Azure Arc データ収集によって有効になっている AKS
Azure Arc で有効になっている AKS は、Azure Arc を使用して接続および管理する Kubernetes クラスターを独自のインフラストラクチャで実行できるサービスです。 AKS は、クラスターと接続されたマシンからデータを収集して、監視、ポリシーの適用、セキュリティ更新プログラムなどの機能を提供します。 この記事では、収集されるデータ、データの分類方法、およびデータを制御する方法について説明します。
AKS のデプロイ中は、サブスクリプションと、データが格納されている Azure リージョンを提供する必要があります。 Azure リージョンはオンプレミス リソースの仮想表現であり、実際の物理的なオンプレミスの場所には対応していません。 これは、Microsoft が運営するデータセンターがこのデータを格納するリージョンを表します。
重要
Microsoft は、 個人を特定できる情報 (PII) として分類される可能性のある機密情報を収集しません。 詳細については、次の データ収集に関するセクションを参照してください。
データ収集をキュレーションし、オンプレミスのデプロイと交換する場合は、3 つの異なるレベルを考慮する必要があります。 この記事では、Kubernetes クラスター (階層 2) と Azure の間で交換されるデータについて説明します。 階層 1 と階層 3 の間のデータ収集と交換の説明については、パブリック ドキュメントを参照してください。
- 階層 1: Azure Monitor、Azure Defender、Event Grid などの Azure Arc 対応サービス。
- 階層 2: Kubernetes クラスター: Arc で有効な AKS。
- 階層 3: Windows Server や Azure Stack HCI などの物理ホスト。
データ コレクションと保存場所
AKS データは JSON 形式で送信され、次のようにセキュリティで保護された Microsoft が運用するデータセンターに格納されます。
- 課金データは、デバイスを登録したそのリージョンのそれぞれのリソースに送信されます。
- テレメトリ データ ("非個人データ" として分類) は、デプロイ時に選択したリージョン内に格納され、エンジニアリング チームが製品の改善とビジネス分析に使用するために米国中部ストアに転送されます。
Microsoft が Azure に診断データを格納する方法の詳細については、「Azure の データ所在地」を参照してください。
データの保持
AKS がこのデータを収集すると、28 日間保持されます。 AKS は、サービスの信頼性を追跡し、製品の改善を通知するために、集計された、識別されていないデータを長期間保持する場合があります。
どのデータが収集されますか。
AKS は、次の種類のデータを収集します。
- Hyper-V ホスト オペレーティング システムに関連するイベント: オペレーティング システム名、バージョン、モデルなどの詳細。 識別子には、正確なイベント追跡のためのイベント名とイベントの日付が含まれます。 整数とブール値の両方のさまざまなフラグは、特定の条件または状態、デバイス、およびオペレーティング システムの属性を示します。 これらのフラグには、名前、デバイス ID、ISO 国コードが含まれます。 これらのイベントのデータ スキーマには、文字列、整数、datetimes、ブール値など、さまざまなデータ型が組み込まれています。
- Kubernetes クラスターコントロール プレーンに関連付けられているイベント: 特定のメトリックには、クラスター作成のタイムスタンプ、ポッド、ノード数、および仮想コア数を含むリソース メトリックが含まれます。 このデータは、Kubernetes クラスターの監視と管理に使用されます。 これらのイベントのデータ スキーマには、ブール値、文字列、整数、double など、さまざまなデータ型が含まれます。
- Hyper-V ホスト オペレーティング システムに関連するイベント: 生成されたエラーは、診断と監視の目的でキャプチャされます。 主に使用されるデータ スキーマは、エラー メッセージと関連するスタック トレースの両方をカプセル化するための文字列形式です。 現在、サポートは Windows Server および Azure Stack HCI プラットフォームに拡張されています。
- Mariner Linux VM に関連するイベント: システムの起動とシャットダウン、サービスの状態の変更、カーネル メッセージ、アプリケーション エラー、およびシステム名前空間のユーザー認証アクティビティのみが含まれます。
- 課金イベント: コア使用量の測定または課金に関連するイベント。 この一連のイベントには、イベントの datetime とコア数が含まれます。 データ型には、イベントのタイミングの datetime と、数量の浮動小数点数が含まれます。
- セキュリティ イベント: デジタル証明書の更新とキー管理サービス (KMS) プラグインの機能に関連する集計イベント。 これらのイベントにより、証明書のライフサイクル、暗号化キーの状態、失効、更新の追跡が可能になります。 基になるデータ スキーマでは、この重要な情報をカプセル化するために文字列データ型が使用されます。
- 診断設定: Microsoft.AKSArc.AzureMonitor Arc Kubernetes 拡張機能をインストールすることで、クラスター コントロール プレーンから Azure Monitor を使用して Kubernetes 監査と診断データの収集を有効にすることができます。 kube-apiserver 監査構成のドキュメントを参照してください。 このデータは顧客が構成したストレージに保存され、顧客ストレージへのエクスポートを容易にするために Microsoft が収集する中間データは 48 時間以内に削除されます。
注意
すべてのイベントでは、Windows ユニバーサル テレメトリ クライアント (UTC) または Mariner Azure Device Health Service (ADHS) が使用されます。
Azure データ収集とプライバシー ポリシーの詳細については、「 Microsoft のプライバシーに関する声明」を参照してください。