Freigeben über

AKS aktiviert durch Die Azure Arc-Datensammlung

  • Artikel

AKS, die von Azure Arc aktiviert ist, ist ein Dienst, mit dem Sie Kubernetes-Cluster in Ihrer eigenen Infrastruktur ausführen können, indem Sie Azure Arc verwenden, um sie zu verbinden und zu verwalten. AKS sammelt Daten von Clustern und verbundenen Computern, um Ihnen Features wie Überwachung, Richtlinienerzwingung und Sicherheitsupdates bereitzustellen. In diesem Artikel wird erläutert, welche Daten gesammelt, wie sie klassifiziert werden und wie Sie sie steuern können.

Während der Bereitstellung von AKS müssen Sie ein Abonnement und eine Azure-Region bereitstellen, in der Daten gespeichert werden. Die Azure-Region ist eine virtuelle Darstellung Ihrer lokalen Ressourcen und entspricht nicht dem tatsächlichen physischen lokalen Standort. Sie stellt die Region dar, in der von Microsoft betriebene Rechenzentren diese Daten speichern.

Wichtig

Microsoft sammelt keine vertraulichen Informationen, die als personenbezogene Daten (PiI) klassifiziert werden könnten. Weitere Informationen finden Sie im folgenden Abschnitt zur Datensammlung.

Es gibt drei separate Ebenen, die beim Kuratieren der Datensammlung und des Austauschs für lokale Bereitstellungen zu berücksichtigen sind. In diesem Artikel werden die Daten beschrieben, die zwischen Kubernetes-Clustern (Ebene 2) und Azure ausgetauscht werden. Beschreibungen zur Datenerfassung und zum Austausch zwischen Ebene 1 und Ebene 3 finden Sie in der öffentlichen Dokumentation.

  • Ebene 1: Azure Arc-fähige Dienste wie Azure Monitor, Azure Defender, Event Grid usw.
  • Ebene 2: Kubernetes-Cluster: AKS wird von Arc aktiviert.
  • Ebene 3: Physischer Host, z. B. Windows Server oder Azure Stack HCI.

Datensammlung und -residenz

AKS-Daten werden im JSON-Format gesendet und wie folgt in einem sicheren, von Microsoft betriebenen Rechenzentrum gespeichert:

  • Abrechnungsdaten werden an die jeweilige Ressource der Region gesendet, in der Sie das Gerät registriert haben.
  • Telemetriedaten (klassifiziert als "nicht personenbezogene Daten") werden in der Region gespeichert, die Sie zum Zeitpunkt der Bereitstellung ausgewählt haben, und werden an einen zentralen US-Speicher weitergeleitet, um das Entwicklungsteam für Produktverbesserungen und Geschäftsanalysen zu verwenden.

Informationen dazu, wie Microsoft Diagnosedaten in Azure speichert, finden Sie unter Data Residency in Azure.

Beibehaltung von Daten

Nachdem AKS diese Daten erfasst hat, werden sie 28 Tage lang aufbewahrt. AKS kann aggregierte, nicht identifizierte Daten für einen längeren Zeitraum aufbewahren, um die Zuverlässigkeit des Dienstes nachzuverfolgen und Produktverbesserungen zu informieren.

Welche Daten werden gesammelt?

AKS sammelt die folgenden Datentypen:

  • Ereignisse im Zusammenhang mit den Hyper-V-Hostbetriebssystemen: Details wie Name, Version und Modell des Betriebssystems. Bezeichner umfassen Ereignisnamen und Ereignisdaten für die genaue Ereignisnachverfolgung. Verschiedene Flags, sowohl ganzzahlige als auch boolesche, bezeichnen bestimmte Bedingungen oder Status, Geräte- und Betriebssystemattribute. Diese Flags umfassen den Namen, die Geräte-ID und den ISO-Ländercode. Das Datenschema für diese Ereignisse umfasst eine Reihe von Datentypen, einschließlich Zeichenfolgen, ganzzahligen Zahlen, datetimes und Booleans.
  • Ereignisse, die der Steuerungsebene von Kubernetes-Clustern zugeordnet sind: Zu den spezifischen Metriken gehören Zeitstempel für die Clustererstellung, Pods und Knotenanzahl sowie Ressourcenmetriken, einschließlich der Anzahl der virtuellen Kerne. Diese Daten werden für die Überwachung und Verwaltung des Kubernetes-Clusters verwendet. Das Datenschema für diese Ereignisse umfasst eine Reihe von Datentypen, einschließlich Boolean, string, integer und double.
  • Ereignisse im Zusammenhang mit hyper-V-Hostbetriebssystem: Ausgegebene Fehler werden zu Diagnose- und Überwachungszwecken erfasst. Das vorherrschende Datenschema, das verwendet wird, ist das Zeichenfolgenformat, um sowohl die Fehlermeldung als auch die zugeordnete Stapelablaufverfolgung zu kapseln. Der Support wird derzeit auf die Plattformen Windows Server und Azure Stack HCI erweitert.
  • Ereignisse in Bezug auf Mariner Linux-VMs: Umfasst Systemstart und -herunterfahren, Dienststatusänderungen, Kernelmeldungen, Anwendungsfehler und Benutzerauthentifizierungsaktivitäten nur für Systemnamespaces.
  • Abrechnungsereignisse: Ereignisse im Zusammenhang mit der Messung oder Abrechnung der Kernnutzung. Dieser Satz von Ereignissen umfasst das Ereignis datetime und die Anzahl der Kerne. Zu den Datentypen gehören datetime für das Ereigniszeitpunkt und eine Gleitkommazahl für die Menge.
  • Sicherheitsereignisse: Aggregierte Ereignisse im Zusammenhang mit der Erneuerung digitaler Zertifikate und der Funktionsweise des KMS-Plug-Ins (Key Management Service). Diese Ereignisse ermöglichen die Nachverfolgung von Zertifikatlebenszyklus, Verschlüsselungsschlüsselstatus, Sperrungen und Verlängerungen. Das zugrunde liegende Datenschema verwendet Zeichenfolgendatentypen, um diese wichtigen Informationen zu kapseln.
  • Diagnoseeinstellungen: Durch Installieren der Arc Kubernetes-Erweiterung Microsoft.AKSArc.AzureMonitor können Sie die Sammlung von Kubernetes-Überwachungs- und Diagnosedaten über Azure Monitor von der Clustersteuerungsebene aus aktivieren. Weitere Informationen finden Sie in der Dokumentation zur Kube-apiserver-Überwachungskonfiguration. Diese Daten werden im vom Kunden konfigurierten Speicher gespeichert, und alle Zwischendaten, die Microsoft sammelt, um den Export in den Kundenspeicher zu erleichtern, werden innerhalb von 48 Stunden gelöscht.

Hinweis

Alle Ereignisse verwenden entweder den Windows Universal Telemetry Client (UTC) oder den Mariner Azure Device Health Service (ADHS).

Weitere Informationen zur Azure-Datensammlung und zu Datenschutzrichtlinien finden Sie in den Microsoft-Datenschutzbestimmungen.

Nächste Schritte

Übersicht über AKS-Aktivierung durch Arc