由 Azure Arc 数据收集启用的 AKS
Azure Arc 启用的 AKS 是一项服务,可用于在自己的基础结构中运行 Kubernetes 群集,并使用 Azure Arc 进行连接和管理。 AKS 从群集和连接的计算机收集数据,以提供监视、策略实施和安全更新等功能。 本文介绍收集哪些数据、如何分类以及如何控制数据。
在部署 AKS 期间,必须提供一个订阅和一个存储数据的 Azure 区域。 Azure 区域是本地资源的虚拟表示形式,与实际物理本地位置不对应。 它表示 Microsoft 运营的数据中心存储此数据的区域。
重要
Microsoft 不会收集任何可能归类为 个人身份信息的敏感信息, (PII) 。 有关详细信息,请参阅以下 数据收集部分。
在为本地部署策划数据收集和交换时,需要考虑三个单独的层。 本文介绍 Kubernetes 群集 (第 2 层) 与 Azure 之间交换的数据。 有关第 1 层 和第 3 层之间的数据收集和交换的说明,请参阅公共文档。
- 第 1 层:已启用 Azure Arc 的服务,例如 Azure Monitor、Azure Defender、事件网格等。
- 第 2 层:Kubernetes 群集:由 Arc 启用的 AKS。
- 第 3 层:物理主机,例如 Windows Server 或 Azure Stack HCI。
数据收集和驻留
AKS 数据以 JSON 格式发送,并存储在 Microsoft 运营的安全数据中心,如下所示:
- 计费数据将发送到注册设备的该区域的相应资源。
- 遥测数据 (分类为“非个人数据”) 存储在部署时选择的区域,并转发到美国中部存储,供工程团队用于产品改进和业务分析。
有关 Microsoft 如何在 Azure 中存储诊断数据的信息,请参阅 Azure 中的数据驻留。
数据保留
AKS 收集此数据后,会保留 28 天。 AKS 可能会将聚合的去标识化数据保留更长时间,以便跟踪服务的可靠性并通知产品改进。
收集什么数据?
AKS 收集以下类型的数据:
- 与 Hyper-V 主机操作系统相关的事件:操作系统名称、版本和模型等详细信息。 标识符包括用于精确事件跟踪的事件名称和事件日期。 各种标志(整数和布尔值)表示特定条件或状态、设备和操作系统属性。 这些标志包括名称、设备 ID 和 ISO 国家/地区代码。 这些事件的数据架构包含一系列数据类型,包括字符串、整数、日期时间和布尔值。
- 与 Kubernetes 群集控制平面关联的事件:特定指标包括群集创建时间戳、Pod 和节点计数,以及包括 vCore 计数的资源指标。 此数据用于监视和管理 Kubernetes 群集。 这些事件的数据架构包括一系列数据类型,包括布尔值、字符串、整数和 double。
- 与 Hyper-V 主机操作系统相关的事件:捕获发出的错误以用于诊断和监视目的。 使用的主要数据架构是用于封装错误消息和关联堆栈跟踪的字符串格式。 目前,支持已扩展到 Windows Server 和 Azure Stack HCI 平台。
- 与 Mariner Linux VM 相关的事件:仅包括系统命名空间的系统启动和关闭、服务状态更改、内核消息、应用程序错误和用户身份验证活动。
- 计费事件:与核心使用情况的计量或计费相关的事件。 这组事件包括事件日期时间和核心数量。 数据类型包括事件计时的日期/时间,以及用于数量的浮点数。
- 安全事件:与数字证书续订和密钥管理服务 (KMS) 插件运行相关的聚合事件。 这些事件支持跟踪证书生命周期、加密密钥状态、吊销和续订。 基础数据架构使用字符串数据类型来封装此重要信息。
- 诊断设置:通过安装 Microsoft.AKSArc.AzureMonitor Arc Kubernetes 扩展,可以从群集控制平面通过 Azure Monitor 启用 Kubernetes 审核和诊断数据收集。 请参阅 kube-apiserver 审核配置文档。 此数据将保存到客户配置的存储中,Microsoft 为便于导出到客户存储而收集的任何中间数据会在 48 小时内删除。
注意
所有事件都使用 Windows 通用遥测客户端 (UTC) 或 Mariner Azure 设备运行状况服务 (ADHS) 。
有关 Azure 数据收集和隐私策略的详细信息,请参阅 Microsoft 隐私声明。