Share via

AKS habilitado pela coleta de dados do Azure Arc

  • Artigo

> Aplica-se a: AKS no Azure Stack HCI 22H2, AKS no Windows Server, AKS habilitado pelo Azure Arc

O AKS habilitado pelo Azure Arc é um serviço que permite executar clusters do Kubernetes em sua própria infraestrutura, usando o Azure Arc para se conectar e gerenciá-los. O AKS coleta dados de clusters e computadores conectados para fornecer recursos como monitoramento, imposição de políticas e atualizações de segurança. Este artigo explica quais dados são coletados, como eles são classificados e como você pode controlá-los.

Durante a implantação do AKS, você deve fornecer uma assinatura e uma região do Azure na qual os dados são armazenados. A região do Azure é uma representação virtual dos recursos locais e não corresponde ao local físico real. Ele representa a região na qual os datacenters operados pela Microsoft armazenam esses dados.

Importante

A Microsoft não coleta informações confidenciais que possam ser classificadas como PII (Informações de Identificação Pessoal). Para obter mais informações, consulte a seção de coleta de dados a seguir.

Há três camadas separadas a serem consideradas ao coletar a coleta de dados e trocar por implantações locais. Este artigo descreve os dados trocados entre clusters do Kubernetes (Camada 2) e o Azure. Consulte a documentação pública para obter descrições da coleta e troca de dados entre as camadas 1 e 3.

  • Camada 1: serviços habilitados para Azure Arc, como Azure Monitor, Azure Defender, Grade de Eventos etc.
  • Camada 2: clusters do Kubernetes – AKS habilitado pelo Arc.
  • Camada 3: host físico, como Windows Server ou Azure Stack HCI.

Coleta e residência de dados

Os dados do AKS são enviados no formato JSON e armazenados em um datacenter seguro operado pela Microsoft, da seguinte maneira:

  • Os dados de cobrança são enviados para o respectivo recurso dessa região em que você registrou o dispositivo.
  • Os dados de telemetria (classificados como "dados não pessoais") são armazenados na região selecionada no momento da implantação e são encaminhados para um repositório central dos EUA para que a equipe de engenharia use para aprimoramento de produtos e análise de negócios.

Para obter informações sobre como a Microsoft armazena dados de diagnóstico no Azure, consulte Residência de dados no Azure.

Retenção de dados

Depois que o AKS coleta esses dados, eles são retidos por 28 dias. O AKS pode manter dados agregados e desidificados por um período mais longo, a fim de acompanhar a confiabilidade do serviço e informar os aprimoramentos do produto.

Quais dados são coletados?

O AKS coleta os seguintes tipos de dados:

  • Eventos relacionados aos sistemas operacionais do host Hyper-V: detalhes como o nome do sistema operacional, a versão e o modelo. Os identificadores incluem nomes de eventos e datas de evento para acompanhamento preciso de eventos. Vários sinalizadores, tanto inteiros quanto boolianos, denotam condições ou status específicos, dispositivo e atributos do sistema operacional. Esses sinalizadores incluem o nome, a ID do dispositivo e o código do país ISO. O esquema de dados para esses eventos incorpora um intervalo de tipos de dados, incluindo cadeias de caracteres, inteiros, datetimes e boolianos.
  • Eventos associados ao painel de controle de clusters do Kubernetes: métricas específicas incluem carimbos de data/hora de criação do cluster, pods e contagens de nós e métricas de recursos, incluindo contagens de vCore. Esses dados são usados para monitoramento e gerenciamento do cluster do Kubernetes. O esquema de dados para esses eventos inclui um intervalo de tipos de dados, incluindo booliano, cadeia de caracteres, inteiro e duplo.
  • Eventos relativos ao sistema operacional do host Hyper-V: erros emitidos são capturados para fins de diagnóstico e monitoramento. O esquema de dados predominante usado é o formato de cadeia de caracteres para encapsular a mensagem de erro e o rastreamento de pilha associado. Atualmente, o suporte é estendido para as plataformas Windows Server e Azure Stack HCI.
  • Eventos relativos a VMs do Mariner Linux: inclui inicialização e desligamento do sistema, alterações de status de serviço, mensagens de kernel, erros de aplicativo e atividades de autenticação do usuário somente para namespaces do sistema.
  • Eventos de cobrança: eventos relacionados à medição ou à cobrança do uso principal. Esse conjunto de eventos inclui o datetime do evento e a quantidade de núcleos. Os tipos de dados incluem datetime para o intervalo do evento e um número de ponto flutuante para a quantidade.
  • Eventos de segurança: eventos agregados relacionados à renovação de certificados digitais e ao funcionamento do plug-in KMS (Serviço de Gerenciamento de Chaves). Esses eventos permitem o acompanhamento de ciclos de vida de certificado, status de chave de criptografia, revogações e renovações. O esquema de dados subjacente emprega tipos de dados de cadeia de caracteres para encapsular essas informações importantes.
  • Configurações de diagnóstico: ao instalar a extensão Do Kubernetes do Microsoft.AKSArc.AzureMonitor Arc, você pode habilitar a coleta de dados de auditoria e diagnóstico do Kubernetes por meio do Azure Monitor no painel de controle do cluster. Consulte a documentação de configuração de auditoria do kube-apiserver. Esses dados são salvos no armazenamento configurado pelo cliente e todos os dados intermediários coletados pela Microsoft para facilitar a exportação para o armazenamento do cliente são excluídos dentro de 48 horas.

Observação

Todos os eventos usam o CLIENTE de Telemetria Universal do Windows (UTC) ou o ADHS (Serviço de Integridade do Dispositivo) do Mariner.

Para obter mais informações sobre políticas de privacidade e coleta de dados do Azure, consulte a Política de Privacidade da Microsoft.

Próximas etapas

Conceitos de segurança no AKS habilitados pelo Arc