Kubernetes 群集的控制平面和工作负载。 群集的节点池（或节点组）是一组托管的相同 VM 类型和版本。 Kubernetes 服务使客户能够配置群集，包括节点池的配置。 节点池配置包括设置节点数，以及节点的相同 VM 类型和版本。 客户根据群集中运行的应用程序的要求确定群集节点池的配置。 客户还会将每个节点池作为一个集合进行管理，即池中的所有节点都一起配置和更新。

客户升级节点池 VM 版本以提高节点安全性，如 Defender for Cloud 建议所示。

关于对保护 Kubernetes 节点的支持的详细信息，请参阅每个云环境的“漏洞评估”和“运行时威胁防护”部分中的 Defender for Cloud 中容器的支持矩阵。

Kubernetes 节点的共担责任

维护 Kubernetes 节点的责任由 Kubernetes 服务和客户共同承担。

• Kubernetes 服务通过提供升级的版本来维护和修补其支持的节点 VM 映像的操作系统和软件。
• 客户负责根据群集中运行的应用程序的要求进行 Kubernetes 节点池的初始配置。 客户还负责根据需要升级节点池 VM 版本，以提高安全性，并支持群集中运行的应用程序。

Kubernetes 节点保护

为 Kubernetes 节点提供以下保护：

• 漏洞评估 - 针对已知漏洞扫描 Kubernetes 节点软件。 生成建议供客户查看和修正。

• 恶意软件检测 - 针对恶意软件扫描 Kubernetes 节点。 生成安全警报供客户查看和修正。

Kubernetes 节点保护是通过创建用于扫描的节点池磁盘的快照提供的。 有关详细信息，请参阅无代理扫描体系结构说明。

为计算机启用无代理扫描

通过在 Defender for Containers、Defender 云安全态势管理或 Defender for Servers P2 计划中打开“计算机的无代理扫描”来启用针对 Kubernetes 节点的保护。

若要在 Azure 门户中的 Defender for Containers 计划中启用计算机的无代理扫描，请执行以下操作：

1. 选择相关订阅。

2. 从 Defender for Cloud 菜单中选择“环境设置”。

3. 选择 Defender for Container 计划的“设置”。

4. 在设置窗格中，打开“计算机的无代理扫描”切换开关。

5. 选择“保存”。