Azure Arc 資料收集所啟用的 AKS
Azure Arc 所啟用的 AKS 是一項服務,可讓您使用 Azure Arc 連線和管理它們,在自己的基礎結構中執行 Kubernetes 叢集。 AKS 會從叢集和連線的計算機收集數據,以提供監視、原則強制執行和安全性更新等功能。 本文說明收集的數據、數據的分類方式,以及如何控制數據。
在 AKS 部署期間,您必須提供訂用帳戶和儲存數據的 Azure 區域。 Azure 區域是內部部署資源的虛擬表示法,不會對應到實際的實體內部部署位置。 它代表 Microsoft 營運資料中心儲存此資料的區域。
重要
Microsoft 不會收集任何可能分類為 個人標識資訊 (PII) 的敏感性資訊。 如需詳細資訊,請參閱下列 數據收集一節。
在策劃數據收集和交換內部部署時,有三個不同的層需要考慮。 本文說明 Kubernetes 叢集 (第 2 層) 與 Azure 之間交換的數據。 如需第 1 層和第 3 層之間數據收集和交換的描述,請參閱公開檔。
- 第 1 層:已啟用 Azure Arc 的服務,例如 Azure 監視器、Azure Defender、事件方格等。
- 第 2 層:Kubernetes 叢集:由 Arc 啟用的 AKS。
- 第3層:實體主機,例如 Windows Server 或 Azure Stack HCI。
資料收集和落地
AKS 資料會以 JSON 格式傳送,並儲存在安全的 Microsoft 營運資料中心,如下所示:
- 帳單數據會傳送至您註冊裝置所在區域的個別資源。
- 遙測數據 (分類為「非個人資料」) 會儲存在您部署時選取的區域,並轉送至中央美國存放區,讓工程小組用於產品改進和商務分析。
如需 Microsoft 如何將診斷資料儲存在 Azure 中的資訊,請參閱 Azure 中的數據落地。
資料保留
AKS 收集此數據之後,會保留 28 天。 AKS 可能會保留匯總、已取消識別的數據一段時間,以追蹤服務的可靠性,並通知產品改善。
收集了哪些資料?
AKS 會收集下列類型的資料:
- 與 Hyper-V 主機作業系統相關的事件:操作系統名稱、版本和模型等詳細數據。 標識元包含精確事件追蹤的事件名稱和事件日期。 整數和布爾值都代表特定條件或狀態、裝置和操作系統屬性的各種旗標。 這些旗標包括名稱、裝置標識碼和 ISO 國家/地區代碼。 這些事件的數據架構包含一系列數據類型,包括字串、整數、日期時間及布爾值。
- 與 Kubernetes 叢集控制平面相關聯的事件:特定計量包括叢集建立時間戳、Pod 和節點計數,以及包含虛擬核心計數的資源計量。 此數據用於監視和管理 Kubernetes 叢集。 這些事件的數據架構包含一系列數據類型,包括布爾值、字串、整數和雙精度浮點數。
- 與 Hyper-V 主機操作系統相關的事件:針對診斷和監視目的,會擷取發出的錯誤。 使用的主要數據架構是用來封裝錯誤訊息和相關聯堆疊追蹤的字串格式。 目前支援已擴充至 Windows Server 和 Azure Stack HCI 平臺。
- 與聯機器Linux VM相關的事件:僅包含系統命名空間的系統開機和關機、服務狀態變更、核心訊息、應用程式錯誤和使用者驗證活動。
- 計費事件:與計量或核心使用量計費相關的事件。 這組事件包括事件日期時間和核心數量。 數據類型包括事件計時的日期時間,以及數量的浮點數。
- 安全性事件:與更新數位證書相關的匯總事件,以及金鑰管理服務 (KMS) 外掛程式的運作。 這些事件可讓您追蹤憑證生命週期、加密金鑰狀態、撤銷和更新。 基礎數據架構會採用字串數據類型來封裝此重要資訊。
- 診斷設定:藉由安裝 Microsoft.AKSArc.AzureMonitor Arc Kubernetes 擴充功能,您可以從叢集控制平面透過 Azure 監視器啟用 Kubernetes 稽核和診斷數據的收集。 請參閱 kube-apiserver 稽核組態檔。 此數據會儲存至客戶設定的記憶體,而 Microsoft 為了協助匯出至客戶記憶體所收集的任何元數據,都會在 48 小時內刪除。
注意
所有事件都會使用 Windows 通用遙測用戶端 (UTC) ,或 (ADHS) 的 Azure 裝置健康情況服務。
如需 Azure 資料收集和隱私策略的詳細資訊,請參閱 Microsoft 隱私聲明。