AKS activé par la collecte de données Azure Arc
AKS activé par Azure Arc est un service qui vous permet d’exécuter des clusters Kubernetes dans votre propre infrastructure, à l’aide d’Azure Arc pour les connecter et les gérer. AKS collecte des données à partir de clusters et de machines connectées pour vous fournir des fonctionnalités telles que la surveillance, l’application des stratégies et les mises à jour de sécurité. Cet article explique quelles données sont collectées, comment elles sont classifiées et comment vous pouvez la contrôler.
Pendant le déploiement d’AKS, vous devez fournir un abonnement et une région Azure dans laquelle les données sont stockées. La région Azure est une représentation virtuelle de vos ressources locales et ne correspond pas à l’emplacement physique réel local. Il représente la région dans laquelle les centres de données gérés par Microsoft stockent ces données.
Important
Microsoft ne collecte aucune information sensible susceptible d’être classifiée en tant qu’informations d’identification personnelle (PII). Pour plus d’informations, consultez la section de collecte de données suivante.
Il existe trois niveaux distincts à prendre en compte lors de l’organisation de la collecte et de l’échange de données pour les déploiements locaux. Cet article décrit les données échangées entre les clusters Kubernetes (niveau 2) et Azure. Consultez la documentation publique pour obtenir des descriptions de la collecte et de l’échange de données entre le niveau 1 et le niveau 3.
- Niveau 1 : services avec Azure Arc tels qu’Azure Monitor, Azure Defender, Event Grid, etc.
- Niveau 2 : Clusters Kubernetes : AKS activé par Arc.
- Niveau 3 : Hôte physique, tel que Windows Server ou Azure Local.
Collecte et résidence des données
Les données AKS sont envoyées au format JSON et sont stockées dans un centre de données géré par Microsoft sécurisé, comme suit :
- Les données de facturation sont envoyées à la ressource correspondante de cette région dans laquelle vous avez inscrit l’appareil.
- Les données de télémétrie (classées comme « données non personnelles ») sont stockées dans la région que vous avez sélectionnée au moment du déploiement et sont transférées vers un magasin américain central pour que l’équipe d’ingénierie utilise pour améliorer les produits et l’analytique métier.
Pour plus d’informations sur la façon dont Microsoft stocke les données de diagnostic dans Azure, consultez Résidence des données dans Azure.
Conservation des données
Une fois que AKS collecte ces données, elle est conservée pendant 28 jours. AKS peut conserver des données agrégées et dé-identifiées pendant une période plus longue afin de suivre la fiabilité du service et d’informer les améliorations apportées aux produits.
Quelles sont les données collectées ?
AKS collecte les types de données suivants :
- Événements liés aux systèmes d’exploitation hôtes Hyper-V : détails tels que le nom du système d’exploitation, la version et le modèle. Les identificateurs incluent les noms d’événements et les dates d’événement pour le suivi précis des événements. Différents indicateurs, entier et booléen, indiquent des conditions ou des états spécifiques, des attributs de périphérique et de système d’exploitation. Ces indicateurs incluent le nom, l’ID d’appareil et le code du pays ISO. Le schéma de données de ces événements intègre une plage de types de données, notamment des chaînes, des entiers, des datetimes et des booléens.
- Événements associés au plan de contrôle des clusters Kubernetes : des métriques spécifiques incluent des horodatages de création de cluster, des pods et des métriques de nœud, ainsi que des métriques de ressources, y compris les nombres vCore. Ces données sont utilisées pour la surveillance et la gestion du cluster Kubernetes. Le schéma de données de ces événements inclut une plage de types de données, notamment booléen, chaîne, entier et double.
- Événements relatifs au système d’exploitation hôte Hyper-V : les erreurs émises sont capturées à des fins de diagnostic et de surveillance. Le schéma de données prédominant utilisé est le format de chaîne pour encapsuler le message d’erreur et la trace de pile associée. La prise en charge est actuellement étendue aux plateformes Windows Server et Azure Local.
- Événements relatifs aux machines virtuelles Linux Mariner : inclut le démarrage et l’arrêt du système, les modifications d’état du service, les messages du noyau, les erreurs d’application et les activités d’authentification utilisateur uniquement pour les espaces de noms système.
- Événements de facturation : événements liés au contrôle ou à la facturation de l’utilisation principale. Cet ensemble d’événements inclut la datetime de l’événement et la quantité de cœurs. Les types de données incluent datetime pour le minutage de l’événement et un nombre à virgule flottante pour la quantité.
- Événements de sécurité : événements agrégés liés au renouvellement des certificats numériques et au fonctionnement du plug-in Service de gestion de clés (KMS). Ces événements permettent le suivi des cycles de vie des certificats, des états de clé de chiffrement, des révocations et des renouvellements. Le schéma de données sous-jacent utilise des types de données de chaîne pour encapsuler ces informations importantes.
- Paramètres de diagnostic : en installant l’extension Kubernetes Microsoft.AKSArc.AzureMonitor Arc, vous pouvez activer la collecte des données d’audit et de diagnostic Kubernetes via Azure Monitor à partir du plan de contrôle du cluster. Consultez la documentation de configuration de l’audit kube-apiserver. Ces données sont enregistrées dans le stockage configuré par le client et toutes les données intermédiaires collectées par Microsoft pour faciliter l’exportation vers le stockage client sont supprimées dans les 48 heures.
Remarque
Tous les événements utilisent le client de télémétrie universelle Windows (UTC) ou le service ADHS (Mariner Azure Device Health Service).
Pour plus d’informations sur la collecte de données Azure et les stratégies de confidentialité, consultez la Déclaration de confidentialité Microsoft.