AKS activé par la collecte de données Azure Arc

AKS activé par Azure Arc est un service qui vous permet d’exécuter des clusters Kubernetes dans votre propre infrastructure, en utilisant Azure Arc pour les connecter et les gérer. AKS collecte des données à partir de clusters et de machines connectées pour vous fournir des fonctionnalités telles que la surveillance, l’application des stratégies et les mises à jour de sécurité. Cet article explique quelles données sont collectées, comment elles sont classifiées et comment vous pouvez les contrôler.

Pendant le déploiement d’AKS, vous devez fournir un abonnement et une région Azure dans laquelle les données sont stockées. La région Azure est une représentation virtuelle de vos ressources locales et ne correspond pas à l’emplacement physique local réel. Il représente la région dans laquelle les centres de données gérés par Microsoft stockent ces données.

Il existe trois niveaux distincts à prendre en compte lors de la collecte et de l’échange de données pour les déploiements locaux. Cet article décrit les données échangées entre les clusters Kubernetes (niveau 2) et Azure. Consultez la documentation publique pour obtenir des descriptions de la collecte et de l’échange de données entre le niveau 1 et le niveau 3.

• Niveau 1 : services avec Azure Arc tels qu’Azure Monitor, Azure Defender, Event Grid, etc.
• Niveau 2 : clusters Kubernetes : AKS activé par Arc.
• Niveau 3 : hôte physique, tel que Windows Server ou Azure Stack HCI.

Collecte et résidence des données

Les données AKS sont envoyées au format JSON et sont stockées dans un centre de données sécurisé géré par Microsoft, comme suit :

• Les données de facturation sont envoyées à la ressource respective de la région dans laquelle vous avez inscrit l’appareil.
• Les données de télémétrie (classées en tant que « données non personnelles ») sont stockées dans la région que vous avez sélectionnée au moment du déploiement et sont transmises à un magasin américain central que l’équipe d’ingénierie utilisera pour améliorer les produits et l’analytique métier.

Pour plus d’informations sur la façon dont Microsoft stocke les données de diagnostic dans Azure, consultez Résidence des données dans Azure.

Conservation des données

Une fois qu’AKS a collecté ces données, elles sont conservées pendant 28 jours. AKS peut conserver des données agrégées et dé-identifiées pendant une période plus longue afin de suivre la fiabilité du service et d’informer les améliorations apportées au produit.

Quelles sont les données collectées ?

AKS collecte les types de données suivants :

• Événements liés aux systèmes d’exploitation hôtes Hyper-V : détails tels que le nom du système d’exploitation, la version et le modèle. Les identificateurs incluent des noms d’événements et des dates d’événement pour un suivi précis des événements. Différents indicateurs, entiers et booléens, désignent des conditions ou des états spécifiques, des attributs d’appareil et de système d’exploitation. Ces indicateurs incluent le nom, l’ID d’appareil et le code de pays ISO. Le schéma de données de ces événements incorpore une plage de types de données, notamment des chaînes, des entiers, des datetimes et des booléens.
• Événements associés au plan de contrôle des clusters Kubernetes : les métriques spécifiques incluent les horodatages de création de cluster, les pods et le nombre de nœuds, ainsi que les métriques de ressources, y compris le nombre de vCores. Ces données sont utilisées pour la surveillance et la gestion du cluster Kubernetes. Le schéma de données de ces événements comprend une plage de types de données, notamment booléen, string, integer et double.
• Événements relatifs au système d’exploitation hôte Hyper-V : les erreurs émises sont capturées à des fins de diagnostic et de surveillance. Le schéma de données prédominant utilisé est le format de chaîne pour encapsuler à la fois le message d’erreur et la trace de pile associée. La prise en charge est actuellement étendue aux plateformes Windows Server et Azure Stack HCI.
• Événements relatifs aux machines virtuelles Mariner Linux : inclut le démarrage et l’arrêt du système, les modifications d’état du service, les messages du noyau, les erreurs d’application et les activités d’authentification utilisateur uniquement pour les espaces de noms système.
• Événements de facturation : événements liés au contrôle ou à la facturation de l’utilisation principale. Cet ensemble d’événements inclut la datetime de l’événement et la quantité de cœurs. Les types de données incluent datetime pour le minutage de l’événement et un nombre à virgule flottante pour la quantité.
• Événements de sécurité : événements agrégés liés au renouvellement des certificats numériques et au fonctionnement du plug-in KMS (Key Management Service). Ces événements permettent le suivi des cycles de vie des certificats, des états des clés de chiffrement, des révocations et des renouvellements. Le schéma de données sous-jacent utilise des types de données de chaîne pour encapsuler ces informations importantes.
• Paramètres de diagnostic : en installant l’extension Kubernetes Microsoft.AKSArc.AzureMonitor Arc, vous pouvez activer la collecte de données d’audit et de diagnostic Kubernetes via Azure Monitor à partir du plan de contrôle du cluster. Consultez la documentation de configuration de l’audit kube-apiserver. Ces données sont enregistrées dans le stockage configuré par le client, et toutes les données intermédiaires collectées par Microsoft pour faciliter l’exportation vers le stockage client sont supprimées dans les 48 heures.

Pour plus d’informations sur les politiques de collecte de données et de confidentialité Azure, consultez la Déclaration de confidentialité Microsoft.

Étapes suivantes

Vue d’ensemble d’AKS activé par Arc