Share via

AKS ativado pela recolha de dados do Azure Arc

  • Artigo

> Aplica-se a: AKS no Azure Stack HCI 22H2, AKS no Windows Server, AKS ativado pelo Azure Arc

O AKS ativado pelo Azure Arc é um serviço que lhe permite executar clusters do Kubernetes na sua própria infraestrutura, utilizando o Azure Arc para os ligar e gerir. O AKS recolhe dados de clusters e máquinas ligadas para lhe fornecer funcionalidades como monitorização, imposição de políticas e atualizações de segurança. Este artigo explica que dados são recolhidos, como são classificados e como os pode controlar.

Durante a implementação do AKS, tem de fornecer uma subscrição e uma região do Azure na qual os dados são armazenados. A região do Azure é uma representação virtual dos seus recursos no local e não corresponde à localização física no local real. Representa a região na qual os datacenters operados pela Microsoft armazenam estes dados.

Importante

A Microsoft não recolhe informações confidenciais que possam ser classificadas como Informações Pessoais (PII). Para obter mais informações, veja a seguinte secção de recolha de dados.

Existem três camadas separadas a considerar ao organizar a recolha de dados e a troca de implementações no local. Este artigo descreve os dados trocados entre os clusters do Kubernetes (Camada 2) e o Azure. Veja a documentação pública para obter descrições da recolha de dados e a troca entre a camada 1 e a camada 3.

  • Camada 1: serviços preparados para o Azure Arc, como o Azure Monitor, o Azure Defender, o Event Grid, etc.
  • Camada 2: clusters do Kubernetes – AKS ativado pelo Arc.
  • Camada 3: anfitrião físico, como o Windows Server ou o Azure Stack HCI.

Recolha e residência de dados

Os dados do AKS são enviados no formato JSON e armazenados num datacenter seguro operado pela Microsoft, da seguinte forma:

  • Os dados de faturação são enviados para o respetivo recurso dessa região na qual registou o dispositivo.
  • Os dados telemétricos (classificados como "dados não pessoais") são armazenados na região que selecionou no momento da implementação e são reencaminhados para um arquivo central dos EUA para que a equipa de engenharia utilize para melhoria de produtos e análise de negócios.

Para obter informações sobre como a Microsoft armazena dados de diagnóstico no Azure, veja Residência dos dados no Azure.

Retenção de dados

Depois de o AKS recolher estes dados, estes são mantidos durante 28 dias. O AKS pode manter dados agregados e sem identificação durante um período mais longo para controlar a fiabilidade do serviço e informar as melhorias do produto.

Que dados são recolhidos?

O AKS recolhe os seguintes tipos de dados:

  • Eventos relacionados com os sistemas operativos anfitrião Hyper-V: detalhes como o nome do sistema operativo, a versão e o modelo. Os identificadores incluem nomes de eventos e datas de eventos para controlo preciso de eventos. Vários sinalizadores, tanto inteiros como booleanos, indicam condições ou estados específicos, dispositivos e atributos do sistema operativo. Estes sinalizadores incluem o nome, o ID do dispositivo e o código de país iso. O esquema de dados para estes eventos incorpora um intervalo de tipos de dados, incluindo cadeias, números inteiros, datetimes e Booleanos.
  • Eventos associados ao plano de controlo de clusters do Kubernetes: as métricas específicas incluem carimbos de data/hora de criação de clusters, pods e contagens de nós e métricas de recursos, incluindo contagens de vCores. Estes dados são utilizados para monitorização e gestão do cluster do Kubernetes. O esquema de dados para estes eventos inclui um intervalo de tipos de dados, incluindo Booleano, cadeia, número inteiro e duplo.
  • Eventos relativos ao sistema operativo anfitrião Hyper-V: os erros emitidos são capturados para fins de diagnóstico e monitorização. O esquema de dados predominante utilizado é o formato de cadeia para encapsular a mensagem de erro e o rastreio de pilha associado. O suporte é atualmente alargado para as plataformas Windows Server e Azure Stack HCI.
  • Eventos relativos a VMs Do Mariner Linux: inclui o arranque e o encerramento do sistema, alterações do estado do serviço, mensagens de kernel, erros de aplicações e atividades de autenticação de utilizador apenas para espaços de nomes do sistema.
  • Eventos de faturação: eventos relacionados com a medição ou a faturação da utilização principal. Este conjunto de eventos inclui o datetime do evento e a quantidade de núcleos. Os tipos de dados incluem datetime para a temporização do evento e um número de vírgula flutuante para a quantidade.
  • Eventos de segurança: eventos agregados relacionados com a renovação de certificados digitais e o funcionamento do plug-in do Key Management Service (KMS). Estes eventos permitem controlar ciclos de vida de certificados, estados de chave de encriptação, revogações e renovações. O esquema de dados subjacente utiliza tipos de dados de cadeia para encapsular estas informações importantes.
  • Definições de diagnóstico: ao instalar a extensão Microsoft.AKSArc.AzureMonitor Arc Kubernetes, pode ativar a recolha de dados de auditoria e diagnóstico do Kubernetes através do Azure Monitor a partir do plano de controlo do cluster. Veja a documentação de configuração da auditoria kube-apiserver. Estes dados são guardados no armazenamento configurado pelo cliente e todos os dados intermédios que a Microsoft recolhe para facilitar a exportação para o armazenamento do cliente são eliminados no prazo de 48 horas.

Nota

Todos os eventos utilizam o Windows Universal Telemetry Client (UTC) ou o Mariner Azure Device Health Service (ADHS).

Para obter mais informações sobre a recolha de dados do Azure e as políticas de privacidade, consulte a Declaração de Privacidade da Microsoft.

Passos seguintes

Conceitos de segurança no AKS ativados pelo Arc