Azure Arc 数据收集启用的 AKS
Azure Arc 启用的 AKS 是一项服务,可用于在自己的基础结构中运行 Kubernetes 群集,使用 Azure Arc 进行连接和管理。 AKS 从群集和连接的计算机收集数据,以提供监视、策略强制和安全更新等功能。 本文介绍收集的数据、分类方式以及如何控制这些数据。
在部署 AKS 期间,必须提供一个订阅和一个存储数据的 Azure 区域。 Azure 区域是本地资源的虚拟表示形式,与实际物理本地位置不对应。 它表示Microsoft操作的数据中心存储此数据的区域。
重要
Microsoft不会收集可能归类为 个人身份信息(PII)的任何敏感信息。 有关详细信息,请参阅以下 数据收集部分。
在策展数据收集和交换本地部署时,需要考虑三个单独的层。 本文介绍 Kubernetes 群集(第 2 层)与 Azure 之间交换的数据。 有关第 1 层和第 3 层之间的数据收集和交换的说明,请参阅公共文档。
- 第 1 层:已启用 Azure Arc 的服务,例如 Azure Monitor、Azure Defender、事件网格等。
- 第 2 层:Kubernetes 群集:Arc 启用的 AKS。
- 第 3 层:物理主机,例如 Windows Server 或 Azure 本地。
数据收集和驻留
AKS 数据以 JSON 格式发送,并存储在安全Microsoft操作的数据中心,如下所示:
- 计费数据将发送到注册设备的该区域的相应资源。
- 遥测数据(分类为“非个人数据”)存储在你在部署时选择的区域,并转发到美国中央存储,供工程团队用于产品改进和业务分析。
有关如何Microsoft在 Azure 中存储诊断数据的信息,请参阅 Azure 中的数据驻留。
数据保留
AKS 收集此数据后,将保留 28 天。 AKS 可能会长时间地保留聚合、已取消标识的数据,以便跟踪服务的可靠性并通知产品改进。
收集什么数据?
AKS 收集以下类型的数据:
- 与 Hyper-V 主机操作系统相关的事件:操作系统名称、版本和模型等详细信息。 标识符包括用于精确事件跟踪的事件名称和事件日期。 各种标志(整数和布尔值)表示特定条件或状态、设备和操作系统属性。 这些标志包括名称、设备 ID 和 ISO 国家/地区代码。 这些事件的数据架构包含一系列数据类型,包括字符串、整数、日期/时间和布尔值。
- 与 Kubernetes 群集控制平面关联的事件:特定指标包括群集创建时间戳、Pod 和节点计数,以及包括 vCore 计数的资源指标。 此数据用于监视和管理 Kubernetes 群集。 这些事件的数据架构包括一系列数据类型,包括布尔值、字符串、整数和双精度值。
- 与 Hyper-V 主机操作系统相关的事件:出于诊断和监视目的捕获发出的错误。 使用的主要数据架构是用于封装错误消息和相关堆栈跟踪的字符串格式。 目前支持已扩展到 Windows Server 和 Azure 本地平台。
- 与 Mariner Linux VM 相关的事件:仅包括系统启动和关闭、服务状态更改、内核消息、应用程序错误和用户身份验证活动。
- 计费事件:与核心使用情况的计量或计费相关的事件。 此事件集包括事件日期/时间和核心数量。 数据类型包括事件计时的日期/时间,以及数量的浮点数。
- 安全事件:与数字证书续订相关的聚合事件以及密钥管理服务 (KMS) 插件的功能。 这些事件支持跟踪证书生命周期、加密密钥状态、吊销和续订。 基础数据架构采用字符串数据类型来封装此重要信息。
- 诊断设置:通过安装 Microsoft.AKSArc.AzureMonitor Arc Kubernetes 扩展,可以从群集控制平面通过 Azure Monitor 启用 Kubernetes 审核和诊断数据的收集。 请参阅 kube-apiserver 审核配置文档。 此数据将保存到客户配置的存储中,Microsoft收集的任何中间数据,以便在 48 小时内删除导出到客户存储。
注意
所有事件都使用 Windows 通用遥测客户端(UTC)或 Mariner Azure 设备运行状况服务(ADHS)。
有关 Azure 数据收集和隐私策略的详细信息,请参阅 Microsoft隐私声明。