Von azure Arc-Datensammlung aktivierte AKS
AKS, die von Azure Arc aktiviert sind, ist ein Dienst, mit dem Sie Kubernetes-Cluster in Ihrer eigenen Infrastruktur ausführen können, indem Sie Azure Arc verwenden, um sie zu verbinden und zu verwalten. AKS sammelt Daten von Clustern und verbundenen Computern, um Ihnen Features wie Überwachung, Richtlinienerzwingung und Sicherheitsupdates bereitzustellen. In diesem Artikel wird erläutert, welche Daten gesammelt werden, wie sie klassifiziert werden und wie Sie sie steuern können.
Während der Bereitstellung von AKS müssen Sie ein Abonnement und eine Azure-Region bereitstellen, in der Daten gespeichert werden. Die Azure-Region ist eine virtuelle Darstellung Ihrer lokalen Ressourcen und entspricht nicht dem tatsächlichen physischen lokalen Standort. Sie stellt die Region dar, in der von Microsoft betriebene Rechenzentren diese Daten speichern.
Wichtig
Microsoft sammelt keine vertraulichen Informationen, die möglicherweise als personenbezogene Informationen (PERSONALly Identifiable Information, PII) klassifiziert werden. Weitere Informationen finden Sie im folgenden Abschnitt zur Datensammlung.
Es gibt drei separate Ebenen, die Beim Zusammenstellen der Datensammlung und des Austauschs für lokale Bereitstellungen berücksichtigt werden müssen. In diesem Artikel werden die zwischen Kubernetes-Clustern (Tier 2) und Azure ausgetauschten Daten beschrieben. In der öffentlichen Dokumentation finden Sie Beschreibungen der Datenerfassung und des Austauschs zwischen Ebene 1 und Ebene 3.
- Stufe 1: Azure Arc-fähige Dienste wie Azure Monitor, Azure Defender, Event Grid usw.
- Ebene 2: Kubernetes-Cluster: AKS aktiviert von Arc.
- Ebene 3: Physischer Host, z. B. Windows Server oder Azure Local.
Datensammlung und -residenz
AKS-Daten werden im JSON-Format gesendet und wie folgt in einem sicheren microsoft-betriebenen Rechenzentrum gespeichert:
- Abrechnungsdaten werden an die jeweilige Ressource dieser Region gesendet, in der Sie das Gerät registriert haben.
- Telemetriedaten (klassifiziert als "nicht personenbezogene Daten") werden innerhalb der Region gespeichert, die Sie zum Zeitpunkt der Bereitstellung ausgewählt haben, und wird an einen zentralen US-Speicher für das Entwicklungsteam weitergeleitet, das zur Produktverbesserung und Geschäftsanalysen verwendet werden kann.
Informationen dazu, wie Microsoft Diagnosedaten in Azure speichert, finden Sie unter Data Residency in Azure.
Beibehaltung von Daten
Nachdem AKS diese Daten gesammelt hat, wird sie 28 Tage lang aufbewahrt. AKS kann aggregierte, nicht identifizierte Daten für einen längeren Zeitraum beibehalten, um die Zuverlässigkeit des Dienstes nachzuverfolgen und Produktverbesserungen zu informieren.
Welche Daten werden gesammelt?
AKS sammelt die folgenden Datentypen:
- Ereignisse im Zusammenhang mit den Hyper-V-Hostbetriebssystemen: Details wie name, Version und Modell des Betriebssystems. Bezeichner umfassen Ereignisnamen und Ereignisdaten für die genaue Ereignisverfolgung. Verschiedene Flags, sowohl ganze Zahl als auch boolescher Wert, geben bestimmte Bedingungen oder Statuswerte, Geräte- und Betriebssystemattribute an. Diese Flags umfassen den Namen, die Geräte-ID und den ISO-Ländercode. Das Datenschema für diese Ereignisse enthält einen Bereich von Datentypen, einschließlich Zeichenfolgen, ganze Zahlen, Datetimes und Booleans.
- Ereignisse, die der Kubernetes-Clustersteuerungsebene zugeordnet sind: Zu den spezifischen Metriken gehören Clustererstellungszeitstempel, Pods und Knotenanzahlen sowie Ressourcenmetriken, einschließlich vCore-Zählungen. Diese Daten werden zur Überwachung und Verwaltung des Kubernetes-Clusters verwendet. Das Datenschema für diese Ereignisse enthält einen Bereich von Datentypen, einschließlich boolean, string, integer und double.
- Ereignisse im Zusammenhang mit dem Hyper-V-Hostbetriebssystem: Ausgelassene Fehler werden für Diagnose- und Überwachungszwecke erfasst. Das vorherrschende Datenschema ist das Zeichenfolgenformat, das sowohl die Fehlermeldung als auch die zugeordnete Stapelablaufverfolgung kapselt. Der Support wird derzeit auf die lokalen Windows Server- und Azure-Plattformen erweitert.
- Ereignisse im Zusammenhang mit Mariner Linux-VMs: Umfasst Systemstart und Herunterfahren, Dienststatusänderungen, Kernelnachrichten, Anwendungsfehler und Benutzerauthentifizierungsaktivitäten nur für Systemnamespaces.
- Abrechnungsereignisse: Ereignisse im Zusammenhang mit der Messung oder Abrechnung der Kernnutzung. Dieser Satz von Ereignissen umfasst die Ereignisdatumszeit und die Menge der Kerne. Die Datentypen enthalten Datumszeit für die Ereignisanzeigedauer und eine Gleitkommazahl für die Menge.
- Sicherheitsereignisse: Aggregierte Ereignisse im Zusammenhang mit der Erneuerung digitaler Zertifikate und dem Funktionieren des Schlüsselverwaltungsdienst (KMS)-Plug-Ins. Diese Ereignisse ermöglichen die Nachverfolgung von Zertifikatlebenszyklus, Verschlüsselungsschlüsselstatus, Sperrungen und Erneuerungen. Das zugrunde liegende Datenschema verwendet Zeichenfolgen-Datentypen, um diese wichtigen Informationen zu kapseln.
- Diagnoseeinstellungen: Durch die Installation der Erweiterung "Microsoft.AKSArc.AzureMonitor Arc Kubernetes" können Sie die Sammlung von Kubernetes-Überwachungs- und Diagnosedaten über Azure Monitor über die Clustersteuerungsebene aktivieren. Weitere Informationen finden Sie in der Kube-apiserver-Überwachungskonfigurationsdokumentation. Diese Daten werden im vom Kunden konfigurierten Speicher gespeichert, und alle Zwischendaten, die Microsoft sammelt, um den Export in den Kundenspeicher zu erleichtern, werden innerhalb von 48 Stunden gelöscht.
Hinweis
Alle Ereignisse verwenden entweder den Windows Universal Telemetry Client (UTC) oder das Mariner Azure Device Integritätsdienst (ADHS).
Weitere Informationen zu Azure-Datensammlungs- und Datenschutzrichtlinien finden Sie in den Microsoft-Datenschutzbestimmungen.