Azure Arc 資料收集所啟用的 AKS
Azure Arc 所啟用的 AKS 是一項服務,可讓您在自己的基礎結構中執行 Kubernetes 叢集,並使用 Azure Arc 進行連線和管理。 AKS 會從叢集和連線的計算機收集數據,以提供監視、原則強制執行和安全性更新等功能。 本文說明收集的數據、分類方式,以及如何控制數據。
在 AKS 部署期間,您必須提供儲存資料的訂用帳戶和 Azure 區域。 Azure 區域是內部部署資源的虛擬表示法,且不會對應到實際的實體內部部署位置。 它代表Microsoft操作數據中心儲存此數據的區域。
重要
Microsoft不會收集任何可能分類為 個人標識資訊 (PII) 的敏感性資訊。 如需詳細資訊,請參閱下列 數據收集一節。
在策劃數據收集和交換內部部署時,有三個不同的層需要考慮。 本文說明 Kubernetes 叢集 (第 2 層) 與 Azure 之間交換的數據。 如需第 1 層和第 3 層之間數據收集和交換的描述,請參閱公用檔。
- 第 1 層:已啟用 Azure Arc 的服務,例如 Azure 監視器、Azure Defender、事件方格等。
- 第 2 層:Kubernetes 叢集:由 Arc 啟用的 AKS。
- 第3層:實體主機,例如 Windows Server 或 Azure 本機。
數據收集和落地
AKS 數據會以 JSON 格式傳送,並儲存在安全Microsoft操作的數據中心,如下所示:
- 帳單數據會傳送至您註冊裝置所在區域的個別資源。
- 遙測數據(分類為「非個人資料」)會儲存在您部署時選取的區域,並轉送至美國中央存放區,以供工程小組用於產品改進和商務分析。
如需如何Microsoft在 Azure 中儲存診斷數據的詳細資訊,請參閱 Azure 中的數據落地。
資料保留
AKS 收集此數據之後,會保留 28 天。 AKS 可能會持續長時間匯總、已取消識別的數據,以追蹤服務的可靠性,並通知產品改善。
收集了哪些資料?
AKS 會收集下列類型的資料:
- 與 Hyper-V 主機作業系統相關的事件:操作系統名稱、版本和模型等詳細數據。 標識元包含精確事件追蹤的事件名稱和事件日期。 整數和布爾值的各種旗標,代表特定條件或狀態、裝置和操作系統屬性。 這些旗標包括名稱、裝置標識碼和 ISO 國家/地區代碼。 這些事件的數據架構包含一系列數據類型,包括字串、整數、日期時間及布爾值。
- 與 Kubernetes 叢集控制平面相關聯的事件:特定計量包括叢集建立時間戳、Pod 和節點計數,以及包括虛擬核心計數的資源計量。 此數據用於監視和管理 Kubernetes 叢集。 這些事件的數據架構包含一系列數據類型,包括布爾值、字串、整數和雙精度浮點數。
- Hyper-V 主機操作系統的相關事件:針對診斷和監視目的擷取發出的錯誤。 使用的主要數據架構是用來封裝錯誤訊息和相關聯堆疊追蹤的字串格式。 目前支援延伸至 Windows Server 和 Azure 本機平臺。
- 與 Mariner Linux VM 相關的事件:僅包含系統命名空間的系統開機和關機、服務狀態變更、核心訊息、應用程式錯誤和使用者驗證活動。
- 計費事件:與核心使用量計量或計費相關的事件。 這組事件包括事件日期時間和核心數量。 數據類型包括事件計時的日期時間,以及數量的浮點數。
- 安全性事件:與更新數位證書和 金鑰管理服務 (KMS) 外掛程式運作相關的匯總事件。 這些事件可讓您追蹤憑證生命週期、加密金鑰狀態、撤銷和更新。 基礎數據架構會採用字串數據類型來封裝這項重要資訊。
- 診斷設定:藉由安裝 Microsoft.AKSArc.AzureMonitor Arc Kubernetes 擴充功能,您可以從叢集控制平面透過 Azure 監視器啟用 Kubernetes 稽核和診斷數據的收集。 請參閱 kube-apiserver 稽核組態檔。 此數據會儲存至客戶設定的記憶體,而Microsoft收集的任何中繼數據,以便在48小時內刪除匯出至客戶記憶體。
注意
所有事件都會使用 Windows 通用遙測用戶端 (UTC) 或 Mariner Azure 裝置 健全狀況服務 (ADHS)。
如需 Azure 資料收集和隱私策略的詳細資訊,請參閱 Microsoft隱私聲明。